BKC PDPA

PDPA

PDPA (Personal Data Protection Act) พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

Learn more »

บริษัท บางกอก โคมัตสุ จำกัด

ให้ความสำคัญในการเคารพสิทธิความเป็นส่วนตัว
และมุ่งมั่นเป็นอย่างยิ่งที่จะคุ้มครองข้อมูลส่วนบุคคลของทุกท่าน ในการดำเนินธุระกิจร่วมกับเรา
ภายใต้ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

PDPA คืออะไร?

หลายคนอาจจะเคยได้ยินเกี่ยวกับข้อมูลส่วนบุคคล แต่ยังไม่รู้ว่า PDPA คืออะไร?

กฎหมาย PDPA (Personal Data Protection Act) เป็นพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ซึ่งถูกกำหนดขึ้นเพื่อใช้ในการคุ้มครองข้อมูลส่วนบุคคล ไม่ให้ถูกจัดเก็บหรือนำไปใช้โดยไม่ได้แจ้งให้เราทราบ และ/หรือได้รับความยินยอมจากเราในฐานะเจ้าของข้อมูลก่อน

ในปัจจุบันบริษัทหรือนักการตลาดอาจได้รับหรือเข้าถึงข้อมูลส่วนบุคคล (Personal Data) ของลูกค้าหรือผู้ใช้งานได้หลากหลายช่องทาง ไม่ว่าจะเป็นการเก็บข้อมูลส่วนบุคคลจากการสมัครสมาชิกบนเว็บไซต์ การทำธุรกรรมผ่าน Mobile-Banking การขอเข้าถึงตำแหน่งที่ตั้งและ GPS บนมือถือ หรือแม้แต่การเก็บคุกกี้จากการใช้บริการเว็บไซต์ต่าง ๆ

ด้วยเหตุนี้ จึงได้มีการสร้างกฎหมาย PDPA (Personal Data Protection Act: PDPA) หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เพื่อให้บริษัท พนักงาน หรือผู้ที่เกี่ยวข้องตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลให้มีความปลอดภัยมากขึ้น ซึ่งถ้าบริษัทเก็บรวบรวมข้อมูลทันที โดยไม่ได้มีการชี้แจงรายละเอียดเกี่ยวกับการเก็บข้อมูลส่วนบุคคลของลูกค้าหรือผู้ใช้งาน และ/หรือรวมถึงไม่ได้มีการขอความยินยอมก่อนสำหรับการประมวลผลข้อมูลส่วนบุคคลที่ต้องมีการขอความยินยอม จะกลายเป็นการกรณีที่บริษัทไม่ปฏิบัติให้ถูกต้องตาม PDPA และอาจมีความผิดได้


ข้อมูลส่วนบุคคลที่อยู่ภายใต้การคุ้มครองของ

PDPA มีอะไรบ้าง?

เมื่อเราเข้าใจว่า PDPA คืออะไร? ทีนี้เราก็มารู้จักกับความหมายและประเภทของข้อมูลส่วนบุคคลกัน ข้อมูลส่วนบุคคล (Personal Data) เป็นข้อมูลที่สามารถใช้เพื่อระบุตัวตนของเจ้าของข้อมูลที่เป็นบุคคลธรรมดาคนๆนึงได้ ไม่ว่าทางตรงและทางอ้อม ตัวอย่างข้อมูล

ส่วนบุคคลทั่วไป

ชื่อ-นามสกุล

เบอร์โทรศัพท์ อีเมลส่วนตัว ที่อยู่ปัจจุบัน

เลขบัตรประชาชน เลขหนังสือเดินทาง เลขใบอนุญาตขับขี่

ข้อมูลทางการศึกษา ข้อมูลทางการเงิน ข้อมูลทางการแพทย์

ทะเบียนรถยนต์ โฉนดที่ดิน ทะเบียนบ้าน

วันเดือนปีเกิด สัญชาติ น้ำหนักส่วนสูง

ข้อมูลบนอื่น ๆ บนอินเทอร์เน็ตที่สามารถระบุตัวตนได้ เช่น Username /password, Cookies IP address, GPS Location

ถ้าข้อมูลไหนที่ไม่สามารถระบุตัวตนของเจ้าของข้อมูลได้ เช่น ข้อมูลบริษัท จะไม่ถือว่า เป็นไม่ใช่ข้อมูลส่วนบุคคล และไม่อยู่ภายใต้บังคับตาม​ PDPA เลย

นอกจากเราจะต้องรู้จักกับข้อมูลส่วนบุคคลทั่วไปแล้ว เรายังต้องรู้จักและระมัดระวังการใช้ข้อมูลที่มีความอ่อนไหว (Sensitive Personal Data) มากเป็นพิเศษ เพราะเป็นข้อมูลที่มีความละเอียดอ่อนและอาจส่งผลกระทบต่อเจ้าของข้อมูล ทั้งในแง่ของการทำงาน สังคม และชีวิตความเป็นอยู่ โดยเฉพาะอาจนำไปสู่การเลือกปฏิบัติได้ PDPA จึงกำหนดโทษที่หนักขึ้นหากใช้ข้อมูลนั้นไม่ถูกต้อง ซึ่งอาจรวมถึงโทษอาญา ที่กรรมการต้องติดคุก

ข้อมูลส่วนบุคคลที่มีความอ่อนไหว คือข้อมูลดังต่อไปนี้

เชื้อชาติ เผ่าพันธุ์

ความคิดเห็นทางการเมือง

ความเชื่อในลัทธิ ศาสนาหรือปรัชญา

พฤติกรรมทางเพศ

ประวัติอาชญากรรม

ข้อมูลด้านสุขภาพ ความพิการ เช่น โรคประจำตัว การฉีดวัคซีน ใบรับรองแพทย์

ข้อมูลสหภาพแรงงาน

ข้อมูลพันธุกรรม

ข้อมูลชีวภาพ เช่น ลายนิ้วมือ แบบจำลองใบหน้า ข้อมูลม่านตา


ใครเป็นใครภายใต้ PDPA บ้าง?

หลังจากรู้จักกับประเภทของข้อมูลส่วนบุคคลที่เรารวบรวมมาให้แล้ว เราก็มาทำความรู้จักกับผู้ที่หน้าที่เกี่ยวข้องกับข้อมูลส่วนบุคคลตามกฎหมาย PDPA กันบ้าง

1. เจ้าของข้อมูลส่วนบุคคล (Data Subject)

เจ้าของข้อมูลส่วนบุคคล หรือ Data Subject ก็คือคนที่ข้อมูลส่วนบุคคลชุดนั้นๆ จะชี้มาที่ตัวตนของบุคคลนั้นได้ ซึ่งก็คือตัวเรานั่นเอง ภายใต้ PDPA เจ้าของข้อมูลเป็นผู้ได้รับการปกป้องคุ้มครองและมีสิทธิต่าง ๆ เหนือข้อมูลส่วนบุคคลของตน

2. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)

ผู้ควบคุมข้อมูลส่วนบุคคล หรือ Data Controller คือคน บริษัทหรือองค์กรต่าง ๆ ที่เป็นคนตัดสินใจว่า จะมีการประมวลผลข้อมูลส่วนบุคคลอะไร เพื่ออะไร อย่างไร ภายใต้ PDPA ผู้ควบคุมข้อมูลส่วนบุคคลเป็นผู้มีหน้าที่และความรับผิดหลักที่ต้องปฏิบัติตาม PDPA ให้ครบถ้วน พ่อค้าแม่ค้าออนไลน์ที่รับข้อมูลจัดส่งสินค้าของลูกค้าที่ CF ของมาเพื่อติดต่อส่งของก็เป็น Data Controller ได้ และบริษัททุกบริษัททันทีที่มีพนักงานคนแรก ที่ต้องใช้ข้อมูลเพื่อจ่ายเงินเดือนก็เป็น Data Controller แล้วทั้งสิ้น

3. ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)

ผู้ประมวลผลข้อมูลส่วนบุคคล หรือ Data Processor คือ คน บริษัทหรือองค์กรต่าง ๆ ที่ประมวลผลข้อมูลส่วนบุคคล โดยจะทำภายใต้คำสั่ง หรือในนามของ ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) เท่านั้น ไม่ได้เป็นคนตัดสินใจทำการประมวลผลข้อมูลด้วยตัวเอง ตัวอย่างเช่น พี่ๆ messenger ที่ใช้ข้อมูลส่วนบุคคลของคนที่เราต้องการส่ง ของให้เพื่อเอาของไปส่งแทนเรา กรณีนี้พี่ๆ ก็เป็น Data Processor หรือกรณีบริษัทใช้ ระบบ Cloud Service ซึ่งผู้ให้บริการจะเก็บข้อมูลแทนบริษัท ผู้ให้บริการ Cloud ก็เป็น Data Processor


โทษหากไม่ปฎิบัติตาม PDPA

โทษของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) สามารถแบ่งเป็น 3 ประเภท ดังนี้

โทษทางอาญา: จำคุกสูงสุดไม่เกิน 6 เดือนถึง 1 ปี หรือปรับสูงสุดไม่เกิน 500,000 ถึง 1 ล้านบาท หรือทั้งจำทั้งปรับ

โทษทางแพ่ง: ค่าสินไหมทดแทน + ค่าสินไหมเพื่อการลงโทษอีกไม่เกิน 2 เท่า

โทษทางปกครอง: ปรับไม่เกิน 1/3/5 ล้านบาท

PDPA กำหนดหน้าที่ให้ผู้ที่นำข้อมูลส่วนบุคคลของบุคคลอื่นไปใช้ ต้องแจ้ง Privacy Policy แก่เจ้าของข้อมูลส่วนบุคคลทราบ หากถึงวันที่ 1 มิ.ย. 2565 แล้วคุณยังไม่ได้จัดทำ Privacy Policy หรือทำไม่ถูกต้องตามกฎหมาย เจ้าของข้อมูลส่วนบุคคลสามารถไปร้องเรียนต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และคุณอาจได้รับโทษทางปกครองได้

ถึงแม้ PDPA จะยังไม่มีผลบังคับใช้ในทันทีแต่การเริ่มทำไว้ตั้งแต่เนิ่นๆ ก็จะส่งผลดีต่อธุรกิจของคุณ เพราะการเก็บข้อมูลส่วนบุคคล ไม่ว่าจะก่อนหรือหลังพ.ร.บ. บังคับใช้ ต้องมีการแจ้ง Privacy Policy อยู่ดี ถ้าคุณไม่เตรียมตัวตั้งแต่ตอนนี้ อาจไม่ทันการและมีความเสี่ยงภายใต้ PDPA ได้ นอกจากนี้ยังช่วยให้คุณได้ทดลองระบบต่างๆ ในการเก็บข้อมูลส่วนบุคคล เพื่อปรับระบบให้สอดรับกับ PDPA ด้วย


ที่มา : easyPDPA