โทษปรับฐานละเมิด และไม่ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลกำลังเป็นเรื่องใหญ่สำหรับองค์กรธุรกิจทั่วโลกนับตั้งแต่ปี 2561 เป็นต้นมา ภายหลังการบังคับใช้ General Data Protection Regulation (GDPR) ซึ่งเป็นกฎหมายของสหภาพยุโรปว่าด้วยมาตรการคุ้มครองความเป็นส่วนตัวของข้อมูลส่วนบุคคล และเป็นต้นแบบของกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่ทั่วโลกนำไปประยุกต์ใช้ ทำให้ธุรกิจหลายแห่งถูกปรับ หรือต้องจ่ายค่าสินไหมทดแทน กรณีละเมิดหรือฝ่าผืนกฎหมายคุ้มครองข้อมูลส่วนบุคคล
ยกตัวอย่าง เช่น Google, Meta (Facebook), British Airways, H&M, Amazon, Apple, Netflix, Spotify และ Marriot Hotels ที่ล้วนเคยเผชิญกับบทลงโทษ หรือบางกิจการก็กำลังเผชิญความกดดันจากระเบียบใหม่นี้อยู่ เนื่องจากเป็นระเบียบใหม่ที่มุ่งเน้นการคุ้มครองสิทธิข้อมูลส่วนบุคคลของผู้บริโภค ทำให้การเก็บรวมรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลเกิดเป็น ‘ต้นทุนการจัดการ’ เพื่อให้การดำเนินการถูกต้องตามกฎหมาย เพราะหากฝ่าฝืนจะมีโทษปรับที่ค่อนข้างรุนแรง ดังกรณีที่เคยเกิดขึ้น เช่น
- Google โดนหน่วยงานตรวจสอบความเป็นส่วนตัวในประเทศฝรั่งเศส (CNIL) ปรับเงินกว่า 50 ล้านยูโร จากกรณีการละเมิดข้อมูลส่วนบุคคล เนื่องจากไม่ดำเนินการขอความยินยอมจากเจ้าของข้อมูลที่ถูกต้องเกี่ยวกับการปรับเปลี่ยนโฆษณา
- กรณีอื้อฉาวของ Meta (Facebook) ที่มีข้อมูลส่วนบุคคลของผู้ใช้งาน What’s App รั่วไหลกว่า 50 ล้านบัญชีในไอร์แลนด์ (Data Breach) ซึ่งล่าสุดแม้จะโดนปรับเพียง 17 ล้านยูโร จากเดิมที่คาดว่าจะต้องถูกปรับเงินไม่น้อยกว่า 225 ล้านยูโร เนื่องจากไม่มีการคุ้มครองความเสี่ยงของข้อมูลผู้ใช้ที่ดีเพียงพอ โดยตามระเบียบของ GDPA มีโทษปรับสูงสุด 20 ล้านยูโร หรืออาจจะคิดจากฐาน 4% ของรายได้ทั่วโลก ซึ่งค่าปรับล่าสุดถือเป็นตัวเลขที่น้อยมากเมื่อเทียบกับรายได้ของ Meta แต่ปัจจุบัน Meta ก็ยังวุ่นวายกับการขึ้นศาลในคดีละเมิดข้อมูลส่วนบุคคลในหลายกรณี
- British Airways โดนสำนักงานคณะกรรมาธิการด้านข้อมูล (ICO) สหราชอาณาจักรสั่งลงโทษปรับเป็นจำนวน 204.6 ล้านยูโร จากเหตุโดนแฮคข้อมูลทางการการเงินของลูกค้ามากกว่า 400,000 คน แต่จำนวนเงินที่จ่ายค่าปรับจริงๆ ประมาณ 27 ล้านดอลลาร์สหรัฐฯ โดยศาลพิจารณาจากคำให้การจากตัวแทนสายการบินและปัจจัยด้านผลกระทบทางเศรษฐกิจอันเนื่องมาจากการระบาดของ COVID-19 เข้ามาคำนวณค่าปรับ)
รวมทั้งยังมีบริษัทหลายแห่งทั่วโลก ถูกปรับ หรือต้องจ่ายค่าสินไหมกรณีละเมิดข้อมูลส่วนบุคคลอีกมากมายนับตั้งแต่ปี 2561 เป็นต้นมา
ภายใต้การบังคับใช้ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ กฎหมาย PDPA ที่เป็นกฎหมายคุ้มครองข้อมูลของประเทศไทยที่มีต้นแบบมาจาก GDPR นั้น ค่าปรับในกรณีการละเมิดจะต้องจ่ายเท่าไหร่ และใช้บรรทัดฐานใดในการตัดสินคดีละเมิดข้อมูลส่วนบุคคล?
ก่อนอื่นต้องทราบก่อนว่า ผู้ที่มีอำนาจพิจารณาวินิจฉัยเรื่องค่าปรับ และการกำหนดโทษ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล โดยอาศัยอำนาจของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ในการที่จะพิจารณาบทลงโทษใน 3 ลักษณะ คือ ความรับผิดทางแพ่ง โทษอาญา และโทษทางปกครอง โดยในกฎหมาย PDPA มีการระบุไว้อย่างชัดเจน ดังนี้ :
บุคคลหรือนิติบุคคลที่มีสถานะเป็นผู้ควบคุมข้อมูล (Data Controller) และผู้ประมวลผลข้อมูล (Data Processor) หากมีการฝ่าฝืน หรือไม่ปฏิบัติตามกฎหมาย PDPA จนทำให้เกิด ความเสียหายต่อเจ้าของข้อมูลส่วนบุคคล ไม่ว่าจะจงใจหรือประมาทเลินเล่อ ต้องชดใช้ค่าสินไหมทดแทนแก่เจ้าของข้อมูลส่วนบุคคลตามความเสียหายที่เกิดขึ้น หรือคณะกรรมการคุ้มครองข้อมูลฯ อาจพิจารณาเพิ่มโทษเป็น 2 เท่าจากความเสียงหายจริงที่เกิดขึ้น คำนวณง่ายๆ ก็คือ ค่าปรับจริง + 2 เท่าของค่าปรับ = เงินค่าสินไหมทดแทนที่ต้องจ่าย
กฎหมาย PDPA กำหนดโทษอาญาไว้ 2 ลักษณะ คือ ปรับเงิน กับ จำคุก หรืออาจจะโดนทั้งคู่! ดังนี้ :
- เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เก็บข้อมูลส่วนบุคคลอ่อนไหว ส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล มีโทษจำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 5 แสนบาท หรือทั้งจำทั้งปรับ
- เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เก็บข้อมูลส่วนบุคคลอ่อนไหว ส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เพื่อแสวงหาประโยชน์ มีโทษจำคุกไม่เกิน 1 ปี หรือปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ
- กรณีผู้ปฏิบัติหน้าที่ตามกฎหมาย นำข้อมูลส่วนบุคคลที่ทราบจากหน้าที่ไปเปิดเผย มีโทษจำคุกไม่เกิน 6 เดือน ปรับไม่เกิน 5 แสนบาทหรือทั้งจำทั้งปรับ
ทั้งนี้ ในกรณีผู้กระทำผิดเป็น ‘นิติบุคคล’ ซึ่งเกิดจากการสั่งการของกรรมการ ผู้จัดการ หรือผู้รับผิดชอบในงานนั้น หรือละเว้นที่จะสั่งการเป็นเหตุให้เกิดการทำผิดกฎหมาย PDPA บุคคลดังกล่าวจะต้องรับโทษ ตามบทลงโทษที่กฎหมายบัญญัติไว้ในความผิดนั้นด้วย
อย่างไรก็ตาม การกำหนดโทษจะดูจากพฤติการณ์ต่างๆ เช่น ความร้ายแรงของความเสียหาย ผลประโยชน์ที่ผู้ควบคุมข้อมูล หรือผู้ประมวลผลข้อมูลได้รับ ตลอดจนสถานะทางการเงิน การบรรเทาในส่วนที่เกิดความเสียหาย หรือกล่าวให้ง่ายกว่านั้นคือขึ้นอยู่ที่ดุลยพินิจของคณะกรรมการคุ้มครองข้อมูลฯ ซึ่งบทลงโทษอาจรวมทั้ง ความรับผิดทางแพ่ง โทษอาญา และโทษทางปกครองร่วมด้วย หมายความว่า หากละเมิดอาจโดนโทษถึง 3 เด้ง!!!
กรณีบุคคล หรือนิติบุคคล มีเก็บรวบรวมข้อมูลส่วนบุคคล ภายใต้ ‘วัตถุประสงค์อันชอบด้วยกฎหมาย’ ซึ่งกฎหมาย PDPA อนุญาตให้ทำได้โดยอ้างอิงจาก ฐานสัญญา หรือฐานประโยชน์โดยชอบตามกฎหมาย แต่ต้องมีการดำเนินการตามที่กฎหมายบัญญัติไว้ ถือว่าได้ละเมิดกฎหมาย PDPA มีการแบ่ง โทษทางปกครอง 3 ส่วน สำหรับผู้ควบคุมข้อมูล –ผู้ประมวลผลข้อมูลหรือตัวแทนผู้ควบคุมข้อมูล ดังนี้ :
- แจ้งข้อมูลของผู้จัดเก็บ
- ระบุวัตถุประสงค์และรายละเอียดข้อมูลในการจัดเก็บ
- กำหนดระยะเวลาในการจัดเก็บ
- แจ้งแก่เจ้าของข้อมูลที่จะอาจจะถูกเปิดเผยแก่บุคคลที่สาม
- แจ้งสิทธิต่างๆ และดำเนินการตามคำขอของเจ้าของข้อมูล
- จัดทำบันทึกรายการข้อมูลส่วนบุคคล
- มีมาตรการรักษาความปลอดภัยตามความเสี่ยงของข้อมูลอย่างเหมาะสม
- จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามกฎหมาย (เจ้าหน้าที่ DPO)
โทษของผู้ควบคุมข้อมูล ปรับสูงสุดไม่เกิน 5,000,000 บาท จากกรณีดังนี้
- การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่แจ้งฐานทางกฎหมาย
- การไม่ขอความยินยอมให้ถูกต้องตามกฎหมาย
- การเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลผิดไปจากวัตถุประสงค์ที่ได้แจ้งไว้โดยไม่ได้แจ้งวัตถุประสงค์ใหม่
- การเก็บรวบรวมข้อมูลเกินที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล
- การเก็บข้อมูลจากแหล่งอื่นที่ไม่ใช่เจ้าของข้อมูลโดยตรงที่ต้องห้ามตามกฎหมาย
- การแจ้งขอความยินยอมที่เป็นการหลอกลวง หรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดจากวัตถุประสงค์
- การเก็บรวบรวม ใช้ หรือเปิดเผย การโอนข้อมูลอ่อนไหว( Sensitive Data )โดยไม่ชอบด้วยกฎหมาย
- การไม่ให้เจ้าของข้อมูลเข้าถึงข้อมูลตามสิทธิ
- การไม่ดำเนินการตามสิทธิของเจ้าของข้อมูล
- การไม่จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
- การไม่จัดให้มีการสนับสนุนการปฏิบัติหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลอย่างเพียงพอต่อความจำเป็น
- การโอนข้อมูลส่วนบุคคลไปยังต่างประเทศโดยไม่ชอบด้วยกฎหมาย
- การไม่จัดให้มีมาตรการในการรักษาความมั่นคงปลอดภัยที่เหมาะสม
โทษของผู้ประมวลผลข้อมูล และตัวแทนผู้ควบคุมข้อมูล ปรับสูงสุดไม่เกิน 5,000,000 บาท จากกรณีดังนี้
- การไม่จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลอย่างเพียงพอ
- การไม่ปฏิบัติตามคำสั่งของผู้ควบคุมข้อมูล (ไม่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม)
- การโอนข้อมูลส่วนบุคคลไปต่างประเทศโดยไม่ชอบด้วยกฎหมาย
- การโอนข้อมูลส่วนบุคคลประเภทอ่อนไหวไปต่างประเทศโดยไม่ชอบด้วยกฎหมาย
ทั้งนี้ คณะกรรมการผู้เชี่ยวชาญมีอำนาจสั่งลงโทษปรับทางปกครองตามที่กำหนดไว้ หรือสั่งให้แก้ไข หรือตักเตือนก่อนก็ได้ จากข้อมูลเรื่องค่าปรับ ค่าสินไหมทดแทน และโทษทางปกครองที่ต้องจ่ายหากบุคคลหรือนิติบุคคลมีการละเมิดกฎหมาย จะโดยจงใจหรือประมาทก็ตาม ผู้ประกอบการสามารถเตรียมความพร้อมก่อนกฎหมายบังคับใช้ หรือการแต่งตั้งเจ้าหน้าที่ DPO เพื่อให้การดำเนินการขององค์กรสามารถลดความเสี่ยงที่อาจมีการละเมิดกฎหมายได้ ซึ่งเป็นแนวทางที่ทุกองค์กรควรดำเนินการ ขณะเดียวกัน ธุรกิจขนาดเล็ก หรือ SME หากไม่ได้มีการเก็บข้อมูลส่วนบุคคลเป็นจำนวนมาก หรือมีการประมวลผลข้อมูลส่วนบุคคลเป็นครั้งคราว อาจพิจารณาแต่งตั้งเจ้าหน้าที่ประสานงานข้อมูลส่วนบุคคลที่มีความรู้ ความเข้าใจเรื่องกฎหมาย PDPA ก็จะเป็นแนวที่ที่สามารถลดความสี่ยงจากการละเมิดกฎหมายได้เช่นกัน
.
.
.
อ้างอิง : พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒
