สวัสดีครับ จากการพัฒนาระบบอินเตอร์เน็ต และ Application ต่าง ๆ ซึ่งนอกจากจะทำให้เราเกิดความสะดวกสบายในการใช้ชีวิตแล้ว ในอนาคตอันใกล้ การระบุตนตัวของเราบนโลกออนไลน์ ก็จะยิ่งมีความสำคัญมากขึ้น ในทางกลับกัน เราเองก็จำเป็นที่จะต้องใส่ข้อมูลต่าง ๆ ของเราไปเก็บไว้ในโลกออนไลน์ไปเรื่อย ๆ แล้วเราจะเชื่อมั่นได้อย่างไรว่าข้อมูลต่าง ๆ ที่เป็นของเรามันไม่เกิดการรั่วไหล บทความนี้มีคำตอบครับ

PDPA คืออะไร?

จากที่กล่าวมาจะเห็นได้ว่าข้อมูลส่วนบุคคลนั้นเป็นข้อมูลที่สำคัญมาก ไม่ใช่แค่ข้อมูลทางการเงิน แต่ยังรวมไปถึงเบอร์โทรศัพท์ อีเมล์ ที่อยู่ ข้อมูลทางสุขภาพ เมื่อเป็นเช่นนี้ รัฐบาลจึงออก พรบ. เพื่อคุ้มครองข้อมูลเหล่านี้ ผ่านระบบหนึ่งที่เรียกกันย่อ ๆ ว่า PDPA

PDPA นั้น เป็นตัว พ.ร.บ. กฎหมายคุ้มครองข้อมูลส่วนบุคคล เป็นข้อบังคับสำหรับองค์กรที่จัดเก็บ ประมวลผล และเผยแพร่ข้อมูลส่วนบุคคล โดยจุดมุ่งหมายที่สำคัญในตัวกฎหมาย PDPA นี้ จะเป็นการจัดการแนวทางการเก็บข้อมูลส่วนบุคคล พร้อมทั้งยกระดับความปลอดภัยในการเก็บข้อมูล หากไม่ปฏิบัติตามจนทำให้ข้อมูลส่วนบุคคลรั่วไหลไปสู่ภายนอกองค์กรนั้นถือได้ว่ามีความผิดตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลทันที

PDPA กับ พรบ. คุ้มครองข้อมูลส่วนบุคคล

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือกฎหมาย PDPA (Personal Data Protection Act) เป็นกฎหมายที่คุ้มครองข้อมูลส่วนบุคคลที่สามารถระบุถึงตัวเจ้าของข้อมูลนั้นได้ เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ บัญชีธนาคาร อีเมล ไอดีไลน์ บัญชีผู้ใช้ของเว็บไซต์ ลายนิ้วมือ ประวัติสุขภาพ เป็นต้น ซึ่งทุกองค์กรควรมีการเตรียมความพร้อมในการจัดวางโครงสร้างหรือระบบรองรับการใช้และจัดเก็บข้อมูลส่วนบุคคล รวมถึงการจัดทำเอกสารทางกฎหมายให้เป็นไปตามมาตรฐาน

 บทลงโทษตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA มีอะไรบ้าง

บทลงโทษ PDPA ได้กำหนดโทษไว้ 3 ส่วนด้วยกัน คือ

1. โทษทางแพ่ง องค์กรที่ทำให้เจ้าของข้อมูลส่วนบุคคลเสียหายจะต้องใช้ค่าสินไหมทดแทน ไม่ว่าจะจงใจให้เกิดเหตุการณ์นั้นขึ้นหรือไม่ตั้งใจก็ตาม ยกเว้นว่าจะพิสูจน์ได้ว่าเกิดจากเหตุสุดวิสัยหรือเกิดจากการกระทำหรือละเว้นการกระทำของเจ้าของข้อมูลส่วนบุคคลนั้นเอง หรือเป็นการปฏิบัติตามคำสั่งของเจ้าหน้าที่ซึ่งปฏิบัติการตามหน้าที่และอำนาจตามกฎหมาย

สำหรับค่าสินไหมทดแทนจะรวมถึงค่าใช้จ่ายที่เจ้าของข้อมูลได้จ่ายไปตามความจำเป็น เพื่อป้องกันความเสียหายที่กำลังจะเกิดขึ้น หรือระงับความเสียหายที่เกิดขึ้นด้วย และศาลอาจกำหนดให้ผู้กระทำผิดจ่ายเพิ่มเติมจากจำนวนค่าสินไหมทดแทนที่แท้จริงได้ แต่ต้องไม่เกินกว่า 2 เท่าของค่าสินไหมทดแทนที่แท้จริง บทลงโทษ PDPA ในทางแพ่ง มีอายุความ 3 ปี นับแต่วันที่ผู้เสียหายรู้ถึงความเสียหาย และรู้ตัวผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคลที่ต้องรับผิด หรือ 10 ปีนับแต่วันที่มีการละเมิดข้อมูลส่วนบุคคล

2. โทษทางอาญา บทลงโทษ PDPA ทางอาญานั้นสามารถยอมความได้ โดยความผิดเกิดจากการที่องค์กรในฐานะผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือเปิดเผยข้อมูลส่วนบุคคลอ่อนไหวนอกเหนือไปจากวัตถุประสงค์ที่ได้แจ้งเจ้าของข้อมูลส่วนบุคคลไว้ หรือโอนข้อมูลอ่อนไหวไปยังต่างประเทศโดยไม่ชอบด้วยกฎหมาย ซึ่งผลของความเสียหายต่อเจ้าของข้อมูลส่วนบุคคลก็จะแตกต่างกัน โดยมีรายละเอียดดังนี้

• การกระทำความผิดนั้นอาจทำให้เจ้าของข้อมูลส่วนบุคคลเสียหาย เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย ต้องระวางโทษจำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 500,000 บาท หรือทั้งจำทั้งปรับ
• ความกระทำความผิดนั้นเกิดจากการที่ธุรกิจแสวงหาประโยชน์สำหรับตนเองหรือผู้อื่นโดยทุจริต ต้องระวางโทษจำคุกไม่เกิน 1 ปี หรือปรับไม่เกิน 1,000,000 บาท หรือทั้งจำทั้งปรับ
• ความผิดฐานเปิดเผยข้อมูลส่วนบุคคล ผู้ใดล่วงรู้ข้อมูลส่วนบุคคลของผู้อื่นเนื่องจากการปฏิบัติหน้าที่ตาม PDPA แล้วนำไปเปิดเผยแก่ผู้อื่น ต้องระวางโทษจำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 500,000 บาท หรือทั้งจำทั้งปรับ
• ในกรณีที่ผู้กระทำผิดเป็นนิติบุคคล บุคคลที่กระทำความผิดต้องรับผิดชอบในการดำเนินงานของนิติบุคคลนั้นๆ และรับโทษตามความผิดนั้นๆ อีกด้วย

อย่างไรก็ตาม ผู้ควบคุมข้อมูลส่วนบุคคลได้รับการยกเว้นความผิดในกรณีที่เป็นการเปิดเผยข้อมูลส่วนบุคคลตามหน้าที่ หรือเพื่อประโยชน์แก่การสอบสวน หรือการพิจารณาคดี หรือเปิดเผยแก่หน่วยงานของรัฐในประเทศหรือต่างประเทศที่มีอำนาจหน้าที่ หรือเปิดเผยที่ได้รับความยินยอมเป็นหนังสือเฉพาะครั้งจากเจ้าของข้อมูลส่วนบุคคล หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับการฟ้องร้องคดีต่างๆ ที่เปิดเผยต่อสาธารณะ

3. โทษทางปกครอง บทลงโทษ PDPA ในทางปกครอง มีอัตราโทษปรับทางปกครองสูงสุดไม่เกิน 5,000,000 บาท หรือในกรณีที่คณะกรรมการผู้เชี่ยวชาญเห็นสมควรอาจจะสั่งให้แก้ไขหรือตักเตือนก่อนก็ได้ โดย PDPA กำหนดโทษของผู้ควบคุมข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคล ตัวแทน และโทษทางปกครองอื่นๆ ดังนี้

3.1 โทษของผู้ควบคุมข้อมูลส่วนบุคคล

• ไม่ขอความยินยอมหรือไม่แจ้งผลกระทบจากการถอนความยินยอม
• ไม่แจ้งการเก็บข้อมูลส่วนบุคคล
• ไม่ให้เจ้าของข้อมูลส่วนบุคคลเข้าถึงข้อมูลตามสิทธิ
• ไม่ทำบันทึกรายการตามที่กฎหมายกำหนด
• ไม่มีเจ้าหน้าที่หรือไม่จัดให้มีเจ้าหน้าที่ดูแลข้อมูลส่วนบุคคลอย่างเพียงพอ
• เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากฐานทางกฎหมาย
• ใช้ข้อมูลส่วนบุคคลผิดไปจากวัตถุประสงค์ที่แจ้งเอาไว้
• เก็บข้อมูลส่วนบุคคลเกินกว่าที่จำเป็น
• เก็บข้อมูลส่วนบุคคลจากแหล่งอื่นที่ต้องห้ามตามกฎหมาย
• ทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
• ไม่ปฏิบัติตามหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล

3.2 โทษของผู้ประมวลผลข้อมูลส่วนบุคคล

• การไม่จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือไม่มีการสนับสนุนการปฏิบัติหน้าที่อย่างเพียงพอ
• การไม่ปฏิบัติตามคำสั่งของผู้ควบคุมข้อมูลส่วนบุคคล การไม่จัดให้มีมาตรการรักษาความ มั่นคงปลอดภัยที่เหมาะสม
• การไม่จัดทำบันทึกรายการกิจกรรมการประมวลผล
• การโอนข้อมูลส่วนบุคคลทั่วไปและข้อมูลส่วนบุคคลที่อ่อนไหวไปต่างประเทศโดยไม่ชอบด้วยกฎหมาย

3.3 บทลงโทษ PDPA ทางปกครองอื่น ๆ

• ตัวแทนของผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคล ไม่จัดให้มีบันทึกรายการประมวลผลข้อมูลส่วนบุคคล
• ไม่ปฏิบัติตามคำสั่งคณะกรรมการผู้เชี่ยวชาญ หรือไม่มาชี้แจงข้อเท็จจริง หรือไม่ส่งข้อมูลให้คณะกรรมการผู้เชี่ยวชาญ

และหากมีการละเมิดข้อกำหนดของ PDPA อาจจะโดนบทลงโทษทั้ง 3 ประเภทนี้พร้อมกันได้ ดังนั้น องค์กรทุกองค์กรควรให้ความสำคัญกับการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือ PDPA เพื่อที่จะได้ปฏิบัติตามได้ถูกต้องและไม่กระทำการใด ๆ อันเป็นการละเมิดกฎหมาย เพราะอย่างที่เน้นย้ำไปว่ากฎหมายนี้มีโทษสูงมาก ไม่ว่าจะเป็นทางแพ่งและทางอาญาหรือทางปกครอง

โดยสรุป PDPA กำลังก้าวเข้ามามีบทบาทในโลกออนไลน์ของเราอย่างแน่นอน สำหรับผู้ใช้บริการ Application และเว็บไซต์ต่าง ๆ คงไม่ค่อยมีปัญหา แต่ผู้ให้บริการคงจะต้องให้ความสำคัญเรื่องนี้กันอย่างจริงจังนะครับ

Facebook fanpage : GeeHRM Line@ : 640vtamj Tiktok : GeeHRM Website: GeeHRM