มาตรา 95
สารบัญในมาตรานี้
ตัวบท
มาตรา 95 ข้อมูลส่วนบุคคลที่ผู้ควบคุมข้อมูลส่วนบุคคลได้เก็บรวบรวมไว้ก่อนวันที่พระราชบัญญัตินี้ใช้บังคับ ให้ผู้ควบคุมข้อมูลส่วนบุคคลสามารถเก็บรวมรวมและใช้ข้อมูลส่วนบุคคลนั้นต่อไปได้ตามวัตถุประสงค์เดิม ทั้งนี้ ผู้ควบคุมข้อมูลส่วนบุคคลต้องกำหนดวิธีการยกเลิกความยินยอมและเผยแพร่ประชาสัมพันธ์ให้เจ้าของข้อมูลส่วนบุคคลที่ไม่ประสงค์ให้ผู้ควบคุมข้อมูลส่วนบุคคลเก็บรวมรวมและใช้ข้อมูลส่วนบุคคลดังกล่าวสามารถแจ้งยกเลิกความยินยอมได้โดยง่าย
การเปิดเผยและการดำเนินการอื่นที่มิใช่การเก็บรวบรวมและการใช้ข้อมูลส่วนบุคคลตามวรรคหนึ่ง ให้เป็นไปตามบทบัญญัติแห่งพระราชบัญญัตินี้
สรุป
มาตรานี้เป็นมาตราที่มีผลกระทบในเชิงปฏิบัติสูงที่สุดในบทเฉพาะกาล — กำหนดให้ผู้ควบคุมที่เก็บรวบรวมข้อมูลก่อน พ.ร.บ. ใช้บังคับ สามารถ: (1) เก็บรวบรวมและใช้ข้อมูลต่อไปตามวัตถุประสงค์เดิมโดยไม่ต้องขอความยินยอมใหม่ — แต่ต้องกำหนดวิธีการยกเลิกความยินยอม + ประชาสัมพันธ์ให้เจ้าของข้อมูลถอนความยินยอมได้โดยง่าย; (2) การเปิดเผยและการดำเนินการอื่น (ที่ไม่ใช่เก็บ/ใช้) ต้องเป็นไปตาม พ.ร.บ. ทุกประการ
องค์ประกอบสำคัญ
- วรรค 1 — ข้อมูลที่เก็บก่อน พ.ร.บ.:
- ขอบเขต: ข้อมูลส่วนบุคคลที่ผู้ควบคุมเก็บรวบรวมไว้ก่อนวันที่ พ.ร.บ. ใช้บังคับ
- สิทธิที่ได้รับ 2 ประการ:
- เก็บรวบรวมต่อไปได้
- ใช้ข้อมูลส่วนบุคคลนั้นได้
- ขอบเขต: ตามวัตถุประสงค์เดิมเท่านั้น — ไม่ใช่เพื่อวัตถุประสงค์ใหม่
- เงื่อนไข 2 ประการ:
- กำหนดวิธีการยกเลิกความยินยอม
- เผยแพร่ประชาสัมพันธ์ให้เจ้าของข้อมูลทราบและสามารถแจ้งยกเลิกได้โดยง่าย
- วรรค 2 — การกระทำอื่น:
- ขอบเขต: การเปิดเผย + การดำเนินการอื่นที่มิใช่การเก็บรวบรวมและการใช้
- กฎที่ใช้: ต้องเป็นไปตามบทบัญญัติแห่ง พ.ร.บ. นี้ — ทุกประการ
มาตราที่อ้างอิง
- มาตรา 19 — การขอความยินยอม — กลไกการยกเลิกความยินยอมในมาตรานี้สอดคล้องกับ มาตรา 19 วรรค 5 (สิทธิถอนความยินยอม)
หมายเหตุ
- ทำไมมาตรานี้สำคัญ — ผลกระทบเชิงปฏิบัติ:
- ผู้ควบคุมข้อมูลที่มีฐานข้อมูลขนาดใหญ่ก่อน พ.ร.บ. ใช้บังคับ (ธนาคาร, ค้าปลีก, โรงพยาบาล, สถานศึกษา) ไม่ต้องขอความยินยอมใหม่ทุกราย
- ถ้าไม่มีบทเฉพาะกาลนี้ → ฐานข้อมูลทั้งหมดอาจกลายเป็นผิดกฎหมายทันที
- มาตรานี้เป็นทางออกที่สมดุล — ระหว่างคุ้มครองสิทธิเจ้าของข้อมูลกับการดำเนินธุรกิจ
- ขอบเขตของ "วัตถุประสงค์เดิม":
- เดิม หมายถึง วัตถุประสงค์ที่แจ้งหรือทราบกันในเวลาที่เก็บข้อมูล
- ตัวอย่าง: ธนาคารเก็บข้อมูลเพื่อบริการบัญชีเงินฝาก → ใช้ต่อไปได้เพื่อบริการนั้น
- ถ้าธนาคารต้องการใช้เพื่อการตลาด (วัตถุประสงค์ใหม่) → ต้องขอความยินยอมใหม่ตาม มาตรา 19
- เงื่อนไข "ยกเลิกความยินยอมโดยง่าย":
- ช่องทางการยกเลิก: เช่น เว็บไซต์, อีเมล, จดหมาย, เคาน์เตอร์
- ไม่มีค่าใช้จ่าย — สอดคล้องกับ มาตรา 19 วรรค 5
- เร็วและสะดวก — ไม่ใช่กระบวนการที่ซับซ้อน
- กลไก "เผยแพร่ประชาสัมพันธ์":
- เผยแพร่กว้างขวาง — ให้เจ้าของข้อมูลทราบว่าตนมีสิทธิ
- ช่องทาง: เว็บไซต์, อีเมล, แอปพลิเคชัน, สื่อมวลชน
- เนื้อหา: วิธีการยกเลิก + เหตุผล
- กลไกป้องกันการหลีกเลี่ยง — วรรค 2:
- ตีความ "ก่อนวันที่ พ.ร.บ. ใช้บังคับ":
- ในทางปฏิบัติ = ก่อน 1 มิ.ย. 2565 (วันที่ พ.ร.บ. ใช้บังคับเต็มรูปแบบ)
- ผู้ควบคุมต้องสามารถพิสูจน์ว่าเก็บข้อมูลก่อนวันนั้น
- ข้อมูลที่เก็บหลังจากวันที่บังคับ → ต้องปฏิบัติตาม พ.ร.บ. เต็มรูปแบบ
- ความท้าทายในเชิงปฏิบัติ:
- ผู้ควบคุมต้องแยกข้อมูลที่เก็บก่อน vs หลัง พ.ร.บ. — ในระบบเดียวกันอาจซับซ้อน
- การตามรอยว่าวัตถุประสงค์เดิมคืออะไร — ในกรณีที่ไม่ได้บันทึก
- การสื่อสารให้เจ้าของข้อมูลเข้าใจสิทธิและช่องทางการยกเลิก
- เปรียบเทียบกับ GDPR Art. 99:
- GDPR: ใช้บังคับกับข้อมูลทั้งหมดทันที — ไม่มีบทเฉพาะกาลแบบนี้
- PDPA ไทย (มาตรานี้): มีบทเฉพาะกาลเพื่อให้ภาคเอกชนปรับตัวได้
- PDPA ไทย ผ่อนผันมากกว่า GDPR ในจุดนี้ — สอดคล้องกับสภาพเศรษฐกิจของไทยที่ภาคเอกชนยังไม่พร้อม
- ผลในเชิงสิทธิของเจ้าของข้อมูล: