บ่อยครั้งที่ปรากฏข่าวข้อมูลส่วนบุคคลของประชาชนรั่วไหล ทั้งจากการถูกแฮกเกอร์ขโมยข้อมูล ทั้งจากการซื้อขายข้อมูลของคนในหน่วยงาน องค์กร ซึ่งเหตุการณ์ในลักษณะนี้เกิดขึ้นทั้งในรัฐ และเอกชน สร้างความเสียหายต่อบุคคล องค์กร และเศรษฐกิจ กระทบความเชื่อมั่นของประชาชน เป็นต้นตอของการก่ออาชญากรรมทางการเงิน
ข้อมูลส่วนบุคคล คือ ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม เช่น ชื่อ - นามสกุล, เลขประจำตัวประชาชน, ที่อยู่, เบอร์โทรศัพท์, วันเกิด, อีเมล, การศึกษา, เพศ, อาชีพ, รูปถ่าย, ข้อมูลทางการเงิน และรวมถึง ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) เช่น ข้อมูลทางการแพทย์หรือสุขภาพ, ข้อมูลทางพันธุกรรมและไบโอเมทริกซ์, เชื้อชาติ, ความคิดเห็นทางการเมือง, ความเชื่อทางศาสนาหรือปรัชญา, พฤติกรรมทางเพศ, ประวัติอาชญากรรม, ข้อมูลสหภาพแรงงาน เป็นต้น แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
ประเทศไทยมีกฎหมายคุ้มครองข้อมูลส่วนบุคคล คือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือกฎหมาย PDPA ซึ่งเริ่มบังคับใช้อย่างเต็มรูปแบบเมื่อวันที่ 1 มิ.ย. 2565 กฎหมายฉบับนี้ให้เจ้าของข้อมูลมีสิทธิในข้อมูลส่วนตัวที่ถูกจัดเก็บไปแล้ว หรือกำลังจะถูกจัดเก็บมากขึ้น เพื่อสร้างความปลอดภัยและเป็นส่วนตัวให้แก่เจ้าของข้อมูล
โดยมีสิทธิที่สำคัญคือ สิทธิการรับทราบและยิมยอมการเก็บข้อมูลส่วนตัว และสิทธิในการขอเข้าถึงข้อมูลส่วนตัว คัดค้านและเพิกถอนการเก็บและนำข้อมูลไปใช้ และสิทธิขอให้ลบหรือทำลายข้อมูลส่วนตัว
ซึ่งผู้ประกอบการขององค์กร และบริษัทต่างๆต้องปฏิบัติตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ในการเก็บรวบรวมข้อมูล ประมวลผลข้อมูล นำข้อมูลไปใช้ รวมถึงการเก็บรักษาและดูแลความปลอดภัยของข้อมูลส่วนบุคคคลของลูกค้าและบุคคลที่เกี่ยวข้อง หากไม่ปฏิบัติตามต้องรับโทษร้ายแรงทั้งทางแพ่ง อาญา และปกครอง
อายุความฟ้องคดี 3 ปี นับแต่วันที่ผู้เสียหายรู้ถึงความเสียหาย และรู้ตัวผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลที่ต้องรับผิด หรือ 10 ปี นับแต่วันที่มีการละเมิดข้อมูลส่วนบุคคล
ผู้ร้องเรียน คือ เจ้าของข้อมูลส่วนบุคคล ที่ใช้สิทธิร้องเรียนต่อองค์กร ในฐานะที่เป็น ผู้ควบคุมข้อมูลส่วนบุคคลหรือ ผู้ประมวลผลข้อมูลส่วนบุคคล รวมถึง ลูกจ้าง หรือ ผู้รับจ้าง ขององค์กรนั้นที่ ฝ่าฝืน หรือ ไม่ปฏิบัติตาม PDPA หรือประกาศที่ออกตาม PDPA
คำร้องเรียน ต้องมีรายละเอียดอย่างน้อย ประกอบด้วย
ความรับผิดทางแพ่ง
ผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคลที่ทำให้เกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคล ต้องชดใช้ค่าสินไหมทดแทน ไม่ว่าจะเกิดจากการกระทำโดยจงใจหรือประมาทเลินเล่อหรือไม่ก็ตาม เว้นแต่จะพิสูจน์ได้ว่า
- เหตุสุดวิสัย หรือเกิดจากการกระทำหรือละเว้นการกระทำโดยเจ้าของข้อมูลส่วนบุคคล
- เป็นการปฏิบัติตามคำสั่งของเจ้าหน้าที่ซึ่งปฏิบัติการตามหน้าที่และอำนาจตามกฎหมาย
ค่าสินไหมทดแทน
นอกจากค่าสินไหมทดแทนที่แท้จริงแล้ว ศาลมีอำนาจสั่งให้จ่ายค่าสินไหมทดแทน เพื่อการลงโทษเพิ่มขึ้นได้ แต่ไม่เกิน 2 เท่า ของค่าสินไหมทดแทนที่แท้จริง
โทษทางอาญา
1. ใช้หรือเปิดเผย ส่งหรือโอนข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) โดยมิชอบด้วยกฎหมาย
2. ล่วงรู้ข้อมูลส่วนบุคคลเนื่องจากการปฏิบัติหน้าที่ตามกฎหมายนี้ แล้วนำไปเปิดเผยแก่ผู้อื่น โดยมิชอบด้วยกฎหมาย จำคุกไม่เกิน 6 เดือน ปรับไม่เกิน 500,000 บาท หรือทั้งจำทั้งปรับ
3. กรรมการ ,ผู้จัดการ หรือบุคคลใดที่รับผิดชอบ ในการดำเนินงานของนิติบุคคล ต้องร่วมรับผิดด้วยหากมีการสั่งการ กระทำการ ละเว้นไม่สั่งการ ละเว้นไม่กระทำการ จนเป็นเหตุให้นิติบุคคลกระทำความผิด บทลงโทษจะขึ้นอยู่กับฐานความผิด
โทษปรับทางปกครอง สูงสุดไม่เกิน 5,000,000 บาท
กระทำความผิดที่เป็นการฝ่าฝืนหรือไม่ปฏิบัติตามที่กฎหมายกำหนด เช่น ไม่แจ้งวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลให้เจ้าของข้อมูลส่วนบุคคลทราบ ,ขอความยินยอมโดยหลอกลวงเจ้าของข้อมูลส่วนบุคคล
ที่มา : สำนักงานกิจการยุติธรรม