พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

จากวิกิพีเดีย สารานุกรมเสรี
ไปยังการนำทาง ไปยังการค้นหา
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
New Seal of the Royal Command of Thailand 001.jpg
ข้อมูลทั่วไป
ผู้ตราสภานิติบัญญัติแห่งชาติ
วันประกาศ27 พฤษภาคม 2562
วันเริ่มใช้28 พฤษภาคม 2562 (เฉพาะหมวด 1, 4 และมาตรา 91–94)
ท้องที่ใช้ประเทศไทย
ผู้รักษาการรัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม
การร่าง
ชื่อร่างร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ….
ผู้เสนอคณะรัฐมนตรีประยุทธ์
การพิจารณาในสภานิติบัญญัติ
วาระที่สาม28 กุมภาพันธ์ 2562
กฎหมายที่เกี่ยวข้อง
คำสำคัญ
วิดีโอจากแหล่งข้อมูลภายนอก
สาระสำคัญ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562, วิดีทัศน์ยูทูบ

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นกฎหมายไทยระดับพระราชบัญญัติ มีเนื้อหาสาระเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลและภาวะเฉพาะส่วนตัวในประเทศไทย มีการเสนอร่างกฎหมายดังกล่าวในเดือนพฤษภาคม 2558 โดยได้รับอิทธิพลมาจากระเบียบการคุ้มครองข้อมูลทั่วไป (GDPR) ซึ่งเป็นกฎหมายคุ้มครองข้อมูลของสหภาพยุโรป[1]:1 กฎหมายระบุเหตุผลและความจำเป็นว่า "เพื่อให้การคุ้มครองข้อมูลส่วนบุคคลมีประสิทธิภาพและเพื่อให้มีมาตรการเยียวยาเจ้าของข้อมูลส่วนบุคคลจากการถูกละเมิดสิทธิในข้อมูลส่วนบุคคล" พระราชบัญญัติมีผลใช้บังคับบางส่วนเมื่อวันที่ 28 พฤษภาคม 2562 โดยมีการเว้นระยะหนึ่งปีก่อนมีกำหนดที่กฎหมายจะมีผลใช้บังคับทั้งฉบับเมื่อวันที่ 28 พฤษภาคม 2563

บริบท[แก้]

ในประเทศไทยเมื่อปี 2561 เกิดเหตุการรั่วไหลของข้อมูลบนคลาวด์แอมะซอนเอส3 ของทรูมูฟ เอช[2]:6 ในประเทศไทยมีกฎหมายภาวะเฉพาะส่วนตัวอยู่แล้ว แต่ไม่มีประสิทธิภาพและครอบคลุมเฉพาะภาครัฐเท่านั้น[1]:1

โครงสร้างพระราชบัญญัติ[แก้]

บทนำ (มาตรา 1–7)
หมวด 1: คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (มาตรา 8–18)
หมวด 2: การคุ้มครองข้อมูลส่วนบุคคล (มาตรา 19–29)
หมวด 3: สิทธิของเจ้าของข้อมูลส่วนบุคคล (มาตรา 30–42)
หมวด 4: สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (มาตรา 43–70)
หมวด 5: การร้องเรียน (มาตรา 71–76)
หมวด 6: ความรับผิดทางแพ่ง (มาตรา 77–78)
หมวด 7: บทกำหนดโทษ (มาตรา 79–90)
บทเฉพาะกาล (มาตรา 91–96)

สาระสำคัญ[แก้]

ขอบเขต[แก้]

"ข้อมูลส่วนบุคคล" หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม เช่น ชื่อ-สกุล, ที่อยู่, เลขประจำตัวประชาชน, ข้อมูลสุขภาพ, หมายเลขโทรศัพท์, อีเมล, ประวัติอาชญากรรม เป็นต้น แต่ข้อมูลส่วนบุคคลบางประเภทมีหลักการที่เข้มงวดกว่าข้อมูลส่วนบุคคลทั่วไป ได้แก่ "ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน" เช่น เชื้อชาติ, ประวัติอาชญากรรม, ข้อมูลพันธุกรรม, พฤติกรรมทางเพศ เป็นต้น

"ผู้ควบคุมข้อมูลส่วนบุคคล" หมายถึง บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ส่วน "ผู้ประมวลผลข้อมูลส่วนบุคคล" หมายถึง บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล

พระราชบัญญัติฯ จัดตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลขึ้นเพื่อเป็นองค์การหลักในการนำกฎหมายไปปฏิบัติ

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นกฎหมายที่ครอบคลุมทั้งภาครัฐและภาคเอกชน อย่างไรก็ดี ตามมาตรา 4 กฎหมายนี้ไม่ใช้บังคับแก่

  1. บางส่วนของภาครัฐ แต่อาจมีข้อยกเว้นเพิ่มเติมตามพระราชกฤษฎีกาได้ หน่วยงานที่ได้รับยกเว้น เช่น หน่วยงานที่มีหน้าที่เกี่ยวกับความมั่นคงสาธารณะ กิจการของรัฐสภาและศาล
  2. การใช้ข้อมูลส่วนบุคคลเพื่อประโยชน์ส่วนตัวหรือครอบครัว
  3. การใช้ข้อมูลส่วนบุคคลเพื่อประโยชน์ของสื่อมวลชน งานศิลปะหรือวรรณกรรม
  4. การเก็บข้อมูลส่วนบุคคลตามจรรยาบรรณแห่งวิชาชีพ หรือเพื่อประโยชน์สาธารณะ
  5. บริษัทข้อมูลเครดิต (credit bureau) และสมาชิก ซึ่งมีกฎหมายภาวะเฉพาะส่วนตัวแยกอยู่แล้ว คือ พระราชบัญญัติการประกอบธุรกิจข้อมูลเครดิต พ.ศ. 2545 (แก้ไขเพิ่มเติมครั้งสุดท้าย พ.ศ. 2559)[1]:1

ผู้ควบคุมข้อมูลส่วนบุคคลที่ได้รับยกเว้นตามพระราชบัญญัติฯ มาตรา 4 ยังต้องมีให้ความคุ้มครองข้อมูลส่วนบุคคลตามมาตรฐาน อย่างไรก็ดี ไม่มีข้อยกเว้นใดถูกจำกัดด้านความจำเป็น การทดสอบความได้สัดส่วนและแนวปฏิบัติที่ดี[1]:2

กรีนลีฟและอาทิตย์ (2562) เขียนว่า พระราชบัญญัตินี้ส่งเสริมและเข้าแทนที่การคุ้มครองภาวะเฉพาะบุคคลจากพระราชบัญญัติข้อมูลข่าวสารของราชการ พ.ศ. 2540 โดยทั่วไปพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จึงใช้กับภาครัฐโดยทั่วไป[1]:2 ด้านไอลอว์มองว่ากฎหมายมีเจตนารมณ์มุ่งเน้นต่อผู้ประกอบการเอกชนเป็นหลัก เพราะกิจการของหน่วยงานความมั่นคง แลกิจการของรัฐแทบทั้งหมดได้รับการยกเว้นจากการปฏิบัติตามกฎหมายนี้[3]

กฎหมายนี้ยังมีผลนอกอาณาเขตด้วย มาตรา 5 ครอบคลุมการทำการตลาดแก่หรือการเฝ้าติดตามบุคคลในประเทศไทย นอกจากนี้ ยังครอบคลุมการประมวลผลข้อมูลส่วนบุคคลนอกประเทศไทยของผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลในประเทศไทยด้วย[1]:2

การเก็บข้อมูลส่วนบุคคล[แก้]

การเก็บข้อมูลส่วนบุคคลตามพระราชบัญญัตินี้มีหลักการทั่วไปว่า "ผู้ควบคุมข้อมูลส่วนบุคคลจะกระทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไม่ได้ หากเจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมไว้ก่อนหรือในขณะนั้น" (มาตรา 19) สำหรับข้อมูลส่วนบุคคลที่มีความอ่อนไหวเป็นพิเศษ เช่น ข้อมูลเรื่องเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ ฯลฯ ต้องได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูล (มาตรา 26)

หลักการที่พระราชบัญญัติฯ ได้รับอิทธิพลมาจาก GDPR มีดังนี้ การเก็บข้อมูลให้น้อยที่สุด (มาตรา 22), ข้อกำหนดความยินยอมอย่างเข้มในการเก็บข้อมูล (มาตรา 23–25), สิทธิความสะดวกพกพาข้อมูล (มาตรา 31), สิทธิคัดค้านการประมวลผลข้อมูล (มาตรา 32), สิทธิขอให้ลบข้อมูล (มาตรา 33)[1]:2

การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลดังกล่าวจะชอบด้วยกฎหมาย หากดำเนินการตามหลักการใดหลักการหนึ่ง ดังต่อไปนี้[4]

Consent เจ้าของข้อมูลส่วนบุคคลให้ความยินยอม โดยรับทราบวัตถุประสงค์ของการเก็บข้อมูลส่วนบุคคลจากแบบที่เข้าใจง่าย และเจ้าของข้อมูลจะถอนความยินยอมเมื่อใดก็ได้
Scientific or Historical Research จัดทำเอกสารประวัติศาสตร์, จดหมายเหตุ, การศึกษาวิจัย, สถิติ
Vital Interest เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
Contract เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญา เช่น การเก็บข้อมูลส่วนบุคคลของผู้ทำสัญญากู้ยืมเงินจากธนาคาร
Public Task เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะ หรือปฏิบัติหน้าที่ในอำนาจรัฐ เช่น หน่วยงานของรัฐจัดทำ Big Data เพื่อดำเนินโครงการของรัฐ
Legitimate Interest เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล หรือของบุคคลหรือนิติบุคคลอื่น เช่น การเก็บข้อมูลส่วนบุคคลที่เป็นภาพถ่ายของบริษัทรับติดตั้งกล้องวงจรปิดรักษาความปลอดภัย
Legal Obligations เป็นการปฏิบัติตามกฎหมาย

กฎหมายกำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคลที่ตนเก็บรวบรวม ส่วนผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่ดำเนินการตามคำสั่งโดยชอบด้วยกฎหมายที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น[4] อย่างไรก็ตาม ยกเว้นให้หน่วยงานรัฐที่คณะกรรมการกำหนด และธุรกิจขนาดย่อมบางจำพวกที่จัดการข้อมูลจำนวนมาก (ซึ่งคณะกรรมการจะกำหนดภายหลัง)[1]:3

บางแง่มุมของ GDPR ไม่ปรากฏในพระราชบัญญัตินี้ ได้แก่ หลักฉาวะเฉพาะส่วนตัวโดยการออกแบบ (privacy by design) และภาวะเฉพาะส่วนตัวโดยปริยาย (privacy by default) และการคุ้มครองการประมวลผลข้อมูลแบบอัตโนมัติ[1]:3

ดูเพิ่ม[แก้]

อ้างอิง[แก้]

  1. 1.0 1.1 1.2 1.3 1.4 1.5 1.6 1.7 1.8 Greenleaf, Graham and Suriyawongkul, Arthit, Thailand – Asia’s Strong New Data Protection Law (September 24, 2019). 160 Privacy Laws and Business International Report 1, 3-6, 2019. Available at SSRN: https://ssrn.com/abstract=3502671 or http://dx.doi.org/10.2139/ssrn.3502671
  2. สานักงานปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม. (2562). รู้จัก พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล. สืบค้นเมื่อ 10-5-63
  3. ไอลอว์. (2562). ธุรกิจเตรียมปรับตัว! 10 ข้อควรรู้ ก่อนพ.ร.บ.ข้อมูลส่วนบุคคลฯ เริ่มใช้บังคับ. สืบค้นเมื่อ 10-5-63
  4. 4.0 4.1 สรุปสาระสำคัญ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ "PDPA – Privacy for All"

แหล่งข้อมูลอื่น[แก้]