PDPA พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล
PDPA พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ถือเป็นกฎหมายใหม่ที่เมื่อเร็ว ๆ นี้ที่ผ่านมามีการประกาศเลื่อนบังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ตัวนี้มาแล้วหลายครั้งโดยเป็นการประกาศจาก กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ซึ่งคาดว่าจะมีผลบังคับใช้อย่างเป็นทางการในปีนี้ในวันที่ 1 มิถุนายน พ.ศ. 2565 และที่ผ่านมานั้นในหลายธุรกิจเริ่มมีการตื่นตัวในเรื่องข้อบังคับตามของกฏหมายอย่างเคร่งครัด เพราะเนื่องจากมีบทลงโทษทางแพ่ง ทางอาญาและทางปกครองในหลายประการสำหรับผู้ที่กระทำความผิดต่อการควบคุมข้อมูลส่วนบุคคลของบุคคลอื่น
ความปลอดภัยด้านข้อมูลเป็นสิ่งที่ทุกองค์กรควรให้ความสำคัญ เนื่องจากเป็นกฏหมายคุ้มครองข้อมูลส่วนบุคคล นั่นคือออกมาเพื่อคุ้มครองข้อมูลส่วนบุคคล ที่ทางองค์กรได้รับรู้หรือครอบครอง ซึ่งคุ้มครองปกป้องข้อมูลบุคคลในทุกๆ บทบาท เช่น ลูกค้า, พนักงาน หรือใครก็ตาม ที่บริษัทจัดเก็บไว้ นั่นหมายความว่า ถ้าข้อมูลลูกจ้างหรือลูกค้า มีการถูกนำไปใช้ภายนอกอย่างผิดจุดประสงค์ และพิสูจน์ได้ว่าข้อมูลเหล่านั้นหลุดมาจาก Database ของบริษัท บุคคลที่เสียหายก็มีสิทธิ์ใช้กฏหมายฉบับนี้ในการฟ้องร้ององค์กร เรียกค่าเสียหายได้มหาศาลทีเดียวค่ะ โดยหน่วยงานหรือบุคคลที่มีส่วนเกี่ยวข้องกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้แก่
ผู้มีส่วนเกี่ยวข้องกับกฏหมาย PDPA ประกอบไปด้วยบุคคลใดบ้าง?
บุคคลทั่วไปผู้ที่เป็นเจ้าของข้อมูลส่วนบุคคล (Data Subject)
ได้แก่ผู้ที่มอบข้อมูลส่วนบุคคลให้แก่บริษัท ทำการจัดเก็บเพื่อนำไปใช้ในจุดประสงค์ต่างๆ เช่น ลูกค้าหรือพนักงานบริษัทเอง เป็นต้น โดยกลุ่มนี้มีหน้าที่ยอมรับ และให้ความยินยอมในการเปิดเผยข้อมูลเท่าที่เหมาะสมและจำเป็นเท่านั้น พร้อมทั้งต้องรับรู้และใช้สิทธิของตนที่มีให้เกิดประสิทธิผลมากที่สุด
ในกรณีที่เกิดการรั่วไหลของข้อมูล กลุ่ม Data Subject นี้ ก็คือผู้เสียหายนั่นเอง ซึ่งหากมีผลกระทบมากก็สามารถทำการฟ้องร้องเพื่อเรียกค่าเสียหายได้
ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)
บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ “ตัดสินใจ” เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เช่น หน่วยงานของรัฐ หรือเอกชนโดยทั่วไป ที่เก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลของประชาชนหรือลูกค้าที่มาใช้บริการโดยรวมแล้ว ผมขอสรุปหน้าที่ของ Controller หลักๆ เป็น 6 ประการคือ
- จัดให้มีมาตรการรักษาความมั่นคงปลอดภัย
- ดำเนินการเพื่อป้องกันมิให้ผู้อื่นใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยมิชอบ
- จัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคล
- แจ้งเหตุการละเมิดข้อมูลส่วนบุคคล
- แต่งตั้งตัวแทนภายในราชอาณาจัดร
- จัดทำบันทึกรายการ
กลุ่ม Controller ที่เป็นบริษัทนั้น ต้องมีการแต่งตั้งเจ้าหน้าที่ที่ทำหน้าที่ดูแลรักษาความปลอดภัยของข้อมูลภายในขึ้นมา เรียกตำแหน่งนี้ว่า DPO (Data Protection Officer) คอยดูแลจัดการ และให้คำปรึกษาข้อกำหนดสำคัญต่างๆ รวมถึงประสานงานกับผู้ควบคุมกฏหมาย
ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)
ได้แก่ บุคคล, บริษัท หรือองค์กร ที่ได้รับคำสั่ง หรือถูกว่าจ้างจากกลุ่ม Controller ให้นำข้อมูลไปใช้ต่ออีกทีหนึ่ง เช่น พนักงานบริษัท ที่นำข้อมูลลูกค้าไปใช้ทำงาน หรือ บริษัทบัญชีที่ถูกจ้างให้นำข้อมูลพนักงานของบริษัทไปทำเรื่องเงินเดือน เป็นต้น กลุ่ม Processor นี้มีหน้าที่ เก็บ ใช้ และเปิดเผยข้อมูลตามขอบเขต พร้อมทั้งจัดมาตรการดูแล Security รวมถึงแจ้งเหตุละเมิดที่เกิดขึ้นให้ Controller ทราบทันที
บทลงโทษประกอบไปด้วยอะไรบ้าง?
หากองค์กรที่ฝ่าฝืนไม่ปฏิบัติตามหลักกฏหมายทั้งภาครัฐและเอกชนก็จะมีบทลงโทษแบ่งออกเป็น 3 ส่วน คือ โทษทางแพ่ง โทษทางอาญา และโทษทางปกครอง ดังนี้
โทษทางแพ่ง
หากผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคล ทำให้เจ้าของข้อมูลเสียหายจะต้องชดใช้ “ค่าสินไหมทดแทน” ไม่ว่าการดำเนินการที่ฝ่าฝืนกฎหมายนั้นจะเป็นการกระทำโดยจงใจหรือประมาทเลินเล่อ ** โดยมีข้อยกเว้น คือ พิสูจน์ได้ว่าเกิดจากเหตุสุดวิสัย เกิดจากการกระทำหรือละเว้นการกระทำของเจ้าของข้อมูลส่วนบุคคล เป็นการปฏิบัติตามคำสั่งของเจ้าหน้าที่ซึ่งปฏิบัติตามอำนาจของกฎหมาย
- ค่าสินไหมทดแทน จ่ายสินไหมไม่เกิน 2 เท่าของสินไหมที่แท้จริง
- อายุความ 3 ปี นับแต่วันที่ผู้เสียหายรู้ถึงความเสียหาย และรู้ตัวผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคลที่ต้องรับผิด หรือ 10 ปีนับแต่วันที่มีการละเมิดข้อมูลส่วนบุคคล
โทษทางอาญา
โทษทางอาญาแบ่งออกเป็น การใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่เป็นข้อมูลอ่อนไหวโดยปราศจากฐานทางกฎหมาย ทำให้ผู้อื่นเกิดความเสียหาย เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความ อับอาย และการใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่เป็นข้อมูลอ่อนไหวโดยปราศจากฐานทางกฎหมาย เพื่อแสวงหาประโยชน์ที่ไม่ชอบด้วยกฎหมาย
- โทษจำคุกสูงสุดไม่เกิน 1 ปี หรือปรับไม่เกิน 1,000,000 บาท หรือทั้งจำทั้งปรับ
โทษทางปกครอง
โทษทางปกครอง จะแบ่งออกเป็น 3 ส่วน คือ โทษของผู้ควบคุมข้อมูล, โทษของผู้ประมวลผลข้อมูล และโทษทางปกครองอื่นๆ
โทษของผู้ควบคุมข้อมูล
- การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากฐานทางกฎหมาย
- การไม่ขอความยินยอมให้ถูกต้องตามกฎหมายหรือไม่แจ้งผลกระทบจากการถอน ความยินยอม
- การเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลผิดไปจากวัตถุประสงค์ที่ได้แจ้งไว้โดยไม่ได้แจ้งวัตถุประสงค์ใหม่หรือมีกฎหมายให้ทำได้
- การเก็บรวบรวมข้อมูลเกินไปกว่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล
- การเก็บข้อมูลจากแหล่งอื่นที่ไม่ใช่เจ้าของข้อมูลโดยตรงที่ต้องห้ามตามกฎหมาย
- การขอความยินยอมที่เป็นการหลอกลวงหรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์
- การเก็บรวบรวม ใช้ หรือเปิดเผย การโอนข้อมูลอ่อนไหวโดยไม่ชอบด้วยกฎหมาย
- การไม่แจ้งเจ้าของข้อมูลทั้งในกรณีเก็บข้อมูลจากเจ้าของข้อมูลโดยตรงหรือโดยอ้อม
- การไม่ให้เจ้าของข้อมูลเข้าถึงข้อมูลตามสิทธิ
- การไม่ดำเนินการตามสิทธิคัดค้านของเจ้าของข้อมูล
- การไม่จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
- การไม่จัดให้มีการสนับสนุนการปฏิบัติหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วน บุคคลอย่างเพียงพอ
- การโอนข้อมูลส่วนบุคคลไปยังต่างประเทศโดยไม่ชอบด้วยกฎหมาย
- การไม่จัดให้มีมาตรการในการรักษาความมั่นคงปลอดภัยที่เหมาะสม การไม่จัดให้ มีระบบตรวจสอบเพื่อลบทำลายข้อมูลหรือไม่ปฏิบัติสิทธิในการลบเมื่อถอนความ ยินยอมหรือตามสิทธิในการขอลบข้อมูล
โทษของผู้ประมวลผลข้อมูล
- การไม่จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือการไม่สนับสนุนการปฏิบัติหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลอย่างเพียงพอ
- การไม่ปฏิบัติตามคำสั่งของผู้ควบคุมข้อมูล การไม่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม การไม่จัดทำบันทึกรายการกิจกรรมการประมวลผล
- การโอนข้อมูลไปต่างประเทศโดยไม่ชอบด้วยกฎหมาย
- การไม่ตั้งตัวแทนในราชอาณาจักรในกรณีที่กฎหมายกำหนด
- การโอนข้อมูลอ่อนไหวไปต่างประเทศโดยไม่ชอบด้วยกฎหมาย
โทษทางปกครองอื่น ๆ
- ตัวแทนของผู้ควบคุมข้อมูลหรือผู้ประมวลผลข้อมูล ไม่จัดให้มีบันทึกรายการประมวลผลข้อมูล
- ไม่ปฏิบัติตามคำสั่งคณะกรรมผู้เชี่ยวชาญ หรือไม่มาชี้แจงข้อเท็จจริง หรือไม่ส่งข้อมูลให้คณะกรรมการผู้เชี่ยวชาญ
- โทษทางปกครองปรับสูงสุดไม่เกิน 5,000,000 บาท
ผลกระทบหากมีข้อมูลรั่วไหล หรือข้อมูลไม่มีความปลอดภัย
- สูญเสียความน่าเชื่อถือ
- ถูกดำเนินคดีตามกฎหมาย
- เกิดค่าเสียโอกาส
- เสียเปรียบในการแข่งขันทางการตลาด การค้า
- ความเชื่อมั่น ความไว้างใจของลูกค้า
ข้อยกเว้น
ถึงแม้กฎหมายตัวนี้จะดูเคร่งครัดและจริงจัง อย่างไรก็ตาม ก็มีการกระทำบางเงื่อนไขที่ได้รับการยกเว้น ให้ไม่ผิดกฏ PDPA พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลโดยหลักๆ มีทั้งหมด 6 เงื่อนไขดังนี้
- การบันทึก ใช้งาน และเปิดเผยข้อมูลส่วนบุคคลภายในครอบครัว เพื่อกิจกรรมในครอบครัวของบุคคลนั้นๆ
- การดำเนินการของหน่วยงานรัฐด้านการรักษาความมั่นคงและความปลอดภัยต่างๆ เช่น ตำรวจสามารถเก็บข้อมูลผู้กระทำผิดได้โดยไม่ถือว่าเป็นการละเมิดกฏพีดีพีเอ
- การใช้หรือเปิดเผยข้อมูลส่วนบุคคลเฉพาะกิจการสื่อมวลชน งานศิลปกรรม หรือวรรณกรรมเพื่อประโยชน์สาธารณะ ภายใต้กฎจริยธรรมของวิชาชีพนั้นๆ
- สภาผู้แทนราษฎร วุฒิสภา และรัฐสภา ที่เปิดเผยข้อมูลในการพิจารณาตามหน้าที่และอำนาจ แล้วแต่กรณี
- การพิจารณาคดีหรือพิพากษาของศาล รวมถึงการดำเนินงานของเจ้าหน้าที่เพื่อกระบวนการในการพิจารณาคดี
- การดำเนินการกับข้อมูลของบริษัทเครดิตกับสมาชิก ตามกฎหมายว่าด้วยการประกอบธุรกิจข้อมูลเครดิต ไม่ถือว่าผิดกฎ
ในส่วนขององค์กรหรือการใช้งานประเภทอื่นๆ ก็มีสิทธิได้รับการยกเว้น หากพิสูจน์ได้ว่า ความผิดพลาดที่เกิดขึ้น เกิดจากเหตุสุดวิสัย, จากการกระทำโดยเจ้าของข้อมูลส่วนบุคคล (Data Subject) เอง หรือเป็นการปฏิบัติตามคำสั่งของเจ้าหน้าที่ที่มีอำนาจสั่งการตามกฎหมาย
สามารถอ่านบทความอื่นๆ ที่น่าสนใจเกี่ยวกับกฎหมาย PDPA และสายงาน HR คลิ๊ก!!!
คลิปบรรยายเพิ่มเติมเรื่อง กฏหมาย PDPA โดยธนาคารแห่งประเทศไทย BANK OF THAILAND
