พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) เอาจริง โทษปรับสูงสุด 5,000,000 บาท! ไม่รวมค่าสินไหมทดแทน มีผลบังคับใช้ 2565 นี้

พรบ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) เอาจริง โทษปรับสูงสุด 5,000,000 บาท! 1

จะเห็นได้ว่าในช่วงไม่กี่ปีที่ผ่านมา ประเด็นด้านการคุ้มครองข้อมูลส่วนบุคคลถือเป็นประเด็นที่มีความเคลื่อนไหวเป็นอย่างมากไม่ว่าจะเป็นในประเทศหรือนอกประเทศเอง โดยจะพบว่ามีองค์กรต่างๆ ทั่วโลกได้ถูกปรับจากความผิดด้านการคุ้มครองข้อมูลส่วนบุคคลไปแล้วมากมาย เช่น Google ที่ถูกหน่วยงานภายใต้ GDPR ตัดสินว่ามีความผิดฐานละเมิดกฎหมายคุ้มครองข้อมูล และธุรกิจระดับโลกอีกมากมาย ไม่ว่าจะเป็น Marriot, Uber, British Airways หรือแม้แต่ Facebook 

โดยกฎหมายดังกล่าวนี้ก็กำลังจะมีผลบังคับใช้จริงในประเทศไทยเช่นกัน ภายใต้กฎหมาย PDPA หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หากองค์กรใดไม่ปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ไม่ว่าจะเป็นภาครัฐ หรือเอกชน จะมีบทลงโทษแบ่งออกเป็น 3 ส่วน คือ โทษทางแพ่ง โทษทางอาญา และโทษทางปกครอง ดังนี้

โทษทางแพ่ง

คือ การกระทำที่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล ทำให้เจ้าของข้อมูลเสียหาย จะต้องมีการชดใช้ “ค่าสินไหมทดแทน” ไม่ว่าจะเป็นการกระทำที่จงใจ หรือประมาทก็ตาม

  • มีอายุความ 3 ปี นับแต่วันที่ผู้เสียหายรู้ถึงความเสียหาย และรู้ตัวผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคลที่ต้องรับผิด หรือ 10 ปีนับแต่วันที่มีการละเมิดข้อมูลส่วนบุคคล
  • บทลงโทษ ผู้กระทำความผิดต้องชดใช้ค่าสินไหมทดแทนให้กับเจ้าของข้อมูลส่วนบุคคลที่ได้รับความเสียหาย และศาลยังสามารถสั่งให้ชดใช้ค่าสินไหมทดแทนเพิ่มเติมได้เป็น 2 เท่าของค่าสินไหมทดแทนจริง

โทษทางอาญา

สามารถแบ่งความผิดทางอาญาได้เป็น 2 ข้อ คือ

  • 1. การใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่เป็นข้อมูลอ่อนไหว (Sensitive Personal Data) โดยปราศจากฐานทางกฎหมาย ทำให้ผู้อื่นเกิดความเสียหาย เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย 
  • 2. การใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่เป็นข้อมูลอ่อนไหว (Sensitive Personal Data) โดยปราศจากฐานทางกฎหมาย เพื่อแสวงหาประโยชน์ที่ไม่ชอบด้วยกฎหมาย

บทลงโทษ โทษจำคุกสูงสุดไม่เกิน 1 ปี หรือปรับไม่เกิน 1,000,000 บาท หรือทั้งจำทั้งปรับ ในกรณีที่ผู้กระทำความผิด คือ นิติบุคคล ในส่วนนี้ก็จะตกมาที่ ผู้บริหาร, กรรมการ หรือบุคคลซึ่งรับผิดชอบในการดำเนินงานของบริษัทนั้น ๆ ที่จะต้องได้รับการลงโทษจำคุกแทน

โทษปกครอง

คือ การฝ่าฝืนข้อกำหนดเกี่ยวกับการเก็บรวบรวมข้อมูล การใช้ หรือเปิดเผยข้อมูลส่วนบุคคล โดยปราศจากรากฐานทางกฎหมาย ไม่แจ้งวัตถุประสงค์การใช้งาน มีการเก็บข้อมูลเกินความจำเป็น ขอความยินยอมที่ได้มาซึ่งการหลอกลวง ทำให้เข้าใจผิด ไม่มีมาตรการรักษาความปลอดภัยที่เหมาะสม ไม่แจ้งเหตุเมื่อมีการละเมิดข้อมูล หรือทำการส่งโอนข้อมูลไปต่างประเทศ                                         

บทลงโทษ ปรับไม่เกิน 5,000,000 บาท ซึ่งเป็นโทษคนละส่วนจากการชดใช้ค่าเสียหายทางแพ่งและโทษปรับทางอาญา  

ข้อยกเว้นทางกฎหมายภายใต้ พรบ.คุ้มครองข้อมูลส่วนบุคคล (PDPA)

ถึงแม้กฎหมาย PDPA จะดูเคร่งครัดและจริงจัง แต่ก็ยังมีข้อยกเว้นในบางกรณีเพื่ออำนวยความสะดวกให้กับเจ้าของข้อมูลส่วนบุคคล ผู้ใกล้ชิด และช่วยอำนวยความสำดวกในการปฏิบัติงานแก่เจ้าหน้าที่ เพื่อไม่ให้เป็นการละเมิดกฎหมาย PDPA โดยมีทั้งหมด 6 เงื่อนไขหลัก ดังนี้

  • การเก็บข้อมูล ใช้ และเปิดเผยข้อมูลส่วนบุคคลภายในครอบครัว เพื่อกิจกรรมในครอบครัวของบุคคลนั้นๆ
  • การดำเนินการของหน่วยงานรัฐด้านการรักษาความมั่นคงและความปลอดภัยต่างๆ เช่น ตำรวจสามารถเก็บข้อมูลผู้กระทำผิดได้โดยไม่ถือว่าเป็นการละเมิดกฏหมาย PDPA 
  • การใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเฉพาะกิจการสื่อมวลชน งานศิลปกรรม หรือวรรณกรรมเพื่อประโยชน์สาธารณะ ภายใต้กฎจริยธรรมของวิชาชีพนั้นๆ
  • สภาผู้แทนราษฎร วุฒิสภา และรัฐสภา ที่เปิดเผยข้อมูลในการพิจารณาตามหน้าที่และอำนาจ แล้วแต่กรณี
  • การพิจารณาคดีหรือพิพากษาของศาล รวมถึงการดำเนินงานของเจ้าหน้าที่เพื่อกระบวนการในการพิจารณาคดี
  • การดำเนินการกับข้อมูลของบริษัทเครดิตกับสมาชิก ตามกฎหมายว่าด้วยการประกอบธุรกิจข้อมูลเครดิต ไม่ถือว่าละเมิดกฎหมาย PDPA

โดยเมื่อเทียบกับกฎหมาย GDPR ของยุโรปแล้ว กฎหมาย PDPA ของไทยเองถือว่าเป็นกฎหมายที่มีโทษร้ายแรงกว่าในบางมุม ดังนั้นทุกองค์กรควรเริ่มให้ความสำคัญกับกฎหมาย PDPA ควรมีการปรับเปลี่ยนนโยบายการจัดเก็บข้อมูลให้มีมาตรฐานมากขึ้น ทั้งในส่วนของเอกสารที่จับต้องได้ และข้อมูลแบบดิจิตอล ซึ่งต้องมีการทำ Format และ Template ของข้อมูลให้ชัดเจน และง่ายต่อการบริหารจัดการ ผ่านเกณฑ์ Security Policy ที่ทางรัฐกำหนด  เพื่อลดความเสีญหาย ทั้งต่อองค์กรเอง และต่อเจ้าของข้อมูล และเพื่อป้องกันการฟ้องร้องที่จะตามมา

ที่มา: บทลงโทษตาม พรบ.คุ้มครองข้อมูลส่วนบุคคล