"PDPA" เริ่มใช้ 1 มิ.ย. 65 "ธุรกิจ" ต้องจัดการ "ข้อมูลลูกค้า" อย่างไร ?
"ธุรกิจ" ต้องรู้! หลังเริ่มใช้ "PDPA" หรือ "พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562" วันที่ 1 มิ.ย. 65 จะต้องจัดเก็บ ใช้ หรือเปิดเผย "ข้อมูลส่วนบุคคล" อย่างไรให้ไม่กระทบ "สิทธิของลูกค้า" พร้อมบทลงโทษกรณีไม่ปฏิบัติตามกฎหมายดังกล่าว
1 มิ.ย. 65 เริ่มใช้ "PDPA" หรือ "พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562" ซึ่งจะเป็นจุดเริ่มต้นสำคัญที่ผู้ประกอบ "ธุรกิจ" ต้องให้ความสำคัญกับการบริหารจัดการ "ข้อมูลส่วนบุคคล" ของ "ลูกค้า" อย่างรอบคอบ ไม่ว่าจะเป็นกระบวนการรวบรวม จัดเก็บ ใช้ หรือเปิดเผยข้อมูล เพื่อไม่ให้กระทบต่อสิทธิส่วนบุคคลของลูกค้าตามกฎหมายฉบับนี้
"กรุงเทพธุรกิจออนไลน์" สรุปหลักเกณฑ์เบื้องต้นของ "กฎหมาย PDPA" ที่ธุรกิจต้องทำความเข้าใจ และรับผิดชอบ
- PDPA คืออะไร ?
PDPA (Personal Data Protection Act) หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 มีขึ้นเพื่อให้เอกชนและรัฐที่เก็บรวบรวม ใช้ เปิดเผย และ/หรือ โอนข้อมูลส่วนบุคคลในราชอาณาจักรไทย ให้เป็นไปตามมาตรการปกป้องข้อมูลของผู้อื่นจากการถูกละเมิดสิทธิส่วนตัว โดยต้องขอ "ความยินยอม" จากเจ้าของข้อมูล ก่อนการเก็บ รวบรวม ใช้ หรือเปิดเผย
และมีผลใช้บังคับ กรณีผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประเมินผลข้อมูลส่วนบุคคลที่อยู่นอกราชอาณาจักร หากมีกิจกรรม ดังนี้
- เสนอขายสินค้าหรือบริการแก่เจ้าของข้อมูลส่วนบุคคล ที่อยู่ในราชอาณาจักร ไม่ว่าจะมีการชำระเงินหรือไม่ก็ตาม
- เฝ้าติดตามพฤติกรรมของเจ้าของข้อมูลส่วนบุคคลที่เกิดขึ้นในราชอาณาจักร
ข้อมูลส่วนบุคคล ณ ที่นี้ คือข้อมูลเกี่ยวกับบุคคลที่ทำให้ระบุตัวบุคคลได้ ทั้งทางตรงและทางอ้อม เช่น เลขประจำตัวประชาชน, ชื่อ-นามสกุล, ที่อยู่, เบอร์โทรศัพท์, อีเมล, ข้อมูลทางการเงิน, เชื้อชาติ, พฤติกรรมทางเพศ, ประวัติอาชญากรรม, ข้อมูลสุขภาพ เป็นต้น
- ธุรกิจเกี่ยวข้องกับข้อมูลส่วนบุคคลอย่างไร ?
PDPA กล่าวถึงผู้ที่มีส่วนเกี่ยวข้องกับ "ข้อมูลส่วนบุคคล" ตามกฎหมายไว้ 3 กลุ่ม ได้แก่
กลุ่มแรกคือ "เจ้าของข้อมูลส่วนบุคคล"
กลุ่มที่สองคือ "ผู้ควบคุมข้อมูลส่วนบุคคล" หมายถึง บุคคลหรือนิติบุคคลที่มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวมหรือ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
กลุ่มที่สามคือ "ผู้ประมวลผลข้อมูลส่วนบุคคล" หมายถึง บุคคลหรือนิติบุคคลที่ดำเนินการเกี่ยวกับการรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล
ณ ที่นี้ ธุรกิจต่างๆ จะอยู่ฐานะของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล ซึ่งจำเป็นต้องปฏิบัติตามเงื่อนไขในการจัดการข้อมูลส่วนบุคคลของลูกค้าที่มีอยู่ให้ไม่ละเมิดสิทธิของลูกค้า และได้รับความยินยอมตามกฎหมายก่อน
- ขอความยินยอมจากเจ้าของข้อมูลหรือลูกค้า ต้องทำอย่างไร ?
- ต้องได้รับความยินยอมก่อน หรือขณะเก็บข้อมูลส่วนบุคคล
- ต้องทำโดยชัดแจ้ง เป็นหนังสือหรือทำผ่านระบบอิเล็กทรอนิกส์
- ต้องแจ้งวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
- ต้องแยกส่วน ใช้ภาษาที่อ่านง่าย และไม่เป็นการหลอกลวง
- มีความเป็นอิสระในการให้ความยินยอม
- ถอนความยินยอมเมื่อใดก็ได้ เว้นแต่มีข้อจำกัดสิทธิ
- ฝ่าฝืน PDPA มีบทลงโทษ อย่างไร ?
รับผิดทางแพ่ง
ค่าสินไหมทดแทนจากความเสียหายที่ได้รับจริง และศาลสั่งลงโทษเพิ่มขึ้นได้ไม่เกิน 2 เท่าของสินไหมทดแทน
โทษทางปกครอง
- ไม่ขอความยินยอมให้ถูกต้อง ไม่แจ้งรายละเอียดให้เจ้าของข้อมูลทราบ ไม่ให้เจ้าขอข้อมูลเข้าถึงตามสิทธิ ฯลฯ ปรับไม่เกิน 1 ล้านบาท
- เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากฐานทางกฎหมาย ปรับไม่เกิน 3 ล้านบาท
- เก็บรวบรวม ใช้ เปิดเผยหรือโอนข้อมูลส่วนบุคคลอ่อนไหว โดยไม่ชอบด้วยกฎหมาย ปรับไม่เกิน 5 ล้านบาท
โทษอาญา
- ทำให้ผู้อื่นเกิดความเสียหาย เสียชื่อเสีย ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย จำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 5 แสนบาท
- เพื่อแสวงหาประโยชน์ที่มิควรได้โดยชอบด้วยกฎหมายสำหรับตนเองหรือผู้อื่น จำคุก ไม่เกิน 1 ปี หรือปรับไม่เกิน 1 ล้านบาท
- ล่วงรู้ข้อมูลส่วนบุคคลของผู้อื่นเนื่องจากการปฏิบัติหน้าที่ ตาม พ.ร.บ. นี้ ห้ามนำไปเผยแพร่แก่ผู้อื่น (เว้นแต่มีอำนาจหน้าที่ตามกฎหมาย) จำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 5 แสนบาท
ทั้งนี้ในกรณีที่ผู้กระทำความผิด เป็นนิติบุคคล หากกรรมการผู้จัดการ หรือบุคคลที่ได้รับผิดชอบ สั่งการหรือกระทำหรือละเว้นไม่สั่งการหรือไม่กระทำ จนเป็นเหตุให้นิติบุคคลนั้นกระทำความผิด ต้องรับโทษในคดีอาญานั้นไว้ด้วย
----------------------------------------
ที่มา: สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล, ธปท.
