พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

พรบ.ข้อมูลส่วนบุคคล

27 พฤษภาคม 2562 ราชกิจจานุเบกษาเผยแพร่ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ พ.ร.บ. ข้อมูลส่วนบุคคล… ซึ่งผ่านการพิจารณาโดยสภานิติบัญญัติแห่งชาติ หรือ สนช. หรือสภาแต่งตั้ง ก่อนที่สภาชุดนี้จะหมดอายุลง… กฎหมายฉบับที่ผ่านในยุคของรัฐบาลทหารเขียนข้อยกเว้นไว้กว้างขวาง โดยเฉพาะยกเว้นไม่คุ้มครองข้อมูลในกิจการของหน่วยงานความมั่นคง และแทบจะยกเว้นให้กิจการของรัฐไม่ต้องทำตามกฎหมายนี้ 

ดังนั้นการบังคับใช้กฎหมายฉบับนี้ จึงมุ่งเน้นไปที่ผู้ประกอบการภาคธุรกิจเป็นหลัก… แม้ว่ากฎหมายฉบับนี้จะมีผลบังคับใช้จริงช่วงเดือนพฤษภาคม 2563 ก็จริง… แต่ฝั่งเอกชนและผู้ประกอบการต่างเคลื่อนไหวในประเด็นนี้อย่างจริงจังมาก โดยเฉพาะฝั่ง IT ที่ต้องตื่นตัวก่อนจะถึงวาระจริงที่กฎหมายบังคับใช้

ผู้ประกอบการที่ต้องเก็บข้อมูลของลูกค้า ลูกจ้าง ผู้มาติดต่อ หรือเคยนำข้อมูลบุคคลที่สามมาวิเคราะห์และพัฒนาการขายหรือการให้บริการ จนเป็นส่วนหนึ่งของการทำธุรกิจ จำเป็นจะต้องรีบปรับตัวให้ทันการบังคับใช้กฎหมายฉบับนี้แต่เนิ่นๆ ครับ… เพื่อให้ระบบการเก็บข้อมูลและการใช้ข้อมูล ไม่เข้าข่ายกระทำผิดจนถูกลงโทษตามกฎหมาย และเพื่อคุ้มครองสิทธิของเจ้าของข้อมูลได้อย่างมีมาตรฐาน

วันนี้เลยมาดูข้อเท็จจริงหลักๆ ที่ควรรู้เกี่ยวกับ พ.ร.บ. ข้อมูลส่วนบุคคล ที่ควรรู้ทั้งในฐานะผู้ประกอบการและในฐานะที่ทุกคนล้วนเป็นเจ้าของข้อมูลที่ควรระมัดระวังและรู้สิทธิส่วนตน… 

1. การเก็บข้อมูล ใช้ข้อมูล เปิดเผยข้อมูล ต้องได้รับความยินยอมเสมอ

หลักการทั่วไปนี้เขียนไว้ชัดเจนใน พ.ร.บ.ข้อมูลส่วนบุคคล มาตรา 19 ที่ว่า “ผู้ควบคุมข้อมูลส่วนบุคคลจะกระทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไม่ได้ หากเจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมไว้ก่อนหรือในขณะน้ัน เว้นแต่บทบัญญัติ แห่งพระราชบัญญัติน้ีหรือกฎหมายอื่นบัญญัติให้กระทำได้”

การกระทำใดๆ กับข้อมูลส่วนบุคคลของผู้อื่นโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล มาตรา 83 กำหนดโทษปรับทางปกครองไว้ สูงสุดไม่เกิน 3,000,000 บาท

สำหรับข้อมูลส่วนบุคคลที่มีความอ่อนไหวเป็นพิเศษ เช่น ข้อมูลเรื่องเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ ฯลฯ มาตรา 26 กำหนดว่า ต้องได้รับ “ความยินยอมโดยชัดแจ้ง” จากเจ้าของข้อมูล การเก็บข้อมูลที่มีความอ่อนไหวโดยไม่ได้รับความยินยอมโดยชัดแจ้ง และน่าจะทำให้เจ้าของข้อมูลเสียหาย มาตรา 79 วรรคสอง กำหนดโทษจำคุกไม่เกิน 1 ปี ปรับไม่เกิน 1,000,000 บาท

การเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอม และน่าจะทำให้เจ้าของข้อมูลเสียหาย มาตรา 79 กำหนดโทษจำคุกไม่เกิน 6 เดือน ปรับไม่เกิน 500,000 บาท ถ้าผู้ประกอบการเปิดเผยข้อมูลเพื่อแสวงหาประโยชน์ที่มิควรได้ โดยไม่ได้รับความยินยอม มาตรา 79 วรรคสอง กำหนดโทษจำคุกไม่เกิน 1 ปี ปรับไม่เกิน 1,000,000 บาท

2. การขอความยินยอม ต้องทำเป็นหนังสือหรือผ่านระบบออนไลน์ตามแบบที่กำหนดไว้

มาตรา 19 วรรคสอง กำหนดว่า “การขอความยินยอมต้องทำโดยชัดแจ้ง เป็นหนังสือหรือทำโดยผ่านระบบอิเล็กทรอนิกส์ เว้นแต่ โดยสภาพไม่อาจขอความยินยอมด้วยวิธีการดังกล่าวได้”

ในการขอความยินยอม ต้องแจ้งวัตถุประสงค์ของการเก็บข้อมูล การใช้ข้อมูล การเปิดเผยข้อมูล และเพื่อไม่ให้ผู้ประกอบการแอบวางข้อความขอความยินยอมไว้เล็กๆ ไม่ให้เจ้าของข้อมูลสังเกตเห็น มาตรา 19 วรรคสาม จึงกำหนดว่า การขอความยินยอมต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน มีข้อความที่เข้าถึงได้ง่ายและเข้าใจได้ ใช้ภาษาที่อ่านง่าย ซึ่งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลอาจออกประกาศกำหนดแบบของเอกสารขอความยินยอม ผู้ประกอบการจึงต้องติดตามประกาศที่จะออกตามมาอย่างใกล้ชิด

นอกจากนี้ ในการขอความยินยอมผู้ประกอบการต้องให้อิสระในการตัดสินใจแก่เจ้าของข้อมูล ต้องไม่ถือเอาความยินยอมในการเก็บและใช้ข้อมูลเป็นเงื่อนไขในการเข้าทำสัญญาหรือการให้บริการต่างๆ โดยเจ้าของข้อมูลที่ให้ความยินยอมไปแล้วหากเปลี่ยนใจก็มีสิทธิจะถอนความยินยอมเมื่อใดก็ได้ ผู้ประกอบการต้องจัดช่องทางไว้ให้ถอนความยินยอมได้โดยง่ายเช่นเดียวกับการให้ความยินยอม หากการขอความยินยอมทำไม่ถูกต้องตามที่กฎหมายเขียนไว้ ก็จะไม่ทำให้ผู้ประกอบการมีสิทธิเก็บข้อมูลหรือนำข้อมูลไปใช้ได้

การกระทำใดๆ กับข้อมูลส่วนบุคคลของผู้อื่นโดยไม่ได้ผ่านการขอความยินยอมตามรูปแบบที่ถูกต้อง มาตรา 82 กำหนดโทษปรับทางปกครองไว้ สูงสุดไม่เกิน 1,000,000 บาท

3. การเก็บข้อมูล ต้องแจ้งรายละเอียดและแจ้งสิทธิต่อเจ้าของข้อมูล

มาตรา 23 กำหนดว่า แม้จะได้รับความยินยอมให้เก็บข้อมูลแล้วก็ตาม แต่ในการเก็บข้อมูลส่วนบุคคลจะต้องแจ้งให้เจ้าของข้อมูลทราบถึงรายละเอียดที่เกี่ยวข้อง ได้แก่ วัตถุประสงค์ของการเก็บรวบรวมข้อมูล ข้อมูลที่จะเก็บรวบรวมและระยะเวลาที่คาดหมายได้ว่า จะเก็บข้อมูลไว้ บุคคลหรือหน่วยงานที่ข้อมูลอาจจะถูกเปิดเผย ข้อมูลของผู้ประกอบการและตัวแทนที่เป็นผู้เก็บข้อมูล สถานที่ติดต่อ และวิธีการติดต่อ   

นอกจากนี้ยังต้องแจ้งสิทธิของเจ้าของข้อมูลให้ทราบด้วย เช่น สิทธิเข้าถึงและขอสำเนาข้อมูล สิทธิคัดค้านการเก็บข้อมูลและการใช้ข้อมูล สิทธิขอให้ลบหรือทำลายข้อมูล สิทธิขอให้แก้ไขข้อมูลให้ถูกต้อง สิทธิร้องเรียนว่า มีการละเมิดข้อมูลส่วนบุคคลตามกฎหมายนี้ ฯลฯ 

การกระทำใดๆ กับข้อมูลส่วนบุคคลของผู้อื่นโดยไม่ได้แจ้งวัตถุประสงค์ แจ้งรายละเอียด และแจ้งสิทธิของเจ้าของข้อมูล มาตรา 82 กำหนดโทษปรับทางปกครองไว้ สูงสุดไม่เกิน 1,000,000 บาท

4. ต้องเก็บข้อมูลจากเจ้าของข้อมูลเท่านั้น ยกเว้นแต่รีบแจ้งเจ้าของข้อมูล พร้อมแจ้งสิทธิ์ภายใน 30 วัน… และต้องได้รับการยินยอมจากเจ้าของข้อมูลด้วย

แม้จะได้รับความยินยอมจากเจ้าของข้อมูลแล้วก็ตาม แต่มาตรา 25 กำหนดว่า การเก็บข้อมูลต้องเก็บจากเจ้าของข้อมูลเท่านั้น กล่าวคือ ต้องให้เจ้าของข้อมูลเป็นผู้กรอกข้อมูลและมอบให้โดยตรง ผู้ประกอบการไม่สามารถเก็บข้อมูลจากแหล่งอื่นได้ เช่น ไม่สามารถค้นหาข้อมูลจากอินเทอร์เน็ตและบันทึกไว้เอง ไม่สามารถซื้อข้อมูลต่อมาจากผู้ประกอบการรายอื่น แม้จะได้รับความยินยอมแล้วก็ตาม

อย่างไรก็ตาม หลักการนี้มีข้อยกเว้นอยู่มากมาย ผู้ประกอบการยังสามารถเก็บข้อมูลจากแหล่งอื่นได้ ถ้าหากเมื่อเก็บข้อมูลแล้วได้แจ้งให้เจ้าของข้อมูลทราบพร้อมกับแจ้งสิทธิต่อเจ้าของข้อมูลโดยไม่ชักช้า หรือภายใน 30 วัน และได้รับความยินยอมจากเจ้าของข้อมูลให้เก็บข้อมูลจากแหล่งอื่นได้ แต่ผู้ประกอบการอาจจะไม่ต้องแจ้งให้เจ้าของข้อมูลทราบและขอความยินยอมใหม่เลย หากเป็นกรณีที่เจ้าของข้อมูลทราบอยู่แล้ว หรือต้องกระทำโดยเร่งด่วนตามที่กฎหมายกำหนด หรือกฎหมายกำหนดให้รายละเอียดบางประการเป็นความลับ

การเก็บข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ได้จากเจ้าของข้อมูลโดยตรง โดยไม่มีข้อยกเว้นให้เก็บข้อมูลได้ มาตรา 83 กำหนดโทษปรับทางปกครองไว้ สูงสุดไม่เกิน 3,000,000 บาท

5. ธุรกิจใหญ่ที่มีข้อมูลส่วนบุคคลเป็นจำนวนมาก ต้องมี “เจ้าหน้าที่คุ้มครองข้อมูล” ของตัวเอง

กรณีที่ผู้เก็บข้อมูลเป็นหน่วยงานของรัฐ หรือเป็นผู้ประกอบการที่มีข้อมูลส่วนบุคคลเป็นจำนวนมาก หรือผู้ประกอบการที่กิจกรรมหลักเป็นการเก็บข้อมูล การใช้ข้อมูล หรือการเปิดเผยข้อมูล ต้องจัดให้มี “เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” เป็นของตัวเอง ซึ่งอาจเป็นพนักงานของผู้ประกอบการนั้นๆ หรือเป็นผู้รับจ้างให้บริการ หรือ outsource ก็ได้ 

โดยเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลมีหน้าที่ให้คำแนะนำและตรวจสอบการดำเนินการของผู้ประกอบการให้เป็นไปโดยถูกต้องตามกฎหมายนี้ ผู้ประกอบการจะต้องสนับสนุนการทำงานของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ต้องให้เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลรายงานปัญหาไปยังผู้บริหารสูงสุดได้ และต้องไม่ไล่เจ้าหน้าที่ออกจากงานหรือเลิกจ้างเพราะการทำหน้าที่คุ้มครองข้อมูลตามกฎหมายนี้ ขณะเดียวกันเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลมีหน้าที่ต้องแจ้งข้อมูลของตัวเองและวิธีการติดต่อให้กับเจ้าของข้อมูลและให้สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลทราบ 

ผู้ประกอบการที่ไม่จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล มาตรา 85 กำหนดโทษปรับทางปกครองไว้ สูงสุดไม่เกิน 1,000,000 บาท

6. การตรวจสอบการเก็บและใช้ข้อมูล กระทำโดยคณะกรรมการผู้เชี่ยวชาญตามมาตรา 71

มาตรา 71 คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจะแต่งตั้งคณะกรรมการผู้เชี่ยวชาญขึ้นมาเพื่อพิจารณาเรื่องร้องเรียนและตรวจสอบการกระทำของผู้ประกอบการ เมื่อเจ้าของข้อมูลเห็นว่า มีการเก็บข้อมูล ใช้ข้อมูล หรือเปิดเผยข้อมูลของตัวเองโดยปฏิบัติไม่ถูกต้องตามกฎหมายนี้ เช่น ไม่ได้ขอความยินยอมก่อน หรือไม่ได้แจ้งรายละเอียดให้เจ้าของข้อมูลทราบ ก็สามารถร้องเรียนไปยังคณะกรรมการผู้เชี่ยวชาญได้

หากคณะกรรมการผู้เชี่ยวชาญพิจารณาแล้วเห็นว่า มีการปฏิบัติที่ไม่ถูกต้องจริง อาจให้มีการไกล่เกลี่ยกัน และมีอำนาจสั่งให้ผู้ประกอบการแก้ไขให้ถูกต้อง หรือสั่งห้ามกระทำการที่ก่อให้เกิดความเสียหายแก่เจ้าของข้อมูลได้ มาตรา 90 ให้อำนาจกับคณะกรรมการผู้เชี่ยวชาญสามารถสั่งปรับได้ โดยคำนึงถึงความร้ายแรงของการกระทำความผิด และขนาดของกิจการ หรืออาจจะสั่งเพียงแค่ให้แก้ไขและตักเตือนก่อนก็ได้

ในการตรวจสอบข้อเท็จจริง คณะกรรมการผู้เชี่ยวชาญมีอำนาจสั่งให้ส่งเอกสารหรือให้ข้อมูล หรือเรียกบุคคลมาชี้แจงข้อมูลได้ หากมีความจำเป็นก็อาจยื่นคำร้องต่อศาลเพื่อขอเข้าค้น และยึดเอกสารเพื่อตรวจสอบข้อเท็จจริงได้ หากผู้ประกอบกิจการได้รับคำสั่งจากคณะกรรมการผู้เชี่ยวชาญแล้วไม่ให้ความร่วมมือ ไม่มาชี้แจงข้อเท็จจิรง มาตรา 89 กำหนดโทษปรับทางปกครองไว้ สูงสุดไม่เกิน 500,000 บาท

7. ข้อมูลคนตาย กฎหมายไม่คุ้มครอง

ตามาตรา 6 กำหนดนิยามของ “ข้อมูลส่วนบุคคล” ไว้ว่า “ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ” ดังนั้น ข้อมูลที่เกี่ยวข้องกับผู้ที่เสียชีวิตแล้ว จึงไม่อยู่ภายใต้การคุ้มครองของกฎหมายนี้ การเก็บข้อมูล การใช้ข้อมูล และการเปิดเผยข้อมูลของผู้ที่เสียชีวิตแล้วสามารถทำได้โดยไม่ต้องขอความยินยอมจากทายาทก่อน

8. คุ้มครองข้อมูลของคนในประเทศ คลอบคลุมกิจการของบริษัทและองค์กรต่างชาติ

โดยหลักการทั่วไป กฎหมายของไทยที่ประกาศใช้ออกมาจะมีผลใช้บังคับเฉพาะกับการกระทำที่เกิดขึ้นในประเทศไทยเท่านั้น แต่ด้วยโลกยุคปัจจุบันการติดต่อสื่อสาร การส่งข้อมูล การเก็บข้อมูล และการใช้ข้อมูล เกิดขึ้นข้ามพรมแดนตลอดเวลา กฎหมายนี้จึงเขียนขอบเขตอำนาจการบังคับใช้ไว้กว้างขึ้นเป็นพิเศษ ตามมาตรา 5 พ.ร.บ.ข้อมูลส่วนบุคคล จะใช้บังคับกับผู้ประกอบการที่อยู่ในประเทศไทย ไม่ว่า การเก็บข้อมูล การใช้ข้อมูล หรือการเปิดเผยข้อมูล จะเกิดขึ้นในประเทศหรือต่างประเทศก็ตาม

และพ.ร.บ.ข้อมูลส่วนบุคคล ยังใช้บังคับกับ การเสนอขายสินค้าหรือบริการให้แก่คนที่อยู่ในประเทศไทย หรือการเฝ้าติดตามพฤติกรรมของคนที่อยู่ในประเทศไทยด้วย ไม่ว่า ผู้ประกอบการที่เก็บข้อมูล หรือใช้ข้อมูล หรือเปิดเผยข้อมูลจะอยู่ในประเทศหรือต่างประเทศก็ตาม

9. การฝ่าฝืนกฎหมายนี้ อาจมี “ค่าเสียหายเชิงลงโทษ” ต้องจ่ายสองเท่าจากค่าเสียหายที่แท้จริง ตามมาตรา 77

มาตรา 77 กำหนดว่า ผู้ประกอบการที่ฝ่าฝืน พ.ร.บ.ข้อมูลส่วนบุคคล ทำให้เกิดความเสียหายต่อเจ้าของข้อมูลต้องชดใช้ค่าเสียหายแก่เจ้าของข้อมูล เว้นแต่เป็นเหตุสุดวิสัย หรือความเสียหายเกิดจากการกระทำของเจ้าของข้อมูลเอง หรือเป็นการปฏิบัติตามคำสั่งตามกฎหมายของเจ้าหน้าที่ 

กรณีที่ศาลตัดสินให้ผู้ประกอบการต้องจ่ายค่าเสียหายแก่เจ้าของข้อมูล ตามมาตรา 78 ศาลมีอำนาจสั่งให้ผู้ประกอบการจ่าย “ค่าเสียหายเชิงลงโทษ” เพิ่มขึ้นจากจำนวนค่าเสียหายที่แท้จริงได้ตามที่ศาลกำหนด แต่ไม่เกินสองเท่าของค่าเสียหายที่แท้จริง ค่าเสียหายเชิงลงโทษในที่นี้เป็นเงินที่ต้องจ่ายเพิ่มจากความเสียที่เกิดขึ้นจริง ซึ่งเป็นมาตรการเพื่อ “ปราม” ไม่ให้ผู้ประกอบการกล้ากระทำความผิดอีก โดยศาลอาจกำหนดให้จ่ายค่าเสียหายโดยคำนึงถึงความร้ายแรงของความเสียหาย ผลประโยชน์ที่ผู้ประกอบการได้รับจากข้อมูลส่วนบุคคล สถานะทางการเงินของผู้ประกอบการ

Share this post

Share on facebook
Share on google
Share on twitter
Share on linkedin
Share on pinterest
Share on print
Share on email
Add Properea's Friend

เพิ่ม Properea.com เป็นเพื่อนทาง Line ท่านจะได้ Link บทความใหม่ทุกเช้า

Related Post

VG Smartglass กระจกที่ไม่หยุดสมาร์ทเพราะขาดไฟ

กระจกถือเป็นวัสดุก่อสร้างที่ใช้กับอาคารบ้านเรือนมากมาย… สำหรับผม กระจกถือเป็นวัสดุก่อสร้างมหัศจรรย์ ที่สามารถเลือกใช้เพื่อความสะดวกก็ได้… เลือกใช้เพื่อความสวยงามก็ได้… เลือกใช้เพื่อความตื่นเต้นก็ยังได้

สุดประจิมที่ริมเมย…

19 มีนาคมที่ผ่านมา… พลเอกประยุทธ์ จันทร์โอชา นายกรัฐมนตรีเดินทางเข้าแม่สอดพร้อมกับ นางอองซาน ซูจี ที่ปรึกษาแห่งรัฐสาธารณรัฐแห่งสหภาพพม่า ในพิธีฉลองการก่อสร้างสะพานมิตรภาพไทย – เมียนมา ข้ามแม่น้ำเมยหรือแม่น้ำตองยิน เชื่อมแม่สอดกับเมียวดี… ท่ามกลางความร้อนระอุทางการเมืองของทั้งสองชาติ

Food Factory

ขั้นตอนเปิดโรงงานผลิตอาหาร

สถานที่ผลิตอาหารที่เข้าข่ายโรงงาน ต้องมีคุณสมบัติตามพระราชบัญญัติโรงงาน พ.ศ. 2562… ซึ่งสาระสำคัญสถานที่ ที่เข้าข่ายโรงงานต้องมีการใช้เครื่องจักรที่มีกำลังตั้งแต่ 50 แรงม้าขึ้นไป หรือใช้คนงานตั้งแต่ 50 คนขึ้นไป ใช้หรือไม่ใช้เครื่องจักรก็ได้

Construction

Big Data for Construction Industry

ในอุตสาหกรรมก่อสร้างก็หนีไม่พ้นที่จะต้องขับเคลื่อนด้วยดิจิตอลเช่นกัน แม้ข้อจำกัดเรื่องการก่อสร้างและติดตั้งอุปกรณ์ซึ่งเป็นงาน Onsite Operations เป็นส่วนใหญ่ แต่งาน Management หรืองานการจัดการมากมาย องค์กรที่พร้อมปรับไปสู่ดิจิตอลก็ได้เคลื่อนไหวเปลี่ยนแปลงกันอย่างคึกคักไปแล้วทั่วโลก…