เปิดกฎหมายข้อมูลส่วนบุคคล โพสต์แบบไหนขัด pdpa

พื้นฐานของกฎหมาย PDPA และการคุ้มครองข้อมูลในยุคดิจิทัล

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือที่เรียกกันว่า PDPA เริ่มบังคับใช้อย่างเต็มรูปแบบเมื่อวันที่ 1 มิถุนายน 2565 ถือเป็นจุดเปลี่ยนสำคัญในการคุ้มครองความเป็นส่วนตัวของคนไทยในโลกดิจิทัล กฎหมายฉบับนี้จำแนกข้อมูลส่วนบุคคลออกเป็นสองประเภทหลักที่มีระดับการคุ้มครองแตกต่างกัน ได้แก่ ข้อมูลส่วนบุคคลทั่วไปและข้อมูลส่วนบุคคลอ่อนไหว

การแบ่งแยกประเภทข้อมูลนี้มีความสำคัญอย่างยิ่งต่อการกำหนดว่าข้อมูลประเภทใดสามารถเผยแพร่บนอินเทอร์เน็ตได้ โดยข้อมูลแต่ละประเภทมีฐานทางกฎหมายและข้อกำหนดการขอความยินยอมที่แตกต่างกัน ซึ่งส่งผลต่อการดำเนินธุรกิจ สื่อมวลชน และบุคคลทั่วไปที่ต้องปฏิบัติตามกฎหมายนี้

pdpa-thailand-personal-data-internet-sharing-rules-SPACEBAR-Photo01.jpg

ขอบเขตการคุ้มครองข้อมูลส่วนบุคคล

ข้อมูลส่วนบุคคลทั่วไปหมายถึงข้อมูลที่สามารถระบุตัวตนของบุคคลได้ทั้งทางตรงและทางอ้อม ประกอบด้วยข้อมูลพื้นฐานอย่างชื่อ-นามสกุล เลขประจำตัวประชาชน ข้อมูลติดต่อ รวมถึงข้อมูลที่ซับซ้อนขึ้นเช่น IP Address ข้อมูลระบุตำแหน่ง GPS และข้อมูลระบุตัวตนบนอินเทอร์เน็ต

นอกจากนี้ยังครอบคลุมข้อมูลทางการเงิน เช่น เลขที่บัญชีธนาคาร เลขที่บัตรเครดิต เลขที่ใบอนุญาตขับขี่ เลขหนังสือเดินทาง ตลอดจนข้อมูลเกี่ยวกับทรัพย์สิน การศึกษา และการจ้างงาน แม้แต่ข้อมูลที่ดูไม่สำคัญเช่น วันเกิด น้ำหนัก ส่วนสูง ก็ยังถือเป็นข้อมูลส่วนบุคคลหากสามารถนำมารวมกับข้อมูลอื่นเพื่อระบุตัวตนได้

ข้อมูลอ่อนไหว: การคุ้มครองเข้มงวดเพื่อป้องกันการเลือกปฏิบัติ

ข้อมูลส่วนบุคคลอ่อนไหวได้รับการคุ้มครองอย่างเข้มงวดเนื่องจากมีความเสี่ยงสูงต่อการเลือกปฏิบัติและการละเมิดสิทธิเสรีภาพ ประกอบด้วยข้อมูลเกี่ยวกับเชื้อชาติ ความคิดเห็นทางการเมือง ความเชื่อทางศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม การเป็นสมาชิกสหภาพแรงงาน

ข้อมูลทางชีวภาพและพันธุกรรม เช่น ลายนิ้วมือ ข้อมูลใบหน้า ม่านตา เสียง รวมถึงข้อมูลสุขภาพและความพิการ ล้วนอยู่ในหมวดหมู่นี้ การเผยแพร่ข้อมูลเหล่านี้โดยไม่ได้รับอนุญาตอาจส่งผลกระทบร้ายแรงต่อชีวิต การงาน ความสัมพันธ์ และสถานะทางสังคมของเจ้าของข้อมูล

ฐานทางกฎหมายสำหรับการเผยแพร่ข้อมูลทั่วไปบนอินเทอร์เน็ต

PDPA กำหนดฐานทางกฎหมายหลายประการที่อนุญาตให้เก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลทั่วไปบนอินเทอร์เน็ต โดยฐานที่สำคัญที่สุดคือการได้รับความยินยอมอย่างชัดแจ้งจากเจ้าของข้อมูล ความยินยอมต้องเป็นไปตามเงื่อนไขเฉพาะ คือ ให้ไว้อย่างชัดเจนผ่านข้อความหรือสื่ออิเล็กทรอนิกส์ แยกออกจากข้อความอื่น เข้าใจง่าย ไม่ทำให้เข้าใจผิด และสามารถถอนคืนได้ตลอดเวลา

นอกจากความยินยอมแล้ว ยังมีฐานทางกฎหมายอื่น เช่น การปฏิบัติตามสัญญา การปฏิบัติตามกฎหมาย การคุ้มครองผลประโยชน์สำคัญ ประโยชน์สาธารณะ และผลประโยชน์อันชอบธรรมของผู้ควบคุมข้อมูล โดยผลประโยชน์อันชอบธรรมต้องไม่เหนือกว่าสิทธิเสรีภาพพื้นฐานของเจ้าของข้อมูล และเจ้าของข้อมูลไม่ได้คัดค้าน

ข้อมูลที่สามารถเผยแพร่บนอินเทอร์เน็ตได้โดยไม่ต้องขออนุญาต

มีข้อมูลบางประเภทที่สามารถเผยแพร่บนอินเทอร์เน็ตได้โดยไม่จำเป็นต้องขอความยินยอมเพิ่มเติม ได้แก่ ข้อมูลที่เจ้าของได้เผยแพร่สู่สาธารณะด้วยตนเองอย่างชัดเจน เช่น การแชร์ข้อมูลส่วนตัวผ่านโซเชียลมีเดียแบบสาธารณะ หรือการเปิดเผยข้อมูลของบุคคลที่มีบทบาทสาธารณะ

สื่อมวลชนสามารถเผยแพร่ข้อมูลส่วนบุคคลได้เมื่อปฏิบัติตามจริยธรรมวิชาชีพและเพื่อประโยชน์สาธารณะ นักข่าวสามารถถ่ายภาพ บันทึกเสียง และเผยแพร่ข้อมูลของบุคคลที่สามารถระบุตัวตนได้บนอินเทอร์เน็ตโดยไม่ต้องขอความยินยอม หากการเผยแพร่นั้นมีความจำเป็นต่อการรายงานข่าวที่มีประโยชน์ต่อสังคม

ข้อมูลที่เก็บรวบรวมเพื่อวัตถุประสงค์ทางประวัติศาสตร์ งานวิจัย หรือสถิติเพื่อประโยชน์สาธารณะ ก็สามารถเผยแพร่ได้ภายใต้เงื่อนไขที่เหมาะสม โดยเฉพาะเมื่องานวิจัยดังกล่าวมีความสำคัญต่อสังคมและมีมาตรการคุ้มครองความเป็นส่วนตัวที่เพียงพอ

ข้อมูลที่ห้ามหรือจำกัดการเผยแพร่บนอินเทอร์เน็ตอย่างเข้มงวด

ข้อมูลอ่อนไหวทุกประเภทต้องได้รับความยินยอมอย่างชัดแจ้งก่อนการเผยแพร่บนอินเทอร์เน็ต ข้อมูลสุขภาพและความพิการได้รับการคุ้มครองเป็นพิเศษ ไม่สามารถเผยแพร่ได้เว้นแต่มีความยินยอมชัดแจ้ง หรือในกรณีฉุกเฉินเพื่อคุ้มครองชีวิต หรือในกิจกรรมดูแลสุขภาพโดยองค์กรที่เหมาะสม

ข้อมูลทางชีวภาพเช่น ลายนิ้วมือ ใบหน้า ม่านตา เสียง ถือเป็นข้อมูลที่มีความเสี่ยงสูงเนื่องจากสามารถระบุตัวตนได้อย่างเฉพาะเจาะจง และอาจถูกใช้ในการติดตามหรือเฝ้าระวังโดยที่เจ้าของข้อมูลไม่รู้ตัว

ประวัติอาชญากรรม การจับกุม และคำพิพากษา ถือเป็นข้อมูลที่มีผลกระทบอย่างมากต่อโอกาสในการจ้างงาน ที่อยู่อาศัย และความสัมพันธ์ส่วนบุคคล จึงไม่สามารถเผยแพร่บนอินเทอร์เน็ตได้โดยไม่ได้รับความยินยอมชัดแจ้ง แม้หน่วยงานบังคับใช้กฎหมายก็ต้องจัดการข้อมูลประเภทนี้อย่างรอบคอบ

การบังคับใช้กฎหมายในปัจจุบันและผลกระทบต่อการเผยแพร่ข้อมูล

ตั้งแต่ PDPA เริ่มบังคับใช้เต็มรูปแบบในเดือนมิถุนายน 2565 คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้เปลี่ยนจากการให้ความรู้สู่การบังคับใช้จริงจัง โดยการปรับปรุงครั้งแรกเกิดขึ้นในเดือนสิงหาคม 2567 เมื่อคณะกรรมการปรับแพลตฟอร์มช้อปปิ้งออนไลน์รายใหญ่เป็นจำนวน 7 ล้านบาท

คดีนี้เกิดจากการที่บริษัทไม่ปฏิบัติตามมาตรการรักษาความปลอดภัยที่เพียงพอ ไม่แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล และแจ้งการละเมิดข้อมูลล่าช้า ส่งผลให้ข้อมูลของลูกค้ากว่า 100,000 ราย รั่วไหลไปยังกลุ่มคอลเซ็นเตอร์มิจฉาชีพ ซึ่งนำข้อมูลไปใช้หลอกลวงเจ้าของข้อมูล

การบังคับใช้นี้ส่งสัญญาณชัดเจนว่าหน่วยงานกำกับดูแลจริงจังกับการคุ้มครองข้อมูลส่วนบุคคลบนอินเทอร์เน็ต และจะลงโทษอย่างจริงจังต่อการละเมิด ทำให้องค์กรต่างๆ ต้องปรับปรุงระบบรักษาความปลอดภัยและกระบวนการจัดการข้อมูลให้เข้มงวดขึ้น

การเปลี่ยนแปลงครั้งนี้ไม่ได้หมายถึงการปิดกั้นการแลกเปลี่ยนข้อมูลบนอินเทอร์เน็ต แต่เป็นการสร้างกรอบการทำงานที่ชัดเจนเพื่อให้การเผยแพร่ข้อมูลเป็นไปอย่างโปร่งใสและเคารพสิทธิส่วนบุคคล หากทุกฝ่ายเข้าใจและปฏิบัติตามกฎหมายอย่างถูกต้อง เราจะสามารถใช้ประโยชน์จากเทคโนโลยีและข้อมูลได้อย่างเต็มศักยภาพ โดยไม่ต้องสูญเสียความเป็นส่วนตัวและศักดิ์ศรีความเป็นมนุษย์ในโลกดิจิทัลที่เปลี่ยนแปลงอย่างรวดเร็วนี้

จาก พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562