ในวันที่ 1 มิถุนายนนี้ ไทยจะบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ Personal Data Protection Act B.E. 2562 (2019) ที่มีชื่อย่อว่า PDPA ซึ่งถือเป็นกฎหมายที่มีบทบาทสำคัญในการคุ้มครอง และให้สิทธิ กับเจ้าของข้อมูลส่วนบุคคล
หากองค์กรที่ฝ่าฝืนไม่ปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ไม่ว่าจะเป็นภาครัฐ หรือเอกชน จะต้องเจอบทลงโทษอย่างแน่นอน ซึ่งในส่วนของบทลงโทษนั้น แบ่งออกเป็น 3 ส่วน คือ ทางแพ่ง ทางอาญา และทางปกครอง
โทษทางแพ่ง
หากผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคล ทำให้เจ้าของข้อมูลเสียหายจะต้องชดใช้ “ค่าสินไหมทดแทน” ไม่ว่าการดำเนินการที่ฝ่าฝืนกฎหมายนั้น จะเป็นการกระทำโดยจงใจ หรือประมาทเลินเล่อ
อย่างไรก็ดี ยังมีข้อยกเว้น คือ พิสูจน์ได้ว่าเกิดจากเหตุสุดวิสัย เกิดจากการกระทำ หรือละเว้นการกระทำของเจ้าของข้อมูลส่วนบุคคล เป็นการปฏิบัติตามคำสั่งของเจ้าหน้าที่ ซึ่งปฏิบัติตามอำนาจของกฎหมาย
สำหรับค่าสินไหมทดแทนนั้น จะต้องจ่ายสินไหมไม่เกิน 2 เท่าของสินไหมที่แท้จริง โดยบทลงโทษในส่วนนี้ มีอายุความ 3 ปี นับแต่วันที่ผู้เสียหายรู้ถึงความเสียหาย และรู้ตัวผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคลที่ต้องรับผิด หรือ 10 ปีนับแต่วันที่มีการละเมิดข้อมูลส่วนบุคคล
โทษทางอาญา
โทษทางอาญาแบ่งออกเป็น การใช้หรือเปิดเผยข้อมูลส่วนบุคคล ที่เป็นข้อมูลอ่อนไหวโดยปราศจากฐานทางกฎหมาย ทำให้ผู้อื่นเกิดความเสียหาย เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความ อับอาย และการใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เป็นข้อมูลอ่อนไหวโดยปราศจากฐานทางกฎหมาย เพื่อแสวงหาประโยชน์ที่ไม่ชอบด้วยกฎหมาย
เว้นแต่จะเป็นการเปิดเผยตามหน้าที่ การเปิดเผยเพื่อประโยชน์แก่การสอบสวน หรือพิจารณาคดี การเปิดเผยแก่หน่วยงานของรัฐ ในประเทศ หรือต่างประเทศที่มีอำนาจหน้าที่ตามกฎหมาย การเปิดเผยที่ได้รับความยินยอมเป็นหนังสือเฉพาะครั้งจากเจ้าของข้อมูลส่วนบุคคล หรือการเปิดเผยข้อมูลส่วนบุคคล ที่เกี่ยวกับการฟ้องร้องคดีต่าง ๆ ที่เปิดเผยต่อสาธารณะ
โทษจำคุกสูงสุดไม่เกิน 1 ปี หรือปรับไม่เกิน 1,000,000 บาท หรือทั้งจำทั้งปรับ
โทษทางปกครอง
แบ่งออกเป็น 3 ส่วน คือ โทษของผู้ควบคุมข้อมูล โทษของผู้ประมวลผลข้อมูล และโทษทางปกครองอื่นๆ
โทษของผู้ควบคุมข้อมูล
- เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากฐานทางกฎหมาย
- ไม่ขอความยินยอมให้ถูกต้องตามกฎหมายหรือไม่แจ้งผลกระทบจากการถอน ความยินยอม
- เก็บรวบรวม ใช้หรือเปิดเผยข้อมูลผิดไปจากวัตถุประสงค์ที่ได้แจ้งไว้โดยไม่ได้แจ้งวัตถุประสงค์ใหม่หรือมีกฎหมายให้ทำได้
- เก็บรวบรวมข้อมูลเกินไปกว่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล
- เก็บข้อมูลจากแหล่งอื่นที่ไม่ใช่เจ้าของข้อมูลโดยตรงที่ต้องห้ามตามกฎหมาย
- ขอความยินยอมที่เป็นการหลอกลวงหรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์
- เก็บรวบรวม ใช้ หรือเปิดเผย การโอนข้อมูลอ่อนไหวโดยไม่ชอบด้วยกฎหมาย
- ไม่แจ้งเจ้าของข้อมูลทั้งในกรณีเก็บข้อมูลจากเจ้าของข้อมูลโดยตรงหรือโดยอ้อม
- ไม่ให้เจ้าของข้อมูลเข้าถึงข้อมูลตามสิทธิการไม่ดำเนินการตามสิทธิคัดค้านของเจ้าของข้อมูล
- ไม่จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
- ไม่จัดให้มีการสนับสนุนการปฏิบัติหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วน บุคคลอย่างเพียงพอ
- โอนข้อมูลส่วนบุคคลไปยังต่างประเทศโดยไม่ชอบด้วยกฎหมาย
- ไม่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม การไม่จัดให้มีระบบตรวจสอบ เพื่อลบทำลายข้อมูล หรือไม่ปฏิบัติสิทธิในการลบเมื่อถอนความ ยินยอมหรือตามสิทธิในการขอลบข้อมูล
โทษของผู้ประมวลผลข้อมูล
- ไม่จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือการไม่สนับสนุนการปฏิบัติหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลอย่างเพียงพอ
- ไม่ปฏิบัติตามคำสั่งของผู้ควบคุมข้อมูล ไม่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม ไม่จัดทำบันทึกรายการกิจกรรมการประมวลผล
- โอนข้อมูลไปต่างประเทศโดยไม่ชอบด้วยกฎหมาย
- ไม่ตั้งตัวแทนในราชอาณาจักรในกรณีที่กฎหมายกำหนด
โทษทางปกครองอื่น ๆ
- โอนข้อมูลอ่อนไหวไปต่างประเทศโดยไม่ชอบด้วยกฎหมาย
- ตัวแทนของผู้ควบคุมข้อมูล หรือผู้ประมวลผลข้อมูล ไม่จัดให้มีบันทึกรายการประมวลผลข้อมูล
- ไม่ปฏิบัติตามคำสั่งคณะกรรมผู้เชี่ยวชาญ หรือไม่มาชี้แจงข้อเท็จจริง หรือไม่ส่งข้อมูลให้คณะกรรมการผู้เชี่ยวชาญ
- ปรับสูงสุดไม่เกิน 5,000,000 บาท
อ่านข่าวเพิ่มเติม
- นับถอยหลัง 1 มิ.ย. โพสต์รูปลงโซเชียลต้องระวัง! ‘พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล’ มีผลบังคับใช้
- ระบบคุ้มครองข้อมูลส่วนบุคคล เรื่องจำเป็นที่ต้องรู้ ‘ยุคดิจิทัล’ อ่านที่นี่!
- เลื่อนเพราะโควิด! ครม.ขยายเวลาบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ออกไปอีก 1 ปี