กฎหมายการคุ้มครองข้อมูลส่วนบุคคล


ได้มีโอกาสฟังบรรยาย เรื่อง พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562  โดย ผศ.ดร. ปิยะบุตร บุญอร่ามเรือง คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย ซึ่งท่านมาบรรยายให้ความรู้ในที่ประชุมกรรมการประจำมหาวิทยาลัยมหิดล ครั้งที่ 15/2562 เมื่อวันที่ 14 สิงหาคม 2562 เห็นว่าเป็นประโยชน์ต่อผู้บริหารองค์กรในสถาบันการศึกษา จึงนำมาเล่าสู่กันฟัง สรุปประเด็นสำคัญของข้อกฎหมายได้ดังนี้ค่ะ

รัฐธรรมนูญแห่งราชอาณาจักรไทย พ.ศ. 2560

มาตรา 32 บุคคลย่อมมีสิทธิในความเป็นอยู่ส่วนตัว เกียรติยศ ชื่อเสียง และครอบครัว การกระทําอันเป็นการละเมิดหรือ กระทบต่อสิทธิของบุคคลตามวรรคหนึ่ง หรือ การนําข้อมูลส่วนบุคคลไปใช้ประโยชน์ ไม่ว่าในทางใดๆ จะกระทํามิได้ เว้นแต่โดยอาศัยอํานาจตามบทบัญญัติแห่งกฎหมายที่ตราขึ้น เพียงเท่าที่จําเป็นเพื่อประโยชน์สาธารณะ

ประมวลกฎหมายแพ่งและพาณิชย์

การละเมิดสิทธิในความเป็นส่วนตัว ตามประมวลกฎหมายแพ่งและพาณิชย์ มาตรา 420

มาตรา 420 ผู้ใดจงใจหรือประมาทเลินเล่อ ทําต่อบุคคลอื่นโดยผิดกฎหมาย ให้เขาเสียหายถึงแก่ชีวิตก็ดี แก่ร่างกายก็ดี อนามัยก็ดี เสรีภาพก็ดี ทรัพย์สินหรือสิทธิอย่างหนึ่งอย่างใดก็ดี ท่านว่า ผู้นั้นทําละเมิด จําต้องใช้ค่าสินไหมทดแทนเพื่อการนั้น

มาตรา 421 การใช้สิทธิซึ่งมีแต่จะให้เกิดเสียหายแก่บุคคลอื่นนั้น ท่านว่าเป็นการอันมิชอบด้วยกฎหมาย

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

มาตรา 81 ในกรณีที่ผูุ้กระทํา ความผิดตามพระราชบัญญัตินี้เป็นนิติบุคคล ถ้าการกระทําความผิดของนิติบุคคลนั้น เกิดจากการสั่งการหรือการกระทําของกรรมการ หรือผู้จัดการหรือบุคคลใดซึ่งรับผิดชอบใน การดําเนินงานของนิติบุคคลนั้น หรือในกรณี ที่บุคคลดังกล่าวมีหน้าที่ต้องสั่งการหรือกระทําการ และละเว้นไม่สั่งการหรือไม่กระทำการ จนเป็นเหตุให้นิติบุคคลนั้นกระทําความผิด ผู้นั้นต้องรับโทษตามที่บัญญัติไว้สำหรับความผิดนั้น ๆ ด้วย

โทษอาญา จําคุกไม่เกิน 1 ปี ปรับไม่เกิน 1,000,000 บาท โทษทางปกครอง 5,000,000 บาท ความรับผิดทางแพ่ง 2 x ค่าสินไหมทดแทน

มาตรา 3 ในกรณีที่มีกฎหมายว่าด้วยการใดบัญญัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลในลักษณะใด กิจการใด หรือหน่วยงานใดไว้โดยเฉพาะแล้ว ให้บังคับตามบทบัญญัติแห่งกฎหมายว่าด้วยการนั้น เว้นแต่ (1) บทบัญญัติเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล และบทบัญญัติเกี่ยวกับสิทธิของเจ้าของข้อมูลส่วนบุคคล รวมทั้งบทกำหนดโทษที่เกี่ยวข้อง ให้บังคับตามบทบัญญัติแห่งพระราชบัญญัตินี้ เป็นการเพิ่มเติม ไม่ว่าจะซํ้ากับบทบัญญัติแห่งกฎหมายว่าด้วยการนั้นหรือไม่ก็ตาม

การดําเนินการที่ได้รับยกเว้น (มาตรา 4)

  • เพื่อประโยชน์ส่วนตนหรือ เพื่อกิจกรรมในครอบครัวของบุคคลนั้นเท่านั้น
  • หน้าที่ในการรักษาความมั่นคงของรัฐ ซึ่งรวมถึงความมั่นคงทางการคลังของรัฐ หรือการรักษาความ ปลอดภัยของประชาชน รวมทั้งหน้าที่เกี่ยวกับการป้องกันและปราบปรามการฟอกเงิน นิติวิทยาศาสตร์ หรือการรักษาความมั่นคงปลอดภัยไซเบอร์
  • เพื่อกิจการสื่อมวลชน งานศิลปกรรม หรืองานวรรณกรรมอันเป็นไปตามจริยธรรมแห่งการประกอบวิชาชีพ หรือเป็นประโยชน์สาธารณะเท่านั้น
  • การพิจารณาตามหน้าที่และอํานาจของสภาผู้แทนราษฎร วุฒิสภา รัฐสภา หรือคณะกรรมาธิการ
  • การพิจารณาพิพากษาคดีของศาล และการดำเนินงานของเจ้าหน้าที่ในกระบวนการพิจารณาคดี การบังคับ คดี และการวางทรัพย์ รวมทั้งการดำเนินงานตามกระบวนการยุติธรรมทางอาญา
  • การดำเนินการกับข้อมูลของบริษัท ข้อมูลเครดิต และสมาชิกตามกฎหมาย ว่าด้วยการประกอบธุรกิจข้อมูลเครดิต

มาตรา 6

“ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคล (Data Subject) ซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม (เช่น วันเดือนปีเกิด) แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ

“ผู้ควบคุมข้อมูลส่วนบุคคล” (Data Controller) หมายความว่า บุคคล หรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

“ผู้ประมวลผลข้อมูลส่วนบุคคล” (Data Processor) หมายความว่า บุคคล หรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าว ไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล

คำศัพท์ต่าง ๆ ที่ควรทำความเข้าใจ ได้แก่

  • Data Subject (และ Data Subject’s Rights)
  • Data Controller (และ Data Controller’s Responsibilities)
  • Data Processor
  • Data Security
  • Contract (Necessary for contract)
  • Consent (Choice of data subject)
  • Vital Interest (To protect health and life of data subjects and third persons)
  • Legitimate Interest (Must be balanced between controller’s interest and data subject fundamental rights)
  • Legal Obligations
  • Public Task (Usually cases of public authorities)  กลต. -> บลจ. กองทุน, บมจ. -> ประชาชน

ฐานการประมวลผลโดยชอบด้วยกฎหมาย (มาตรา 24)

“ห้ามมิให้ผู้ควบคุมข้อมูลส่วนบุคคลทําการเก็บรวบรวมข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่ (๑) เพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการจัดทําเอกสารประวัติศาสตร์หรือ จดหมายเหตุเพื่อประโยชน์สาธารณะ หรือที่เกี่ยวกับการศึกษาวิจัยหรือสถิติซึ่งได้จัดให้มีมาตรการปกป้องที่เหมาะสมเพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ทั้งนี้ ตามที่คณะกรรมการประกาศกําหนด (๒) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล (๓) เป็นการจําเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคล เป็นคู่สัญญาหรือเพื่อใช้ในการดำเนินการตามคําขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทําสัญญานั้น (๔) เป็นการจําเป็นเพื่อการปฏิบัติหน้าที่ในการดําเนินภารกิจเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคล หรือปฏิบัติหน้าที่ในการใช้อํานาจรัฐที่ได้มอบให้แก่ผู้ควบคุมข้อมูลส่วนบุคคล (๕) เป็นการจําเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูล ส่วนบุคคลหรือของบุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล เว้นแต่ประโยชน์ดังกล่าวมีความสําคัญน้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล (๖) เป็นการปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล”

พระราชบัญญัติแก้ไขเพิ่มเติมบทบัญญัติแห่งกฎหมายที่เกี่ยวกับ ความรับผิดในทางอาญาของผู้แทนนิติบุคคลพ.ศ. 2560 ที่เกี่ยวข้องในด้านต่าง ๆ (จำนวนทั้งสิ้น 76 ฉบับ)

ในกรณีที่ผู้กระทําความผิดเป็นนิติบุคคล ถ้าการกระทําความผิดของนิติบุคคลนั้น เกิดจาก การสั่งการ หรือการกระทําของกรรมการ หรือผู้จัดการหรือบุคคลใด ซึ่งรับผิดชอบในการดําเนินงานของนิติบุคคลนั้น หรือในกรณีที่บุคคลดังกล่าวมีหน้าที่ต้องสั่งการหรือกระทําการและละเว้นไม่สั่งการ หรือไม่กระทําการจนเป็นเหตุให้นิติบุคคลนั้นกระทําความผิด ผู้นั้นต้องรับโทษตามที่บัญญัติไว้สําหรับความผิดนั้น ๆ ด้วย

การขอความยินยอม (Consent)

มาตรา 19 ผู้ควบคุมข้อมูลส่วนบุคคลจะกระทํา การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไม่ได้หาก เจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมไว้ก่อนหรือในขณะนั้น เว้นแต่บทบัญญัติแห่งพระราชบัญญัตินี้ หรือกฎหมายอื่นบัญญัติให้กระทําได้ การขอความยินยอมต้องทําโดยชัดแจ้งเป็นหนังสือหรือทําโดยผ่านระบบอิเล็กทรอนิกส์ เว้นแต่โดยสภาพไม่อาจขอความยินยอมด้วยวิธีการดังกล่าวได้ ในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไปด้วย และการขอความยินยอมนั้นต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน มีแบบหรือข้อความที่เข้าถึงได้ง่ายและเข้าใจ ได้ รวมทั้งใช้ภาษาที่อ่านง่าย และไม่เป็นการหลอกลวงหรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์ ดังกล่าว ทั้งนี้ คณะกรรมการจะให้ผู้ควบคุมข้อมูลส่วนบุคคล ขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลตามแบบและข้อความที่คณะกรรมการประกาศกำหนดก็ได้

เจ้าของข้อมูลส่วนบุคคลจะถอนความยินยอมเสียเมื่อใดก็ได้ โดยจะต้องถอนความยินยอมได้ง่ายเช่นเดียวกับการให้ความยินยอม เว้นแต่มีข้อจำกัดสิทธิในการถอนความยินยอมโดยกฎหมาย หรือสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคล ทั้งนี้ การถอนความยินยอมย่อมไม่ส่งผลกระทบต่อการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมไปแล้วโดยชอบตามที่กำหนดไว้ในหมวดนี้

ประกาศอื่น ๆ ที่เกี่ยวข้อง

  • ประกาศ กทช. เรื่อง มาตรการคุ้มครองสิทธิของผู้ใช้บริการโทรคมนาคม เกี่ยวกับข้อมูลส่วนบุคคล สิทธิในความเป็นส่วนตัว และเสรีภาพในการสื่อสารถึงกันโดยทางโทรคมนาคม พ.ศ. 2549
  • ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง แนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของหน่วยงานของรัฐ พ.ศ. 2553
  • เอกสารแนบ 6 ประกาศธนาคารแห่งประเทศไทยที่ สกส.1/2561 เรื่อง การบริหารจัดการด้านการให้บริการแก่ลูกค้าอย่างเป็นธรรม (Market Conduct) โดยมีสาระสําคัญเน้นเรื่องการไม่เปิดเผยข้อมูลลูกค้าและการขอความยินยอม

ระเบียบการคุ้มครองข้อมูลทั่วไปของสหภาพยุโรป (GDPR : EU General Data Protection Regulation) เป็นระเบียบในกฎหมายสหภาพยุโรป ว่าด้วยการคุ้มครองข้อมูลและภาวะเฉพาะส่วนตัวแก่ปัจเจกบุคคลทุกคนในสหภาพยุโรป (EU) และเขตเศรษฐกิจยุโรป (EEA) นอกจากนี้ ยังครอบคลุมการส่งออกซึ่งข้อมูลส่วนบุคคลนอก EU และ EEA ด้วย มีผลใช้บังคับตั้งแต่วันที่ 25 พฤษภาคม 2561

APEC Cross-Border Privacy Rules System (CBPRs) 

APEC-CBPRs was developed by APEC economies with input and assistance from industry and civil society to build consumer, business and regulator trust in cross border flows of personal information. (การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ)

นโยบายการคุ้มครองข้อมูลส่วนบุคคลของมหาวิทยาลัย (University Policy on Data Protection)

มหาวิทยาลัยควรแต่งตั้งผู้ทำหน้าที่เป็น Data Protection Officer (DPO) ด้วย ตัวอย่างมหาวิทยาลัยที่มี Data Protection Policy ประกาศใช้แล้ว สามารถใช้เป็นแนวทางได้ ได้แก่ Oxford University ที่เว็บไซต์ https://compliance.admin.ox.ac.uk/data-protection-policy

การสื่อสารเชิงพาณิชย์ที่มีลักษณะต่อไปนี้ไม่ถือเป็น SPAM

  • ได้รับความยินยอมจากผู้รับ (Consent)
  • ระบุวิธีการบอกเลิกไม่รับข้อมูล (Unsubscribe)
    • วิธีการทางอิเล็กทรอนิกส์
    • ระบุ URL หรือแบบฟอร์ม
    • ห้ามเรียกเงินหรือข้อมูล
  • มีกระบวนการยกเลิกภายใน 7 วัน

ผู้สนใจสามารถศึกษาเพิ่มเติมได้จาก หนังสือคู่มือ Thailand Data Protection Guidelines 1.0 แนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล (2561) จัดทำโดย ศูนย์วิจัยกฎหมายและการพัฒนา คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย ที่เว็บไซต์ 

https://www.law.chula.ac.th/wp-content/uploads/2019/06/tdpg.pdf


Mahidol University Library and Knowledge Center @ 2019