ประเทศไทยของเราก็ได้มีการบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือที่เรามักจะเรียกกันสั้น ๆ ว่า PDPA มีผลบังคับใช้ตั้งแต่วันที่ 1 มิถุนายน 2565 โดยกฎหมายนี้ มีจุดมุ่งหมายสำคัญในการคุ้มครองข้อมูลส่วนบุคคลของคน เพื่อไม่ให้ถูกนำไปใช้โดยไม่ได้รับอนุญาต หรือนำไปใช้อย่างผิด ๆ
ทุกคนเคยเจอเหตุการที่มีโทรศัพท์เข้ามาจากบริษัทขนส่งสินค้า เข้ามีพัสดุถึงเราแต่ไม่สามารถจัดส่งพัสดุให้เราได้ เนื่องจากมีภาษีเพิ่มที่เราต้องการให้เราแจ้งชื่อ ที่อยู่ และเลขที่บัตรประชาชน พร้อมให้โอนเงินผ่าน บัญชีธนาคารเพื่อนำพัสดุออก อันนี้ก็คือตัวอย่างที่ธุรกิจนำข้อมูลของเราไปใช้โดยที่ไม่ได้รับความยินยอม ซึ่งในอดีตธุรกิจมีการนำข้อมูลไปให้โดยไม่ได้ขอความยินยอม เช่นการเก็บข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต และการส่งข้อมูลส่วนบุคคลของเราออกไปข้างนอกโดยไม่ได้รับอนุญาต ทำให้ข้อมูลของเรารั่วไหลออกไป
นั่นจึงเป็นที่มาของ PDPA เป็นการคุ้มครองข้อมูลส่วนบุคคล
เพื่อให้ธุรกิจมีมาตรการดูแลข้อมูลส่วนบุคคล ของลูกค้าอย่างเป็นระเบียบ และไม่ให้บริษัทแสวงผลประโยชน์โดยมิชอบ
ข้อมูลส่วนบุคคลที่อยู่ในความคุ้มครองของ PDPA แบ่งได้เป็น 2 ประเภท
แบบที่ 1
ข้อมูลส่วนบุคคล (Personal Data) คือ ข้อมูลที่สามารถระบุตัวบุคคลนั้นได้ ระบุไปถึงเจ้าของข้อมูล ตัวอย่างเช่น ชื่อ-นามสกุล, เลขประจำตัวประชาชน, เลขหนังสือเดินทาง, ที่อยู่, อีเมล์, เลขโทรศัพท์ รวมถึงข้อมูลอุปกรณ์ด้วยตัวอย่างเช่น IP address, MAC address, Cookie ID
แบบที่ 2
ข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Personal Data) คือ ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อนสูง ตัวอย่างเช่น เชื้อชาติ, เผ่าพันธุ์, ความเชื่อทางศาสนา เพราะว่าเมื่อรั่วไหลไปสู่สาธารณะแล้ว จะเกิดผลเสียที่ร้ายแรงกับผู้เป็นเจ้าของข้อมูลส่วนบุคคล เกิดการเลือกปฏิบัติอย่างไม่เป็นธรรม
ในกรณีที่ธุรกิจไม่ปฏิบัติตามหน้าที่ PDPA ก็จะมีบทลงโทษอยู่ 3 แบบคือ โทษทางแพ่ง โทษทางอาญา และโทษทางปกครอง
- โทษทางอาญา: จำคุกสูงสุดไม่เกิน 6 เดือนถึง 1 ปี หรือปรับสูงสุดไม่เกิน 500,000 ถึง 1 ล้านบาท หรือทั้งจำทั้งปรับ
- โทษทางแพ่ง: ค่าสินไหมทดแทน + ค่าสินไหมเพื่อการลงโทษอีกไม่เกิน 2 เท่า
- โทษทางปกครอง: ปรับไม่เกิน 1/3/5 ล้านบาท