บทลงโทษตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ของไทยหลายคนคงจะรู้จักหรืออย่างน้อยก็เคยได้ยินคำว่า PDPA ที่ย่อมาจาก Personal Data Protection Act หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล มาบ้างในช่วง 1 ปีที่ผ่านมา ซึ่งหากศึกษาข้อมูลจากสื่อต่างๆ ก็คงจะเห็นว่า PDPA เป็นเรื่องใกล้ตัวที่สำคัญมากสำหรับทุกคน ไม่ใช่เพียงเฉพาะองค์กรหรือหน่วยงานธุรกิจเท่านั้น และสิ่งที่ทำให้ทุกคนตื่นตัวกันมากที่สุดก็คงจะหนีไม่พ้นเรื่องบทลงโทษที่เรียกได้ว่า โหดทีเดียว เพราะมีโทษอาญาและโทษปรับสูงสุดถึง 5 ล้านบาท! Show แต่โทษทั้งหลายที่ว่ามานี้ มันมีรายละเอียดยังไงบ้าง? โทษอาญากับโทษปรับคือโทษเดียวกันหรือเปล่า? หากทำผิดทุกกรณีจะต้องโดนโทษปรับ 5 ล้านบาทเลยหรือไม่? วันนี้ Ruler จะมาเล่าให้คุณฟัง ก่อนอื่น ต้องทำความเข้าใจก่อนว่า บทลงโทษของ PDPA นั้น มี 3 ประเภท คือ 1. โทษทางแพ่ง 2. โทษทางอาญา และ 3. โทษทางปกครอง ซึ่งมีความแตกต่างกัน
PDPA มีการกำหนดบทลงโทษเอาไว้ทั้ง 3 ประเภทที่กล่าวมาทั้งหมด!! โดยมีรายละเอียดดังนี้
ค่าสินไหมทดแทน + (ค่าสินไหมทดแทนเพื่อการลงโทษ x 2) เท่ากับว่า หากศาลตัดสินให้ผู้ควบคุมข้อมูลส่วนบุคคลต้องชดใช้ค่าสินไหมทดแทนให้แก่เจ้าของข้อมูลส่วนบุคคล 1 ล้านบาท ศาลอาจจะกำหนดค่าสินไหมเพื่อการลงโทษเพิ่มอีก 2 ล้านบาท รวมเป็น 3 ล้านบาท!!! ค่าสินไหมทดแทน + (ค่าสินไหมทดแทนเพื่อการลงโทษ x 2) 1,000,000 + (1,000,000 x 2) = 3,000,000
หมายความว่า หากมีการละเมิดข้อกำหนดของ PDPA อาจจะโดนบทลงโทษทั้ง 3 ประเภทนี้พร้อมกันได้ ดังนั้น องค์กรหรือบริษัทเอกชนทั้งหลายจึงเริ่มตื่นตัวและให้ความสำคัญกับการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือ PDPA กันเพิ่มมากขึ้น โดยอาจจะเริ่มมีการจ้างเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ data protection officer: DPO ซึ่งอาจจะมีทั้งรูปแบบของพนักงานประจำหรือเป็นการใช้บริการ outsourced DPO จากผู้เชี่ยวชาญด้าน PDPA โดยเฉพาะ มาช่วยให้คำแนะนำและตรวจสอบการดำเนินงานขององค์กรหรือบริษัทให้เป็นไปตามข้อกำหนดของ PDPA เพราะหากโดนโทษทั้งหมดที่ว่ามานี้ละก็ มีสะเทือนแน่นอน เมื่อเร็ว ๆ นี้ มีการประกาศเลื่อนบังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ไปอีกหนึ่งปีจากกำหนดการเดิมคือ 1 มิถุนายน 2564 โดยเป็นการประกาศจาก
กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม
ซึ่งคาดว่าจะมีผลบังคับใช้อย่างเป็นทางการในปี พ.ศ. 2565 เพื่อลดผลกระทบต่อธุรกิจภาครัฐและเอกชน ที่ยังไม่พร้อมในการปฏิบัติตามข้อบังคับเนื่องจากสถานการณ์การระบาดร้ายแรงโควิด-19 ที่ผ่านมา หลายธุรกิจตื่นตัวในเรื่องข้อบังคับตามกฏหมายอย่างเคร่งครัด เนื่องจากมีบทลงโทษทางแพ่ง ทางอาญาและทางปกครองหลายประการสำหรับผู้ที่กระทำความผิดต่อการควบคุมข้อมูลของประชาชน จึงทำให้หลายภาคส่วนยื่นคำขอพิจารณาถึงคณะรัฐมนตรี (ครม.) เพื่อให้ขยายเวลาการบังคับใช้ เพราะมีหลายกลุ่มที่เกี่ยวข้องกับ พ.ร.บ.
คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่ไม่สามารถปฏิบัติตามได้ทันทีและอาจผิดตามกฏหมายข้อบังคับและถูกลงโทษได้ โดยหน่วยงานหรือบุคคลที่มีส่วนเกี่ยวข้องกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้แก่ บุคคลที่ข้อมูลนั้นระบุไปถึงเจ้าของข้อมูลไม่ว่าทางตรงหรือทางอ้อม บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ “ตัดสินใจ” เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เช่น
หน่วยงานของรัฐ หรือเอกชนโดยทั่วไป ที่เก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลของประชาชนหรือลูกค้าที่มาใช้บริการ บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล “ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล” ทั้งนี้บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าว ต้องไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล หากองค์กรที่ฝ่าฝืนไม่ปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
ทั้งภาครัฐและเอกชนก็จะมีบทลงโทษแบ่งออกเป็น 3 ส่วน คือ โทษทางแพ่ง โทษทางอาญา และโทษทางปกครอง ดังนี้ 1.โทษทางแพ่งหากผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคล ทำให้เจ้าของข้อมูลเสียหายจะต้องชดใช้ “ค่าสินไหมทดแทน” ไม่ว่าการดำเนินการที่ฝ่าฝืนกฎหมายนั้นจะเป็นการกระทำโดยจงใจหรือประมาทเลินเล่อ ** โดยมีข้อยกเว้น คือ พิสูจน์ได้ว่าเกิดจากเหตุสุดวิสัย เกิดจากการกระทำหรือละเว้นการกระทำของเจ้าของข้อมูลส่วนบุคคล เป็นการปฏิบัติตามคำสั่งของเจ้าหน้าที่ซึ่งปฏิบัติตามอำนาจของกฎหมาย
2.โทษทางอาญาโทษทางอาญาแบ่งออกเป็น การใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่เป็นข้อมูลอ่อนไหวโดยปราศจากฐานทางกฎหมาย ทำให้ผู้อื่นเกิดความเสียหาย เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความ อับอาย และการใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่เป็นข้อมูลอ่อนไหวโดยปราศจากฐานทางกฎหมาย เพื่อแสวงหาประโยชน์ที่ไม่ชอบด้วยกฎหมาย ** เว้นแต่จะเป็นการเปิดเผยตามหน้าที่ การเปิดเผยเพื่อประโยชน์แก่การสอบสวนหรือพิจารณาคดี การเปิดเผยแก่หน่วยงานของรัฐ ในประเทศหรือต่างประเทศที่มีอำนาจหน้าที่ตามกฎหมาย การเปิดเผยที่ได้รับความยินยอมเป็นหนังสือเฉพาะครั้งจากเจ้าของข้อมูลส่วนบุคคล หรือการเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับการฟ้องร้องคดีต่างๆ ที่เปิดเผยต่อสาธารณะ
3.โทษทางปกครองโทษทางปกครอง จะแบ่งออกเป็น 3 ส่วน คือ โทษของผู้ควบคุมข้อมูล, โทษของผู้ประมวลผลข้อมูล และโทษทางปกครองอื่นๆ 3.1 โทษของผู้ควบคุมข้อมูล
3.2 โทษของผู้ประมวลผลข้อมูล
3.3 โทษทางปกครองอื่น ๆ
อย่างที่ทราบกันดีว่าข้อมูลประชาชนทุกธุรกิจภาครัฐและภาคเอกชนสามารถจัดเก็บได้ ไม่ว่าจะเป็น ชื่อ-นามสกุล เลขที่บัตรประชาชน ที่อยู่ เบอร์โทรศัพท์ อีเมล IP Address ข้อมูลสุขภาพ ประวัติอาชญากรรม เป็นต้น แต่การจัดเก็บต้องได้รับการยินยอมจากเจ้าของข้อมูลและถูกจัดเก็บอย่างปลอดภัย ซึ่งหากจะนำมาใช้ต้องได้รับความยินยอมจากเจ้าของข้อมูลเสมอ หากไม่ปฏิบัติตามก็อาจถูกลงโทษตามข้อบังคับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จากที่กล่าวมาข้างต้นนี้ ทั้งนี้ สำหรับประชาชนทั่วไปผู้เป็นเจ้าของข้อมูล ควรระมัดระวังในการให้ข้อมูลรวมถึงระมัดระวังในการใช้งานอินเตอร์เน็ต เว็บไซต์ โซเชียลมีเดียต่าง ๆ เพื่อลดปัญหาด้านข้อมูลรั่วไหล ลดความเสียหายจากการถูกนำไปใช้โดยไม่ได้รับความยินยอมไม่ว่าจะเป็นทั้งทางตรง หรือ ทางอ้อม ที่มา: https://www.rbpho.moph.go.th/upload-file/doc/files/14012020-094941-9111.pdf และ https://www.law.chula.ac.th/wp-content/uploads/2019/10/TDPG2.0-C5-20191009.pdf pdpa Privacy data ทีมงาน cyfence ผู้ดูแลด้านบริการด้าน Cyber Security พร้อมดูแลระบบให้มีความปลอดภัยห่างไกลภัยคุกคามไซเบอร์ |