“PDPA” หรือ “พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562” เริ่มบังคับใช้ 1 มิ.ย. 65 นี้ นับเป็นกฎหมายใหม่ที่คนไทยต้องทำความรู้จัก หรือทำความเข้าใจถึงหลักเกณฑ์ของกฎหมายเพื่อระมัดระวังการละเมิดสิทธิส่วนบุคคลของผู้อื่น รวมถึงเข้าใจสิทธิที่ตัวเองมีในฐานะ “เจ้าของข้อมูลส่วนบุคคล” ที่กฎหมายฉบับนี้คุ้มครองด้วย
- “PDPA” คืออะไร ครอบคลุมอะไรบ้าง ?
PDPA (Personal Data Protection Act) หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ทำขึ้นเพื่อให้เอกชนและรัฐที่เก็บรวมรวม ใช้ เปิดเผย และ/หรือ โอนข้อมูลส่วนบุคคลในไทย ตามมาตรการปกป้องข้อมูลของผู้อื่นจากการถูกละเมิดสิทธิส่วนตัว
นอกจากนี้ยังมีผลบังคับใช้ กรณีผู้ควบคุมหรือผู้ประเมินผลข้อมูลส่วนบุคคล “อยู่นอกราชอาณาจักร” และมีกิจกรรมเสนอขายสินค้าหรือบริการแก่เจ้าของข้อมูลที่อยู่ในไทย รวมถึงการเฝ้าติดตามพฤติกรรมของเจ้าของข้อมูลส่วนบุคคลที่เกิดขึ้นในไทยด้วย
โดยหลักเกณฑ์สำคัญ คือ การใช้ข้อมูลส่วนบุคคล ต้อง “ขอความยินยอม” จาก “เจ้าของข้อมูลส่วนบุคคล” ให้ถูกต้องก่อน
อย่างไรก็ตาม ยังมีบางกรณีที่กฎหมายให้ข้อยกเว้นว่า สามารถใช้ข้อมูลส่วนบุคคลได้โดยไม่ต้องรอขอความยินยอม กรณีต่อไปนี้
ข้อยกเว้นการบังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562
- การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบุคคลที่ทำการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อประโยชน์ส่วนตน หรือเพื่อกิจกรรมในครอบครัวของบุคคลนั้นเท่านั้น
- การดำเนินการของหน่วยงานรัฐที่มีหน้าที่ รักษาความมั่นคงของรัฐ, ความมั่นคงทางการคลังของรัฐ, การรักษาความปลอดภัยของประชาชน, การป้องกันและปราบปรามการฟอกเงิน, นิติวิทยาศาสตร์ และการรักษาความมั่นคงปลอดภัยทางไซเบอร์
- บุคคลหรือนิติบุคคลซึ่งใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่ทำการเก็บรวบรวมข้อมูลไว้เฉพาะเพื่อกิจการสื่อมวลชน งานศิลปกรรม หรืองานวรรณกรรม ตามจริยธรรมวิชาชีพหรือเป็นประโยชน์ต่อสาธารณะเท่านั้น
- สภาผู้แทนราษฎร วุฒิสภา และรัฐสภา รวมถึงคณะกรรมการที่แต่งตั้งโดยสภาดังกล่าว ซึ่งเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ในการพิจารณาตามหน้าที่และอำนาจของสภาผู้แทนราษฎร วุฒิสภา รัฐสภา หรือคณะกรรมาธิการ แล้วแต่กรณี
- การพิจารณาพิพากษาของศาล และการดำเนินเงินของเจ้าหน้าที่ในกระบวนการพิจารณาคดี การบังคับคดีและการวางทรัพย์ รวมทั้งการดำเนินงานตามกระบวนการยุติธรรมทางอาญา
- การดำเนินการกับข้อมูลของบริษัทข้อมูลเครดิตและสมาชิกตามกฎหมายว่าด้วยการประกอบธุรกิจข้อมูลเครดิต
อย่างไรก็ตาม แม้จะมีข้อยกเว้นในกรณีข้างต้น แต่การรวบรวมข้อมูลจะต้องมีการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลให้เป็นไปตามมาตรฐานด้วย