PDPA (Personal Data Protection Act B.E. 2019)

     PDPA หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีผลบังคับใช้วันที่ 1 มิถุนายน 2565 เป็นกฎหมายว่าด้วยการให้สิทธิ์กับเจ้าของข้อมูลส่วนบุคคล สร้างมาตรฐานการรักษาข้อมูลส่วนบุคคลให้ปลอดภัย และนำไปใช้ให้ถูกวัตถุประสงค์ตามคำยินยอมที่เจ้าของข้อมูลส่วนบุคคลอนุญาต

ขอบเขตของกฎหมาย

ใช้บังคับกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล ซึ่งเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ที่อยู่ในประเทศไทย

ประเภทของข้อมูลส่วนบุคล

ข้อมูลส่วนบุคคลทั่วไป (Personal Data) เช่น ชื่อ นามสกุล อายุ ที่อยู่ หมายเลขบัตรประชาชน หมายเลขโทรศัพท์ ประวัติการทำงาน และรูปถ่าย เป็นต้น

ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) เช่น ศาสนา ความเชื่อ เชื้อชาติ เผ่าพันธุ์ ข้อมูลสุขภาพ ความพิการ พฤติกรรมทางเพศ ประวัติอาชญากรรม ความคิดเห็นทางการเมือง ข้อมูลพันธุกรรม ข้อมูลชีวภาพ

สาเหตุที่ต้องจำแนกข้อมูลส่วนบุคคลเป็น 2 ประเภท เนื่องจากข้อมูลที่มีความละเอียดอ่อน เป็นข้อมูลที่มีบทลงโทษที่รุนแรงกว่าข้อมูลส่วนบุคคลทั่วไป เพราะหากข้อมูลส่วนบุคคลที่มีความละเอียดอ่อนมีการรั่วไหลไปสู่สาธารณะแล้ว จะนำมาสู่ความเป็นอคติและจะมีผลกระทบต่อชีวิตส่วนบุคคลได้มากกว่าข้อมูลทั่วไปเป็นอย่างมาก นั่นเอง

สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Right)

สิทธิของเจ้าของข้อมูล เจ้าของข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลหรือ PDPA จะต้องให้ความยินยอมแก่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประกอบการเพื่อรวบรวม ใช้ หรือเปิดเผยข้อมูล ซึ่งเจ้าของข้อมูลก็มีสิทธิในข้อมูลของตัวเองตามกฎหมาย และสามารถใช้สิทธินั้นได้โดยแบ่งออกได้ ดังนี้

  • สิทธิได้รับการแจ้งให้ทราบ
  • สิทธิขอเข้าถึงข้อมูลส่วนบุคคล
  • สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
  • สิทธิขอให้ลบหรือทำลาย
  • สิทธิในการเพิกถอนความยินยอม
  • สิทธิขอให้ระงับการใช้ข้อมูล
  • สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล
  • สิทธิในการขอให้โอนข้อมูลส่วนบุคคล

ความรับผิดและบทลงโทษของ PDPA

 โทษทางอาญา

  • ระวางโทษสูงสุดจำคุกไม่เกิน 1 ปีหรือปรับไม่เกิน 1,000,000 บาท หรือทั้งจำทั้งปรับ ในกรณีเป็นนิติบุคคล ผู้รับผิดชอบดำเนินงานของนิติบุคคลอาจต้องร่วมรับผิดในความผิดอาญา

ความรับผิดทางแพ่ง

  • ผู้กระทำการละเมิดข้อมูลส่วนบุคคลต้องชดใช้สินไหมค่าทดแทนให้กับเจ้าของข้อมูลส่วนบุคคลสูงสุด 2 เท่าของค่าเสียหายตามจริง

โทษทางปกครอง

  • กรณีที่ไม่ปฏิบัติตามที่กฎหมายกำหนด เช่น ขอความยินยอมโดยหลอกลวงเจ้าของข้อมูลส่วนบุคคล โทษปรับทางปกครองสูงสุด 5,000,000 บาท

หากไม่ปฏิบัติตามมีบทลงโทษอย่างไรบ้าง

        PDPA หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ที่จะบังคับใช้ในประเทศไทยนี้ จะมีบทบาทในการคุ้มครองและให้สิทธิที่เราควรมีต่อข้อมูลส่วนบุคคลของเราเองได้ รวมไปถึงการสร้างมาตรฐานของบุคคลหรือนิติบุคคล ในการเก็บข้อมูลส่วนบุคคล, รวบรวมข้อมูลส่วนบุคคล, ใช้ข้อมูลส่วนบุคคล หรือเพื่อการเปิดเผยข้อมูลส่วนบุคคลก็ตาม ซึ่งล้วนแล้วเกี่ยวข้องกับ พ.ร.บ. ฉบับนี้ที่จะต้องปฏิบัติตาม หากผู้ใดหรือองค์กรใดไม่ปฏิบัติตามย่อมมีบทลงโทษตามกฎหมายตามมา ซึ่งบทลงโทษของ PDPA สำหรับผู้ที่ไม่ปฏิบัติตามนั้น มีทั้งโทษทางแพ่ง โทษทางอาญา และโทษทางปกครองด้วย โดยมีรายละเอียดดังนี้
 
        โทษทางแพ่ง โทษทางแพ่งกำหนดให้ชดใช้ค่าสินไหมทดแทนที่เกิดขึ้นจริงให้กับเจ้าของข้อมูลส่วนบุคคลที่ได้รับความเสียหายจากการละเมิด และอาจจะต้องจ่ายบวกเพิ่มอีกเป็นค่าค่าสินไหมทดแทนเพื่อการลงโทษเพิ่มเติมสูงสุดได้อีก 2 เท่าของค่าเสียหายจริง ตัวอย่าง หากศาลตัดสินว่าให้ผู้ควบคุมข้อมูลส่วนบุคคล ต้องชดใช้ค่าสินไหมทดแทนแก่เจ้าของข้อมูลส่วนบุคคล เป็นจำนวน 1 แสนบาท ศาลอาจมีคำสั่งกำหนดค่าสินไหมเพื่อการลงโทษเพิ่มอีก 2 เท่าของค่าเสียหายจริง เท่ากับว่าจะต้องจ่ายเป็นค่าปรับทั้งหมด เป็นจำนวนเงิน 3 แสนบาท
โทษทางอาญา โทษทางอาญาจะมีทั้งโทษจำคุกและโทษปรับ โดยมี โทษจำคุกสูงสุดไม่เกิน 1 ปี หรือ ปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ โดยโทษสูงสุดดังกล่าวจะเกิดจากการไม่ปฏิบัติตาม PDPA ในส่วนการใช้ข้อมูล หรือเปิดเผยข้อมูล หรือส่งโอนข้อมูลไปยังต่างประเทศ ประเภทข้อมูลที่มีความละเอียดอ่อน(Sensitive Personal Data) ส่วนกรณีหากผู้กระทำความผิด คือ บริษัท(นิติบุคคล) ก็อาจจะสงสัยว่าใครจะเป็นผู้ถูกจำคุก เพราะบริษัทติดคุกไม่ได้ ในส่วนตรงนี้ก็อาจจะตกมาที่ ผู้บริหาร, กรรมการ หรือบุคคลซึ่งรับผิดชอบในการดำเนินงานของบริษัทนั้น ๆ ที่จะต้องได้รับการลงโทษจำคุกแทน
โทษทางปกครอง โทษปรับ มี ตั้งแต่ 1 ล้านบาทจนถึงสูงสุดไม่เกิน 5 ล้านบาท
       ซึ่งโทษปรับสูงสุด 5 ล้านบาท จะเป็นกรณีของการไม่ปฏิบัติตาม PDPA ในส่วนการใช้ข้อมูล หรือเปิดเผยข้อมูล หรือส่งโอนข้อมูลไปยังต่างประเทศของประเภทข้อมูลที่มีความละเอียดอ่อน(Sensitive Personal Data) ซึ่งโทษทางปกครองนี้จะแยกต่างหากกับการชดใช้ค่าเสียหายที่เกิดจากโทษทางแพ่งและโทษทางอาญาด้วย
 
     ดังนั้นองค์กรที่เกี่ยวข้องกับข้อมูลส่วนบุคคล ควรเริ่มทำตั้งแต่เนิ่น ๆ ไว้ เพื่อป้องกันปัญหาที่จะอาจตามมาทางด้านกฎหมาย ซึ่งจะมีผลเสียหายต่อองค์กร หากวันใดวันหนึ่งเกิดมีข้อมูลรั่วไหล หรือเผลอนำข้อมูลส่วนบุคคลไปใช้อย่างไม่ถูกต้องแล้ว บุคคลหรือองค์กรที่ไม่ได้ดำเนินการตาม PDPA ไว้ ย่อมเสียหายร้ายแรงกว่าผู้ที่ดำเนินการไว้แล้ว และผู้รับโทษตามกฎหมายก็อาจเป็นเจ้าของกิจการที่ต้องรับโทษแทนพนักงานเองก็เป็นได้ จึงนับว่าผู้นำองค์กรก็ควรตระหนักและให้ความใส่ใจต่อการทำ PDPA ก่อนถึงวันบังคับใช้

PDPA Consulting Service

      เราเป็นผู้เชี่ยวชาญ ที่พร้อมให้คำปรึกษาด้านมาตรฐานทาง Cybersecurity, Data Security and Privacy รวมไปถึงกฎหมาย หรือระเบียบที่เกี่ยวข้อง โดยเฉพาะอย่างยิ่งกฏหมายพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA ซึ่งเรามีผู้เชี่ยวชาญคอยบริการให้คำปรึกษาอย่างครอบคลุมแบบ One-Stop-Service ทั้งในเรื่องของ

  • PDPA/GDPR consulting service
  • DPO outsourcing service
  • PDPA audit service
  • PDPA implementation service
  • PDPA awareness training service

    เรามี มีบริการทางด้าน PDPA ช่วยให้องค์กรคุณ หมดกังวลเรื่องการเข้าตรวจสอบของ Audit หรือการละเมิดต่อข้อมูลส่วนบุคคล อีกทั้ง ข้อมูลสำคัญขององค์กร และข้อมูลส่วนบุคคลจะถูกจัดเก็บ ใช้งาน และเผยแพร่อย่างปลอดภัยและเป็นระบบยิ่งขึ้น สอดคล้องตามกฎหมาย PDPA มาพร้อมทีมงานผู้เชี่ยวชาญให้คำปรึกษา ตอบปัญหา ข้อหารือต่าง ๆ ของคณะกรรมการตรวจสอบ เพื่อการปรับปรุงซึ่งเป็นประโยชน์ต่อการปฏิบัติงานของบริษัทมากยิ่งขึ้น

Contact