PDPA พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ฝ่าฝืนไม่ปฏิบัติตามหลัง 1 มิ.ย. มีโทษ
PDPA พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 คือ อะไร ฝ่าฝืนไม่ปฏิบัติตามหลัง 1 มิ.ย.นี้ จะมีโทษอะไรบ้าง ตรวจสอบรายละเอียดได้ที่นี่
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ PDPA ของไทยกำลังจะมีผลบังคับใช้ในวันที่ 1 มิถุนายน 2565 นี้แล้ว นับเป็นเรื่องใหม่ของสังคมไทย เป็นกฎหมายสำคัญที่ส่งผล กระทบกับเราทุกคนในการเปิดเผยข้อมูลส่วนบุคคล โดยกฎหมายจะเน้นไปที่การสร้างมาตรฐานให้กับองค์กรต่างๆ ที่มีการเก็บรวบรวมข้อมูลส่วนบุคคลต่าง ๆ การปกป้องข้อมูลส่วนบุคคลไม่ให้นำไปใช้อย่างผิดกฎหมาย เกิดการรั่วไหลของข้อมูลไม่ว่าจะเป็นข้อมูลส่วนบุคคล อาทิ ชื่อ นามสกุล ชื่อเล่น เลขประจำตัวประชาชน เลขหนังสือเดินทาง เลขบัตรประกันสังคม เลขใบอนุญาตขับขี่ รวมถึงข้อมูลอุปกรณ์หรือเครื่องมือต่าง ๆ เช่น IP address และ Cookie ID เป็นต้น เป็นต้น
ครอบคลุมข้อมูลทางชีวมิติ เช่น รูปภาพใบหน้า ลายนิ้วมือ ฟิล์มเอ็กซเรย์ ข้อมูลอัตลักษณ์เสียง และพันธุกรรม นอกจากนี้ยังครอบคลุมถึงข้อมูลต่าง ๆที่สามารถเชื่อมโยงไปถึงข้อมูลข้างต้นได้ อย่างเช่น วันเกิด และสถานที่เกิด เชื้อชาติ น้ำหนัก ส่วนสูง ข้อมูลการแพทย์ การศึกษา การเงิน การจ้างงาน
รวมถึงข้อมูลส่วนบุคคลที่มีความอ่อนไหว หรือ ละเอียดอ่อน อย่างเช่น ข้อมูลพฤติกรรมทางเพศ เชื้อชาติ ศาสนา และประวัติอาชญากรรม ด้วย ซึ่งหากเกิดการรั่วไหลจะเกิดผลเสียที่ร้ายแรงกับผู้เป็นเจ้าของข้อมูลส่วนบุคคล ได้มากกว่าข้อมูลส่วนบุคคลอื่น ๆ จากขอบเขตที่ครอบคลุมอย่างกว้างขวางนี้เอง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล จึงกำหนดบทลงโทษสำหรับผู้ที่ไม่ปฏิบัติตามกฎหมายฉบับนี้เอาไว้อย่างเข้มข้น ดังนี้
ความผิดรับผิดทางแพ่ง
กฎหมายกำหนดให้ "ผู้ควบคุมข้อมูลส่วนบุคคล/ผู้ประมวลผลข้อมูลส่วนบุคคล" ที่ทำให้เกิดความเสียหายต่อ "เจ้าของข้อมูลส่วนบุคคล"
ต้องใช้ชดใช้ค่าสินไหมทดแทน ไม่ว่าจะเกิดจากการกระทำโดยจงใจหรือประมาทเลินเล่อหรือไม่ก็ตาม เว้นแต่จะพิสูจน์ได้ว่า
เป็นเหตุสุดวิสัย หรือ เกิดจากการกระทำหรือละเว้นการกระทำโดย "เจ้าของข้อมูลส่วนบุคคล" หรือ กรณีเป็นการปฏิบัติตามคำสั่งของ เจ้าหน้าที่ ซึ่งปฏิบัติการตามหน้าที่และอำนาจของกฎหมาย
ค่าสินไหมทดแทน
นอกจากค่าสินไหมทดแทนที่แท้จริงแล้ว ศาลมีอำนาจสั่งให้จ่ายค่าสินไหมทดแทนเพื่อการลงโทษเพิ่มขึ้นได้ แต่ไม่เกิน 2 เท่า ของค่าสินไหมทดแทนที่แท้จริง
ยกตัวอย่างเช่น หากศาลตัดสินว่า ให้ ผู้ควบคุมข้อมูลส่วนบุคคล ต้องชดใช้ค่าสินไหมทดแทนแก่ "เจ้าของข้อมูลส่วนบุคคล" จำนวน 1 แสนบาท
ศาลอาจมีคำสั่งกำหนดค่าสินไหมเพื่อการลงโทษเพิ่มอีก 2 เท่าของค่าเสียหายจริง กล่าวคือ จะต้องจ่ายเป็นค่าปรับทั้งหมด จำนวน 3 แสนบาท
โทษทางปกครอง
- ไม่ขอความยินยอมให้ถูกต้อง ไม่แจ้งรายละเอียดให้เจ้าของข้อมูลทราบ ไม่ให้เจ้าของข้อมูลเข้าถึงข้อมูลตามสิทธิ ไม่จัดทำบันทึกรายการ ไม่จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ไม่จัดให้มีการสนับสนุนปฏิบัติหน้าที่ของ "เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล" หรือ data protection officer: DPO มีโทษปรับไม่เกิน 1 ล้านบาท
- เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากฐานทางกฎหมาย ไม่ได้แจ้งวัตถุประสงค์การใช้งานใหม่ เก็บข้อมูลเกินความจำเป็น ขอความยินยอมที่เป็นการลอกลวงให้เข้าใจผิด ไม่จัดให้มีมาตรการรักษาความปลอดภัยที่เหมาะสมไม่แจ้งเหตุเมื่อมีการละเมิดข้อมูล โอนข้อมูลไปต่างประเทศโดยไม่ชอบด้วยกฎหมาย ไม่ตั้งตัวแทนในราชอาณาจักร มีโทษปรับไม่เกิน 3 ล้านบาท
- เก็บรวบรวม ใช้ เปิดเผยหรือโอนข้อมูลส่วนบุคคลอ่อนไหวโดยไม่ชอบด้วยกฎหมาย มีโทษปรับไม่เกิน 5 ล้านบาท
โทษทางอาญา
1.ผู้ควบคุมข้อมูลส่วนบุคคล ใช้ หรือ เปิดเผย ส่งหรือโอนข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) หรือ ข้อมูลส่วนบุคคลอ่อนไหว โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล หรือ ผิดจากวัตถุประสงค์ที่ได้แจ้งไว้ หรือ โอนข้อมูลส่วนบุคคลอ่อนไหวไปยังต่างประเทศโดยไม่ชอบด้วยกฎหมาย
- ทำให้ผู้อื่นเกิดความเสียหาย เสียชื่อเสียง ถูกดูหมิ่น เกลียดชัง หรือ ได้รับความอับอาย มีโทษจำคุกไม่เกิน 6 เดือน ปรับไม่เกิน 5 แสนบาท
- เพื่อแสวงหาประโยชน์ที่มิควรได้โดยชอบด้วยกฎหมายสำหรับตนเองหรือผู้อื่น จำคุกไม่เกิน 1 ปี ปรับไม่เกิน 1 ล้านบาท
2.ผู้ใดล่วงรู้ข้อมูลส่วนบุคคลของผู้อื่นเนื่องจากการปฏิบัติหน้าที่ตามกฎหมายนี้ แล้วนำไปเปิดเผยแก่ผู้อื่นโดยมิชอบด้วยกฎหมาย จำคุกไม่เกิน 6 เดือน ปรับไม่เกิน 5 แสนบาท
3.ผู้กระทำความผิดที่เป็น นิติบุคคล หากกรรมการหรือผู้จัดการ หรือ บุคคลใดที่รับผิดชอบในการดำเนินงานของนิติบุคคล สั่งการ หรือ กระทำ หรือละเว้นไม่สั่งการหรือไม่กระทำการ
จนเป็นเหตุให้นิติบุคคลนั้นกระทำความผิด ต้องรับโทษในส่วนที่กำหนดโทษอาญาไว้ด้วย
