Special track
ในช่วงหลายเดือนที่ผ่านมา เมื่อเราเปิดใช้งานเว็บไซต์จะมี POP UP ขึ้นมาให้กดยอมรับคุ๊กกี้ (cookies) ซึ่งเป็นการตื่นตัวของเจ้าของเว็บไซต์ถ้ากดยอมรับเท่ากับว่าเรายินยอมให้เจ้าของเว็บไซต์เก็บประวัติการค้นหาและนำไปใช้หรือเปิดเผยได้ตามวัตถุประสงค์แจ้ง เพื่อยิงโฆษณาตามความสนใจของผู้ใช้งานถูกต้องตามกฎหมาย PDPA
ดังนั้น เราในฐานะผู้ใช้งานจึงควรอ่านข้อความเกี่ยวกับนโยบายความเป็นส่วนตัวก่อนจะกดยอมรับ
ก่อนอื่นเรามาทำความรู้จักและทำความเข้าใจกฎหมาย PDPAกันก่อนดีกว่า
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act) หรือ กฎหมาย PDPA ประกาศไว้ในราชกิจจานุเบกษาเมื่อวันที่ 27 พฤษภาคม 2562 ซึ่งได้เลื่อนให้มีผลบังคับใช้ในวันที่ 1 มิถุนายน 2565 ที่จะถึงนี้
กฎหมาย PDPA คืออะไร เกี่ยวข้องกับผู้ประกอบการอย่างไร
กฎหมาย PDPA เป็นกฎหมายเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล และสิทธิของเจ้าของข้อมูลส่วนบุคคล พูดง่ายๆก็คือ ถ้าบุคคลธรรมดา หรือ นิติบุคคล เช่น บริษัท หจก. จะเก็บและนำข้อมูลส่วนบุคคลของผู้อื่นไปใช้ต้องได้รับความยินยอมจากเจ้าของข้อมูลก่อน จะนำไปใช้โดยพลการไม่ได้ และแม้ได้รับความยินยอมก็ทำได้ภายในวัตถุประสงค์ที่ได้แจ้งให้เจ้าของข้อมูลทราบเท่านั้น
ข้อมูลที่ได้รับความคุ้มครองภายใต้กฎหมาย PDPA
ข้อมูลส่วนบุคคล คือ ข้อมูลเกี่ยวกับบุคคลที่ทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม ไม่รวมถึงข้อมูลผู้ถึงแก่กรรมโดยเฉพาะ
ตัวอย่างข้อมูลส่วนบุคคล เช่น
* ชื่อ นามสกุล ที่อยู่ วันเดือนปีเกิด สัญชาติ เบอร์โทรศัพท์
* ทะเบียนรถ
* เลขที่บัญชี โฉนดที่ดิน
* Ip address, username , password
* Gps location
ข้อมูลส่วนตัวที่เป็นข้อมูลอ่อนไหวที่เก็บไม่ได้
เชื้อชาติ เผ่าพันธุ์
ความคิดเห็นทางการเมือง
ความเชื่อในลัทธิ ศาสนาหรือปรัชญา
พฤติกรรมทางเพศ
ประวัติอาชญากรรม
ข้อมูลด้านสุขภาพ ความพิการ เช่น โรคประจำตัว การฉีดวัคซีน ใบรับรองแพทย์
ข้อมูลสหภาพแรงงาน
ข้อมูลพันธุกรรม
ข้อมูลชีวภาพ เช่น ลายนิ้วมือ แบบจำลองใบหน้า
บุคคลที่เกี่ยวข้องภายใต้กฎหมาย PDPA
"ผู้ควบคุมข้อมูลส่วนบุคคล" หรือ Data controller คือ บุคคลหรือนิติบุคคลซึ่งมีอํานาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ถ้าอธิบายง่ายๆก็คือ ผู้ประกอบการที่เป็นผู้เก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบุคคลใดบุคคลหนึ่ง
"ผู้ประมวลผลข้อมูลส่วนบุคคล" Data Processor คือ บุคคลหรือนิติบุคคลซึ่งดําเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคําสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดําเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล
"เจ้าของข้อมูลส่วนบุคคล" Data Subject คือ เจ้าของข้อมูลที่ผู้ควบคุมข้อมูลส่วนบุคคล หรือ ผู้ประมวลผลข้อมูลส่วนบุคคล เก็บรวบรวม ใช้ หรือนำข้อมูลไปเปิดเผย หรือพูดง่ายๆ คือผู้ที่ได้รับความคุ้มครองภายใต้กฎหมาย PDPA นั่นเอง
ตัวอย่างเช่น เมื่อนายฮูกขอเปิดเครดิตกับธนาคาร A ผ่านทางแอพลิเคชั่นมือถือซึ่งต้องมีการแจ้งข้อมูลส่วนตัวแก่ธนาคาร A โดยความยินยอมของนายฮูก ดังนี้ ธนาคาร A จึงเป็นผู้ควบคุมข้อมูลส่วนบุคคล ส่วนนายฮูกคือเจ้าของข้อมูลส่วนบุคคล และเมื่อธนาคาร A ได้รับข้อมูลมาจากนายฮูกในฐานะลูกค้าแล้วธนาคารใช้บริการระบบ Cloud ในการจัดเก็บข้อมูลของนายฮูกแทนธนาคาร A ผู้ให้บริการ Cloud จึงเป็นผู้ประมวลผลข้อมูลส่วนบุคคล
ผู้ประกอบการจะขอความยินยอมจากเจ้าของข้อมูลได้ยังไง
1. ขอความยินยอมจากเจ้าของข้อมูลเป็นหนังสือหรือผ่านระบบอิเล็กทรอนิกส์ โดย ผู้ประกอบการต้องแจ้งวัตถุประสงค์ว่าจะเก็บรวมรวมอะไรบ้าง จะนำไปใช้อย่างไร ข้อมูลไหนจะเปิดเผยบ้าง
2. การขอความยินยอมนั้นผู้ประกอบการต้องแสดงให้เจ้าของข้อมูลส่วนบุคคลเห็นชัดเจนแยกออกจากข้อความอื่น
3. ข้อความยินยอมต้องเข้าใจง่าย ใช้ภาษาที่อ่านง่าย ไม่เป็นการหลอกลวงหรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์ที่แท้จริง
4. ในการเข้าทำสัญญาซึ่งรวมถึงการให้บริการใด ๆ ต้องไม่มีเงื่อนไขในการให้ความยินยอมเพื่อเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ไม่มีความจำเป็นหรือเกี่ยวข้องสำหรับการเข้าทำสัญญาซึ่งและการให้บริการด้วย
5. การขอความยินยอมต้องแจ้งก่อนหรือขณะเก็บรวบรวมข้อมูล
6. ถ้าผู้ประกอบการมีการเปลี่ยนวัตถุประสงค์ในการเก็บ ใช้ เปิดเผย ก็ต้องขอความยินยอมจากเจ้าของข้อมูลใหม่อีกครั้ง
ทำไมเจ้าของข้อมูลต้องให้ความยินยอม
• ป้องกันการนำข้อมูลไปใช้ หรือเปิดเผยโดยเจ้าของข้อมูลไม่ทราบ หรือไม่ได้ยินยอม
ตัวอย่าง
การนำเบอร์โทรศัพท์ไปให้บุคคลอื่นทำให้บุคคลเหล่านั้นโทรเข้ามาหรือส่งข้อความ SMS เพื่อขายสินค้า หรือ ขายบริการ
การเก็บประวัติเข้าใช้งาน หรือ Cookies ในเว็บไซต์ หรือโซเชียลมิเดียต่างๆ ทำให้รู้ว่าผู้ใช้งาน (User) มีความสนใจในเรื่องอะไร แล้วยิงโฆษณามายังผู้ใช้งาน (User) บ่อยและเป็นจำนวนมาก
ถ้าผู้ประกอบการไม่ทำตาม PDPA มีโทษอะไรบ้าง
โทษทางแพ่ง : สำหรับ Data Controller หรือ Data Processor ฝ่าฝืน PDPA แล้วทำให้เกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคล ต้องชดใช้ค่าสินไหมทดแทนเพื่อการนั้นแก่เจ้าของข้อมูลส่วนบุคคล ไม่ว่าจะเกิดจากการกระทำโดยจงใจหรือประมาทเลินเล่อก็ตาม กรณีนี้ศาลกำหนดค่าเสียหายเพิ่มขึ้นเพื่อเป็นการลงโทษได้ด้วย
โทษทางอาญา : มีทั้งโทษปรับ และโทษจำคุก โดยเฉพาะกรณีข้อมูลส่วนบุคคลอ่อนไหว
โทษทางปกครอง : ถูกปรับเงินเข้ารัฐ
สิ่งที่ผู้ประกอบการต้องทำ ภายใต้กฎหมาย PDPA
จัดทำ Privacy Policy ในรูปแบบ
1. เอกสารการจัดเก็บข้อมูลส่วนบุคคล
2. ข้อความในแอพลิเคชั่นที่ให้บริการ
3. ข้อความขอความยินยอมในการเก็บข้อมูลในเว็บไซต์ หรือ Cookies Privacy Policy
4. ขอความยินอยมในการเก็บข้อมูลภาพบุคคลโดยกล้อง CCTV
ฝากกด Like กด share กดติดตามกันด้วยน้า 🙂
ด้วยรักและหวังเหวิด
Owl Law Student
#owllawstudent
@Owllawstudent
- 2
โฆษณา
- ดาวน์โหลดแอปพลิเคชัน
- © 2025 Blockdit
