PDPA Self-Risk
Assessment

PDPA (Personal Data Protection Act, B.E. 2562 (2019)) คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งได้ประกาศในราชกิจจานุเบกษาไปเมื่อ 27 พฤษภาคม 2562 และมีผลบังคับใช้เมื่อ 28 พฤษภาคม 2562 แล้วในบางส่วน โดยวันที่ 27 พฤษภาคม 2563 เป็นวันที่ พ.ร.บ.นี้มีผลบังคับใช้ตามกฎหมายทั้งฉบับ

คือข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม โดยข้อมูลของผู้ถึงแก่กรรม และข้อมูลนิติบุคคล ไม่ถือเป็นข้อมูลส่วนบุคคลตาม พ.ร.บ.นี้

ข้อมูลส่วนบุคคล (Personal Data) ได้แก่ ชื่อ - นามสกุล, เลขประจำตัวประชาชน, ที่อยู่, เบอร์โทรศัพท์, วันเกิด, อีเมล, การศึกษา, เพศ, อาชีพ, รูปถ่าย, ข้อมูลทางการเงิน นอกจากนี้ยังรวมถึง ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) ด้วย เช่น ข้อมูลทางการแพทย์หรือสุขภาพ, ข้อมูลทางพันธุกรรมและไบโอเมทริกซ์, เชื้อชาติ, ความคิดเห็นทางการเมือง, ความเชื่อทางศาสนาหรือปรัชญา, พฤติกรรมทางเพศ, ประวัติอาชญากรรม, ข้อมูลสหภาพแรงงาน เป็นต้น

สิทธิได้รับการแจ้งให้ทราบ (Right to be informed)

สิทธิขอเข้าถึงข้อมูลส่วนบุคคล (Right of access)

สิทธิในการขอให้โอนข้อมูลส่วนบุคคล (Right to data portability)

สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Right to object)

สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคล (Right to erasure also known as right to be forgotten)

สิทธิขอให้ระงับการใช้ข้อมูล (Right to restrict processing)

สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล (Right of rectification)

จ้าของข้อมูลส่วนบุคคล (Data Subject) คือ บุคคลที่ข้อมูลระบุไปถึง

ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ “ตัดสินใจ” เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล “ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล” ทั้งนี้บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าว ต้องไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล

สำหรับผู้ที่นำข้อมูลไปใช้ประโยชน์โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลนั้น ไม่ว่าจะเป็นผู้ควบคุมข้อมูล (Data Controller) และผู้ประมวลผลข้อมูล (Data Processor) จะมีโทษทางกฎหมาย โดยมีรายละเอียดดังนี้

ความรับผิดทางแพ่ง ตามความเสียหายที่เกิดขึ้นจริง และอาจต้องชดใช้ค่าสินไหมทดแทนเพิ่มขึ้นอีก โดยสูงสุดไม่เกิน 2 เท่าของค่าเสียหายที่แท้จริง

โทษทางอาญา จำคุกสูงสุดไม่เกิน 1 ปี หรือปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ

โทษทางปกครอง ปรับสูงสุดไม่เกิน 5 ล้านบาท

สำหรับกรณีประเทศไทย จากการตีความนิยามภายใต้ พรบ. Cookies ถือว่าเข้านิยามการเป็น “ข้อมูลส่วนบุคคล” ดังนั้นการใช้ Cookies ที่หน้าเว็บไซต์ หรือ Application ก็ต้องมีการแจ้ง Cookies Policy เช่นเดียวกัน แต่อย่างไรก็ตามหากเว็บไซต์หรือ Application ดังกล่าวดำเนินการประมวลผลข้อมูลส่วนบุคคลในลักษณะอื่นนอกเหนือจากการใช้เทคโนโลยี Cookies เช่น มีการสร้าง Username / Password มีการกรอกข้อมูลเพื่อลงทะเบียน ซึ่งการประมวลผลข้อมูลส่วนบุคคลดังกล่าว ผู้ควบคุม ข้อมูลต้องจัดทำ Privacy Notice หรือการขอความยินยอมรวมทุกการประมวลผลข้อมูลส่วนบุคคลอยู่แล้ว ผู้ควบคุมข้อมูลนั้นสามารถนำ Cookies Policy เข้าไปรวมเป็นเนื้อหาใน Privacy Notice หรือการขอความยินยอมรวม โดยไม่ต้องทำ Cookies Policy ขึ้นมาเป็นหน้าต่างแยกก็ได้