สรุป พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) ที่ประชาชนทั่วไปต้องรู้

กฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ไม่ได้มีผลเฉพาะกับธุรกิจหรือองค์กรเท่านั้น แต่เกี่ยวข้องโดยตรงกับชีวิตประจำวันของทุกคนที่ใช้โทรศัพท์มือถือ อินเทอร์เน็ต หรือให้ข้อมูลกับร้านค้า โรงพยาบาล โรงเรียน แอปพลิเคชัน และหน่วยงานต่างๆ บทความนี้จัดทำขึ้นเพื่อเป็นคลังความรู้เรื่อง PDPA ประชาชนทั่วไป ว่าคืออะไร มีสิทธิอะไรบ้าง และควรปกป้องข้อมูลของตนเองอย่างไรให้ปลอดภัยและไม่ละเมิดสิทธิของผู้อื่น

PDPA คืออะไร และเกี่ยวข้องกับเราอย่างไร

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Act: PDPA) เป็นกฎหมายที่กำหนดหลักเกณฑ์ในการเก็บ ใช้ และเปิดเผยข้อมูลส่วนบุคคลของเรา เพื่อไม่ให้ข้อมูลถูกนำไปใช้อย่างไม่เป็นธรรม ละเมิดสิทธิ หรือสร้างความเสียหาย เช่น การโทรขายของที่ไม่เคยยินยอม การส่งสแปม การนำเบอร์โทรหรือรูปไปใช้โฆษณาโดยไม่ได้ขออนุญาต

หัวใจสำคัญของ PDPA ประชาชนทั่วไป คือ การให้ “อำนาจการควบคุมข้อมูล” กลับมาอยู่ในมือเจ้าของข้อมูล ซึ่งก็คือเราแต่ละคน เมื่อเราเข้าใจสิทธิของตัวเอง จะสามารถปกป้องข้อมูลได้ดีขึ้น และใช้กฎหมายนี้อ้างอิงเมื่อถูกละเมิดได้อย่างเหมาะสม

ประเด็นสำคัญ: PDPA ไม่ได้มีไว้ขู่ธุรกิจ แต่มีไว้ให้เจ้าของข้อมูลทุกคน “มีสิทธิรู้-สิทธิเลือก-สิทธิปฏิเสธ” เมื่อต้องให้ข้อมูลส่วนบุคคลกับใครก็ตาม

ข้อมูลแบบไหนที่ PDPA คุ้มครอง

1. ข้อมูลส่วนบุคคลพื้นฐาน (Personal Data)

ข้อมูลที่สามารถระบุตัวตนของบุคคลได้โดยตรงหรือโดยอ้อม เช่น

• ชื่อ-นามสกุล, ชื่อเล่น
• เลขบัตรประชาชน, เลขหนังสือเดินทาง
• ที่อยู่ เบอร์โทรศัพท์ อีเมล
• ข้อมูลทางออนไลน์ เช่น ไอดีผู้ใช้ (User ID), IP Address, Cookie ID (ในบางกรณีที่เชื่อมโยงถึงตัวบุคคลได้)
• รูปถ่าย ภาพใบหน้า เสียง วิดีโอที่ระบุตัวตนได้

2. ข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data)

เป็นข้อมูลที่ต้องระมัดระวังเป็นพิเศษ การเก็บและใช้ต้องมีเงื่อนไขเข้มงวดกว่า เช่น

• เชื้อชาติ สัญชาติ ความเห็นทางการเมือง
• ความเชื่อทางศาสนา ปรัชญา
• ประวัติสุขภาพ ข้อมูลทางการแพทย์ ประวัติการรักษา
• ประวัติอาชญากรรม
• ข้อมูลชีวมิติ (Biometric) เช่น ลายนิ้วมือ ใบหน้า ม่านตา
• ข้อมูลพันธุกรรม (Genetic Data)

เมื่อข้อมูลเหล่านี้ถูกเก็บ ใช้ หรือส่งต่อ ผู้ที่นำไปใช้ต้องมีเหตุผลและฐานทางกฎหมายที่ชัดเจน ไม่สามารถนำไปใช้เกินความจำเป็นหรือแตกต่างจากวัตถุประสงค์ที่แจ้งไว้ในตอนแรก

สิทธิสำคัญของประชาชนภายใต้ PDPA

PDPA ประชาชนทั่วไป ให้สิทธิกับเจ้าของข้อมูลหลายประการ ซึ่งสามารถใช้สิทธิต่อองค์กร ร้านค้า แอป หรือหน่วยงานต่างๆ ที่เก็บข้อมูลของเราได้ โดยสิทธิที่ควรรู้มีดังนี้

1. สิทธิขอรับทราบและเข้าถึงข้อมูล (Right to Access)

• มีสิทธิขอทราบว่า องค์กรใดเก็บข้อมูลอะไรของเราอยู่บ้าง
• มีสิทธิขอสำเนาข้อมูลส่วนบุคคลของเราในระบบของเขา
• มีสิทธิถามว่าข้อมูลถูกนำไปใช้กับใคร หรือส่งต่อให้ใครบ้าง

2. สิทธิขอแก้ไขให้ถูกต้อง (Right to Rectification)

• หากข้อมูลผิด เช่น เบอร์โทร ที่อยู่ สะกดชื่อผิด สามารถขอให้แก้ไขให้ถูกต้องได้
• องค์กรมีหน้าที่อัปเดตข้อมูลให้ตรงกับความจริง เพื่อไม่ให้เกิดผลกระทบตามมา

3. สิทธิขอลบหรือระงับการใช้ข้อมูล (Right to Erasure/Restriction)

• ขอลบข้อมูลเมื่อไม่มีเหตุผลจำเป็นต้องเก็บอีกต่อไป
• ขอลบเมื่อถอนความยินยอม และไม่มีกฎหมายอื่นบังคับให้ต้องเก็บต่อ
• ขอให้ “ระงับการใช้” ชั่วคราวในกรณีมีข้อโต้แย้ง หรือกำลังตรวจสอบความถูกต้องของข้อมูล

4. สิทธิถอนความยินยอม (Right to Withdraw Consent)

• หากเคยให้ความยินยอมในการใช้ข้อมูลเพื่อการตลาดหรือวัตถุประสงค์อื่น สามารถ “ถอนความยินยอม” ได้ตลอดเวลา
• องค์กรต้องทำช่องทางสำหรับให้ถอนยินยอมได้ง่าย ไม่ยุ่งยากกว่าตอนให้ยินยอม

5. สิทธิขอไม่รับการตลาดตรง (Right to Object Direct Marketing)

• สามารถปฏิเสธไม่รับ SMS โฆษณา อีเมลโปรโมชั่น หรือสายโทรขายตรงที่ไม่ต้องการ
• เมื่อแจ้งยกเลิกแล้ว ต้องหยุดติดต่อภายในระยะเวลาที่เหมาะสม

คำแนะนำสำหรับผู้ใช้ทั่วไป: เมื่อได้รับข้อความขายของหรือโทรเสนอสินค้า สามารถสอบถามได้ว่า “ได้ข้อมูลจากไหน” และสามารถแจ้งไม่ประสงค์รับการติดต่ออีกภายใต้สิทธิของ PDPA

ตัวอย่างสถานการณ์ในชีวิตจริงที่เกี่ยวกับ PDPA

1. สมัครสมาชิก – ร้านค้า ห้างสรรพสินค้า แพลตฟอร์มออนไลน์

• ควรมีข้อความชัดเจนว่าเก็บข้อมูลเพื่ออะไร เช่น สมัครสมาชิก, สะสมแต้ม, วิเคราะห์การใช้งาน, ทำการตลาด
• หากมีการ “ส่งต่อข้อมูลให้พันธมิตรทางธุรกิจ” ควรแจ้งให้ทราบและขอความยินยอม
• เรามีสิทธิปฏิเสธการรับ SMS/อีเมลโฆษณา โดยยังคงใช้บริการหลักได้ปกติ (ยกเว้นกรณีที่ข้อมูลจำเป็นต่อการให้บริการนั้นจริงๆ)

2. กล้องวงจรปิด (CCTV) และการถ่ายรูป-วิดีโอ

• สถานที่ติดกล้องวงจรปิด ควรมีป้ายแจ้งให้ชัดเจนว่าบันทึกภาพเพื่อความปลอดภัยและการดูแลทรัพย์สิน
• การโพสต์รูปหรือวิดีโอที่เห็นหน้าคนอื่นชัดเจน เพื่อการโฆษณาหรือประชาสัมพันธ์ ควรมีการขออนุญาตจากเจ้าของภาพก่อน
• หากรูปภาพหรือวิดีโอถูกนำไปใช้ในบริบทที่ทำให้เสียหายหรือละเมิดสิทธิ อาจเข้าข่ายกระทบ PDPA และกฎหมายอื่นร่วมด้วย

3. แบบฟอร์มเก็บข้อมูลในชีวิตประจำวัน

• แบบฟอร์มลงทะเบียนสัมมนา ลงคอนโด ฟิตเนส คลินิก ฯลฯ ควรเก็บเฉพาะข้อมูลที่จำเป็นเท่านั้น
• หากจะนำไปใช้เพื่อการตลาด หรือส่งต่อให้บริษัทอื่น ต้องแจ้งให้เข้าใจง่ายและแยกช่องติ๊ก “ยินยอม” อย่างชัดเจน

หน้าที่และความระมัดระวังที่ประชาชนควรมี

1. ในฐานะ “เจ้าของข้อมูล”

• อ่านเงื่อนไขความเป็นส่วนตัว (Privacy Policy) แบบคร่าวๆ ให้เข้าใจจุดหลักก่อนกรอกข้อมูล
• หลีกเลี่ยงการส่งสำเนาบัตรประชาชนผ่านแชทหรือโซเชียลโดยไม่จำเป็น
• ไม่โพสต์ข้อมูลสำคัญ เช่น เลขบัตร ชื่อ-สกุลเต็ม พร้อมที่อยู่ ลงในพื้นที่สาธารณะ
• ใช้สิทธิถอนความยินยอม หรือยกเลิกการรับโฆษณา เมื่อรู้สึกว่าถูกรบกวน หรือไม่ต้องการให้เก็บข้อมูลต่อ

2. ในฐานะ “ผู้เก็บหรือใช้ข้อมูลผู้อื่น”

ประชาชนทั่วไปจำนวนไม่น้อยเจอสถานการณ์ที่ต้องถือหรือใช้ข้อมูลของผู้อื่น เช่น เจ้าของกิจการรายย่อย แอดมินเพจ เจ้าของร้านค้าออนไลน์ ช่างภาพฟรีแลนซ์ หรือผู้ดูแลกลุ่มไลน์/เฟซบุ๊ก

• เก็บเฉพาะข้อมูลเท่าที่จำเป็นต่อการทำงานหรือให้บริการ
• แจ้งให้ผู้ให้ข้อมูลทราบในภาพรวมว่าขอไปทำอะไร และเก็บรักษาอย่างไร
• หลีกเลี่ยงการส่งต่อข้อมูลลูกค้าให้บุคคลที่สาม เพื่อการขายของหรือการตลาด โดยไม่ได้รับอนุญาต
• หากมีเอกสารสำเนาบัตรประชาชนหรือข้อมูลสำคัญ ควรจัดเก็บให้ปลอดภัย และทำลายข้อมูลเมื่อไม่จำเป็นต้องใช้แล้ว

หลักการสั้นๆ ที่ใช้ได้เสมอ: “เก็บเท่าที่จำเป็น ใช้เท่าที่แจ้ง ป้องกันเท่าที่ทำได้ เคารพสิทธิของเจ้าของข้อมูล”

PDPA กับโลกดิจิทัล คลาวด์ และความปลอดภัยของข้อมูล

เมื่อข้อมูลจำนวนมากถูกจัดเก็บบนระบบออนไลน์ เซิร์ฟเวอร์ และคลาวด์ ความปลอดภัยด้านเทคโนโลยีกลายเป็นส่วนสำคัญของการปฏิบัติตาม PDPA โดยเฉพาะผู้ที่เป็นเจ้าของธุรกิจขนาดเล็ก แอดมินระบบ หรือผู้ดูแลเว็บไซต์ควรให้ความสำคัญกับ

• การใช้รหัสผ่านที่รัดกุม และเปิดใช้ Two-Factor Authentication (2FA) สำหรับบัญชีสำคัญ
• การเข้ารหัสข้อมูล (Encryption) ในการรับ-ส่งข้อมูลผ่านเว็บไซต์ เช่น HTTPS, SSL
• การเลือกผู้ให้บริการโฮสติ้งหรือคลาวด์ที่มีมาตรการรักษาความปลอดภัยและสำรองข้อมูลที่เชื่อถือได้
• การกำหนดสิทธิ์การเข้าถึงข้อมูลลูกค้า ให้เฉพาะผู้ที่จำเป็นต่อการทำงานจริงๆ

แม้ประชาชนทั่วไปอาจไม่จำเป็นต้องรู้รายละเอียดเชิงเทคนิคทั้งหมด แต่การเข้าใจหลักการพื้นฐานของความปลอดภัยข้อมูล จะช่วยให้เลือกใช้บริการดิจิทัลได้อย่างมั่นใจและลดความเสี่ยงจากการรั่วไหลของข้อมูลส่วนบุคคล

บทสรุปสำหรับประชาชนทั่วไป: ใช้ PDPA ให้เป็นเกราะป้องกันตัวเอง

PDPA ประชาชนทั่วไป เป็นกฎหมายที่สร้างเกราะคุ้มครองให้ข้อมูลของเรา ไม่ให้ถูกนำไปใช้ผิดวัตถุประสงค์ หรือไปอยู่ในมือผู้ไม่หวังดี การรู้จักสิทธิของตนเองและใช้สิทธิเหล่านี้อย่างเหมาะสม จะช่วยให้การใช้ชีวิตดิจิทัลปลอดภัยขึ้นทั้งในมุมของการเป็น “เจ้าของข้อมูล” และในมุมของการเป็น “ผู้ใช้ข้อมูลของผู้อื่น”

📌 สรุปประเด็นที่นำไปใช้ได้ทันที

• รู้ก่อนให้ข้อมูล: ถามตัวเองเสมอว่า “จำเป็นต้องให้ครบทุกช่องหรือไม่”
• ใช้สิทธิได้จริง: ขอเข้าถึง ขอแก้ไข ขอถอนความยินยอม และขอยกเลิกการรับโฆษณาได้ตาม PDPA
• ระวังการโพสต์: หลีกเลี่ยงการเผยแพร่ข้อมูลส่วนบุคคลของตนเองและผู้อื่นโดยไม่จำเป็น
• จัดเก็บให้ปลอดภัย: หากต้องถือข้อมูลของผู้อื่น ให้เก็บอย่างเป็นระบบและป้องกันการรั่วไหล
• เคารพซึ่งกันและกัน: การใช้ข้อมูลอย่างมีมารยาทและเคารพสิทธิผู้อื่น เป็นหัวใจสำคัญของการอยู่ร่วมกันในสังคมดิจิทัล

หากบทความนี้ช่วยให้เข้าใจเรื่อง PDPA ได้ชัดเจนขึ้น ขอเชิญกลับมาติดตามเนื้อหาความรู้ด้านดิจิทัล ความปลอดภัยข้อมูล และการใช้เทคโนโลยีอย่างมีสติอยู่เสมอ และหากเห็นว่าเป็นประโยชน์ โปรดกรุณาส่งต่อให้คนรอบตัว เพื่อช่วยกันยกระดับความรู้และการปกป้องข้อมูลส่วนบุคคลในสังคมไทยอย่างสุภาพและเคารพซึ่งกันและกันค่ะ