บทลงโทษหากไม่ปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA)

ภาคธุรกิจหรือองค์กรในฐานะผู้ควบคุมข้อมูลส่วนบุคคลตาม PDPA มีหน้าที่ต้องดำเนินการให้สอดคล้องตามกฎหมาย PDPA หนึ่งในนั้นคือต้องปฏิบัติตามสิทธิของเจ้าของข้อมูลส่วนบุคคล ซึ่งข้อมูลเหล่านั้นอาจเป็นของลูกค้า พนักงานในองค์กร หรือคู่ค้าของบริษัท ที่ธุรกิจขอความยินยอมเพื่อเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ได้แจ้งไว้ หากไม่ปฏิบัติตาม จนทำให้ข้อมูลส่วนบุคคลโดนผู้ไม่ประสงค์ดีแฮ็คข้อมูลไป หรือข้อมูลรั่วไหลไปสู่ภายนอกโดยบังเอิญ องค์กรนั้นก็ต้องรับบทลงโทษ PDPA

PDPA คืออะไร

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือกฎหมาย PDPA (Personal Data Protection Act) เป็นกฎหมายที่คุ้มครองข้อมูลส่วนบุคคลที่สามารถระบุถึงตัวเจ้าของข้อมูลนั้นได้ เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ บัญชีธนาคาร อีเมล ไอดีไลน์ บัญชีผู้ใช้ของเว็บไซต์ ลายนิ้วมือ ประวัติสุขภาพ เป็นต้น ซึ่งธุรกิจควรมีการเตรียมความพร้อมในการจัดวางโครงสร้างหรือระบบรองรับการใช้และจัดเก็บข้อมูลส่วนบุคคล รวมถึงการจัดทำเอกสารทางกฎหมายให้เป็นไปตามมาตรฐานไว้แต่เนิ่นๆ เนื่องจากกฎหมาย PDPA กำลังจะมีการบังคับใช้เต็มรูปแบบในเดือนมิถุนายน 2565 นี้

ข้อมูลส่วนบุคคลมีอะไรบ้าง

การจัดการข้อมูลส่วนบุคคลของธุรกิจโดยเฉพาะอย่างยิ่งการใช้หรือเก็บข้อมูลส่วนบุคคลที่กฎหมาย PDPA กำหนดว่าจะต้องขอความยินยอม (Consent) และแจ้งวัตถุประสงค์ให้เจ้าของข้อมูลส่วนบุคคลรู้ถือว่ามีความสำคัญมาก เนื่องจากข้อมูลส่วนบุคคลแบ่งออกเป็น 2 ประเภท คือ ข้อมูลส่วนบุคคลทั่วไป และข้อมูลส่วนบุคคลที่อ่อนไหว ซึ่งกฎหมายกำหนดความเข้มงวดในการเก็บข้อมูลส่วนบุคคลทั้ง 2 ประเภทต่างกัน สำหรับข้อมูลส่วนบุคคลที่อ่อนไหวเป็นข้อมูลที่มีความเสี่ยงต่อการถูกละเมิดมากกว่าข้อมูลส่วนบุคคลทั่วไป ดังนั้น ธุรกิจจึงควรเก็บข้อมูลเท่าที่จำเป็น และเก็บตามวัตถุประสงค์ที่ได้แจ้งไว้กับเจ้าของข้อมูลเท่านั้น โดยข้อมูลส่วนบุคคลประเภทต่างๆ มีรายละเอียด ดังนี้

ข้อมูลส่วนบุคคลทั่วไป (Personal Data)

เป็นข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม ทั้งข้อมูลในรูปแบบออนไลน์หรือออฟไลน์ เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ อีเมล เลขบัตรประชาชน เลขที่บัญชีธนาคาร

ข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Personal Data)

เป็นข้อมูลที่ระบุตัวบุคคลได้เฉพาะเจาะจงมากขึ้น เช่น เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ (face ID, ลายนิ้วมือ) หรือข้อมูลอื่นในทำนองเดียวกัน ซึ่งข้อมูลเหล่านี้มีความละเอียดอ่อนสูง ถ้าถูกนำไปใช้โดยไม่ได้รับอนุญาตอาจเป็นอันตรายต่อเจ้าของข้อมูลหรือได้รับการปฏิบัติอย่างไม่เป็นธรรมได้ ดังนั้น กฎหมาย PDPA จึงต้องให้ความคุ้มครองอย่างเข้มงวดมากกว่าข้อมูลส่วนบุคคลทั่วไป

สิทธิของเจ้าของข้อมูลส่วนบุคคล

กฎหมาย PDPA กำหนดหน้าที่ให้ธุรกิจในฐานะผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ขอความยินยอม (Consent) ต่อเจ้าของข้อมูลส่วนบุคคล เพื่อเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคล ดังนั้น จึงเป็นสิทธิของเจ้าของข้อมูลส่วนบุคคลที่จะให้ความยินยอมให้ใช้ข้อมูลเหล่านั้นหรือไม่ก็ได้ ในกรณีที่ให้ความยินยอมแล้ว เจ้าของข้อมูลก็ยังคงมีสิทธิในข้อมูลของตัวเองตามกฎหมาย และสามารถใช้สิทธินั้นได้โดยแบ่งออกได้ ดังนี้

1. สิทธิได้รับการแจ้งให้ทราบ

ผู้ควบคุมข้อมูลส่วนบุคลล จะต้องแจ้งรายละเอียดและวัตถุประสงค์ในการรวบรวมข้อมูล การใช้ หรือเผยแพร่ให้เจ้าของข้อมูลทราบก่อนหรือขณะเก็บรวบรวมข้อมูล โดยเจ้าของข้อมูลมีสิทธิที่จะทราบว่าจะจัดเก็บข้อมูลอะไรบ้าง รวมถึงระยะเวลาการจัดเก็บ สถานที่ และวิธีการติดต่อกับผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งเรามักจะเห็นการแจ้งข้อมูลเหล่านี้ตามข้อกำหนดและเงื่อนไขก่อนที่ผู้ใช้งานเว็บไซต์จะสมัครสมาชิก หรืออาจเป็นการขอความยินยอมผ่านแบบฟอร์มก็ได้

2. สิทธิในการแก้ไขข้อมูล

เจ้าของข้อมูลมีสิทธิที่จะขอแก้ไขข้อมูลส่วนบุคคลของตนเองให้ถูกต้อง เป็นปัจจุบัน และไม่ก่อให้เกิดความเข้าใจผิดได้ โดยตามเว็บไซต์ส่วนใหญ่ เราจะสามารถเข้าไปแก้ไขข้อมูลส่วนตัว เช่น ที่อยู่ เบอร์โทรศัพท์ รหัสผ่าน ในหน้าบัญชีสมาชิกเองได้

3. สิทธิในการเพิกถอนความยินยอม

กรณีเจ้าของข้อมูลเคยให้ความยินยอมในการใช้ข้อมูลไป ต่อมาเกิดเปลี่ยนใจหรือไม่ได้ใช้บริการกับธุรกิจนั้นแล้ว ก็สามารถยกเลิกความยินยอมนั้นเมื่อไหร่ก็ได้ เช่น เราสามารถขอยกเลิกติดตามข่าวสารทางอีเมลของเว็บไซต์ได้ โดยกดที่ปุ่ม unsubscribe ที่แนบมาในอีเมล โดยการยกเลิกนี้ไม่ควรเป็นวิธีที่ยุ่งยากซับซ้อน ไม่กำหนดเงื่อนไข หรือต้องให้เจ้าของข้อมูลส่วนบุคคลเสียค่าใช้จ่าย

4. สิทธิในการขอระงับการใช้ข้อมูล

ในกรณีที่เจ้าของข้อมูลส่วนบุคคลเปลี่ยนใจไม่ต้องการให้ข้อมูลแล้ว หรือไม่ต้องการให้ทำลายข้อมูลเมื่อครบกำหนดที่ต้องทำลาย เพราะมีความจำเป็นต้องนำข้อมูลไปใช้ในทางกฎหมาย หรือการเรียกร้องสิทธิ ก็สามารถทำได้

5. สิทธิในการเข้าถึง ขอสำเนา หรือให้เปิดเผยถึงการได้มาของข้อมูลส่วนบุคคล

ถ้าเจ้าของข้อมูลส่วนบุคคลไม่แน่ใจว่าได้เคยให้ความยินยอมกับภาคธุรกิจไปหรือไม่ ก็สามารถใช้สิทธิการเข้าถึงข้อมูลนั้นได้โดยต้องไม่ขัดต่อกฎหมายหรือคำสั่งศาล และการใช้สิทธินั้นต้องไม่ละเมิดสิทธิหรือเสรีภาพของบุคคลอื่น ตัวอย่างเช่นผู้ใช้งานเว็บไซต์อาจเข้าไปดูข้อมูลตนเองในบัญชีสมาชิกของตนเองได้ หรือร้องขอกับผู้ดูแลระบบเพื่อขอดูข้อมูลของตนเองได้

6. สิทธิในการขอรับและให้โอนย้ายข้อมูลส่วนบุคคล

ในกรณีที่เจ้าของข้อมูลส่วนบุคคลต้องการให้ธุรกิจที่มีข้อมูลส่วนบุคคลของตนโอนข้อมูลนั้นให้กับอีกธุรกิจอีกราย ซึ่งข้อมูลที่โอนไปนั้น เจ้าของข้อมูลส่วนบุคคลก็ยังขอรับสำเนาข้อมูลนั้นจากธุรกิจที่เป็นผู้จัดทำข้อมูลได้อีกด้วย แต่การใช้วิธีการดังกล่าวต้องไม่ขัดต่อกฎหมาย สัญญา หรือละเมิดสิทธิเสรีภาพของบุคคลอื่น เช่น การย้ายพนักงานจากบริษัทหนึ่งไปยังอีกบริษัทหนึ่ง ตัวพนักงานก็สามารถใช้สิทธิให้บริษัทแรกโอนย้ายข้อมูลส่วนบุคคลไปยังบริษัทที่กำลังจะย้ายไปได้ รวมถึงขอรับสำเนาข้อมูลของตนเองได้

7. สิทธิในการขอคัดค้านการเก็บรวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

เจ้าของข้อมูลส่วนบุคคลสามารถคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้ โดยร้องขอต่อผู้ควบคุมข้อมูลเมื่อไรก็ได้ โดยร้องขอผ่านแบบฟอร์มที่ผู้ให้บริการจัดไว้ หรือติดต่อกับผู้ดูแลระบบ

8. สิทธิในการขอให้ลบ หรือทำลายข้อมูลส่วนบุคคล

ธุรกิจจะต้องเป็นผู้รับผิดชอบค่าใช้จ่าย ถ้าเจ้าของข้อมูลขอให้ธุรกิจลบหรือทำลายข้อมูลส่วนบุคคล หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวตนได้ ในกรณีที่ข้อมูลส่วนบุคคลหมดความจำเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์ หรือธุรกิจนำข้อมูลไปเผยแพร่ในที่สาธารณะ หรือเจ้าของข้อมูลเห็นว่าข้อมูลของตนนั้นสามารถเข้าถึงได้ง่ายเกินไป

9. สิทธิในการร้องเรียน

เจ้าของข้อมูลมีสิทธิร้องเรียนต่อพนักงานเจ้าหน้าที่และคณะกรรมการตาม PDPA ได้ ถ้าผู้ควบคุมข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคล ฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมาย รวมถึงมีสิทธิในการเรียกค่าสินไหมทดแทนทางศาลด้วย

บทลงโทษหากไม่ปฏิบัติตาม PDPA

ในกรณีที่เจ้าของข้อมูลส่วนบุคคลได้ร้องขอตามสิทธิ PDPA แล้ว แต่ธุรกิจเพิกเฉย ไม่ปฏิบัติตามหน้าที่ที่ต้องพิจารณาคำร้องและดำเนินการตามคำร้องเพื่อให้เป็นไปตามสิทธิของเจ้าของข้อมูล หรือถ้าธุรกิจไม่ปฏิบัติตาม PDPA จนเกิดเหตุการณ์ที่ข้อมูลส่วนบุคคลถูกละเมิดก็อาจเกิดผลกระทบต่อธุรกิจได้ บทลงโทษ PDPA จึงกำหนดโทษไว้ 3 ส่วนด้วยกัน คือ โทษทางแพ่ง โทษทางอาญา และโทษทางปกครอง

โทษทางแพ่ง

ธุรกิจที่ทำให้เจ้าของข้อมูลส่วนบุคคลเสียหายจะต้องใช้ค่าสินไหมทดแทน ไม่ว่าจะจงใจให้เกิดเหตุการณ์นั้นขึ้นหรือไม่ตั้งใจก็ตาม ยกเว้นว่าจะพิสูจน์ได้ว่าเกิดจากเหตุสุดวิสัยหรือเกิดจากการกระทำหรือละเว้นการกระทำของเจ้าของข้อมูลส่วนบุคคลนั้นเอง หรือเป็นการปฏิบัติตามคำสั่งของเจ้าหน้าที่ซึ่งปฏิบัติการตามหน้าที่และอำนาจตามกฎหมาย ดังนั้น ภาคธุรกิจจึงควรสร้าง Awareness ให้พนักงานในองค์กรรู้หน้าที่และความรับผิดชอบของตน ด้วยการเทรนนิ่งหรือให้ความรู้ PDPA จากบริการ PDPA Training & Seminars ของ PDPA Coreเพื่อลดความเสี่ยงจากการดำเนินงานเกี่ยวกับข้อมูลส่วนบุคคลผิดพลาดโดยไม่ตั้งใจ ซึ่งอาจนำไปสู่การละเมิดข้อมูลส่วนบุคคลและถือเป็นความผิดตามกฎหมาย PDPA ได้

สำหรับค่าสินไหมทดแทนจะรวมถึงค่าใช้จ่ายที่เจ้าของข้อมูลได้จ่ายไปตามความจำเป็น เพื่อป้องกันความเสียหายที่กำลังจะเกิดขึ้น หรือระงับความเสียหายที่เกิดขึ้นด้วย และศาลอาจกำหนดให้ผู้กระทำผิดจ่ายเพิ่มเติมจากจำนวนค่าสินไหมทดแทนที่แท้จริงได้ แต่ต้องไม่เกินกว่า 2 เท่าของค่าสินไหมทดแทนที่แท้จริง บทลงโทษ PDPA ในทางแพ่ง มีอายุความ 3 ปี นับแต่วันที่ผู้เสียหายรู้ถึงความเสียหาย และรู้ตัวผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคลที่ต้องรับผิด หรือ 10 ปีนับแต่วันที่มีการละเมิดข้อมูลส่วนบุคคล

โทษทางอาญา

บทลงโทษ PDPA ทางอาญานั้นสามารถยอมความได้ โดยความผิดเกิดจากการที่ธุรกิจในฐานะผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือเปิดเผยข้อมูลส่วนบุคคลอ่อนไหวนอกเหนือไปจากวัตถุประสงค์ที่ได้แจ้งเจ้าของข้อมูลส่วนบุคคลไว้ หรือโอนข้อมูลอ่อนไหวไปยังต่างประเทศโดยไม่ชอบด้วยกฎหมาย ซึ่งผลของความเสียหายต่อเจ้าของข้อมูลส่วนบุคคลก็จะแตกต่างกัน โดยมีรายละเอียดดังนี้

• การกระทำความผิดนั้นอาจทำให้เจ้าของข้อมูลส่วนบุคคลเสียหาย เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย ต้องระวางโทษจำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 500,000 บาท หรือทั้งจำทั้งปรับ
• ความกระทำความผิดนั้นเกิดจากการที่ธุรกิจแสวงหาประโยชน์สำหรับตนเองหรือผู้อื่นโดยทุจริต ต้องระวางโทษจำคุกไม่เกิน 1 ปี หรือปรับไม่เกิน 1,000,000 บาท หรือทั้งจำทั้งปรับ
• ความผิดฐานเปิดเผยข้อมูลส่วนบุคคล ผู้ใดล่วงรู้ข้อมูลส่วนบุคคลของผู้อื่นเนื่องจากการปฏิบัติหน้าที่ตาม PDPA แล้วนำไปเปิดเผยแก่ผู้อื่น ต้องระวางโทษจำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 500,000 บาท หรือทั้งจำทั้งปรับ
• ในกรณีที่ผู้กระทำผิดเป็นนิติบุคคล บุคคลที่กระทำความผิดต้องรับผิดชอบในการดำเนินงานของนิติบุคคลนั้นๆ และรับโทษตามความผิดนั้นๆ อีกด้วย

อย่างไรก็ตาม ผู้ควบคุมข้อมูลส่วนบุคคลได้รับการยกเว้นความผิดในกรณีที่เป็นการเปิดเผยข้อมูลส่วนบุคคลตามหน้าที่ หรือเพื่อประโยชน์แก่การสอบสวน หรือการพิจารณาคดี หรือเปิดเผยแก่หน่วยงานของรัฐในประเทศหรือต่างประเทศที่มีอำนาจหน้าที่ หรือเปิดเผยที่ได้รับความยินยอมเป็นหนังสือเฉพาะครั้งจากเจ้าของข้อมูลส่วนบุคคล หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับการฟ้องร้องคดีต่างๆ ที่เปิดเผยต่อสาธารณะ

โทษทางปกครอง

บทลงโทษ PDPA ในทางปกครอง มีอัตราโทษปรับทางปกครองสูงสุดไม่เกิน 5,000,000 บาท หรือในกรณีที่คณะกรรมการผู้เชี่ยวชาญเห็นสมควรอาจจะสั่งให้แก้ไขหรือตักเตือนก่อนก็ได้ โดย PDPA กำหนดโทษของผู้ควบคุมข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคล ตัวแทน และโทษทางปกครองอื่นๆ ดังนี้

โทษของผู้ควบคุมข้อมูลส่วนบุคคล

• ไม่ขอความยินยอมหรือไม่แจ้งผลกระทบจากการถอนความยินยอม
• ไม่แจ้งการเก็บข้อมูลส่วนบุคคล
• ไม่ให้เจ้าของข้อมูลส่วนบุคคลเข้าถึงข้อมูลตามสิทธิ
• ไม่ทำบันทึกรายการตามที่กฎหมายกำหนด
• ไม่มีเจ้าหน้าที่หรือไม่จัดให้มีเจ้าหน้าที่ดูแลข้อมูลส่วนบุคคลอย่างเพียงพอ
• เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากฐานทางกฎหมาย
• ใช้ข้อมูลส่วนบุคคลผิดไปจากวัตถุประสงค์ที่แจ้งเอาไว้
• เก็บข้อมูลส่วนบุคคลเกินกว่าที่จำเป็น
• เก็บข้อมูลส่วนบุคคลจากแหล่งอื่นที่ต้องห้ามตามกฎหมาย
• ทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
• ไม่ปฏิบัติตามหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล

โทษของผู้ประมวลผลข้อมูลส่วนบุคคล

• การไม่จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือไม่มีการสนับสนุนการปฏิบัติหน้าที่อย่างเพียงพอ
• การไม่ปฏิบัติตามคำสั่งของผู้ควบคุมข้อมูลส่วนบุคคล การไม่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม
• การไม่จัดทำบันทึกรายการกิจกรรมการประมวลผล
• การโอนข้อมูลส่วนบุคคลทั่วไปและข้อมูลส่วนบุคคลที่อ่อนไหวไปต่างประเทศโดยไม่ชอบด้วยกฎหมาย

บทลงโทษ PDPA ทางปกครองอื่นๆ

• ตัวแทนของผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคล ไม่จัดให้มีบันทึกรายการประมวลผลข้อมูลส่วนบุคคล
• ไม่ปฏิบัติตามคำสั่งคณะกรรมการผู้เชี่ยวชาญ หรือไม่มาชี้แจงข้อเท็จจริง หรือไม่ส่งข้อมูลให้คณะกรรมการผู้เชี่ยวชาญ

สิ่งสำคัญที่ธุรกิจในฐานะผู้ควบคุมข้อมูลส่วนบุคคลจะต้องปฏิบัติ คือ การดำเนินการตามสิทธิของเจ้าของข้อมูลส่วนบุคคล โดยเฉพาะการขอความยินยอม (Consent) ตามกฎหมาย PDPA ถือว่าเป็นขั้นตอนที่สำคัญมากที่สุด เพราะถ้าไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลแล้ว ธุรกิจก็ไม่อาจนำข้อมูลนั้นมาใช้ได้ และเมื่อได้รับความยินยอมแล้วก็จะต้องใช้ข้อมูลตามวัตถุประสงค์ที่ได้แจ้งไว้ รวมทั้งดูแลรักษาข้อมูลนั้นให้ปลอดภัย ป้องกันผู้อื่นละเมิดสิทธิความเป็นส่วนตัวของเจ้าของข้อมูล

ซึ่งหากข้อมูลรั่วไหลออกไปก็อาจนำมาซึ่งความเสียหายต่อเจ้าของข้อมูลส่วนบุคคล และธุรกิจในฐานะผู้ควบคุมข้อมูลส่วนบุคคลก็อาจมีความผิดตามกฎหมาย ทั้งทางแพ่ง อาญา และปกครองได้ ทั้งนี้ ก็มีบริการทีมผู้เชี่ยวชาญด้านกฎหมายมากประสบการณ์จากบริการ PDPA Advisory ที่มีความเข้าใจเชิงลึกเกี่ยวกับ PDPA จาก PDPA Core ที่สามารถช่วยธุรกิจให้ปฏิบัติตาม PDPA ได้อย่างถูกต้อง