การคุ้มครองข้อมูลส่วนบุคคลตามพระราชบัญญัติการคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

ผู้เรียบเรียง :
คณาธิป ไกยชน, วิทยากรชำนาญการ กลุ่มงานวิจัยและพัฒนา สำนักวิชาการ
วันที่ออกอากาศ :
2565-08
ประเภทสิ่งพิมพ์ :
หน่วยงานที่เผยแพร่ :
สำนักงานเลขาธิการสภาผู้แทนราษฎร. สำนักวิชาการ
สถานีวิทยุกระจายเสียงและวิทยุโทรทัศน์รัฐสภา

 

ข้อมูลส่วนบุคคล หมายถึง ข้อมูลใด ๆ ที่ระบุไปยังเจ้าของข้อมูลได้ โดยข้อมูลส่วนบุคคลสามารถแบ่งได้ 2 ประเภท ได้แก่ ข้อมูลส่วนบุคคลทั่วไป คือ ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ที่เสียชีวิตไปแล้ว เช่น ชื่อ นามสกุล ที่อยู่ หมายเลขโทรศัพท์ เป็นต้น และข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน คือ ข้อมูลเกี่ยวกับบุคคลที่โดยสภาพมีความละเอียดอ่อนและสามารถก่อให้เกิดความเสี่ยงต่อสิทธิเสรีภาพหรืออาจถูกใช้ในการเลือกปฏิบัติอย่างไม่เป็นธรรมต่อเจ้าของข้อมูลส่วนบุคคลได้ เช่น เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ เป็นต้น

การคุ้มครองข้อมูลส่วนบุคคลตามพระราชบัญญัติการคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีความเกี่ยวข้องกับบุคคล 3 ฝ่าย ได้แก่ 1) เจ้าของข้อมูลส่วนบุคคล (Data Subject) คือ บุคคลธรรมดาผู้มีสิทธิตามกฎหมาย ซึ่งข้อมูลนั้นบ่งชี้ไปถึงบุคคลดังกล่าวไม่ว่าทางตรงหรือทางอ้อม 2) ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ บุคคลหรือนิติบุคคล ซึ่งมีอำนาจตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล และ 3) ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ บุคคลหรือนิติบุคคล ซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล 

การคุ้มครองข้อมูลส่วนบุคคลตามกฎหมายดังกล่าวมีหลักการสำคัญ คือ การเก็บรวบรวม การใช้หรือเปิดเผยข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลต้องให้ความยินยอม ซึ่งการขอความยินยอมต้องทำเป็นหนังสือหรือดำเนินการผ่านระบบอิเล็กทรอนิกส์ โดยต้องแจ้งวัตถุประสงค์ของการเก็บรวบรวม การใช้หรือเปิดเผยข้อมูลส่วนบุคคลไปด้วย ซึ่งการขอความยินยอมนั้นต้องแยกออกจากข้อความอื่นอย่างชัดเจน มีรูปแบบหรือข้อความที่เข้าถึงได้ง่ายและเข้าใจได้ รวมทั้งใช้ภาษาที่อ่านง่ายและไม่เป็นการหลอกลวงหรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์ดังกล่าว ทั้งนี้ เจ้าของข้อมูลส่วนบุคคลสามารถถอนความยินยอมเมื่อใดก็ได้ ซึ่งจะต้องมีวิธีการดำเนินการที่ง่ายเหมือนกับการให้ความยินยอม เว้นแต่มีข้อจำกัดสิทธิในการถอนความยินยอมโดยกฎหมายหรือสัญญา นอกจากนี้ กรณีที่เจ้าของข้อมูลส่วนบุคคลเป็นผู้เยาว์ คนไร้ความสามารถ หรือคนเสมือนไร้ความสามารถต้องได้รับความยินยอมจากบุคคลที่มีอำนาจกระทำการแทนบุคคลเหล่านั้นด้วย โดยการเก็บรวบรวมข้อมูลส่วนบุคคลทั่วไป และการเก็บรวบรวมข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน มีหลักเกณฑ์การดำเนินการ ดังนี้

1. ข้อมูลส่วนบุคคลทั่วไป ให้เก็บรวบรวมได้เท่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมาย ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบก่อนหรือในขณะเก็บรวบรวมข้อมูล เว้นแต่เจ้าของข้อมูลส่วนบุคคลได้ทราบถึงรายละเอียดนั้นอยู่แล้ว และห้ามมิให้ผู้ควบคุมข้อมูลส่วนบุคคลทำการเก็บรวบรวมข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่เป็นการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ การศึกษาวิจัยหรือสถิติ ป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล มีความจำเป็นเพื่อการปฏิบัติตามสัญญา การปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะ หรือประโยชน์โดยชอบด้วยกฎหมาย และเป็นการปฏิบัติตามกฎหมาย นอกจากนี้ ยังห้ามเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่จากเจ้าของข้อมูลส่วนบุคคลโดยตรง เว้นแต่ได้แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบโดยไม่ชักช้าภายใน 30 วัน นับแต่วันที่เก็บรวบรวมและได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล หรือเป็นการเก็บรวบรวมข้อมูลส่วนบุคคลที่ได้รับยกเว้นไม่ต้องขอความยินยอม 

2. ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน ห้ามเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรมข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใด ซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคล โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่เป็นการเก็บรวบรวมข้อมูลเพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล เป็นการดำเนินกิจกรรมโดยชอบด้วยกฎหมายที่มีการคุ้มครองที่เหมาะสมของมูลนิธิ สมาคมหรือองค์กรที่ไม่แสวงหากำไร เป็นข้อมูลที่เปิดเผยต่อสาธารณะด้วยความยินยอมจากเจ้าของข้อมูลส่วนบุคคล มีความจำเป็นเพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับเวชศาสตร์ป้องกันหรืออาชีวเวชศาสตร์ ประโยชน์สาธารณะด้านการสาธารณสุข การคุ้มครองแรงงาน การประกันสังคม หลักประกันสุขภาพแห่งชาติ สวัสดิการเกี่ยวกับการรักษาพยาบาลของผู้มีสิทธิตามกฎหมาย การคุ้มครองผู้ประสบภัยจากรถ หรือการคุ้มครองทางสังคม การศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ และประโยชน์สาธารณะที่สำคัญ

สำหรับการใช้และเปิดเผยข้อมูลส่วนบุคคลได้กำหนดมาตรการสำคัญ คือ

  1. ห้ามใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอม เว้นแต่เป็นข้อมูลส่วนบุคคลที่เก็บรวบรวมได้โดยได้รับยกเว้นไม่ต้องขอความยินยอม
  2. บุคคลหรือนิติบุคคลที่ได้รับข้อมูลส่วนบุคคลจากผู้ควบคุมข้อมูลส่วนบุคคลจะต้องไม่ใช้หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์อื่นนอกเหนือจากวัตถุประสงค์ที่ได้ขอความยินยอม
  3. การใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่ได้รับยกเว้นไม่ต้องขอความยินยอม ผู้ควบคุมข้อมูลส่วนบุคคลต้องบันทึกการใช้หรือเปิดเผยนั้นไว้ด้วย 

นอกจากนี้ การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ ประเทศปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคลต้องมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ เว้นแต่เป็นการปฏิบัติตามกฎหมาย ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล มีความจำเป็นเพื่อการปฏิบัติตามสัญญา การทำสัญญาระหว่างผู้ควบคุมข้อมูลส่วนบุคคลกับบุคคลหรือนิติบุคคลอื่น การป้องกันหรือระงับอันตรายต่อชีวิต ร่างกายหรือสุขภาพของเจ้าของข้อมูลส่วนบุคคลหรือบุคคลอื่น และจำเป็นเพื่อประโยชน์สาธารณะที่สำคัญ 

จากมาตรการคุ้มครองข้อมูลส่วนบุคคลดังกล่าว ถือเป็นการรับรองและยืนยันสิทธิความเป็นส่วนตัวของประชาชน โดยการคุ้มครองประชาชนในฐานะเจ้าของข้อมูลส่วนบุคคลจากการกระทำที่ไม่ชอบด้วยกฎหมาย ทั้งกรณีที่เกิดการละเมิดข้อมูลส่วนบุคคล รวมถึงการกำหนดให้องค์กรต่าง ๆ ที่มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลต้องมีฐานทางกฎหมายในการประมวลผล โดยต้องใช้ข้อมูลให้สอดคล้องกับวัตถุประสงค์ที่ชอบด้วยกฎหมายและเพียงเท่าที่จำเป็น อีกทั้งจะต้องมีความโปร่งใสในการประมวลผลข้อมูลส่วนบุคคลที่ต้องคำนึงถึงความเป็นธรรมต่อเจ้าของข้อมูลส่วนบุคคลด้วย 

ภาพปก