เตรียมพร้อมรับมือ PDPA

ตอนที่ 1 รู้จักกับ พ.ร.บ. และบทลงโทษ!!!

เหลือเวลาอีกเพียงไม่กี่วัน (28 พ.ค. 63) พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล 2562 Personal Data Protection Act B.E. 2562 (2019) หรือที่ทุกคนเรียกกันโดยทั่วไปว่า PDPA จะมีผลบังคับใช้ทั้งฉบับ หลังจากที่มีการประกาศในราชกิจจานุเบกษา เมื่อวันที่ 27 พ.ค. 62 ที่ผ่านมา กฎหมายฉบับนี้มีการพูดถึงกันเป็นวงกว้าง เนื่องจากโทษของกฎหมายฉบับนี้มีส่วนหนึ่งของการลงโทษไปยังกรรมการบริษัท ทำให้หลาย ๆ บริษัทมีความตื่นตัวและเตรียมความพร้อมกันที่จะมีผลบังคับใช้

ที่มาที่ไป

พ.ร.บ.ฉบับนี้ได้มีการอ้างอิงมาจาก “GDPR” (EU General Data Protection Regulation) ของสหภาพยุโรป ที่มีผลบังคับใช้เมื่อ 25 พ.ค. 61 ซึ่งนอกจากจะมีผลบังคับใช้ในสหภาพยุโรปแล้ว สำหรับผู้ประกอบการไทยหากจะทำการติดต่อรับ-ส่งข้อมูลกับบุคคลของประเทศสมาชิก ก็จะต้องมีมาตรการคุ้มครองส่วนบุคคลที่เหมาะสมเช่นเดียวกัน เป็นอีกเหตุผลหนึ่งที่ผู้ประกอบการไทยต้องปรับตัวในเรื่องนี้

อะไรคือข้อมูลส่วนบุคคล

ตามมาตรา ๖ ใน พ.ร.บ. นี้ “ข้อมูลส่วนบุคคล” (Personal Data) หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ ซึ่งจากการตีความแล้ว ข้อมูลส่วนบุคคลจะประกอบไปด้วย ชื่อ นามสกุล เพศ รูปถ่าย ที่อยู่ อีเมล เบอร์โทรศัพท์ ข้อมูลสุขภาพ ข้อมูลประกัน ข้อมูลทางการเงิน เลขบัตรเครดิต เลขบัญชีธนาคาร เลขบัตรประชาชน เลขใบขับขี่ เลขหนังสือเดินทาง (เยอะไปไหน)

และในมาตรา 26 ยังมีการระบุถึง ข้อมูลที่มีความอ่อนไหว (Sensitive Personal Data) ประกอบไปด้วย เชื้อชาติ เผ่าพันธุ์ ความคิดเห็น ทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ

บทลงโทษมีอะไรบ้าง

จุดสำคัญของกฎหมายก็คือบทลงโทษนั่นเอง ต้องบอกเลยว่าบทลงโทษของการไม่ปฏิบัติตาม พ.ร.บ.นี้มี 3 ส่วนกันเลยทีเดียว ประกอบด้วย โทษทางแพ่ง โทษทางอาญา และโทษทางปกครอง ฟังแค่นี้ก็น่าตกใจ เรามาดูกันทีละตัวเลยว่าเป็นยังไงบ้าง

โทษทางแพ่ง (ละเมิด)

ผู้ควบคุมหรือผู้ประมวลผลดำเนินการใด ๆ ฝ่าฝืนหรือไม่ปฎิบัติตาม พ.ร.บ. ก่อให้เกิดความเสียหายต่อเจ้าของข้อมูล ฯ (ไม่ว่าจะจงใจหรือประมาทก็ตาม) ต้องชดใช้ค่าสินไหมทดแทน เว้นแต่จะพิสูจน์ได้ว่า

1. จากเหตุสุดวิสัย หรือเกิดจากการกระทำหรือละเว้นการกระทำของเจ้าของข้อมูลส่วนบุคคล

2. ปฏิบัติตามคำสั่งของเจ้าหน้าที่ซึ่งปฏิบัติการตามอำนาจหน้าที่ตามกฎหมาย

Ø ค่าสินไหมทดแทน ให้รวมถึง ค่าใช้จ่ายทั้งหมดที่เจ้าของข้อมูลส่วนบุคคลได้ใช้จ่ายไปตามความจำเป็นในการป้องกันความเสียหายที่กำลังจะเกิดขึ้นหรือระงับความเสียหายที่เกิดขึ้นแล้วด้วย

Ø อายุความ : สิทธิเรียกร้องค่าสินไหมทดแทนขาดอายุความเมื่อ

o พ้น 3 ปีนับแต่วันที่รู้ถึงความเสียหายและรู้ตัวผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลที่ต้องรับผิด หรือ

o พ้น 10ปีนับแต่ที่มีการละเมิด

โทษทางอาญา

ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคล

1. ใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล

2. ใช้ข้อมูลส่วนบุคคลนอกเหนือวัตถุประสงค์ที่แจ้งต่อเจ้าของข้อมูลส่วนบุคคล หรือ

3. ไม่ปฏิบัติตามหลักเกณฑ์ในการโอนหรือส่งข้อมูลส่วนบุคคลไปยังต่างประเทศอันเกี่ยวกับ sensitive personal data

§ โดยประการที่น่าจะทำให้ผู้อื่นเกิดความเสียหาย เสียชื่อเสียง ถูกดูหมิ่นถูกเกลียดชัง หรือได้รับความอับอายต้องระวางโทษจำคุกไม่เกิน 6เดือน หรือปรับไม่เกิน 500,000 บาท หรือทั้งจำทั้งปรับ

§ เพื่อแสวงหาประโยชน์ ที่มิควรได้โดยชอบด้วยกฎหมายสำหรับตนเองหรือผู้อื่น ต้องระวางโทษจำคุกไม่เกิน 1 ปี หรือปรับไม่เกิน 1,000,000 บาท หรือทั้งจำทั้งปรับ

4. ผู้ใดล่วงรู้ข้อมูลส่วนบุคคลของผู้อื่นเนื่องจากการปฏิบัติหน้าที่ตาม พ.ร.บ. นี้แล้วนำไปเปิดเผยแก่ผู้อื่น ต้องระวางโทษจำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 500,000 บาท หรือทั้งจำทั้งปรับ

กรณีที่ผู้กระทำความผิดตาม พ.ร.บ. นี้เป็นนิติบุคคลถ้าการกระทำความผิดของนิติบุคคลนั้นเกิดจาก

§ การสั่งการหรือการกระทำของกรรมการหรือผู้จัดการ หรือบุคคลใดซึ่งรับผิดชอบในการดำเนินงานของนิติบุคคลนั้น หรือ

§ ในกรณีที่บุคคลดังกล่าวมีหน้าที่ต้องสั่งการหรือกระทำการและละเว้นไม่สั่งการหรือไม่กระทำการจนเป็นเหตุให้นิติบุคคลนั้นกระทำความผิดผู้นั้นต้องรับโทษตามที่บัญญัติไว้สำหรับความผิดนั้น ๆ

โทษทางปกครอง

1. ผู้ควบคุมข้อมูลไม่แจ้งรายละเอียดการจัดเก็บก่อนหรือขณะเก็บรวมรวมข้อมูล ต้องระวางโทษปรับไม่เกิน 1,000,000 บาท

2. ผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ต้องระวางโทษปรับไม่เกิน 5,000,000 บาท

3. ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลไม่จัดให้มีเจ้าหน้าที่คุ้มครองส่วนบุคคล ต้องระวางโทษปรับไม่เกิน 1,000,000 บาท

4. ผู้ใดไม่ปฏิบัติตำมคำสั่งของคณะกรรมการผู้เชี่ยวชาญหรือไม่มาชี้แจงข้อเท็จจริงหรือไม่ปฏิบัติตามหนังสือแจ้งให้มาให้ข้อมูลหรือส่งเอกสารใด ๆ หรือไม่อำนวยความสะดวกแก่พนักงานเจ้าหน้าที่ ต้องระวางโทษปรับทางปกครองไม่เกิน 500,000 บาท

อ่านมาถึงตรงนี้แล้วใครที่ยังไม่มีการเตรียมการในเรื่องนี้น่าตกใจกันพอสมควร จากโทษที่รุนแรง ในตอนต่อไปผมจะมาเล่าให้ลึกลงในตัว พ.ร.บ.ว่า มีอะไรสำคัญ ๆ ที่เราต้องรู้จักบ้าง เจอกันในตอนหน้าครับ