WiNG ConnectWiNG PDPA

PDPA คืออะไร ทำไมต้องให้ความสำคัญ

PDPA (Personal Data Protection Act)

คือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีขึ้นเพื่อกำหนดหลักเกณฑ์ หรือมาตรการกำกับดูแลเกี่ยวกับการให้ความคุ้มครองข้อมูลส่วนบุคคล เพื่อป้องกันไม่ให้ข้อมูลเหล่านี้จะหลุดรอด รั่วไหล หรือถูกล่วงละเมิด ป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยมิชอบ

โดยมีเนื้อหาเกี่ยวกับการจัดเก็บ รวมรวม ใช้ เปิดเผย โอนถ่าย และประมวลผล ข้อมูลส่วนบุคคล หรือข้อมูลใด ๆ ที่เกี่ยวกับบุคคล ซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม

กฏหมาย PDPA จะเริ่มบังคับใช้เมื่อไหร่?

ได้มีการประกาศบังคับใช้เมื่อวันที่ 27 พ.ค. 2563 แต่ทางรัฐบาลได้ประกาศเลื่อนการบังคับใช้ออกไปอีก 1 ปี โดยจะเริ่มมีผลบังคับใช้อย่างเต็มรูปแบบในวันที่ 1 มิถุนายน 2564

ใครที่ต้องเกี่ยวข้องกับ PDPA บ้าง

“ทุกคน” เกี่ยวข้องกับ พรบ. ฉบับนี้ในฐานะเป็นเจ้าของข้อมูลส่วนบุคคล แต่ผู้ที่ต้องให้ความใส่ใจเป็นพิเศษ คือ หน่วยงานเอกชน องค์กร ต่าง ๆ ที่มีการเก็บข้อมูลส่วนบุคคลของผู้เกี่ยวข้องเอาไว้ เช่น การเก็บข้อมูลลูกค้าจากเว็บไซต์ การเก็บข้อมูลลูกค้าเป็นกระดาษ การเก็บข้อมูลพนักงาน เป็นต้น หากองค์กรของคุณมีการเก็บข้อมูลไม่ว่าทางใด ก็ถือว่ามีหน้าที่ในการรับผิดชอบตามกฎหมาย

หลักการของ PDPA

ผู้จัดเก็บข้อมูลมีหน้าที่จะต้องเผยแพร่ นโยบายการคุ้มครองข้อมูลส่วนบุคคลของหน่วยงานให้เจ้าของข้อมูลทราบ และการจัดเก็บข้อมูลจะต้องได้รับความยินยอมจากเจ้าของข้อมูล (ยกเว้นจะมีเหตุอื่นที่ได้รับอนุญาตตามกฎหมาย) ซึ่งความยินยอมนั้นต้องให้โดยอิสระ เฉพาะเจาะจง และชัดแจ้ง

เจ้าของข้อมูลสามารถถอนความยินยอมในการให้เก็บ ใช้ หรือเปิดเผยข้อมูล และมีสิทธิในการเข้าถึงและขอสำเนาข้อมูลส่วนบุคคล สิทธิในการให้ลบ ทำลายข้อมูลส่วนบุคคล

เมื่อได้มีการเก็บข้อมูลมาแล้วจะต้องมีการจัดการข้อมูลอย่างมีประสิทธิภาพ และต้องมีการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer : DPO) เพื่อประสานงาน ตรวจสอบการดำเนินการต่างๆ และให้คำแนะนำต่างๆ

และเมื่อใดก็ตามที่เกิดเหตุละเมิดข้อมูลส่วนบุคคล จะต้องแจ้งเหตุให้เจ้าของข้อมูลทราบภายใน 72 ชั่วโมง

บทลงโทษ

PDPA เป็นกฎหมายที่ทั้งบุคคลและนิติบุคคลในประเทศไทยต้องปฏิบัติตาม หากฝ่าฝืนจะมีโทษปรับสูงสุด 5 ล้านบาท จำคุกสูงสุด 1 ปี และต้องจ่ายค่าเสียหายตามจริง ในขณะที่กรรมการของนิติบุคคลอาจต้องรับผิดชอบต่อเหตุการณ์ที่เกิดขึ้นด้วย

หน่วยงานกำกับดูแล

คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม