สาระสำคัญ ของ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

ขอบเขต

"ข้อมูลส่วนบุคคล" หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม เช่น ชื่อ-สกุล, ที่อยู่, เลขประจำตัวประชาชน, ข้อมูลสุขภาพ, หมายเลขโทรศัพท์, อีเมล, ประวัติอาชญากรรม เป็นต้น แต่ข้อมูลส่วนบุคคลบางประเภทมีหลักการที่เข้มงวดกว่าข้อมูลส่วนบุคคลทั่วไป ได้แก่ "ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน" เช่น เชื้อชาติ, ประวัติอาชญากรรม, ข้อมูลพันธุกรรม, พฤติกรรมทางเพศ เป็นต้น

"ผู้ควบคุมข้อมูลส่วนบุคคล" หมายถึง บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ส่วน "ผู้ประมวลผลข้อมูลส่วนบุคคล" หมายถึง บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล

พระราชบัญญัติฯ จัดตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลขึ้นเพื่อเป็นองค์การหลักในการนำกฎหมายไปปฏิบัติ

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นกฎหมายที่ครอบคลุมทั้งภาครัฐและภาคเอกชน อย่างไรก็ดี ตามมาตรา 4 กฎหมายนี้ไม่ใช้บังคับแก่

  1. บางส่วนของภาครัฐ แต่อาจมีข้อยกเว้นเพิ่มเติมตามพระราชกฤษฎีกาได้ หน่วยงานที่ได้รับยกเว้น เช่น หน่วยงานที่มีหน้าที่เกี่ยวกับความมั่นคงสาธารณะ กิจการของรัฐสภาและศาล
  2. การใช้ข้อมูลส่วนบุคคลเพื่อประโยชน์ส่วนตัวหรือครอบครัว
  3. การใช้ข้อมูลส่วนบุคคลเพื่อประโยชน์ของสื่อมวลชน งานศิลปะหรือวรรณกรรม
  4. การเก็บข้อมูลส่วนบุคคลตามจรรยาบรรณแห่งวิชาชีพ หรือเพื่อประโยชน์สาธารณะ
  5. บริษัทข้อมูลเครดิต (credit bureau) และสมาชิก ซึ่งมีกฎหมายภาวะเฉพาะส่วนตัวแยกอยู่แล้ว คือ พระราชบัญญัติการประกอบธุรกิจข้อมูลเครดิต พ.ศ. 2545 (แก้ไขเพิ่มเติมครั้งสุดท้าย พ.ศ. 2559)[1]:1

ผู้ควบคุมข้อมูลส่วนบุคคลที่ได้รับยกเว้นตามพระราชบัญญัติฯ มาตรา 4 ยังต้องมีให้ความคุ้มครองข้อมูลส่วนบุคคลตามมาตรฐาน อย่างไรก็ดี ไม่มีข้อยกเว้นใดถูกจำกัดด้านความจำเป็น การทดสอบความได้สัดส่วนและแนวปฏิบัติที่ดี[1]:2

กรีนลีฟและอาทิตย์ (2562) เขียนว่า พระราชบัญญัตินี้ส่งเสริมและเข้าแทนที่การคุ้มครองภาวะเฉพาะบุคคลจากพระราชบัญญัติข้อมูลข่าวสารของราชการ พ.ศ. 2540 โดยทั่วไปพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จึงใช้กับภาครัฐโดยทั่วไป[1]:2 ด้านไอลอว์มองว่ากฎหมายมีเจตนารมณ์มุ่งเน้นต่อผู้ประกอบการเอกชนเป็นหลัก เพราะกิจการของหน่วยงานความมั่นคง แลกิจการของรัฐแทบทั้งหมดได้รับการยกเว้นจากการปฏิบัติตามกฎหมายนี้[5]

กฎหมายนี้ยังมีผลนอกอาณาเขตด้วย มาตรา 5 ครอบคลุมการทำการตลาดแก่หรือการเฝ้าติดตามบุคคลในประเทศไทย นอกจากนี้ ยังครอบคลุมการประมวลผลข้อมูลส่วนบุคคลนอกประเทศไทยของผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลในประเทศไทยด้วย[1]:2

การเก็บข้อมูลส่วนบุคคล

การเก็บข้อมูลส่วนบุคคลตามพระราชบัญญัตินี้มีหลักการทั่วไปว่า "ผู้ควบคุมข้อมูลส่วนบุคคลจะกระทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไม่ได้ หากเจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมไว้ก่อนหรือในขณะนั้น" (มาตรา 19) สำหรับข้อมูลส่วนบุคคลที่มีความอ่อนไหวเป็นพิเศษ เช่น ข้อมูลเรื่องเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ ฯลฯ ต้องได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูล (มาตรา 26)

หลักการที่พระราชบัญญัติฯ ได้รับอิทธิพลมาจาก GDPR มีดังนี้ การเก็บข้อมูลให้น้อยที่สุด (มาตรา 22), ข้อกำหนดความยินยอมอย่างเข้มในการเก็บข้อมูล (มาตรา 23–25), สิทธิความสะดวกพกพาข้อมูล (มาตรา 31), สิทธิคัดค้านการประมวลผลข้อมูล (มาตรา 32), สิทธิขอให้ลบข้อมูล (มาตรา 33)[1]:2

การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลดังกล่าวจะชอบด้วยกฎหมาย หากดำเนินการตามหลักการใดหลักการหนึ่ง ดังต่อไปนี้[6]

Consentเจ้าของข้อมูลส่วนบุคคลให้ความยินยอม โดยรับทราบวัตถุประสงค์ของการเก็บข้อมูลส่วนบุคคลจากแบบที่เข้าใจง่าย และเจ้าของข้อมูลจะถอนความยินยอมเมื่อใดก็ได้
Scientific or Historical Researchจัดทำเอกสารประวัติศาสตร์, จดหมายเหตุ, การศึกษาวิจัย, สถิติ
Vital Interestเพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
Contractเป็นการจำเป็นเพื่อการปฏิบัติตามสัญญา เช่น การเก็บข้อมูลส่วนบุคคลของผู้ทำสัญญากู้ยืมเงินจากธนาคาร
Public Taskเป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะ หรือปฏิบัติหน้าที่ในอำนาจรัฐ เช่น หน่วยงานของรัฐจัดทำ Big Data เพื่อดำเนินโครงการของรัฐ
Legitimate Interestเป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล หรือของบุคคลหรือนิติบุคคลอื่น เช่น การเก็บข้อมูลส่วนบุคคลที่เป็นภาพถ่ายของบริษัทรับติดตั้งกล้องวงจรปิดรักษาความปลอดภัย
Legal Obligationsเป็นการปฏิบัติตามกฎหมาย

กฎหมายกำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคลที่ตนเก็บรวบรวม ส่วนผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่ดำเนินการตามคำสั่งโดยชอบด้วยกฎหมายที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น[6] อย่างไรก็ตาม ยกเว้นให้หน่วยงานรัฐที่คณะกรรมการกำหนด และธุรกิจขนาดย่อมบางจำพวกที่จัดการข้อมูลจำนวนมาก (ซึ่งคณะกรรมการจะกำหนดภายหลัง)[1]:3

บางแง่มุมของ GDPR ไม่ปรากฏในพระราชบัญญัตินี้ ได้แก่ หลักฉาวะเฉพาะส่วนตัวโดยการออกแบบ (privacy by design) และภาวะเฉพาะส่วนตัวโดยปริยาย (privacy by default) และการคุ้มครองการประมวลผลข้อมูลแบบอัตโนมัติ[1]:3

แหล่งที่มา

WikiPedia: พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 http://dx.doi.org/10.2139/ssrn.3502671 http://www.ratchakitcha.soc.go.th/DATA/PDF/2562/A/... https://www.bbc.com/thai/thailand-58472276 https://ssrn.com/abstract=3502671 https://www.youtube.com/watch?v=-Qejl-2F_Vk https://www.prachachat.net/general/news-665841 https://jor8.coj.go.th/th/file/get/file/2019041180... https://uto.moph.go.th/lablae/EB9_11.1.9.pdf https://ilaw.or.th/node/5332