PDPA ย่อมาจาก Personal Data Protection Act ประเทศไทยเรียกกฎหมายนี้ว่า “พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562” ประกาศในราชกิจจานุเบกษาวันที่ 27 พฤษภาคม 2562 แต่ได้เลื่อนการบังคับใช้จริงเป็นวันที่ 1 มิถุนายน 2565 จุดประสงค์หลักเพื่อคุ้มครองสิทธิความเป็นส่วนตัว และมีมาตรการเยียวยาเจ้าของข้อมูลหากถูกละเมิดข้อมูลส่วนบุคคล
PDPA เป็นกฎหมายที่มีต้นแบบมาจาก GDPR ของ EU ซึ่งประกาศใช้ตั้งแต่วันที่ 25 พฤษภาคม 2561 นอกจาก EU แล้ว ประเทศที่มีกฎหมายในทำนองเดียวกับ GDPR หรือ PDPA เช่น ออสเตรเลีย บราซิล แคนาดา ชิลี จีน อียิปต์ อินเดีย อิสราเอล ญี่ปุ่น นิวซีแลนด์ ไนจีเรีย แอฟริกาใต้ เกาหลีใต้ สวิตเซอร์แลนด์ สหราชอาณาจักร สิงคโปร์ ไทย ตุรกี อเมริกา มาเลเซีย อินโดนีเซีย เวียดนาม ฯลฯ
GDPR หรือ PDPA มีผลต่อองค์กรต่างๆอย่างมาก ทำให้ต้องเตรียมตัวและปรับตัวให้เข้ากับกฎหมายใหม่ ซึ่งบทลงโทษในแต่ละประเทศแตกต่างกันไป มีทั้งโทษทางแพ่งและอาญา
บทลงโทษของ PDPA ประเทศไทย คือ
– โทษทางอาญา จำคุกไม่เกิน 1 ปี และหรือ ปรับสูงสุด 1 ล้านบาท
– โทษทางแพ่ง จ่ายค่าสินไหมไม่เกิน 2 เท่าของค่าสินไหมที่แท้จริง
– โทษทางปกครอง ปรับไม่เกิน 5 ล้านบาท
สิ่งที่องค์กรต่างๆ หรือผู้ประกอบการต้องเตรียมพร้อมสำหรับกฎหมาย PDPA เช่น
– รักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคลที่มีอยู่
– การเอาข้อมูลส่วนบุคคลไปใช้ ต้องได้รับความยินยอมจากเจ้าของข้อมูลอย่างชัดเจน
– เจ้าของข้อมูลต้องเข้าถึงข้อมูลของตนได้ มีสิทธิเพิกถอนความยินยอม รองรับการแก้ไขและการลบตามที่ร้องขอ
กรณีศึกษาของ GDPR ที่เป็นข่าวดังของโลก เช่น
– British Airways โดนแฮกเกอร์โจมตีเอาข้อมูลลูกค้าผู้ซื้อตั๋วประมาณ 500,000 ราย ข้อมูลที่รั่วไหลออกไป คือ ชื่อ ที่อยู่ หมายเลขบัตรเครดิตพร้อมวันหมดอายุ หมายเลข CVV ข้อมูลการเดินทาง สรุปแล้ว British Airways โดนปรับ 204.6 ล้านยูโร หรือประมาณ 8,184 ล้านบาท
– Marriott International Hotel ถูกแฮกเกอร์เอาข้อมูลลูกค้าไป 300 ล้านราย โดนปรับ 110.3 ล้านยูโร
– Google ไม่ได้โดนใครโจมตี แต่โดนปรับ 50 ล้านยูโร หรือประมาณ 200 ล้านบาท เพราะการละเมิดข้อมูลส่วนตัวของผู้ใช้งาน เอาข้อมูลไปใช้ในแคมเปญโฆษณา อธิบายคลุมเครือ
– Austrian Post โดนปรับ 18.5 ล้านยูโร หรือประมาณ 740 ล้านบาท เพราะเอาข้อมูลลูกค้าไปขายโดยไม่ได้รับความยินยอม
ข้อมูลส่วนตัวที่ได้รับการคุ้มครอง เช่น รูป ชื่อ นามสกุล ที่อยู่ เบอร์โทรศัพท์ อีเมล หมายเลขประจำตัวบัตรประชาชน เชื้อชาติ เผ่าพันธุ์ ความเห็นทางการเมือง ความเชื่อ ลัทธิ ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลทางด้านสุขภาพ ข้อมูลพันธุกรรม ข้อมูลชีวภาพ Cookies ID EMEI ฯลฯ ทั้งนี้รวมถึงข้อมูลที่เป็นกระดาษและอิเล็กทรอนิกส์ การถ่ายรูปหรือวิดีโอ หากทำให้ผู้อื่นเสียหายก็เป็นการละเมิดสิทธิ์ผู้อื่น
เมื่อ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เริ่มใช้ในวันที่ 1 มิถุนายน 2565 ก็คงจะมีกรณีศึกษาที่ลงโทษผู้กระทำความผิดในประเทศไทยบ้าง แล้วเราจะเข้าใจและตระหนักถึงกฎหมายนี้ชัดเจนขึ้น!!!
แหล่งข้อมูล
