PDPA
กฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA) ในภาษาที่เข้าใจง่าย: สิทธิ์ของเจ้าของข้อมูลและหน้าที่ขององค์กร
กฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA) ในภาษาที่เข้าใจง่าย: สิทธิ์ของเจ้าของข้อมูลและหน้าที่ขององค์กร
วิเคราะห์ Case Study ว่าสถานการณ์ใดผิด PDPA บ้าง
เป้าหมายการเรียนรู้
- เข้าใจ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) และเหตุผลที่ต้องมีกฎหมายนี้
- รู้สิทธิ์ของตัวเองในฐานะเจ้าของข้อมูลส่วนบุคคล
- วิเคราะห์สถานการณ์จริงว่าผิด PDPA หรือไม่ พร้อมอธิบายเหตุผลได้
PDPA คืออะไร?
PDPA ย่อมาจาก Personal Data Protection Act หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นกฎหมายที่ออกมาเพื่อคุ้มครองข้อมูลส่วนบุคคลของประชาชน กำหนดว่าองค์กรหรือบุคคลที่เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ต้องทำอย่างไรเพื่อให้ถูกต้องตามกฎหมาย มีผลบังคับใช้เต็มรูปแบบตั้งแต่ 1 มิถุนายน 2565 กฎหมายนี้คล้ายกับ GDPR ของสหภาพยุโรป แต่ปรับให้เหมาะกับบริบทของประเทศไทย
สร้างภาพ A clean flat infographic overview of Thailand PDPA (Personal Data Protection Act). Center shows a large shield icon with a person silhouette and lock symbol representing data protection. Around it, four sections: 1) What is personal data (ID card, phone, email icons), 2) Data subject rights (hand holding rights document), 3) Organization duties (building with checklist), 4) Penalties (gavel with warning). Thai flag element in corner. Color scheme blue and gold. Modern minimal educational style on white background. (pdpa_overview.jpg)
A clean flat infographic overview of Thailand PDPA (Personal Data Protection Act). Center shows a large shield icon with a person silhouette and lock symbol representing data protection. Around it, four sections: 1) What is personal data (ID card, phone, email icons), 2) Data subject rights (hand holding rights document), 3) Organization duties (building with checklist), 4) Penalties (gavel with warning). Thai flag element in corner. Color scheme blue and gold. Modern minimal educational style on white background.
ข้อมูลส่วนบุคคล หมายถึง ข้อมูลใดก็ตามที่สามารถระบุตัวบุคคลได้ ไม่ว่าจะโดยตรงหรือโดยอ้อม ตัวอย่างเช่น
- ชื่อ-นามสกุล — ข้อมูลพื้นฐานที่ระบุตัวตนได้ทันที
- เลขบัตรประชาชน 13 หลัก — ข้อมูลที่ละเอียดอ่อน ใช้ยืนยันตัวตนได้
- ที่อยู่ — ทั้งที่อยู่ตามทะเบียนบ้านและที่อยู่ปัจจุบัน
- เบอร์โทรศัพท์ — สามารถติดต่อและระบุตัวบุคคลได้
- อีเมล — โดยเฉพาะอีเมลที่มีชื่อจริง
- ข้อมูลสุขภาพ — ประวัติการรักษา โรคประจำตัว ผลตรวจเลือด (จัดเป็นข้อมูลอ่อนไหว)
- ข้อมูลการเงิน — เลขบัญชีธนาคาร ข้อมูลบัตรเครดิต ประวัติการทำธุรกรรม
สิทธิ์ของเจ้าของข้อมูล
| สิทธิ์ | คำอธิบาย | ตัวอย่าง |
|---|---|---|
| สิทธิ์ในการรับทราบ (Right to be Informed) | เราต้องได้รับแจ้งว่าองค์กรเก็บข้อมูลอะไร ไปทำอะไร | แอปต้องแจ้งว่าเก็บ Location ไปทำอะไร ก่อนที่เราจะกดอนุญาต |
| สิทธิ์ในการเข้าถึง (Right of Access) | เราสามารถขอดูข้อมูลส่วนบุคคลที่องค์กรเก็บไว้ได้ | ขอให้ธนาคารแสดงข้อมูลทั้งหมดที่เก็บเกี่ยวกับเรา |
| สิทธิ์ในการลบ (Right to Erasure) | เราสามารถขอให้องค์กรลบข้อมูลของเราได้ | ขอให้เว็บไซต์ลบบัญชีและข้อมูลทั้งหมดของเรา |
| สิทธิ์ในการคัดค้าน (Right to Object) | เราสามารถคัดค้านการใช้ข้อมูลบางอย่างได้ | ปฏิเสธไม่ให้ร้านค้าส่ง SMS โฆษณามาหาเรา |
| สิทธิ์ในการโอนย้าย (Right to Data Portability) | เราสามารถขอให้ส่งข้อมูลไปยังองค์กรอื่นได้ | ย้ายข้อมูลจาก Facebook ไปยังแพลตฟอร์มอื่น |
สร้างภาพ A clean flat infographic showing 5 data subject rights under PDPA. Five distinct icons arranged in a horizontal row or circular layout: 1) Right to be Informed (bell/notification icon), 2) Right of Access (eye icon), 3) Right to Erasure (trash/delete icon), 4) Right to Object (stop hand icon), 5) Right to Data Portability (transfer/arrows icon). Each has a label and brief description. Person silhouette in center connected to all five rights. Color scheme uses distinct colors for each right. Modern minimal educational style on white background. (data_subject_rights.jpg)
A clean flat infographic showing 5 data subject rights under PDPA. Five distinct icons arranged in a horizontal row or circular layout: 1) Right to be Informed (bell/notification icon), 2) Right of Access (eye icon), 3) Right to Erasure (trash/delete icon), 4) Right to Object (stop hand icon), 5) Right to Data Portability (transfer/arrows icon). Each has a label and brief description. Person silhouette in center connected to all five rights. Color scheme uses distinct colors for each right. Modern minimal educational style on white background.
หน้าที่ขององค์กร
องค์กรที่เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลมีหน้าที่ต้อง ขอความยินยอม (Consent) จากเจ้าของข้อมูลก่อน โดยต้อง แจ้งวัตถุประสงค์อย่างชัดเจน ว่าเก็บข้อมูลไปเพื่ออะไร ใช้อย่างไร เก็บนานแค่ไหน และต้องไม่เก็บข้อมูลเกินจำเป็น เช่น ร้านขายเสื้อผ้าไม่ควรขอข้อมูลสุขภาพ หรือรายได้ของลูกค้า เพราะไม่เกี่ยวข้องกับการให้บริการ นอกจากนี้ต้องมีมาตรการรักษาความปลอดภัยของข้อมูลอย่างเหมาะสม และแจ้งเจ้าของข้อมูลทันทีหากเกิดเหตุข้อมูลรั่วไหล
- โทษทางแพ่ง — ค่าเสียหายจริง + ค่าเสียหายเชิงลงโทษไม่เกิน 2 เท่า
- โทษทางอาญา — จำคุกสูงสุด 1 ปี หรือปรับสูงสุด 1 ล้านบาท หรือทั้งจำทั้งปรับ (กรณีเปิดเผยข้อมูลอ่อนไหวโดยไม่ได้รับอนุญาต)
- โทษทางปกครอง — ปรับสูงสุด 5 ล้านบาท สำหรับองค์กรที่ไม่ปฏิบัติตามกฎหมาย
- ผู้บริหารขององค์กรอาจต้องรับผิดชอบร่วมด้วย หากพิสูจน์ได้ว่า รู้เห็นเป็นใจหรือละเลยในการฝ่าฝืน
Case Study: ผิด PDPA หรือไม่?
| สถานการณ์ | ผิด PDPA? | เหตุผล |
|---|---|---|
| ร้านกาแฟขอเบอร์โทรลูกค้าเพื่อสะสมแต้ม โดยแจ้งวัตถุประสงค์ชัดเจนและลูกค้ายินยอม | ไม่ผิด | มีการขอความยินยอม แจ้งวัตถุประสงค์ชัดเจน และเก็บข้อมูลที่เกี่ยวข้องกับบริการ |
| บริษัทส่ง SMS โฆษณาสินค้าให้ลูกค้าเก่า โดยลูกค้าไม่เคยยินยอมให้ส่ง | ผิด | ไม่ได้ขอความยินยอมในการใช้เบอร์โทรเพื่อส่งโฆษณา ผิดทั้งเรื่อง Consent และสิทธิ์ในการคัดค้าน |
| โรงเรียนเผยแพร่ผลสอบพร้อมชื่อ-นามสกุลและเลขประจำตัวนักเรียนบนเว็บไซต์สาธารณะ | ผิด | เปิดเผยข้อมูลส่วนบุคคลต่อสาธารณะโดยไม่ได้รับความยินยอม และไม่มีมาตรการปกป้องข้อมูล |
| แอปเรียกรถขอเข้าถึง Location เฉพาะตอนใช้งาน โดยแจ้งว่าใช้เพื่อจับคู่คนขับ | ไม่ผิด | แจ้งวัตถุประสงค์ชัดเจน เก็บข้อมูลที่จำเป็น และผู้ใช้สามารถเลือกอนุญาตได้ |
| พนักงานบริษัทนำรายชื่อและอีเมลลูกค้าไปขายให้บริษัทอื่น | ผิด | นำข้อมูลส่วนบุคคลไปใช้นอกเหนือวัตถุประสงค์ที่แจ้งไว้ และเปิดเผยต่อบุคคลที่สามโดยไม่ได้รับอนุญาต |
สร้างภาพ A clean flat infographic showing 4 PDPA case study scenarios. Four panels arranged in a 2x2 grid: 1) A coffee shop counter with phone number form (green checkmark - compliant), 2) A phone receiving unwanted SMS ads (red X - violation), 3) A school website showing student exam results publicly (red X - violation), 4) A ride-hailing app requesting location permission with clear purpose (green checkmark - compliant). Each panel has a verdict badge. Modern minimal educational style with clear visual indicators on white background. (pdpa_case_study.jpg)
A clean flat infographic showing 4 PDPA case study scenarios. Four panels arranged in a 2x2 grid: 1) A coffee shop counter with phone number form (green checkmark - compliant), 2) A phone receiving unwanted SMS ads (red X - violation), 3) A school website showing student exam results publicly (red X - violation), 4) A ride-hailing app requesting location permission with clear purpose (green checkmark - compliant). Each panel has a verdict badge. Modern minimal educational style with clear visual indicators on white background.
กิจกรรม: วิเคราะห์ Case Study
แบ่งกลุ่ม กลุ่มละ 4-5 คน แต่ละกลุ่มจะได้รับ Case Study จากสถานการณ์จริง ให้วิเคราะห์ว่าผิด PDPA หรือไม่ พร้อมอธิบายเหตุผลและอ้างอิงสิทธิ์ของเจ้าของข้อมูล ฝึกคิดวิเคราะห์เหมือนนักกฎหมายด้านข้อมูลส่วนบุคคล
ข้อใดไม่ใช่สิทธิ์ของเจ้าของข้อมูลตาม PDPA?
สถานการณ์ใดต่อไปนี้ผิด PDPA?
โทษทางปกครองสูงสุดสำหรับผู้ฝ่าฝืน PDPA คือเท่าไร?