Digital Economy

เช็คเลย! เริ่มวันนี้ 1 มิ.ย. โดนโทษอะไรบ้าง!? หากละเมิด ‘พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล’

ในวันที่ 1 มิถุนายนนี้ ไทยจะบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ Personal Data Protection Act B.E. 2562 (2019) ที่มีชื่อย่อว่า PDPA ซึ่งถือเป็นกฎหมายที่มีบทบาทสำคัญในการคุ้มครอง และให้สิทธิ กับเจ้าของข้อมูลส่วนบุคคล

หากองค์กรที่ฝ่าฝืนไม่ปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ไม่ว่าจะเป็นภาครัฐ หรือเอกชน จะต้องเจอบทลงโทษอย่างแน่นอน ซึ่งในส่วนของบทลงโทษนั้น แบ่งออกเป็น 3 ส่วน คือ ทางแพ่ง ทางอาญา และทางปกครอง

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล

โทษทางแพ่ง

หากผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคล ทำให้เจ้าของข้อมูลเสียหายจะต้องชดใช้ “ค่าสินไหมทดแทน” ไม่ว่าการดำเนินการที่ฝ่าฝืนกฎหมายนั้น จะเป็นการกระทำโดยจงใจ หรือประมาทเลินเล่อ

อย่างไรก็ดี ยังมีข้อยกเว้น คือ พิสูจน์ได้ว่าเกิดจากเหตุสุดวิสัย เกิดจากการกระทำ หรือละเว้นการกระทำของเจ้าของข้อมูลส่วนบุคคล เป็นการปฏิบัติตามคำสั่งของเจ้าหน้าที่ ซึ่งปฏิบัติตามอำนาจของกฎหมาย

สำหรับค่าสินไหมทดแทนนั้น จะต้องจ่ายสินไหมไม่เกิน 2 เท่าของสินไหมที่แท้จริง โดยบทลงโทษในส่วนนี้ มีอายุความ 3 ปี นับแต่วันที่ผู้เสียหายรู้ถึงความเสียหาย และรู้ตัวผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคลที่ต้องรับผิด หรือ 10 ปีนับแต่วันที่มีการละเมิดข้อมูลส่วนบุคคล

โทษทางอาญา

โทษทางอาญาแบ่งออกเป็น การใช้หรือเปิดเผยข้อมูลส่วนบุคคล ที่เป็นข้อมูลอ่อนไหวโดยปราศจากฐานทางกฎหมาย ทำให้ผู้อื่นเกิดความเสียหาย เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความ อับอาย และการใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เป็นข้อมูลอ่อนไหวโดยปราศจากฐานทางกฎหมาย เพื่อแสวงหาประโยชน์ที่ไม่ชอบด้วยกฎหมาย

เว้นแต่จะเป็นการเปิดเผยตามหน้าที่ การเปิดเผยเพื่อประโยชน์แก่การสอบสวน หรือพิจารณาคดี การเปิดเผยแก่หน่วยงานของรัฐ ในประเทศ หรือต่างประเทศที่มีอำนาจหน้าที่ตามกฎหมาย การเปิดเผยที่ได้รับความยินยอมเป็นหนังสือเฉพาะครั้งจากเจ้าของข้อมูลส่วนบุคคล หรือการเปิดเผยข้อมูลส่วนบุคคล ที่เกี่ยวกับการฟ้องร้องคดีต่าง ๆ ที่เปิดเผยต่อสาธารณะ

โทษจำคุกสูงสุดไม่เกิน 1 ปี หรือปรับไม่เกิน 1,000,000 บาท หรือทั้งจำทั้งปรับ

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล

โทษทางปกครอง

แบ่งออกเป็น 3 ส่วน คือ โทษของผู้ควบคุมข้อมูล โทษของผู้ประมวลผลข้อมูล และโทษทางปกครองอื่นๆ

โทษของผู้ควบคุมข้อมูล

  • เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากฐานทางกฎหมาย
  • ไม่ขอความยินยอมให้ถูกต้องตามกฎหมายหรือไม่แจ้งผลกระทบจากการถอน ความยินยอม
  • เก็บรวบรวม ใช้หรือเปิดเผยข้อมูลผิดไปจากวัตถุประสงค์ที่ได้แจ้งไว้โดยไม่ได้แจ้งวัตถุประสงค์ใหม่หรือมีกฎหมายให้ทำได้
  • เก็บรวบรวมข้อมูลเกินไปกว่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล
  • เก็บข้อมูลจากแหล่งอื่นที่ไม่ใช่เจ้าของข้อมูลโดยตรงที่ต้องห้ามตามกฎหมาย
  • ขอความยินยอมที่เป็นการหลอกลวงหรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์
  • เก็บรวบรวม ใช้ หรือเปิดเผย การโอนข้อมูลอ่อนไหวโดยไม่ชอบด้วยกฎหมาย
  • ไม่แจ้งเจ้าของข้อมูลทั้งในกรณีเก็บข้อมูลจากเจ้าของข้อมูลโดยตรงหรือโดยอ้อม
  • ไม่ให้เจ้าของข้อมูลเข้าถึงข้อมูลตามสิทธิการไม่ดำเนินการตามสิทธิคัดค้านของเจ้าของข้อมูล
  • ไม่จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
  • ไม่จัดให้มีการสนับสนุนการปฏิบัติหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วน บุคคลอย่างเพียงพอ
  • โอนข้อมูลส่วนบุคคลไปยังต่างประเทศโดยไม่ชอบด้วยกฎหมาย
  • ไม่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม การไม่จัดให้มีระบบตรวจสอบ เพื่อลบทำลายข้อมูล หรือไม่ปฏิบัติสิทธิในการลบเมื่อถอนความ ยินยอมหรือตามสิทธิในการขอลบข้อมูล

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล

โทษของผู้ประมวลผลข้อมูล

  • ไม่จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือการไม่สนับสนุนการปฏิบัติหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลอย่างเพียงพอ
  • ไม่ปฏิบัติตามคำสั่งของผู้ควบคุมข้อมูล ไม่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม ไม่จัดทำบันทึกรายการกิจกรรมการประมวลผล
  • โอนข้อมูลไปต่างประเทศโดยไม่ชอบด้วยกฎหมาย
  • ไม่ตั้งตัวแทนในราชอาณาจักรในกรณีที่กฎหมายกำหนด

โทษทางปกครองอื่น ๆ 

  • โอนข้อมูลอ่อนไหวไปต่างประเทศโดยไม่ชอบด้วยกฎหมาย
  • ตัวแทนของผู้ควบคุมข้อมูล หรือผู้ประมวลผลข้อมูล ไม่จัดให้มีบันทึกรายการประมวลผลข้อมูล
  • ไม่ปฏิบัติตามคำสั่งคณะกรรมผู้เชี่ยวชาญ หรือไม่มาชี้แจงข้อเท็จจริง หรือไม่ส่งข้อมูลให้คณะกรรมการผู้เชี่ยวชาญ
  • ปรับสูงสุดไม่เกิน 5,000,000 บาท

อ่านข่าวเพิ่มเติม