PDPA คืออะไร ? PDPA หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล มีประโยชน์กับเราอย่างไร ?

PDPA คืออะไร ? PDPA หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล มีประโยชน์กับเราอย่างไร ?

ช่วงนี้หลายๆ คนอาจเคยเห็นคำว่า พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือถ้าเป็นภาษาอังกฤษก็คือ PDPA (Personal Data Protection Act) หรือ ผ่านตากันมาบ้างแต่ยังไม่ทราบถึงรายละเอียดที่แน่ชัดแม้ว่าจะเริ่มเข้าใกล้เดดไลน์การบังคับใช้แล้วก็ตาม

แรกเริ่มเดิมทีทางรัฐบาลไทยได้ประกาศว่าจะมีผลบังคับใช้ใน วันที่ 27 พฤษภาคม พ.ศ. 2563 (ค.ศ. 2020) แต่เนื่องจากสถานการณ์การระบาดของไวรัส COVID-19 จึงตัดสินใจ เลื่อนการบังคับใช้ไปอีก 1 ปี เพื่อให้ทุกภาคส่วนได้ เตรียมความพร้อม ทั้งในด้านการร่างกฎข้อบังคับให้สอดคล้องกับพ.ร.บ.ฉบับนี้ และการจัดฝึกอบรมบุคลากรให้มีความรู้ความเข้าใจเกี่ยวกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) ได้อย่างชัดเจน

ภาพจาก : https://www.kennelandpaddock.com/news/data-protection-update/

พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) คืออะไร ?
(What is Personal Data Protection Act ?)

PDPA (Personal Data Protection Act) หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล โดยพ.ร.บ.ฉบับนี้นั้นบัญญัติขึ้นมาเพื่อ คุ้มครองสิทธิส่วนบุคคลของประชาชนในด้านความปลอดภัยของข้อมูลส่วนบุคคลต่างๆ ซึ่งหากมีผู้นำเอาข้อมูลส่วนบุคคลเหล่านี้ไปใช้งานโดยที่เจ้าของข้อมูลไม่ได้ให้ความยินยอมก็จะสามารถร้องเรียนเพื่อดำเนินการทางกฎหมายกับบุคคลหรือนิติบุคคลทั้งภาครัฐและเอกชนที่มีการนำเอาข้อมูลนั้นๆ ไปใช้งานโดยพลการได้ ซึ่งหากผู้กระทำผิดเป็นนิติบุคคล (บริษัท มูลนิธิ สมาคม องค์กร หรือหน่วยงานรัฐ) ผู้รับผิดชอบการดำเนินงานของนิติบุคคลนั้นๆ ก็จะต้องรับผิดร่วมด้วย

โดยการกระทำที่สามารถเอาผิดได้นั้นมีตั้งแต่การเก็บรวบรวม ใช้งาน ดัดแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาตจากเจ้าของข้อมูล, การหลอกลวงข้อมูล, การใช้ข้อมูลผิดไปจากวัตถุประสงค์ที่แจ้งไว้ก่อนหน้า, การปิดบังการเข้าถึงข้อมูลจากเจ้าของข้อมูล รวมทั้งความประมาทในการจัดเก็บข้อมูลและการโอนย้ายข้อมูลโดยไม่ชอบด้วยกฎหมาย เป็นต้น

สำหรับบทลงโทษตามกฎหมายของบุคคลหรือนิติบุคคลนั้นจะแบ่งออกได้เป็น 3 ประเภท ได้แก่

1. ความรับผิดทางแพ่ง ผู้กระทำผิดจะต้องชำระค่าสินไหมทดแทนตามจริง (ค่าเสียหาย) และค่าสินไหมทดแทนเพื่อการลงโทษ (สูงสุด 2 เท่าของค่าเสียหายตามจริง) ให้กับผู้เสียหาย
2. โทษทางอาญา ต้องระวางโทษจำคุกสูงสุด 1 ปี, ปรับสูงสุด 1 ล้านบาท หรือทั้งจำทั้งปรับ
3. โทษทางปกครอง ต้องโทษชำระค่าปรับสูงสุดไม่เกิน 5 ล้านบาท

ข้อมูลส่วนบุคคล คืออะไร ?
(What is Personal Data ?)

สำหรับความหมายของคำว่า “ข้อมูลส่วนบุคคล” นั้นหมายถึง ข้อมูลที่สามารถระบุไปถึงตัวเจ้าของข้อมูล ได้ทั้งทางตรงและทางอ้อม โดยจะครอบคลุมทั้งข้อมูลที่เป็นลายลักษณ์อักษรและไม่เป็นลายลักษณ์อักษร รวมไปถึงข้อมูลบนแพลทฟอร์มออนไลน์ต่างๆ และข้อมูลที่สามารถนำเอาไปประกอบกับข้อมูลอื่นที่สาวไปหาตัวบุคคลได้ร่วมด้วย แต่ความคุ้มครองนี้จะครอบคลุมเฉพาะ “บุคคลธรรมดาที่ยังมีชีวิตอยู่” เพียงเท่านั้น และไม่รวมถึงนิติบุคคลอย่างบริษัท, มูลนิธิ, สมาคม หรือองค์กรรูปแบบอื่นๆ

ตัวอย่างข้อมูลส่วนบุคคล ได้แก่ ชื่อ-สกุล, หมายเลขรหัสประจำตัวที่ระบุไปถึงตัวตนของบุคคลนั้นๆ ได้, ข้อมูลที่อยู่, เบอร์โทรศัพท์, ข้อมูลบนอุปกรณ์อิเล็กทรอนิกส์, ข้อมูล Biometric, ข้อมูลระบุทรัพย์สิน และข้อมูลอื่นๆ ที่สามารถเชื่อมโยงไปยังข้อมูลข้างต้นได้

ภาพจาก : https://www.law.chula.ac.th/wp-content/uploads/2019/10/TDPG2.0-C5-20191009.pdf

นอกจากนี้ PDPA ยังครอบคลุมไปถึงข้อมูลส่วนบุคคลที่เป็น ข้อมูลอ่อนไหว (Sensitive Information) ที่มีความละเอียดอ่อนและสุ่มเสี่ยงต่อการถูกเลือกปฏิบัติอย่างไม่เป็นธรรมจำพวกข้อมูลในเรื่องของเชื้อชาติ, เผ่าพันธุ์, ความเชื่อทางศาสนา, ความคิดเห็นทางการเมือง, พฤติกรรมทางเพศ, ประวัติอาชญากรรม, ข้อมูลด้านสุขภาพ, พันธุกรรม และข้อมูลสหภาพแรงงาน เป็นต้น

แต่ขอบเขตของ PDPA นี้จะ ไม่ครอบคลุม ถึงข้อมูลที่เป็นข้อมูลนิรนาม (Anonymus Data) หรือข้อมูลที่ผ่านกระบวนการจัดทำข้อมูลให้เป็นนิรนาม (Anonymization) จนไม่สามารถระบุไปถึงตัวตนของบุคคลนั้นๆ ได้และข้อมูลแฝง (Pseudonymous Data) ที่ผ่านกระบวนการแฝงข้อมูล (Pseudonymization) จนไม่สามารถที่จะเชื่อมโยงข้อมูลไปถึงตัวบุคคลได้

ภาพจาก : https://piwik.pro/blog/benefits-data-pseudonymization-anonymization-gdpr/

อย่างไรก็ตาม การคุ้มครองข้อมูลส่วนบุคคลนี้ก็มี ข้อยกเว้น ในบางกรณีที่สามารถใช้งานข้อมูลได้โดยไม่ต้องได้รับการยินยอมจากเจ้าของข้อมูล ดังนี้

• การเข้าถึงข้อมูลเพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของเจ้าของข้อมูลในสภาวะที่ไม่สามารถให้ความยินยอมได้
• การเก็บรวบรวมข้อมูลเพื่อประโยชน์ส่วนตนของบุคคลและครอบครัวของบุคคลนั้นๆ โดยต้องไม่ละเมิดสิทธิเสรีภาพของเจ้าของข้อมูล
• การดำเนินกิจกรรมโดยชอบด้วยกฎหมายที่มีการดำเนินการโดยองค์กรไม่แสวงหากำไร และการดำเนินงานนั้นๆ เป็นประโยชน์ต่อตัวเจ้าของข้อมูล เช่น การตามหาบุคคลสูญหายของมูลนิธิต่างๆ หรือการเปิดเผยข้อมูลของเด็กกำพร้าให้กับผู้ที่สนใจรับอุปการะเด็ก เป็นต้น
• การเก็บรวบรวม, จัดทำ หรือเผยแพร่ข้อมูลที่ก่อให้เกิดประโยชน์แก่สาธารณะ เช่น ข้อมูลเอกสารทางวิชาการ, การวิจัย, สถิติ หรืองานศิลปะและวรรณกรรมที่ก่อให้เกิดประโยชน์แก่คนส่วนมาก
• การดำเนินการจากหน่วยงานรัฐอันชอบธรรมด้วยกฎหมาย

ผลกระทบของการถูกนำเอาข้อมูลส่วนบุคคลไปใช้ 
(Personal data be used affect)

ผลกระทบทางตรง

ผลกระทบทางตรง อาจเป็นการนำเอาข้อมูลไปเผยแพร่แก่สาธารณะที่ก่อให้เกิดความอับอาย เสื่อมเสียชื่อเสียง สูญเสียทรัพย์สิน นำไปสู่อันตราย การสวมรอยข้อมูล หรือการดัดแปลงหรือแก้ไขข้อมูลจนก่อให้เกิดการเข้าใจผิด เป็นต้น

ภาพจาก : https://www.ansi.org/news_publications/news_story?menuid=7&articleid=ba00e3ba-c6fb-48e8-bbdd-c36178210088

ผลกระทบทางอ้อม

เช่น การนำเอาข้อมูลไปใช้งานผิดวัตถุประสงค์เดิมโดยไม่แจ้งแก่เจ้าของข้อมูล การเก็บรวบรวมข้อมูลเพื่อผลประโยชน์ทางการค้าในอนาคต การนำเอาข้อมูลไปเสนอขายให้กับบริษัทอื่น รวมทั้งการใช้เทคโนโลยีในการสอดส่องพฤติกรรมอันเป็นเหตุให้สูญเสียความเป็นส่วนตัวและละเมิดจริยธรรม

ประโยชน์ของ PDPA ต่อบุคคลทั่วไป
(Benefits of PDPA for individual)

ลดความเสียหายและความเดือดร้อนจากการถูกละเมิดข้อมูลส่วนบุคคล รวมทั้งช่วยในการป้องกันความปลอดภัยของข้อมูลส่วนบุคคลและเพิ่มความมั่นใจในการยินยอมให้ข้อมูลกับบุคคล ภาครัฐ หรือองค์กรเอกชนอื่นๆ ว่าข้อมูลที่ให้ไปนั้นจะถูกนำไปใช้ในขอบเขตของวัตถุประสงค์ที่ทำการแจ้งเอาไว้ในตอนแรกเท่านั้น 

เจ้าของข้อมูลมีสิทธิในการรับทราบวัตถุประสงค์ของการให้ข้อมูลก่อนทำการตัดสินใจ สามารถขอเข้าถึงและรับข้อมูลส่วนบุคคลของตนเองจากทางผู้ควบคุมข้อมูลได้ และมีสิทธิในการเพิกถอนความยินยอมในการเก็บ ใช้งาน หรือเผยแพร่ข้อมูลส่วนบุคคลของตนเองได้ทุกเมื่อ โดยผู้ควบคุมข้อมูลจำต้องยอมรับและระงับการใช้งานข้อมูลตามการความประสงค์ของเจ้าของข้อมูล

ซึ่งหากพบว่ามีผู้ที่ทำการเก็บรวบรวม ใช้งาน หรือเผยแพร่ข้อมูลส่วนบุคคลโดยไม่ได้รับการยินยอม หรือพบว่าผู้ควบคุมข้อมูลนั้นๆ มีมาตรการรักษาความปลอดภัยของข้อมูลไม่เข้มงวดมากเพียงพอ อันอาจเป็นเหตุให้ข้อมูลสูญหาย รั่วไหล หรือมีการดัดแปลงข้อมูลได้โดยง่าย เจ้าของข้อมูลเองก็สามารถยื่นเรื่องฟ้องร้องและเอาผิดทางกฎหมายได้หากมีมูลหลักฐานมากเพียงพอ

ความยินยอมของบุคคล

อย่างไรก็ตาม บุคคลทั่วไปก็ควรที่จะ ทำความเข้าใจและอ่านกฎข้อบังคับให้ถี่ถ้วนก่อนตัดสินใจ ยินยอมที่จะให้ข้อมูล และหากเป็นข้อมูลสำคัญก็อาจเก็บหลักฐานการยินยอมให้เข้าถึงข้อมูลเฉพาะตามวัตถุประสงค์ที่อนุญาตเท่านั้นร่วมด้วยเพื่อความปลอดภัยของตนเอง

กฎหมายคุ้มครองความปลอดภัยของข้อมูลส่วนบุคคลในต่างประเทศ
(Overseas PDPA laws)

แน่นอนว่าประเทศไทยไม่ได้เป็นประเทศแรกที่ริเริ่มการจัดทำ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ขึ้นมา เพราะในเรื่องของความปลอดภัยของข้อมูลส่วนบุคคลนี้ก็ได้มีการพูดถึงและตื่นตัวกันมาเป็นเวลาหลายปีแล้ว ซึ่งทาง EU (European Union) หรือสหภาพยุโรปก็ได้มีการจัดทำข้อบังคับการป้องกับข้อมูล (Data Protection Directive) มาตั้งแต่ปี 1995 แล้ว และทาง EU ก็ได้นำเอาระเบียบนี้มาปรับปรุงใหม่ก่อนจะประกาศบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคล GDPR (General Data Protection Regulation) ในเดือนพฤษภาคมของปี 2018 ที่ผ่านมานี้

ดังนั้นประเทศไทยที่มีการทำการค้ากับทวีปยุโรปจึงจำเป็นที่จะต้องพัฒนามีมาตรการคุ้มครองความปลอดภัยข้อมูลส่วนบุคคลขึ้นมาเพื่อเพิ่มความน่าเชื่อถือให้กับประเทศในการทำธุรกรรมทางการเงิน, ธุรกิจระหว่างประเทศ และการดำเนินการต่างๆ บนอินเตอร์เน็ตกับประเทศอื่นๆ ทั่วโลก โดยได้รับเอากฏข้อบังคับใน GDPR ของทาง EU มาศึกษาเพื่อทำการต่อยอดปรับปรุงการร่าง PDPA ขึ้นมาเพื่อปรับใช้ให้เข้ากับบริบทของประเทศไทย

นอกจากประเทศไทยแล้ว ในประเทศอื่นๆ ที่มีกฎหมายที่คุ้มครองความปลอดภัยข้อมูลส่วนบุคคลก็ได้มีการ ปรับปรุงมาจาก GDPR ของทาง EU เช่นกัน ด้วยเหตุนี้จึงทำให้มีความสอดคล้องกับหลักเกณฑ์ของ GDPR ไม่ว่าจะเป็นในเรื่องของความคุ้มครองสิทธิข้อมูลส่วนบุคคลของเจ้าของข้อมูล, ข้อบังคับและการปฏิบัติตามกฎข้อบังคับของภาครัฐและเอกชน แต่อาจมีความตกต่างกันในเรื่องความเข้มงวดและบทลงโทษตามที่ประเทศนั้นๆ เห็นสมควร

ภาพจาก : https://www.slideshare.net/cgarcia045/nube-cumplimiento-y-amenazas-avanzadas-consideraciones-de-seguridad-para-la-transformacin-digital

สำหรับกฎหมายคุ้มครองความปลอดภัยของข้อมูลส่วนบุคคลของประเทศสิงคโปร์และมาเลเซียเองก็ใช้ PDPA เหมือนกันกับในประเทศไทย ส่วนประเทศเกาหลีและไต้หวันจะใช้ PIPA (Personal Information Protection Act) หรือประเทศญี่ปุ่นเองก็ใช้ APPI (Act on the Protection of Personal Information) ในการคุ้มครองข้อมูลด้วย

แต่ในประเทศใหญ่อย่างสหรัฐอเมริกานั้นกลับไม่มีข้อบังคับในเรื่องนี้ออกมาเป็นสากลที่บังคับใช้ทั่วประเทศ แต่ทาง EU ก็ได้ให้การรับรองว่าความปลอดภัยของข้อมูลส่วนบุคคลในสหรัฐอเมริกานั้นอยู่ในระดับที่ดี และมีเพียงแค่รัฐ California เท่านั้นที่มีการบังคับใช้กฎหมายคุ้มครองความปลอดภัยของผู้บริโภค CCPA (California Consumer Privacy Act) อย่างเข้มงวด ซึ่งบริษัทผู้ให้บริการด้านเทคโนโลยีใหญ่ๆ หลายเจ้าที่เราคุ้นเคยกันดี เช่น Alphabet (Google), Apple, Facebook, Intel, Microsoft, Netflix, Twitter หรือบริษัทอื่นๆ เองก็มีฐานที่ตั้งของบริษัทอยู่ใน California จึงทำให้บริษัทเหล่านี้ต้องใช้มาตรการในการตุ้มครองความปลอดภัยของข้อมูลตามไปด้วย