ปัญหาหนึ่งที่มีความอ่อนไหวในยุคที่ความก้าวหน้าทางเทคโนโลยีสารสนเทศ (Information Technology : IT) คือ การรั่วไหลของข้อมูลส่วนบุคคลที่ถูกจัดเก็บไว้ตามหน่วยงานภาครัฐ เอกชน ที่ยิ่งทวีความรุนแรงจนกล่าวได้ว่าเป็นภัยคุกคามหนึ่งในยุค Digital ที่ข้อมูลมีบทบาทสำคัญในทุก ๆ ด้านต่อการใช้ชีวิตประจำวันของทุกคน ดังนั้น การรั่วไหลของข้อมูลส่วนบุคคลจึงไม่ได้ส่งผลกระทบต่อความเป็นส่วนตัวของบุคคลหนึ่ง ๆ เท่านั้น แต่อาจจะนำไปสู่ความเสียหายทางชื่อเสียง และทางการเงินของบุคคลนั้น ๆ ได้อีกด้วย จากการนำไปใช้ในทางทุจริตของบุคคลอื่น เช่น การนำไปใช้เพื่อการแอบอ้างตัวตน ฉ้อโกง รวมถึง โทษ PDPA เพิ่มเติมอีกด้วย
ปัจจัยเสี่ยงให้เกิดการรั่วไหลของข้อมูลส่วนบุคคล
โดยทั่วไปข้อมูลส่วนบุคคลของคน ๆ หนึ่ง จะมีการจัดเก็บในฐานข้อมูลส่วนตัว (ทั้งด้วยความตั้งใจหรือไม่ตั้งใจ และอย่างเป็นระบบหรือไม่เป็นระบบ) และถูกจัดเก็บโดยหน่วยงานทั้งภาครัฐและเอกชนต่าง ๆ เป็นจำนวนมาก ด้วยวัตถุประสงค์ต่าง ๆ ที่เราไม่สามารถปฏิเสธหรือหลีกเลี่ยงได้ และเมื่อข้อมูลส่วนบุคคลเป็นสิ่งสำคัญที่สามารถเปลี่ยนคุณค่าให้เป็นราคาได้ จึงมีความเสี่ยงต่าง ๆ ที่ทำให้เกิดการรั่วไหลของข้อมูลส่วนบุคคลได้ เช่น
– การโจมตีทาง Cyber โดย Hacker หรือผู้เชี่ยวชาญเทคโนโลยีสารสนเทศ ที่จะเจาะเข้าสู่ระบบ Computer หรือเครือข่าย (Network) ของหน่วยงาน และนำข้อมูลต่าง ๆ ออกไปใช้ประโยชน์ทางทุจริตได้
– การสูญหาย หรือถูกขโมยอุปกรณ์ เช่น อุปกรณ์จัดเก็บข้อมูล และ Computer ที่มีการจัดเก็บข้อมูลสำคัญ โดยเฉพาะข้อมูลส่วนบุคคลของเรา ข้อมูลส่วนบุคคลของบุคลากร หรือลูกค้าของหน่วยงาน
– ความผิดพลาดของมนุษย์ ที่มีสาเหตุมาจากการขาดความระมัดระวังที่ดีเพียงพอ เช่น การเปิด e-Mail หรือการกด Link ที่น่าสงสัย ซึ่งอาจจะนำไปสู่การทำให้อุปกรณ์ต่าง ๆ ของเราติด Malwares และทำให้เกิดการรั่วไหลของข้อมูลได้ในที่สุด
– การแบ่งปันข้อมูลที่ไม่เหมาะสม เช่น การแสดงข้อมูลส่วนตัวของเรา หรือบุคคลอื่นในสื่อสังคม Online หรือการส่งข้อมูลให้กับบุคคลที่ไม่รู้จักหรือไม่มีความน่าเชื่อถือ
การป้องกันการรั่วไหลของข้อมูลส่วนบุคคลในวันนี้ เป็นเรื่องสำคัญที่ทุกคน ทุกหน่วยงานทั้งภาครัฐและเอกชนต้องให้ความสำคัญมากขึ้น เพราะภายใต้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ที่มีการกล่าวถึงมากขึ้นในสังคมไทย คือ กฎหมายที่ออกแบบมาเพื่อปกป้องสิทธิของเจ้าของข้อมูล และกำหนดบทลงโทษสำหรับบุคคล และหน่วยงานที่ละเลยการปกป้องและป้องกันการรั่วไหลของข้อมูลส่วนบุคคล จนเป็นเหตุให้เกิดความเสียหายต่อชีวิต ชื่อเสียง และทรัพย์สินของบุคคลผู้เป็นเจ้าของข้อมูล ซึ่งในที่นี้ เราจะขอกล่าวถึงบทลงโทษต่อการละเลย และผู้ฝ่าฝืนจะมี โทษ PDPA ที่ประกอบด้วยโทษทางปกครอง โทษทางอาญา และโทษทางแพ่งที่ต้องรับผิดต่อเจ้าของข้อมูล
โทษ 3 ชั้น เมื่อทำข้อมูลส่วนบุคคล “รั่ว”
ในกรณีที่บุคคล หรือหน่วยงาน ละเลยต่อปัจจัยเสี่ยงต่าง ๆ จนเป็นเป็นที่มาของเหตุการณ์ข้อมูลส่วนบุคคลของหน่วยงานเกิดการรั่วไหลไปสู่สาธารณะหรือบุคคลและกลุ่มบุคคลที่ไม่ประสงค์ดี จะมี โทษ PDPA : 3 ชั้น คือ
โทษชั้นที่ 1 โทษทางปกครอง
หากเกิดข้อมูลรั่วไหลข้อมูลส่วนบุคคลแล้วไม่แจ้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ตามกฎหมายอาจได้รับโทษสูงสุดไม่เกิน 3 ล้านบาท และอาจจะถูกตรวจสอบจากหน่วยงานกำกับดูแลแล้วเข้าข่ายได้รับโทษกระทงอื่น ๆ อีก ดังนี้
1. โทษปรับทางปกครองไม่เกิน 1,000,000 บาท
กรณีความผิด :
มาตรา 23 กรณีผู้ควบคุมข้อมูลส่วนบุคคลไม่ได้แจ้งให้เจ้าของข้อมูลทราบก่อนหรือระหว่างเก็บรวบรวมข้อมูลส่วนบุคคลตามมาตรานี้
มาตรา 30 วรรคสี่ กรณีผู้ควบคุมข้อมูลส่วนบุคคลไม่ดำเนินการตามคำขอเข้าถึงและขอรับสำเนา
มาตรา 39 วรรคหนึ่ง กรณีผู้ควบคุมข้อมูลส่วนบุคคลไม่ได้ทำบันทึกรายการ RoPA ตามมาตรานี้
มาตรา 41 วรรคหนึ่ง กรณีผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลไม่ได้จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ของตนในกรณีที่กฎหมายกำหนด
มาตรา 19 วรรคสาม ไม่ขอความยินยอมตามแบบหรือข้อความที่คณะกรรมการกำหนด และวรรคหก ไม่แจ้งผลกระทบจากการถอนความยินยอม
2. โทษปรับทางปกครองไม่เกิน 3,000,000 บาท
กรณีความผิด :
มาตรา 21 กรณีผู้ควบคุมข้อมูลส่วนบุคคลไม่ได้แจ้งให้เจ้าของข้อมูลทราบตามมาตรานี้
มาตรา 22 กรณีผู้ควบคุมข้อมูลส่วนบุคคลเก็บข้อมูลโดยไม่เป็นไปตามวัตถุประสงค์และเกินจำเป็น
มาตรา 24 กรณีผู้ควบคุมข้อมูลส่วนบุคคลเก็บรวบรวมข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลตามมาตรานี้ (เก็บรวบรวมข้อมูลส่วนบุคคลโดยไม่มีฐานทางกฎหมายอื่นรองรับ)
มาตรา 25 กรณีผู้ควบคุมข้อมูลส่วนบุคคลเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นโดยไม่ปฏิบัติสอดคล้องตามมาตรานี้
มาตรา 27 กรณีผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือเปิดเผยโดยไม่ได้รับความยินยอม หรือนอกขอบเขตวัตถุประสงค์
มาตรา 28 และ 29 กรณีผู้ควบคุมข้อมูลส่วนบุคคลโอนข้อมูลไปต่างประเทศ โดยไม่ได้ปฏิบัติตามหลักเกณฑ์ที่คณะกรรมการกำหนด
มาตรา 32 วรรคสอง กรณีเจ้าของข้อมูลได้ใช้สิทธิคัดค้านแต่ผู้ควบคุมข้อมูลส่วนบุคคลยังใช้ข้อมูลต่อไป
มาตรา 37 ผู้ควบคุมไม่ได้ปฏิบัติหน้าที่ให้เป็นไปตามมาตรานี้ (4) แจ้งเหตุละเมิดภายใน 72 ชั่วโมงหลังทราบเหตุ หรือขอความยินยอมโดยการหลอกลวงหรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดวัตถุประสงค์ หรือการส่งหรือโอนข้อมูลโดยไม่ปฏิบัติตามมาตรา 29 วรรคหนึ่งหรือวรรคสาม
3. โทษปรับทางปกครองไม่เกิน 5,000,000 บาท
กรณีความผิด :
มาตรา 26 ผู้ควบคุมข้อมูลที่ฝ่าฝืนเก็บรวบรวมข้อมูลอ่อนไหวโดยไม่ได้รับความยินยอม
มาตรา 27 กรณีผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือเปิดเผยโดยไม่ได้รับความยินยอม หรือนอกขอบเขตวัตถุประสงค์
มาตรา 28 และ 29 กรณีผู้ควบคุมข้อมูลส่วนบุคคลส่งหรือโอนข้อมูลอ่อนไหวตามมาตรา 26 ไปต่างประเทศ โดยไม่ได้ปฏิบัติตามหลักเกณฑ์ที่คณะกรรมการกำหนด
ทั้งนี้ คณะกรรมการผู้เชี่ยวชาญมีอำนาจสั่งลงโทษปรับทางปกครอง ในกรณีที่เห็นสมควรคณะกรรมการผู้เชี่ยวชาญจะสั่งตักเตือนก่อนก็ได้ และการพิจารณาออกคำสั่งโทษปรับทางปกครอง ให้คณะกรรมการผู้เชี่ยวชาญคำนึงถึงความร้ายแรงแห่งพฤติกรรมที่กระทำผิด ขนาดกิจการ หรือพฤติการณ์ต่าง ๆ ประกอบด้วย
PDPA ปรับจริง 7 ล้านบาท เหตุ “ภาคเอกชน” ทำข้อมูลรั่วไหล อ่านเพิ่มเติม >> คลิก
