พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล PDPA ไม่ปฏิบัติตาม มีบทลงโทษอะไรบ้าง

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ของไทยที่กำลังจะมีผลบังคับใช้ในวันที่ 1 มิถุนายน 2565 นี้ เป็นกฎหมายที่เกี่ยวข้องกับเรื่องของข้อมูลส่วนบุคคลของเราทุกคน ทั้งทางตรงและทางอ้อม ไม่ว่าจะเป็นชื่อ-นามสกุล ชื่อเล่น เลขบัตรประจำตัวประชาชน อายุ  E-mail และเบอร์โทรศัพท์ เป็นต้น

 

กฎหมายที่จะเน้นไปที่การสร้างมาตรฐานให้กับองค์กรต่างๆ ที่มีการเก็บรวบรวมข้อมูลส่วนบุคคล รวมถึงการนำไปใช้ โดย พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 มีประเด็นสำคัญ ดังนี้

 

1.การปกป้องข้อมูลส่วนบุคคล 

ข้อมูลส่วนบุคคล คือ ข้อมูลที่เกี่ยวข้องกับบุคคล ที่สามารถนำไประบุถึงตัวบุคคลได้ในทางตรงหรือทางอ้อม ไม่ว่าจะเป็น ชื่อ-นามสกุล เลขบัตรประจำตัวประชาชน เบอร์โทรศัพท์ รูปถ่าย ทั้งหมดนี้ถือเป็นข้อมูลส่วนบุคคล

 

2.การเก็บข้อมูลส่วนบุคคล

ต้องเป็นไปตามที่ พรบ.คุ้มครองข้อมูลส่วนบุคคล กำหนดไว้ในกฏหมาย และการเก็บข้อมูลส่วนบุคคล กับการนำข้อมูลส่วนบุคคลไปใช้ จะต้องได้รับคำยินยอมจากเจ้าของข้อมูล การจัดเก็บข้อมูลจะต้องปลอดภัย ได้มาตรฐานไม่ให้ข้อมูลเกิดการรั่วไหล

 

3.ข้อมูลส่วนบุคคลที่บริษัทต่าง ๆ เก็บรวบรวมไว้จะต้องตรวจสอบได้

จากความสำคัญดังกล่าวข้างต้นนี้เอง กฎหมายคุ้มครองข้อมูลส่วนบุคคลจึงกำหนดบทลงโทษสำหรับผู้ที่ไม่ปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) มี 3 ประเภท ดังนี้

 

โทษทางแพ่ง

 

กฎหมายกำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคล/ผู้ประมวลผลข้อมูลส่วนบุคคลที่ทำให้เกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคล ต้องใช้ชดใช้ค่าสินไหมทดแทน ไม่ว่าจะเกิดจากการกระทำโดยจงใจหรือประมาทเลินเล่อหรือไม่ก็ตาม เว้นแต่จะพิสูจน์ได้ว่า

• เหตุสุดวิสัย หรือ เกิดจากการกระทำหรือละเว้นการกระทำโดยเจ้าของข้อมูลส่วนบุคคล
• เป็นการปฏิบัติตามคำสั่งของเจ้าหน้าที่ซึ่งปฏิบัติการตามหน้าที่และอำนาจกฎหมาย

ค่าสินไหมทดแทน/อายุความฟ้องคดี

นอกจากค่าสินไหมทดแทนที่แท้จริงแล้ว ศาลมีอำนาจสั่งให้จ่ายค่าสินไหมทดแทนเพื่อการลงโทษเพิ่มขึ้นได้ แต่ไม่เกิน 2 เท่า ของค่าสินไหมทดแทนที่แท้จริง

 

ยกตัวอย่างเช่น หากศาลตัดสินว่า ให้ผู้ควบคุมข้อมูลส่วนบุคคล ต้องชดใช้ค่าสินไหมทดแทนแก่เจ้าของข้อมูลส่วนบุคคล เป็นจำนวน 1 แสนบาท ศาลอาจมีคำสั่งกำหนดค่าสินไหมเพื่อการลงโทษเพิ่มอีก 2 เท่าของค่าเสียหายจริง เท่ากับว่าจะต้องจ่ายเป็นค่าปรับทั้งหมด เป็นจำนวนเงิน 3 แสนบาท

 

มีอายุความฟ้องคดี 3 ปี นับแต่วันที่ผู้เสียหายรู้ถึงความเสียหายและรู้ตัวผู้กระทำความผิดหรือ 10 ปี นับแต่วันที่มีการละเมิดข้อมูลส่วนบุคคล

 

โทษทางอาญา

 

1.ใช้หรือเปิดเผย ส่งหรือโอนข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) โดยมิชอบ

• โดยประการที่น่าจะทำให้ผู้อื่นเกิดความเสียหาย จำคุกไม่เกิน 6 เดือน ปรับไม่เกิน 5 แสนบาท หรือ ทั้งจำทั้งปรับ
• เพื่อแสวงหาประโยชน์ที่มิควรได้โดยชอบด้วยกฎหมายสำหรับตนเองหรือผู้อื่น จำคุกไม่เกิน 1 ปี ปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ

 

2.ล่วงรู้ข้อมูลส่วนบุคคลเนื่องจากการปฏิบัติหน้าที่ตามกฎหมายนี้ แล้วนำไปเปิดเผยแก่ผู้อื่นโดยมิชอบด้วยกฎหมาย จำคุกไม่เกิน 6 เดือน ปรับไม่เกิน 5 แสนบาท หรือ ทั้งจำทั้งปรับ

 

3.กรรมการ/ผู้จัดการ/บุคคลใดที่รับผิดชอบในการดำเนินงานของนิติบุคคล ต้องร่วมรับผิดด้วย หากมีการสั่งการ/กระทำการ/ละเว้นไม่สั่งการ/ละเว้นไม่กระทำการ จนเป็นเหตุให้นิติบุคคลกระทำความผิด บทลงโทษขึ้นอยู่กับฐานความผิดนั้น ๆ

 

โทษทางปกครอง

การกระทำความผิดที่เป็นการฝ่าฝืนหรือไม่ปฏิบัติตามที่กฎหมายกำหนด เช่น

• ไม่แจ้งวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลให้เจ้าของข้อมูลส่วนบุคคลทราบ
• ขอความยินยามโดยหลอกลวงเจ้าของข้อมูลส่วนบุคคล  

 

โทษปรับทางปกครองสูงสุดไม่เกิน 5 ล้านบาท

 

ทั้งนี้ โทษทางปกครองนี้จะแยกจากการชดใช้ค่าเสียหายที่เกิดจากโทษทางแพ่งและโทษทางอาญา