ส่องบทลงโทษ "PDPA" เริ่ม 1 มิ.ย.65 ฝ่าฝืนต้องโดนอะไรบ้าง?

"ข้อมูลส่วนบุคคลในมือคุณ ย่อมมาพร้อมกับความรับผิดชอบอันใหญ่หลวง" ตั้งแต่วันที่ 1 มิ.ย. 65 ประเทศไทยเริ่มบังคับใช้ "PDPA" หรือ "พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562" ซึ่งจะเป็นจุดเริ่มต้นสำคัญที่ทั้งหน่วยงานภาครัฐและเอกชน ต้องให้ความสำคัญกับการบริหารจัดการ "ข้อมูลส่วนบุคคล" ของ "ลูกค้า" หรือ "ประชาชน" อย่างรอบคอบ ไม่ว่าจะเป็นกระบวนการรวบรวม จัดเก็บ ใช้ หรือเปิดเผยข้อมูล เพื่อไม่ให้กระทบต่อสิทธิส่วนบุคคล ตามกฎหมายฉบับนี้

"กรุงเทพธุรกิจออนไลน์" สรุปหลักเกณฑ์เบื้องต้นของ "กฎหมาย PDPA" ที่ต้องทำความเข้าใจ และรับผิดชอบ

PDPA คืออะไร ?

PDPA (Personal Data Protection Act) หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 มีขึ้นเพื่อให้เอกชนและรัฐที่เก็บรวมรวม ใช้ เปิดเผย และ/หรือ โอนข้อมูลส่วนบุคคลในราชอาณาจักรไทย ให้เป็นไปตามมาตรการปกป้องข้อมูลของผู้อื่นจากการถูกละเมิดสิทธิส่วนตัว โดยต้องขอ "ความยินยอม" จากเจ้าของข้อมูล ก่อนการเก็บ รวบรวม ใช้ หรือเปิดเผย

และมีผลใช้บังคับ กรณีผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประเมินผลข้อมูลส่วนบุคคลที่อยู่นอกราชอาณาจักร หากมีกิจกรรม ดังนี้

- เสนอขายสินค้าหรือบริการแก่เจ้าของข้อมูลส่วนบุคคล ที่อยู่ในราชอาณาจักร ไม่ว่าจะมีการชำระเงินหรือไม่ก็ตาม 

- เฝ้าติดตามพฤติกรรมของเจ้าของข้อมูลส่วนบุคคลที่เกิดขึ้นในราชอาณาจักร

ข้อมูลส่วนบุคคล ณ ที่นี้ มีอะไรบ้าง ?

ข้อมูลเกี่ยวกับบุคคลที่ทำให้ระบุตัวบุคคลได้ ทั้งทางตรงและทางอ้อม มีดังต่อไปนี้

• เลขประจำตัวประชาชน
• ชื่อ-นามสกุล
• ที่อยู่
• เบอร์โทรศัพท์
• อีเมล
• ข้อมูลทางการเงิน
• เชื้อชาติ
• พฤติกรรมทางเพศ
• ประวัติอาชญากรรม
• ข้อมูลสุขภาพ เป็นต้น

ฝ่าฝืน PDPA มีบทลงโทษ อย่างไร ?

รับผิดทางแพ่ง

ค่าสินไหมทดแทนจากความเสียหายที่ได้รับจริง และศาลสั่งลงโทษเพิ่มขึ้นได้ไม่เกิน 2 เท่าของสินไหมทดแทน

โทษทางปกครอง

- ไม่ขอความยินยอมให้ถูกต้อง ไม่แจ้งรายละเอียดให้เจ้าของข้อมูลทราบ ไม่ให้เจ้าขอข้อมูลเข้าถึงตามสิทธิ ฯลฯ ปรับไม่เกิน 1 ล้านบาท

- เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากฐานทางกฎหมาย ปรับไม่เกิน 3 ล้านบาท

- เก็บรวบรวม ใช้ เปิดเผยหรือโอนข้อมูลส่วนบุคคลอ่อนไหว โดยไม่ชอบด้วยกฎหมาย ปรับไม่เกิน 5 ล้านบาท

โทษอาญา

- ทำให้ผู้อื่นเกิดความเสียหาย เสียชื่อเสีย ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย จำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 5 แสนบาท

- เพื่อแสวงหาประโยชน์ที่มิควรได้โดยชอบด้วยกฎหมายสำหรับตนเองหรือผู้อื่น จำคุก ไม่เกิน 1 ปี หรือปรับไม่เกิน  1 ล้านบาท

- ล่วงรู้ข้อมูลส่วนบุคคลของผู้อื่นเนื่องจากการปฏิบัติหน้าที่ ตาม พ.ร.บ. นี้ ห้ามนำไปเผยแพร่แก่ผู้อื่น (เว้นแต่มีอำนาจหน้าที่ตามกฎหมาย) จำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 5 แสนบาท

ในกรณีที่ผู้กระทำความผิด เป็นนิติบุคคล หากกรรมการผู้จัดการ หรือบุคคลที่ได้รับผิดชอบ สั่งการหรือกระทำหรือละเว้นไม่สั่งการหรือไม่กระทำ จนเป็นเหตุให้นิติบุคคลนั้นกระทำความผิด ต้องรับโทษในคดีอาญานั้นไว้ด้วย

ธุรกิจเกี่ยวข้องกับข้อมูลส่วนบุคคลอย่างไร ?

PDPA กล่าวถึงผู้ที่มีส่วนเกี่ยวข้องกับ "ข้อมูลส่วนบุคคล" ตามกฎหมายไว้ 3 กลุ่ม ได้แก่

กลุ่มแรกคือ ​"เจ้าของข้อมูลส่วนบุคคล" 

กลุ่มที่สองคือ "ผู้ควบคุมข้อมูลส่วนบุคคล" หมายถึง บุคคลหรือนิติบุคคลที่มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวมหรือ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

กลุ่มที่สามคือ "ผู้ประมวลผลข้อมูลส่วนบุคคล" หมายถึง บุคคลหรือนิติบุคคลที่ดำเนินการเกี่ยวกับการรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล

ณ ที่นี้ ธุรกิจต่างๆ จะอยู่ฐานะของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล ซึ่งจำเป็นต้องปฏิบัติตามเงื่อนไขในการจัดการข้อมูลส่วนบุคคลของลูกค้าที่มีอยู่ให้ไม่ละเมิดสิทธิของลูกค้า และได้รับความยินยอมตามกฎหมายก่อน

ขอความยินยอมจากเจ้าของข้อมูลหรือลูกค้า ต้องทำอย่างไร ?

- ต้องได้รับความยินยอมก่อน หรือขณะเก็บข้อมูลส่วนบุคคล

- ต้องทำโดยชัดแจ้ง เป็นหนังสือหรือทำผ่านระบบอิเล็กทรอนิกส์

- ต้องแจ้งวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

- ต้องแยกส่วน ใช้ภาษาที่อ่านง่าย และไม่เป็นการหลอกลวง

- มีความเป็นอิสระในการให้ความยินยอม

- ถอนความยินยอมเมื่อใดก็ได้ เว้นแต่มีข้อจำกัดสิทธิ

------------------------

ที่มา: สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล, ธปท.