News & Activities ข่าวสารและกิจกรรม

สรุปภาพรวมของ พรบ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) An Overview of Personal Data Protection Act (PDPA)

1.หลักการและเหตุผล 1. Principle and Reasons

เหตุผลในการประกาศใช้ PDPA เนื่องมาจากเทคโนโลยีก้าวหน้าขึ้น ช่องทางสื่อสารต่างๆ มีหลากหลายขึ้น ทำให้การละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคลทำได้ง่ายขึ้น และหลายครั้งก็นำมาซึ่งความเดือดร้อนรำคาญหรือสร้างความเสียหายให้แก่เจ้าของข้อมูล ตลอดจนสามารถส่งผลต่อเศรษฐกิจโดยรวมของประเทศได้ด้วย จึงต้องมีกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลขึ้นเพื่อกำหนดหลักเกณฑ์ กลไก หรือมาตรการกำกับดูแลเกี่ยวกับการให้ความคุ้มครองข้อมูลส่วนบุคคลที่รวมถึงการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลขึ้น Due to an advanced technology and a variety of communication channels, it is easier to violate the rights in the privacy of personal data. Sometimes, these reasons cause trouble for the data subject. Even worse, it can cause the negative effect on national economy as well. Therefore, the Personal Data Protection Act (PDPA) needs to be established in order to define the rules, tactics, or measures concerning personal data protection, data collection, data integration, data usage, and data disclosure.

ผู้ประกอบการหลายๆท่านคงจะทราบกันดีแล้วว่า ตามกำหนดการ ในวันที่ 27 พฤษภาคม 2563 พรบ. คุ้มครองข้อมูลส่วนบุคคล จะมีผลบังคับใช้สมบูรณ์ โดยในขณะนี้ทาง ครม.ได้เลื่อนใช้ พรบ. นี้ออกไปอีก 1 ปี แต่ในท้ายที่สุด พรบ.นี้ก็จะต้องมีผลบังคับใช้ เพียงแต่ผู้ประกอบการมีเวลาได้หายใจในการเตรียมตัวมากขึ้น และเพื่อเป็นการเตรียมความพร้อมให้กับผู้ประกอบการ ทาง บริษัท ดราก้อนส์ มู้ฟ จำกัด จึงได้สรุปสาระสำคัญเกี่ยวกับ พรบ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) มาให้ทำความเข้าใจเพื่อที่จะได้ปฏิบัติได้ตรงตามเงื่อนไขและข้อกำหนดใน พรบ. ฉบับนี้ครับ Many entrepreneurs always recognize that the Personal Data Protection Act (PDPA) was applicable on May 27, 2020. In fact, this Act will be postponed for 1 year by the Council of Ministers. However, this Act must be completely enacted in the future. Therefore, most of entrepreneurs have enough time to prepare for this upcoming Act. To get ready for the future, we provide brief information related with the Personal Data Protection Act (PDPA) for you. It helps you to understand and know how to perform following terms and conditions of the Act.

โดยหลักกฎหมายที่ออกใหม่จะ "ไม่มีผลย้อนหลังเป็นโทษ" ดังนั้น พรบ. คุ้มครองข้อมูลส่วนบุคคล จะไม่มีผลกลับไปบังคับโทษสำหรับการประมวลผลข้อมูลส่วนบุคคล ซึ่งดำเนินการมาก่อน 27 พ.ค. 2564 แม้จะเป็นประมวลผลไม่ถูกต้องสอดคล้องกับพรบ. ก็ตาม However, the new upcoming Act will have no longer effect to the past. As a result, the Personal Data Protection Act (PDPA) was not enforceable for personal data processing until May 27, 2021, although the process was not following the Act.

2.ข้อมูลส่วนบุคคล 2. Personal Data

คือข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม โดยข้อมูลของผู้ถึงแก่กรรม และข้อมูลนิติบุคคล ไม่ถือเป็นข้อมูลส่วนบุคคลตาม พ.ร.บ.นี้ It is information that relates to an identified or identifiable person who could be identified, directly or indirectly. Nevertheless, the deceased and the juristic person are not included in personal data of this Act.

ข้อมูลส่วนบุคคล (Personal Data) ได้แก่ ชื่อ - นามสกุล, เลขประจำตัวประชาชน, ที่อยู่, เบอร์โทรศัพท์, วันเกิด, อีเมล, การศึกษา, เพศ, อาชีพ, รูปถ่าย, ข้อมูลทางการเงิน นอกจากนี้ยังรวมถึง contains information such as a person's name, identification number, address, phone number, birthday, email address, education activities, gender, occupation, a photograph of a person, and financial details. Moreover,

Sensitive Personal Data, another data under the Act, contains important information such as health-related data, genetic and biometric data, racial or ethnic origin, political opinions, religious or philosophical beliefs, data concerning a person’s sex life or sexual orientation, criminal record, and trade union membership. ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) ด้วย เช่น ข้อมูลทางการแพทย์หรือสุขภาพ, ข้อมูลทางพันธุกรรมและไบโอเมทริกซ์, เชื้อชาติ, ความคิดเห็นทางการเมือง, ความเชื่อทางศาสนาหรือปรัชญา, พฤติกรรมทางเพศ, ประวัติอาชญากรรม, ข้อมูลสหภาพแรงงาน เป็นต้น

สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject) ได้แก่ Rights of The Data Subject including:

  • สิทธิได้รับการแจ้งให้ทราบ (Right to be informed)
  • สิทธิขอเข้าถึงข้อมูลส่วนบุคคล (Right of access)
  • สิทธิในการขอให้โอนข้อมูลส่วนบุคคล (Right to data portability)
  • สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Right to object)
  • สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคล (Right to erasure (also known as right to be forgotten)
  • สิทธิขอให้ระงับการใช้ข้อมูล (Right to restrict processing)
  • สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล (Right of rectification)
  • Right to be informed
  • Right of access
  • Right to data portability
  • Right to object in data collection, data usage, or data disclosure
  • Right to erasure (also known as right to be forgotten)
  • Right to restrict processing
  • Right of rectification

บุคคลที่เกี่ยวข้องกับข้อมูลส่วนบุคคล Data Stakeholders including:

  • เจ้าของข้อมูลส่วนบุคคล (Data Subject) คือ บุคคลที่ข้อมูลระบุไปถึง
  • ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ “ตัดสินใจ” เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
  • ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล “ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล” ทั้งนี้บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าว ต้องไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล
  • Data Subject (a person who can be identified through data)
  • Data Controller (a person or the juristic person who has the power to “make a decision” about the process of data collection, data usage, or data disclosure)
  • Data Processor (a person or the juristic person who launch the process of data collection, data usage, or data disclosure “following orders or launching on data controller behalf”. In this case, a person or the juristic person must not be data controller himself.)

การเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคล สามารถทำได้ในกรณีต่อไปนี้ Terms and Conditions of Data Collection/ Data Usage/ Data Disclosure concerning Personal Data

  • ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล
  • จัดทำเอกสารประวัติศาสตร์ หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ การศึกษาวิจัยหรือการจัดทำสถิติ
  • ป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
  • จำเป็นเพื่อปฏิบัติกฎหมาย หรือสัญญา
  • จำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลหรือของบุคคลอื่น
  • จำเป็นเพื่อประโยชน์สาธารณะ และการปฏิบัติหน้าที่ในการใช้อำนาจรัฐ
  • Obtain the consent from the data subject
  • Create document history or record for public interest, study, or statistics
  • Prevent or suspend a danger to personal life, body, or health
  • Be needed to follow the law or the contract
  • Be needed for legal benefit of the data controller or other stakeholders
  • Be needed for public interest as well as the duties of government

“Data” is an important thing for consumerism. It is essential to understand consumer behavior in order to respond to consumers’ need in each person. On the other hand, there are many cases of data breaches, for example, bizarre numbers for selling products or services, and data theft for illegal use, as the worst case.

“ข้อมูล (DATA)” กลายเป็นสิ่งสำคัญในยุคที่ต้องเข้าใจพฤติกรรมผู้บริโภคให้มากที่สุด เพื่อให้สามารถตอบสนองความต้องการผู้บริโภคได้เป็นรายๆ ไป แต่หลายครั้งที่พบว่าข้อมูลมักจะรั่วไหลเห็นได้จากที่หลายคนมักจะพบว่า มีเบอร์แปลกๆ โทรเข้ามาเพื่อเสนอขายสินค้าและบริการต่างๆ มากมาย ทั้งที่ยังไม่เคยติดต่อหรือให้เบอร์ใครไป ร้ายแรงที่สุดคือการนำข้อมูลไปแอบอ้างเพื่อกระทำความผิดทางกฎหมาย

Nowadays, The Personal Data Protection Act B.E. 2562 has been published in the Government Gazette on May 27, 2019. There are several patterns that many organizations have to follow in terms of data protection including: ปัจจุบันมีการประกาศ พระราชบัญญัติ (พ.ร.บ.) คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 โดยมีการประกาศในราชกิจจานุเบกษาเมื่อวันที่ 27 พฤษภาคม พ.ศ.2562 ซึ่งสาระสำคัญที่หลายองค์กรต้องพึงระวังในด้านการจัดเก็บข้อมูลตามที่บัญญัติไว้ใน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 โดยสรุปมีดังนี้

  1. องค์กรทั้งภาครัฐและเอกชนที่ดำเนินการจัดเก็บข้อมูล จะต้องมีระบบ แผนงานหรือเจ้าหน้าที่ในการรักษาความมั่นคงปลอดภัยของข้อมูลตามมาตรฐาน ไม่ว่าองค์กรนั้นจะอยู่ในประเทศไทยหรือนอกประเทศไทยก็ตาม
  2. ต้องได้รับการยินยอมจากเจ้าของข้อมูล ไม่ว่าจะเป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล โดยต้องขอความยินยอมจากเจ้าของข้อมูลอย่างชัดเจน และต้องไม่มีเงื่อนไขในการขอความยินยอมจากเจ้าของข้อมูล
  3. เจ้าของข้อมูลสามารถถอนความยินยอมเมื่อไหร่ก็ได้ โดยไม่มีข้อแม้หรือเงื่อนไข เว้นแต่จะมีข้อจำกัดสิทธิทางกฎหมายหรือสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูล
  4. แม้จะมีการถอนความยินยอมแล้ว ผู้ที่เก็บรวบรวมข้อมูลยังคงต้องดูแลรักษาความปลอดภัยข้อมูลเหล่านั้นไว้ หากการถอนความยินยอมส่งผลกระทบต่อเจ้าของข้อมูล องค์กรที่เก็บรวบรวมข้อมูลต้องแจ้งให้เจ้าของข้อมูลทราบถึงผลกระทบจากการถอนความยินยอมนั้น
  5. กรณีที่เป็นเด็กอายุไม่เกิน 10 ปี ต้องได้รับความยินยอมจาก “ผู้ปกครอง” กรณีบุคคลไร้ความสามารถต้องได้รับความยินยอมจาก “ผู้อนุบาล” และกรณีบุคคลเสมือนไร้ความสามารถต้องได้รับความยินยอมจาก “ผู้พิทักษ์” โดยทั้งผู้ปกครอง, ผู้อนุบาล และผู้พิทักษ์สามารถถอนความยินยอมแทนเจ้าของข้อมูลนั้นได้
  6. การเก็บข้อมูลต้องเก็บเฉพาะเท่าที่จำเป็น โดยต้องแจ้งรายละเอียดการเก็บข้อมูลให้เจ้าของข้อมูลทราบก่อนหรือระหว่างการจัดเก็บข้อมูล
  7. ห้ามการจัดเก็บรวบรวมข้อมูลจากแหล่งอื่นที่ไม่ใช่จากเจ้าของข้อมูลโดยตรง
  8. เจ้าของข้อมูลมีสิทธิ์เข้าถึงและขอรับสำเนาข้อมูลของตนเองได้ รวมถึงการขอให้เปิดเผยวิธีการได้มาซึ่งข้อมูล โดยที่เจ้าของข้อมูลไม่เคยให้ความยินยอม
  9. เจ้าของข้อมูลมีสิทธิ์ในการลบ ทำลาย หรือทำให้ไม่สามารถระบุตัวตนได้ หากข้อมูลนั้นได้มาไม่ชอบด้วยกฎหมาย
  10. เจ้าของข้อมูลสามารถร้องเรียนได้ ในกรณีที่การเก็บรวบรวมข้อมูลไม่เป็นไปตามที่ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 กำหนดไว้
  11. ผู้เก็บรวบรวมข้อมูลจะต้องชำระค่าสินไหมทดแทนแก่เจ้าของข้อมูล หากจงใจหรือประมาทจนเป็นเหตุทำให้ข้อมูลส่วนบุคคลของเจ้าของข้อมูลรั่วไหล เว้นแต่จะเกิดจากเหตุสุดวิสัย หรือเป็นคำสั่งของเจ้าหน้าที่ตามกฎหมาย
  12. ผู้เก็บรวบรวมข้อมูลที่ทำให้เกิดความเสียหาย เสื่อมเสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือทำให้ได้รับความอับอาย ต้องระวางโทษจำคุกไม่เกิน 6 เดือน ปรับไม่เกิน 500,000 บาทหรือทั้งจำทั้งปรับ หากนำข้อมูลเหล่านั้นไปแสวงหาผลประโยชน์โดยมิชอบ จะต้องระวางโทษจำคุกไม่เกิน 1 ปี ปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ
  13. ใครที่ล่วงรู้ข้อมูลส่วนบุคคลของผู้อื่นแล้วนำไปเปิดเผยต่อผู้อื่น โดยที่ไม่ได้รับอนุญาตทางกฎหมาย ต้องระวางโทษจำคุกไม่เกิน 6 เดือน ปรับไม่เกิน 500,000 บาท หรือทั้งจำทั้งปรับ
  1. Both private and public organization, performing data protection, must have system, plan, or staff to secure information in accordance with the standard whether the organization is in Thailand or not.
  2. All stages of data processing, whether data integration, data use, or data disclosure, have to be approved by data subject without any conditions.
  3. Data subject can withdraw an approval whenever they want without any conditions, except that there are limitations on rights or contract which is beneficial for data subject.
  4. Although an approval is withdrawn, data collector still secures that information. If the withdrawal affects the data subject who gather information, the organization have to report that effects to the data subject.
  5. In case of children under 10, the consent from “parents” is required for their information. In case of incompetent person, the consent from “guardian” is required for their information. In case of quasi- incompetent person, the consent from “custodian” is required for their information. Parents, guardian, and custodian are able to withdraw an approval as the replacer of data subject.
  6. In data collection, data must be collected only as needed. Data collector must inform the data subject of the details of this process before or during data collection.
  7. Do not collect data from other sources if they are not the data subject directly.
  8. The data subject has the right to access and obtain a copy of his/her data. Also, the data subject has the right to request for data disclosure even though the data subject never gave his/her consent.
  9. The data subject has the right to remove, destroy or make data unidentifiable, if that data is obtained unlawful means.
  10. The data subject can complain, if data collection does not follow the Personal Data Protection Act B.E. 2562.
  11. The data collector has to pay compensation to the data subject, if the data collector causes personal data breaches intentionally or carelessly, except a cause from force majeure or the orders from legal officer.
  12. The data collector, who causes damage, notoriety, hatred, shame, or fall into contempt must be imprisoned less than 6 months, pays a 500,000 THB fines or less, or both. If such information is used for unlawful benefits, the data collector must be imprisoned less than 1 year, pays a 1,000,000 THB fines or less, or both.
  13. If a person, who knows personal data of others, reveal to the public without legal permission, this person must be imprisoned less than 6 months, pays a 500,000 THB fines or less, or both.

3. Privacy Notice vs Terms of Services

In the last step of user account registration, membership registration, online services through the website or the application, there are two text boxes which require the consents such as Terms of Services and Privacy Notice. These two documents are established on different purposes but both are mutually required. ทุกครั้งที่สมัครบัญชีผู้ใช้งาน หรือสมัครสมาชิก รวมถึงใช้บริการทางออนไลน์ผ่านหน้าเว็บไซต์ หรือ Application ต่างๆ ในตอนท้ายก่อนทำรายการ จะมีกล่องข้อความให้กดยินยอมเอกสาร 2 ฉบับอยู่ เสมอ คือ “เงื่อนไขการให้บริการ” (Terms of Services) และ “นโยบายข้อมูลส่วนบุคคล” (Privacy Notice) เอกสารทั้งสองฉบับถูกสร้างขึ้นด้วยจุดประสงค์ที่แตกต่างกัน แต่ต้องใช้คู่กัน

Terms of Services It is a document that describes the service provided by the business sector to the data subject, the conditions with limitation, and the restrictions on the use of the service. The law does not assign the business sector to create this document. เป็นเอกสารที่อธิบายถึงขอบเขตการให้บริการ ที่ภาคธุรกิจให้แก่ผู้ใช้บริการ เงื่อนไขข้อจำกัดความรับผิดต่างๆของผู้ให้บริการดังกล่าว รวมถึง การกำหนดข้อห้ามในการใช้บริการไว้ สำหรับเอกสารนี้กฎหมายไม่ได้กำหนดให้ต้องทำและไม่มีแบบ

Privacy Notice เป็นเอกสารที่ภาคธุรกิจ ในฐานะ ผู้ควบคุมข้อมูล มีหน้าที่ต้องแจ้งให้ผู้ใช้บริการ ในฐานะเจ้าของข้อมูล ได้ทราบเกี่ยวกับการประมวลผลข้อมูลที่จะดำเนินการ โดย พรบ. กำหนดเป็นหน้าที่ที่ต้องทำ และกำหนดหัวข้อที่ต้องเขียนในเอกสารไว้ It is a document that the business sector as the data controller take responsibility to inform the user as the data subject of data processing. For this document, the Act assigns the business sector to create this document and indicates the issues in this document.

The connection between two documents is “Terms of Services”, which indicates the service provided by the data controller to the data subject. If the data controller needs to process personal data following issues indicated in Terms of Services, the data controller has the right to process that data based on the basis of duties by the contract supported by the Act. ความเชื่อมโยงระหว่าง 2 เอกสารคือ "Terms of Services" เป็นเอกสารที่บอกถึงการให้บริการซึ่งแสดงหน้าที่ตามสัญญาที่ผู้ควบคุมข้อมูลต้องให้แก่เจ้าของข้อมูล ซึ่งหากผู้ควบคุมข้อมูลมีความจำเป็นต้องประมวลผลข้อมูลส่วนบุคคลส่วนใด เพื่อการปฏิบัติหน้าที่ตามที่ระบุไว้ใน Terms of Services ย่อมเป็นกรณีที่ผู้ควบคุมมีสิทธิประมวลข้อมูลดังกล่าวได้ด้วยฐานการปฏิบัติหน้าที่ตามสัญญา ซึ่งถือเป็นฐานการประมวลผลที่ พรบ. อนุญาตรองรับ และผู้ควบคุมข้อมูลมีเพียงหน้าที่แจ้งการ ประมวลผลดังกล่าวลงใน "Privacy Notice" เท่านั้น ไม่ต้องขอ Consent

The data controller takes responsibility to inform the data subject of that data processing on “Privacy Notice” without asking for the consent. กรณีการประมวลผลข้อมูลส่วนบุคคลด้วยฐานความยินยอม ผู้ควบคุมข้อมูลต้องขอความยินยอม จากเจ้าของข้อมูลก่อนการประมวลผลข้อมูลดังกล่าว

In case of personal data processing based on the basis of obtaining consent, the data controller has to asking for the consent from the data subject before launching that process. จะเห็นได้ว่า พรบ. คุ้มครองข้อมูลส่วนบุลคล (PDPA) ฉบับใหม่นี้ได้เพิ่มความคุ้มครองและความปลอดภัยในการเข้าถึงข้อมูล โดยที่ต้องได้รับการยินยอมจากเจ้าของข้อมูล รวมทั้งสามารถปฏิเสธการให้ข้อมูลได้ รวมทั้งการเพิ่มบทลงโทษให้ครอบคลุมถึงการฟ้องทั้งทางแพ่ง อาญาและปกครอง ต่อกรรมการหรือผู้จัดการที่กระทำผิดเกี่ยวข้องโดยตรง

In conclusion, you can see that a new version of the Personal Data Protection Act (PDPA) enhances more protection and security in data accessibility. Firstly, the data controller has to obtain the consent from the data subject. Secondly, the data subject can refuse to give information. Lastly, the Act has stricter penalties, covered civil lawsuit, criminal lawsuit, and administrative lawsuit. These penalties affect toward a committee or manager who directly involved an offence.