บทความกฎหมายน่ารู้: ความรู้กฎหมาย PDPA เบื้องต้น

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือที่เรียกกันว่า กฎหมาย PDPA ได้มีผลใช้บังคับเมื่อวันที่ 1 มิถุนายน 2565 บัญญัติขึ้นเพื่อคุ้มครองข้อมูลส่วนบุคคลไม่ให้ถูกล่วงละเมิดสิทธิความเป็นส่วนตัวโดยการนำข้อมูลส่วนบุคคลของผู้อื่นไปใช้โดยไม่ได้รับความยินยอม นำข้อมูลไปแสวงหาประโยชน์ โดยมิชอบ นำข้อมูลไปใช้เพื่อวัตถุประสงค์ที่มิชอบด้วยกฎหมาย รวมถึงเพื่อให้มีการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลให้เป็นไปตามวัตถุประสงค์ของผู้ควบคุมข้อมูลส่วนบุคคลและถูกต้องตามกฎหมายข้อมูลส่วนบุคคล แบ่งออกเป็น 2 ประเภท ได้แก่ ข้อมูลส่วนบุคคลทั่วไปและข้อมูลส่วนบุคคลอ่อนไหว

1. “ข้อมูลส่วนบุคคลทั่วไป”

หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ

ตัวอย่างข้อมูลส่วนบุคคลทั่วไป เช่น ชื่อนามสกุล หรือชื่อเล่น เลขบัตรประชาชน เลขหนังสือเดินทาง เลขบัตรเครดิต เลขบัญชีธนาคาร เลขใบขับขี่ เลขประจำตัวผู้เสียภาษี เบอร์โทรศัพท์ รายละเอียดที่อยู่/ ที่ทำงาน อีเมล์ เฟซบุ๊ค ไลน์ อินสตาแกรม ทะเบียนรถ โฉนดที่ดิน นส.3 ข้อมูลผลการประเมินการทำงาน เวชระเบียน รหัสสมาชิกร้านค้า/ บริการ อุปกรณ์หรือเครื่องมือ (เช่น IP Address MAC Address Log File Cookie ID) ข้อมูลที่สามารถเชื่อมโยงไปยังข้อมูลข้างต้นได้ เช่น วันเกิดและสถานที่เกิด ข้อมูลการศึกษา ข้อมูลทางการเงิน ข้อมูลการจ้างงาน เป็นต้น

ตัวอย่างที่ ไม่เป็นข้อมูลส่วนบุคคล เช่น

  • ข้อมูลที่เกี่ยวกับนิติบุคคล : ชื่อนิติบุคคล เลขทะเบียนนิติบุคคล (ไม่รวมถึงชื่อนามสกุลของหุ้นส่วนหรือกรรมการบริษัท ซึ่งถือเป็นข้อมูลส่วนบุคคล) เลขบัตรเครดิต เลขบัญชีธนาคาร เลขประจำตัวผู้เสียภาษี เบอร์โทรศัพท์ รายละเอียดที่ทำงาน อีเมล์ เฟซบุ๊ค ไลน์ อินสตาแกรม ทะเบียนรถ โฉนดที่ดิน นส.3 IP Address Mac Address Log File Cookie ID
  • ข้อมูลส่วนบุคคลของผู้เสียชีวิต
  • ข้อมูลส่วนบุคคลที่ทำให้ระบุตัวบุคคลไม่ได้ : ข้อมูลนิรนาม ข้อมูลแฝง

“ข้อมูลส่วนบุคคลทั่วไป”

การเก็บรวบรวมข้อมูลส่วนบุคคลจะต้องเก็บเท่าที่จำเป็น ห้ามมิให้หน่วยงานเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่วัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลเข้าข้อยกเว้นตามฐานการประมวลผล 6 ฐานดังต่อไปนี้ ผู้ควบคุมข้อมูลส่วนบุคคลหรือหน่วยงานไม่ต้องขอความยินยอม (Consent) จากเจ้าของข้อมูลอีก

ข้อยกเว้นที่ ไม่ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล

  • เพื่อจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ /การศึกษาวิจัย /สถิติ หรือฐานจดหมายเหตุ /วิจัย /สถิติ (Scientific or Research)
  • เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล หรือฐานประโยชน์สำคัญต่อชีวิต (Vital Interest) เป็นกรณีที่จำเป็นต่อการปกป้องผลประโยชน์สำคัญของเจ้าของข้อมูลส่วนบุคคลหรือบุคคลอื่น และเจ้าของข้อมูลส่วนบุคคลไม่อยู่ในสภาพที่จะให้ความยินยอมได้ เช่น แพทย์ขอใช้ประวัติการรักษาของเจ้าของข้อมูลจากโรงพยาบาลเพื่อทำการรักษาเจ้าของข้อมูลซึ่งเป็นผู้ป่วย สาธารณสุขจังหวัดขอเก็บข้อมูลการติดเชื้อของประชาชนในพื้นที่เพื่อเฝ้าระวังป้องกันโรคระบาด เป็นต้น
  • เพื่อปฏิบัติตามสัญญา หรือฐานสัญญา (Contract) ซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาหรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้น เช่น สัญญากู้ยืม สัญญาจ้างแรงงาน การทำสัญญาตามพระราชบัญญัติการจัดซื้อจัดจ้างและการบริหารพัสดุภาครัฐ พ.ศ. 2560 และกฎหมายหมายอื่นที่เกี่ยว ข้อง การขอสินเชื่อ การขอสมัครสมาชิก เป็นต้น ซึ่งหากไม่มีข้อมูลดังกล่าวจะไม่สามารถปฏิบัติตามสัญญาระหว่างกันได้ ฐานสัญญานี้ใช้บังคับกับข้อมูลส่วนบุคคลทั่วไปเท่านั้น ไม่นำมาใช้กับข้อมูลส่วนบุคคลอ่อนไหว
  • เพื่อดำเนินภารกิจเพื่อประโยชน์สาธารณะ /เพื่อปฏิบัติตามภารกิจของรัฐ หรือฐานภารกิจของรัฐ (Public Task) เป็นกรณีที่จำเป็นต่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะ หรือการใช้อำนาจรัฐเพื่อปฏิบัติหน้าที่ตามที่ได้รับมอบหมาย ไม่ว่าจะเป็นการปฏิบัติหน้าที่ของหน่วยงานราชการต่างๆ รัฐวิสาหกิจ องค์การมหาชน รวมถึงหน่วยงานของรัฐอื่นๆ เช่น การเก็บภาษี เป็นต้น
  • เพื่อประโยชน์อันชอบธรรม หรือฐานเพื่อประโยชน์อันชอบธรรม (Legitimate Interest) เป็นกรณีที่หน่วยงานเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อประโยชน์ของตนโดยที่เจ้าของข้อมูลส่วนบุคคลสามารถคาดหมายได้อย่างสมเหตุสมผลว่าอาจมีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเช่นว่านั้น ทั้งการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลดังกล่าวมีผลกระทบต่อความเป็นส่วนตัวของเจ้าของข้อมูลส่วนบุคคลเพียงเล็กน้อย เช่น การติดตั้ง CCTV ในหน่วยงาน การแลกบัตรเข้าออกอาคาร การถ่ายภาพกิจกรรม CSR เพื่อประชาสัมพันธ์ภาพลักษณ์องค์กร การส่งจดหมายข่าวให้สมาชิก ทำกิจกรรมส่งเสริมการขายและมีการแจกรางวัลเมื่อมีผู้ได้รางวัลจึงต้องสอบถามข้อมูลส่วนบุคคล เป็นต้น
  • เพื่อปฏิบัติตามกฎหมาย หรือฐานการปฏิบัติหน้าที่ตามกฎหมาย (Legal Obligation) กล่าวคือ มีกฎหมายอื่นบัญญัติไว้ซึ่งต้องปฏิบัติตาม โดยต้องระบุได้อย่างชัดเจนว่าปฏิบัติตามบทบัญญัติของกฎหมายใด หรือคำสั่งของหน่วยงานของรัฐใด เช่น การยื่นหรือนำส่งข้อมูลแก่สรรพากรตามประมวลรัษฎากร หรือการยื่นหรือนำส่งข้อมูลส่วนบุคคลของลูกจ้างแก่สำนักงานประกันสังคมตามกฎหมายประกันสังคม การทำทะเบียนลูกจ้างตามพระราชบัญญัติคุ้มครองแรงงาน พ.ศ. 2541 การทำทะเบียนสมาชิกตามพระราชบัญญัติสหกรณ์ พ.ศ. 2542 การให้ข้อมูลกับหน่วยงานหรือพนักงานเจ้าหน้าที่ของรัฐซึ่งมีอำนาจตามกฎหมาย (เช่น พนักงานสอบสวน พนักงานฝ่ายปกครองหรือตำรวจ เป็นต้น) กระบวนการซื้อหรือจ้างตามพระราชบัญญัติการจัดซื้อจัดจ้างและการบริหารพัสดุภาครัฐ พ.ศ. 2560 และกฎหมายอื่นที่เกี่ยวข้อง เป็นต้น

ทั้งนี้ จะต้องพิจารณาว่าวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเข้าข้อยกเว้นข้อใดข้อหนึ่งหรือหลายข้อหรือไม่ หากพิจารณาแล้วไม่เข้าข้อยกเว้นใด ผู้ควบคุมข้อมูลส่วนบุคคลหรือหน่วยงานจะต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล (Consent) (ฐานความยินยอม) กล่าวคือ จะต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลในการเก็บรวบรวม ใช้ หรือเปิดเผยโดยสมัครใจ และเจ้าของข้อมูลจะต้องให้ความยินยอมโดยชัดแจ้ง เป็นหนังสือ หรือทำโดยผ่านระบบอิเล็กทรอนิกส์ โดยเจ้าของข้อมูลมีสิทธิปฏิเสธให้ข้อมูลและมีสิทธิขอถอนความยินยอมเมื่อใดก็ได้

 

2. “ข้อมูลส่วนบุคคลอ่อนไหว”

เป็นข้อมูลที่มีความละเอียดอ่อนสูง ต้องได้รับความคุ้มครองมากกว่าปกติ และต้องใช้ความระมัดระวังเป็นพิเศษ ซึ่งหากถูกนำไปใช้โดยไม่ได้รับอนุญาตอาจจะทำให้เกิดการ เลือกปฏิบัติ อาจเป็นอันตรายต่อเจ้าของข้อมูล หรืออาจได้รับการปฏิบัติอย่างไม่เป็นธรรม

ได้แก่ เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ (เช่น ใบรับรองแพทย์ ใบลาป่วย) ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม (เช่น DNA) ข้อมูลชีวภาพ (เช่น การสแกนลายนิ้วมือ ข้อมูลสแกนม่านตา อัตลักษณ์เสียง รูปภาพใบหน้า) หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกัน

“ข้อมูลส่วนบุคคลอ่อนไหว”

สำหรับข้อมูลส่วนบุคคลอ่อนไหวซึ่งเป็นข้อมูลที่มีความละเอียดอ่อนสูง จะต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล (Consent) ทุกครั้ง และจะต้องไม่ใช้หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์อื่นนอกเหนือจากวัตถุประสงค์ที่แจ้งไว้ตั้งแต่แรก แต่มีข้อยกเว้นที่ไม่ต้องขอความยินยอม ได้แก่

  • เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของเจ้าของข้อมูลส่วนบุคคลในกรณีที่ไม่อาจขอความยินยอมได้ เช่น กรณีที่เจ้าของข้อมูลเกิดอุบัติเหตุไม่รู้สึกตัว เจ้าหน้าที่กู้ภัยสามารถขอข้อมูลสุขภาพกับญาติได้ เป็นต้น
  • เพื่อการดำเนินกิจกรรมโดยชอบด้วยกฎหมายของมูลนิธิ สมาคม หรือองค์กรที่ไม่แสวงหาผลกำไร เช่น การปฏิบัติภารกิจของมูลนิธิปอเต๊กตึ๊ง เป็นต้น
  • เป็นข้อมูลที่เปิดเผยต่อสาธารณะด้วยความยินยอมชัดแจ้งของเจ้าของข้อมูลส่วนบุคคล เช่น ข้อมูลที่ปรากฏบนเฟซบุ๊คซึ่งเจ้าของข้อมูลเป็นผู้ใส่ข้อมูลไว้ด้วยตนเอง เป็นต้น
  • เป็นการจำเป็นเพื่อก่อตั้งสิทธิเรียกร้องตามกฎหมาย เช่น การฟ้องร้องดำเนินคดีกับเจ้าของข้อมูลส่วนบุคคล เป็นต้น
  • เป็นการจำเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับ
  • เวชศาสตร์ป้องกันหรืออาชีวเวชศาสตร์ การประเมินความสามารถในการทำงานของลูกจ้าง (ใบลาป่วย) การวินิจฉัยโรคของแพทย์ การให้บริการด้านสุขภาพ สังคม หรือสังคมสงเคราะห์
  • ประโยชน์ด้านสาธารณสุข ป้องกันโรคติดต่อหรือโรคระบาด
  • การคุ้มครองแรงงาน (ใบรับรองแพทย์กรณีลาป่วยเกิน 3 วันขึ้นไป) การประกันสังคม สวัสดิการเกี่ยวกับการรักษาพยาบาลตามกฎหมาย การคุ้มครองผู้ประสบภัยจากรถ เป็นต้น
  • การวิจัยวิทยาศาสตร์ประวัติศาสตร์ สถิติ
  • ประโยชนสาธารณะที่สำคัญ

 หากผู้ใดฝ่าฝืนไม่ปฏิบัติตามกฎหมาย PDPA จะมีโทษทั้งทางแพ่ง ทางอาญา และทางปกครอง

 

ตัวอย่าง กรณีที่สามารถกระทำได้ ไม่ผิดกฎหมาย PDPA

  • การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อประโยชน์ส่วนตัว หรือเพื่อกิจกรรมในครอบครัว ไม่ได้ใช้เพื่อวัตถุประสงค์ทางการค้า ไม่ก่อให้เกิดความเสียหายหรืออับอายแก่เจ้าของข้อมูล ส่วนบุคคล เช่น การถ่ายภาพครอบครัว กลุ่มเพื่อน หรือถ่ายภาพติดผู้อื่นโดยไม่มีเจตนาก่อให้เกิดความเสียหายแก่ผู้ถูกถ่าย การติดตั้งกล้อง CCTV ในบริเวณบ้านรวมถึงการติดกล้องหน้ารถ เพื่อป้องกันอาชญากรรมหรือเพื่อใช้งานด้านความปลอดภัย
  • การใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่ทำการเก็บรวบรวมไว้เฉพาะเพื่อกิจการสื่อสารมวลชน งานศิลปกรรม หรืองานวรรณกรรมอันเป็นไปตามจริยธรรมแห่งการประกอบวิชาชีพหรือประโยชน์สาธารณะเท่านั้น
  • การพิจารณาพิพากษาคดีของศาลและการดำเนินงานของเจ้าหน้าที่ในกระบวนการพิจารณาคดี การบังคับคดี และการวางทรัพย์ รวมทั้งการดำเนินงานตามกระบวนการยุติธรรมทางอาญา

ฯลฯ

 
เขียน / เรียบเรียงเรื่องโดย:
กลุ่มงานนิติการ สำนักอำนวยการ
แหล่งที่มา / เอกสารอ้างอิง:

เอกสารประกอบการเข้าร่วมอบรมหลักสูตรพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 : กระบวนการและแนวปฏิบัติ รุ่นที่ 20 จัดโดย สมาคมรัฐศาสตร์แห่งมหาวิทยาลัยเกษตรศาสตร์


ข้อมูลนี้เป็นที่น่าพึงพอใจหรือเป็นประโยชน์สำหรับท่านหรือไม่
 

บทความน่าอ่านเพิ่มเติม