1 มิถุนายน 2565 – บังคับใช้ ‘พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล 2562’ หรือ PDPA (Personal Data Protection Act (B.E.2562) หลังจากมีการเลื่อนประกาศใช้มาแล้ว 2 ปี
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือกฎหมาย PDPA (Personal Data Protection Act: PDPA) คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ถูกจัดตั้งเพื่อให้องค์กร บริษัท พนักงาน หรือผู้ที่เกี่ยวข้องตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลให้มีความปลอดภัย โดยทั้งนี้จะมีการจัดตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และคณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองฯ เพื่อให้การดำเนินงานตามกฏหมายไปได้อย่างราบรื่น อ่านบทความ คลายสงสัยเรื่องหน้าที่ 2 คณะกรรมการฯ ตามอำนาจกฎหมาย PDPA คลิก อีกหนึ่งชุดของคณะกรรมการที่ขาดไม่ได้ นั่นก็คือคณะกรรมการผู้เชี่ยวชาญในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
คณะกรรมการผู้เชี่ยวชาญในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ถือเป็นอีกชุดหนึ่งของผู้ดำเนินงานตามนโยบาย PDPA โดยมีการดึงคณะผู้เชี่ยวชาญเฉพาะด้านของแต่ละหน่วยงานมากำกับดูแล รวมถึงเป็นผู้พิจารณาเรื่องร้องเรียนของเจ้าของข้อมูลที่ถูกละเมิดตามพระราชบัญญัติฯ ตามมาตรา 72 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนดให้คณะกรรมการผู้เชี่ยวชาญมีหน้าที่และอำนาจ ดังนี้
หน้าที่ และอำนาจของคณะกรรมการผู้เชี่ยวชาญ
- พิจารณาเรื่องร้องเรียนตามพระราชบัญญัติฯ
- ตรวจสอบการกระทำใดๆ ของผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคล (Data controllor) รวมทั้งผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคล รวมทั้งสิ้นเกี่ยวกับกรณีที่ข้อมูลฯเกิดปัญหา โดยก่อให้เกิดความเสียหายแก่เจ้าของข้อมูลส่วนบุคคล
- ไกล่เกลี่ยข้อพิพาทเกี่ยวกับข้อมูลส่วนบุคคล
- ปฏิบัติการอื่นใดตามที่พระราชบัญญัติฯ กำหนดให้เป็นหน้าที่ และเป็นอำนาจของคณะกรรมการผู้เชี่ยวชาญหรือตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลมอบหมาย
PDPA บังคับใช้แล้ว ไม่ปฏิบัติตามมีบทลงโทษอะไรบ้าง
- หากมีการกระทำใดๆ กับข้อมูลส่วนบุคคลของผู้อื่นโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล ตามมาตรา 83 กำหนดโทษปรับทางปกครองไว้ สูงสุดไม่เกิน 3,000,000 บาท
- หากมีการเก็บข้อมูลที่มีความอ่อนไหว (Sensitive data ) โดยไม่ได้รับความยินยอมโดยชัดแจ้ง และหากมีการพิจารณาจากคณะกรรมการผู้เชี่ยวชาญฯ ว่าอาจมีแนวโน้มทำให้เจ้าของข้อมูลเสียหาย ตามมาตรา 79 วรรคสอง มีการกำหนดโทษจำคุกไม่เกิน 1 ปี ปรับไม่เกิน 1,000,000 บาท
- เปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอม และหากจิจารณาแล้วว่ามีแนวโน้มจะทำให้เจ้าของข้อมูลเสียหาย ตามมาตรา 79 กำหนดโทษจำคุกไม่เกิน 6 เดือน ปรับไม่เกิน 500,000 บาท ถ้าผู้ประกอบการเปิดเผยข้อมูลเพื่อแสวงหาประโยชน์ที่มิควรได้ โดยไม่ได้รับความ ยินยอม มาตรา 79 วรรคสอง กำหนดโทษจำคุกไม่เกิน 1 ปี ปรับไม่เกิน 1,000,000 บาท
- การกระทำใดๆ กับข้อมูลส่วนบุคคลของผู้อื่นโดยไม่ได้ผ่านการขอความยินยอมตาม Form ที่ถูกต้อง ตามมาตรา 82 มีการกำหนดโทษปรับทางปกครองไว้ สูงสุดไม่เกิน 1,000,000 บาท
- การกระทำใดๆ กับข้อมูลส่วนบุคคลของผู้อื่นโดยไม่ได้แจ้งวัตถุประสงค์ แจ้งรายละเอียด และแจ้งสิทธิของเจ้าของข้อมูล ตามมาตรา 82 กำหนดโทษปรับทางปกครองไว้ สูงสุดไม่เกิน 1,000,000 บาท
- หากมีการเก็บข้อมูลส่วนบุคคลจากแหล่งอื่นๆ โดยที่ไม่ได้จากเจ้าของข้อมูลโดยตรง โดยไม่มีข้อยกเว้นให้เก็บข้อมูลได้ มาตรา 83 กำหนดโทษปรับทางปกครองไว้ สูงสุดไม่เกิน 3,000,000 บาท
- ในการตรวจสอบข้อเท็จจริง คณะกรรมการผู้เชี่ยวชาญถูกกำหนดให้มีอำนาจสั่งให้ส่งเอกสารหรือให้ข้อมูล หรือเรียกบุคคลมาชี้แจงข้อมูลได้ โดยสามารถยื่นคำร้องต่อศาลเพื่อขอเข้าค้น และยึดเอกสารเพื่อตรวจสอบข้อเท็จจริงได้ หากผู้ประกอบกิจการได้รับคำสั่งจากคณะกรรมการผู้เชี่ยวชาญแล้วไม่ให้ความร่วมมือ ไม่มาชี้แจงข้อเท็จจิรง มาตรา 89 กำหนดโทษปรับทางปกครองไว้ สูงสุดไม่เกิน 500,000 บาท
- ตามมาตรา 77 กำหนดให้ผู้ประกอบการที่ฝ่าฝืนพ.ร.บ.ข้อมูลส่วนบุคคลฯ ทำให้เกิดความเสียหายต่อเจ้าของข้อมูลต้องชดใช้ค่าเสียหายแก่เจ้าของข้อมูล เว้นแต่เป็นเหตุสุดวิสัย หรือความเสียหายเกิดจากการกระทำของเจ้าของข้อมูลเอง หรือเป็นการปฏิบัติตามคำสั่งตามกฎหมายของเจ้าหน้าที่
ถึงแม้ในปัจจุบันยังไม่มีการประกาศรายชื่อการจัดตั้งคณะกรรมการผู้เชี่ยวชาญในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลอย่างเป็นทางการ แต่คาดว่าจะมีประกาศการจัดตั้งรวม 2 ชุด คือคณะกรรมการผู้เชี่ยวชาญชุดทั่วไป และคณะกรรมการผู้เชี่ยวชาญด้านการเงินการลงทุน อย่างเร็วที่สุดเพื่อพร้อมรับมือการบังคับใช้กฏหมายอย่างเต็มรูปแบบ
