แชร์
กฎหมายคุ้มครองข้อมูลส่วนบุคคลคืออะไร
พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล เป็นกฎหมายที่ออกมาเพื่อคุ้มครองสิทธิของบุคคลที่อยู่ในประเทศไทย ไม่ว่าจะมีสัญชาติใดก็ตาม ในฐานะที่เป็นเจ้าของข้อมูลส่วนบุคคล โดยกำหนดให้บุคคลหรือองค์กรต่างๆ มีหน้าที่และความรับผิดชอบในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด
อย่างไรก็ตาม การเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล หากทำเพื่อประโยชน์ส่วนตัว หรือเพื่อกิจกรรมในครอบครัว นั้น ไม่จำเป็นต้องปฏิบัติตามกฎหมายนี้ แต่จะต้องไม่เป็นการทำให้เกิดความเสียหายกับเจ้าของข้อมูลส่วนบุคคล เพราะแม้จะไม่มีความผิดตามกฎหมายฉบับนี้ แต่ก็อาจมีความผิดตามกฎหมายอื่นๆ ได้
ความหมายของ “ข้อมูลส่วนบุคคล”
“ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลใดๆ รวมถึงข้อมูลที่มีความอ่อนไหว ที่สามารถทำให้ระบุตัวตนของเจ้าของข้อมูลส่วนบุคคลได้ ไม่ว่าจะได้มาโดยทางตรงหรือโดยทางอ้อม เช่น ชื่อ นามสกุล ที่อยู่ รูปถ่าย เบอร์โทรศัพท์ บัตรประจำตัวประชาชน เชื้อชาติ ข้อมูลสุขภาพ ประวัติอาชญากรรม พฤติกรรมทางเพศ เป็นต้น
“ผู้เกี่ยวข้อง” ภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล
1. เจ้าของข้อมูลส่วนบุคคล (Data Subject) คือ บุคคลธรรมดา ซึ่งเป็นเจ้าของข้อมูลส่วนบุคคลและมีสิทธิตามกฎหมายฉบับนี้ ได้แก่ ประชาชนทุกคน เช่น พนักงานบริษัท ลูกค้ารายบุคคล เป็นต้น ทั้งนี้ ไม่รวมถึง นิติบุคคล หรือผู้เสียชีวิต
2. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ บุคคลหรือนิติบุคคล ซึ่งมีความเกี่ยวข้องกับข้อมูลส่วนบุคคลในการเก็บรวบรวม ใช้ และเปิดเผย และมีหน้าที่ตามที่กฎหมายฉบับนี้กำหนด เช่น องค์กร หน่วยงาน สถาบัน เป็นต้น
3. ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ บุคคลหรือนิติบุคคล ซึ่งมีความเกี่ยวข้องกับข้อมูลส่วนบุคคลในการทำตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคล เช่น หน่วยงานหรือองค์กรที่เป็นผู้รับจ้างจากผู้ควบคุมข้อมูลส่วนบุคคลให้จัดการกับข้อมูลส่วนบุคคล
4. เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer / DPO) คือ บุคคลที่ได้รับมอบหมายให้ดูแลการคุ้มครองข้อมูลส่วนบุคคลให้กับผู้ควบคุมข้อมูลส่วนบุคคล โดยการให้คำแนะนำและตรวจสอบการคุ้มครองข้อมูลส่วนบุคคลของหน่วยงาน หรือ องค์กร นั้นๆ
การขอความยินยอม (Consent)
กฎหมายกำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลที่ประสงค์จะเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล เป็นผู้มีหน้าที่ในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อนที่จะกระทำการดังกล่าว โดยคำนึงถึงวัตถุประสงค์และความจำเป็นในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล รวมถึงความเป็นอิสระในการให้ความยินยอมของเจ้าของข้อมูลส่วนบุคคล
ความยินยอมที่จะขอนั้น จะต้องระบุข้อความตามที่กฎหมายกำหนด เช่น วัตถุประสงค์ในการเก็บรวบรวม ประเภทของข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม ระยะเวลาในการเก็บรวบรวม ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล ข้อมูลในการติดต่อผู้ควบคุมข้อมูลส่วนบุคคล และสิทธิของเจ้าของข้อมูลส่วนบุคคล เป็นต้น
กรณีผู้เยาว์ (อายุไม่เกิน 20 ปีบริบูรณ์) จะต้องมีผู้ใช้อำนาจปกครอง (เช่น บิดา หรือ มารดา) ให้ความยินยอมด้วย เว้นแต่บางกรณี ผู้เยาว์สามารถให้ความยินยอมเองได้ เช่น การเข้าทำสัญญาที่ให้ประโยชน์กับผู้เยาว์โดยไม่มีเงื่อนไข
กรณีอื่นๆ ที่ไม่ต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ก็สามารถเก็บรวบรวม ใช้ และเปิดเผย ข้อมูลส่วนบุคคลได้ โดยจะต้องกระทำไปเพื่อความจำเป็นบางอย่าง เช่น เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคลอื่น เพื่อการปฏิบัติหน้าที่ตามสัญญา เพื่อประโยชน์สาธารณะ เพื่อการปฏิบัติตามกฎหมาย เป็นต้น
สิทธิของเจ้าของข้อมูลส่วนบุคคล
1. สิทธิในการได้รับแจ้ง
2. สิทธิในการเพิกถอนความยินยอม
3. สิทธิในการเข้าถึงข้อมูลส่วนบุคคล
4. สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง
5. สิทธิในการลบข้อมูลส่วนบุคคล
6. สิทธิในการห้ามมิให้ประมวลผลข้อมูลส่วนบุคคล
7. สิทธิในการให้โอนย้ายข้อมูลส่วนบุคคล
8. สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล
โทษจากการฝ่าฝืนกฎหมายคุ้มครองข้อมูลส่วนบุคคล
โทษจากการฝ่าฝืนกฎหมายคุ้มครองข้อมูลส่วนบุคคลมี 3 ประการ ได้แก่
1. โทษทางแพ่ง – จ่ายค่าเสียหายเป็นจำนวน 2 เท่า โดยคำนวณจากความเสียหายที่เกิดขึ้นจริง
2. โทษทางอาญา – ปรับสูงสุด 1 ล้านบาท และจำคุกไม่เกิน 1 ปี และ
3. โทษทางปกครอง – ปรับสูงสุด 5 ล้านบาท
การร้องเรียน
เจ้าของข้อมูลส่วนบุคคลสามารถร้องเรียนต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ในกรณีที่มีการฝ่าฝืนกฎหมายคุ้มครองข้อมูลส่วนบุคคล เพื่อการพิจารณาคำร้อง และดำเนินการเยียวยาตามนโยบายของคณะกรรมการฯ ต่อไป
LAS / Legal Advance Solution
นันทนัช แสงทอง
[email protected]