พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ PDPA มีขอบเขตการคุ้มครองข้อมูลส่วนบุคคลของผู้ที่อาศัยอยู่ในราชอาณาจักรไทยทั้งหมด และมีผลกระทบต่อทุกภาคส่วนในวงกว้าง เนื่องมาจากสภาพสังคมดิจิทัลในปัจจุบันที่แต่ละองค์กรต่างมีข้อมูลไหลเวียนเป็นจำนวนมาก และในแต่ละวันก็มีข้อมูลส่วนบุคคลถูกเพิ่มเติมเข้ามาในระบบอยู่ตลอด ไม่ว่าจะเป็นการจัดการข้อมูลด้านบัญชี HR CRM ฐานลูกค้า ฯลฯ ธุรกิจหรือองค์กรต่าง ๆ จึงต้องตื่นตัวในการปฏิบัติตามเงื่อนไขของกฎหมายฉบับนี้ ก่อนกฎหมายจะมีผลบังคับใช้อย่างเต็มรูปแบบหลังวันที่ 27 พฤษภาคม 2563 (ปัจจุบันขยายเวลาบังคับใช้เป็น 1 มิถุนายน 2565)
ภายใต้พ.ร.บ.ฉบับนี้ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลจะไม่สามารถกระทำได้อย่างอิสระ ยกเว้นแต่จะดำเนินการตามหลักการใดหลักการหนึ่ง ซึ่งมีรายละเอียดดังต่อไปนี้
Consent (การให้ความยินยอม)
- เจ้าของข้อมูลส่วนบุคคลให้ความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล
- ต้องแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
- มีแบบแยกออกมาอย่างเด่นชัด ข้อความอ่านเข้าใจง่าย และต้องไม่เป็นการหลักลวง
- เจ้าขอข้อมูลส่วนบุคคลสามารถถอดความยินยอมเมื่อใดก็ได้ หากไม่มีข้อจำกัดสิทธิอื่น เช่น กฎหมายที่กำหนดให้เก็บรวบรวมส่วนบุคคลนั้นไว้ก่อน เป็นต้น
Scientific or Historical Research (การวิจัยทางวิทยาศาสตร์หรือประวัติศาสตร์)
- จัดทำเอกสารประสัติศาสตร์ จดหมายเหตุ การศึกษาวิจัย และสถิติ
Vital Interest (ฐานประโยชน์สำคัญต่อชีวิต)
- เพื่อป้องกันหรือระงับอันตรายที่เกิดขึ้นต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล เช่น การเข้ารับบริการทางการแพทย์ที่โรงพยาบาล เป็นต้น
Contract (สัญญา)
- เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญา ยกตัวอย่างเช่น เมื่อเจ้าของข้อมูลส่วนบุคคลทำสัญญากู้ยืมเงินจากธนาคาร และธนาคารสามารถเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบุคคลนั้นได้ตามวัตถุประสงค์ของสัญญา
Public Task (ภารกิจสาธารณะ)
- เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะ หรือปฏิบัติหน้าที่ในการใช้อำนาจของรัฐ เช่น หน่วยงานรัฐบาลจัดทำ Big Data เพื่อแก้ปัญหาความยากจนของราษฎรที่ประกอบอาชีพเกษตรกรรม เป็นต้น
Legitimate Interest (ฐานประโยชน์ตามกฎหมาย)
- เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล หรือของบุคคลหรือนิติบุคคลอื่น เช่น บริษัทเอกชนสามารถติดตั้งกล้องวงจรปิดภายในอาคารเพื่อรักษาความปลอดภัย ซึ่งบริษัทสามารถเก็บรวบรวมภาพถ่ายและวิดีโอ ซึ่งเป็นข้อมูลส่วนบุคคลของบุคคลที่อยู่ในบริเวณดังกล่าวได้ เป็นต้น
Legal Obligations (ภาระผูกพันตามกฎหมาย)
- เป็นการปฏิบัติตามกฎหมายอื่น ๆ
นอกจากหลักการที่ได้กล่าวมาข้างต้นแล้ว ยังมีข้อมูลส่วนบุคคลอีกประเภทหนึ่งที่เรียกว่า “ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน” (Sensitive Personal Data) จำพวก เชื้อชาติ ประวัติอาชญากรรม ข้อมูลพันธุกรรม และพฤติกรรมทางเพศ เป็นต้น ซึ่งการที่จะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในลักษณะดังกล่าวจะมีหลักการควบคุมที่เข้มงวดมากกว่าข้อมูลส่วนบุคคลทั่วไป โดยจะกระทำได้ก็ต่อเมื่อ ได้รับความยินยอมโดยชัดแจ้ง (Explicit Consent) จากเจ้าของข้อมูลส่วนบุคคล หรือเพื่อป้องกันหรือระงับอันตรายที่เกิดขึ้นต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล ซึ่งเจ้าของข้อมูลไม่อยู่ในสถานะที่สามารถให้ความยินยอมได้
ระวัง! หากการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลขององค์กรของคุณไม่ได้ตกอยู่ในเงื่อนไข หรือยังไม่ได้ปฏิบัติตามให้สอดคล้องกับเงื่อนไขใดข้างต้น อาจมีความผิดตามกฎหมายทางแพ่ง อาญา และปกครองได้ เมื่อพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ถูกบังคับใช้อย่างเต็มรูปแบบ หรือถ้าหากไม่แน่ใจ องค์กรควรมีการขอความยินยอมต่อเจ้าของข้อมูลส่วนบุคคลก่อนการเก็บรวบรวม ใช้ หรือเผยแพร่ข้อมูลเสมอในทุกครั้ง และจัดการข้อมูลส่วนบุคคลที่ได้รับมาให้สอดคล้อง ไม่ออกนอกขอบเขตที่ได้ระบุไว้ในความยินยอมนั้น
อย่าลืมตรวจสอบและปรับวิธีการทำงานขององค์กรให้ทันกับยุคสมัย
ที่ข้อมูลส่วนบุคคลกลายมาเป็นสิ่งที่ทั่วโลกให้ความสำคัญ
ขอบคุณข้อมูลจาก: สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม
สอบถามข้อมูลเพิ่มเติม
Phone Number : 065-982-5412 (คุณสุ) หรือ 061-024-7897 (คุณธิดา)
Line : pdpathailand
Messenger : PDPA Thailand
Email : [email protected]
