หลายๆ คนทราบกันดีว่า PDPA นั้นเป็น พ.ร.บ. ชนิดหนึ่งที่ใช้คุ้มครองข้อมูลส่วนบุคคล (พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562) โดยจะเริ่มมีการประกาศใช้ในกลางปี 2565 นี้แล้ว และแน่นอนว่า มีผลต่อการเก็บข้อมูลของบริษัททุกระดับอย่างแน่นอน ด้วยความเข้มงวดและบทลงโทษที่มากขึ้น ทำให้องค์กรต่าง ๆ หันมาสนใจ และเตรียมปรับตัวกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่กำลังจะมาถึง

ที่ผ่านมา หลายธุรกิจตื่นตัวในเรื่องข้อบังคับตามกฎหมายอย่างเคร่งครัด เนื่องจากมีบทลงโทษทางแพ่ง ทางอาญาและทางปกครองหลายประการสำหรับผู้ที่กระทำความผิดต่อการควบคุมข้อมูลของประชาชน ถึงแม้ในประเทศไทยกฎหมายฉบับนี้จะเพิ่งจะเริ่มมีการใช้งานจริงในกลางปีนี้ แต่ในต่างประเทศหลายๆ ที่นั้นมีการประกาศใช้มาหลายปีแล้ว อาทิเช่น ที่ยุโรปจะมีชื่อเรียกว่า GDPR (General Data Protection Regulation) และมีการประกาศใช้มาตั้งแต่ปี 2016

กฎหมายประเภทนี้ในทุกประเทศ จะมีการควบคุมในส่วนการส่งข้อมูลส่วนบุคคลไปยังต่างประเทศ ว่าประเทศปลายทางที่รับข้อมูลนั้น ต้องมีมาตรฐานกฎหมายที่คุ้มครองข้อมูลส่วนบุคคลที่เหมาะสมเช่นกัน ซึ่ง PDPA ก็ถือว่าผ่านเกณฑ์ระดับสากล และจะเข้ามามีบทบาทสำคัญในการส่ง Data ข้ามไปมาระหว่างประเทศแน่นอน

โทษของผู้ประมวลผลข้อมูลในกรณีที่ไม่ปฏิบัติตาม PDPA คือ

1. โทษทางแพ่ง

หากผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคล ทำให้เจ้าของข้อมูลเสียหายจะต้องชดใช้  “ค่าสินไหมทดแทน” ไม่ว่าการดำเนินการที่ฝ่าฝืนกฎหมายนั้นจะเป็นการกระทำโดยจงใจหรือประมาทเลินเล่อ  ** โดยมีข้อยกเว้น คือ พิสูจน์ได้ว่าเกิดจากเหตุสุดวิสัย เกิดจากการกระทำหรือละเว้นการกระทำของเจ้าของข้อมูลส่วนบุคคล เป็นการปฏิบัติตามคำสั่งของเจ้าหน้าที่ซึ่งปฏิบัติตามอำนาจของกฎหมาย

• ค่าสินไหมทดแทน  จ่ายสินไหมไม่เกิน 2 เท่าของสินไหมที่แท้จริง
• อายุความ 3 ปี นับแต่วันที่ผู้เสียหายรู้ถึงความเสียหาย และรู้ตัวผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคลที่ต้องรับผิด หรือ 10 ปีนับแต่วันที่มีการละเมิดข้อมูลส่วนบุคคล

2. โทษทางอาญา

โทษทางอาญาแบ่งออกเป็น การใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่เป็นข้อมูลอ่อนไหวโดยปราศจากฐานทางกฎหมาย ทำให้ผู้อื่นเกิดความเสียหาย เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความ อับอาย และการใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่เป็นข้อมูลอ่อนไหวโดยปราศจากฐานทางกฎหมาย เพื่อแสวงหาประโยชน์ที่ไม่ชอบด้วยกฎหมาย  ** เว้นแต่จะเป็นการเปิดเผยตามหน้าที่ การเปิดเผยเพื่อประโยชน์แก่การสอบสวนหรือพิจารณาคดี การเปิดเผยแก่หน่วยงานของรัฐ ในประเทศหรือต่างประเทศที่มีอำนาจหน้าที่ตามกฎหมาย

• โทษจำคุกสูงสุดไม่เกิน 1 ปี หรือปรับไม่เกิน 1,000,000 บาท หรือทั้งจำทั้งปรับ

3. โทษทางปกครอง

โทษทางปกครองของ PDPA คือโทษปรับเป็นตัวเงิน ซึ่งมีตั้งแต่ 1 ล้านบาทไปจนถึง 5 ล้านบาท โดยกรณีที่จะโดนโทษปรับสูงสุด 5 ล้านบาทนี้ คือกรณีที่มีการฝ่าฝืนข้อกำหนดที่เกี่ยวกับการใช้หรือเปิดเผยข้อมูล หรือส่งโอนข้อมูลไปต่างประเทศในส่วนที่เป็นข้อมูลส่วนบุคคล sensitive และแน่นอนว่า โทษปรับนี้เป็นคนละส่วนต่างหากจากการชดใช้ค่าเสียหายทางแพ่งและโทษปรับทางอาญา

• หากผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือเปิดเผยข้อมูลส่วนบุคคลอ่อนไหว โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล หรือผิดจากวัตถุประสงค์ที่ได้แจ้งไว้ หรือ โอนข้อมูลส่วนบุคคลอ่อนไหวไปยังต่างประเทศโดยไม่ชอบด้วยกฎหมาย
• ทำให้ผู้อื่นเกิดความเสียหาย เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย มีโทษจำคุกอย่างน้อย 6 เดือน หรือปรับไม่เกิน 500,000 บาท
• ทำไปเพื่อแสวงหาประโยชน์ที่มิควรได้โดยชอบด้วยกฎหมายสำหรับตนเองหรือผู้อื่น มีโทษจำคุกอย่างน้อย 1 ปี หรือปรับไม่เกิน 1,000,000 บาท
• หากมีผู้ใด ล่วงรู้ข้อมูลส่วนบุคคลของผู้อื่นเนื่องจากการปฏิบัติหน้าที่ ตามพ.ร.บ.นี้ ห้ามนำไปเปิดเผยแก่ผู้อื่นเว้นแต่เปิดเผยตามหน้าที่ หรือเพื่อประโยชน์แก่การสอบสวนหรือพิจารณาคดี หรือได้รับความยินยอมเป็นหนังสือเฉพาะครั้งจากเจ้าของข้อมูลส่วนบุคคล หรือเปิดเผยให้หน่วยงานที่มีอำนาจหน้าที่ตามกฎหมาย หรือข้อมูลคดีต่างๆ ที่เปิดเผยต่อสาธารณะ มีโทษจำคุกอย่างน้อย 6 เดือน หรือปรับไม่เกิน 500,000 บาท
• ผู้กระทำความผิดที่เป็นนิติบุคคล หากกรรมการหรือผู้จัดการ หรือ บุคคลใดซึ่งรับผิดชอบในการดำเนินงานของนิติบุคคลนั้น สั่งการหรือกระทำหรือละเว้นไม่สั่งการหรือไม่กระทำการจนเป็นเหตุให้นิติบุคคลนั้นกระทำความผิด ต้องรับโทษในส่วนที่กำหนดโทษอาญาไว้ด้วย

 หมายความว่า หากมีการละเมิดข้อกำหนดของ PDPA อาจจะโดนบทลงโทษทั้ง 3 ประเภทนี้พร้อมกันได้

ดังนั้น องค์ก รหรือบริษัทเอกชนทั้งหลายจึงเริ่มตื่นตัวและให้ความสำคัญกับการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือ PDPA กันเพิ่มมากขึ้นทั้งในส่วนของเอกสารที่จับต้องได้ และข้อมูลแบบดิจิตอล ซึ่งต้องมีการทำ Format และ Template ของข้อมูลให้ชัดเจน และง่ายต่อการบริหารจัดการ ผ่านเกณฑ์ Security Policy ที่ทางรัฐกำหนด ซึ่งก็จะกลายมาเป็นเสมือนเกราะคุ้มกัน ว่าหากเกิดการถูกฟ้องร้อง จะได้มีหลักฐานว่าบริษัทเรามีพื้นฐานระบบ Privacy ที่ผ่านเกณฑ์ได้รับการตรวจสอบแล้วนั่นเอง

ทั้งนี้ บริษัท เอซิส โปรเฟสชั่นนัล เซ็นเตอร์ จำกัด (“ACIS”) เราเป็นผู้เชี่ยวชาญ ที่พร้อมให้คำปรึกษาด้านมาตรฐานทาง Cybersecurity, Data Security and Privacy รวมไปถึงกฎหมาย หรือระเบียบที่เกี่ยวข้อง โดยเฉพาะอย่างยิ่งกฎหมายพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA ซึ่งเรามีผู้เชี่ยวชาญคอยบริการให้คำปรึกษาอย่างครอบคลุมแบบ One-Stop-Service ทั้งในเรื่องของ

• PDPA/GDPR consulting service
• DPO outsourcing service
• PDPA audit service
• PDPA implementation service
• PDPA awareness training service

หากองค์กรใดต้องการที่ปรึกษา เพื่อเตรียมรับมือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA (???????? ???? ?????????? ???) อย่างเป็นระบบ  สามารถติดต่อสอบถามข้อมูลฝ่ายขายได้ที่

091-770-6304 (คุณพัชรา)

091-770-6303 (คุณพิชชา)

091-003-1796 (คุณเตย)