พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

14 July 202027 April 2021 nitjaree woraphu

มาทำความรู้จัก “การคุ้มครองข้อมูลส่วนบุคคล” ตามกฎหมายฉบับนี้กันค่ะ…!!

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ประกาศในราชกิจจานุเบกษาเมื่อ 27 พฤษภาคม 2562 โดย หมวด 1 คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และ หมวด 4 สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล มีผลบังคับใช้เมื่อ 28 พฤษภาคม 2562 และมีผลบังคับใช้ทั้งฉบับในวันที่ 27 พฤษภาคม 2563

ข้อมูลส่วนบุคคล มีะไรบ้าง ??

ข้อมูลบุคคล เป็นข้อมูลเกี่ยวกับบุคคลซี่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ ข้อมูลส่วนบุคคลของเรานั้นถูกเก็บรวบรวมเพื่อใช้งานในด้านต่างๆ ไม่ว่าเป็นการแสดงผลในโซเชียลเน็ตเวิร์กต่างๆ เพื่อบอกเอกลักษณ์ของเรา เช่น เพศ, อายุ, ชื่อ, วันเกิด, ลายนิ้วมือ หรือประวัติการท่องเว็บ Cookie, Location, Browsing History, ที่อยู่, เบอร์โทร, รายชื่อเพื่อน, E – mai,l รหัสประจำตัว ฯลฯ ล้วนแต่ก็เป็นข้อมูลส่วนบุคคลทั้งสิ้น กฎหมายฉบับนี้คุ้มครองข้อมูลส่วนบุคคลของบุคคลธรรมดาเท่านั้น

สาระสำคัญของ พ.ร.บ.

เจ้าของข้อมูลส่วนบุคคลต้องยินยอมก่อน
- การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลจะต้องได้รับการยินยอมจากเจ้าของข้อมูลส่วนบุคคลนั้น โดยทำให้ชัดแจ้ง เป็นหนังสือหรือทำโดยผ่านระบบอิเล็กทรอนิกส์
ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งวัตถุประสงค์ให้ชัดเจน
- ต้องแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลให้เจ้าของข้อมูลทราบ โดยการขอความยินยอมนั้นต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน มีแบบหรือข้อความที่เข้าถึงได้ง่าย เข้าใจได้ รวมถึงใช้ภาษาที่อ่านง่าย ไม่ทำให้เจ้าของข้อมูลเข้าใจผิดในวัตถุประสงค์ดังกล่าว ทั้งนี้ในการให้ความยินยอมต้องไม่มีเงื่อนไขที่ไม่มีความเกี่ยวข้องสำหรับการเข้าทำสัญญา ซึ่งรวมถึงการให้บริการนั้น ๆ
- ถ้าการถอนความยินยอมส่งผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลในเรื่องใด ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงผลกระทบจากการถอนความยินยอมนั้น
สิทธิเจ้าของข้อมูล (Data Owner)
- เจ้าของข้อมูลส่วนบุคคลมีสิทธิถอนความยินยอมเมื่อใดก็ได้และต้องถอนความยินยอมได้ง่าย เช่นเดียวกับการให้ความยินยอม
- เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตนซึ่งอยู่ในความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล หรือขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลดังกล่าวที่ตนไม่ได้ให้ความยินยอม
- เจ้าของข้อมูลส่วนบุคคลมีสิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับตนเมื่อใดก็ได้ ดังนี้
  - กรณีได้รับยกเว้นไม่ต้องขอความยินยอม
  - เพื่อวัตถุประสงค์เกี่ยวกับการตลาดแบบตรง
  - เพื่อวัตถุประสงค์เกี่ยวกับการศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ เว้นแต่เป็นการจำเป็นเพื่อการดำเนินภารกิจเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคล
- เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลได้
หน้าที่ผู้ควบคุมข้อมูล (Data Controller)
- ต้องดำเนินการให้ข้อมูลส่วนบุคคลนั้นถูกต้องเป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด
- จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม
- ดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนดระยะเวลาการเก็บรักษา
- แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สานักงานโดยไม่ชักช้าภายในเจ็ดสิบสอง (72) ชั่วโมง
- กำหนดหน้าที่และควบคุมการดำเนินงานของผู้ประมวลผลข้อมูลส่วนบุคคล
- จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของตน
- บันทึกรายการ
  - ข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม
  - วัตถุประสงค์ขงการเก็บรวบรวม
  - ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล
  - ระยะเวลาการเก็บรักษาข้อมูล
  - สิทธิวิธีการเข้าถึงข้อมูลรวมทั้งเงื่อนไขเกี่ยวกับบุคคลที่มีสิทธิเข้าถึงข้อมูล
  - การใช้หรือเปิดเผยข้อมูล
  - การปฏิเสธคำขอหรือการคัดค้าน
  - คำอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัย
หน้าที่ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)
- เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น
- จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม รวมทั้งแจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น
- จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของตน
- จัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคล
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
- ให้คำแนะนำผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเกี่ยวกับการปฏิบัติตามพระราชบัญญัตินี้
- ตรวจสอบเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
- ประสานงานและให้ความร่วมมือกับสำนักงานในการปฏิบัติตามพระราชบัญญัตินี้
- รักษาความลับของข้อมูลส่วนบุคคลที่ตนล่วงรู้
บทลงโทษ
- ความรับผิดทางแพ่ง
  - ชดใช้ค่าสินไหมทดแทนแก่เจ้าของข้อมูลส่วนบุคคล และให้หมายความรวมถึงค่าใช้จ่ายทั้งหมดที่เจ้าของข้อมูลส่วนบุคคลได้ใช้จ่ายไปตามความจำเป็นในการป้องกันความเสียหายที่กำลังจะเกิดขึ้นหรือระงับความเสียหายที่เกิดขึ้นแล้วด้วย
- โทษอาญา
  - ผู้ควบคุมข้อมูลส่วนบุคคลผู้ใดฝ่าฝืน น่าจะทำให้ผู้อื่นเกิดความเสียหาย เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย มีโทษจำคุกไม่เกินหกเดือน ( 6 เดือน ) หรือปรับไม่เกินห้าแสน ( 500,000 ) บาท หรือทั้งจำทั้งปรับ
  - ผู้ควบคุมข้อมูลส่วนบุคคลผู้ใดฝ่าฝืน เพื่อแสวงหาประโยชน์ที่มิควรได้โดยชอบด้วยกฎหมายสำหรับตนเองหรือผู้อื่น มีโทษจำคุกไม่เกินหนึ่งปี ( 1 ปี ) หรือปรับไม่เกินหนึ่งล้าน ( 1,000,000 )บาท หรือทั้งจำทั้งปรับ
  - ล่วงรู้ข้อมูลส่วนบุคคลของผู้อื่นเนื่องจากการปฏิบัติหน้าที่และนำไปเปิดเผยแก่ผู้อื่น มีโทษจำคุกไม่เกินหกเดือน ( 6 เดือน ) หรือปรับไม่เกินห้าแสน ( 500,000 ) บาท หรือทั้งจำทั้งปรับ
- โทษทางปกครอง
  - ไม่ขอความยินยอมตามแบบหรือข้อความที่คณะกรรมการประกาศ หรือไม่แจ้งผลกระทบจากการถอนความยินยอม มีโทษปรับทางปกครองไม่เกินหนึ่งล้าน ( 1,000,000 ) บาท
  - ขอความยินยอมโดยการหลอกลวงหรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์ ส่งหรือโอนข้อมูลส่วนบุคคลโดยไม่มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ มีโทษปรับทางปกครองไม่เกินสามล้าน ( 3,000,000 ) บาท
  - เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอม มีโทษปรับทางปกครองไม่เกินห้าล้าน ( 5,000,000 ) บาท
  - ต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ไม่ปฏิบัติตามมีโทษปรับทางปกครองไม่เกินหนึ่ง ( 1,000,000 ) ล้านบาท
  - ผู้ประมวลผลข้อมูลส่วนบุคคลผู้ใดไม่ปฏิบัติตามมาตรา ๔๐ โดยไม่มีเหตุอันควรหรือส่งหรือโอนข้อมูลส่วนบุคคลโดยไม่เป็นไปตามมาตรา ๒๙ วรรคหนึ่งหรือวรรคสาม หรือไม่ปฏิบัติ ตามมาตรา ๓๗ (๕) ซึ่งได้นำมาใช้บังคับโดยอนุโลมตามมาตรา ๓๘ วรรคสอง ต้องระวางโทษปรับทางปกครองไม่เกินสามล้าน ( 3,000,000 ) บาท
  - ผู้ประมวลผลข้อมูลส่วนบุคคลผู้ใดส่งหรือโอนข้อมูลส่วนบุคคลโดยไม่เป็นไปตามนโยบายในการคุ้มครองข้อมูลส่วนบุคคลที่ได้รับการตรวจสอบและรับรอง หรือไม่มีมาตรการคุ้มครองที่เหมาะสมตามหลักเกณฑ์ที่คณะกรรมการประกาศกำหนด มีโทษปรับทางปกครองไม่เกินห้าล้าน ( 5,000,000 ) บาท
  - ตัวแทนผู้ควบคุมข้อมูลส่วนบุคคลหรือตัวแทนผู้ประมวลผลข้อมูลส่วนบุคคล ผู้ใดไม่ปฏิบัติตามมาตรา ๓๙ วรรคหนึ่ง ซึ่งได้นำมาใช้บังคับโดยอนุโลมตามมาตรา ๓๙ วรรคสอง และมาตรา ๔๑ วรรคหนึ่ง ซึ่งได้นำมาใช้บังคับโดยอนุโลมตามมาตรา ๔๑ วรรคสี่ ต้องระวางโทษปรับทางปกครองไม่เกินหนึ่งล้าน ( 1,000,000 ) บาท
  - ผู้ใดไม่ปฏิบัติตามคำสั่งของคณะกรรมการผู้เชี่ยวชาญหรือไม่อำนวยความสะดวกแก่พนักงานเจ้าหน้าที่ มีโทษปรับทางปกครองไม่เกินห้าแสน ( 500,000 ) บาท
  - กรณีที่เห็นสมควรคณะกรรมการผู้เชี่ยวชาญจะสั่งให้แก้ไขหรือตักเตือนก่อนก็ได้

หน่วยงานที่เกี่ยวข้อง

สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (ส.ค.ส.) เป็นหน่วยงานที่คอยกำหนดมาตรฐานในการเก็บรวมรวม การใช้ และการเปิดเผยข้อมูลส่วนบุคคล และให้ความรู้แก่เจ้าหน้าที่ภาครัฐ เอกชน และบุคคลทั่วไปให้มีความรู้ความเข้าใจเกี่ยวกับข้อมูลส่วนบุคคล
คณะกรรมการผู้เชี่ยวชาญ มีหน้าที่พิจารณาเรื่องร้องเรียนเมื่อมีการละเมิด ตรวจสอบผู้เก็บข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลที่ก่อให้เกิดความเสียหายแก่เจ้าของข้อมูลส่วนบุคคล และไกล่เกลี่ยข้อพิพาทต่าง ๆ

เว็บไซต์ iLAW (https://ilaw.or.th/node/5669)
เว็บไซต์ ZCinfotec (https://www.acinfotec.com/2019/07/23/data-protection-law-2562/)
เว็บไซต์ SiamPhone (https://news.siamphone.com/news-43468.html)
เว็บไซต์ TTN Consult (https://www.ttnconsult.com/content/7643/พระราชบัญญัติข้อมูลส่วนบุคคล-พศ-2562-พรบคุ้มครองข้อมูลส่วนบุคคล)
เว็บไซต์ Matichon (https://www.matichon.co.th/politics/politics-in-depth/news_1451560)