Line

PDPA กับการคุ้มครองข้อมูลในบริษัท: คำแนะนำจากที่ปรึกษากฎหมาย

กฎหมาย PDPA มีจุดเริ่มต้นจากแนวคิดที่สอดคล้องกับกฎหมาย GDPR (General Data Protection Regulation) ของสหภาพยุโรป ซึ่งถือเป็นต้นแบบสำคัญในด้านการคุ้มครองข้อมูลส่วนบุคคล ทั้งสองกฎหมายมุ่งเน้นไปที่การสร้างมาตรฐานเพื่อป้องกันข้อมูลส่วนบุคคลจากการถูกเข้าถึงโดยไม่ได้รับอนุญาต หรือถูกนำไปใช้ในทางที่อาจละเมิดสิทธิส่วนบุคคล เช่น การแฮ็กข้อมูลหรือการข่มขู่เพื่อเรียกร้องผลประโยชน์ไม่ว่าจะจากเจ้าของข้อมูลหรือผู้ที่มีหน้าที่ดูแลข้อมูล กฎหมาย PDPA จึงถูกพัฒนาขึ้นเพื่อตอบสนองต่อความจำเป็นในการปกป้องข้อมูลส่วนบุคคลในประเทศไทย โดยคำนึงถึงความปลอดภัยและความเป็นส่วนตัวของข้อมูลในยุคที่เทคโนโลยีมีบทบาทสำคัญในชีวิตประจำวัน

ในปัจจุบันมีการล่วงละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคลเป็นจำนวนมาก จนสร้างความเดือดร้อนรำคาญหรือความเสียหายให้แก่เจ้าของข้อมูลส่วนบุคคล ความก้าวหน้าของเทคโนโลยีทำให้การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลสามารถทำได้อย่างง่ายดายและรวดเร็ว อันอาจก่อให้เกิดความเสียหายต่องานด้านบริการ งานสาธารสุข หรืองานอุตสาหกรรมต่างๆ กล่าวคือเป็นผลกระทบด้านเศรษฐกิจโดยรวม ซึ่งทางบริษัท ทรีนีตี้แอนด์โคลีเกิ้ล จำกัด ได้เล็งเห็นความสำคัญเกี่ยวกับข้อมูลส่วนบุคคลเป็นอยากมาก จึงอยากแชร์ความรู้และความหมายของกฎหมาย PDPA  ให้ทุกคนทราบอย่างง่ายๆ ได้ใจความดังนี้

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 คืออะไร และมีความสำคัญอย่างไรในปัจจุบัน?

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) เป็นกฎหมายที่มุ่งเน้นคุ้มครองข้อมูลส่วนบุคคลของประชาชน เพื่อให้ข้อมูลดังกล่าวถูกจัดการอย่างปลอดภัยและเป็นธรรม 

ด้วยเหตุนี้ การมีกฎหมาย PDPA จึงเป็นสิ่งที่สมควรเพื่อกำหนดหลักเกณฑ์ กลไก หรือมาตรการในการกำกับดูแลเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลให้ชัดเจน เป็นหลักการทั่วไปที่องค์กรต้องปฏิบัติตามเพื่อปกป้องสิทธิของเจ้าของข้อมูล และเพื่อป้องกันการถูกนำข้อมูลไปใช้ในทางที่ไม่เหมาะสมหรือละเมิดสิทธิ

 

ตามมาตรา 6 ของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้ให้นิยามบุคคลที่เกี่ยวข้องไว้ ซึ่งประกอบไปด้วย

  • เจ้าของข้อมูลส่วนบุคคล (Data Subject): หมายถึงบุคคลที่ข้อมูลระบุถึง เช่น ลูกค้าหรือพนักงาน ข้อมูลส่วนบุคคลเหล่านี้อาจรวมถึงชื่อ-นามสกุล หมายเลขโทรศัพท์ อีเมล และข้อมูลอื่น ๆ ที่สามารถระบุตัวบุคคลได้
  • ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller): บุคคลหรือนิติบุคคลที่มีอำนาจในการตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เช่น องค์กรของรัฐหรือเอกชนที่เก็บรวบรวมข้อมูลจากลูกค้าหรือผู้ใช้บริการ
  • ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor): บุคคลหรือนิติบุคคลที่ดำเนินการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูล เช่น บริษัทที่ให้บริการ Cloud Service

เหตุใดการคุ้มครองข้อมูลส่วนบุคคลจึงเป็นเรื่องสำคัญของบริษัทเอกชน?

การคุ้มครองข้อมูลส่วนบุคคลเป็นเรื่องสำคัญสำหรับองค์กรเอกชน เนื่องจากข้อมูลส่วนบุคคลที่องค์กรเก็บรวบรวมจากลูกค้าและพนักงานถือเป็นทรัพย์สินที่มีมูลค่า การละเมิดหรือจัดการข้อมูลอย่างไม่เหมาะสม ไม่เพียงแต่ส่งผลให้เกิดปัญหาด้านกฎหมาย แต่ยังทำให้บริษัทหรือองค์กรของท่านสูญเสียความเชื่อถือและชื่อเสียง

การจัดการข้อมูลอย่างไม่รอบคอบอาจนำไปสู่การละเมิดสิทธิส่วนบุคคลได้ง่าย เนื่องจากเทคโนโลยีในปัจจุบันสามารถทำให้การเข้าถึงข้อมูลและนำข้อมูลไปใช้ในทางที่ไม่เหมาะสมเป็นไปได้อย่างรวดเร็ว จึงส่งผลกระทบต่อองค์กรทั้งในแง่เศรษฐกิจและความไว้วางใจจากลูกค้า

กฎหมาย PDPA กำหนดบทลงโทษที่เข้มงวดสำหรับองค์กรที่ละเมิดหรือไม่ปฏิบัติตาม ไม่ว่าจะเป็นการฟ้องร้องจากเจ้าของข้อมูลหรือการลงโทษจากหน่วยงานกำกับดูแล ด้วยเหตุนี้องค์กรจึงจำเป็นต้องให้ความสำคัญกับการคุ้มครองข้อมูลส่วนบุคคลเพื่อลดความเสี่ยงเหล่านี้ และยังเป็นการแสดงให้เห็นถึงความโปร่งใสที่องค์กรมีต่อผู้บริโภคและพันธมิตรทางธุรกิจ

ตัวอย่างข้อมูลที่เป็นข้อมูลส่วนบุคคล
Data Minimalism คือหลักการที่มุ่งเน้นให้เก็บรวบรวมเฉพาะข้อมูลที่จำเป็นที่สุดเท่านั้น

การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลจะชอบด้วยกฎหมายเมื่อทำตามหลักการหนึ่งหลักการใด ดังนี้

  1. การปฏิบัติตามกฎหมาย
  2. จำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะหรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐ
  3. จำเป็นเพื่อการปฏิบัติตามสัญญา
  4. เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
  5. จำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล
  6. ได้รับความยินยอม
  7. เพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ หรือที่เกี่ยวกับการศึกษาวิจัยหรือสถิติ
ตัวอย่างข้อมูลที่ไม่เป็นข้อมูลส่วนบุคคล
  1. เลขทะเบียนบริษัท
  2. ข้อมูลสำหรับการติดต่อทางธุรกิจที่ไม่ได้ระบุถึงตัวบุคคล เช่น หมายเลขโทรศัพท์ หรือแฟกซ์ที่ทำงาน, ที่อยู่สำนักงาน, อีเมล์ที่ใช้ในการทำงาน, อีเมล์ของบริษัท เช่น info@companay.com เป็นต้น
  3. ข้อมูลนิรนาม (Anonymous Data) หรือข้อมูลแฝง หมายถึงข้อมูลหรือชุดข้อมูลที่ถูกทำให้ไม่สามารถระบุตัวบุคคลได้อีกโดยวิธีการทางเทคนิค
  4.  ข้อมูลผู้ตาย

ข้อคำแนะนำสำหรับผู้ประกอบการและองค์กร

หากคุณเป็นผู้ประกอบการ หรือเป็นตัวแทนองค์กรที่ต้องจัดการข้อมูลส่วนบุคคล การดำเนินงานให้เป็นไปตามหลักเกณฑ์ของ PDPA เป็นสิ่งสำคัญอย่างยิ่ง เนื่องจากประเทศไทยได้เริ่มบังคับใช้กฎหมายนี้แล้ว การไม่ปฏิบัติตามอาจนำมาซึ่งบทลงโทษร้ายแรงทั้งทางแพ่ง อาญา และปกครอง

ดังนั้น หากองค์กรของคุณมีการเก็บรวบรวมข้อมูลส่วนบุคคล การประมวลผล การนำข้อมูลไปใช้ รวมถึงการดูแลรักษาข้อมูลดังกล่าว คุณจำเป็นต้องดำเนินการตามขั้นตอนที่เหมาะสมโดยเร่งด่วน เพื่อให้สอดคล้องกับกฎหมาย PDPA และลดความเสี่ยงจากผลกระทบทางกฎหมายที่อาจเกิดขึ้น

ประโยชน์ที่ได้รับจากกฎหมายคุ้มครองข้อมูลส่วนบุคคล

หน่วยงานรัฐ และเอกชน

  • ยกระดับความเชื่อมั่นในมาตรฐานการจัดเก็บ ใช้ หรือ เผยแพร่ข้อมูลส่วนบุคคล ในระดับนานาชาติ
  • มีขอบเขตในการจัดเก็บ ใช้ หรือเผยแพร่ข้อมูลส่วนบุคคลที่ชัดเจน
  • การดําเนินการเกี่ยวกับข้อมูลส่วนบุคคลมีความโปร่งใส รับผิดชอบต่อสังคม ตรวจสอบได้

ประชาชน

  • รับทราบวัตถุประสงค์ของการจัดเก็บ ใช้ หรือเผยแพร่ ข้อมูลส่วนบุคคลอย่างแจ้งชัด
  • ขอให้ลบ ทําลาย หรือขอให้ระงับการใช้ข้อมูลส่วนบุคคลได้
  • สามารถร้องเรียนและขอให้ชดใช้ค่าสินไหมทดแทน หากมี การใช้ข้อมูลฯ นอกเหนือจากวัตถุประสงค์ที่แจ้งไว้แต่แรก
  • ลดความเดือดร้อนรําคาญ หรือความเสียหายอันเกิดจากการละเมิดข้อมูลส่วนบุคคล

ประเทศ

  • มีมาตรการในการกํากับดูแลการคุ้มครองข้อมูลส่วนบุคคล ส่งเสริมภาพลักษณ์ที่ดีของประเทศ
  • มีเครื่องมือในการกํากับการดําเนินงานด้านการคุ้มครองข้อมูลส่วนบุคคล
  • สามารถสร้างสังคมที่เข้มแข็ง เนื่องจากสามารถตรวจสอบการดําเนินงานภาครัฐและภาคธุรกิจเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลให้มีความถูกต้องเหมาะสม

ความรับผิดและบทลงโทษตาม PDPA

การละเมิดหรือการจัดการข้อมูลส่วนบุคคลอย่างไม่เหมาะสมภายใต้ PDPA อาจส่งผลให้เกิดความรับผิดชอบทั้งทางแพ่ง อาญา และปกครอง ดังนี้:

ความรับผิดทางแพ่ง: ผู้ละเมิดต้องชดใช้ค่าสินไหมทดแทน โดยศาลอาจเพิ่มค่าสินไหมได้สูงสุดสองเท่าหากเกิดความเสียหายร้ายแรง

โทษอาญา: การใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยมิชอบอาจถูกจำคุกไม่เกิน 1 ปี ปรับไม่เกิน 1,000,000 บาท หรือทั้งจำทั้งปรับ และกรรมการนิติบุคคลอาจต้องรับผิดร่วม

โทษทางปกครอง: การไม่ปฏิบัติตามกฎหมาย เช่น ไม่แจ้งวัตถุประสงค์ในการเก็บข้อมูลหรือไม่แต่งตั้ง DPO อาจถูกปรับสูงสุด 5,000,000 บาท.

เมื่อเกิดความเสียหายจากการละเมิดข้อมูลส่วนบุคคล องค์กรควรแก้ไขอย่างไร?

หากเกิดกรณีข้อมูลส่วนบุคคลถูกละเมิดหรือรั่วไหล องค์กรควรดำเนินการตามขั้นตอนที่กำหนดในกฎหมาย PDPA ซึ่งประกอบด้วย:

  1. แจ้งหน่วยงานกำกับดูแล: องค์กรต้องแจ้งเหตุการณ์ให้หน่วยงานที่เกี่ยวข้องรับทราบภายใน 72 ชั่วโมง
  2. แจ้งเจ้าของข้อมูล: องค์กรควรแจ้งเจ้าของข้อมูลถึงเหตุการณ์ที่เกิดขึ้นและผลกระทบที่อาจเกิดขึ้น รวมถึงมาตรการที่ได้ดำเนินการ
  3. ตรวจสอบและแก้ไข: ต้องตรวจสอบสาเหตุของการละเมิดและดำเนินการแก้ไขปัญหาอย่างทันท่วงที
  4. ปรึกษาผู้เชี่ยวชาญทางกฎหมาย: องค์กรควรให้ผู้เชี่ยวชาญทางกฎหมายเข้ามาช่วยประเมินความเสี่ยงและดำเนินการตามกฎหมายเพื่อลดผลกระทบที่อาจเกิดขึ้น

การให้ความสำคัญกับการคุ้มครองข้อมูลส่วนบุคคลเป็นสิ่งจำเป็นสำหรับองค์กรเอกชนในยุคปัจจุบัน การปฏิบัติตามกฎหมาย PDPA อย่างถูกต้องไม่เพียงแต่ช่วยป้องกันความเสี่ยงทางกฎหมาย แต่ยังช่วยรักษาความเชื่อมั่นจากลูกค้า การเลือกใช้บริการทางกฎหมายเพื่อให้แน่ใจว่าการปฏิบัติตาม PDPA เป็นไปอย่างถูกต้อง กับทางบริษัท ทรีนีตี้แอนด์โคลีเกิ้ล จำกัด จึงเป็นอีกขั้นตอนที่สำคัญในยุคที่ข้อมูลส่วนบุคคลมีบทบาทสำคัญในการดำเนินธุรกิจ ซึ่งการคุ้มครองข้อมูลส่วนบุคคลเป็นเรื่องสำคัญที่องค์กรไม่ควรมองข้าม การปฏิบัติตาม Personal Data Protection Act (PDPA) อย่างถูกต้องจะช่วยลดความเสี่ยงด้านกฎหมายและสร้างความเชื่อมั่นจากลูกค้า การเลือกใช้บริการทางกฎหมายเพื่อความมั่นใจในความถูกต้องจึงเป็นสิ่งสำคัญที่ช่วยสนับสนุนองค์กรในยุคข้อมูลเป็นทรัพยากรที่มีค่ามากที่สุด

สนใจบริการด้านกฎหมาย ติดต่อเลย

บริษัท ทรีนีตี้แอนด์โคลีเกิ้ล จำกัด

📩 Email: contactus@trinitycolegal.com

📞 Tel.: 096-798-6396

Facebook: Trinity&co Legal

1. เอกสารการบรรยาย ภาษาไทย:

มหาวิทยาลัยธรรมศาสตร์. (2565). เอกสารการบรรยาย เรื่อง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล และการนำมาใช้กับมหาวิทยาลัยธรรมศาสตร์. สืบค้นจาก https://tuipied-my.sharepoint.com/… (เข้าถึงวันที่ 17 มกราคม 2568)

2. เว็บไซต์บทความเรื่อง PDPA ภาษาไทย:

PDPA Pro. (2565). สรุป PDPA คืออะไร. สืบค้นจาก https://pdpa.pro/blogs/in-summary-what-is-pdpa (เข้าถึงวันที่ 17 มกราคม 2568)

useful links
ทรีนิตี้แอนด์โคลีเกิ้ล
Facebook Line
contact us

Privacy Notice

Copyright 2024 © trinitycolegal.com