ข้อมูลส่วนบุคคลคืออะไร?

ข้อมูลเกี่ยวกับบุคคล ที่ทำให้สามารถระบุตัวบุคคลนั้นได้ ทั้งทางตรงหรือทางอ้อม ซึ่งรวมถึงหมายเลขประจำตัวประชาชน, หมายเลขโทรศัพท์, วันเกิด, ที่อยู่บ้าน และที่อยู่อีเมล

ตัวอย่างเช่น ในการจ่ายเงินเดือนให้กับพนักงาน จะมีข้อมูลที่ละเอียดอ่อนมากมายของพนักงาน ที่จะถูกจัดเก็บและรวบรวมไว้ ซึ่งต้องถูกเก็บไว้ที่แผนกทรัพยากรบุคคลในส่วนผู้จัดทำเงินเดือนเท่านั้น เพื่อให้แน่ใจว่าองค์กรปฏิบัติตามกฎหมายและระเบียบข้อบังคับด้านความเป็นส่วนตัวของข้อมูลที่เกี่ยวข้อง เพื่อปกป้องข้อมูลส่วนบุคคลของพนักงาน

GDPR คืออะไร?

GDPR ย่อมาจาก General Data Protection Regulation, เป็นกฎหมายของยุโรปที่ปกป้องสิทธิ์ขั้นพื้นฐานของเจ้าของข้อมูล ซึ่งข้อมูลส่วนบุคคลและข้อมูลที่ละเอียดอ่อนนั้นถูกจัดเก็บไว้ในองค์กรต่าง ๆ โดยกฎหมายนี้ยังครอบคลุมถึงการถ่ายโอนข้อมูลส่วนบุคคลนอกสหภาพยุโรป และมีผลบังคับใช้เมื่อวันที่ 25 พฤษภาคม 2018 ทำให้รัฐบาล, องค์กร และภาคประชาชนต่างตระหนักถึงความสำคัญของการจัดเก็บและรักษาข้อมูลส่วนบุคคลให้ปลอดภัย เพื่อป้องกันการใช้ข้อมูลส่วนบุคคลในกิจกรรมที่ผิดกฎหมายและป้องกันการฉ้อโกง

PDPA คืออะไร ?

PDPA (Personal Data Protection Act) คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลของประเทศไทย พ.ศ. 2562 มีการ่างกฎหมายและลงนามครั้งแรกในปี 2562 และจะมีผลเบังคับใช้เต็มรูปแบบในวันที่ 1 มิถุนายน 2565 ซึ่งจะสร้างความเปลี่ยนแปลงครั้งสำคัญ ด้านกฎระเบียบในการปกป้องข้อมูลส่วนบุคคลในประเทศไทย ทั้งนี้เพื่อให้บริษัท พนักงาน หรือบุคคลที่เกี่ยวข้องตระหนักถึงความสำคัญของการปกป้องข้อมูลส่วนบุคคล และทำให้มีความปลอดภัยมากขึ้น ทั้งนี้วัตถุประสงค์ของ PDPA คือการปกป้องผู้ใช้เว็บไซต์จากการรวบรวมและการใช้ข้อมูลส่วนบุคคลอย่างผิดกฎหมาย โดยกำหนดให้เจ้าของข้อมูลต้องทราบว่าข้อมูลใดของเราที่ถูกเก็บรวบรวม, จะมีการใช้ข้อมูลนี้อย่างไร และใครเป็นผู้ใช้ข้อมูล

ความแตกต่างระหว่าง PDPA และ GDPR ในหัวข้อต่าง ๆ ตามองค์ประกอบที่สำคัญดังนี้ 

1. ขอบเขตและความครอบคลุม

2. สิทธิส่วนบุคคล

3. คำจำกัดความที่สำคัญ

4. การบังคับใช้

ขอบเขตและความครอบคลุม

PDPA

• มีข้อยกเว้นการบังคับใช้กับการดำเนินการของหน่วยงานรัฐ ที่มีหน้าที่ดูแลความมั่นคงของรัฐ เช่น นิติวิทยาศาสตร์, ปราบปรามการฟอกเงิน, หน่วยงานที่จัดการความปลอดภัยในโลกไซเบอร์ หรือ ยกเว้นการเปิดเผยข้อมูลส่วนบุคคลเพื่อกิจการสื่อมวลชน เพื่อเป็นประโยชน์ต่อสาธารณะ เป็นต้น

GDPR

• ใช้กับผู้ควบคุมข้อมูลและผู้ประมวลผลทั้งหมด รวมถึงหน่วยงานสาธารณะ

เงื่อนไขในการใช้ข้อมูล;

PDPA

• ไม่ได้แบ่งแยกหรือระบุ เกี่ยวกับการใช้ข้อมูล ว่าใช้เป็นแบบอัตโนมัติ หรือไม่อัตโนมัติ
• อนุญาตให้ผู้บริโภคสามารถร้องขอให้ไม่เปิดเผยข้อมูล โดยไม่ได้กำหนดไว้อย่างชัดเจนว่าเป็นข้อยกเว้นจากข้อกำหนด
• ไม่ครอบคลุมถึงสภาผู้แทนราษฎร วุฒิสภา รัฐสภา และคณะกรรมการที่เกี่ยวข้องซึ่งแต่งตั้งโดยหน่วยงานต่างๆ และยกเว้นกิจกรรมที่ดำเนินการโดยบริษัทเครดิตบูโร

GDPR

• นำไปใช้การจัดการข้อมูลที่มีผู้ใช้งานด้วยวิธีการอัตโนมัติหรือไม่ใช่อัตโนมัติ หากข้อมูลดังกล่าวเป็นส่วนหนึ่งของระบบการจัดเก็บ
• ยกเว้นข้อมูลที่ไม่ระบุที่มา

สิทธิส่วนบุคคล

สิทธิ์ในการเข้าถึงข้อมูล;

PDPA

• PDPA ได้ให้สิทธิ์เจ้าของข้อมูลสามารถร้องขอเพื่อเข้าถึงข้อมูลของตนเองที่ผู้ควบคุมเก็บไว้ ซึ่งผู้ควบคุมต้องให้สิทธิ์การเข้าถึงข้อมูลจริง ๆ หรือโดยการให้สำเนาข้อมูลส่วนบุคคล และหากเจ้าของข้อมูลพบว่าข้อมูลส่วนบุคคลของตนไม่ถูกต้อง พวกเขามีสิทธิ์ร้องขอให้แก้ไขได้

GDPR

• ระบุอย่างชัดเจนว่าผู้ควบคุมข้อมูล ต้องแจ้งให้ผู้บริโภคทราบเกี่ยวกับวัตถุประสงค์ในการรวบรวมและเก็บข้อมูล, ประเภทของข้อมูลส่วนบุคคลที่จะจัดเก็บ และต้องแจ้งว่าจะเปิดเผยข้อมูลกับบุคคลที่สาม (third parties) หากมีการส่งต่อข้อมูลดังกล่าว

สิทธิ์ในการลบข้อมูล;

PDPA

• ผู้ควบคุมข้อมูลไม่ต้องระบุระยะเวลาในการเก็บข้อมูล แต่อนุญาตให้ผู้บริโภคสามารถแจ้งเวลาในการลบข้อมูลกับหน่วยงานที่เกี่ยวข้องได้
• ผู้ควบคุมข้อมูลไม่จำเป็นต้องมีการระบุหัวข้อของข้อมูลที่ถูกร้องขอให้ลบ

GDPR

• ระบุอย่างชัดเจนว่าคำขอให้ลบข้อมูลของผู้บริโภคจะต้องได้รับการแก้ไขโดยไม่ล่าช้าเกินควรและต้องลบข้อมูลภายในหนึ่งเดือนนับจากได้รับคำขอ
• ผู้ควบคุมข้อมูลต้องมีมาตรการในการตรวจสอบ การระบุตัวตนของเจ้าของข้อมูลที่ทำการร้องขอ

สิทธิในการคัดค้าน;

ทั้ง PDPA และ GDPR รับประกันสิทธิ์ของผู้ใช้ในการคัดค้านการประมวลผลข้อมูลของตน ตลอดจนความสามารถในการเพิกถอนความยินยอมในการประมวลผลได้ตลอดเวลา

PDPA 

• ไม่ได้กำหนดระยะเวลาที่จำเป็นของผู้ควบคุมข้อมูลไว้อย่างชัดเจนเพื่อจัดการกับคำขอเพื่อจำกัดการประมวลผลข้อมูลส่วนบุคคล

• PDPA ของประเทศไทยกำหนดภาระหน้าที่ให้กับผู้ควบคุมข้อมูลเพื่อให้เหตุผลในการคัดค้านคำขอย้ายข้อมูลเพื่อตรวจสอบความถูกต้องของผู้บริโภคและหน่วยงานที่มีอำนาจ

GDPR 

• ทำให้ชัดเจนว่าผู้ควบคุมข้อมูลจำเป็นต้องจัดการกับคำขอที่จำกัดการประมวลผลข้อมูลส่วนบุคคลภายใน 30 วัน

คำจำกัดความที่สำคัญ

PDPA

คือกฎหมายเกี่ยวกับความเป็นส่วนตัว ที่ไม่ระบุอย่างชัดเจนว่า IP, คุกกี้ และแท็กระบุความถี่วิทยุว่าเป็นส่วนหนึ่งของข้อมูลส่วนบุคคล

• ไม่ได้ให้คำจำกัดความของข้อมูลที่ใช้นามแฝง

• ไม่มีบทบัญญัติที่ชัดเจนเกี่ยวกับการคุ้มครองเฉพาะตัวซึ่งควรสอดคล้องกับความเป็นส่วนตัวของเด็ก เมื่อใช้เพื่อการตลาดหรือเพื่อวัตถุประสงค์ในการให้บริการทางสังคมโดยตรงกับเด็ก
• กฎหมายที่ดูแลความเป็นส่วนตัวของข้อมูลในประเทศไทยไม่มีข้อกำหนดที่ชัดเจนเกี่ยวกับการเก็บรวบรวม การใช้ หรือการแบ่งปันข้อมูลส่วนบุคคลบนพื้นฐานของการวิจัย ผู้ควบคุมข้อมูลจะถูกคาดหวังว่าพวกเขาจะต้องปกป้องข้อมูล รวมทั้งสิทธิ์ต่าง ๆ ของผู้บริโภค

GDPR 

ระบุอย่างชัดเจนว่าการแสดงตัวตนในทางดิจิทัล เช่น ที่อยู่ IP, คุกกี้, และแท็กระบุความถี่วิทยุเป็นข้อมูลส่วนบุคคล

• ระบุวิธีการจัดการข้อมูลที่ใช้นามแฝง ให้เป็นการจัดการข้อมูลส่วนบุคคลในลักษณะที่ทำให้มั่นใจว่าข้อมูลที่เป็นปัญหาไม่สามารถเชื่อมเชื่อมโยงกับข้อมูลส่วนบุคคลได้
• กฎหมายความเป็นส่วนตัวของข้อมูลของสหภาพยุโรประบุว่าเด็กเป็นบุคคลที่มีช่องโหว่ กฎหมายความเป็นส่วนตัวของข้อมูลสร้างบทบัญญัติที่เน้นที่การรับรองว่าเด็กจะได้รับการคุ้มครองเป็นพิเศษเมื่อข้อมูลของพวกเขาถูกใช้เพื่อการตลาดหรือการส่งมอบบริการทางสังคม
• การประมวลผลข้อมูลผู้ใช้เพื่อวัตถุประสงค์ในการวิจัยอยู่ภายใต้ข้อบังคับเฉพาะ เช่น สิทธิ์ในการลบข้อมูล, การลดข้อมูลให้เหลือน้อยที่สุด และการใช้นามแฝง

การบังคับใช้

PDPA

การไม่ปฏิบัติตามประเทศไทย PDPA มีโทษปรับสูงสุด 5,000,000 บาท ในบางกรณี หน่วยงานที่พบว่าละเมิดกฎความเป็นส่วนตัวของข้อมูลของประเทศไทยอาจถูกจำคุกไม่เกินหนึ่งปี

GDPR

หน่วยงานที่ละเมิด GDPR อาจถูกปรับ 2% ของรายได้ต่อปีทั่วโลกหรือ 10 ล้านยูโร แล้วแต่จำนวนใดจะสูงกว่า หรือ 4% ของมูลค่าการซื้อขายประจำปีทั่วโลกหรือ 20 ล้านยูโร แล้วแต่จำนวนใดจะสูงกว่า

ทั้งนี้หลังจากที่ประเทศไทยได้เริ่มใช้กฎหมาย PDPA ได้มีการออกกฎหมายลูกมาหลายฉบับ เพื่อผ่อนปรนการบังคับใช้ในหลายกรณี ตามที่มีการประกาศกฎหมายลูก 4 ฉบับ ในช่วงเดือนมิถุนายนที่ผ่านมาดังนี้

กฎหมายลำดับรองฉบับที่ 1

ประกาศการผ่อนปรนกำหมาย PDPA สำหรับเอสเอ็มอี-วิสาหกิจชุมชน เช่น ร้านค้าปลีกหรือบริษัท ที่มีพนักงานไม่เกิน 100 คน หรือ รายได้ไม่เกิน 300 ล้านบาท

กฎหมายลำดับรองฉบับที่ 2

ประกาศหลักเกณฑ์การจัดทำและเก็บรักษาบันทึกรายการของกิจกรรม การประมวลผลข้อมูลส่วนบุคคลสำหรับผู้ประมวลผลข้อมูลส่วนบุคคล โดยให้เวลาเตรียมการ 180 วัน

กฎหมายลำดับรองฉบับที่ 3

การประกาศมาตรการรักษาความมั่นคงปลอดภัยขั้นต่ำให้ชัดเจน สอดคล้องกับประกาศกระทรวงดิจิทัลฯ ที่ได้ใช้ในช่วง 2 ปีที่ผ่านมา

กฎหมายลำดับรองฉบับที่ 4

ประกาศการลงโทษทางปกครอง ที่คำนึงถึงเจตนา และให้มีการไกล่เกลี่ย ตักเตือน ตามระดับความร้ายแรงของการทำความผิด สำหรับกรณีไม่ร้ายแรง ให้ตักเตือนหรือสั่งให้แก้ไข สั่งห้าม หรือสั่งจำกัดการกระทำได้ สำหรับกรณีร้ายแรง (กรณีที่ส่งผลกระทบรุนแรงในวงกว้าง) หรือสั่งตักเตือนไม่เป็นผล ให้ลงโทษทางปกครองโดยการปรับ

นอกจากนี้ ยังมีกฎหมายลูกที่สำคัญอีก 4 ฉบับที่อยู่ระหว่างการพิจารณา และคาดว่าจะสามารถดำเนินการเรื่องกฎหมายลูกรวมทั้งหมด 8 ฉบับได้ เร็ว ๆ นี้

ในส่วนของนโยบาย จะมุ่งให้ผู้ที่เกี่ยวข้องมีภาระในการปฎิบัติตามกฎหมายน้อยที่สุด โดยการเริ่มบังคับใช้ในช่วงแรกของกฎหมายฉบับนี้ ไม่ควรเป็นภาระกับผู้ดูแลข้อมูลมากเกินไป จะเน้นการให้ความรู้และตักเตือน ไม่เน้นการลงโทษ

โดยสรุป PDPA คือการปกป้องข้อมูลส่วนบุคคลสาธารณะจากการใช้โดยไม่ได้รับอนุญาต ทั้งนี้เพื่อแจ้งให้เจ้าของข้อมูลทราบถึงเหตุผลในการใช้ข้อมูลส่วนบุคคลของตนและจะนำไปใช้เพื่อวัตถุประสงค์ใด เจ้าของข้อมูลจะสามารถเข้าถึงข้อมูลของตนเพื่อแก้ไขข้อมูลใด ๆ และพวกเขามีสิทธิ์ที่จะถอนหรือลบข้อมูลหากเห็นว่าจำเป็น