PDPA : พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

 {fullWidth}

ความเข้าใจเบื้องต้นเกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล

           พ.ร.บ. คุ ้มครองข้อมูลส่วนบุคคลเป็นกฎหมายที ่มีวัตถุประสงค์เพื ่อการคุ ้มครองสิทธิเกี่ยวกับข้อมูลส่วนบุคคลของประชาชนในฐานะเจ้าของข้อมูลส่วนบุคคลโดยกำหนดหน้าที ่และความรับผิดชอบให้องค์กรปฏิบัติตามกฎหมาย บทบัญญัติใน พ.ร.บ. คุ ้มครองข้อมูลส่วนบุคคล มีลักษณะพิเศษแตกต่างจากกฎหมาย ฉบับอื่น กล่าวคือ ไม่ได้มุ่งเน้นเพียงสภาพบังคับให้กระทำหรือไม่กระทำเท่านั้น แต่บทบัญญัติส่งเสริมการสร้าง ความตระหนักรู ้ และการทบทวนกระบวนการทำงาน เพื ่อให้การกระทำใดก็ตามที ่เกี่ยวข้องกับข้อมูลส่วนบุคคล เป็นไปอย่างเหมาะสม โดยตระหนักถึงมาตรการด้านความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ความเป็นธรรม ในการใช้ข้อมูล และความโปร่งใสต่อเจ้าของข้อมูลส่วนบุคคล สอดคล้องกับวัตถุประสงค์ของกฎหมายในการ คุ้มครองสิทธิความเป็นส่วนตัวภายใต้หลักการของรัฐธรรมนูญ

“กฎหมายไม่ได้มุ่งสร้างภาระในการเก็บและใช้ข้อมูล แต่ต้องการให้มีกระบวนการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลอย่างเหมาะสม ปลอดภัย โดยคำนึงถึงสิทธิความเป็นส่วนตัวของบุคคลเพื่อให้ได้รับผลกระทบน้อยที่สุด” {alertInfo}

ทั้งนี ้ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื ่อประโยชน์ส่วนตัว หรือกิจกรรมในครอบครัว ได้รับการยกเว้น ทำให้ไม่ต้องปฏิบัติตามกฎหมายนี้ 

กฎหมายฉบับนี ้ได้บัญญัติรับรองและยืนยันสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคลของประชาชนเอาไว้ โดยคุ ้มครองประชาชนในฐานะเจ้าของข้อมูลส่วนบุคคลจากการกระทำที ่ไม่ชอบด้วยกฎหมาย ไม่เฉพาะเพียงแต่กรณีที ่เกิดเหตุการละเมิดข้อมูลส่วนบุคคลเท่านั ้น แต่ยังรวมถึงการกำหนดให้องค์กรต่าง ๆ ที ่มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลต้องมีฐานทางกฎหมายในการประมวลผล กล่าวคือ ต้องสามารถอ้างได้ว่ามีสิทธิบางประการตามที ่กฎหมายกำหนดในการนำข้อมูลส่วนบุคคลไปใช้ (ตามมาตรา 24 และมาตรา 26 แล้วแต่กรณี) การใช้ข้อมูลให้น้อยที่สุด สอดคล้องกับวัตถุประสงค์ที่ชอบด้วยกฎหมายและเพียงเท่าที ่จำเป็น อีกทั ้งประการสำคัญคือ “ความโปร่งใส” ในการประมวลผลข้อมูลส่วนบุคคลที ่ต้องคำนึงถึง “ความเป็นธรรม” ต่อเจ้าของข้อมูลส่วนบุคคลด้วย 

ภายใต้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ได้กำหนดให้มีผู้เกี่ยวข้อง 3 บทบาท ได้แก่ 

• เจ้าของข้อมูลส่วนบุคคล (Data Subject) คือ บุคคลธรรมดาผู ้มีสิทธิตามกฎหมาย ซึ ่งข้อมูลนั้นบ่งชี้ไปถึงบุคคลดังกล่าวไม่ว่าทางตรงหรือทางอ้อม 

• ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ บุคคลหรือนิติบุคคล ซึ่งมีอำนาจตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล 

• ผู ้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ บุคคลหรือนิติบุคคล ซึ ่งดำเนินการเกี ่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั ่งหรือในนามของผู ้ควบคุมข้อมูลส่วนบุคคลซึ่งไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล

ผู้ควบคุมข้อมูลส่วนบุคคล

ผู้ควบคุมข้อมูลส่วนบุคคล ได้แก่ บริษัท ห้างหุ ้นส่วนทั ้งเป็นนิติบุคคลและไม่เป็น นิติบุคคล หรือผู ้ประกอบธุรกิจฟรีแลนซ์ ที ่มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคลของลูกค้าหรือพนักงาน 

ตัวอย่าง ร้านกาแฟเป็นห้างหุ ้นส่วน นิติบุคคลมีการเก็บรวบรวมข้อมูลลูกค้าเพื่อ ใช้ทำระบบสมาชิก 

หน้าที ่ส่วนใหญ่ตามกฎหมายนี ้กำหนด ให้เป็นหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล

ผู้ประมวลผลข้อมูลส่วนบุคคล

ผู้ประมวลผลข้อมูลส่วนบุคคล ได้แก่ บริษัท ห้างหุ ้นส่วนทั ้งเป็นนิติบุคคลและไม่เป็น นิติบุคคล และผู ้ประกอบธุรกิจฟรีแลนซ์ที ่รับจ้าง หรือให้บริการแก่ผู ้ควบคุมข้อมูลส่วนบุคคล ทำกิจกรรมที ่มีการเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคล ตัวอย่าง ธุรกิจร้านค้าอาจจ้างบริษัทอื ่น ให้จัดการข้อมูลสั ่งซื ้อสินค้าหรือดูแลเฟซบุ ๊กเพจ ของร้าน ซึ ่งต้องมีการเก็บรวบรวมและใช้ข้อมูล ส่วนบุคคลของลูกค้า 

ที่มา :   คู่มือ PDPA สำหรับประชาชน (เผยแพร่เมื่อวันที่ 23 มิถุนายน 2565) 

แบบทดสอบ : ความเข้าใจเบื้องต้นเกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล