บทลงโทษหากไม่ปฏิบัติตามกฎหมาย PDPA ที่องค์กรต้องรู้
การบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 อย่างเต็มรูปแบบในประเทศไทย ส่งผลให้ทุกองค์กรต้องปรับตัวและเตรียมพร้อมอย่างเร่งด่วน เพื่อหลีกเลี่ยงบทลงโทษที่รุนแรงทั้งทางการเงินและทางกฎหมาย ไม่ว่าจะเป็นธุรกิจขนาดเล็ก กลางหรือใหญ่ ล้วนอยู่ภายใต้ข้อกำหนดของกฎหมาย PDPA เช่นเดียวกัน การจัดการเอกสารที่มีข้อมูลส่วนบุคคลจึงเป็นความท้าทายสำคัญที่ต้องได้รับการแก้ไขอย่างเป็นระบบและมีประสิทธิภาพ
PDPA คืออะไร
PDPA (Personal Data Protection Act) หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นกฎหมายที่กำหนดหลักเกณฑ์ กลไก และมาตรการกำกับดูแลเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล โดยมีวัตถุประสงค์หลักเพื่อ
- ปกป้องสิทธิความเป็นส่วนตัวของเจ้าของข้อมูล (Data Subject)
- สร้างมาตรฐานการจัดการข้อมูลส่วนบุคคลสำหรับองค์กรต่างๆ
- กำหนดบทบาทและหน้าที่ของผู้ควบคุมข้อมูล (Data Controller) และผู้ประมวลผลข้อมูล (Data Processor)
- สร้างความโปร่งใสในการจัดการข้อมูลส่วนบุคคล
ดังนั้น การปฏิบัติตามกฎหมาย PDPA ไม่เพียงแต่เป็นการปฏิบัติตามข้อบังคับทางกฎหมายเท่านั้น แต่ยังช่วยสร้างความน่าเชื่อถือให้กับองค์กรและสร้างความมั่นใจให้กับลูกค้าในการให้ข้อมูลส่วนบุคคลอีกด้วย
หากไม่ปฏิบัติตาม PDPA มีบทลงโทษอะไรบ้าง
หากไม่ปฏิบัติตามกฎหมาย PDPA ก็มีบทลงโทษที่รุนแรงและหลากหลาย ซึ่งส่งผลกระทบอย่างมีนัยสำคัญต่อการดำเนินธุรกิจ ทั้งในแง่ของค่าใช้จ่าย ชื่อเสียงและความน่าเชื่อถือขององค์กร บทลงโทษตาม PDPA แบ่งออกเป็น 3 ประเภทหลัก ได้แก่ โทษทางแพ่ง โทษทางอาญาและโทษทางปกครอง โดยแต่ละประเภทมีรายละเอียดดังนี้
โทษทางแพ่ง
สำหรับโทษทางแพ่งนั้น เน้นที่การชดเชยความเสียหายที่เกิดขึ้นกับเจ้าของข้อมูลส่วนบุคคล โดยมีรายละเอียดดังนี้
- เจ้าของข้อมูลส่วนบุคคลที่ได้รับความเสียหายจากการละเมิด PDPA สามารถฟ้องร้องเรียกค่าสินไหมทดแทนได้
- ศาลสามารถกำหนดค่าสินไหมทดแทนให้ชดใช้ตามความเสียหายที่เกิดขึ้นจริง
- ในกรณีที่การละเมิด PDPA เกิดจากความจงใจหรือประมาทเลินเล่ออย่างร้ายแรง ศาลอาจสั่งให้จ่ายค่าสินไหมทดแทนเพื่อการลงโทษเพิ่มเติม (Punitive Damages) ได้อีกไม่เกิน 2 เท่าของค่าเสียหายที่แท้จริง
- อายุความในการฟ้องร้องคดีแพ่งคือ 3 ปีนับแต่วันที่ผู้เสียหายรู้ถึงความเสียหายและรู้ตัวผู้ควบคุมข้อมูลที่ต้องรับผิด หรือ 10 ปีนับแต่วันที่มีการละเมิด
โทษทางอาญา
โทษทางอาญาเป็นบทลงโทษที่รุนแรงที่สุดภายใต้กฎหมาย PDPA ซึ่งมักเกิดขึ้นในกรณีที่มีการกระทำผิดที่ร้ายแรง เช่น
- การเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอม และก่อให้เกิดความเสียหายแก่ผู้อื่น ปรับไม่เกิน 500,000 บาท หรือจำคุกไม่เกิน 6 เดือน หรือทั้งจำทั้งปรับ
- การเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่ละเอียดอ่อน (Sensitive Data) โดยไม่ได้รับความยินยอม ปรับไม่เกิน 1,000,000 บาท หรือจำคุกไม่เกิน 1 ปี หรือทั้งจำทั้งปรับ
- การนำข้อมูลส่วนบุคคลไปเปิดเผยแก่ผู้อื่นโดยประการที่น่าจะทำให้ผู้อื่นนั้นเสียหาย เสียชื่อเสียง ถูกดูหมิ่นหรือถูกเกลียดชัง ปรับไม่เกิน 500,000 บาท หรือจำคุกไม่เกิน 6 เดือน หรือทั้งจำทั้งปรับ
โทษทางปกครอง
โทษทางปกครองเป็นบทลงโทษที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) สามารถสั่งปรับองค์กรที่ไม่ปฏิบัติตาม PDPA ได้โดยตรง ซึ่งมีอัตราค่าปรับที่สูงมาก ดังนี้
- การไม่ขอความยินยอมตามแบบที่กฎหมายกำหนด ปรับทางปกครองไม่เกิน 3,000,000 บาท
- การเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอม ปรับทางปกครองไม่เกิน 3,000,000 บาท
- ไม่แจ้งวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคล ปรับทางปกครองไม่เกิน 1,000,000 บาท
- ไม่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม ปรับทางปกครองไม่เกิน 3,000,000 บาท
- ไม่แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ในกรณีที่จำเป็นต้องมี ปรับทางปกครองไม่เกิน 1,000,000 บาท
- ไม่จัดทำบันทึกรายการกิจกรรมการประมวลผลข้อมูล (ROPA) ปรับทางปกครองไม่เกิน 1,000,000 บาท
ทั้งนี้ เพื่อปฏิบัติให้ถูกต้องตามกฎหมาย แนะนำให้ใช้ระบบจัดการเอกสารที่ถูกออกแบบมา เพื่อรองรับการปฏิบัติตาม PDPA โดยเฉพาะ ช่วยให้องค์กรสามารถจัดเก็บหลักฐานการขอความยินยอม จัดทำบันทึกกิจกรรมการประมวลผลข้อมูลและปฏิบัติตามข้อกำหนดต่างๆ ของ PDPA ได้อย่างครบถ้วน
สรุปบทความ
การไม่ปฏิบัติตาม PDPA นำมาซึ่งบทลงโทษที่รุนแรงทั้งทางแพ่ง ทางอาญาและทางปกครอง ซึ่งอาจส่งผลกระทบร้ายแรงต่อการดำเนินธุรกิจ ทั้งในแง่ของค่าใช้จ่ายที่สูงถึงหลายล้านบาท โทษจำคุกและความเสียหายต่อชื่อเสียงขององค์กร ด้วยเหตุนี้ การมีระบบจัดการเอกสารที่ปลอดภัยและมีประสิทธิภาพจึงเป็นสิ่งจำเป็นสำหรับทุกองค์กรในยุคดิจิทัล
