พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

วิดีโอจากแหล่งข้อมูลภายนอก
	สาระสำคัญ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562, วิดีทัศน์ยูทูบ

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
ข้อมูลทั่วไป
ผู้ตรา	มหาวชิราลงกรณ บดินทรเทพยวรางกูร
วันประกาศ	27 พฤษภาคม 2562
วันเริ่มใช้	28 พฤษภาคม 2562 (เฉพาะหมวด 1, 4 และมาตรา 91–94); 1 มิถุนายน 2565
ท้องที่ใช้	ประเทศไทย
ผู้รักษาการ	รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม
การร่าง
ชื่อร่าง	ร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ….
ผู้เสนอ	คณะรัฐมนตรีประยุทธ์
ผู้ยกร่าง	สภานิติบัญญัติแห่งชาติ
การพิจารณาในสภานิติบัญญัติ
วาระที่สาม	28 กุมภาพันธ์ 2562
กฎหมายที่เกี่ยวข้อง
	พระราชบัญญัติข้อมูลข่าวสารของราชการ พ.ศ. 2540; พระราชบัญญัติการประกอบธุรกิจข้อมูลเครดิต พ.ศ. 2545; พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562;
คำสำคัญ
	ข้อมูลส่วนบุคคล; ภาวะเฉพาะส่วนตัว;

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือบ้างย่อเป็น PDPA เป็นกฎหมายไทยระดับพระราชบัญญัติ มีเนื้อหาสาระเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลและภาวะเฉพาะส่วนตัวในประเทศไทย มีการเสนอร่างกฎหมายดังกล่าวในเดือนพฤษภาคม 2558 โดยได้รับอิทธิพลมาจากระเบียบการคุ้มครองข้อมูลทั่วไป (GDPR) ซึ่งเป็นกฎหมายคุ้มครองข้อมูลของสหภาพยุโรป^[1]^: 1 กฎหมายระบุเหตุผลและความจำเป็นว่า "เพื่อให้การคุ้มครองข้อมูลส่วนบุคคลมีประสิทธิภาพและเพื่อให้มีมาตรการเยียวยาเจ้าของข้อมูลส่วนบุคคลจากการถูกละเมิดสิทธิในข้อมูลส่วนบุคคล" พระราชบัญญัติมีผลใช้บังคับบางส่วนเมื่อวันที่ 28 พฤษภาคม 2562 โดยมีการเว้นระยะหนึ่งปีก่อนมีกำหนดที่กฎหมายจะมีผลใช้บังคับทั้งฉบับเมื่อวันที่ 28 พฤษภาคม 2563

บริบท แก้

ในประเทศไทยเมื่อปี 2561 เกิดเหตุการรั่วไหลของข้อมูลบนคลาวด์แอมะซอนเอส3 ของทรูมูฟ เอช^[2]^: 6 ในประเทศไทยมีกฎหมายภาวะเฉพาะส่วนตัวอยู่แล้ว แต่ไม่มีประสิทธิภาพและครอบคลุมเฉพาะภาครัฐเท่านั้น^[1]^: 1

ข้อมูลในช่วง 9 เดือนแรกของปี 2563 พบว่ามีการเรียกค่าไถ่ข้อมูลกว่า 192,000 ครั้ง มากที่สุดเป็นอันดับ 3 ในอาเซียน^[3] ในเดือนพฤษภาคม 2564 มีการเลื่อนการบังคับใช้ พรบ. นี้ไปเป็นวันที่ 31 พฤษภาคม 2565^[4]

โครงสร้างพระราชบัญญัติ แก้

บทนำ (มาตรา 1–7)

หมวด 1: คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (มาตรา 8–18)

หมวด 2: การคุ้มครองข้อมูลส่วนบุคคล (มาตรา 19–29)

หมวด 3: สิทธิของเจ้าของข้อมูลส่วนบุคคล (มาตรา 30–42)

หมวด 4: สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (มาตรา 43–70)

หมวด 5: การร้องเรียน (มาตรา 71–76)

หมวด 6: ความรับผิดทางแพ่ง (มาตรา 77–78)

หมวด 7: บทกำหนดโทษ (มาตรา 79–90)

บทเฉพาะกาล (มาตรา 91–96)

สาระสำคัญ แก้

ขอบเขต แก้

"ข้อมูลส่วนบุคคล" หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม เช่น ชื่อ-สกุล, ที่อยู่, เลขประจำตัวประชาชน, ข้อมูลสุขภาพ, หมายเลขโทรศัพท์, อีเมล, ประวัติอาชญากรรม เป็นต้น แต่ข้อมูลส่วนบุคคลบางประเภทมีหลักการที่เข้มงวดกว่าข้อมูลส่วนบุคคลทั่วไป ได้แก่ "ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน" เช่น เชื้อชาติ, ประวัติอาชญากรรม, ข้อมูลพันธุกรรม, พฤติกรรมทางเพศ เป็นต้น

"ผู้ควบคุมข้อมูลส่วนบุคคล" หมายถึง บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ส่วน "ผู้ประมวลผลข้อมูลส่วนบุคคล" หมายถึง บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล

พระราชบัญญัติฯ จัดตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลขึ้นเพื่อเป็นองค์การหลักในการนำกฎหมายไปปฏิบัติ

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นกฎหมายที่ครอบคลุมทั้งภาครัฐและภาคเอกชน อย่างไรก็ดี ตามมาตรา 4 กฎหมายนี้ไม่ใช้บังคับแก่

บางส่วนของภาครัฐ แต่อาจมีข้อยกเว้นเพิ่มเติมตามพระราชกฤษฎีกาได้ หน่วยงานที่ได้รับยกเว้น เช่น หน่วยงานที่มีหน้าที่เกี่ยวกับความมั่นคงสาธารณะ กิจการของรัฐสภาและศาล
การใช้ข้อมูลส่วนบุคคลเพื่อประโยชน์ส่วนตัวหรือครอบครัว
การใช้ข้อมูลส่วนบุคคลเพื่อประโยชน์ของสื่อมวลชน งานศิลปะหรือวรรณกรรม
การเก็บข้อมูลส่วนบุคคลตามจรรยาบรรณแห่งวิชาชีพ หรือเพื่อประโยชน์สาธารณะ
บริษัทข้อมูลเครดิต (credit bureau) และสมาชิก ซึ่งมีกฎหมายภาวะเฉพาะส่วนตัวแยกอยู่แล้ว คือ พระราชบัญญัติการประกอบธุรกิจข้อมูลเครดิต พ.ศ. 2545 (แก้ไขเพิ่มเติมครั้งสุดท้าย พ.ศ. 2559)^[1]^: 1

ผู้ควบคุมข้อมูลส่วนบุคคลที่ได้รับยกเว้นตามพระราชบัญญัติฯ มาตรา 4 ยังต้องมีให้ความคุ้มครองข้อมูลส่วนบุคคลตามมาตรฐาน อย่างไรก็ดี ไม่มีข้อยกเว้นใดถูกจำกัดด้านความจำเป็น การทดสอบความได้สัดส่วนและแนวปฏิบัติที่ดี^[1]^: 2

กรีนลีฟและอาทิตย์ (2562) เขียนว่า พระราชบัญญัตินี้ส่งเสริมและเข้าแทนที่การคุ้มครองภาวะเฉพาะบุคคลจากพระราชบัญญัติข้อมูลข่าวสารของราชการ พ.ศ. 2540 โดยทั่วไปพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จึงใช้กับภาครัฐโดยทั่วไป^[1]^: 2 ด้านไอลอว์มองว่ากฎหมายมีเจตนารมณ์มุ่งเน้นต่อผู้ประกอบการเอกชนเป็นหลัก เพราะกิจการของหน่วยงานความมั่นคง แลกิจการของรัฐแทบทั้งหมดได้รับการยกเว้นจากการปฏิบัติตามกฎหมายนี้^[5]

กฎหมายนี้ยังมีผลนอกอาณาเขตด้วย มาตรา 5 ครอบคลุมการทำการตลาดแก่หรือการเฝ้าติดตามบุคคลในประเทศไทย นอกจากนี้ ยังครอบคลุมการประมวลผลข้อมูลส่วนบุคคลนอกประเทศไทยของผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลในประเทศไทยด้วย^[1]^: 2

การเก็บข้อมูลส่วนบุคคล แก้

การเก็บข้อมูลส่วนบุคคลตามพระราชบัญญัตินี้มีหลักการทั่วไปว่า "ผู้ควบคุมข้อมูลส่วนบุคคลจะกระทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไม่ได้ หากเจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมไว้ก่อนหรือในขณะนั้น" (มาตรา 19) สำหรับข้อมูลส่วนบุคคลที่มีความอ่อนไหวเป็นพิเศษ เช่น ข้อมูลเรื่องเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ ฯลฯ ต้องได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูล (มาตรา 26)

หลักการที่พระราชบัญญัติฯ ได้รับอิทธิพลมาจาก GDPR มีดังนี้ การเก็บข้อมูลให้น้อยที่สุด (มาตรา 22), ข้อกำหนดความยินยอมอย่างเข้มในการเก็บข้อมูล (มาตรา 23–25), สิทธิความสะดวกพกพาข้อมูล (มาตรา 31), สิทธิคัดค้านการประมวลผลข้อมูล (มาตรา 32), สิทธิขอให้ลบข้อมูล (มาตรา 33)^[1]^: 2

การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลดังกล่าวจะชอบด้วยกฎหมาย หากดำเนินการตามหลักการใดหลักการหนึ่ง ดังต่อไปนี้^[6]

Consent	เจ้าของข้อมูลส่วนบุคคลให้ความยินยอม โดยรับทราบวัตถุประสงค์ของการเก็บข้อมูลส่วนบุคคลจากแบบที่เข้าใจง่าย และเจ้าของข้อมูลจะถอนความยินยอมเมื่อใดก็ได้
Scientific or Historical Research	จัดทำเอกสารประวัติศาสตร์, จดหมายเหตุ, การศึกษาวิจัย, สถิติ
Vital Interest	เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
Contract	เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญา เช่น การเก็บข้อมูลส่วนบุคคลของผู้ทำสัญญากู้ยืมเงินจากธนาคาร
Public Task	เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะ หรือปฏิบัติหน้าที่ในอำนาจรัฐ เช่น หน่วยงานของรัฐจัดทำ Big Data เพื่อดำเนินโครงการของรัฐ
Legitimate Interest	เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล หรือของบุคคลหรือนิติบุคคลอื่น เช่น การเก็บข้อมูลส่วนบุคคลที่เป็นภาพถ่ายของบริษัทรับติดตั้งกล้องวงจรปิดรักษาความปลอดภัย
Legal Obligations	เป็นการปฏิบัติตามกฎหมาย

กฎหมายกำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคลที่ตนเก็บรวบรวม ส่วนผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่ดำเนินการตามคำสั่งโดยชอบด้วยกฎหมายที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น^[6] อย่างไรก็ตาม ยกเว้นให้หน่วยงานรัฐที่คณะกรรมการกำหนด และธุรกิจขนาดย่อมบางจำพวกที่จัดการข้อมูลจำนวนมาก (ซึ่งคณะกรรมการจะกำหนดภายหลัง)^[1]^: 3

บางแง่มุมของ GDPR ไม่ปรากฏในพระราชบัญญัตินี้ ได้แก่ หลักฉาวะเฉพาะส่วนตัวโดยการออกแบบ (privacy by design) และภาวะเฉพาะส่วนตัวโดยปริยาย (privacy by default) และการคุ้มครองการประมวลผลข้อมูลแบบอัตโนมัติ^[1]^: 3

ดูเพิ่ม แก้

ระเบียบการคุ้มครองข้อมูลทั่วไป (GDPR), กฎหมายภาวะเฉพาะส่วนตัวของสหภาพยุโรป
เคมบริดจ์แอนะลิติกา, บริษัทที่เก็บข้อมูลส่วนบุคคลในสหราชอาณาจักร

อ้างอิง แก้

↑ ^1.0 ^1.1 ^1.2 ^1.3 ^1.4 ^1.5 ^1.6 ^1.7 ^1.8 Greenleaf, Graham and Suriyawongkul, Arthit, Thailand – Asia’s Strong New Data Protection Law (September 24, 2019). 160 Privacy Laws and Business International Report 1, 3-6, 2019. Available at SSRN: https://ssrn.com/abstract=3502671 or http://dx.doi.org/10.2139/ssrn.3502671
↑ สานักงานปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม. (2562). รู้จัก พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล เก็บถาวร 2022-08-27 ที่ เวย์แบ็กแมชชีน. สืบค้นเมื่อ 10-5-63
↑ "อนุทินยอมรับฐานข้อมูลคนไข้ สธ. ถูกแฮก สั่งเร่งปรับปรุงความปลอดภัยระบบ". BBC ไทย. 7 September 2021. สืบค้นเมื่อ 7 September 2021.
↑ "ประกาศแล้ว! เลื่อนบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลออกไปอีก 1 ปี". ประชาชาติธุรกิจ. 10 May 2021. สืบค้นเมื่อ 7 September 2021.
↑ ไอลอว์. (2562). ธุรกิจเตรียมปรับตัว! 10 ข้อควรรู้ ก่อนพ.ร.บ.ข้อมูลส่วนบุคคลฯ เริ่มใช้บังคับ. สืบค้นเมื่อ 10-5-63
↑ ^6.0 ^6.1 "สรุปสาระสำคัญ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ "PDPA – Privacy for All"" (PDF). คลังข้อมูลเก่าเก็บจากแหล่งเดิม (PDF)เมื่อ 2022-05-18. สืบค้นเมื่อ 2020-05-11.

แหล่งข้อมูลอื่น แก้

ราชกิจจานุเบกษา
"รู้จัก พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล" เก็บถาวร 2022-08-27 ที่ เวย์แบ็กแมชชีน การนำเสนอพาวเวอร์พอยต์ของสำนักงานปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม, มีนาคม 2562

[ssrn-1] 1.0 ^1.1 ^1.2 ^1.3 ^1.4 ^1.5 ^1.6 ^1.7 ^1.8 Greenleaf, Graham and Suriyawongkul, Arthit, Thailand – Asia’s Strong New Data Protection Law (September 24, 2019). 160 Privacy Laws and Business International Report 1, 3-6, 2019. Available at SSRN: https://ssrn.com/abstract=3502671 or http://dx.doi.org/10.2139/ssrn.3502671

[ppt-2] สานักงานปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม. (2562). รู้จัก พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล เก็บถาวร 2022-08-27 ที่ เวย์แบ็กแมชชีน. สืบค้นเมื่อ 10-5-63

[3] "อนุทินยอมรับฐานข้อมูลคนไข้ สธ. ถูกแฮก สั่งเร่งปรับปรุงความปลอดภัยระบบ". BBC ไทย. 7 September 2021. สืบค้นเมื่อ 7 September 2021.

[4] "ประกาศแล้ว! เลื่อนบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลออกไปอีก 1 ปี". ประชาชาติธุรกิจ. 10 May 2021. สืบค้นเมื่อ 7 September 2021.

[ilaw-5] ไอลอว์. (2562). ธุรกิจเตรียมปรับตัว! 10 ข้อควรรู้ ก่อนพ.ร.บ.ข้อมูลส่วนบุคคลฯ เริ่มใช้บังคับ. สืบค้นเมื่อ 10-5-63

[thaisum-6] 6.0 ^6.1 "สรุปสาระสำคัญ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ "PDPA – Privacy for All"" (PDF). คลังข้อมูลเก่าเก็บจากแหล่งเดิม (PDF)เมื่อ 2022-05-18. สืบค้นเมื่อ 2020-05-11.

[1]

[2]

[3]

[4]

[5]

[6]