พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA เป็นกฎหมายสำคัญของประเทศไทยที่มีจุดมุ่งหมายในการคุ้มครองข้อมูลส่วนบุคคลของประชาชน โดยกำหนดหน้าที่ของผู้ที่เกี่ยวข้องกับการประมวลผลข้อมูล เช่น ผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูล ให้ดำเนินการอย่างมีความรับผิดชอบ โปร่งใส และคำนึงถึงสิทธิของเจ้าของข้อมูลเป็นสำคัญ อย่างไรก็ตาม ในยุคที่ข้อมูลสามารถไหลเวียนข้ามพรมแดนได้อย่างง่ายดายผ่านเทคโนโลยีดิจิทัล การจำกัดให้ PDPA มีผลบังคับเฉพาะเพียงผู้ประกอบการที่มีสถานประกอบการเพียงแค่ภายในประเทศไทยจึงไม่ใช่เจตนารมณ์ของกฎหมายฉบับนี้ เพื่อให้ PDPA สามารถคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคลได้อย่างมีประสิทธิภาพ
หากหน่วยงาน หรือผู้ประกอบการใดเข้าข่ายลักษณะดังต่อไปนี้ หน่วยงานหรือผู้ประกอบการนั้นๆ ล้วนมีหน้าที่ต้องปฏิบัติตาม PDPA
1. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) และ ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ที่ ตั้งอยู่ในประเทศไทย ไม่ว่าจะประมวลผลข้อมูลในประเทศหรือต่างประเทศ
2. ผู้ที่อยู่นอกราชอาณาจักรไทย หากมีการเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลที่อยู่ในประเทศไทย โดยกิจกรรมนั้นมีวัตถุประสงค์เพื่อ
2.1. เสนอสินค้าและบริการให้เจ้าของข้อมูลในไทย ไม่ว่ามีการชำระเงินหรือไม่
2.2. การเฝ้าพฤติกรรมของเจ้าของข้อมูลที่อยู่ในไทย
ในข้อที่ 1. เป็นกรณีที่ผู้ควบคุมข้อมูล หรือผู้ประมวลผลข้อมูลเป็นนิติบุคคลที่จดทะเบียนในประเทศไทย หรือมีสถานประกอบการในประเทศไทย และแม้ว่าจะไปเก็บรวบรวมใช้ข้อมูลของลูกค้าในต่างประเทศไทย ผู้ประกอบการดังกล่าวยังคงมีอยู่ภายใต้การบังคับใช้ของ PDPA
ขณะที่ข้อ 2. เป็นกรณีที่ PDPA ของประเทศไทยได้ขยายอำนาจไปถึงกรณีที่ผู้ควบคุมข้อมูล และผู้ประมวลผลข้อมูลต่างชาติ อนึ่งคือผู้ประกอบการธุรกิจที่ตั้งอยู่ในนอกราชอาณาจักร เช่น E-Commerce platform (Amazon, Shein, Temu), Social media (X, Facebook) หากผู้ประกอบการต่างชาติเหล่านี้เก็บรวบรวม ใช้ข้อมูลส่วนบุคคลของบุคคลที่อาศัยในประเทศไทยด้วยวัตถุประสงค์ที่ PDPA กำหนดไว้ แน่นอนว่ายังคงต้องปฏิบัติตาม PDPA อย่างหลีกเลี่ยงไม่ได้
เมื่อกฎหมาย PDPA ของไทยนั้นบังคับใช้ไปถึงผู้ประกอบการธุรกิจที่ตั้งอยู่ในนอกราชอาณาจักรที่เป็นผู้ควบคุมหรือประมวลผลข้อมูล ทำให้ผู้ประกอบการเหล่านี้ต้องมีหน้าที่ต่อไปนี้ ตามมาตรา 37 และ 40 ของ PDPA
1. ต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการเข้าถึง ใช้ เปลี่ยนแปลง หรือเปิดเผยข้อมูลส่วนบุคคลโดยมิชอบ และต้องทบทวนมาตรการเมื่อจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลง โดยให้เป็นไปตามมาตรฐานขั้นต่ำที่คณะกรรมการกำหนด
2. หากต้องให้ข้อมูลส่วนบุคคลแก่บุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูล ต้องมีมาตรการป้องกันไม่ให้ผู้นั้นใช้หรือเปิดเผยข้อมูลโดยไม่มีอำนาจหรือโดยมิชอบ
3. ต้องมีระบบตรวจสอบเพื่อลบหรือทำลายข้อมูลส่วนบุคคลเมื่อหมดระยะเวลาเก็บรักษา หรือเมื่อข้อมูลไม่เกี่ยวข้อง เกินความจำเป็น เจ้าของข้อมูลร้องขอ หรือถอนความยินยอม เว้นแต่มีข้อยกเว้น
4. ต้องรายงานเหตุละเมิดข้อมูลส่วนบุคคลต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ภายใน 72 ชั่วโมง หรือแจ้งแก่เจ้าของข้อมูลส่วนบุคคลด้วยหากการละเมิดมีความเสี่ยงสูง
5. ต้องแต่งตั้งตัวแทนในประเทศไทย เพื่อเป็นจุดติดต่อกับเจ้าของข้อมูลและสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
1. ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น เว้นแต่คำสั่งนั้นขัดต่อกฎหมายหรือบทบัญญัติในการคุ้มครองข้อมูลส่วนบุคคลตามพระราชบัญญัตินี้
2. จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ รวมทั้งแจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบถึงเหตุการณ์ละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น
3. จัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลไว้ตามหลักเกณฑ์และวิธีการที่คณะกรรมการประกาศกำหนด
4. ต้องแต่งตั้งตัวแทนในประเทศไทย เพื่อเป็นจุดติดต่อกับเจ้าของข้อมูลและสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
การแต่งตั้งตัวแทนของผู้ควบคุมหรือผู้ประมวลผลข้อมูลส่วนบุคคลที่อยู่นอกราชอาณาจักรไทยนั้น ไม่มีหลักเกณฑ์โดยตรงว่าต้องเป็นผู้ประกอบการประเภทใด แต่หากพิจารณาตาม PDPA สามารถสรุปหลักการได้ดังนี้
1. เป็นผู้ควบคุมข้อมูลหรือผู้ประมวลผลข้อมูลที่อยู่นอกราชอาณาจักร กล่าวคือ ไม่มีการจดทะเบียนนิติบุคคลตามกฎหมายไทย หรือมีสาขาที่จัดตั้งในประเทศไทย
2. มีการประมวลผลข้อมูลของเจ้าของข้อมูลที่อาศัยอยู่ในราชอาณาจักรไทย
3. กิจกรรมที่ประมวลผลเข้าข่ายเป็นการเสนอสินค้าและบริการให้เจ้าของข้อมูลในไทย ไม่ว่ามีการชำระเงินหรือไม่ หรือการเฝ้าพฤติกรรมของเจ้าของข้อมูลที่อยู่ในไทย
4. ไม่ใช่ผู้ที่เป็นหน่วยงานของรัฐตามที่คณะกรรมการประกาศกำหนด
5. มีการประมวลผลข้อมูลอ่อนไหวตามมาตรา 26 หรือประมวลผลข้อมูลจำนวนมากตามมาตรา 41 (2)
หากผู้ประกอบการธุรกิจที่ตั้งอยู่ในนอกราชอาณาจักรใดเข้ากรณีที่กล่าวไปข้างต้นนี้ ย่อมมีหน้าที่ที่จะต้องแต่งตั้งตัวแทนเพื่อเป็นตัวแทนในราชอาณาจักรไทย โดยต้องจัดทำหนังสือแต่งตั้งตัวแทนเพื่อมอบอำนาจให้กระทำการแทนผู้ประกอบการโดยไม่มีข้อจำกัดความรับผิดใดๆ ที่เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ผู้ประกอบการได้ดำเนินการ
1. คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเกาหลีใต้ปรับ Temu
เมื่อวันที่ 15 พฤษภาคม 2568 คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของเกาหลีใต้ (Personal Information Protection Commission - PIPC) มีมติสั่งปรับบริษัท Whaleco Inc. ซึ่งเป็นเจ้าของแพลตฟอร์มอีคอมเมิร์ซชื่อดัง Temu เป็นจำนวนเงินประมาณ 1.386 พันล้านวอน (32 ล้านบาท) จากการละเมิดกฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศ (Personal Information Protection Act - PIPA) การลงโทษดังกล่าวมีสาเหตุหลักจากการที่ Temu โอนข้อมูลส่วนบุคคลของผู้ใช้ชาวเกาหลีใต้ไปยังประเทศจีน สิงคโปร์ และญี่ปุ่น โดยไม่ได้แจ้งให้ผู้ใช้ทราบหรือขอความยินยอมล่วงหน้า ทั้งยังไม่ได้ระบุรายละเอียดที่ชัดเจนในนโยบายความเป็นส่วนตัว รวมถึงละเลยการกำกับดูแลผู้ประมวลผลข้อมูลส่วนบุคคลในต่างประเทศ โดยไม่ได้แต่งตั้งตัวแทนในประเทศตามที่กฎหมายกำหนด ทั้งที่มีฐานผู้ใช้ชาวเกาหลีใต้จำนวนมาก และยังตั้งขั้นตอนการลบบัญชีที่ซับซ้อนถึง 7 ขั้นตอน ซึ่งเป็นอุปสรรคต่อการใช้สิทธิของเจ้าของข้อมูล
2. สำนักงานคุ้มครองข้อมูลส่วนบุคคลของเนเธอร์แลนด์ปรับ Locatefamily.com
Locatefamily.com เป็นบริษัทที่มีฐานอยู่ในประเทศแคนาดา โดยเว็บไซต์ดังกล่าวให้บริการค้นหาข้อมูลการติดต่อของบุคคล โดยเผยแพร่ชื่อ ที่อยู่ และหมายเลขโทรศัพท์ของผู้คนจำนวนมาก รวมถึงประชาชนในสหภาพยุโรป โดยที่เจ้าของข้อมูลไม่เคยให้ความยินยอมแต่อย่างใด และบริษัทไม่ได้ดำเนินการแต่งตั้งตัวแทนในเขตเศรษฐกิจยุโรป (EEA) เพื่อรับผิดชอบด้านข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด ส่งผลให้สำนักงานคุ้มครองข้อมูลส่วนบุคคลของเนเธอร์แลนด์ (Dutch DPA) ลงโทษปรับเป็นเงินจำนวน 525,000 ยูโร (20 ล้าทบาท) และยังกำหนดค่าปรับเพิ่มเติมอีกทุก ๆ สองสัปดาห์ หากยังคงเพิกเฉยต่อการแต่งตั้งตัวแทน
จะเห็นได้ว่า ทั้งสองกรณีตัวอย่างล้วนมีประเด็นที่เกี่ยวข้องกับผู้ประกอบการที่แม้จะไม่ได้มีสถานประกอบการในประเทศที่กฎหมายตราขึ้น แต่ยังคงอยู่ภายใต้อำนาจบังคับใช้ของกฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศนั้นๆ ทำให้ผู้ประกอบการมีหน้าที่ต้องปฏิบัติให้สอดคล้องตามมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่กำหนดไว้ รวมถึงหน้าที่ในการแต่งตั้งตัวแทนของผู้ประกอบการภายในประเทศ ซึ่งไม่ต่างจาก PDPA ของประเทศไทยที่มิได้ใช้บังคับกับผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูลภายในประเทศไทยเท่านั้น แต่มีการยืดแขนออกไปบังคับไปถึงผู้อยู่นอกราชอาณาจักรด้วย
ทั้งนี้ เพื่อให้การประกอบธุรกิจของท่านดำเนินไปได้อย่างมีประสิทธิภาพ การปฏิบัติตาม PDPA จึงเป็นหนึ่งในปัจจัยที่ช่วยส่งเสริมภาพลักษณ์ที่ดีและยกระดับธุรกิจในมุมมองของลูกค้าและผู้ใช้บริการ หากมีข้อสงสัยเกี่ยวกับการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล Athentic Consulting ยินดีให้บริการเพื่อสนับสนุนการดำเนินการของธุรกิจของท่านอย่างไร้รอยต่อ มีคุณภาพ และสอดคล้องกับสภาพแวดล้อมในปัจจุบันที่ทุกอย่างตัดสินด้วยข้อมูล (data-driven)
แหล่งข้อมูลอ้างอิง
• South Korea fines China’s Temu for user data violations
https://www.channelnewsasia.com/east-asia/south-korea-fine-china-e-commerce-temu-user-data-violation-5131996
• Dutch DPA imposes fine of €525,000 on Locatefamily.com
https://www.edpb.europa.eu/news/national-news/2021/dutch-dpa-imposes-fine-eu525000locatefamilycom_en#:~:text=The%20Dutch%20Data%20Protection%20Authority,numbers%2C%20often%20without%20their%20knowledge.
• พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
