๑. พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ — กฎหมายหลัก (PDPA)
๒. มาตรา ๖ นิยามข้อมูลส่วนบุคคลอ่อนไหว — ข้อมูลที่ต้องระวังเป็นพิเศษ
๓. มาตรา ๑๙–๒๗ ว่าด้วยฐานการประมวลผลข้อมูลทั้ง ๖ ประการ — หัวใจของ PDPA
๔. มาตรา ๓๑–๔๑ ว่าด้วยสิทธิของเจ้าของข้อมูลส่วนบุคคล — สิทธิที่ธุรกิจต้องรองรับ
๕. มาตรา ๗๘–๙๐ ว่าด้วยโทษทางปกครองและโทษทางอาญา — ผลของการฝ่าฝืน
PDPA คืออะไร และใครต้องปฏิบัติตาม?
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ หรือที่รู้จักกันในชื่อ "PDPA" (Personal Data Protection Act) มีผลบังคับใช้เต็มรูปแบบตั้งแต่วันที่ ๑ มิถุนายน ๒๕๖๕ กฎหมายนี้ใช้บังคับกับ ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) และผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ทุกราย ไม่ว่าจะเป็นบริษัท ห้างหุ้นส่วน หรือบุคคลธรรมดาที่เก็บรวบรวมหรือใช้ข้อมูลส่วนบุคคลของบุคคลอื่น
กฎหมายให้นิยามสำคัญไว้ในมาตรา ๖ ว่า
"'ข้อมูลส่วนบุคคล' หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ"
— พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ มาตรา ๖
ในทางปฏิบัติ "ข้อมูลส่วนบุคคล" ครอบคลุมสิ่งที่ธุรกิจทุกขนาดเก็บอยู่แล้วในชีวิตประจำวัน ไม่ว่าจะเป็นชื่อ-นามสกุล เบอร์โทรศัพท์ อีเมล ที่อยู่ IP address รูปภาพใบหน้า ข้อมูลทางการแพทย์ หรือแม้กระทั่งคุกกี้ที่ติดตามพฤติกรรมบนเว็บไซต์
ข้อมูลส่วนบุคคลอ่อนไหว: ต้องระวังเป็นพิเศษ
กฎหมายแบ่งข้อมูลส่วนบุคคลออกเป็นสองระดับ โดย "ข้อมูลส่วนบุคคลอ่อนไหว" (Sensitive Personal Data) ตามมาตรา ๒๖ ต้องการการคุ้มครองสูงกว่าปกติ และห้ามประมวลผลโดยปราศจากความยินยอมโดยชัดแจ้ง (Explicit Consent) เว้นแต่จะเข้าข้อยกเว้นที่กฎหมายกำหนด ข้อมูลอ่อนไหวได้แก่ เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม และข้อมูลชีวภาพ (ลายนิ้วมือ ใบหน้า)
ฐาน 6 ประการที่ต้องมีก่อนประมวลผลข้อมูล
หัวใจสำคัญที่สุดของ PDPA คือ การประมวลผลข้อมูลส่วนบุคคลทุกครั้งต้องมี "ฐานทางกฎหมาย" รองรับ กฎหมายกำหนดฐาน ๖ ประการไว้ในมาตรา ๒๔ ดังนี้
"ห้ามมิให้ผู้ควบคุมข้อมูลส่วนบุคคลเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เว้นแต่เจ้าของข้อมูลส่วนบุคคลให้ความยินยอม หรือเข้าข้อยกเว้นตามที่บัญญัติไว้ในพระราชบัญญัตินี้"
— พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ มาตรา ๑๙
ฐาน ๖ ประการที่กฎหมายอนุญาต ได้แก่
| ฐาน | เงื่อนไข | ตัวอย่างการใช้งาน |
|---|---|---|
| ๑. ความยินยอม (Consent) | เจ้าของข้อมูลยินยอมโดยสมัครใจ ชัดเจน ถอนได้ | การสมัคร Newsletter การรับโปรโมชัน |
| ๒. สัญญา (Contract) | จำเป็นต้องใช้ข้อมูลเพื่อปฏิบัติตามสัญญา | ส่งสินค้าถึงบ้าน เบิกเงินเดือนพนักงาน |
| ๓. หน้าที่ตามกฎหมาย (Legal Obligation) | กฎหมายกำหนดให้ต้องเก็บหรือเปิดเผย | ยื่นภาษีต่อสรรพากร ส่งข้อมูลประกันสังคม |
| ๔. ประโยชน์สำคัญต่อชีวิต (Vital Interest) | จำเป็นเพื่อป้องกันอันตรายต่อชีวิตหรือสุขภาพ | เหตุฉุกเฉินทางการแพทย์ |
| ๕. ประโยชน์สาธารณะ (Public Task) | จำเป็นเพื่อปฏิบัติภารกิจสาธารณะ | งานวิจัย สถิติสาธารณสุข |
| ๖. ประโยชน์อันชอบธรรม (Legitimate Interest) | ประโยชน์ผู้ควบคุมข้อมูลต้องไม่เกินสิทธิเจ้าของข้อมูล | ป้องกันการฉ้อโกง วิเคราะห์ข้อมูลลูกค้าเพื่อปรับปรุงบริการ |
ข้อผิดพลาดที่พบบ่อยคือธุรกิจอาศัยฐาน "ความยินยอม" เป็นฐานเดียวสำหรับทุกกิจกรรม ทั้งที่ในหลายกรณีฐาน "สัญญา" หรือ "ประโยชน์อันชอบธรรม" อาจเหมาะสมกว่า เพราะฐานความยินยอมมีข้อเสียคือเจ้าของข้อมูลสามารถถอนความยินยอมได้ทุกเมื่อ ทำให้ธุรกิจหยุดประมวลผลข้อมูลนั้นได้ทันที
สิทธิ 8 ประการของเจ้าของข้อมูลที่ธุรกิจต้องรองรับ
กฎหมาย PDPA มอบสิทธิให้แก่เจ้าของข้อมูลส่วนบุคคล ๘ ประการ ซึ่งผู้ควบคุมข้อมูลต้องมีระบบรองรับคำขอใช้สิทธิเหล่านี้ภายในระยะเวลาที่กฎหมายกำหนด (โดยทั่วไปไม่เกิน ๓๐ วัน) ได้แก่ สิทธิรับทราบ (Right to be Informed), สิทธิขอเข้าถึงข้อมูล (Right of Access), สิทธิขอแก้ไขข้อมูล (Right to Rectification), สิทธิขอลบข้อมูล (Right to Erasure), สิทธิขอระงับการใช้ข้อมูล (Right to Restriction), สิทธิขอรับข้อมูลในรูปแบบอิเล็กทรอนิกส์ (Right to Data Portability), สิทธิคัดค้านการประมวลผล (Right to Object) และสิทธิไม่ถูกตัดสินใจโดยระบบอัตโนมัติ (Right against Automated Decision-Making)
บทบาท DPO: ต้องแต่งตั้งหรือไม่?
กฎหมายกำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลบางประเภทต้องแต่งตั้ง "เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล" หรือ DPO (Data Protection Officer) ตามมาตรา ๔๑ ซึ่งได้แก่ หน่วยงานรัฐ ผู้ควบคุมข้อมูลที่ต้องเฝ้าระวังเจ้าของข้อมูลในวงกว้างเป็นประจำ หรือผู้ที่ประมวลผลข้อมูลอ่อนไหวเป็นกิจกรรมหลัก สำหรับธุรกิจขนาดกลาง-เล็กทั่วไปที่ไม่ได้อยู่ในข่ายดังกล่าว การแต่งตั้ง DPO ไม่ใช่ข้อบังคับ แต่การมีผู้รับผิดชอบด้าน PDPA ภายในองค์กรยังคงเป็นแนวปฏิบัติที่ดี
โทษทางปกครองและโทษอาญา
กฎหมาย PDPA กำหนดโทษไว้สองระดับ ซึ่งมีผลกระทบร้ายแรงต่อธุรกิจที่ฝ่าฝืน
"ผู้ควบคุมข้อมูลส่วนบุคคลผู้ใดฝ่าฝืนหรือไม่ปฏิบัติตามบทบัญญัติแห่งพระราชบัญญัตินี้ ต้องระวางโทษปรับทางปกครองไม่เกินหนึ่งล้านบาท หรือไม่เกินห้าล้านบาท แล้วแต่กรณีตามที่กำหนด"
— พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ มาตรา ๘๒–๘๖
| ประเภทโทษ | ฐานความผิด | อัตราโทษสูงสุด |
|---|---|---|
| โทษปกครอง | ไม่มี Privacy Notice / ไม่รองรับสิทธิเจ้าของข้อมูล | ๑ ล้านบาท |
| โทษปกครอง | เก็บ/ใช้/เปิดเผยข้อมูลโดยไม่มีฐานทางกฎหมาย | ๓ ล้านบาท |
| โทษปกครอง | ประมวลผลข้อมูลอ่อนไหวโดยไม่ชอบ / ส่งข้อมูลออกนอกราชอาณาจักรโดยผิดกฎ | ๕ ล้านบาท |
| โทษอาญา | เปิดเผยข้อมูลอ่อนไหวโดยมิชอบ ก่อให้เกิดความเสียหาย | จำคุก ๑ ปี / ปรับ ๑ ล้านบาท |
| โทษอาญา | เปิดเผยข้อมูลเพื่อแสวงหาประโยชน์โดยมิชอบ | จำคุก ๓ ปี / ปรับ ๓ ล้านบาท |
ขั้นตอนที่ธุรกิจต้องทำเพื่อให้สอดคล้องกับ PDPA
ธุรกิจที่ต้องการให้การดำเนินงานสอดคล้องกับ PDPA ควรเริ่มต้นด้วยการทำ Data Mapping หรือสำรวจว่าองค์กรเก็บข้อมูลส่วนบุคคลอะไรบ้าง จากแหล่งใด ใช้เพื่อวัตถุประสงค์ใด และเก็บรักษาไว้นานเพียงใด จากนั้นจัดทำ Privacy Notice หรือนโยบายความเป็นส่วนตัวที่ครอบคลุม พร้อมสร้างกระบวนการรับคำขอใช้สิทธิจากเจ้าของข้อมูล และฝึกอบรมพนักงานให้เข้าใจหน้าที่ตามกฎหมาย
- เว็บไซต์มีนโยบายความเป็นส่วนตัว (Privacy Policy) ที่ถูกต้องหรือไม่?
- แบบฟอร์มออนไลน์มีกล่อง Consent ที่ไม่ได้ติ๊กไว้ล่วงหน้าหรือไม่?
- มีกระบวนการรับเรื่องและตอบสนองคำขอเจ้าของข้อมูลภายใน ๓๐ วันหรือไม่?
- ข้อมูลพนักงาน ลูกค้า และคู่ค้ามีการจัดเก็บอย่างปลอดภัยหรือไม่?
- สัญญากับผู้ประมวลผลข้อมูลภายนอก (Cloud, HR System) มี DPA (Data Processing Agreement) หรือไม่?
ทำไมธุรกิจถึงต้องการที่ปรึกษา PDPA?
ความซับซ้อนของ PDPA ไม่ได้อยู่ที่ตัวกฎหมายเพียงอย่างเดียว แต่อยู่ที่การนำหลักการไปปรับใช้กับกิจกรรมทางธุรกิจจริงๆ ซึ่งมีความหลากหลายและเปลี่ยนแปลงตลอดเวลา เอกสยาม ชัยศร ซึ่งมีความเชี่ยวชาญทั้งในด้านกฎหมายและมีประสบการณ์ตรงจากการบริหารองค์กรธุรกิจ สามารถให้คำปรึกษาที่เข้าใจบริบทธุรกิจจริง ไม่ใช่แค่ตีความตัวอักษรของกฎหมาย โดยสามารถช่วยจัดทำ Privacy Policy, Consent Form, Data Processing Agreement และ Record of Processing Activities (RoPA) ที่ใช้งานได้จริงและสอดคล้องกับกฎหมาย
ธุรกิจของคุณพร้อมรับมือ PDPA แล้วหรือยัง?
ให้เราช่วยตรวจสอบและวางระบบ PDPA ที่เหมาะสมกับขนาดและประเภทธุรกิจของคุณ
ขอรับคำปรึกษา- PDPA ใช้บังคับกับทุกธุรกิจที่เก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ไม่ว่าขนาดใด
- การประมวลผลต้องมีฐานทางกฎหมาย ๑ ใน ๖ ประการ ไม่ใช่แค่ "ขอความยินยอม" เสมอไป
- ข้อมูลอ่อนไหว (สุขภาพ ชีวภาพ ศาสนา ฯลฯ) ต้องการมาตรการคุ้มครองที่เข้มข้นกว่า
- เจ้าของข้อมูลมีสิทธิ ๘ ประการที่ธุรกิจต้องรองรับและตอบสนองภายใน ๓๐ วัน
- โทษสูงสุดทางปกครอง ๕ ล้านบาท และโทษอาญาจำคุกไม่เกิน ๓ ปี