Articlesทำความเข้าใจกับ พรบ คุ้มครองข้อมูลส่วนบุคคล ที่มีผลบังคับใช้แล้ว วันนี้

ทำความเข้าใจกับ พรบ คุ้มครองข้อมูลส่วนบุคคล ที่มีผลบังคับใช้แล้ว วันนี้

ผู้เขียนเชื่อว่านับตั้งแต่ที่มีการพูดถึง PDPA นับแต่วันแรกจนถึงวันนี้ หลายคนคงเคยได้เห็นหรือได้ยินผ่านหูผ่านตามาไม่มากก็น้อยถึงคำว่า PDPA หรือเรื่องข้อมูลส่วนบุคคล หลายคนคงยังงงอยู่ว่ามันคืออะไร? เกี่ยวอะไรกับตัวเอง? โดยเฉพาะตอนนี้ที่ PDPA จะประกาศใช้ 1 มิถุนายน 2565 ในเวลาอันใกล้แล้ว

 

ไม่ต้องห่วง วันนี้ The Structure จะมาอธิบายให้ฟังเข้าใจง่ายๆแบบรวบยอด ม้วนเดียวจบ สำหรับคนทั่วไปที่อาจยังงงๆอยู่ว่ามันอะไร แล้วมีอะไรที่ต้องให้ความสำคัญบ้าง โดยเราจะเน้นไปที่มุมมองของพวกเราประชาชนทั่วไปว่ามีสิทธิ หรือโต้แย้งอะไรได้บ้าง   

 

 แต่ต้องบอกไว้ก่อนนะว่าเนื่องจากกฎหมายยังไม่บังคับใช้ จึงยังไม่มีแนวคำพิพากษาศาลไทยออกมา ข้อมูลบางส่วนเทียบเคียงกับการตีความของศาลในประเทศสมาชิก EU  ดังนั้น ในอนาคตรายละเอียดบางส่วนอาจมีการตีความแตกต่างได้ บทความนี้เป็นแค่แนวทางเท่านั้น

 

กฎหมาย PDPA คืออะไร? แล้วเกี่ยวข้องกับอะไร?

 

PDPA ย่อมาจาก Personal Data Protection Act หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หลักๆเลยคือ เพื่อใช้ในการคุ้มครองข้อมูลส่วนบุคคล ไม่ให้ถูกจัดเก็บหรือนำไปใช้โดยไม่ได้แจ้งให้เราทราบ หรือโดยปราศจากความยินยอมจากเราในฐานะเจ้าของข้อมูลก่อน

 

PDPA มีความเกี่ยวข้องโดยตรงกับเหล่าประชาชนทั่วไปทุกคน โดยเฉพาะผู้ประกอบการ และผู้ประกอบวิชาชีพต่างๆทุกคน แม้กระทั่งภาครัฐ ทุกคนมีสิทธิในข้อมูลส่วนบุคคล และมีหน้าที่ในการคุ้มครองข้อมูลส่วนบุคคลของคนอื่น เช่นกัน [1]

 

ทำไมต้องมีกฎหมายฉบับนี้ด้วย?

 

ในความเป็นจริงเรื่องการคุ้มครองข้อมูลส่วนบุคคลนั้นประเทศไทยได้พยายามผลักดันมากว่า 20 ปีแล้ว โดยในปัจจุบันสาเหตุหนึ่งในการผลักดักนั้นเป็นเพราะว่าบริษัทหรือผู้ให้บริการทางอินเทอร์เน็ต (ISP) ต่างๆมักจะได้ข้อมูลส่วนบุคคลของลูกค้าหรือผู้ใช้งาน มาจากหลากหลายช่องทาง เช่น การเก็บจากการสมัครสมาชิกหรือการใช้บริการต่างๆ การทำธุรกรรมบนอินเทอร์เน็ต การเก็บคุกกี้บนอินเทอร์เน็ต

 

แต่สาเหตุหลักเลยจริงๆแล้ว นั้นเป็นเพราะสหภาพยุโรป (European Union/ EU) ได้ออก GDPR ( General Data Protection Regulation) เป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลฉบับใหม่แทนฉบับเก่า บังคับใช้เมื่อ 25 พฤษภาคม พ.ศ. 2561 ซึ่งไม่ได้มีผลบังคับแค่ประเทศสมาชิกEU แต่รวมถึงผู้ประกอบการต่างประเทศที่ติดต่อรับส่งข้อมูลส่วนบุคคลของประชาชนในประเทศสมาชิก EU ด้วย 

 

ตรงจุดนี้เองที่ ถ้าหากประเทศไทยไม่มีกฎหมายฉบับนี้ จะมีผลกระทบต่อความน่าเชื่อถือในมาตรการคุ้มครองข้อมูลส่วนบุคคลของประเทศและการค้าระหว่างประเทศ เพราะการรั่วไหลข้อมูลส่วนบุคคลในปัจจุบัน ถือว่าเป็นความเสียหายครั้งใหญ่และไม่มีใครอยากให้เกิดขึ้น [1]

 

ความสัมพันธ์ระหว่าง PDPA และ GDPR

 

กฎหมายที่เอามาเป็นแม่แบบกฎหมายไทยหรือ PDPA นั้นคือ GDPR ของทาง EU ดังนั้นในช่วงที่กฎหมายไทยพึ่งออกมาใหม่ๆยังไม่มีคำตัดสินของศาลเป็นบรรทัดฐาน หรือแนวปฏิบัติใดๆ การตีความต่างๆ ตัวอย่างการกระทำบางอย่าง เราอาจจะต้องใช้คำตัดสินของศาลต่างประเทศมาเทียบเคียงดู เพื่อให้เข้าใจได้ 

 

แล้วอะไรคือข้อมูลส่วนบุคคลที่อยู่ภายใต้ PDPA?

 

ตามมาตรา 6 ของ PDPA  ข้อมูลส่วนบุคคล (Personal Data) เป็นข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ

 

ถ้าให้อธิบายเพิ่มเติม ข้อมูลนั้นจะอยู่ในรูปแบบใดๆ ก็ได้ไม่ว่าจะเป็นข้อมูลคอมพิวเตอร์ กระดาษ หรือรูปแบบอื่นๆ

 

แต่ข้อมูลนั้นต้องได้มีไว้เพื่อเอาไปประมวลผลต่อไป โดยถึงแม้ว่าตัวข้อมูลเดี่ยวๆนั้นอาจจะไม่สามารถใช้ระบุตัวบุคคลได้ แต่หากใช้ร่วมกับข้อมูลอื่นๆก็อาจจะทำได้ โดยไม่จำเป็นว่าข้อมูลพวกนั้นจะอยู่ด้วยกัน

 

นอกจากนี้ไม่ว่าข้อมูลนั้นจะจริงหรือเท็จก็ยังถือว่าเป็นข้อมูลได้ทั้งนั้น โดยข้อมูลส่วนบุคคลนั้นจะแบ่งออกเป็น 2 แบบ คือ แบบทั่วไป และแบบอ่อนไหว [1]

 

เอาง่ายๆ เลย ข้อมูลอะไรก็ตามที่ทำให้คนอื่นสามารถระบุตัวตนคนหนึ่งๆได้เนี่ย ถือเป็นข้อมูลส่วนบุคคลทั้งสิ้น  แต่ถ้าข้อมูลคนตายแล้วจะไม่นับ

 

แล้วตัวอย่างของข้อมูลส่วนบุคคลทั่วไปมีอะไรบ้าง?

 

PDPR ไม่ได้ให้ตัวอย่างไว้โดยตรง แต่ตัวแนวปฏิบัติหรือ Thailand Data Protection Guidelines 3.0 ที่พัฒนาโดย ศูนย์วิจัยกฎหมายและการพัฒนา คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย   สนับสนุนโดย กลต. และ Law firm หลายบริษัท ได้ให้ตัวอย่างไว้ เช่น

 

(1) ชื่อ-นามสกุล หรือชื่อเล่น

(2) เลขประจำตัวประชาชน, เลขหนังสือเดินทาง, เลขบัตรประกันสังคม, เลขใบอนุญาตขับขี่, เลขประจำตัวผู้เสียภาษี, เลขบัญชีธนาคาร, เลขบัตรเครดิต (การเก็บเป็นภาพสำเนาบัตรประชาชนหรือสำเนาบัตรอื่นๆที่มีข้อมูลส่วนบุคคลที่กล่าวมาย่อมสามารถใช้ระบุตัวบุคคลได้โดยตัวมันเอง จึงถือเป็นข้อมูลส่วนบุคคล)

(3) ที่อยู่, อีเมล, เลขโทรศัพท์

(4) ข้อมูลอุปกรณ์หรือเครื่องมือ เช่น IP address, MAC address, Cookie ID

(5) ข้อมูลทางชีวมิติ (Biometric) เช่น รูปภาพใบหน้า, ลายนิ้วมือ, ฟิล์มเอกซเรย์, ข้อมูลสแกนม่านตา, ข้อมูลอัตลักษณ์เสียง, ข้อมูลพันธุกรรม

(6) ข้อมูลระบุทรัพย์สินของบุคคล เช่น ทะเบียนรถยนต์, โฉนดที่ดิน

(7) ข้อมูลที่สามารถเชื่อมโยงไปยังข้อมูลข้างต้นได้ เช่น วันเกิดและสถานที่เกิด, เชื้อชาติ, สัญชาติ, น้ำหนัก, ส่วนสูง, ข้อมูลตำแหน่งที่อยู่ (location), ข้อมูลการแพทย์, ข้อมูลการศึกษา, ข้อมูลทางการเงิน, ข้อมูลการจ้างงาน

(8) ข้อมูลหมายเลขอ้างอิงที่เก็บไว้ในไมโครฟิล์ม แม้ไม่สามารถระบุไปถึงตัวบุคคลได้ แต่หากใช้ร่วมกับระบบดัชนีข้อมูลอีกระบบหนึ่งก็จะสามารถระบุไปถึงตัวบุคคลได้ ดังนั้นข้อมูลในไมโครฟิล์มจึงเป็นข้อมูลส่วนบุคคล

(9) ข้อมูลการประเมินผลการทำงานหรือความเห็นของนายจ้างต่อการทำงานของลูกจ้าง

(10) ข้อมูลบันทึกต่างๆที่ใช้ติดตามตรวจสอบกิจกรรมต่างๆของบุคคล เช่น log file

(11) ข้อมูลที่สามารถใช้ในการค้นหาข้อมูลส่วนบุคคลอื่นในอินเทอร์เน็ต

 

ถ้าข้อมูลไหนที่ไม่สามารถทำให้ระบุตัวตนของเจ้าของข้อมูลได้ จะไม่เป็นข้อมูลส่วนบุคคลตามกฎหมายนี้ และไม่อยู่ภายใต้บังคับตาม PDPA เลย หรือเอาง่ายๆคือเก็บรวบรวมแล้วเอาไปใช้ ประมวล เปิดเผยได้ตามปกติทั่วไป  เช่น [1]

 

(1) เลขทะเบียนบริษัท

(2) ข้อมูลสำหรับการติดต่อทางธุรกิจที่ไม่ได้ระบุถึงตัวบุคคล เช่น หมายเลขโทรศัพท์ หรือแฟกซ์ที่ทำงาน, ที่อยู่สำนักงาน, อีเมลที่ใช้ในการทำงาน, อีเมลของบริษัท เช่น info@companay.com เป็นต้น

(3) ข้อมูลนิรนาม (Anonymous Data) หรือข้อมูลแฝง (Pseudonymous Data) หมายถึง ข้อมูลหรือชุดข้อมูลที่ถูกทำให้ไม่สามารถระบุตัวบุคคลได้อีกโดยวิธีการทางเทคนิค

(4) ข้อมูลผู้ที่เสียชีวิตแล้ว

 

ส่วนข้อมูลส่วนบุคคลอีกชนิด คือ ข้อมูลส่วนบุคคลที่เป็นข้อมูลอ่อนไหว (Sensitive Personal Data) ซึ่งถือว่าเป็นข้อมูลที่มีความละเอียดอ่อนและหากข้อมูลถูกเปิดเผย ก็อาจส่งผลกระทบต่อเจ้าของข้อมูลได้ ทั้งในการดำรงชีวิต การทำงาน สังคม และอาจนำไปสู่การเลือกปฏิบัติ  PDPA จึงบังคับให้ระมัดระวังการใช้ข้อมูลที่มีความอ่อนไหวมากขึ้นเป็นพิเศษ และมีบทลงโทษที่หนักกว่าปกติ เช่นอาจถึงขั้นจำคุก [1]

 

ส่วนข้อมูลส่วนบุคคลที่เป็นข้อมูลอ่อนไหว มีอะไรบ้าง PDPA ระบุเอาไว้แล้วในมาตรา 26 เช่น

 

(1) เชื้อชาติ

(2) เผ่าพันธุ์

(3) ความคิดเห็นทางการเมือง

(4) ความเชื่อในลัทธิ ศาสนาหรือปรัชญา

(5) พฤติกรรมทางเพศ

(6) ประวัติอาชญากรรม

(7) ข้อมูลสุขภาพ ความพิการ หรือข้อมูลสุขภาพจิต

(8) ข้อมูลสหภาพแรงงาน

(9) ข้อมูลพันธุกรรม

(10) ข้อมูลชีวภาพ

(11) ข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลในทำนองเดียวกันตามที่คณะกรรมการประกาศกำหนด

 

เมื่อรู้แล้วว่าอะไรคือข้อมูลส่วนบุคคล ทีนี้มารู้จักผู้ที่มีส่วนเกี่ยวข้องกับข้อมูลส่วนบุคคลกันบ้าง

 

ผู้เกี่ยวข้องหรือตัวละครหลักใน PDPA นั้น หลักๆ มีอยู่ 3 คน ที่ต้องรู้จัก ตามมาตรา 6

 

  1. เจ้าของข้อมูลส่วนบุคคล (Data Subject)

คือคนที่ข้อมูลส่วนบุคคลชุดหนึ่ง จะสามารถระบุตัวตนได้ หรือก็คือพวกเราเองนี่แหละ ซึ่งเจ้าของข้อมูลจะได้รับการปกป้องคุ้มครองและมีสิทธิต่าง ๆ เหนือข้อมูลส่วนบุคคลของตน ตามPDPA sหากมีการเก็บ เอาไปใช้ เผยแพร่ โดยที่เราไม่ได้อนุญาต หรือทำไม่ถูกต้องตามกฎหมาย เรามีสิทธิดำเนินคดีตามกฎหมายได้กับผู้เกี่ยวข้องอื่นๆ

 

  1. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)

คือจะเป็นบุคคลหรือ องค์กรต่าง ๆ ก็ได้ ที่เป็นคนตัดสินใจว่า เมื่อข้อมูลส่วนบุคคลมาอยู่ในการควบคุมของตนไม่ว่าทางไหนก็ตาม จะมีการประมวลผลข้อมูลส่วนบุคคลอะไร เพื่ออะไร อย่างไร เป็นผู้ที่มีหน้าที่และความรับผิดหลักที่ต้องปฏิบัติตาม PDPA ให้ครบถ้วน

 

ทุกคนเป็นผู้ควบคุมข้อมูลฯได้ทั้งนั้น เช่น เจ้าของร้านอาหารที่เก็บข้อมูลลูกค้าก่อนเข้าร้านตามมาตรการป้องกันโควิด  , ผู้ประกอบการหรือบริษัท ในทันทีที่มีลูกจ้างคนแรก แล้วต้องเก็บข้อมูลลูกจ้างเอาไว้ใช้ผ่านทาง resume หรือ บัญชีไว้จ่ายเงินเดือน

 

  1. ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)

คือ บุคคลหรือ องค์กรต่าง ๆ ก็ได้ ที่ต้องประมวลผลข้อมูลส่วนบุคคล ภายใต้คำสั่ง หรือในนามของ ผู้ควบคุมข้อมูลส่วนบุคคล เท่านั้น ไม่ได้เป็นผู้มีอำนาจตัดสินใจประมวลผลข้อมูลด้วยตัวเอง

 

เช่นเดียวกับควบคุมข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคลนั้นก็สามารถเป็นกันได้ทุกคน เช่น คนส่งของ พนักงานไปรษณีย์ ที่ใช้ข้อมูลส่วนบุคคลเพื่อส่งของให้เจ้าของข้อมูล หรือ ผู้บริการรับฝากข้อมูล เช่น Google drive ก็เป็นได้

 

หน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคลที่พวกเราคนธรรมดาควรทราบ

 

เมื่อเราเข้าใจดีแล้วว่าอะไรคือข้อมูลส่วนบุคคล ใครคือใคร ใน PDPA นี้ ต่อไปคือต้องรู้ว่าแล้วใครมีหน้าที่อะไร หรือมีสิทธิอะไรกันบ้าง  เราจะเริ่มจากหน้าที่ของผู้ควบคุมข้อมูลเลย ซึ่งระบุไว้แล้วตามมาตรา 19 และมาตรา 27 คือ

 

ผู้ควบคุมข้อมูลส่วนบุคคลจะกระทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคลไม่ได้หากเจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมไว้ก่อนหรือในขณะนั้น โดยการขอความยินยอมต้องทำโดยชัดแจ้ง เป็นหนังสือหรือทำโดยผ่านระบบอิเล็กทรอนิกส์ เว้นแต่ โดยสภาพไม่อาจขอความยินยอมด้วยวิธีการดังกล่าวได้

 

นอกจากนี้ในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้ง

วัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไปด้วย

 

 

ส่วนการขอความยินยอมนั้น ต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน มีแบบหรือข้อความที่เข้าถึงได้ง่ายและเข้าใจได้ ใช้ภาษาที่อ่านง่าย และไม่เป็นการหลอกลวงหรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์

 

ส่วนเมื่อมีการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลต้องคำนึง

ถึงความเป็นอิสระของเจ้าของข้อมูลส่วนบุคคลในการให้ความยินยอม

 

ทั้งนี้ ในการเข้าทำสัญญาซึ่งรวมถึงการให้บริการใด ๆ ต้องไม่มีเงื่อนไขในการให้ความยินยอมเพื่อเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ไม่มีความจำเป็นหรือเกี่ยวข้อง

 

เจ้าของข้อมูลส่วนบุคคลจะถอนความยินยอมเสียเมื่อใดก็ได้โดยจะต้องถอนความยินยอมได้ง่าย

เช่นเดียวกับการให้ความยินยอม เว้นแต่มีข้อจำกัดสิทธิในการถอนความยินยอมโดยกฎหมายหรือ

สัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคล

 

ในกรณีที่การถอนความยินยอมส่งผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลในเรื่องใด ผู้ควบคุม

ข้อมูลส่วนบุคคลต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงผลกระทบจากการถอนความยินยอมนั้น

 

การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลที่ไม่เป็นไปตามที่PDPA กำหนด  จะทำให้ไม่มีผล

ผูกพันเจ้าของข้อมูลส่วนบุคคล และทำให้ผู้ควบคุมข้อมูลส่วนบุคคลไม่สามารถทำการเก็บรวบรวม ใช้

หรือเปิดเผยข้อมูลส่วนบุคคลได้ โดยชอบด้วยกฎหมาย

 

นอกจากนี้ตามมาตรา 26 ห้ามมิให้เก็บรวบรวมข้อมูลส่วนบุคคลที่เป็นข้อมูลอ่อนไหวโดยไม่ได้รับ

ความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่จะเข้าข้อยกเว้น เช่น เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคลซึ่งเจ้าของข้อมูล หรือ การใช้สิทธิทางกฎหมาย เป็นต้น

 

สิทธิของเจ้าของข้อมูลอย่างพวกเรามีอะไรบ้าง

 

PDPA กำหนดให้เจ้าของข้อมูลส่วนบุคคลอย่างเราๆนั้น มีสิทธิหลายอย่างด้วยกัน หลักๆคือตาม มาตรา 30- 34 คือ

 

  1. สิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตน

เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตนซึ่งอยู่ในความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล หรือขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลดังกล่าวที่ตนไม่ได้ให้ความยินยอม

ผู้ควบคุมข้อมูลส่วนบุคคลจะปฏิเสธคำขอได้เฉพาะในกรณีที่เป็นการปฏิเสธตามกฎหมายหรือคำสั่งศาล และการเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลนั้นจะส่งผลกระทบที่อาจก่อให้เกิดความเสียหายต่อสิทธิและเสรีภาพของบุคคลอื่นท่านั้น

 

  1. สิทธิขอรับข้อมูลส่วนบุคคลที่เกี่ยวกับตนจากผู้ควบคุมข้อมูลส่วนบุคคลได้

 

  1. สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับตนเมื่อใดก็ได้

 

  1. สิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้

 

  1. สิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลระงับการใช้ข้อมูลส่วนบุคคลได้

 

หากพบว่าผู้ควบคุมข้อมูลไม่ยอมทำตามหน้าที่ของตน หรือตามสิทธิของเจ้าของข้อมูลตามPDPA เจ้าของข้อมูลส่วนบุคคลสามารถเรียกร้องไปยัง สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หรือ สคส. โดยเบื้องต้นให้บังคับผู้ควบคุมข้อมูลส่วนบุคคลทำตามหน้าที่หรือเคารพสิทธิของเจ้าของข้อมูล

 

จะเกิดอะไรขึ้นถ้าผู้ควบคุมข้อมูลส่วนบุคคลไม่ยอมทำตามPDPA

 

ผู้ที่ละเมิดPDPAอาจจะได้รับบทลงโทษทั้งในทางแพ่ง อาญา หรือโทษปรับทางปกครองสูงสุด 5 ล้านบาท จำคุกสูงสุด 1 ปี รวมถึงต้องจ่ายค่าสินไหมทดแทน หากเป็นบริษัท กรรมการก็อาจเป็นผู้ถูกลงโทษได้ทั้งทางแพ่งและอาญา

 

ตัวอย่างของการละเมิดในต่างประเทศ

 

ร้านอาหารในฮัมบูร์กมีมาตรการให้ลูกค้า ลงชื่อและเบอร์โทร ต่อจากลูกค้ารายก่อนหน้า ในแบบฟอร์มที่ร้านได้จัดเตรียมไว้ให้ ก่อนเข้าร้านจึงทำให้ลูกค้ารายที่มาทีหลังหรือบุคคลที่เดินผ่านไปมา จะเห็นข้อมูลส่วนบุคคล เช่น ชื่อ เบอร์โทรศัพท์ ของลูกค้าอื่นในแบบฟอร์มทั้งหมด

 

แบบนี้ถือว่าละเมิดข้อมูลส่วนบุคคลของลูกค้าร้านอาหาร โดนปรับเป็นเงิน 4,000 บาท ต่อราย

 

อีกกรณีเช่น [3]

 

พนักงานของบริษัท Together Trust ได้ออกจากงาน และไปสัมภาษณ์ บริษัทใหม่ มีผลการตอบรับที่ดีจากผู้สัมภาษณ์ แต่หลังจากสัมภาษณ์รอบที่ 2 เธอถูกปฏิเสธแบบไร้เยื่อใย เดิมทีเธอไม่ติดใจ แต่พบว่าก็โดนแบบนี้จากหลายบริษัทจนเธอสืบดูพบว่า

 

บริษัท Together Trust ซึ่งเป็น บริษัทเก่าของเธอ ได้ทำข้อมูลส่วนตัวของเธอรั่วไหลไปเอง โดยได้บอกว่าเธอมีปัญหาสุขภาพในระดับวิกฤต ทำให้ขาดงานบ่อย แก่ผู้มาขอข้อมูล

 

สุดท้ายบริษัทถูกฟ้องต้องจ่ายค่าสินไหมทดแทนราว 3.6 แสนบาทให้กับพนักงานคนนี้

 

สรุป

 

เห็นแล้วใช่ไหมว่า ข้อมูลส่วนบุคคลตามPDPA นั้นมีความสำคัญมากแค่ไหน เราๆท่านๆ ที่อาจเป็นทั้งเจ้าของข้อมูล หรือผู้ควบคุมข้อมูลส่วนบุคคล ก็อย่าลืมให้ความสำคัญกับการปฏิบัติตามกฎหมายหรือรักษาสิทธิของท่านตาม PDPA ซะละ มิฉะนั้นจะเสียเงินแบบไม่ใช่เรื่องตามคดีในต่างประเทศที่ให้ไป

 

โดย ณฐ /Na-tha/

อ้างอิง :

[1] TDPG 3.0 Extension – Business Functions แนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล 3.0 – คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย

[2] TÄTIGKEITSBERICHT DATENSCHUTZ 2020 

[3] Irvingslaw Data Breach: Background 

Articles

อดีตวิศวกรโครงการ ระดับผู้จัดการ จบปริญญาตรีวิศวกรรมเครื่องกล จาก พระจอมเกล้าธนบุรี และ โท ด้าน Advanced Manufacturing Engineering จาก University of South Australia มีความสนใจในเรื่องประวัติศาสตร์ การเมือง และสวัสดิการสังคม

เราใช้คุกกี้เพื่อพัฒนาประสิทธิภาพ และประสบการณ์ที่ดีในการใช้เว็บไซต์ของคุณ คุณสามารถศึกษารายละเอียดได้ที่ นโยบายความเป็นส่วนตัว และสามารถจัดการความเป็นส่วนตัวของคุณได้เองโดยคลิกที่ ตั้งค่า

ตั้งค่า ยอมรับ
ตั้งค่าความเป็นส่วนตัว

คุณสามารถเลือกการตั้งค่าคุกกี้โดยเปิด/ปิด คุกกี้ในแต่ละประเภทได้ตามความต้องการ ยกเว้น คุกกี้ที่จำเป็น

ยอมรับทั้งหมด
จัดการความเป็นส่วนตัว
  • คุกกี้ที่จำเป็น
    เปิดใช้งานตลอด

    คุกกี้ที่มีความจำเป็นสำหรับการทำงานของเว็บไซต์ เพื่อให้คุณสามารถใช้งานเว็บไซต์ได้อย่างเป็นปกติ คุณไม่สามารถปิดการทำงานของคุกกี้นี้ในระบบเว็บไซต์ของเราได้

  • คุกกี้เพื่อปรับเนื้อหาให้เข้ากับกลุ่มเป้าหมาย

    คุกกี้ประเภทนี้จะเก็บข้อมูลต่าง ๆ รวมทั้งข้อมูลส่วนบุคคลเกี่ยวกับตัวคุณ เพื่อให้เราสามารถนำมาวิเคราะห์ และนำเสนอเนื้อหา ให้ตรงกับความเหมาะสมและความสนใจของคุณ

บันทึกการตั้งค่า