สำหรับโทษปรับฐานละเมิดและไม่ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลกลายเป็นประเด็นร้อนสำหรับองค์กรธุรกิจทั่วมุมโลกตั้งแต่ปี 2561 เป็นต้นมา หลังจากการบังคับใช้ General Data Protection Regulation (GDPR) ซึ่งเป็นกฎหมายของสหภาพยุโรปว่าด้วยมาตรการคุ้มครองความเป็นส่วนตัวของข้อมูลส่วนบุคคล และต้นแบบของกฎหมายคุ้มครองส่วนบุคคลที่ทั่วโลกนำไปปรับใช้ รวมถึง พรบ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) ของประเทศไทยด้วย ทำให้ธุรกิจหลายแห่งถูกปรับหรือต้องจ่ายค่าสินไหมทดแทน กรณีละเมิดหรือฝ่าฝืนกฎหมายคุ้มครองข้อมูลส่วนบุคคล

กรณีศึกษาตัวอย่าง เช่น Google, Meta (Facebook), British Airways, H&M, Amazon, Apple, Google, Netflix, Spotify และ Marriot Hotels องค์กรเหล่านี้ล้วนเคยเผชิญกับบทลงโทษ หรือบางกิจการก็กำลังเผชิญความกดดันจากระเบียบกฎหมายใหม่นี้อยู่ เนื่องจากระเบียบใหม่มุ่งเน้นการคุ้มครองสิทธิข้อมูลส่วนบุคคลของผู้บริโภค ทำให้การเก็บรวบรวม ประมวลผล หรือเปิดเผยข้อมูลส่วนบุคคลกลายเป็น ‘ต้นทุนการจัดการ’ เพื่อให้การดำเนินการถูกต้องตามกฎหมาย หากฝ่าฝืนจะมีโทษปรับที่ค่อนข้างรุนแรง โดยมีกรณีที่เคยเกิดขึ้น ดังนี้

 

• Google โดนผู้ควบคุมข้อมูลของฝรั่งเศส (CNIL) ปรับเงิน 50 ล้านยูโร จากกรณีการละเมิดข้อมูลส่วนบุคคล เนื่องจากไม่ดำเนินการขอความยินยอมจากเจ้าของข้อมูลที่ถูกต้องเกี่ยวกับการปรับเปลี่ยนโฆษณา
• กรณีอื้อฉาวของ Meta (Facebook) ที่มีข้อมูลส่วนบุคคลของผู้ใช้งาน Whats App รั่วไหลกว่า 50 ล้านบัญชีในไอร์แลนด์ (Data Breach) แม้ล่าสุดจะโดนปรับเพียง 17 ล้านยูโร จากเดิมที่คาดว่าจะต้องถูกปรับเงินไม่น้อยกว่า 225 ล้านยูโร เนื่องจากไม่มีการคุ้มครองความเสี่ยยงของข้อมูลผู้ใช้ที่ดีเพียงพอ โดยตามระเบียบ GDPA มีโทษปรับสูงสุด 20 ล้านยูโร หรือคิดจากฐานร้อยละ 4 ของรายได้ทั่วโลก ซึ่งค่าปรับล่าสุดของ Meta ถือว่าน้อยมากเมื่อเทียบกับจำนวนรายได้ แต่ในปัจจุบัน Meta ก็ยังคงวุ่นวายกับคดีละเมิดข้อมูลส่วนบุคคลทำให้ขึ้นศาลในหลายกรณี
• British Airways โดนสำนักงานคณะกรรมาธิการด้านข้อมูล (ICO) แห่งสหราชอาณาจักร สั่งลงโทษปรับเป็นจำนวน 204.6 ล้านยูโร จากเหตุโดนแฮคข้อมูลทางการเงินของลูกค้ามากกว่า 400,000 คน แต่จำนวนเงินที่ถูกปรับจริงอยู่ที่ 27 ล้านดอลลาร์สหรัฐฯ โดยศาลพิจารณาจากคำให้การจากตัวแทนสายการบิน และปัจจัยด้านผลกระทบทางเศรษฐกิจอันเนื่องมาจากการระบาดของ COVID-19 เข้ามาคำนวณในการปรับ

 

นอกจากนี้ยังมีบริษัทอีกหลายแห่งทั่วโลกที่ถูกปรับหรือต้องจ่ายค่าสินไหม กรณีละเมิดข้อมูลส่วนบุคคลอีกมาก นับตั้งแต่ปี 2561 เป็นต้นมา

อย่างไรก็ตาม จะเห็นได้ว่า ‘ค่าปรับ’ ซึ่งเป็นบทลงโทษในกรณีละเมิดข้อมูลส่วนบุคคลนั้นยังขึ้นอยู่กับ ‘ดุลยพินิจ’ ของหน่วยงานด้านคุ้มครองข้อมูลส่วนบุคคลของแต่ละประเทศอีกด้วย ตลอดจนดูถึง เจตนาและเหตุผล ที่ยกมาอ้างอิงในเหตุการณ์ละเมิดดังกล่าว

หลาย ๆ ท่านอาจตั้งข้อสงสัยว่า ภายใต้การบังคับใช้ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ กฎหมาย PDPA ที่เป็นกฎหมายคุ้มครองข้อมูลของประเทศไทยที่มีต้นแบบมาจาก GDPR นั้น ค่าปรับในกรณีการละเมิดจะต้องจ่ายเท่าไหร่ และใช้บรรทัดฐานใดบ้างในการตัดสินคดีละเมิดข้อมูลส่วนบุคคล ซึ่งกฎหมายได้ถูกบังคับใช้ตั้งแต่วันที่ 1 มิถุนายน 2565 เป็นต้นมาแล้ว

 

ค่าปรับ และค่าสินไหม หากละเมิดตามกฎหมาย PDPA ต้องจ่ายเท่าไหร่?

แจ้งให้ทราบด้วยทั่วกันว่า ผู้ที่มีอำนาจพิจารณาวินิจฉัยเรื่องค่าปรับ และการกำหนดโทษ คือคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล โดยอาศัยอำนาจของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ในการที่จะพิจารณาบทลงโทษใน 3 ลักษณะ คือความรับผิดทางแพ่ง โทษอาญา และโทษทางปกครอง โดยในกฎหมาย PDPA มีการระบุไว้อย่างชัดเจน ดังนี้

 

ความรับผิดทางแพ่ง

บุคคลหรือนิติบุคคลที่มีสถานะเป็นผู้ควบคุมข้อมูล (Data Controller) และผู้ประมวลผลข้อมูล (Data Processor) หากมีการฝ่าฝืน หรือไม่ปฏิบัติตามกฎหมาย PDPA จนทำให้เกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคล ไม่ว่าจะจงใจหรือประมาทเลินเล่อ จะต้องชดใช้ค่าสินไหมทดแทนแก่เจ้าของข้อมูลส่วนบุคคลตามความเสียหายที่เกิดขึ้น หรือคณะกรรมการคุ้มครองข้อมูลฯ อาจพิจารณาเพิ่มโทษเป็น 2 เท่าจากความเสียหายจริงที่เกิดขึ้น

สูตรคำนวณ คือ ค่าปรับจริง + 2 เท่าของค่าปรับ = เงินค่าสินไหมทดแทนที่ต้องจ่าย

 

โทษทางอาญา

สำหรับโทษอาญาของกฎหมาย PDPA กำหนดไว้ 2 ลักษณะ คือ การปรับเงิน และการจำคุก หรืออาจโดนทั้ง 2 โทษ ดังนี้

• เก็บ รวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เก็บข้อมูลส่วนบุคคลอ่อนไหว ส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล มีโทษจำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 5 แสนบาท หรือทั้งจำทั้งปรับ
• เก็บ รวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เก็บข้อมูลส่วนบุคคลอ่อนไหว ส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เพื่อแสวงหาประโยชน์ มีโทษจำคุกไม่เกิน 1 ปี หรือปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ
• กรณีผู้ปฏิบัติหน้าที่ตามกฎหมาย นำข้อมูลส่วนบุคคลที่ทราบจากหน้าที่ไปเปิดเผย มีโทษจำคุกไม่เกิน 6 เดือน ปรับไม่เกิน 5 แสนบาท หรือทั้งจำทั้งปรับ

 

หากกรณีผู้กระทำผิดเป็น ‘นิติบุคคล’ ซึ่งเกิดจากการสั่งการของกรรมการ ผู้จัดการ หรือผู้รับผิดชอบภายในงานนั้น หรือละเว้นที่จะสั่งการเป็นเหตุให้เกิดการทำผิดกฎหมาย PDPA บุคคลดังกล่าวจะต้องรับโทษตามบทลงโทษที่กฎหมายบัญญัติไว้ในความผิดนั้นด้วย

แม้ว่าการกำหนดโทษจะอ้างอิงจากพฤติการณ์ต่าง ๆ เช่น ความร้ายแรงของความเสียหาย ผลประโยชน์ที่ผู้ควบคุมข้อมูล หรือผู้ประมวลผลข้อมูลได้รับตลอดจนสถานะทางการเงิน การบรรเทาในส่วนที่เกิดความเสียหาย หรือขึ้นอยู่ที่ดุลยพินิจของคณะกรรมการคุ้มครองข้อมูลฯ ซึ่งบทลงโทษอาจรวมทั้ง ความรับผิดทางแพ่ง โทษอาญา และโทษทางปกครองร่วมด้วย

 

บทลงโทษทางปกครอง

กรณีบุคคล หรือนิติบุคคล มีการเก็บรวบรวมข้อมูลส่วนบุคคลภายใต้ ‘วัตถุประสงค์อันชอบด้วยกฎหมาย’ โดยกฎหมายของ PDPA อนุญาตให้ทำได้โดยอ้างอิงจากฐานสัญญา หรือฐานประโยชน์โดยชอบตามกฎหมาย ซึ่งต้องมีการดำเนินการตามกฎหมายบัญญัติไว้ว่า หากผู้ควบคุมข้อมูล และผู้ประมวลผลข้อมูลหรือตัวแทนผู้ควบคุมข้อมูล หากไม่ดำเนินตามกฎหมายบัญญัติจะถือว่าละเมิดกฎหมาย PDPA มีโทษปรับไม่เกิน 1 ล้านบาท โดยมีข้อบัญญัติดังนี้

• แจ้งข้อมูลของผู้จัดเก็บ
• ระบุวัตถุประสงค์และรายละเอียดข้อมูลในการจัดเก็บ
• กำหนดระยะเวลาในการจัดเก็บ
• แจ้งแก่เจ้าของข้อมูลที่จะอาจจะถูกเปิดเผยแก่บุคคลที่สาม
• แจ้งสิทธิต่างๆ และดำเนินการตามคำขอของเจ้าของข้อมูล
• จัดทำบันทึกรายการข้อมูลส่วนบุคคล
• มีมาตรการรักษาความปลอดภัยตามความเสี่ยงของข้อมูลอย่างเหมาะสม
• จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามกฎหมาย (เจ้าหน้าที่ DPO)

 

โทษปรับทางปกครองสำหรับควบคุมข้อมูล –ผู้ประมวลผลข้อมูลหรือตัวแทนผู้ควบคุมข้อมูล ไม่เกิน 3 ล้านบาท ในกรณีดังนี้

• เปิดเผยข้อมูลส่วนบุคคลไม่ได้รับความยินยอม
• เก็บ รวบรวมข้อมูลโดยไม่ขอความยินยอมแก่เจ้าของข้อมูล
• ไม่แจ้งวัตถุประสงค์และรายละเอียดแก่เจ้าของข้อมูล
• ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลผิดวัตถุประสงค์ที่แจ้งไว้
• เก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่จากเจ้าของข้อมูลส่วนบุคคลโดยตรง
• ส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศที่ขัดต่อข้อบัญญัติตามกฎหมาย PDPA
• เก็บข้อมูลส่วนบุคคลอ่อนไหวโดยไม่ได้รับความยินยอม

 

โทษปรับทางปกครองสำหรับควบคุมข้อมูล –ผู้ประมวลผลข้อมูลหรือตัวแทนผู้ควบคุมข้อมูลไม่เกิน 5 ล้านบาท ในกรณีดังนี้

• เก็บรวบรวมข้อมูลส่วนบุคคลอ่อนไหว ประวัติอาชญากรรม โดยไม่ได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล
• ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์อื่นนอกเหนือจากวัตถุประสงค์ที่ได้แจ้งไว้แก่บุคคลที่สาม
• ส่งหรือโอนข้อมูลส่วนบุคคลอ่อนไหวไปยังต่างประเทศที่ผิดต่อบทบัญญัติตามกฎหมาย

 

โทษปรับทางปกครองไม่เกิน 1 ล้านบาท จากกรณีนี้

• ไม่มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) หรือ แต่งตั้งตัวแทนในกรณีที่เป็นกิจการขนาดใหญ่ หรือมีการเก็บ รวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเป็นจำนวนมาก
• ไม่ดำเนินการสนับสนุนการปฏิบัติหน้าที่ ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) โดยจัดหาเครื่องมือหรืออุปกรณ์อย่างเพียงพอ รวมทั้งอำนวย ความสะดวกในการเข้าถึงข้อมูลส่วนบุคคลเพื่อการปฏิบัติหน้าที่คุ้มครองข้อมูลส่วนบุคคล
• ให้เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ออกจากงานหรือเลิกสัญญาการจ้างด้วยเหตุที่เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลปฏิบัติหน้าที่ตามกฎหมาย PDPA

 

โทษปรับทางปกครองไม่เกิน 5 แสนบาท จากกรณีนี้

• ไม่ปฏิบัติตามคำสั่งของคณะกรรมการผู้เชี่ยวชาญหรือไม่มาชี้แจงข้อเท็จจริง หรือไม่อำนวยความสะดวกแก่พนักงานเจ้าหน้าที่ตรวจสอบข้อมูลส่วนบุคคล

 

นอกจากนี้ คณะกรรมการผู้เชี่ยวชาญมีอำนาจสั่งลงโทษปรับทางปกครองตามที่กำหนดไว้ หรือสามารถสั่งให้แก้ไข และตักเตือนก่อนได้เช่นกัน

หลังจากที่ทุกท่านได้ทราบข้อมูลเรื่องค่าปรับ ค่าสินไหมทดแทน และโทษทางปกครองที่ต้องจ่าย หากบุคคลหรือนิติบุคคลมีการละเมิดกฎหมาย PDPA ไม่ว่าจะเหตุจงใจหรือประมาทก็ตาม ผู้ประกอบการสามารถแต่งตั้งเจ้าหน้าที่ DPO เพื่อให้การดำเนินการขององค์กรสามารถลดความเสี่ยงที่อาจมีการละเมิดกฎหมายได้ ซึ่งเป็นแนวทางที่ดี ที่ทุกองค์กรควรดำเนินการ

ในขณะเดียวกัน ธุรกิจขนาดเล็ก หรือ SME หากไม่ได้มีการเก็บข้อมูลส่วนบุคคลเป็นจำนวนมาก หรือมีการประมวลผลข้อมูลส่วนบุคคลเป็นครั้งคราว อาจพิจารณาแต่งตั้งเจ้าหน้าที่ประสานงานข้อมูลส่วนบุคคลที่มีความรู้ ความเข้าใจเรื่องกฎหมาย PDPA ก็จะสามารถลดความเสี่ยงการละเมิดกฎหมายได้เช่นกัน