
ในยุคดิจิทัลที่ข้อมูลส่วนบุคคลมีความสำคัญเป็นอย่างมาก พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act : PDPA) มีความสำคัญอย่างยิ่งในการคุ้มครองสิทธิของบุคคลในด้านข้อมูลส่วนบุคคล ซึ่งเป็นการตอบสนองต่อการเปลี่ยนแปลงของสังคมและเทคโนโลยีในปัจจุบัน ที่มีการเก็บรวบรวม ใช้ และเผยแพร่ข้อมูลส่วนบุคคลอย่างแพร่หลาย
ความหมายของข้อมูลส่วนบุคคล
ภานุพงศ์ ลักษณวิศิษฏ์ (2566) ได้ให้ความหมายไว้ว่า ข้อมูลส่วนบุคคล หมายถึง ข้อมูลที่ระบุตัวตนของเจ้าของข้อมูลได้ สามารถแบ่งออกได้เป็น 2 ประเภท
ประเภทที่ 1 คือ ข้อมูลทั่วไป ได้แก่ ข้อมูลที่สามารถบ่งชี้ข้อมูลส่วนตัวของบุคคลได้ เช่น ชื่อ – นามสกุล เลขบัตรประจำตัวประชาชน ที่อยู่ หมายเลขโทรศัพท์
ประเภทที่ 2 คือ ข้อมูลส่วนบุคคลที่เปลี่ยนแปลงง่าย ได้แก่ ข้อมูลที่ถือว่าเป็นเรื่องส่วนตัวของบุคคลเป็นการเฉพาะ เป็นข้อมูลที่เป็นความลับหรือไม่ประสงค์เปิดเผย เช่น ข้อความหรือเอกสารส่วนบุคคลโดยเก็บความลับไว้อย่างครบถ้วน[1]
[1] ภาณุพงศ์ ลักษณวิศิษฏ์, “แนวทางการพัฒนาการบริหารจัดการข้อมูลส่วนบุคคลของพรรคประชาธิปัตย์ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562” , (รัฐประศาสนศาสตร์มหาบัณฑิต คณะรัฐศาสตร์ มหาวิทยาลัยจุฬาลงกรณ์, ปีที่ 2566), น.13 – 43.
กนกพร เหลือสาคร (2566) ได้ให้ความหมายไว้ว่า ข้อมูลส่วนบุคคล หมายถึง ข้อมูลที่เกี่ยวกับบุคคลซึ่งสามารถระบุตัวบุคคลนั้นได้ เช่น เลขที่บัญชีธนาคาร เลขที่บัตรเครดิต เลขประกันสังคม[1]
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พุทธศักราช 2562 “ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลซึ่งใช้ในการระบุตัวตนเพื่อยืนยันได้ว่าเป็นบุคคลใด ชื่ออะไร ในขณะที่มีชีวิตอยู่เท่านั้น ไม่สามารถใช้ระบุกับผู้ที่เสียชีวิตได้ เนื่องจากมีข้อจำกัดทางกฎหมาย[2]
ข้อมูลส่วนบุคคลสามารถแบ่งได้ 2 ประเภท
ข้อมูลส่วนบุคคลทั่วไป คือ ข้อมูลเกี่ยวกับบุคคล ซึ่งทำให้สามารถระบุตัวบุคคล (บุคคลธรรมดา) นั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ เช่น ชื่อ นามสกุล ที่อยู่ หมายเลขโทรศัพท์ หมายเลขประจำตัวประชาชน อีเมล บัญชีธนาคาร เป็นต้น
ข้อมูลส่วนบุคคลอ่อนไหว คือ ข้อมูลเกี่ยวกับบุคคลที่โดยสภาพมีความละเอียดอ่อนและสามารถก่อให้เกิดความเสี่ยงต่อสิทธิเสรีภาพหรืออาจถูกใช้ในการเลือกปฏิบัติอย่างไม่เป็นธรรมต่อเจ้าของข้อมูลส่วนบุคคลได้ ได้แก่ เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ ฯลฯ[3]
ขอบเขตของการใช้บังคับ
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล มาตรา 5 มีจุดมุ่งหมายในการใช้งาน การเก็บข้อมูลหรือเผยแพร่ข้อมูลทั้งที่อยู่ในราชอาณาจักรและนอกราชอาณาจักร โดยการดูว่ากิจกรรมในการเปิดเผยข้อมูลส่วนบุคคลดังกล่าวนั้นจะอยู่ในรูปแบบใด อาจเป็นการนำเสนอสินค้าหรือบริการต่าง ๆ ก็จะต้องมาพิจารณาดูว่าเจ้าของข้อมูลส่วนบุคคลนั้นอาศัยอยู่ในประเทศไทยหรือไม่ โดยไม่ต้องคำนึงว่าจะได้ชำระเงินจากการกระทำดังกล่าวแล้วหรือไม่ก็ตาม หรือการเฝ้าเพื่อติดตามข้อมูลส่วนบุคคลว่าเกิดขึ้นในประเทศไทยหรือไม่[4]
สิทธิในการให้ความยินยอม
ความยินยอมถือเป็นฐานการประมวลผลข้อมูลส่วนบุคคลอย่างหนึ่ง โดยผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ในการกำหนดฐานการประมวลผลที่สอดคล้องกับลักษณะการประมวลผลและความสัมพันธ์ระหว่างผู้ควบคุมข้อมูลกับเจ้าของข้อมูลส่วนบุคคล ในหลายกรณี องค์กรอาจใช้ข้อมูลของบุคคลจากฐานสัญญาหรือจากการใช้ข้อมูลที่มีความชอบด้วยกฎหมายอื่น ๆ ตามที่กฎหมายกำหนดซึ่งในการขอความยินยอมต้องพิจารณาดังนี้
[1] กนกพร เหลือสาคร. “ปัญหากฎหมายในการแจ้งเหตุละเมิดข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562”. (นิติศาสตร์มหาบัณฑิต คณะนิติศาสตร์ มหาวิทยาลัยปทุมธานี, 2566), น.6 – 37.
[2] พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พุทธศักราช 2562.
[3] วันพิชิต ชินตระกูลชัย. (2564). ข้อมูลส่วนบุคคล ข้อมูลอ่อนไหว คืออะไร มีกี่ประเภท มีอะไรบ้าง?. เข้าถึงเมื่อ 12 มีนาคม 2567 จาก https://openpdpa.org/personal-data-type/
[4] เพิ่งอ้าง เชิงอรรถ3.
- 1. ความยินยอมต้องขอก่อนจะมีการประมวลผล
- 2. ความยินยอมต้องไม่เป็นเงื่อนไขในการให้บริการ ต้องมีอิสระ
- 3. ความยินยอมต้องอยู่แยกส่วนกับเงื่อนไขในการให้บริการ
- 4. วัตถุประสงค์ของการประมวลผลข้อมูลต้องเฉพาะเจาะจง
- 5. ความยินยอมต้องชัดเจนไม่คลุมเครือ
- 6. ออกแบบทางเลือกให้สามารถปฏิเสธที่จะให้ความยินยอมได้
- 7. เนื้อหาความยินยอมเข้าใจง่ายและเข้าถึงง่าย[1]
สิทธิของเจ้าของข้อมูลส่วนบุคคล
- 1. สิทธิได้รับการแจ้งให้ทราบรายละเอียด เป็นสิทธิที่เจ้าของข้อมูลส่วนบุคคลทุกคนได้รับโดยไม่ต้องมีการร้องขอ โดยผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งวัตถุประสงค์และรายละเอียดของการประมวลผลข้อมูลส่วนบุคคลให้เจ้าของข้อมูลส่วนบุคคลทราบไม่ว่าจะด้วยวิธีการใดก็ตามเพื่อให้เจ้าของข้อมูลส่วนบุคคลรู้ว่าข้อมูลของตนจะถูกนำไปใช้ทำอะไร
- 2. สิทธิในการถอนความยินยอม ในกรณีที่ได้ให้ความยินยอมไว้ กรณีที่ได้ให้ความยินยอมไว้ เจ้าของข้อมูลส่วนบุคคลมีสิทธิที่จะเพิกถอนความยินยอมเมื่อใดก็ได้ เมื่อผู้ควบคุมข้อมูลส่วนบุคคลได้รับคำขอการเพิกถอนจากเจ้าของข้อมูลส่วนบุคคลแล้ว จะต้อง “แจ้งถึงผลกระทบ” จากการถอนความยินยอมและ “หยุดการประมวลผล”
- 3. สิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคล
- 4. สิทธิขอให้โอนข้อมูลส่วนบุคคล
- 5. สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
- 6. สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ เจ้าของข้อมูลส่วนบุคคลมีสิทธิยื่นคำร้อง ขอลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลไม่สามารถระบุถึงตนได้ ตามเงื่อนไขที่กฎหมายกำหนด กรณีที่มีการส่งต่อหรือเปิดเผยข้อมูลส่วนบุคคลนั้นต่อสาธารณะแล้ว ผู้ควบคุมข้อมูลส่วนบุคคลต้องดำเนินการแจ้งให้ลบข้อมูลส่วนบุคคลดังกล่าวด้วย
- 7. สิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคล
- 8. สิทธิขอให้แก้ไขข้อมูลส่วนบุคคลเจ้าของข้อมูลมีสิทธิร้องขอให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการแก้ไขข้อมูลที่ไม่ถูกต้องของเจ้าของข้อมูลส่วนบุคคลเพื่อให้ข้อมูลถูกต้องตรงกับข้อเท็จจริง ข้อมูลเป็นปัจจุบันและสมบูรณ์และไม่ก่อให้เกิดความเข้าใจผิด
[1] สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล. (2565). “ความยินยอม” ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล. เข้าถึงเมื่อ 12 มีนาคม 2567 จาก https://www.dpoaas.co.th/content/5787/
หน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล
ได้กำหนดหน้าที่ของผู้ที่ทำการควบคุมข้อมูล ตามมาตรา 37 ไว้ ดังนี้
- ออกกฎระเบียบที่เกี่ยวกับการรักษาความปลอดภัยและความมั่งคงของข้อมูล เพื่อที่จะป้องกันไม่ให้ข้อมูลนั้นเสียหาย ใช้ ถูกทำลาย แก้ไข รวมถึงการเปลี่ยนแปลง หรือเป็นการกระทำโดยมิชอบด้วยกฎหมาย
- เป็นการป้องกันการใช้หรือเปิดเผยข้อมูลไม่ให้บุคคลอื่นนำข้อมูลไปใช้ หรือเป็นการกระทำโดยมิชอบด้วยกฎหมาย
- จะต้องทำระบบที่ตรวจสอบเกี่ยวกับการลบ การทำลายข้อมูลที่เกินความจำเป็น เมื่อพ้นกำหนดระยะเวลาเก็บรักษา รวมถึงเจ้าของข้อมูลได้เพิกถอนความยินยอมแล้วด้วย
- เมื่อมีเหตุละเมิดข้อมูลเกิดขึ้นให้แจ้งภายใน 72 ชั่วโมงต่อสำนักงาน ตั้งแต่ที่เกิดเหตุละเมิดขึ้น โดยจะไม่กระทบต่อสิทธิและเสรีภาพ
- แต่งตั้งตัวแทนในราชอาณาจักร ซึ่งจะต้องทำเป็นหนังสือที่มอบอำนาจให้กระทำการแทนผู้ที่ควบคุมข้อมูล ในกรณีผู้ที่ทำการควบคุมข้อมูลอยู่นอกราชอาณาจักร[1]
กรณีถูกละเมิดข้อมูลส่วนบุคคล
ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่แจ้งเหตุการณ์ละเมิดข้อมูลส่วนบุคคล กับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลโดยไม่ชักช้า ภายใน 72 ชั่วโมง นับแต่ทราบเหตุเท่าที่จะสามารถกระทำได้ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ในกรณีที่การละเมิดมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ให้แจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อมกับแนวทางการเยียวยาโดยไม่ชักช้าด้วย[2]
สิทธิร้องเรียนเมื่อถูกละเมิดข้อมูลส่วนบุคคล
เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญในกรณีที่มีการฝ่าฝืนหรือไม่ปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือประกาศฯ ที่ออกตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ทั้งนี้ กระบวนการร้องเรียนในการยื่นการไม่รับเรื่อง การยุติเรื่อง การพิจารณา และระยะเวลา ในการพิจารณาคำร้องเรียนให้เป็นไปตามระเบียบที่คณะกรรมการประกาศกำหนด โดยคำนึงถึงการกำหนดให้ไม่รับเรื่องร้องเรียนหรือยุติเรื่องในกรณีที่มีผู้มีอำนาจพิจารณาในเรื่องนั้นอยู่แล้วตามกฎหมายอื่นด้วย[3]
[1] เพิ่งอ้าง เชิงอรรถ3.
[2] PDPA Thailand. (2566). ใครต้องรับผิดชอบ? หากเกิดการละเมิดข้อมูลส่วนบุคคลตามบทบัญญัติของกฎหมาย PDPA. เข้าถึงเมื่อ 12 มีนาคม 2567 จาก https://pdpathailand.com/news-article/responsible-pdpa/
[3] เพิ่งอ้าง เชิงอรรถ 3.
อ้างอิง
กนกพร เหลือสาคร. “ปัญหากฎหมายในการแจ้งเหตุละเมิดข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครอง ข้อมูลส่วนบุคคล พ.ศ.2562”. (นิติศาสตร์มหาบัณฑิต คณะนิติศาสตร์ มหาวิทยาลัยปทุมธานี, 2566), น.6 – 37.
ภาณุพงศ์ ลักษณวิศิษฏ์, “แนวทางการพัฒนาการบริหารจัดการข้อมูลส่วนบุคคลของพรรคประชาธิปัตย์ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562” , (รัฐประศาสนศาสตร์มหาบัณฑิต คณะ รัฐศาสตร์ มหาวิทยาลัยจุฬาลงกรณ์, ปีที่ 2566), น.13 – 43.
วันพิชิต ชินตระกูลชัย. (2564). ข้อมูลส่วนบุคคล ข้อมูลอ่อนไหว คืออะไร มีกี่ประเภท มีอะไรบ้าง?. สืบค้นเมื่อวันที่ 12 มีนาคม 2567 จาก https://openpdpa.org/personal-data-type/
สำนักงานคณะกรรมการกฤษฎีกา. พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562. สืบค้นเมื่อ 30 กรกฎาคม 2567. https://www.ratchakitcha.soc.go.th/DATA/PDF/2562/A/069/T_0052.PDF
สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล. (2565). “ความยินยอม” ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล. เข้าถึงเมื่อ 12 มีนาคม 2567
จาก https://www.dpoaas.co.th/content/5787/
PDPA Thailand. (2566). ใครต้องรับผิดชอบ? หากเกิดการละเมิดข้อมูลส่วนบุคคลตามบทบัญญัติของกฎหมาย PDPA. เข้าถึงเมื่อ 12 มีนาคม 2567
จาก https://pdpathailand.com/news-article/responsible-pdpa/