พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือกฎหมาย PDPA กฎหมายที่ออกมาคุ้มครองสิทธิเกี่ยวกับข้อมูลส่วนบุคคล ที่มีผลบังคับใช้ในประเทศไทยเมื่อ 1 มิถุนายน 65 ที่ผ่านมา โดยมีบทบาทสำคัญในการคุ้มครองและให้สิทธิที่เรามีต่อข้อมูลส่วนบุคคล และสร้างมาตรฐานในการเก็บรักษา รับรวม ใช้ข้อมูล ขององค์กร เหตุด้วยปัจจุบันมีการล่วงละเมิดสิทธิข้อมูลส่วนบุคคลเพิ่มมากขึ้นจนสร้างความเดือดร้อนให้กับหลายบุคคล ซึ่งล้วนเกี่ยวข้องกับ พ.ร.บ.ฉบับนี้ทั้งสิ้น โดยหากผู้ใดไม่ปฏิบัติตามย่อมมีบทลงโทษตามกฏหมาย โดยหลักเกณฑ์สำคัญของกฎหมาย PDPA คือ ไม่ว่าจะเป็นการเก็บรวบรวม ใช้ หรือเผยแพร่ข้อมูลส่วนบุคคล ต้อง “ขอความยินยอม” จาก “เจ้าของข้อมูลส่วนบุคคล” ให้ถูกต้องก่อน
การขอความยินยอม (Consent) ตามกฎหมาย PDPA ถือว่าเป็นขั้นตอนที่สำคัญมากที่สุด เพราะถ้าไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลที่ถือเป็นผู้ดูแล ก็จะไม่สามารถข้อมูลนั้นมาใช้ได้ โดยเมื่อมีการได้รับความยินยอมจากเจ้าของข้อมูลแล้ว องค์กรก็จะต้องใช้ข้อมูลตามวัตถุประสงค์ที่ได้แจ้งไว้ และจะต้องดูแลรักษาข้อมูลนั้นให้ปลอดภัย ป้องกันการที่ผู้อื่นละเมิดสิทธิความเป็นส่วนตัวของเจ้าของข้อมูล ซึ่งหากข้อมูลรั่วไหลออกไปก็อาจนำมาซึ่งความเดือดร้อนหรือสร้างความเสียหาย และผู้ควบคุมข้อมูลส่วนบุคคลก็อาจมีความผิดตามกฎหมาย ทั้งทางแพ่ง อาญา และปกครองได้
PDPA มีผลบังคับใช้ หากไม่สามารถปฏิบัตติตามได้ถูกต้องจะมีบทลงโทษทางกฏหมายดังนี้
โทษทางอาญา -> จะมีทั้งโทษจำคุกและโทษปรับ โดยมีโทษจำคุกสูงสุดไม่เกิน 1 ปี หรือปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ
โทษทางแพ่ง -> จะมีการกำหนดให้ใช้สินไหมทดแทนที่เกิดขึ้นจริงกับเจ้าของข้อมูลส่วนบุคคล (ที่ได้รับความเสียหายจากการถูกละเมิด)
โทษทางปกครอง -> จะมีโทษปรับ โดยมีตั้งแต่ 1 ล้านบาท – 5 ล้านบาท
อย่างไรก็ตาม กฎหมายนี้ยังมีข้อยกเว้นในบางกรณี ว่าสามารถใช้ข้อมูลส่วนบุคคลได้โดยไม่ต้องรอขอความยินยอม ดังต่อไปนี้
เก็บรวบรวม ใช้ เผยแพร่ข้อมูลส่วนบุคคลแบบใด สามารถใช้ได้โดยไม่ต้องรอขอความยินยอม
- การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบุคคล ที่ทำการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อประโยชน์ส่วนตน หรือเพื่อกิจกรรมในครอบครัวของบุคคลนั้นเท่านั้น
- การดำเนินการของหน่วยงานรัฐที่มีหน้าที่ รักษาความมั่นคงของรัฐ, การรักษาความปลอดภัยของประชาชน
- บุคคลหรือนิติบุคคลซึ่งใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่ทำการเก็บรวบรวมข้อมูลไว้เฉพาะเพื่อกิจการสื่อมวลชน งานศิลปกรรม หรืองานวรรณกรรม ตามจริยธรรมวิชาชีพ
- กรณีป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของเจ้าของข้อมูล หรือเพื่อประโยชน์สาธารณะ
- สภาผู้แทนราษฎร วุฒิสภา และรัฐสภา รวมถึงคณะกรรมการที่แต่งตั้งโดยสภาดังกล่าว ซึ่งเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ในการพิจารณาตามหน้าที่และอำนาจของสภาผู้แทนราษฎร วุฒิสภา รัฐสภา หรือคณะกรรมาธิการ แล้วแต่กรณี
- เป็นการพิจารณาพิพากษาของศาล และการดำเนินงานของเจ้าหน้าที่ในกระบวนการพิจารณาคดี หรือดำเนินงานตามกระบวนการยุติธรรมทางอาญา
- การดำเนินการกับข้อมูลของบริษัทข้อมูลเครดิตและสมาชิกตามกฎหมายว่าด้วยการประกอบธุรกิจข้อมูลเครดิต
อย่างไรก็ตาม ถึงแม้จะมีข้อยกเว้นในบางกรณีข้างต้น แต่การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล จะต้องมีการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลให้เป็นไปตามมาตรฐานตามหลัก PDPA ด้วย
