ความรู้ PDPA#1 : กรณีไหนบ้าง สามารถใช้ ‘ข้อมูลส่วนบุคคล’ ได้โดยไม่ต้องขอความยินยอม

webmaster1159 views

ที่มา : กรณีไหนบ้าง สามารถใช้ ‘ข้อมูลส่วนบุคคล’ ได้โดยไม่ต้องขอความยินยอม – PDPAThailand

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือกฎหมาย PDPA กฎหมายที่ออกมาคุ้มครองสิทธิเกี่ยวกับข้อมูลส่วนบุคคล ที่มีผลบังคับใช้ในประเทศไทยเมื่อ 1 มิถุนายน 65 ที่ผ่านมา โดยมีบทบาทสำคัญในการคุ้มครองและให้สิทธิที่เรามีต่อข้อมูลส่วนบุคคล และสร้างมาตรฐานในการเก็บรักษา รับรวม ใช้ข้อมูล ขององค์กร เหตุด้วยปัจจุบันมีการล่วงละเมิดสิทธิข้อมูลส่วนบุคคลเพิ่มมากขึ้นจนสร้างความเดือดร้อนให้กับหลายบุคคล ซึ่งล้วนเกี่ยวข้องกับ พ.ร.บ.ฉบับนี้ทั้งสิ้น โดยหากผู้ใดไม่ปฏิบัติตามย่อมมีบทลงโทษตามกฏหมาย  โดยหลักเกณฑ์สำคัญของกฎหมาย PDPA  คือ ไม่ว่าจะเป็นการเก็บรวบรวม ใช้ หรือเผยแพร่ข้อมูลส่วนบุคคล ต้อง “ขอความยินยอม” จาก “เจ้าของข้อมูลส่วนบุคคล” ให้ถูกต้องก่อน

 

การขอความยินยอม (Consent) ตามกฎหมาย PDPA ถือว่าเป็นขั้นตอนที่สำคัญมากที่สุด เพราะถ้าไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล  ผู้ควบคุมข้อมูลส่วนบุคคลที่ถือเป็นผู้ดูแล ก็จะไม่สามารถข้อมูลนั้นมาใช้ได้ โดยเมื่อมีการได้รับความยินยอมจากเจ้าของข้อมูลแล้ว องค์กรก็จะต้องใช้ข้อมูลตามวัตถุประสงค์ที่ได้แจ้งไว้ และจะต้องดูแลรักษาข้อมูลนั้นให้ปลอดภัย ป้องกันการที่ผู้อื่นละเมิดสิทธิความเป็นส่วนตัวของเจ้าของข้อมูล ซึ่งหากข้อมูลรั่วไหลออกไปก็อาจนำมาซึ่งความเดือดร้อนหรือสร้างความเสียหาย และผู้ควบคุมข้อมูลส่วนบุคคลก็อาจมีความผิดตามกฎหมาย ทั้งทางแพ่ง อาญา และปกครองได้

 

PDPA มีผลบังคับใช้ หากไม่สามารถปฏิบัตติตามได้ถูกต้องจะมีบทลงโทษทางกฏหมายดังนี้

โทษทางอาญา -> จะมีทั้งโทษจำคุกและโทษปรับ โดยมีโทษจำคุกสูงสุดไม่เกิน 1 ปี หรือปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ

โทษทางแพ่ง -> จะมีการกำหนดให้ใช้สินไหมทดแทนที่เกิดขึ้นจริงกับเจ้าของข้อมูลส่วนบุคคล (ที่ได้รับความเสียหายจากการถูกละเมิด)

โทษทางปกครอง -> จะมีโทษปรับ โดยมีตั้งแต่ 1 ล้านบาท – 5 ล้านบาท

อย่างไรก็ตาม กฎหมายนี้ยังมีข้อยกเว้นในบางกรณี ว่าสามารถใช้ข้อมูลส่วนบุคคลได้โดยไม่ต้องรอขอความยินยอม ดังต่อไปนี้

 

เก็บรวบรวม ใช้ เผยแพร่ข้อมูลส่วนบุคคลแบบใด สามารถใช้ได้โดยไม่ต้องรอขอความยินยอม

  1. การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบุคคล ที่ทำการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อประโยชน์ส่วนตน หรือเพื่อกิจกรรมในครอบครัวของบุคคลนั้นเท่านั้น
  2.  การดำเนินการของหน่วยงานรัฐที่มีหน้าที่ รักษาความมั่นคงของรัฐ, การรักษาความปลอดภัยของประชาชน
  3. บุคคลหรือนิติบุคคลซึ่งใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่ทำการเก็บรวบรวมข้อมูลไว้เฉพาะเพื่อกิจการสื่อมวลชน งานศิลปกรรม หรืองานวรรณกรรม ตามจริยธรรมวิชาชีพ
  4. กรณีป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของเจ้าของข้อมูล หรือเพื่อประโยชน์สาธารณะ
  5. สภาผู้แทนราษฎร วุฒิสภา และรัฐสภา รวมถึงคณะกรรมการที่แต่งตั้งโดยสภาดังกล่าว ซึ่งเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ในการพิจารณาตามหน้าที่และอำนาจของสภาผู้แทนราษฎร วุฒิสภา รัฐสภา หรือคณะกรรมาธิการ แล้วแต่กรณี
  6. เป็นการพิจารณาพิพากษาของศาล และการดำเนินงานของเจ้าหน้าที่ในกระบวนการพิจารณาคดี หรือดำเนินงานตามกระบวนการยุติธรรมทางอาญา
  7. การดำเนินการกับข้อมูลของบริษัทข้อมูลเครดิตและสมาชิกตามกฎหมายว่าด้วยการประกอบธุรกิจข้อมูลเครดิต

อย่างไรก็ตาม ถึงแม้จะมีข้อยกเว้นในบางกรณีข้างต้น แต่การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล จะต้องมีการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลให้เป็นไปตามมาตรฐานตามหลัก PDPA ด้วย