พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) เอาจริง
บทลงโทษสูงสุด 5,000,000 บาท! ไม่รวมค่าสินไหมทดแทน
ในช่วงไม่กี่ปีที่ผ่านมา ประเด็นด้านการคุ้มครองข้อมูลส่วนบุคคล ได้ถือว่าเป็นประเด็นที่มีความเคลื่อนไหวอย่างมากไม่ว่าจะเป็นในประเทศไทยเองหรือนอกประเทศ โดยจะพบว่ามีองค์กรต่างๆทั่วโลกได้ถูกปรับจากความผิดด้านการคุ้มครองข้อมูลส่วนบุคคลไปแล้วมากมาย เช่น Google ที่ถูกหน่วยงานภายใต้ GDPR ตัดสินว่ามีความผิดฐานละเมิดกฎหมายคุ้มครองข้อมูล และธุรกิจระดับโลกอีกมากมาย ไม่ว่าจะเป็น Marriot, Uber, British Airways หรือแม้แต่ Facebook
โดยกฎหมายดังกล่าวนี้ก็กำลังจะมีผลบังคับใช้จริงในประเทศไทยเช่นกัน ภายใต้กฎหมาย PDPA หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หากองค์กรใดไม่ปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ไม่ว่าจะเป็นภาครัฐ หรือเอกชน จะมีบทลงโทษแบ่งออกเป็น 3 ส่วน คือ โทษทางแพ่ง โทษทางอาญา และโทษทางปกครอง ดังนี้
โทษทางแพ่ง
คือ การกระทำที่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล ทำให้เจ้าของข้อมูลเสียหาย จะต้องมีการชดใช้ “ค่าสินไหมทดแทน” ไม่ว่าจะเป็นการกระทำที่จงใจ หรือประมาทก็ตาม
- มีอายุความ 3 ปี นับแต่วันที่ผู้เสียหายรู้ถึงความเสียหาย และรู้ตัวผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคลที่ต้องรับผิด หรือ 10 ปีนับแต่วันที่มีการละเมิดข้อมูลส่วนบุคคล
- บทลงโทษ ผู้กระทำความผิดต้องชดใช้ค่าสินไหมทดแทนให้กับเจ้าของข้อมูลส่วนบุคคลที่ได้รับความเสียหาย และศาลยังสามารถสั่งให้ชดใช้ค่าสินไหมทดแทนเพิ่มเติมได้เป็น 2 เท่าของค่าสินไหมทดแทนจริง
โทษทางอาญา
สามารถแบ่งความผิดทางอาญาได้เป็น 2 ข้อ คือ
- 1. การใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่เป็นข้อมูลอ่อนไหว (Sensitive Personal Data) โดยปราศจากฐานทางกฎหมาย ทำให้ผู้อื่นเกิดความเสียหาย เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย
- 2. การใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่เป็นข้อมูลอ่อนไหว (Sensitive Personal Data) โดยปราศจากฐานทางกฎหมาย เพื่อแสวงหาประโยชน์ที่ไม่ชอบด้วยกฎหมาย
บทลงโทษ โทษจำคุกสูงสุดไม่เกิน 1 ปี หรือปรับไม่เกิน 1,000,000 บาท หรือทั้งจำทั้งปรับ ในกรณีที่ผู้กระทำความผิด คือ นิติบุคคล ในส่วนนี้ก็จะตกมาที่ ผู้บริหาร, กรรมการ หรือบุคคลซึ่งรับผิดชอบในการดำเนินงานของบริษัทนั้น ๆ ที่จะต้องได้รับการลงโทษจำคุกแทน
โทษปกครอง
คือ การฝ่าฝืนข้อกำหนดเกี่ยวกับการเก็บรวบรวมข้อมูล การใช้ หรือเปิดเผยข้อมูลส่วนบุคคล โดยปราศจากรากฐานทางกฎหมาย ไม่แจ้งวัตถุประสงค์การใช้งาน มีการเก็บข้อมูลเกินความจำเป็น ขอความยินยอมที่ได้มาซึ่งการหลอกลวง ทำให้เข้าใจผิด ไม่มีมาตรการรักษาความปลอดภัยที่เหมาะสม ไม่แจ้งเหตุเมื่อมีการละเมิดข้อมูล หรือทำการส่งโอนข้อมูลไปต่างประเทศ
บทลงโทษ ปรับไม่เกิน 5,000,000 บาท ซึ่งเป็นโทษคนละส่วนจากการชดใช้ค่าเสียหายทางแพ่งและโทษปรับทางอาญา
ข้อยกเว้นทางกฎหมายภายใต้ พรบ.คุ้มครองข้อมูลส่วนบุคคล (PDPA)
ถึงแม้กฎหมาย PDPA จะดูเคร่งครัดและจริงจัง แต่ก็ยังคงมีข้อยกเว้นในบางกรณี เพื่ออำนวยความสะดวกให้กับเจ้าของข้อมูลส่วนบุคคล ผู้ใกล้ชิด และช่วยอำนวยความสะดวกในการปฏิบัติงานแก่เจ้าหน้าที่ เพื่อไม่ให้เป็นการละเมิดกฎหมาย PDPA โดยมีทั้งหมด 6 เงื่อนไขหลัก ดังนี้
- การเก็บข้อมูล ใช้ และเปิดเผยข้อมูลส่วนบุคคลภายในครอบครัว เพื่อกิจกรรมในครอบครัวของบุคคลนั้นๆ
- การดำเนินการของหน่วยงานรัฐด้านการรักษาความมั่นคงและความปลอดภัยต่างๆ เช่น ตำรวจสามารถเก็บข้อมูลผู้กระทำผิดได้โดยไม่ถือว่าเป็นการละเมิดกฏหมาย PDPA
- การใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เฉพาะกิจการสื่อมวลชน งานศิลปกรรม หรือวรรณกรรมเพื่อประโยชน์สาธารณะ ภายใต้กฎจริยธรรมของวิชาชีพนั้นๆ
- สภาผู้แทนราษฎร วุฒิสภา และรัฐสภา ที่เปิดเผยข้อมูลในการพิจารณาตามหน้าที่และอำนาจ แล้วแต่กรณี
- การพิจารณาคดีหรือพิพากษาของศาล รวมถึงการดำเนินงานของเจ้าหน้าที่ เพื่อกระบวนการในการพิจารณาคดี
- การดำเนินการกับข้อมูลของบริษัทเครดิตกับสมาชิก ตามกฎหมายว่าด้วยการประกอบธุรกิจข้อมูลเครดิต ไม่ถือว่าละเมิดกฎหมาย PDPA
โดยเมื่อเทียบกับกฎหมาย GDPR ของยุโรปแล้ว กฎหมาย PDPA ของไทยเองถือว่าเป็นกฎหมายที่มีโทษร้ายแรงกว่าในบางมุม ดังนั้นทุกองค์กรควรเริ่มหันมาให้ความสำคัญกับกฎหมาย PDPA ควรมีการปรับเปลี่ยนนโยบายการจัดเก็บข้อมูลให้มีมาตรฐานมากขึ้น ทั้งในส่วนของเอกสารที่จับต้องได้ และข้อมูลแบบดิจิตอล ซึ่งต้องมีการทำ Format และ Template ของข้อมูลให้ชัดเจน และง่ายต่อการบริหารจัดการ ผ่านเกณฑ์ Security Policy ที่ทางรัฐกำหนดเพื่อลดความเสีญหาย ทั้งต่อองค์กรเองและต่อเจ้าของข้อมูล และเพื่อป้องกันการฟ้องร้องที่จะตามมา
แหล่งที่มา: บทลงโทษตาม พรบ.คุ้มครองข้อมูลส่วนบุคคล
You May Also Like