"PDPA" เริ่มใช้ 1 มิ.ย. 65 "ธุรกิจ" ต้องจัดการ "ข้อมูลลูกค้า" อย่างไร ?

"PDPA" เริ่มใช้ 1 มิ.ย. 65 "ธุรกิจ" ต้องจัดการ "ข้อมูลลูกค้า" อย่างไร ?

"ธุรกิจ" ต้องรู้! หลังเริ่มใช้ "PDPA" หรือ "พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562" วันที่ 1 มิ.ย. 65 จะต้องจัดเก็บ ใช้ หรือเปิดเผย "ข้อมูลส่วนบุคคล" อย่างไรให้ไม่กระทบ "สิทธิของลูกค้า" พร้อมบทลงโทษกรณีไม่ปฏิบัติตามกฎหมายดังกล่าว

1 มิ.ย. 65 เริ่มใช้ "PDPA" หรือ "พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562" ซึ่งจะเป็นจุดเริ่มต้นสำคัญที่ผู้ประกอบ "ธุรกิจ" ต้องให้ความสำคัญกับการบริหารจัดการ "ข้อมูลส่วนบุคคล" ของ "ลูกค้า" อย่างรอบคอบ ไม่ว่าจะเป็นกระบวนการรวบรวม จัดเก็บ ใช้ หรือเปิดเผยข้อมูล เพื่อไม่ให้กระทบต่อสิทธิส่วนบุคคลของลูกค้าตามกฎหมายฉบับนี้

"กรุงเทพธุรกิจออนไลน์" สรุปหลักเกณฑ์เบื้องต้นของ "กฎหมาย PDPA" ที่ธุรกิจต้องทำความเข้าใจ และรับผิดชอบ

  •  PDPA คืออะไร ? 

PDPA (Personal Data Protection Act) หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 มีขึ้นเพื่อให้เอกชนและรัฐที่เก็บรวบรวม ใช้ เปิดเผย และ/หรือ โอนข้อมูลส่วนบุคคลในราชอาณาจักรไทย ให้เป็นไปตามมาตรการปกป้องข้อมูลของผู้อื่นจากการถูกละเมิดสิทธิส่วนตัว โดยต้องขอ "ความยินยอม" จากเจ้าของข้อมูล ก่อนการเก็บ รวบรวม ใช้ หรือเปิดเผย

และมีผลใช้บังคับ กรณีผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประเมินผลข้อมูลส่วนบุคคลที่อยู่นอกราชอาณาจักร หากมีกิจกรรม ดังนี้

- เสนอขายสินค้าหรือบริการแก่เจ้าของข้อมูลส่วนบุคคล ที่อยู่ในราชอาณาจักร ไม่ว่าจะมีการชำระเงินหรือไม่ก็ตาม 

- เฝ้าติดตามพฤติกรรมของเจ้าของข้อมูลส่วนบุคคลที่เกิดขึ้นในราชอาณาจักร

ข้อมูลส่วนบุคคล ณ ที่นี้ คือข้อมูลเกี่ยวกับบุคคลที่ทำให้ระบุตัวบุคคลได้ ทั้งทางตรงและทางอ้อม เช่น เลขประจำตัวประชาชน, ชื่อ-นามสกุล, ที่อยู่, เบอร์โทรศัพท์, อีเมล, ข้อมูลทางการเงิน, เชื้อชาติ, พฤติกรรมทางเพศ, ประวัติอาชญากรรม, ข้อมูลสุขภาพ เป็นต้น

\"PDPA\" เริ่มใช้ 1 มิ.ย. 65 \"ธุรกิจ\" ต้องจัดการ \"ข้อมูลลูกค้า\" อย่างไร ?

  •  ธุรกิจเกี่ยวข้องกับข้อมูลส่วนบุคคลอย่างไร ? 

PDPA กล่าวถึงผู้ที่มีส่วนเกี่ยวข้องกับ "ข้อมูลส่วนบุคคล" ตามกฎหมายไว้ 3 กลุ่ม ได้แก่

กลุ่มแรกคือ ​"เจ้าของข้อมูลส่วนบุคคล

กลุ่มที่สองคือ "ผู้ควบคุมข้อมูลส่วนบุคคล" หมายถึง บุคคลหรือนิติบุคคลที่มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวมหรือ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

กลุ่มที่สามคือ "ผู้ประมวลผลข้อมูลส่วนบุคคล" หมายถึง บุคคลหรือนิติบุคคลที่ดำเนินการเกี่ยวกับการรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล

ณ ที่นี้ ธุรกิจต่างๆ จะอยู่ฐานะของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล ซึ่งจำเป็นต้องปฏิบัติตามเงื่อนไขในการจัดการข้อมูลส่วนบุคคลของลูกค้าที่มีอยู่ให้ไม่ละเมิดสิทธิของลูกค้า และได้รับความยินยอมตามกฎหมายก่อน

  •  ขอความยินยอมจากเจ้าของข้อมูลหรือลูกค้า ต้องทำอย่างไร ? 

- ต้องได้รับความยินยอมก่อน หรือขณะเก็บข้อมูลส่วนบุคคล

- ต้องทำโดยชัดแจ้ง เป็นหนังสือหรือทำผ่านระบบอิเล็กทรอนิกส์

- ต้องแจ้งวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

- ต้องแยกส่วน ใช้ภาษาที่อ่านง่าย และไม่เป็นการหลอกลวง

- มีความเป็นอิสระในการให้ความยินยอม

- ถอนความยินยอมเมื่อใดก็ได้ เว้นแต่มีข้อจำกัดสิทธิ

  •  ฝ่าฝืน PDPA มีบทลงโทษ อย่างไร ? 

รับผิดทางแพ่ง

ค่าสินไหมทดแทนจากความเสียหายที่ได้รับจริง และศาลสั่งลงโทษเพิ่มขึ้นได้ไม่เกิน 2 เท่าของสินไหมทดแทน

โทษทางปกครอง

- ไม่ขอความยินยอมให้ถูกต้อง ไม่แจ้งรายละเอียดให้เจ้าของข้อมูลทราบ ไม่ให้เจ้าขอข้อมูลเข้าถึงตามสิทธิ ฯลฯ ปรับไม่เกิน 1 ล้านบาท

- เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากฐานทางกฎหมาย ปรับไม่เกิน 3 ล้านบาท

- เก็บรวบรวม ใช้ เปิดเผยหรือโอนข้อมูลส่วนบุคคลอ่อนไหว โดยไม่ชอบด้วยกฎหมาย ปรับไม่เกิน 5 ล้านบาท

โทษอาญา

- ทำให้ผู้อื่นเกิดความเสียหาย เสียชื่อเสีย ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย จำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 5 แสนบาท

- เพื่อแสวงหาประโยชน์ที่มิควรได้โดยชอบด้วยกฎหมายสำหรับตนเองหรือผู้อื่น จำคุก ไม่เกิน 1 ปี หรือปรับไม่เกิน  1 ล้านบาท

- ล่วงรู้ข้อมูลส่วนบุคคลของผู้อื่นเนื่องจากการปฏิบัติหน้าที่ ตาม พ.ร.บ. นี้ ห้ามนำไปเผยแพร่แก่ผู้อื่น (เว้นแต่มีอำนาจหน้าที่ตามกฎหมาย) จำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 5 แสนบาท

ทั้งนี้ในกรณีที่ผู้กระทำความผิด เป็นนิติบุคคล หากกรรมการผู้จัดการ หรือบุคคลที่ได้รับผิดชอบ สั่งการหรือกระทำหรือละเว้นไม่สั่งการหรือไม่กระทำ จนเป็นเหตุให้นิติบุคคลนั้นกระทำความผิด ต้องรับโทษในคดีอาญานั้นไว้ด้วย

----------------------------------------

ที่มา: สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล, ธปท.