PDPA หรือ Personal Data Protection Act (พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล) คือกฎหมายที่เกี่ยวข้องกับความเป็นส่วนตัวและความปลอดภัยของข้อมูลส่วนบุคคลในประเทศไทย พ.ร.บ. PDPA ได้รับการนำเสนอและได้รับการอนุมัติจากคณะรัฐมนตรีเมื่อปี พ.ศ. 2562 (2019)
และได้เผยแพร่ในราชกิจจานุเบกษาในเดือนพฤษภาคม พ.ศ. 2562 (2019) โดยมีวัตถุประสงค์หลักคือการคุ้มครองสิทธิของบุคคลในการควบคุมข้อมูลส่วนบุคคลของตนเองและเพื่อป้องกันการละเมิดข้อมูลส่วนบุคคล ซึ่งจะมีผลบังคับใช้ในวันที่ 27 พฤษภาคม พ.ศ. 2563 (2020) โดยมีการออกกฎกระทรวง หรือ กำหนดเงื่อนไขต่าง ๆ ของ พ.ร.บ. ดังกล่าวในภายหลังเพื่อให้สอดคล้องกับเนื้อหาของพระราชบัญญัติดังกล่าว
การปฏิบัติตามกฎหมายนี้มีความสำคัญในการจัดการข้อมูลส่วนบุคคลของบุคคลภายในองค์กรและกิจการในประเทศไทย โดยผู้ที่ละเมิดการปฏิบัติตามกฎหมายนี้อาจต้องเผชิญกับการดำเนินคดีและการลงโทษตามกฎหมายที่กำหนดไว้ในพระราชบัญญัติดังกล่าวได้ ตามที่ได้ระบุไว้ในพระราชบัญญัติ
การคุ้มครองข้อมูลส่วนบุคคลเป็นเรื่องสำคัญที่ต้องมีการใส่ใจและปฏิบัติตามกฎหมายอย่างเคร่งครัดเพื่อปกป้องสิทธิและความเป็นส่วนตัวของบุคคลอย่างเหมาะสม และให้ความสำคัญกับการดำเนินการที่เพียงพอเพื่อรักษาความลับและความปลอดภัยของข้อมูลส่วนบุคคลให้ได้ดีที่สุด
3 ข้อควรระวังเกี่ยวกับการเก็บข้อมูลส่วนบุคคล (PDPA)
1. เก็บข้อมูลเฉพาะที่จำเป็น:
- เก็บข้อมูลส่วนบุคคลเท่าที่จำเป็นสำหรับวัตถุประสงค์ที่แจ้งไว้
- ไม่เก็บข้อมูลส่วนบุคคลที่เกินความจำเป็น
- ลบข้อมูลส่วนบุคคลเมื่อไม่จำเป็นต้องใช้
2. แจ้งให้เจ้าของข้อมูลทราบ:
- แจ้งให้เจ้าของข้อมูลทราบก่อนเก็บข้อมูล
- แจ้งวัตถุประสงค์ในการเก็บข้อมูล
- แจ้งวิธีการเก็บข้อมูล
- แจ้งสิทธิของเจ้าของข้อมูล
3. รักษาความปลอดภัยข้อมูล:
- เก็บข้อมูลส่วนบุคคลอย่างปลอดภัย
- ป้องกันการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต
- ป้องกันการสูญเสียข้อมูล
- ป้องกันการใช้ข้อมูลในทางที่ผิด
ตัวอย่าง:
- ร้านค้าออนไลน์เก็บข้อมูลชื่อ ที่อยู่ เบอร์โทรศัพท์ เพื่อจัดส่งสินค้า
- เว็บไซต์เก็บข้อมูลอีเมลเพื่อส่งข่าวสาร
- โรงพยาบาลเก็บข้อมูลประวัติการรักษา
ประเภทบทลงโทษตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล PDPA
1. โทษทางอาญา:
- จำคุกสูงสุดไม่เกิน 6 เดือน ถึง 1 ปี
- ปรับสูงสุดไม่เกิน 500,000 ถึง 1 ล้านบาท
- หรือทั้งจำทั้งปรับ
2. โทษทางแพ่ง:
- ชดใช้ค่าสินไหมทดแทน
- ชดใช้ค่าสินไหมเพื่อการลงโทษ (ไม่เกิน 2 เท่าของค่าสินไหมทดแทน)
3. โทษทางปกครอง:
- ปรับไม่เกิน 1 ล้านบาท สำหรับการละเมิดกฎหมาย PDPA ทั่วไป
- ปรับไม่เกิน 3 ล้านบาท สำหรับการละเมิดกฎหมาย PDPA ที่ส่งผลกระทบต่อเจ้าของข้อมูล
- ปรับไม่เกิน 5 ล้านบาท สำหรับการละเมิดกฎหมาย PDPA กรณีข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน
ตัวอย่าง:
- บริษัทเปิดเผยข้อมูลส่วนบุคคลของลูกค้าโดยไม่ได้รับความยินยอม อาจถูกปรับทางปกครอง 1 ล้านบาท
- เว็บไซต์ถูกแฮ็ก ข้อมูลส่วนบุคคลของลูกค้ารั่วไหล อาจถูกปรับทางปกครอง 3 ล้านบาท
- โรงพยาบาลเก็บข้อมูลประวัติการรักษาของผู้ป่วยไม่ปลอดภัย อาจถูกปรับทางปกครอง 5 ล้านบาท
การปฏิบัติตาม PDPA เป็นสิ่งสำคัญสำหรับธุรกิจทุกประเภท เพื่อป้องกันความเสี่ยงจากบทลงโทษ และสร้างความมั่นใจให้กับลูกค้า
กังวลเรื่อง PDPA? ปรึกษา Normthing สิ!
นอร์มธิง ที่ปรึกษาการตลาด กฎหมายธุรกิจและจัดอีเว้นท์ ️
- ✔️ เชี่ยวชาญ: ทีมทนายความและผู้เชี่ยวชาญ PDPA โดยตรง
- ✔️ ครบวงจร: บริการครบทุกขั้นตอน ตั้งแต่การตรวจสอบ ปรับปรุง เอกสาร
- ✔️ สะดวก: ปรึกษาออนไลน์ได้ง่ายๆ ผ่าน Line, Zoom หรือ On-site
- ✔️ มั่นใจ: คลายกังวล ปลอดภัย ไร้กังวลเรื่องข้อมูลส่วนบุคคล
แหล่งข้อมูลสำหรับธุรกิจ
- เว็บไซต์ PDPA Thailand: https://pdpathailand.com/
- คู่มือการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลสำหรับธุรกิจ จากสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC)
