คอลัมนิสต์

ความรับผิดทางอาญาตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

By สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล29 เม.ย. 2022 เวลา 8:10 น.
ความรับผิดทางอาญาตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนดหน้าที่ขององค์กรในฐานะผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคลที่ต้องปฏิบัติ เมื่อดำเนินการประมวลผลข้อมูลส่วนบุคคลไว้หลายประการ

พร้อมทั้งได้กำหนดมาตรการเพื่อบังคับการให้เป็นไปตามกฎหมายไว้ด้วยกล่าวคือ กำหนดให้องค์กรอาจมีความรับผิดทางแพ่ง โทษทางอาญา และโทษทางปกครอง ในกรณีที่องค์กรปฏิบัติฝ่าฝืนกฎหมาย

ซึ่งเป็นการบัญญัติที่สอดคล้องกับกฎหมายอีกหลาย ๆ ฉบับที่ต้องการให้มีมาตรการบังคับเพื่อให้เป็นไปตามกฎหมาย 

   

มาตรการลงโทษหนึ่งที่ถูกกำหนดไว้ในพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ที่มักถูกกล่าวถึงเสมอคือ “ความรับผิดทางอาญา” ของผู้บริหารนิติบุคคลซึ่งกฎหมายกำหนดขึ้น 

เพื่อให้ผู้บริหารของนิติบุคคลปฏิบัติหน้าที่ตามกฎหมายด้วยความรับผิดชอบ (accountability) หากมีหน้าที่ในฐานะผู้นำขององค์กร ควรสั่งการหรือกระทำการให้สอดคล้องกับกฎหมายก็พึงต้องกระทำ 

    ในขณะเดียวกันก็ต้องไม่เพิกเฉยหรือละเลย ละเว้นไม่สั่งการหรือไม่กระทำการจนเป็นเหตุให้นิติบุคคลนั้นกระทำความผิดอีกด้วย ซึ่งกฎหมายหลาย ๆ ฉบับก็มีมาตรการบังคับในทำนองเดียวกัน 

ตัวอย่างเช่น มาตรา 77 แห่งพ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ.2562 ซึ่งเป็นกฎหมายที่ตราขึ้นในช่วงเวลาเดียวกัน เป็นต้น 

เนื้อหาที่เกี่ยวข้อง

ขณะที่ในบริบทของสังคมโลก ก็มีการนำมาตรการลงโทษทางอาญามาใช้เพื่อบังคับการให้เป็นไปตามกฎหมายเช่นเดียวกัน ในโอกาสนี้ สำนักงานฯ ขอยกกรณีศึกษาของ 2 ประเทศ ได้แก่ ประเทศเยอรมนี และประเทศสิงคโปร์มาเปรียบเทียบเพื่อทำความเข้าใจ

    ประเทศเยอรมนีเป็นรัฐสมาชิกของสหภาพยุโรป ที่มีส่วนสำคัญในการผลักดันให้มี General Data Protection Regulation หรือ GDPR ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศในกลุ่มสหภาพยุโรป 

ความรับผิดทางอาญาตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

และปัจจุบันได้เป็นกฎหมายต้นแบบของหลายๆ  ประเทศ ในการตรากฎหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลซึ่งก็รวมถึง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ของประเทศไทยด้วย

    ตาม GDPR นั้นจะไม่มีบทกำหนดโทษทางอาญา มีแต่ค่าปรับทางปกครองในอัตราที่สูงมาก โดยค่าปรับในอัตราสูงสุดจะอยู่ที่ร้อยละ 4 ของผลประกอบการรวมจากทั่วโลก (ไม่ใช่เฉพาะแต่ผลประกอบการในสหภาพยุโรป) 

แต่การที่ GDPR ไม่มีบทกำหนดโทษทางอาญาไม่ใช่ว่าสหภาพยุโรปจะเห็นว่ากฎหมายคุ้มครองข้อมูลส่วนบุคคลไม่ควรมีโทษทางอาญา แต่เพราะว่า “การลงโทษทางอาญา” ไม่อยู่ในขอบอำนาจของสหภาพยุโรป ดังนั้น กฎหมายของสหภาพยุโรป “จึงไม่มีโทษทางอาญา”

    อย่างไรก็ตาม การกำหนดโทษทางอาญายังคงเป็นอำนาจของรัฐสมาชิก รัฐสมาชิกสามารถกำหนดมาตรการเพิ่มเติมเท่าที่ไม่ขัดหรือแย้งกับ GDPR เพื่อให้กฎหมายมีผลใช้บังคับได้ 

ความรับผิดทางอาญาตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

ในประเทศเยอรมนีที่มีการตรา Federal Data Protection Act 2017 (BDSG) ขึ้น ก็มีการกำหนดโทษทางอาญาไว้ในมาตรา 42 ของกฎหมายดังกล่าวโดยกำหนดโทษจำคุกไว้ไม่เกิน 3 ปีหรือปรับในกรณีที่กระทำผิดเงื่อนไขเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด 

    ในขณะที่ประเทศสิงคโปร์ ได้มีการแก้ไขกฎหมายคุ้มครองข้อมูลส่วนบุคคลตาม Personal Data Protection (Amendment) Act 2020 (No. 40 of 2020) มีผลใช้บังคับเมื่อวันที่ 1 ก.พ.2564  โดยเพิ่มเติมบทบัญญัติว่าด้วยความรับผิดทางอาญา ไว้ 3 กรณี ได้แก่
(1)    การเปิดเผยข้อมูลส่วนบุคคลโดยไม่ชอบด้วยกฎหมาย (Singapore PDPA section 48D)
(2)    การใช้ข้อมูลส่วนบุคคลโดยไม่ชอบด้วยกฎหมายและทำให้ได้มาซึ่งผลประโยชน์หรือทำให้เกิดความเสียหายต่อบุคคล (Singapore PDPA section 48E)
(3)    การระบุกลับอัตลักษณ์ของบุคคล (re-identification) โดยไม่ชอบด้วยกฎหมาย (Singapore PDPA section 48F)

ความรับผิดทางอาญาตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

นอกจากนี้ ในการแก้ไขดังกล่าวยังได้กำหนดด้วยว่า ในกรณีที่การกระทำความผิดตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลเกิดจากการกระทำความผิดของนิติบุคคล ให้กรรมการหรือผู้บริหารของนิติบุคคลมีความรับผิดด้วยหากการกระทำผิดนั้น

เกิดจากการกระทำหรือการงดเว้นกระทำของกรรมการหรือผู้มีอำนาจ (SG PDPA section 52)  โดยความรับผิดทางอาญานั้นมีโทษปรับไม่เกิน 5,000 เหรียญสิงคโปร์ หรือโทษจำคุกไม่เกิน 2 ปี หรือทั้งจำทั้งปรับ

หากพิจารณาความรับผิดทางอาญาตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ เทียบกับกฎหมายของสิงคโปร์จะพบว่า ขอบเขตความรับผิดทางอาญาของไทยตามาตรา 79 และมาตรา 80 นั้นแคบกว่ากฎหมายของประเทศสิงคโปร์ 

โดยเฉพาะความรับผิดทางอาญาตามมาตรา 79 ต้องเป็นกรณีที่เกี่ยวเนื่องกับการประมวลผลข้อมูลส่วนบุคคลตามาตรา 26 (ข้อมูลส่วนบุคคลอ่อนไหว) โดยไม่ชอบด้วยกฎหมายเท่านั้นอีกทั้งในส่วนของโทษจำคุกก็กำหนดไว้น้อยกว่า 

กล่าวคือ จำคุกไม่เกิน 6 เดือน หรือ 1 ปี และต้องการเจตนาพิเศษในทางกฎหมายอาญาประกอบด้วยหากจะให้กรรมการ หรือผู้บริหารของนิติบุคคลต้องรับผิด

สำนักงานฯ จึงขอถือโอกาสนี้สื่อสารไปยังสาธารณะเกี่ยวกับข้อกังวลที่ว่าพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ มีการกำหนดโทษทางอาญาทั้ง ๆ ที่ GDPR ที่เป็นกฎหมายต้นแบบไม่ได้กำหนดไว้ หรือประเทศสิงคโปร์ไม่ได้กำหนดไว้ 

แต่กฎหมายไทยกำหนดโทษและความรับผิดไว้สูงเกินกว่านานาอารยประเทศที่ใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลมาก่อนประเทศไทยอาจจะยังเป็นความเข้าใจที่คลาดเคลื่อนอยู่จากข้อเท็จจริงและข้อกฎหมายที่ใช้บังคับอยู่ในปัจจุบัน.