วันนี้พามาทบทวนทำความเข้าใจในกฎหมาย PDPA หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ว่ามีหลักการในการปฏิบัตืได้อย่างไร กฎหมายคุ้มครองข้อมูลส่วนบุคคลหรือที่รียกกันว่า PDPA นั้นเป็นกฎหมายฉบับรวมฉบับแรกที่ออกมาเพื่อควบคุมการคุ้มครองข้อมูลในประเทศไทย ที่ได้สนับสนุนศักดิ์ศรีความเป็นคน สิทธิ เสรีภาพ และความเท่าเทียมกันของคนไทยทุกคน ซึ่งได้รับการคุ้มครองตามธรรมเนียมปฏิบัติ ดังนั้น เนื่องจากสิทธิในความเป็นส่วนตัวที่ได้รับการยอมรับภายใต้รัฐธรรมนูญ ทุกคนย่อมมีสิทธิได้รับการปกป้องจากการหาประโยชน์อย่างไม่เหมาะสมจากข้อมูลส่วนบุคคลที่เกี่ยวข้องกับบุคลิกลักษณะของตนตามที่รัฐธรรมนูญรับรองไว้ นอกจากนี้ ตามทฤษฎีแล้ว หากมีการใช้ข้อมูลส่วนบุคคลในลักษณะที่เป็นการละเมิดหรือกระทบต่อสิทธิของบุคคลในข้อมูลส่วนบุคคลภายใต้รัฐธรรมนูญ บุคคลดังกล่าวอาจมีสิทธิเรียกร้องค่าเสียหายจากการละเมิดตามประมวลกฎหมายแพ่งและพาณิชย์ไทย
ขอบเขตและวัตถุประสงค์ของกฎหมาย
- PDPA ใช้กับบุคคลหรือนิติบุคคลที่มีการรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบุคคลธรรมดา (และยังมีชีวิตอยู่) โดยมีข้อยกเว้นบางประการ (เช่น ยกเว้นกิจกรรมในครัวเรือน)
- PDPA ครอบคลุมการรวบรวม การใช้ การเปิดเผย และ/หรือการถ่ายโอนข้อมูลส่วนบุคคล โดยมีข้อยกเว้นบางประการ (เช่น ยกเว้นกิจกรรมในครัวเรือน)
- ในกรณีที่กิจกรรมการรวบรวม ใช้ และเปิดเผยเกี่ยวข้องกับการเสนอสินค้าหรือบริการแก่เจ้าของข้อมูลที่อยู่ในประเทศไทย ไม่ว่าเจ้าของข้อมูลจะชำระเงินหรือไม่ก็ตาม หรือ
- โดยกิจกรรมการรวบรวม ใช้ และเปิดเผยเกี่ยวข้องกับการเฝ้าติดตามพฤติกรรมของเจ้าของข้อมูล ซึ่งพฤติกรรมดังกล่าวเกิดขึ้นในประเทศไทย
PDPA ใช้กับการรวบรวม การใช้ และการเปิดเผย (รวมถึงการถ่ายโอนไปยังต่างประเทศ) ของข้อมูลส่วนบุคคล ข้อมูลส่วนบุคคลสามารถแบ่งออกเป็นข้อมูลส่วนบุคคลทั่วไปและข้อมูลส่วนบุคคลที่ละเอียดอ่อน ซึ่งมีข้อกำหนดและการยกเว้นที่แตกต่างกัน
คำจำกัดความ PDPA
ผู้ควบคุมข้อมูล: บุคคลหรือนิติบุคคลที่มีอำนาจและหน้าที่ในการตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
ผู้ประมวลผลข้อมูล: บุคคลหรือนิติบุคคลที่ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งที่กำหนดโดยหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล โดยที่บุคคลหรือนิติบุคคลดังกล่าวไม่ใช่ข้อมูลส่วนบุคคล ตัวควบคุม
ข้อมูลส่วนบุคคล: ข้อมูลใด ๆ ที่เกี่ยวข้องกับบุคคลธรรมดา ซึ่งทำให้สามารถระบุตัวบุคคลดังกล่าวได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้เสียชีวิต
ข้อมูลที่ละเอียดอ่อน: ข้อมูล ส่วนบุคคลใดๆ ที่เกี่ยวข้องกับเชื้อชาติหรือชาติพันธุ์ ความคิดเห็นทางการเมือง ลัทธิ ความเชื่อทางศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลด้านสุขภาพ ความทุพพลภาพ ข้อมูลสหภาพแรงงาน ข้อมูลทางพันธุกรรม ข้อมูลไบโอเมตริกซ์ หรือข้อมูลใดๆ ที่อาจ กระทบต่อเจ้าของข้อมูลในลักษณะเดียว
ข้อมูลไบโอเมตริกซ์: ข้อมูล ส่วนบุคคลที่เกิดจากการใช้เทคนิคหรือเทคโนโลยีที่เกี่ยวข้องกับการครอบงำทางกายภาพหรือพฤติกรรมของบุคคล ซึ่งสามารถใช้เพื่อระบุบุคคลดังกล่าวนอกเหนือจากบุคคลอื่น เช่น ข้อมูลการจดจำใบหน้า ข้อมูลการจดจำม่านตา หรือลายนิ้วมือ ข้อมูลการรับรู้
การแจ้งเตือนการละเมิดข้อมูล
ผู้ควบคุมข้อมูลจะต้องแจ้งให้สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ให้ทราบถึงการละเมิดข้อมูลส่วนบุคคลโดยไม่ชักช้า และหากเป็นไปได้ แจ้งให้ทราบภายใน 72 ชั่วโมงหลังจากที่ทราบถึงข้อมูลดังกล่าวในกรณีที่การละเมิดข้อมูลส่วนบุคคล ที่จะส่งผลให้เกิดความเสี่ยงต่อสิทธิและเสรีภาพของบุคคล ผู้ควบคุมข้อมูลจะต้องแจ้งให้เจ้าของข้อมูลทราบถึงเหตุการณ์การละเมิดและมาตรการแก้ไขโดยไม่ชักช้า ข้อยกเว้นจะได้รับการกำหนดเพิ่มเติมในระเบียบย่อยผู้ประมวลผลข้อมูลจำเป็นต้องแจ้งให้ผู้ควบคุมข้อมูลทราบถึงการละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น
การเก็บรักษาข้อมูล
เมื่อมีการรวบรวมข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่จะต้องแจ้งให้เจ้าของข้อมูลทราบก่อนหรือในเวลาที่มีการรวบรวมข้อมูลส่วนบุคคลในช่วงเวลาที่จะเก็บข้อมูลส่วนบุคคลนั้นไว้ หากไม่สามารถระบุระยะเวลาการเก็บรักษาดังกล่าวได้ จะต้องระบุระยะเวลาการเก็บรักษาข้อมูลที่คาดหวังตามมาตราการในการเก็บรักษาข้อมูล
การขอความยินยอมเก็บข้อมูลผู้เยาว์
หากเจ้าของข้อมูลเป็นผู้เยาว์ที่ (อายุต่ำกว่า 20 ปี) ผู้ควบคุมข้อมูลจะต้อง:
- ได้รับความยินยอมจากผู้ปกครองสำหรับผู้เยาว์ที่มีอายุระหว่าง 0 – 10
- ได้รับความยินยอมจากผู้เยาว์เฉพาะผู้เยาว์ที่อายุมากกว่า 10 ปี แต่อายุน้อยกว่า 20 ปี สำหรับการกระทำที่ผู้เยาว์สามารถให้ความยินยอมได้ หรือ
- ได้รับความยินยอมจากผู้ปกครองและความยินยอมของผู้เยาว์สำหรับผู้เยาว์ที่มีอายุมากกว่า 10 ปี แต่อายุน้อยกว่า 20 ปีสำหรับการกระทำที่ผู้เยาว์ไม่สามารถให้ความยินยอมได้
สิทธิของเจ้าของข้อมูล
Data Subject Right หรือสิทธิของเจ้าของข้อมูลตามกำหนด พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ได้มีการบัญญัติถึงสิทธิของเจ้าของ Data Subject Rights ข้อมูลส่วนบุคคลไว้ 8 ประการ โดยมีรายละเอียดดังต่อไปนี้
- สิทธิในการเข้าถึงและขอรับสำเนา (Right of Access and Copy) เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตัวเจ้าของข้อมูลเองซึ่งอยู่ในความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล หรือขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลดังกล่าวที่ตนไม่ได้ให้ความยินยอมไว้
- สิทธิในการโอนย้ายข้อมูลส่วนบุคคล (Right to Data Portability) เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอรับข้อมูลส่วนบุคคลที่เกี่ยวกับเจ้าของข้อมูลจากผู้ควบคุมข้อมูลส่วนบุคคลได้ ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลได้ทำให้ข้อมูลส่วนบุคคลนั้นอยู่ในรูปแบบที่สามารถอ่านหรือใช้งานโดยทั่วไปได้ด้วยเครื่องมือหรืออุปกรณ์ที่ทำงานได้โดยอัตโนมัติและสามารถใช้หรือเปิดเผยข้อมูลส่วนบุคคลได้ด้วยวิธีการอัตโนมัติ รวมทั้งมีสิทธิ ดังต่อไปนี้
- ขอให้ผู้ควบคุมข้อมูลส่วนบุคคลส่งหรือโอนข้อมูลส่วนบุคคลในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่นเมื่อสามารถทำได้ด้วยวิธีการอัตโนมัติ
- ขอรับข้อมูลส่วนบุคคลที่ผู้ควบคุมข้อมูลส่วนบุคคลส่งหรือโอนข้อมูลส่วนบุคคลในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่นโดยตรง เว้นแต่โดยสภาพทางเทคนิคไม่สามารถทำได้
- สิทธิในการคัดค้านการประมวลผลข้อมูล (Right to Object) เจ้าของข้อมูลส่วนบุคคลมีสิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับตนเมื่อใดก็ได้ ดังต่อไปนี้
- กรณีที่เป็นข้อมูลส่วนบุคคลที่เก็บรวบรวมได้โดยได้รับยกเว้นไม่ต้องขอความยินยอม เว้นแต่ผู้ควบคุมข้อมูลส่วนบุคคลพิสูจน์ได้ว่า
- การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้น ผู้ควบคุมข้อมูลส่วนบุคคลได้แสดงให้เห็นถึงเหตุอันชอบด้วยกฎหมายที่สำคัญยิ่งกว่า
- การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้นเป็นไปเพื่อก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
- กรณีที่เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์เกี่ยวกับการตลาดแบบตรง
- กรณีที่เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์เกี่ยวกับการศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ เว้นแต่เป็นการจำเป็นเพื่อการดำเนินภารกิจเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคล
- สิทธิในการขอลบหรือทำลายข้อมูลส่วนบุคคล (Right to Erasure) เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ ในกรณีดังต่อไปนี้
- เมื่อข้อมูลส่วนบุคคลหมดความจำเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
- เมื่อเจ้าของข้อมูลส่วนบุคคลถอนความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลและผู้ควบคุมข้อมูลส่วนบุคคลไม่มีอำนาจตามกฎหมายที่จะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้นได้ต่อไป
- เมื่อเจ้าของข้อมูลส่วนบุคคลคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลไม่อาจปฏิเสธคำขอ หรือกระทำการคัดค้านได้
- เมื่อข้อมูลส่วนบุคคลได้ถูกเก็บรวบรวม ใช้ หรือเปิดเผยโดยไม่ชอบด้วยกฎหมายตามที่กำหนดไว้ในหมวดนี้
- สิทธิในการขอระงับการประมวลผลข้อมูลส่วนบุคคล (Right to Restriction of Processing) เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลระงับการใช้ข้อมูลส่วนบุคคลได้ ในกรณีดังต่อไปนี้
- เมื่อผู้ควบคุมข้อมูลส่วนบุคคลอยู่ในระหว่างการตรวจสอบตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอให้ดำเนินการตามที่เจ้าของข้อมูลร้องขอ
- เมื่อเป็นข้อมูลส่วนบุคคลที่ต้องลบหรือทำลาย แต่เจ้าของข้อมูลส่วนบุคคลขอให้ระงับการใช้แทน
- เมื่อข้อมูลส่วนบุคคลหมดความจำเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคล แต่เจ้าของข้อมูลส่วนบุคคลมีความจำเป็นต้องขอให้เก็บรักษาไว้เพื่อใช้ในการก่อตั้งสิทธิเรียกร้องตามกฎหมายการปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
- เมื่อผู้ควบคุมข้อมูลส่วนบุคคลอยู่ในระหว่างการพิสูจน์ หรือตรวจสอบ เพื่อปฏิเสธการคัดค้านของเจ้าของข้อมูลส่วนบุคคล
- สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง (Right to Rectification) ผู้ควบคุมข้อมูลส่วนบุคคลต้องดำเนินการให้ข้อมูลส่วนบุคคลนั้นถูกต้องเป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด ในกรณีที่เจ้าของข้อมูลส่วนบุคคลร้องขอให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการ หากผู้ควบคุมข้อมูลส่วนบุคคลไม่ดำเนินการตามคำร้องขอ ผู้ควบคุมข้อมูลส่วนบุคคลต้องบันทึกคำร้องขอของเจ้าของข้อมูลส่วนบุคคลพร้อมด้วยเหตุผลไว้ในรายการตาม มาตรา 39
- สิทธิในการแจ้งให้ทราบของข้อมูลส่วนบุคคล (Right to be informed) เจ้าของข้อมูลมีสิทธิได้รับแจ้งเกี่ยวกับรายละเอียดการเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคล โดยผู้ควบคุมข้อมูลมีหน้าที่แจ้งถึงวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคลที่เก็บรวบรวม ระยะเวลาในการเก็บรวบรวม ช่องทางในการติดต่อผู้ควบคุมข้อมูลส่วนบุคคล เป็นต้น และในกรณีที่ผู้ควบคุมข้อมูลจะทำการเปลี่ยนแปลงวัตถุประสงค์ในการประมวลผลภายหลัง ผู้ควบคุมข้อมูลต้องแจ้งให้เจ้าของข้อมูลทราบถึงวัตถุประสงค์ใหม่ด้วย
- สิทธิในการถอดถอนความยินยอมของข้อมูล (Right to Withdraw Consent) เจ้าของข้อมูลจะใช้สิทธิในการถอนความยินยอมได้เมื่อมีการประมวลผลข้อมูลโดยใช้ฐานความยินยอมเท่านั้น โดยเจ้าของข้อมูลจะถอนความยินยอมเมื่อใดก็ได้หากไม่มีข้อจำกัดสิทธิ และวิธีการถอนความยินยอมต้องง่ายในระดับเดียวกับวิธีการขอความยินยอมเมื่อเจ้าของข้อมูลถอนความยินยอมแล้ว ผู้ควบคุมข้อมูลจะต้องแจ้งถึงผลกระทบจากการถอนความยินยอมและต้องยุติการประมวลผลข้อมูลส่วนบุคคลดังกล่าว
ข้อมูลเพิ่มเติมตามมาตรา 39
มาตรา 39 ให้ผู้ควบคุมข้อมูลส่วนบุคคลบันทึกรายการ อย่างน้อยดังต่อไปนี้ เพื่อให้เจ้าของข้อมูลส่วนบุคคลและสำนักงานสามารถตรวจสอบได้ โดยจะบันทึกเป็นหนังสือหรือระบบอิเล็กทรอนิกส์ก็ได้
- ข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม
- วัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคลแต่ละประเภท
- ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล
- ระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล
- สิทธิและวิธีการเข้าถึงข้อมูลส่วนบุคคล รวมทั้งเงื่อนไขเกี่ยวกับบุคคลที่มีสิทธิเข้าถึงข้อมูลส่วนบุคคลและเงื่อนไขในการเข้าถึงข้อมูลส่วนบุคคลนั้น
- การใช้หรือเปิดเผยข้อมูล
- การปฏิเสธคำขอหรือการคัดค้าน
- คำอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัยของข้อมูล
ก่อนให้ความยินยอมในการใช้ข้อมูล เจ้าของข้อมูลควรใส่ใจในการคุ้มครองข้อมูลของตนเองด้วย อาทิ
- ไม่ด่วนยินยอมหรือให้ข้อมูล โดยที่ยังไม่ได้ศึกษารายละเอียดของขอบเขตการใช้ข้อมูลส่วนบุคคล >> ข้อมูลใดบ้างที่จะจัดเก็บ วัตถุประสงค์ของการเก็บข้อมูล ระยะเวลาการเก็บข้อมูล ชื่อและเบอร์ของบริษัทหรือบุคคลที่รับผิดชอบต่อการเก็บข้อมูล
- คำนึงถึงความอิสระ และไม่มีเงื่อนไขแอบแฝงโดยต้องไม่นำการให้ความยินยอมมาเป็นเงื่อนไขในการใช้ผลิตภัณฑ์หรือบริการ
- ควรเก็บ/บันทึกหลักฐาน เผื่อใช้ในการร้องเรียนในกรณีที่พบว่าข้อมูลส่วนบุคคลถูกนำไปใช้ผิดวัตถุประสงค์ โดยอาจถ่ายภาพหรือขอสำเนาเอกสารการให้ความยินยอม
- ระมัดระวังการให้ข้อมูลและการเปิดสิทธิการเข้าถึงข้อมูลส่วนบุคคล แก่เว็บไซต์/แอปพลิเคชัน ที่มีการขอความยินยอมจากเจ้าของข้อมูล โดยให้พิจารณาตามความจำเป็น โดยเฉพาะข้อมูลเกี่ยวกับการเงิน เช่น การให้ข้อมูลบัตรเครดิตเพื่อชำระค่าสินค้าและบริการ สำหรับแอปพลิเคชันที่ไม่ได้ใช้เป็นประจำ อาจเลือกให้ข้อมูลเพื่อใช้ครั้งเดียวและไม่ให้บันทึกข้อมูลบัตรไว้ในระบบ เป็นต้น
บทลงโทษหากไม่ปฏิบัติตาม PDPA
หากในกรณีที่บุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้มีการร้องขอตามสิทธิเจ้าของข้อมูลส่วนบุคคล PDPA ตามที่จะได้รับสิมธิแล้ว แต่องค์กรธุรกิจยังมีการเพิกเฉยไม่มีการปฏิบัติตามหน้าที่ที่ต้องพิจารณาตามคำร้องและดำเนินการตามคำร้องของเจ้าของข้อมูลเพื่อให้เป็นไปตามสิทธิของเจ้าของข้อมูลตามที่กฎหมายกำหนดแล้วนั้น และถ้าธุรกิจไม่ปฏิบัติตามระเบียบที่กฎหมายกำหนด จนก่อให้เกิดเหตุการณ์ที่ข้อมูลส่วนบุคคลถูกละเมิดและถูกนำไปใช้ในทางที่ผิดก็อาจจะเกิดผลกระทบต่อธุรกิจได้ ดังนั้นแล้วระเบียบกฎหมาย PDPA จึงได้มีการกำหนดบทลงโทษเพื่อให้เป็นไปตามระเบียบของกฎหมาย กฎหมาย PDPA จึงได้มีการกำหนดโทษไว้ 3 ส่วนด้วยกัน คือ โทษทางแพ่ง โทษทางอาญา และโทษทางปกครอง ดังนี้
โทษทางแพ่ง
หากผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคล ทำให้เจ้าของข้อมูลเสียหายจะต้องชดใช้ “ค่าสินไหมทดแทน” ไม่ว่าการดำเนินการที่ฝ่าฝืนกฎหมายนั้นจะเป็นการกระทำโดยจงใจหรือประมาทเลินเล่อ ** โดยมีข้อยกเว้น คือ พิสูจน์ได้ว่าเกิดจากเหตุสุดวิสัย เกิดจากการกระทำหรือละเว้นการกระทำของเจ้าของข้อมูลส่วนบุคคล เป็นการปฏิบัติตามคำสั่งของเจ้าหน้าที่ซึ่งปฏิบัติตามอำนาจของกฎหมาย **
- ค่าสินไหมทดแทน จ่ายสินไหมไม่เกิน 2 เท่าของสินไหมที่แท้จริง
- อายุความ 3 ปี นับแต่วันที่ผู้เสียหายรู้ถึงความเสียหาย และรู้ตัวผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคลที่ต้องรับผิด หรือ 10 ปีนับแต่วันที่มีการละเมิดข้อมูลส่วนบุคคล
โทษทางอาญา
โทษทางอาญาแบ่งออกเป็น การใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่เป็นข้อมูลอ่อนไหวโดยปราศจากฐานทางกฎหมาย ทำให้ผู้อื่นเกิดความเสียหาย เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความ อับอาย และการใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่เป็นข้อมูลอ่อนไหวโดยปราศจากฐานทางกฎหมาย เพื่อแสวงหาประโยชน์ที่ไม่ชอบด้วยกฎหมาย
- โทษจำคุกสูงสุดไม่เกิน 1 ปี หรือปรับไม่เกิน 1,000,000 บาท หรือทั้งจำทั้งปรับ
6 ข้อเท็จจริง โทษอาญา กฎหมาย PDPA
- PDPA มีบทลงโทษอาญา เพื่อปกป้องประชาชนจาก “มิจฉาชีพ หรือ ผู้ประสงค์ร้าย” กรณีมีการนํา ข้อมูลอ่อนไหวดังนี้ “เชื้อชาติเผ่าพันธุ์ ความคิดเห็นทางการ เมือง ความเชื่อในลัทธิ ศาสนา หรือ ปรัชญา พฤติกรรมทาง เพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิกาs ข้อมูล สหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ” ของประชาชนไปใช้ ทําให้เกิดความเสียหาย เสียชื่อเสียง ถูกดูหมิ่นเกลียดชัง หรือ หาผลประโยชน์แบบผิดกฎหมาย
- กรณีใช้ข้อมูลอ่อนไหวดังกล่าวทําให้เกิด ความเสียหาย เสียชื่อเสียง ถูกดูหมิ่นเกลียดชัง โทษสูงสุดจําคุก 6 เดือน หรือปรับไม่เกิน 500,000 บาท หรือทั้งจําทั้งปรับ
- กรณีใช้ข้อมูลอ่อนไหวดังกล่าว หาผลประโยชน์ แบบผิดกฎหมาย โทษสูงสุดจําคุก 1 ปี หรือ ปรับไม่เกิน 1,000,000 บาท หรือทั้งจําทั้งปรับ
- การลงโทษอาญาต้องพิจารณา จากข้อเท็จจริงและองค์ประกอบ อาทิ เจตนาของการกระทํา และ การใช้หรือเปิดเผยข้อมูลไม่ถูกต้อง ตามกฎหมาย
- การละเมิดข้อมูลส่วนบุคคล ทั่วไป เช่น ชื่อ เบอร์โทร ที่อยู่อาศัย หมายเลvประจําตัว ไม่เข้าองค์ประกอบโทษอาญา ตามมาตรา 79
- ข้อมูลส่วนบุคคลสามารถถูกนําไปใช้หรือเปิดเผยได้หากได้รับความยินยอม จากเจ้าของข้อมูลส่วนบุคคล หรือเป็นไปตามกรณีดังต่อไปนี้
- เป็นข้อมูลที่จําเป็นต้องใช้ในการทําตามสัญญาให้บริการ
- เป็นการใช้ข้อมูลที่มีกฎหมายอื่นให้อํานาจไว้
- เป็นการใช้เพื่อรักษาชีวิตและ/หรือ ร่างกายของบุคคล
- เป็นการใช้เพื่อการศึกษาวิจัยหรือสถิติ
- เป็นการใช้ตามหน้าที่เพื่อประโยชน์สาธารณะ
- เป็นการใช้เพื่อปกป้องผลประโยชน์ของตนเองโดยไม่ละเมิดสิทธิของผู้อื่น
โทษทางปกครอง
โทษทางปกครอง จะแบ่งออกเป็น 3 ส่วน คือ โทษของผู้ควบคุมข้อมูล, โทษของผู้ประมวลผลข้อมูล และโทษทางปกครองอื่นๆ
โทษของผู้ควบคุมข้อมูล
- การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากฐานทางกฎหมาย
- การไม่ขอความยินยอมให้ถูกต้องตามกฎหมายหรือไม่แจ้งผลกระทบจากการถอน ความยินยอม
- การเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลผิดไปจากวัตถุประสงค์ที่ได้แจ้งไว้โดยไม่ได้แจ้งวัตถุประสงค์ใหม่หรือมีกฎหมายให้ทำได้
- การเก็บรวบรวมข้อมูลเกินไปกว่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล
- การเก็บข้อมูลจากแหล่งอื่นที่ไม่ใช่เจ้าของข้อมูลโดยตรงที่ต้องห้ามตามกฎหมาย
- การขอความยินยอมที่เป็นการหลอกลวงหรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์
- การเก็บรวบรวม ใช้ หรือเปิดเผย การโอนข้อมูลอ่อนไหวโดยไม่ชอบด้วยกฎหมาย
- การไม่แจ้งเจ้าของข้อมูลทั้งในกรณีเก็บข้อมูลจากเจ้าของข้อมูลโดยตรงหรือโดยอ้อม
- การไม่ให้เจ้าของข้อมูลเข้าถึงข้อมูลตามสิทธิ
- การไม่ดำเนินการตามสิทธิคัดค้านของเจ้าของข้อมูล
- การไม่จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
- การไม่จัดให้มีการสนับสนุนการปฏิบัติหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วน บุคคลอย่างเพียงพอ
- การโอนข้อมูลส่วนบุคคลไปยังต่างประเทศโดยไม่ชอบด้วยกฎหมาย
- การไม่จัดให้มีมาตรการในการรักษาความมั่นคงปลอดภัยที่เหมาะสม การไม่จัดให้ มีระบบตรวจสอบเพื่อลบทำลายข้อมูลหรือไม่ปฏิบัติสิทธิในการลบเมื่อถอนความ ยินยอมหรือตามสิทธิในการขอลบข้อมูล
โทษของผู้ประมวลผลข้อมูล
- การไม่จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือการไม่สนับสนุนการปฏิบัติหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลอย่างเพียงพอ
- การไม่ปฏิบัติตามคำสั่งของผู้ควบคุมข้อมูล การไม่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม การไม่จัดทำบันทึกรายการกิจกรรมการประมวลผล
- การโอนข้อมูลไปต่างประเทศโดยไม่ชอบด้วยกฎหมาย
- การไม่ตั้งตัวแทนในราชอาณาจักรในกรณีที่กฎหมายกำหนด
- การโอนข้อมูลอ่อนไหวไปต่างประเทศโดยไม่ชอบด้วยกฎหมาย
โทษทางปกครองอื่น ๆ
- ตัวแทนของผู้ควบคุมข้อมูลหรือผู้ประมวลผลข้อมูล ไม่จัดให้มีบันทึกรายการประมวลผลข้อมูล
- ไม่ปฏิบัติตามคำสั่งคณะกรรมผู้เชี่ยวชาญ หรือไม่มาชี้แจงข้อเท็จจริง หรือไม่ส่งข้อมูลให้คณะกรรมการผู้เชี่ยวชาญ
- โทษทางปกครองปรับสูงสุดไม่เกิน 5,000,000 บาท
สามารถอ่านบทความอื่นๆ ที่น่าสนใจเกี่ยวกับกฎหมาย PDPA และสายงาน HR คลิ๊ก!!!
