พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) หากไม่ปฏิบัติตามจะมีผลอย่างไร

วารุณี เอื้อไตรรัตน์

ทีมงาน cyfence ผู้ดูแลด้านบริการด้าน Cyber Security พร้อมดูแลระบบให้มีความปลอดภัยห่างไกลภัยคุกคามไซเบอร์

เมื่อเร็ว ๆ นี้ มีการประกาศเลื่อนบังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ไปอีกหนึ่งปีจากกำหนดการเดิมคือ 1 มิถุนายน 2564 โดยเป็นการประกาศจาก กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ซึ่งคาดว่าจะมีผลบังคับใช้อย่างเป็นทางการในปี พ.ศ. 2565 เพื่อลดผลกระทบต่อธุรกิจภาครัฐและเอกชน ที่ยังไม่พร้อมในการปฏิบัติตามข้อบังคับเนื่องจากสถานการณ์การระบาดร้ายแรงโควิด-19

ที่ผ่านมา หลายธุรกิจตื่นตัวในเรื่องข้อบังคับตามกฏหมายอย่างเคร่งครัด เนื่องจากมีบทลงโทษทางแพ่ง ทางอาญาและทางปกครองหลายประการสำหรับผู้ที่กระทำความผิดต่อการควบคุมข้อมูลของประชาชน จึงทำให้หลายภาคส่วนยื่นคำขอพิจารณาถึงคณะรัฐมนตรี (ครม.) เพื่อให้ขยายเวลาการบังคับใช้ เพราะมีหลายกลุ่มที่เกี่ยวข้องกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่ไม่สามารถปฏิบัติตามได้ทันทีและอาจผิดตามกฏหมายข้อบังคับและถูกลงโทษได้ โดยหน่วยงานหรือบุคคลที่มีส่วนเกี่ยวข้องกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้แก่

บุคคลทั่วไป ผู้ที่เป็นเจ้าของข้อมูลส่วนบุคคล (Data Subject)

บุคคลที่ข้อมูลนั้นระบุไปถึงเจ้าของข้อมูลไม่ว่าทางตรงหรือทางอ้อม

ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)

บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ “ตัดสินใจ” เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เช่น หน่วยงานของรัฐ หรือเอกชนโดยทั่วไป ที่เก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลของประชาชนหรือลูกค้าที่มาใช้บริการ

ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)

บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล “ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล” ทั้งนี้บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าว ต้องไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล

หากองค์กรที่ฝ่าฝืนไม่ปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ทั้งภาครัฐและเอกชนก็จะมีบทลงโทษแบ่งออกเป็น 3 ส่วน คือ โทษทางแพ่ง โทษทางอาญา และโทษทางปกครอง ดังนี้

บทลงโทษของ พ.ร.บ คุ้มครองข้อมูลส่วนบุคคล (PDPA)

1.โทษทางแพ่ง

หากผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคล ทำให้เจ้าของข้อมูลเสียหายจะต้องชดใช้  “ค่าสินไหมทดแทน” ไม่ว่าการดำเนินการที่ฝ่าฝืนกฎหมายนั้นจะเป็นการกระทำโดยจงใจหรือประมาทเลินเล่อ  ** โดยมีข้อยกเว้น คือ พิสูจน์ได้ว่าเกิดจากเหตุสุดวิสัย เกิดจากการกระทำหรือละเว้นการกระทำของเจ้าของข้อมูลส่วนบุคคล เป็นการปฏิบัติตามคำสั่งของเจ้าหน้าที่ซึ่งปฏิบัติตามอำนาจของกฎหมาย

  • ค่าสินไหมทดแทน  จ่ายสินไหมไม่เกิน 2 เท่าของสินไหมที่แท้จริง
  • อายุความ 3 ปี นับแต่วันที่ผู้เสียหายรู้ถึงความเสียหาย และรู้ตัวผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคลที่ต้องรับผิด หรือ 10 ปีนับแต่วันที่มีการละเมิดข้อมูลส่วนบุคคล

2.โทษทางอาญา

โทษทางอาญาแบ่งออกเป็น การใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่เป็นข้อมูลอ่อนไหวโดยปราศจากฐานทางกฎหมาย ทำให้ผู้อื่นเกิดความเสียหาย เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความ อับอาย และการใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่เป็นข้อมูลอ่อนไหวโดยปราศจากฐานทางกฎหมาย เพื่อแสวงหาประโยชน์ที่ไม่ชอบด้วยกฎหมาย  ** เว้นแต่จะเป็นการเปิดเผยตามหน้าที่ การเปิดเผยเพื่อประโยชน์แก่การสอบสวนหรือพิจารณาคดี การเปิดเผยแก่หน่วยงานของรัฐ ในประเทศหรือต่างประเทศที่มีอำนาจหน้าที่ตามกฎหมาย การเปิดเผยที่ได้รับความยินยอมเป็นหนังสือเฉพาะครั้งจากเจ้าของข้อมูลส่วนบุคคล หรือการเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับการฟ้องร้องคดีต่างๆ ที่เปิดเผยต่อสาธารณะ

  •  โทษจำคุกสูงสุดไม่เกิน 1 ปี หรือปรับไม่เกิน 1,000,000 บาท หรือทั้งจำทั้งปรับ

3.โทษทางปกครอง

โทษทางปกครอง จะแบ่งออกเป็น 3 ส่วน คือ โทษของผู้ควบคุมข้อมูล, โทษของผู้ประมวลผลข้อมูล และโทษทางปกครองอื่นๆ

3.1 โทษของผู้ควบคุมข้อมูล

  • การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากฐานทางกฎหมาย
  • การไม่ขอความยินยอมให้ถูกต้องตามกฎหมายหรือไม่แจ้งผลกระทบจากการถอน ความยินยอม
  • การเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลผิดไปจากวัตถุประสงค์ที่ได้แจ้งไว้โดยไม่ได้แจ้งวัตถุประสงค์ใหม่หรือมีกฎหมายให้ทำได้
  • การเก็บรวบรวมข้อมูลเกินไปกว่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล
  • การเก็บข้อมูลจากแหล่งอื่นที่ไม่ใช่เจ้าของข้อมูลโดยตรงที่ต้องห้ามตามกฎหมาย
  • การขอความยินยอมที่เป็นการหลอกลวงหรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์
  • การเก็บรวบรวม ใช้ หรือเปิดเผย การโอนข้อมูลอ่อนไหวโดยไม่ชอบด้วยกฎหมาย
  • การไม่แจ้งเจ้าของข้อมูลทั้งในกรณีเก็บข้อมูลจากเจ้าของข้อมูลโดยตรงหรือโดยอ้อม
  • การไม่ให้เจ้าของข้อมูลเข้าถึงข้อมูลตามสิทธิ
  • การไม่ดำเนินการตามสิทธิคัดค้านของเจ้าของข้อมูล
  • การไม่จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
  • การไม่จัดให้มีการสนับสนุนการปฏิบัติหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วน บุคคลอย่างเพียงพอ
  • การโอนข้อมูลส่วนบุคคลไปยังต่างประเทศโดยไม่ชอบด้วยกฎหมาย
  • การไม่จัดให้มีมาตรการในการรักษาความมั่นคงปลอดภัยที่เหมาะสม การไม่จัดให้ มีระบบตรวจสอบเพื่อลบทำลายข้อมูลหรือไม่ปฏิบัติสิทธิในการลบเมื่อถอนความ ยินยอมหรือตามสิทธิในการขอลบข้อมูล

3.2 โทษของผู้ประมวลผลข้อมูล

  • การไม่จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือการไม่สนับสนุนการปฏิบัติหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลอย่างเพียงพอ
  • การไม่ปฏิบัติตามคำสั่งของผู้ควบคุมข้อมูล การไม่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม การไม่จัดทำบันทึกรายการกิจกรรมการประมวลผล
  • การโอนข้อมูลไปต่างประเทศโดยไม่ชอบด้วยกฎหมาย
  • การไม่ตั้งตัวแทนในราชอาณาจักรในกรณีที่กฎหมายกำหนด
  • การโอนข้อมูลอ่อนไหวไปต่างประเทศโดยไม่ชอบด้วยกฎหมาย

3.3 โทษทางปกครองอื่น ๆ

  • ตัวแทนของผู้ควบคุมข้อมูลหรือผู้ประมวลผลข้อมูล ไม่จัดให้มีบันทึกรายการประมวลผลข้อมูล
  • ไม่ปฏิบัติตามคำสั่งคณะกรรมผู้เชี่ยวชาญ หรือไม่มาชี้แจงข้อเท็จจริง หรือไม่ส่งข้อมูลให้คณะกรรมการผู้เชี่ยวชาญ
  • โทษทางปกครองปรับสูงสุดไม่เกิน 5,000,000 บาท

อย่างที่ทราบกันดีว่าข้อมูลประชาชนทุกธุรกิจภาครัฐและภาคเอกชนสามารถจัดเก็บได้ ไม่ว่าจะเป็น  ชื่อ-นามสกุล เลขที่บัตรประชาชน ที่อยู่ เบอร์โทรศัพท์ อีเมล IP Address ข้อมูลสุขภาพ ประวัติอาชญากรรม เป็นต้น แต่การจัดเก็บต้องได้รับการยินยอมจากเจ้าของข้อมูลและถูกจัดเก็บอย่างปลอดภัย ซึ่งหากจะนำมาใช้ต้องได้รับความยินยอมจากเจ้าของข้อมูลเสมอ หากไม่ปฏิบัติตามก็อาจถูกลงโทษตามข้อบังคับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จากที่กล่าวมาข้างต้นนี้ ทั้งนี้ สำหรับประชาชนทั่วไปผู้เป็นเจ้าของข้อมูล ควรระมัดระวังในการให้ข้อมูลรวมถึงระมัดระวังในการใช้งานอินเตอร์เน็ต เว็บไซต์ โซเชียลมีเดียต่าง ๆ เพื่อลดปัญหาด้านข้อมูลรั่วไหล ลดความเสียหายจากการถูกนำไปใช้โดยไม่ได้รับความยินยอมไม่ว่าจะเป็นทั้งทางตรง หรือ ทางอ้อม

ที่มา: https://www.rbpho.moph.go.th/upload-file/doc/files/14012020-094941-9111.pdf และ

https://www.law.chula.ac.th/wp-content/uploads/2019/10/TDPG2.0-C5-20191009.pdf

เขียนโดย : วารุณี เอื้อไตรรัตน์

ทีมงาน cyfence ผู้ดูแลด้านบริการด้าน Cyber Security พร้อมดูแลระบบให้มีความปลอดภัยห่างไกลภัยคุกคามไซเบอร์

Tagged on:     


เนื้อหาที่เกี่ยวข้อง

1. HaveIBeenPwned (HIBP) คืออะไร มีวิธีใช้งานอย่างไร

2. ระบบ Access Control ใช้กับเทคโนโลยีอะไรได้บ้าง

3. 5 วิธีป้องกันการโดน Code Injection ใน JavaScript และ Node.js

4. Access Control จุดเริ่มต้นของการปกป้องข้อมูลให้ปลอดภัย

5. 6 ปัญหา Server ที่ผู้ดูแลระบบต้องระวัง