กฎหมายคุ้มครองข้อมูลส่วนบุคคล: ผลของการไม่ปฏิบัติตามกฎหมาย
ในกรณีที่มีการมอบหมายหน้าที่ให้กับผู้ประมวลผลข้อมูลนั้น ผู้ควบคุมข้อมูลจะต้องจัดให้มีข้อตกลงกับผู้ประมวลผลข้อมูล
เพื่อควบคุมการดำเนินงานของผู้ประมวลผลข้อมูลให้เป็นไปตาม พระราชบัญญัติ(พ.ร.บ.) คุ้มครองข้อมูลส่วนบุคคลฯ กฎหมายระบุไว้แต่เพียงเท่านี้ ไม่ได้กำหนดรายละเอียดเอาไว้โดยชัดเจนว่าข้อตกลงดังกล่าวจะต้องประกอบไปด้วยอะไรบ้าง ผู้ประกอบธุรกิจจึงควรใช้ความระมัดระวังในการร่าง หรือตรวจสอบสัญญาแต่งตั้งผู้ประมวลผลข้อมูล โดยเฉพาะอย่างยิ่งผู้ควบคุมข้อมูลต้องพึงระวังว่าตนเองยังคงมีหน้าที่และความรับผิดตามกฎหมายอยู่ แม้ว่าจะได้แต่งตั้งให้ผู้ประมวลผลข้อมูลดำเนินการในเรื่องต่าง ๆ แทนตนก็ตาม ดังนั้น จึงควรมีข้อกำหนดให้ผู้ประมวลผลข้อมูลชดใช้ค่าเสียหายให้แก่ผู้ควบคุมข้อมูลในกรณีที่ผู้ประมวลผลข้อมูลดำเนินการที่ไม่เป็นไปตามกฎหมายฉบับนี้ อันส่งผลให้ผู้ควบคุมข้อมูลต้องรับผิดด้วย อย่างไรก็ดี ข้อตกลงชดใช้ค่าเสียหายนี้อาจไม่สามารถเยียวยาโทษได้ทุกประเภท เช่น ในกรณีที่เป็นโทษจำคุกทางอาญา
สำหรับโทษในกรณีไม่ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล กฎหมายฉบับนี้ได้กำหนดโทษไว้ 3 ประเภท ได้แก่ โทษทางปกครอง โทษทางแพ่ง และโทษทางอาญา
โทษทางปกครองที่กำหนดไว้ในพระราชบัญญัติฉบับนี้คือ โทษปรับทางปกครองที่คณะกรรมการผู้เชี่ยวชาญมีอำนาจสั่งปรับได้ตามความร้ายแรงของการกระทำความผิด ทั้งนี้โทษปรับสูงสุดอยู่ที่ 5 ล้านบาท ทั้งนี้คณะกรรมการผู้เชี่ยวชาญอาจสั่งให้ผู้กระทำความผิดแก้ไข หรือตักเตือนก่อนที่จะมีคำสั่งปรับ
ส่วนโทษทางแพ่งคือ ค่าเสียหายที่ผู้ประกอบธุรกิจอาจต้องชดใช้ให้แก่เจ้าของข้อมูลในกรณีที่การไม่ปฏิบัติตามพระราชบัญญัตินี้ทำให้เกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคล ทั้งนี้แม้ว่า การกระทำนั้นจะไม่ได้เกิดจากความจงใจหรือประมาทเลินเล่อก็ตาม (เว้นแต่ว่าผู้ประกอบธุรกิจจะสามารถยกข้อต่อสู้ตามกฎหมายขึ้นอ้างได้) สิ่งที่ควรระวังคือ ศาลสั่งให้ผู้ประกอบธุรกิจชำระค่าเสียหายเพิ่มเติมเป็นค่าเสียหายเชิงลงโทษได้ตามที่ศาลเห็นสมควรแต่ไม่เกิน 2 เท่าของค่าเสียหายที่แท้จริง และหากเป็นกรณีที่มีผู้เสียหายหลายคนจากเหตุการณ์เดียวกัน เช่น กรณีข้อมูลของลูกค้า 200 คนรั่วไหล ลูกค้าเหล่านี้อาจรวมตัวกันและใช้วิธีการพิจารณาคดีแบบกลุ่ม (Class Action) หากศาลพิจารณาว่ามีความเสียหายจากการรั่วไหลของข้อมูลเกิดขึ้น และกำหนดค่าเสียหายให้คนละ 1 ล้านบาท มีลูกค้าที่ได้รับความเสียหาย 200 คน ค่าเสียหายทั้งหมดที่ผู้ประกอบธุรกิจจะต้องรับผิดชอบก็จะสูงถึง 200 ล้านบาท
โทษประเภทสุดท้ายคือ โทษทางอาญา ซึ่งมีทั้งโทษจำคุกและโทษปรับ โดยโทษจำคุกสูงสุดหนึ่งปีและโทษปรับสูงสุด 1 ล้านบาท ขึ้นอยู่กับความร้ายแรงของการกระทำความผิด และในกรณีที่ผู้ประกอบธุรกิจเป็นนิติบุคคล กรรมการ ผู้จัดการ หรือผู้ที่รับผิดชอบการดำเนินงานของนิติบุคคลนั้นอาจจะต้องรับผิดเป็นส่วนตัวสำรับการกระทำความผิดนั้น ๆ ด้วย
สิ่งที่อยากฝากไว้ให้ผู้ประกอบธุรกิจทุกท่านพิจารณาคือ ในการกระทำความผิดครั้งหนึ่งๆ นั้น อาจทำให้ท่านต้องรับผิดในโทษทั้ง 3 ประเภท ไม่ใช่เพียงโทษประเภทใดประเภทหนึ่ง นอกจากนี้หากธุรกิจของท่านเป็นธุรกิจที่ถูกควบคุมเป็นพิเศษ เช่น ธุรกิจธนาคารพาณิชย์ ธุรกิจโทรคมนาคม การกระทำความผิดตามพระราชบัญญัติฉบับนี้อาจส่งผลให้เกิดความรับผิดตามกฎหมายที่ใช้บังคับเฉพาะกับธุรกิจของท่านด้วยก็เป็นได้
[ บทความนี้เป็นความเห็นส่วนตัวของผู้เขียนอันเป็นความเห็นในทางวิชาการ และไม่ใช่ความเห็นของบริษัท อัลเลน แอนด์ โอเวอรี่ (ประเทศไทย) จำกัด ที่ผู้เขียนทำงานอยู่ ]
โดย...
ภูริตา ธนโชคโสภณ
บริษัท อัลเลน แอนด์ โอเวอรี่ (ประเทศไทย) จำกัด
