PDPA (Personal Data Protection Act B.E. 2019)
PDPA หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีผลบังคับใช้วันที่ 1 มิถุนายน 2565 เป็นกฎหมายว่าด้วยการให้สิทธิ์กับเจ้าของข้อมูลส่วนบุคคล สร้างมาตรฐานการรักษาข้อมูลส่วนบุคคลให้ปลอดภัย และนำไปใช้ให้ถูกวัตถุประสงค์ตามคำยินยอมที่เจ้าของข้อมูลส่วนบุคคลอนุญาต
ขอบเขตของกฎหมาย
ใช้บังคับกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล ซึ่งเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ที่อยู่ในประเทศไทย
ประเภทของข้อมูลส่วนบุคล
ข้อมูลส่วนบุคคลทั่วไป (Personal Data) เช่น ชื่อ นามสกุล อายุ ที่อยู่ หมายเลขบัตรประชาชน หมายเลขโทรศัพท์ ประวัติการทำงาน และรูปถ่าย เป็นต้น
ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) เช่น ศาสนา ความเชื่อ เชื้อชาติ เผ่าพันธุ์ ข้อมูลสุขภาพ ความพิการ พฤติกรรมทางเพศ ประวัติอาชญากรรม ความคิดเห็นทางการเมือง ข้อมูลพันธุกรรม ข้อมูลชีวภาพ
สาเหตุที่ต้องจำแนกข้อมูลส่วนบุคคลเป็น 2 ประเภท เนื่องจากข้อมูลที่มีความละเอียดอ่อน เป็นข้อมูลที่มีบทลงโทษที่รุนแรงกว่าข้อมูลส่วนบุคคลทั่วไป เพราะหากข้อมูลส่วนบุคคลที่มีความละเอียดอ่อนมีการรั่วไหลไปสู่สาธารณะแล้ว จะนำมาสู่ความเป็นอคติและจะมีผลกระทบต่อชีวิตส่วนบุคคลได้มากกว่าข้อมูลทั่วไปเป็นอย่างมาก นั่นเอง
สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Right)
สิทธิของเจ้าของข้อมูล เจ้าของข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลหรือ PDPA จะต้องให้ความยินยอมแก่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประกอบการเพื่อรวบรวม ใช้ หรือเปิดเผยข้อมูล ซึ่งเจ้าของข้อมูลก็มีสิทธิในข้อมูลของตัวเองตามกฎหมาย และสามารถใช้สิทธินั้นได้โดยแบ่งออกได้ ดังนี้
- สิทธิได้รับการแจ้งให้ทราบ
- สิทธิขอเข้าถึงข้อมูลส่วนบุคคล
- สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
- สิทธิขอให้ลบหรือทำลาย
- สิทธิในการเพิกถอนความยินยอม
- สิทธิขอให้ระงับการใช้ข้อมูล
- สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล
- สิทธิในการขอให้โอนข้อมูลส่วนบุคคล
ความรับผิดและบทลงโทษของ PDPA
โทษทางอาญา
- ระวางโทษสูงสุดจำคุกไม่เกิน 1 ปีหรือปรับไม่เกิน 1,000,000 บาท หรือทั้งจำทั้งปรับ ในกรณีเป็นนิติบุคคล ผู้รับผิดชอบดำเนินงานของนิติบุคคลอาจต้องร่วมรับผิดในความผิดอาญา
ความรับผิดทางแพ่ง
- ผู้กระทำการละเมิดข้อมูลส่วนบุคคลต้องชดใช้สินไหมค่าทดแทนให้กับเจ้าของข้อมูลส่วนบุคคลสูงสุด 2 เท่าของค่าเสียหายตามจริง
โทษทางปกครอง
- กรณีที่ไม่ปฏิบัติตามที่กฎหมายกำหนด เช่น ขอความยินยอมโดยหลอกลวงเจ้าของข้อมูลส่วนบุคคล โทษปรับทางปกครองสูงสุด 5,000,000 บาท
หากไม่ปฏิบัติตามมีบทลงโทษอย่างไรบ้าง
PDPA Consulting Service
เราเป็นผู้เชี่ยวชาญ ที่พร้อมให้คำปรึกษาด้านมาตรฐานทาง Cybersecurity, Data Security and Privacy รวมไปถึงกฎหมาย หรือระเบียบที่เกี่ยวข้อง โดยเฉพาะอย่างยิ่งกฏหมายพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA ซึ่งเรามีผู้เชี่ยวชาญคอยบริการให้คำปรึกษาอย่างครอบคลุมแบบ One-Stop-Service ทั้งในเรื่องของ
- PDPA/GDPR consulting service
- DPO outsourcing service
- PDPA audit service
- PDPA implementation service
- PDPA awareness training service
เรามี มีบริการทางด้าน PDPA ช่วยให้องค์กรคุณ หมดกังวลเรื่องการเข้าตรวจสอบของ Audit หรือการละเมิดต่อข้อมูลส่วนบุคคล อีกทั้ง ข้อมูลสำคัญขององค์กร และข้อมูลส่วนบุคคลจะถูกจัดเก็บ ใช้งาน และเผยแพร่อย่างปลอดภัยและเป็นระบบยิ่งขึ้น สอดคล้องตามกฎหมาย PDPA มาพร้อมทีมงานผู้เชี่ยวชาญให้คำปรึกษา ตอบปัญหา ข้อหารือต่าง ๆ ของคณะกรรมการตรวจสอบ เพื่อการปรับปรุงซึ่งเป็นประโยชน์ต่อการปฏิบัติงานของบริษัทมากยิ่งขึ้น