ถ้าไม่ ปฏิบัติตามกฎหมาย

บทลงโทษตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ของไทย

หลายคนคงจะรู้จักหรืออย่างน้อยก็เคยได้ยินคำว่า PDPA ที่ย่อมาจาก Personal Data Protection Act หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล มาบ้างในช่วง 1 ปีที่ผ่านมา ซึ่งหากศึกษาข้อมูลจากสื่อต่างๆ ก็คงจะเห็นว่า PDPA เป็นเรื่องใกล้ตัวที่สำคัญมากสำหรับทุกคน ไม่ใช่เพียงเฉพาะองค์กรหรือหน่วยงานธุรกิจเท่านั้น และสิ่งที่ทำให้ทุกคนตื่นตัวกันมากที่สุดก็คงจะหนีไม่พ้นเรื่องบทลงโทษที่เรียกได้ว่า โหดทีเดียว เพราะมีโทษอาญาและโทษปรับสูงสุดถึง 5 ล้านบาท!

สารบัญ Show

บุคคลทั่วไป ผู้ที่เป็นเจ้าของข้อมูลส่วนบุคคล (Data Subject)
ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)
ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)
1.โทษทางแพ่ง
2.โทษทางอาญา
3.โทษทางปกครอง
3.1 โทษของผู้ควบคุมข้อมูล
3.2 โทษของผู้ประมวลผลข้อมูล
3.3 โทษทางปกครองอื่น ๆ

แต่โทษทั้งหลายที่ว่ามานี้ มันมีรายละเอียดยังไงบ้าง? โทษอาญากับโทษปรับคือโทษเดียวกันหรือเปล่า? หากทำผิดทุกกรณีจะต้องโดนโทษปรับ 5 ล้านบาทเลยหรือไม่? วันนี้ Ruler จะมาเล่าให้คุณฟัง

ก่อนอื่น ต้องทำความเข้าใจก่อนว่า บทลงโทษของ PDPA นั้น มี 3 ประเภท คือ 1. โทษทางแพ่ง 2. โทษทางอาญา และ 3. โทษทางปกครอง ซึ่งมีความแตกต่างกัน

โทษทางแพ่ง เกิดจากมีการกระทำความผิดทางแพ่ง พูดให้เข้าใจง่ายๆ คือ มีการทำให้ผู้อื่นเกิดความเสียหายทางใดทางหนึ่ง เช่น เสียหายทางร่างกาย ชื่อเสียง หรือสิทธิของบุคคลนั้น ผู้กระทำความผิดจึงจะต้องชดใช้ค่าเสียหาย (ค่าสินไหมทดแทน) เป็นตัวเงิน
โทษทางอาญา เกิดจากมีการกระทำความผิดต่อส่วนรวมซึ่งส่งผลกระทบต่อความสงบเรียบร้อยของสังคมและประชาชน รัฐจึงกำหนดโทษไว้สำหรับลงโทษผู้กระทำความผิดประเภทนี้ โดยโทษทางอาญามี 5 อย่างคือ ประหารชีวิต จำคุก กักขัง ปรับ และริบทรัพย์สิน
โทษทางปกครอง คือการลงโทษผู้กระทำความผิดที่ฝ่าฝืนข้อห้ามตามกฎหมาย หรือไม่ปฏิบัติตามบทบัญญัติที่กฎหมายบัญญัติให้ต้องกระทำ แต่ยังไม่ร้ายแรงถึงระดับความผิดทางอาญาที่ส่งผลกระทบต่อความสงบเรียบร้อยของสังคม

PDPA มีการกำหนดบทลงโทษเอาไว้ทั้ง 3 ประเภทที่กล่าวมาทั้งหมด!! โดยมีรายละเอียดดังนี้

โทษทางแพ่ง มีการกำหนดให้ชดใช้ค่าสินไหมทดแทนให้กับเจ้าของข้อมูลส่วนบุคคลที่ได้รับความเสียหายจากการละเมิด บวกกับ ชดใช้ค่าสินไหมทดแทนเพื่อการลงโทษเพิ่มเติมสูงสุดเป็น 2 เท่าของค่าเสียหายจริง

ค่าสินไหมทดแทน + (ค่าสินไหมทดแทนเพื่อการลงโทษ x 2)

เท่ากับว่า หากศาลตัดสินให้ผู้ควบคุมข้อมูลส่วนบุคคลต้องชดใช้ค่าสินไหมทดแทนให้แก่เจ้าของข้อมูลส่วนบุคคล 1 ล้านบาท ศาลอาจจะกำหนดค่าสินไหมเพื่อการลงโทษเพิ่มอีก 2 ล้านบาท รวมเป็น 3 ล้านบาท!!!

ค่าสินไหมทดแทน + (ค่าสินไหมทดแทนเพื่อการลงโทษ x 2)

1,000,000 + (1,000,000 x 2) = 3,000,000

โทษทางอาญาของ PDPA มี 2 โทษคือ โทษจำคุก และ โทษปรับ ถึงตรงนี้หลายคนคงจะงงว่า หากผู้กระทำผิดเป็นบริษัท (นิติบุคคล) แล้ว บริษัทจะได้รับโทษจำคุกได้ยังไง คำตอบคือ กรรมการหรือบุคคลซึ่งรับผิดชอบในการดำเนินงานของบริษัทนั้นๆ นั่นแหละ ที่อาจจะได้รับโทษจำคุก และโทษอาญาที่สูงที่สุดของ PDPA คือ โทษจำคุก 1 ปี หรือปรับ 1 ล้านบาท หรือทั้งจำทั้งปรับ ซึ่งโทษสูงสุดนี้มาจากการใช้หรือเปิดเผยข้อมูล หรือส่งโอนข้อมูลไปต่างประเทศในส่วนที่เป็นข้อมูลส่วนบุคคล sensitive ที่ไม่เป็นไปตามข้อกำหนดของ PDPA เพื่อแสวงหาผลประโยชน์ที่ไม่ควรได้โดยชอบด้วยกฎหมาย และโทษปรับนี้เป็นคนละส่วนต่างหากจากการชดใช้ค่าเสียหายทางแพ่งที่กล่าวในข้อ 1 ข้างต้น
โทษทางปกครองของ PDPA คือโทษปรับเป็นตัวเงิน ซึ่งมีตั้งแต่ 1 ล้านบาทไปจนถึง 5 ล้านบาท โดยกรณีที่จะโดนโทษปรับสูงสุด 5 ล้านบาทนี้ คือกรณีที่มีการฝ่าฝืนข้อกำหนดที่เกี่ยวกับการใช้หรือเปิดเผยข้อมูล หรือส่งโอนข้อมูลไปต่างประเทศในส่วนที่เป็นข้อมูลส่วนบุคคล sensitive และแน่นอนว่า โทษปรับนี้เป็นคนละส่วนต่างหากจากการชดใช้ค่าเสียหายทางแพ่งและโทษปรับทางอาญา

หมายความว่า หากมีการละเมิดข้อกำหนดของ PDPA อาจจะโดนบทลงโทษทั้ง 3 ประเภทนี้พร้อมกันได้

ดังนั้น องค์กรหรือบริษัทเอกชนทั้งหลายจึงเริ่มตื่นตัวและให้ความสำคัญกับการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือ PDPA กันเพิ่มมากขึ้น โดยอาจจะเริ่มมีการจ้างเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ data protection officer: DPO ซึ่งอาจจะมีทั้งรูปแบบของพนักงานประจำหรือเป็นการใช้บริการ outsourced DPO จากผู้เชี่ยวชาญด้าน PDPA โดยเฉพาะ มาช่วยให้คำแนะนำและตรวจสอบการดำเนินงานขององค์กรหรือบริษัทให้เป็นไปตามข้อกำหนดของ PDPA เพราะหากโดนโทษทั้งหมดที่ว่ามานี้ละก็ มีสะเทือนแน่นอน

เมื่อเร็ว ๆ นี้ มีการประกาศเลื่อนบังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ไปอีกหนึ่งปีจากกำหนดการเดิมคือ 1 มิถุนายน 2564 โดยเป็นการประกาศจาก กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ซึ่งคาดว่าจะมีผลบังคับใช้อย่างเป็นทางการในปี พ.ศ. 2565 เพื่อลดผลกระทบต่อธุรกิจภาครัฐและเอกชน ที่ยังไม่พร้อมในการปฏิบัติตามข้อบังคับเนื่องจากสถานการณ์การระบาดร้ายแรงโควิด-19

ที่ผ่านมา หลายธุรกิจตื่นตัวในเรื่องข้อบังคับตามกฏหมายอย่างเคร่งครัด เนื่องจากมีบทลงโทษทางแพ่ง ทางอาญาและทางปกครองหลายประการสำหรับผู้ที่กระทำความผิดต่อการควบคุมข้อมูลของประชาชน จึงทำให้หลายภาคส่วนยื่นคำขอพิจารณาถึงคณะรัฐมนตรี (ครม.) เพื่อให้ขยายเวลาการบังคับใช้ เพราะมีหลายกลุ่มที่เกี่ยวข้องกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่ไม่สามารถปฏิบัติตามได้ทันทีและอาจผิดตามกฏหมายข้อบังคับและถูกลงโทษได้ โดยหน่วยงานหรือบุคคลที่มีส่วนเกี่ยวข้องกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้แก่

บุคคลทั่วไป ผู้ที่เป็นเจ้าของข้อมูลส่วนบุคคล (Data Subject)

บุคคลที่ข้อมูลนั้นระบุไปถึงเจ้าของข้อมูลไม่ว่าทางตรงหรือทางอ้อม

ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)

บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ “ตัดสินใจ” เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เช่น หน่วยงานของรัฐ หรือเอกชนโดยทั่วไป ที่เก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลของประชาชนหรือลูกค้าที่มาใช้บริการ

ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)

บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล “ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล” ทั้งนี้บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าว ต้องไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล

หากองค์กรที่ฝ่าฝืนไม่ปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ทั้งภาครัฐและเอกชนก็จะมีบทลงโทษแบ่งออกเป็น 3 ส่วน คือ โทษทางแพ่ง โทษทางอาญา และโทษทางปกครอง ดังนี้

1.โทษทางแพ่ง

หากผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคล ทำให้เจ้าของข้อมูลเสียหายจะต้องชดใช้ “ค่าสินไหมทดแทน” ไม่ว่าการดำเนินการที่ฝ่าฝืนกฎหมายนั้นจะเป็นการกระทำโดยจงใจหรือประมาทเลินเล่อ ** โดยมีข้อยกเว้น คือ พิสูจน์ได้ว่าเกิดจากเหตุสุดวิสัย เกิดจากการกระทำหรือละเว้นการกระทำของเจ้าของข้อมูลส่วนบุคคล เป็นการปฏิบัติตามคำสั่งของเจ้าหน้าที่ซึ่งปฏิบัติตามอำนาจของกฎหมาย

ค่าสินไหมทดแทน จ่ายสินไหมไม่เกิน 2 เท่าของสินไหมที่แท้จริง
อายุความ 3 ปี นับแต่วันที่ผู้เสียหายรู้ถึงความเสียหาย และรู้ตัวผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคลที่ต้องรับผิด หรือ 10 ปีนับแต่วันที่มีการละเมิดข้อมูลส่วนบุคคล

2.โทษทางอาญา

โทษทางอาญาแบ่งออกเป็น การใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่เป็นข้อมูลอ่อนไหวโดยปราศจากฐานทางกฎหมาย ทำให้ผู้อื่นเกิดความเสียหาย เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความ อับอาย และการใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่เป็นข้อมูลอ่อนไหวโดยปราศจากฐานทางกฎหมาย เพื่อแสวงหาประโยชน์ที่ไม่ชอบด้วยกฎหมาย ** เว้นแต่จะเป็นการเปิดเผยตามหน้าที่ การเปิดเผยเพื่อประโยชน์แก่การสอบสวนหรือพิจารณาคดี การเปิดเผยแก่หน่วยงานของรัฐ ในประเทศหรือต่างประเทศที่มีอำนาจหน้าที่ตามกฎหมาย การเปิดเผยที่ได้รับความยินยอมเป็นหนังสือเฉพาะครั้งจากเจ้าของข้อมูลส่วนบุคคล หรือการเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับการฟ้องร้องคดีต่างๆ ที่เปิดเผยต่อสาธารณะ

โทษจำคุกสูงสุดไม่เกิน 1 ปี หรือปรับไม่เกิน 1,000,000 บาท หรือทั้งจำทั้งปรับ

3.โทษทางปกครอง

โทษทางปกครอง จะแบ่งออกเป็น 3 ส่วน คือ โทษของผู้ควบคุมข้อมูล, โทษของผู้ประมวลผลข้อมูล และโทษทางปกครองอื่นๆ

3.1 โทษของผู้ควบคุมข้อมูล

การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากฐานทางกฎหมาย
การไม่ขอความยินยอมให้ถูกต้องตามกฎหมายหรือไม่แจ้งผลกระทบจากการถอน ความยินยอม
การเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลผิดไปจากวัตถุประสงค์ที่ได้แจ้งไว้โดยไม่ได้แจ้งวัตถุประสงค์ใหม่หรือมีกฎหมายให้ทำได้
การเก็บรวบรวมข้อมูลเกินไปกว่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล
การเก็บข้อมูลจากแหล่งอื่นที่ไม่ใช่เจ้าของข้อมูลโดยตรงที่ต้องห้ามตามกฎหมาย
การขอความยินยอมที่เป็นการหลอกลวงหรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์
การเก็บรวบรวม ใช้ หรือเปิดเผย การโอนข้อมูลอ่อนไหวโดยไม่ชอบด้วยกฎหมาย
การไม่แจ้งเจ้าของข้อมูลทั้งในกรณีเก็บข้อมูลจากเจ้าของข้อมูลโดยตรงหรือโดยอ้อม
การไม่ให้เจ้าของข้อมูลเข้าถึงข้อมูลตามสิทธิ
การไม่ดำเนินการตามสิทธิคัดค้านของเจ้าของข้อมูล
การไม่จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
การไม่จัดให้มีการสนับสนุนการปฏิบัติหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วน บุคคลอย่างเพียงพอ
การโอนข้อมูลส่วนบุคคลไปยังต่างประเทศโดยไม่ชอบด้วยกฎหมาย
การไม่จัดให้มีมาตรการในการรักษาความมั่นคงปลอดภัยที่เหมาะสม การไม่จัดให้ มีระบบตรวจสอบเพื่อลบทำลายข้อมูลหรือไม่ปฏิบัติสิทธิในการลบเมื่อถอนความ ยินยอมหรือตามสิทธิในการขอลบข้อมูล

3.2 โทษของผู้ประมวลผลข้อมูล

การไม่จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือการไม่สนับสนุนการปฏิบัติหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลอย่างเพียงพอ
การไม่ปฏิบัติตามคำสั่งของผู้ควบคุมข้อมูล การไม่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม การไม่จัดทำบันทึกรายการกิจกรรมการประมวลผล
การโอนข้อมูลไปต่างประเทศโดยไม่ชอบด้วยกฎหมาย
การไม่ตั้งตัวแทนในราชอาณาจักรในกรณีที่กฎหมายกำหนด
การโอนข้อมูลอ่อนไหวไปต่างประเทศโดยไม่ชอบด้วยกฎหมาย

3.3 โทษทางปกครองอื่น ๆ

ตัวแทนของผู้ควบคุมข้อมูลหรือผู้ประมวลผลข้อมูล ไม่จัดให้มีบันทึกรายการประมวลผลข้อมูล
ไม่ปฏิบัติตามคำสั่งคณะกรรมผู้เชี่ยวชาญ หรือไม่มาชี้แจงข้อเท็จจริง หรือไม่ส่งข้อมูลให้คณะกรรมการผู้เชี่ยวชาญ
โทษทางปกครองปรับสูงสุดไม่เกิน 5,000,000 บาท

อย่างที่ทราบกันดีว่าข้อมูลประชาชนทุกธุรกิจภาครัฐและภาคเอกชนสามารถจัดเก็บได้ ไม่ว่าจะเป็น ชื่อ-นามสกุล เลขที่บัตรประชาชน ที่อยู่ เบอร์โทรศัพท์ อีเมล IP Address ข้อมูลสุขภาพ ประวัติอาชญากรรม เป็นต้น แต่การจัดเก็บต้องได้รับการยินยอมจากเจ้าของข้อมูลและถูกจัดเก็บอย่างปลอดภัย ซึ่งหากจะนำมาใช้ต้องได้รับความยินยอมจากเจ้าของข้อมูลเสมอ หากไม่ปฏิบัติตามก็อาจถูกลงโทษตามข้อบังคับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จากที่กล่าวมาข้างต้นนี้ ทั้งนี้ สำหรับประชาชนทั่วไปผู้เป็นเจ้าของข้อมูล ควรระมัดระวังในการให้ข้อมูลรวมถึงระมัดระวังในการใช้งานอินเตอร์เน็ต เว็บไซต์ โซเชียลมีเดียต่าง ๆ เพื่อลดปัญหาด้านข้อมูลรั่วไหล ลดความเสียหายจากการถูกนำไปใช้โดยไม่ได้รับความยินยอมไม่ว่าจะเป็นทั้งทางตรง หรือ ทางอ้อม

ที่มา: https://www.rbpho.moph.go.th/upload-file/doc/files/14012020-094941-9111.pdf และ

https://www.law.chula.ac.th/wp-content/uploads/2019/10/TDPG2.0-C5-20191009.pdf

pdpa Privacy data

ทีมงาน cyfence ผู้ดูแลด้านบริการด้าน Cyber Security พร้อมดูแลระบบให้มีความปลอดภัยห่างไกลภัยคุกคามไซเบอร์