PDPA (Personal Data Protection Act) หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนตัว ซึ่งมีผลบังคับใช้ตั้งแต่วันที่ 27 พฤษภาคม พ.ศ. 2563 เป็นกฎหมายที่ใช้คุ้มครองข้อมูลส่วนตัว เนื่องจากปัจจุบันสังคมออนไลน์มีเหตุการณ์เกี่ยวกับการเผยแพร่ข้อมูลส่วนบุคคลโดยไม่มีการป้องกัน ทำให้ผู้คนโดนแฮคหรือนำข้อมูลเหล่านี้ไปใช้ในทางที่ผิด ซึ่งก่อให้เกิดความเสียหายต่อผู้ใช้บริการทางอินเตอร์เน็ต ซึ่งการละเมิดสิทธิ์เกี่ยวกับข้อมูลส่วนตัวมากขึ้นเรื่อยๆ และมีเหตุการณ์เหล่านี้เกิดขึ้นทุกวัน กฎหมายนี้จึงเกิดขึ้นมาเพื่อคุ้มครองการเข้าถึงข้อมูลส่วนบุคคล เพื่อให้ผู้คนมีความปลอดภัยในด้านต่างๆ ซึ่งกฎหมายนี้มีผลบังคับใช้ทั้งภาครัฐและภาคเอกชน

ข้อมูลส่วนบุคคลภายใต้การคุ้มครองของ PDPA มีอะไรบ้าง?

- ส่วนบุคคลทั่วไป

- ชื่อ-นามสกุล

- เบอร์โทรศัพท์ อีเมลส่วนตัว ที่อยู่ปัจจุบัน

- เลขบัตรประชาชน

- เลขหนังสือเดินทาง

- เลขใบอนุญาตขับขี่

- ข้อมูลทางการศึกษา

- ข้อมูลทางการเงิน

- ข้อมูลทางการแพทย์

- ทะเบียนรถยนต์

- โฉนดที่ดิน

- ทะเบียนบ้าน

- วันเดือนปีเกิด

- สัญชาติ

- น้ำหนักส่วนสูง

- ข้อมูลบนอื่น ๆ บนอินเทอร์เน็ตที่สามารถระบุตัวตนได้ เช่น Username /password,  Cookies IP address,  GPS Location

 นอกจากนี้ยังต้องระวังการใช้ข้อมูลที่มีความอ่อนไหว (Sensitive Personal Data) มากเป็นพิเศษ เพราะเป็นข้อมูลที่อาจส่งผลกระทบต่อเจ้าของข้อมูล

ข้อมูลส่วนบุคคลที่มีความอ่อนไหว 

- เชื้อชาติ เผ่าพันธุ์

- ความคิดเห็นทางการเมือง

- ความเชื่อในลัทธิ ศาสนาหรือปรัชญา

- พฤติกรรมทางเพศ

- ประวัติอาชญากรรม

- ข้อมูลด้านสุขภาพ ความพิการ เช่น โรคประจำตัว การฉีดวัคซีน ใบรับรองแพทย์

- ข้อมูลสหภาพแรงงาน

- ข้อมูลพันธุกรรม

- ข้อมูลชีวภาพ เช่น ลายนิ้วมือ แบบจำลองใบหน้า ข้อมูลม่านตา

ใครเป็นใครภายใต้ PDPA

- เจ้าของข้อมูลส่วนบุคคล (Data Subject)

- ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือคน บริษัทหรือองค์กรต่าง ๆ  ที่เป็นคนตัดสินใจว่า จะมีการประมวลผลข้อมูลส่วนบุคคลอะไร เพื่ออะไร  ภายใต้ PDPA ผู้ควบคุมข้อมูลส่วนบุคคลเป็นผู้มีหน้าที่และความรับผิดหลักที่ต้องปฏิบัติตาม PDPA ให้ครบถ้วน 

- ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ คน บริษัทหรือองค์กรต่าง ๆ ที่ประมวลผลข้อมูลส่วนบุคคล โดยจะทำภายใต้คำสั่ง หรือในนามของ ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) เท่านั้น ไม่ได้เป็นคนตัดสินใจทำการประมวลผลข้อมูลด้วยตัวเอง 

โทษทางปกครอง

โทษทางปกครอง จะแบ่งออกเป็น 3 ส่วน คือ โทษของผู้ควบคุมข้อมูล, โทษของผู้ประมวลผลข้อมูล และโทษทางปกครองอื่นๆ

3.1 โทษของผู้ควบคุมข้อมูล

การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากฐานทางกฎหมาย

การไม่ขอความยินยอมให้ถูกต้องตามกฎหมายหรือไม่แจ้งผลกระทบจากการถอน ความยินยอม

การเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลผิดไปจากวัตถุประสงค์ที่ได้แจ้งไว้โดยไม่ได้แจ้งวัตถุประสงค์ใหม่หรือมีกฎหมายให้ทำได้

การเก็บรวบรวมข้อมูลเกินไปกว่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล

การเก็บข้อมูลจากแหล่งอื่นที่ไม่ใช่เจ้าของข้อมูลโดยตรงที่ต้องห้ามตามกฎหมาย

การขอความยินยอมที่เป็นการหลอกลวงหรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์

การเก็บรวบรวม ใช้ หรือเปิดเผย การโอนข้อมูลอ่อนไหวโดยไม่ชอบด้วยกฎหมาย

การไม่แจ้งเจ้าของข้อมูลทั้งในกรณีเก็บข้อมูลจากเจ้าของข้อมูลโดยตรงหรือโดยอ้อม

การไม่ให้เจ้าของข้อมูลเข้าถึงข้อมูลตามสิทธิ

การไม่ดำเนินการตามสิทธิคัดค้านของเจ้าของข้อมูล

การไม่จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล

การไม่จัดให้มีการสนับสนุนการปฏิบัติหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วน บุคคลอย่างเพียงพอ

การโอนข้อมูลส่วนบุคคลไปยังต่างประเทศโดยไม่ชอบด้วยกฎหมาย

การไม่จัดให้มีมาตรการในการรักษาความมั่นคงปลอดภัยที่เหมาะสม การไม่จัดให้ มีระบบตรวจสอบเพื่อลบทำลายข้อมูลหรือไม่ปฏิบัติสิทธิในการลบเมื่อถอนความ ยินยอมหรือตามสิทธิในการขอลบข้อมูล

3.2 โทษของผู้ประมวลผลข้อมูล

การไม่จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือการไม่สนับสนุนการปฏิบัติหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลอย่างเพียงพอ

การไม่ปฏิบัติตามคำสั่งของผู้ควบคุมข้อมูล การไม่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม การไม่จัดทำบันทึกรายการกิจกรรมการประมวลผล

การโอนข้อมูลไปต่างประเทศโดยไม่ชอบด้วยกฎหมาย

การไม่ตั้งตัวแทนในราชอาณาจักรในกรณีที่กฎหมายกำหนด

การโอนข้อมูลอ่อนไหวไปต่างประเทศโดยไม่ชอบด้วยกฎหมาย

3.3 โทษทางปกครองอื่น ๆ

ตัวแทนของผู้ควบคุมข้อมูลหรือผู้ประมวลผลข้อมูล ไม่จัดให้มีบันทึกรายการประมวลผลข้อมูล

ไม่ปฏิบัติตามคำสั่งคณะกรรมผู้เชี่ยวชาญ หรือไม่มาชี้แจงข้อเท็จจริง หรือไม่ส่งข้อมูลให้คณะกรรมการผู้เชี่ยวชาญ

โทษทางปกครองปรับสูงสุดไม่เกิน 5,000,000 บาท