สรุปสาระสำคัญ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ “PDPA - Privacy for All”
การเก็บรวบรวมใช้หรือเปีดเผยข้อมูลส่วนบุคคลได้โดยชอบด้วยกฎหมาย
การเก็บรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคลดังกล่าว จะชอบด้วยกฎหมาย หากดำเนินการตามหลักการใดหลักการหนึ่ง ดังต่อไปนี้
Consent
- เจ้าของข้อมูลส่วนบุคคลให้ความยินยอมในการเก็บรวบรวม ไข้หรือเปิดเผยข้อมูลส่วนบุคคล
- ต้องแจ้งวัตถุประสงค์ของการเก็บรวบรวม ไข้หรือเปิดเผยข้อมูลส่วนบุคคล
- มีแบบหรือข้อความที่อ่านแล้วเข้าใจได้โดยง่าย และต้องไม่เป็นการหลอกลวง
- เจ้าของข้อมูลส่วนบุคคลจะถอนความยินยอมเมื่อใดก็ไค้ ล้าไม่มีข้อจำกัดสิทธิ เซ่น มีกฎหมาย ที่กำหนดให้เก็บรวบรวมข้อมูลส่วนบุคคลนั้นไว้ก่อน
Scientific or Historical Research
- จัดทำเอกสารประวัติศาสตร์ , จดหมายเหตุ , การศึกษาวิจัย , สถิติ
Vital Interest
- เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล เซ่น การเข้ารับบริการทาง การแพทย์ ณ โรงพยาบาล
Contract
- เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญา เช่น เจ้าของข้อมูลส่วนบุคคลทำสัญญากู้ยืมเงินจากธนาคาร ธนาคารสามารถเก็บรวบรวม ใช้ หรือเปีดเผยข้อมูลส่วนบุคคลนั้นได้ตามวัตถุประสงค์ของสัญญา
Public Task
- เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะ หรือปฏิบัติหน้าที่ใน การใช้อำนาจรัฐ เซ่น หน่วยงานของรัฐจัดทำ Big Data เพื่อแก้ป้ญหาความยากจนของเกษตรกร
Legitimate Interest
- เป็นการจำเป็นเพื่อประโยชน์โดยขอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล หรือของบุคคลหรือนิติ บุคคลอื่น เซ่น บริษัทเอกซนติดตั้งกล้องวงจรปีดภายในอาคารเพื่อรักษาความปลอดภัย ซึ่งบริษัทสามารถ เก็บรวบรวมภาพถ่ายซึ่งเป็นข้อมูลส่วนบุคคลของบุคคลที่อยู่ในบริเวณดังกล่าวได้
Legal Obligations
- เป็นการปฏิบัติตามกฎหมาย
นอกจากหลักการข้างต้นแล้ว มีข้อมูลส่วนบุคคลอีกประเภทซึ่งเรียกว่า ข้อมูลส่วนบุคคลที่มีความ ละเอียดอ่อน (Sensitive Personal Data) เซ่น เชื้อชาติ , ประวัติอาชญากรรม , ข้อมูลพันธุกรรม , พฤติกรรม ทางเพศ เป็นต้น การเก็บรวบรวม ใช้ หรือเปีดเผยข้อมูลส่วนบุคคลดังกล่าวจะมีหลักการที่เข้มงวดกว่าข้อมูลส่วน บุคคลทั่วไป โดยจะกระทำได้หากดำเนินการตามหลักการใดหลักการหนึ่ง เซ่น ได้รับความยินยอมโดยซัดแจ้ง (Explicit Consent) จากเจ้าของข้อมูลส่วนบุคคล , เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพ ของบุคคลซึ่งเจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมได้ เป็นต้น
การเก็บรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคลสามารถทำได้ในกรณีต่อไปนี้
- ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล
- จัดทำเอกสารประวัติศาสตร์ หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ การศึกษาวิจัยหรือการจัดทำสถิติ
- ป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
- จำเป็นเพื่อปฏิบัติกฎหมาย หรือสัญญา
- จำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลหรือของบุคคลอื่น
- จำเป็นเพื่อประโยชน์สาธารณะ และการปฏิบัติหน้าที่ในการใช้อำนาจรัฐ
แนวทางดำเนินการเพื่อให้ข้อมูลที่มาอย่างถูกต้องตามกฎหมาย ในอนาคตสำหรับข้อมูลที่จะสามารถนำมาทำกิจกรรมทางการตลาดต่าง ๆ ได้โดยไม่ผิดกฎหมาย PDPA นั้น หน่วยงานต้องใช้ข้อมูลที่เก็บจากเจ้าของข้อมูลเท่านั้น ห้ามนำข้อมูลต่อจากแหล่งอื่นมาใช้โดยเด็ดขาด เพราะหากไม่ทราบว่าข้อมูลนั้นมาโดยได้รับอนุญาตหรือไม่หรือได้มาอย่างถูกต้องหรือไม่อาจเกิดปัญหาในภายหลัง การขอเก็บข้อมูลทุกครั้งจะต้องมีการแจ้งสิทธิรายละเอียดรวมถึงวัตถุประสงค์ในการเก็บข้อมูลนั้นให้ครบถ้วย ว่าจะเอาข้อมูลไปทำอะไรและต้องลบเมื่อพ้นระยะเวลาที่จำเป็นหรือที่ได้แจ้งเอาไว้
การขอความยินยอม
- เก็บข้อมูลผ่านกระดาษ หรือระบบออนไลน์ก็ได้
- เนื้อหาในรายละเอียดจะต้องอ่านง่าย เข้าใจง่าย
- ไม่หลอกลวงให้เข้าใจผิด
- แยกชัดเจนจากเงื่อนไขอื่น ๆ และจะต้องไม่เอาเงื่อนไขใด ๆ มาผูกมัด
การถอนความยินยอม
- เจ้าของข้อมูลจะขอยกเลิกเมื่อไหร่ก็ได้
- ทำได้ง่ายเหมือนกับการให้ความยินยอม
- แจ้งให้เจ้าของข้อมูลทราบถึงผลกระทบที่จะเกิดขึ้น