พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA (Personal Data Protection Act) ประกาศใช้เมื่อวันที่ 27 พฤษภาคม พ.ศ. 2562 แต่ยังไม่มีผลบังคับใช้ทันที เพราะต้องตั้งคณะกรรมการคุ้มครองส่วนบุคคล สำนักและออกระเบียบ กฎเกณฑ์ต่างๆ ภายใต้ พ.ร.บ.ฉบับนี้เสียก่อน
บทเฉพาะกาลมาตรา 96 บัญญัติว่า การดำเนินการต่างๆ ที่ว่ามานี้ ต้องทำให้เสร็จภายใน 1 ปี เพื่อให้กฎหมายนี้มีผลบังคับใช้อย่างสมบูรณ์ หากไม่ทัน รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม หรือดีอีเอส ซึ่งเป็นผู้รักษาการตาม พ.ร.บ.นี้ต้องรายงาน ครม.ให้ทราบถึงเหตุขัดข้อง
อย่างไรก็ตาม ก่อนถึงวันที่ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล จะมีผลบังคับใช้ในวันที่ 27 พฤษภาคม 2563 นายพุทธิพงษ์ ปุณณกันต์ รมว.ดีอีเอสในตอนนั้น เสนอ ครม. วันที่ 20 พฤษภาคม 2563 ขอเลื่อนออกไปอีก 1 ปี โดยให้เหตุผลว่า เนื่องจากหลายภาคส่วนโดยเฉพาะกลุ่มสมาคมและภาคธุรกิจต่างๆ ได้ยื่นข้อร้องเรียนไปยังนายกรัฐมนตรี ถึงความไม่พร้อมในการดำเนินการตามกฎหมาย เพราะทุกองค์กรได้รับผลกระทบจากโควิด-19
การเลื่อนออกไป 1 ปี จะทำให้ผู้ที่มีข้อมูลส่วนบุคคล หรือผู้ที่ประมวลผลข้อมูลส่วนบุคคล มีเวลาเตรียมความพร้อมในการจัดทำระบบ กระบวนการทำงานให้ถูกต้องตามกฎหมาย
อีกเดือนกว่าๆ จะครบกำหนด 1 ปีที่เลื่อนออกมา คราวนี้ไม่สามารถเลื่อนเป็นครั้งที่ 2 ได้อีกแล้ว
เว็บไซต์ acinfotec.com ได้สรุปสาระสำคัญของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ดังนี้
สาเหตุที่ประเทศไทยต้องมีกฎหมายคุ้มครองข้อมูลส่วนบุคคล เพราะอียูได้ออก GDPR (General Data Protection Regulation) เป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคล บังคับใช้เมื่อ 25 พฤษภาคม พ.ศ. 2561 ซึ่งนอกจากมีผลบังคับใช้กับประเทศสมาชิกอียูแล้ว ผู้ประกอบการไทยที่ต้องติดต่อรับส่งข้อมูลส่วนบุคคลของประชาชนในประเทศที่เป็นสมาชิกสหภาพยุโรป ก็ต้องมีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสมและเพียงพอด้วย เพราะ GDPR มีลักษณะข้ามพรมแดน คือ บังคับใช้กับผู้ประกอบการในประเทศนอกอียู หากว่า ละเมิดข้อมูลส่วนบุคคลของประชากรอียู
เรื่องที่สำคัญกว่านั้นคือ ความน่าเชื่อถือในมาตรการคุ้มครองข้อมูลส่วนบุคคล มีผลต่อการค้าระหว่างประเทศ และการทำธุรกิจระหว่างประเทศ หากประเทศไทยไม่มีกฎหมายคุ้มครองข้อมูลส่วนบุคคล จะทำให้เสียโอกาสและความเชื่อมั่นจากกลุ่มประเทศในสหภาพยุโรป และอาจรวมไปถึงประชาคมโลกที่กำลังตื่นตัวเรื่องการคุ้มครองข้อมูลส่วนบุคคล
กฎหมายคุ้มครองข้อมูลส่วนบุคคลมีสาระสำคัญคือ
เจ้าของข้อมูลต้องให้ความยินยอมในการเก็บรวบรวม การใช้ และการเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ผู้เก็บรวบรวม ผู้ใช้แจ้งไว้ตั้งแต่แรกแล้วเท่านั้น เช่น หากแอปพลิเคชันหนึ่งจะเก็บข้อมูลบัตรเครดิตของบุคคลไว้ในระบบ ก็ต้องให้เจ้าของบัตรกดยินยอม พร้อมแจ้งให้ทราบว่า จะใช้ข้อมูลบัตรเครดิตนั้นทำอะไรบ้าง หากเจ้าของบัตรไม่ยินยอมให้ใช้ข้อมูลบัตรเครดิต ผู้ให้บริการแอปพลิเคชันนั้นก็ไม่สามารถใช้ข้อมูลบัตรเครดิตได้
ผู้เก็บรวบรวมข้อมูลต้องรักษาความมั่นคงปลอดภัยของข้อมูล ไม่ให้มีการเปลี่ยนแปลงแก้ไข หรือถูกเข้าถึงโดยผู้ที่ไม่เกี่ยวข้องกับข้อมูล
เจ้าของข้อมูลมีสิทธิ์ถอนความยินยอม ขอให้ลบหรือทำลายข้อมูลเมื่อใดก็ได้
บุคคลทั่วไปหรือเจ้าของข้อมูลส่วนบุคคล ก่อนจะให้ข้อมูลสำคัญ ควรมีการเก็บบันทึกเป็นหลักฐานไว้ หรือมีการขอสำเนาของเอกสารที่มีข้อมูลส่วนบุคคล เมื่อใดพบว่าข้อมูลส่วนบุคคลได้ถูกนำไปใช้ผิดวัตถุประสงค์ ก็จะได้ใช้เป็นหลักฐานในการร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญ และมีสติรอบคอบในการให้ข้อมูลส่วนบุคคลแก่เว็บไซต์/แอปพลิเคชันที่มีการขอความยินยอมจากเจ้าของข้อมูล
ยกตัวอย่างเช่น การทำงานของเว็บไซต์/แอปพลิเคชัน เช่น ปัจจุบันนี้ หลายแอปพลิเคชันจะเชื่อมต่อระบบสมาชิกกับเฟซบุ๊ก มีการขอชื่ออีเมลและรายชื่อเพื่อนในเฟซบุ๊กของเรา หากเราเห็นว่าไม่จำเป็นที่ต้องให้ข้อมูลรายชื่อเพื่อน ก็สามารถคลิกเพื่อไม่ยินยอม และยินยอมให้เฉพาะอีเมลเพื่อการเข้าระบบของแอปพลิเคชันนั้นๆ ได้
ตัวเจ้าของข้อมูลต้องทำหน้าที่ “คุ้มครองข้อมูลของตนเอง” ด้วย ไม่ด่วนยินยอมหรือให้ข้อมูลโดยที่ยังไม่ได้ศึกษารายละเอียดของขอบเขตการใช้ข้อมูลส่วนบุคคล
หากเป็นองค์กร หรือผู้ประกอบการที่ต้องมีการเก็บข้อมูลส่วนบุคคล ต้องรู้ขอบเขตของการเข้าถึงข้อมูลส่วนบุคคล มีระบบควบคุมการเข้าถึงข้อมูลส่วนบุคคล มีระบบยืนยันตัวตนของผู้ขอเข้าถึงข้อมูลส่วนบุคคล รวมไปถึงต้องมีการกำหนดนโยบายสำหรับบุคคลภายในองค์กรที่ต้องเกี่ยวข้องกับการใช้งานข้อมูลส่วนบุคคลที่ได้รับการยินยอมจากเจ้าของข้อมูลแล้ว เนื่องจากมีข้อบังคับต่างๆ ที่หากละเมิดแล้ว จะมีผลให้เกิดโทษอาญา โทษทางปกครอง ซึ่งมีโทษปรับมากถึง 5 ล้านบาท
นายภุชพงค์ โนดไธสง รองปลัดกระทรวงดีอีเอส เคยให้สัมภาษณ์ไว้เมื่อเดือนกุมภาพันธ์ที่ผ่านมาว่า สำนักงานปลัดกระทรวงดิจิทัล ซึ่งทำหน้าที่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล กำลังจัดทำกฎหมายลำดับรองภายใต้ พ.ร.บ. คุ้มครองข้อมูล แนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล และแผนแม่บทการดำเนินงานด้านการส่งเสริม และการคุ้มครองข้อมูลส่วนบุคคล ก่อนที่จะมีการบังคับใช้กฎหมายฉบับนี้เต็มรูปแบบ ซึ่งกำหนดไว้วันที่ 1 มิถุนายน 2564