PDPA คืออะไร? ทำความเข้าใจพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลฉบับใหม่ของไทย
ในยุคที่ข้อมูลกลายเป็นทรัพยากรที่มีมูลค่าสูงสุด “ความเป็นส่วนตัว” จึงกลายเป็นสิ่งที่หลายคนให้ความสำคัญมากขึ้น โดยเฉพาะเมื่อธุรกิจและองค์กรต่าง ๆ มีการเก็บข้อมูลของลูกค้า ผู้ใช้งาน และพนักงานมากมาย การมี “กฎหมายคุ้มครองข้อมูลส่วนบุคคล” จึงเป็นสิ่งจำเป็น และในประเทศไทย เราเรียกกฎหมายนี้ว่า PDPA
บทความนี้จะพาคุณไปทำความรู้จักว่า PDPA คืออะไร มีผลกระทบต่อธุรกิจอย่างไร ใครต้องปฏิบัติตาม และจะเตรียมพร้อมอย่างไรให้ถูกต้องตามกฎหมาย
หัวข้อ
PDPA คืออะไร
PDPA ย่อมาจาก Personal Data Protection Act หรือชื่อเต็มว่า พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นกฎหมายที่มีเป้าหมายในการคุ้มครองข้อมูลส่วนบุคคลของเจ้าของข้อมูล (Data Subject) ไม่ให้ถูกนำไปใช้โดยไม่ได้รับความยินยอม หรือถูกละเมิดสิทธิ์ในทางที่ไม่เหมาะสม
กฎหมาย PDPA มีผลบังคับใช้เต็มรูปแบบในวันที่ 1 มิถุนายน 2565 โดยครอบคลุมการเก็บ ใช้ เปิดเผย โอน และลบข้อมูลส่วนบุคคลอย่างเป็นระบบ และกำหนดหน้าที่ให้กับ “ผู้ควบคุมข้อมูล” และ “ผู้ประมวลผลข้อมูล” อย่างชัดเจน
ข้อมูลส่วนบุคคลคืออะไร
ข้อมูลส่วนบุคคล หมายถึง ข้อมูลที่สามารถระบุตัวบุคคลได้โดยตรงหรือโดยอ้อม เช่น
- ชื่อ-นามสกุล
- หมายเลขบัตรประชาชน
- เบอร์โทรศัพท์
- ที่อยู่
- รูปถ่าย
- ที่อยู่อีเมล
- IP Address
- พิกัด GPS
- ข้อมูลชีวภาพ (Biometric)
นอกจากนี้ ยังมี ข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Personal Data) เช่น ความเชื่อทางศาสนา เชื้อชาติ ประวัติอาชญากรรม ข้อมูลสุขภาพ ฯลฯ ซึ่งกฎหมายกำหนดให้มีการดูแลเข้มงวดเป็นพิเศษ
วัตถุประสงค์หลักของ PDPA
- คุ้มครองสิทธิความเป็นส่วนตัวของเจ้าของข้อมูล
- สร้างความโปร่งใสในการเก็บและใช้ข้อมูล
- ป้องกันการละเมิดหรือใช้ข้อมูลส่วนบุคคลในทางที่ผิด
- สร้างมาตรฐานในการจัดการข้อมูลที่สอดคล้องกับกฎหมายสากล เช่น GDPR
ใครที่ต้องปฏิบัติตาม PDPA
PDPA มีผลบังคับใช้กับ บุคคลธรรมดาและนิติบุคคล ที่อยู่ในประเทศไทย หรือแม้อยู่ต่างประเทศแต่มีการเก็บ ใช้ หรือเปิดเผยข้อมูลของบุคคลในประเทศไทย เช่น
- ธุรกิจออนไลน์ / เว็บไซต์ / แอปพลิเคชัน
- บริษัท / องค์กร / โรงเรียน
- ร้านค้าออนไลน์ / e-Commerce
- หน่วยงานภาครัฐและเอกชน
- ฟรีแลนซ์ / นักพัฒนาเว็บไซต์
สิทธิของเจ้าของข้อมูลตาม PDPA
- สิทธิในการเข้าถึงข้อมูล (Right to Access)
- สิทธิในการขอแก้ไขข้อมูล (Right to Rectification)
- สิทธิในการขอลบข้อมูล (Right to Erasure)
- สิทธิในการเพิกถอนความยินยอม (Right to Withdraw Consent)
- สิทธิในการโอนย้ายข้อมูล (Right to Data Portability)
- สิทธิในการคัดค้านการประมวลผล (Right to Object)
ธุรกิจต้องเตรียมตัวอย่างไรให้พร้อมกับ PDPA
1. ทำแบบฟอร์มขอความยินยอม (Consent Form)
เช่น ในหน้าเว็บไซต์ สมัครสมาชิก กรอกแบบฟอร์ม หรือซื้อสินค้า
2. จัดทำนโยบายความเป็นส่วนตัว (Privacy Policy)
อธิบายอย่างชัดเจนว่าเก็บ ใช้ และจัดการข้อมูลอย่างไร
3. ตรวจสอบการจัดเก็บข้อมูลภายในองค์กร
ว่าข้อมูลใดบ้างที่เข้าข่ายข้อมูลส่วนบุคคล และจัดการให้เหมาะสม
4. แต่งตั้ง DPO (Data Protection Officer)
ในกรณีที่มีการประมวลผลข้อมูลจำนวนมากหรือละเอียดอ่อน
5. อบรมพนักงานให้เข้าใจ PDPA
เพื่อป้องกันความผิดพลาดจากการละเมิดข้อมูลโดยไม่ได้ตั้งใจ
ผลกระทบหากไม่ปฏิบัติตาม PDPA
การละเมิด PDPA อาจมีบทลงโทษที่ชัดเจน ทั้งในรูปแบบ
- โทษทางแพ่ง – ชดใช้ค่าเสียหายให้เจ้าของข้อมูล
- โทษทางอาญา – จำคุกสูงสุด 1 ปี ปรับสูงสุด 1 ล้านบาท
- โทษทางปกครอง – ปรับสูงสุด 5 ล้านบาท
PDPA กับเว็บไซต์และการตลาดออนไลน์
- ต้องมี แถบแจ้งเตือนคุกกี้ (Cookie Consent Banner)
- ต้องแจ้ง การใช้ข้อมูลสำหรับโฆษณา / Remarketing
- ห้ามเก็บข้อมูลเกินความจำเป็น หรือเก็บโดยไม่มีเหตุผลที่ชัดเจน
- ต้องเปิดโอกาสให้ผู้ใช้ “ขอถอนความยินยอม” ได้ตลอดเวลา
สรุป
PDPA คือกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่ทุกธุรกิจในประเทศไทยต้องเข้าใจและปฏิบัติตามอย่างเคร่งครัด โดยเฉพาะในยุคที่ข้อมูลกลายเป็นทรัพย์สินสำคัญ กฎหมายนี้จึงไม่ได้เป็นเพียงแค่ “ข้อบังคับ” แต่เป็นมาตรฐานใหม่ของความโปร่งใสและการเคารพสิทธิส่วนบุคคลที่ทุกองค์กรควรให้ความสำคัญ
การเตรียมพร้อมเรื่อง PDPA อย่างถูกต้อง จะช่วยสร้างความน่าเชื่อถือให้กับธุรกิจ และลดความเสี่ยงทางกฎหมายได้อย่างมีประสิทธิภาพ
