PDPA คืออะไร ? ในยุคดิจิทัลที่ข้อมูลส่วนบุคคลมีความคุ้มครองและความเป็นส่วนตัวอาจถูกละเมิดอย่างรวดเร็ว เพื่อรักษาความเป็นส่วนตัวและความปลอดภัยของข้อมูลของบุคคลทุกคน กฎหมายคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Act: PDPA) จึงถูกบัญญัติขึ้นเพื่อเป็นประกันการใช้ข้อมูลส่วนบุคคลในทางที่ถูกต้องและสร้างความน่าเชื่อถือในสังคมดิจิทัล
PDPA คืออะไร ?
PDPA คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นกฎหมายที่ถูกสร้างมาเพื่อป้องกันการละเมิดข้อมูลส่วนบุคคลของทุกคน รวมถึงการจัดเก็บข้อมูลและนำไปใช้โดยไม่ได้แจ้งให้ทราบ และไม่ได้รับความยินยอมจากเจ้าของข้อมูลเสียก่อน
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 27 (Personal Data Protection Act: PDPA Law Thailand) คือกฎหมายฉบับใหม่ที่ออกมาเพื่อแก้ไขปัญหาการถูกล่วงละเมิดข้อมูลส่วนบุคคลที่เพิ่มมากขึ้นเรื่อย ๆ ในปัจจุบัน เช่น การซื้อขายข้อมูลเบอร์โทรศัพท์และข้อมูลส่วนตัวอื่น ๆ โดยที่เจ้าของข้อมูลไม่ยินยอม ที่มักพบและเป็นปัญหาได้มากในรูปแบบการโทรมาโฆษณา หรือล่อลวง
โดยกฎหมายนี้ได้เริ่มบังคับใช้อย่างเต็มรูปแบบเมื่อวันที่ 1 มิ.ย. 2565 เป็นกฎหมายที่ให้ความคุ้มครองข้อมูลส่วนบุคคล เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ รูปถ่าย บัญชีธนาคาร อีเมล ไอดีไลน์ บัญชีผู้ใช้ของเว็บไซต์ ลายนิ้วมือ ประวัติสุขภาพ เป็นต้น ซึ่งข้อมูลเหล่านี้สามารถระบุถึงตัวเจ้าของข้อมูลนั้นได้ อาจเป็นได้ทั้งข้อมูลในรูปแบบเอกสาร กระดาษ หนังสือ หรือจัดเก็บในรูปแบบอิเล็กทรอนิกส์ก็ได้
PDPA มีที่มาอย่างไร ?
กฎหมาย PDPA ถอดแบบมาจากกฎหมายต้นแบบอย่างกฎหมาย GDPR (General Data Protection Regulation) ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (United Nations) วัตถุประสงค์ของการเก็บรักษาข้อมูลส่วนบุคคลของกฎหมายทั้ง 2 ฉบับ ก็เพื่อป้องกันไม่ให้ผู้ไม่ประสงค์ดีทำการแฮ็กข้อมูลหรือละเมิดความเป็นส่วนตัวเพื่อข่มขู่หวังผลประโยชน์จากทั้งจากตัวเจ้าของข้อมูลเองหรือจากบุคคลที่ดูแลข้อมูล
PDPA มีความสำคัญอย่างไร ?
ความสำคัญของ PDPA คือ การมอบความชอบธรรมให้ “เจ้าของข้อมูล” มีสิทธิในข้อมูลส่วนตัวที่ถูกจัดเก็บไปแล้ว หรือข้อมูลที่กำลังจะถูกจัดเก็บมากขึ้น เพื่อสร้างความปลอดภัยและเป็นส่วนตัวให้แก่เจ้าของข้อมูล ได้แก่ สิทธิการรับทราบและยิมยอมการเก็บข้อมูลส่วนตัว และสิทธิในการขอเข้าถึงข้อมูลส่วนตัว คัดค้านและเพิกถอนการเก็บและนำข้อมูลไปใช้ และสิทธิขอให้ลบหรือทำลายข้อมูลส่วนตัว
สิทธิที่เพิ่มขึ้นของเจ้าของข้อมูล ทำให้ผู้ประกอบการขององค์กรและบริษัทต่าง ๆ ต้องปรับเปลี่ยนกระบวนการเก็บรวบรวมและนำข้อมูลส่วนตัวของเจ้าของข้อมูลไม่ว่าจะเป็นลูกค้า พนักงานในองค์กร หรือบุคคลใด ๆ ที่เกี่ยวข้องให้เป็นไปตามหลักปฏิบัติของ PDPA หรือ พรบ.คุ้มครองข้อมูลส่วนบุคคล
องค์ประกอบของกฎหมาย PDPA
บุคคลที่ต้องปฎิบัติตามกฎหมาย PDPA ประกอบด้วย เจ้าของข้อมูลส่วนบุคคล (Data Subject) และผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) โดยผู้ควบคุมข้อมูลส่วนบุคคลนั้นเปรียบเสมือนผู้ดูแลระบบ เป็นฝ่ายปฏิบัติงาน มีหน้าที่เก็บรวบรวม และนำข้อมูลส่วนบุคคลที่ขอความยินยอม (Consent) จากเจ้าของข้อมูลไปใช้ ยกตัวอย่างเช่น เว็บไซต์ขายของออนไลน์ ตัวผู้จัดทำเว็บไซต์ก็จะต้องขอข้อมูลทั้งชื่อ ที่อยู่ เบอร์โทรศัพท์ ข้อมูลการจ่ายเงิน เพื่อนำไปดำเนินการสั่งซื้อและจัดส่งสินค้าไปยังที่อยู่ของเจ้าของข้อมูล ซึ่ง PDPA เมื่อได้ข้อมูลมาแล้ว ก็ต้องจัดให้มีมาตรการรักษาความปลอดภัยข้อมูลด้วย
บทลงโทษจากการละเมิดตามกฎหมาย PDPA
การพิจารณาลงโทษตาม พรบ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 พิจารณาบทลงโทษใน 3 ลักษณะ คือ ความรับผิดทางแพ่ง โทษอาญา และโทษทางปกครอง ดังนี้
โทษทางแพ่ง
บุคคลหรือนิติบุคคลที่มีสถานะเป็นผู้ควบคุมข้อมูล (Data Controller) และผู้ประมวลผลข้อมูล (Data Processor) หากมีการฝ่าฝืน หรือไม่ปฏิบัติตามกฎหมาย PDPA จนทำให้เกิด ความเสียหายต่อเจ้าของข้อมูลส่วนบุคคล ไม่ว่าจะจงใจหรือประมาทเลินเล่อ ต้องชดใช้ค่าสินไหมทดแทนแก่เจ้าของข้อมูลส่วนบุคคลตามความเสียหายที่เกิดขึ้น หรือคณะกรรมการคุ้มครองข้อมูลฯ อาจพิจารณาเพิ่มโทษเป็น 2 เท่าจากความเสียงหายจริงที่เกิดขึ้น คำนวณง่ายๆ ก็คือ ค่าปรับจริง + 2 เท่าของค่าปรับ = เงินค่าสินไหมทดแทนที่ต้องจ่าย
โทษทางอาญา
กฎหมาย PDPA กำหนดโทษอาญาไว้ 2 ลักษณะ คือ ปรับเงิน กับ จำคุก หรือทั้งจำทั้งปรับ แล้วแต่กรณีดังนี้
- กรณีเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เก็บข้อมูลส่วนบุคคลอ่อนไหว ส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล มีโทษจำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 5 แสนบาท หรือทั้งจำทั้งปรับ
- กรณีเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เก็บข้อมูลส่วนบุคคลอ่อนไหว ส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เพื่อแสวงหาประโยชน์ มีโทษจำคุกไม่เกิน 1 ปี หรือปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ
- กรณีผู้ปฏิบัติหน้าที่ตามกฎหมาย นำข้อมูลส่วนบุคคลที่ทราบจากหน้าที่ไปเปิดเผย มีโทษจำคุกไม่เกิน 6 เดือน ปรับไม่เกิน 5 แสนบาทหรือทั้งจำทั้งปรับ
ทั้งนี้ ในกรณีผู้กระทำผิดเป็น ‘นิติบุคคล’ ซึ่งเกิดจากการสั่งการของกรรมการ ผู้จัดการ หรือผู้รับผิดชอบในงานนั้น หรือละเว้นที่จะสั่งการเป็นเหตุให้เกิดการทำผิดกฎหมาย PDPA บุคคลดังกล่าวจะต้องรับโทษ ตามบทลงโทษที่กฎหมายบัญญัติไว้ในความผิดนั้นด้วย
อย่างไรก็ตาม การกำหนดโทษจะดูจากพฤติการณ์ต่างๆ เช่น ความร้ายแรงของพฤติการณ์ ผลประโยชน์ที่ผู้ควบคุมข้อมูล หรือผู้ประมวลผลข้อมูลได้รับ ตลอดจนสถานะทางการเงิน การบรรเทาในส่วนที่เกิดความเสียหาย หรือกล่าวให้ง่ายกว่านั้นคือขึ้นอยู่ที่ดุลยพินิจของคณะกรรมการคุ้มครองข้อมูลฯ ซึ่งบทลงโทษอาจรวมทั้ง ความรับผิดทางแพ่ง โทษอาญา และโทษทางปกครองร่วมด้วย
โทษทางปกครอง
กรณีบุคคล หรือนิติบุคคล มีเก็บรวบรวมข้อมูลส่วนบุคคล ภายใต้ ‘วัตถุประสงค์อันชอบด้วยกฎหมาย’ ซึ่งกฎหมาย PDPA อนุญาตให้ทำได้โดยอ้างอิงจาก ฐานสัญญา หรือฐานประโยชน์โดยชอบตามกฎหมาย แต่ต้องมีการดำเนินการตามที่กฎหมายบัญญัติไว้ ถือว่าได้ละเมิดกฎหมาย PDPA มีการแบ่ง โทษทางปกครอง 3 ส่วน สำหรับผู้ควบคุมข้อมูล –ผู้ประมวลผลข้อมูลหรือตัวแทนผู้ควบคุมข้อมูล ดังนี้ :
- แจ้งข้อมูลของผู้จัดเก็บ
- ระบุวัตถุประสงค์และรายละเอียดข้อมูลในการจัดเก็บ
- กำหนดระยะเวลาในการจัดเก็บ
- แจ้งแก่เจ้าของข้อมูลที่จะอาจจะถูกเปิดเผยแก่บุคคลที่สาม
- แจ้งสิทธิต่างๆ และดำเนินการตามคำขอของเจ้าของข้อมูล
- จัดทำบันทึกรายการข้อมูลส่วนบุคคล
- มีมาตรการรักษาความปลอดภัยตามความเสี่ยงของข้อมูลอย่างเหมาะสม
- จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามกฎหมาย (เจ้าหน้าที่ DPO)
โทษของผู้ควบคุมข้อมูล ปรับสูงสุดไม่เกิน 5,000,000 บาท จากกรณีดังนี้
- การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่แจ้งฐานทางกฎหมาย
- การไม่ขอความยินยอมให้ถูกต้องตามกฎหมาย
- การเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลผิดไปจากวัตถุประสงค์ที่ได้แจ้งไว้โดยไม่ได้แจ้งวัตถุประสงค์ใหม่
- การเก็บรวบรวมข้อมูลเกินที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล
- การเก็บข้อมูลจากแหล่งอื่นที่ไม่ใช่เจ้าของข้อมูลโดยตรงที่ต้องห้ามตามกฎหมาย
- การแจ้งขอความยินยอมที่เป็นการหลอกลวง หรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดจากวัตถุประสงค์
- การเก็บรวบรวม ใช้ หรือเปิดเผย การโอนข้อมูลอ่อนไหว( Sensitive Data )โดยไม่ชอบด้วยกฎหมาย
- การไม่ให้เจ้าของข้อมูลเข้าถึงข้อมูลตามสิทธิ
- การไม่ดำเนินการตามสิทธิของเจ้าของข้อมูล
- การไม่จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
- การไม่จัดให้มีการสนับสนุนการปฏิบัติหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลอย่างเพียงพอต่อความจำเป็น
- การโอนข้อมูลส่วนบุคคลไปยังต่างประเทศโดยไม่ชอบด้วยกฎหมาย
- การไม่จัดให้มีมาตรการในการรักษาความมั่นคงปลอดภัยที่เหมาะสม
โทษของผู้ประมวลผลข้อมูล และตัวแทนผู้ควบคุมข้อมูล ปรับสูงสุดไม่เกิน 5,000,000 บาท จากกรณีดังนี้
- การไม่จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลอย่างเพียงพอ
- การไม่ปฏิบัติตามคำสั่งของผู้ควบคุมข้อมูล (ไม่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม)
- การโอนข้อมูลส่วนบุคคลไปต่างประเทศโดยไม่ชอบด้วยกฎหมาย
- การโอนข้อมูลส่วนบุคคลประเภทอ่อนไหวไปต่างประเทศโดยไม่ชอบด้วยกฎหมาย
ทั้งนี้โดยสรุป คณะกรรมการผู้เชี่ยวชาญมีอำนาจสั่งลงโทษปรับทางปกครองตามที่กำหนดไว้ หรือสั่งให้แก้ไข หรือตักเตือนก่อนก็ได้ จากข้อมูลเรื่องค่าปรับ ค่าสินไหมทดแทน และโทษทางปกครองที่ต้องจ่ายหากบุคคลหรือนิติบุคคลมีการละเมิดกฎหมาย จะโดยจงใจหรือประมาทก็ตาม ผู้ประกอบการสามารถเตรียมความพร้อมก่อนกฎหมายบังคับใช้ หรือการแต่งตั้งเจ้าหน้าที่ DPO เพื่อให้การดำเนินการขององค์กรสามารถลดความเสี่ยงที่อาจมีการละเมิดกฎหมายได้ ซึ่งเป็นแนวทางที่ทุกองค์กรควรดำเนินการ ขณะเดียวกัน ธุรกิจขนาดเล็ก หรือ SME หากไม่ได้มีการเก็บข้อมูลส่วนบุคคลเป็นจำนวนมาก หรือมีการประมวลผลข้อมูลส่วนบุคคลเป็นครั้งคราว อาจพิจารณาแต่งตั้งเจ้าหน้าที่ประสานงานข้อมูลส่วนบุคคลที่มีความรู้ ความเข้าใจเรื่องกฎหมาย PDPA ก็จะเป็นแนวที่ที่สามารถลดความสี่ยงจากการละเมิดกฎหมายได้เช่นกัน
ติดตามคอนเทนท์อื่นๆ ที่น่าสนใจได้ที่ Jahnnoom.com