กิจกรรมใดได้รับการยกเว้นจากการบังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

31 พฤษภาคม 2022

ที่มาของภาพ, Getty Images

พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือกฎหมาย PDPA (Personal Data Protection Act) จะมีผลบังคับใช้ในวันที่ 1 มิ.ย.นี้ โดยมีวัตถุประสงค์เพื่อให้การคุ้มครองข้อมูลส่วนบุคคล เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ บัญชีธนาคาร อีเมล ลายนิ้วมือ ข้อมูลสุขภาพ เป็นต้น และยังให้สิทธิประชาชนในการขอให้ลบ ทำลาย หรือระงับใช้ข้อมูลส่วนบุคคลได้

กฎหมายนี้ไม่เพียงครอบคลุมในระดับประชาชน แต่ยังมีรายละเอียดการบังคับใช้กับหน่วยงานรัฐ สื่อมวลชน ที่แตกต่างกัน

• ทรัพย์มรดกดิจิทัลจากคลิปวิดีโอ ภาพ รวมถึงข้อมูลส่วนบุคคล ควรจัดการอย่างไร
• ผู้เชี่ยวชาญ ชี้ 3 บทเรียนควรรู้ จากกรณีการตัดเงินผิดปกติผ่านบัตรเครดิต-เดบิต
• คุยกับแฮกเกอร์ผู้เสนอขายข้อมูลผู้ใช้ LinkedIn 700 ล้านคน ในราคา 1.6 แสนบาท
• รู้จัก 'แฮกเกอร์สายขาว' ของไทย ผู้ปกป้องเงินในบัญชีของคุณ

เครือข่ายพลเมืองเน็ต องค์กรพัฒนาเอกชนด้านสิทธิด้านข้อมูลข่าวสารและสิทธิพลเมืองกับเทคโนโลยี และได้ติดตามการร่าง พ.ร.บ. คุ้มครองข้อมูลฯ มาโดยตลอดตั้งแต่ร่างฉบับปี 2552 ได้ออกมาสนับสนุนให้มีการบังคับใช้กฎหมายทั้งฉบับครบทุกมาตราตามกำหนด โดยเห็นว่า ผู้ประกอบการและหน่วยงานรัฐที่เกี่ยวข้อง มีเวลาได้รับทราบ ว่าจะมีกฎหมายลักษณะดังกล่าวออกมาบังคับใช้แล้วไม่น้อยกว่า 6 ปีเต็ม และได้รับทราบถึงเนื้อหารายมาตราของพ.ร.บ. ฉบับที่ประกาศในราชกิจจานุเบกษามาแล้วเป็นเวลาเกือบ 3 ปีเต็ม

"ผู้ประกอบการในฐานะผู้ควบคุมข้อมูลส่วนบุคคลที่ได้รับประโยชน์จากการใช้ข้อมูลดังกล่าว จึงไม่ควรอ้างถึงความไม่พร้อมในการเตรียมการอีกต่อไป" อาทิตย์ สุริยะวงศ์กุล ผู้ประสานงานเครือข่ายพลเมืองเน็ต ระบุเมื่อ 9 พ.ค. ที่ผ่านมา

ในส่วนที่เกี่ยวข้องกับชีวิตประจำวันของคนทั่วไป สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ได้ชี้แจงถึงกฎหมายฉบับนี้ว่า สามารถทำอะไรได้บ้างและไม่ได้บ้าง ดังนี้

4 เรื่องไม่จริงเกี่ยวกับ PDPA

1. การถ่ายรูป-ถ่ายคลิป ติดภาพคนอื่นโดยเจ้าตัวไม่ยินยอมจะผิด PDPA

ตอบ กรณีการถ่ายรูป-ถ่ายคลิปโดยติดบุคคลอื่นโดยผู้ถ่ายรูป-ถ่ายคลิปไม่เจตนา และการถ่ายรูปถ่ายคลิปดังกล่าวไม่ได้ก่อให้เกิดความเสียหายกับผู้ถูกถ่าย สามารถทำได้ หากเป็นการใช้เพื่อวัตถุประสงค์ส่วนตัว

2. ถ้านำคลิปหรือรูปถ่ายที่ติดคนอื่นไปโพสต์ในโซเชียลมีเดียโดยบุคคลอื่นไม่ยินยอมจะผิด PDPA

ตอบ สามารถโพสต์ได้ หากใช้เพื่อวัตถุประสงค์ส่วนตัว ไม่ใช้แสวงหากำไรทางการค้าและไม่ก่อให้เกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคล

3. ติดกล้องวงจรปิดแล้วไม่มีป้ายแจ้งเตือนผิด PDPA

ตอบ การติดกล้องวงจรปิดภายในบ้าน ไม่จำเป็นต้องมีป้ายแจ้งเตือน หากเพื่อป้องกันอาชญากรรม และรักษาความปลอดภัยกับตัวเจ้าของบ้าน

4. เจ้าของข้อมูลส่วนบุคคลต้องให้ความยินยอมทุกครั้งก่อนนำข้อมูลไปใช้

ตอบ ไม่จำเป็น ต้องขอความยินยอม หากการใช้ข้อมูลดังกล่าว

(1) เป็นการทำตามสัญญา

(2) เป็นการใช้ที่มีกฎหมายให้อำนาจ

(3) เป็นการใช้เพื่อรักษาชีวิตและ/หรือ ร่างกายของบุคคล

(4) เป็นการใช้เพื่อการค้นคว้าวิจัยทางสถิติ

(5) เป็นการใช้เพื่อประโยชน์สาธารณะ

(6) เป็นการใช้เพื่อปกป้องผลประโยชน์ หรือสิทธิของตนเอง

ทั้งนี้ หลักการข้างต้น อาจเปลี่ยนแปลงตามข้อเท็จจริงที่เกิดขึ้นเป็นกรณี ๆ ไป

ที่มาของภาพ, Getty Images

เจ้าของข้อมูลส่วนบุคคล มีสิทธิอะไรบ้าง

• สิทธิในการถอดถอนความยินยอม ในกรณีที่ได้ให้ความยินยอมไว้
• สิทธิในการได้รับการแจ้งให้ทราบรายละเอียด (Privacy Notice)
• สิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคล
• สิทธิขอให้โอนข้อมูลส่วนบุคคล
• สิทธิคัดค้านการเก็บรวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
• สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้
• สิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคล
• สิทธิขอให้แก้ไขข้อมูลส่วนบุคคล
• สิทธิในการร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญในกรณีที่มีการฝ่าฝืนและไม่ปฏฺิบัติตามกฎหมายหรือประกาศที่ออกตามกฎหมาย PDPA

นอกจากนี้ หากมีการละเมิดข้อมูลส่วนบุคคลที่มีความเสี่ยงสูงที่จะกระทบสิทธิเสรีภาพของเจ้าของ ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่แจ้งเหตุการละเมิดให้เจ้าของส่วนบุคคลทราบ และมีแนวทางการเยียวยาโดยไม่ชักช้า

ยกเว้นให้กับเรื่องอะไรบ้าง ที่ไม่ต้องขอความยินยอมในการเก็บข้อมูล

พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ยังมีบทบัญญัติเกี่ยวกับหลักการเก็บรวบรวมข้อมูลส่วนบุคคลตามกฎหมาย PDPA ในมาตรา 24 ซึ่งมีหลักการเกี่ยวกับเรื่องความยินยอม (Consent) การป้องกันหรือระงับอันตรายต่อชีวิต การปฏิบัติตามสัญญา ประโยชน์สาธารณะ ชอบด้วยกฎหมาย เป็นการปฏฺิบัติตามกฎหมาย การดำเนินการเกี่ยวกับเอกสารประวัติศาสตร์ วิจัย สถิติ

โดยกรณีต่าง ๆ ที่ข้อมูลจะถูกเก็บรวบรวมจากเจ้าของ โดยไม่ต้องขอความยินยอมมีดังนี้

• กรณีป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของเจ้าของข้อมูล หรือเพื่อประโยชน์สาธารณะ เช่น ป้องกันโรคระบาด ผู้ควบคุมสามารถประมวลผล (เก็บรวบรวม ใช้ เปิดเผย) ข้อมูลส่วนบุคคลได้โดยไม่ต้องได้รับความยินยอม
• การปฏิบัติตามสัญญา ไม่ต้องขอความยินยอม
• ปฏิบัติภารกิจของรัฐ ตามมาตรา 24(4) หากจำเป็นต่อการดำเนินภารกิจของรัฐเพื่อประโยชน์สาธารณะ หรือเป็นการใช้อำนาจรัฐ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อการนั้น ไม่ต้องขอความยินยอม อย่างไรก็ตาม แม้ไม่ต้องขอความยินยอม แต่ผู้ควบคุมยังคงมีหน้าที่ในการรักษาความปลอดภัยของข้อมูล และคำนึงถึงความได้สัดส่วนความจำเป็นในการใช้ข้อมูล และผลกระทบต่อความเป็นส่วนตัวของเจ้าของข้อมูล

• ปฏิบัติตามกฎหมาย ไม่ต้องขอความยินยอม มาตรา 24(6)

จำเป็นสำหรับการปฏิบัติหน้าที่ของผู้ควบคุมตามกฎหมายที่กำหนด โดยเป็นหน้าที่ตามบทบัญญัติแห่งกฎหมาย และหน้าที่ตามคำสั่งของหน่วยงานรัฐที่มีอำนาจ เช่น เก็บรวบรวม ใช้ หรือเปิดเผยเงินเดือนของลูกจ้างเพื่อส่งให้สำนักงานประกันสังคม ร้านค้าที่ให้บริการเชื่อมต่ออินเทอร์เน็ตไว-ไฟ เก็บรวบรวมข้อมูลจราจรตามที่กำหนดใน พ.ร.บ. คอมพิวเตอร์ฯ

ข้อยกเว้นการบังคับใช้กฎหมาย PDPA สำหรับกิจการสื่อมวลชน

ในกรณีกิจการสื่อมวลชน มาตรา 4(3) เป็นข้อยกเวินเชิงเนื้อหาที่ไม่ใช้บังคับตาม พ.ร.บ. แต่มีรายละเอียดอื่น ดังนี้

• เป็นข้อยกเว้นเฉพาะกิจกรรมประมวลผลข้อมูลส่วนบุคคล ดังนั้น การประมวลผลที่ไม่เกี่ยวข้องกับกิจการสื่อมวลชน กฎหมายไม่ได้ยกเว้น เช่น การใช้ข้อมูลพนักงาน การทำระบบสมาชิก
• การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของกิจการสื่อมวลชนจะต้องเป็นไปตามจริยธรรมแห่งการประกอบวิชาชีพหรือเป็นประโยชน์สาธารณะเท่านั้น
• ผู้ควบคุมข้อมูลส่วนบุคคลที่ได้รับการยกเว้นยังคงต้องจัดให้มีการรักษาความมั่นคงปลอดภัยของข้อมูลให้เป็นไปตามมาตรฐานด้วย