ความรับผิดทางอาญาตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนดหน้าที่ขององค์กรในฐานะผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคลที่ต้องปฏิบัติ เมื่อดำเนินการประมวลผลข้อมูลส่วนบุคคลไว้หลายประการ
พร้อมทั้งได้กำหนดมาตรการเพื่อบังคับการให้เป็นไปตามกฎหมายไว้ด้วยกล่าวคือ กำหนดให้องค์กรอาจมีความรับผิดทางแพ่ง โทษทางอาญา และโทษทางปกครอง ในกรณีที่องค์กรปฏิบัติฝ่าฝืนกฎหมาย
ซึ่งเป็นการบัญญัติที่สอดคล้องกับกฎหมายอีกหลาย ๆ ฉบับที่ต้องการให้มีมาตรการบังคับเพื่อให้เป็นไปตามกฎหมาย
มาตรการลงโทษหนึ่งที่ถูกกำหนดไว้ในพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ที่มักถูกกล่าวถึงเสมอคือ “ความรับผิดทางอาญา” ของผู้บริหารนิติบุคคลซึ่งกฎหมายกำหนดขึ้น
เพื่อให้ผู้บริหารของนิติบุคคลปฏิบัติหน้าที่ตามกฎหมายด้วยความรับผิดชอบ (accountability) หากมีหน้าที่ในฐานะผู้นำขององค์กร ควรสั่งการหรือกระทำการให้สอดคล้องกับกฎหมายก็พึงต้องกระทำ
ในขณะเดียวกันก็ต้องไม่เพิกเฉยหรือละเลย ละเว้นไม่สั่งการหรือไม่กระทำการจนเป็นเหตุให้นิติบุคคลนั้นกระทำความผิดอีกด้วย ซึ่งกฎหมายหลาย ๆ ฉบับก็มีมาตรการบังคับในทำนองเดียวกัน
ตัวอย่างเช่น มาตรา 77 แห่งพ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ.2562 ซึ่งเป็นกฎหมายที่ตราขึ้นในช่วงเวลาเดียวกัน เป็นต้น
ขณะที่ในบริบทของสังคมโลก ก็มีการนำมาตรการลงโทษทางอาญามาใช้เพื่อบังคับการให้เป็นไปตามกฎหมายเช่นเดียวกัน ในโอกาสนี้ สำนักงานฯ ขอยกกรณีศึกษาของ 2 ประเทศ ได้แก่ ประเทศเยอรมนี และประเทศสิงคโปร์มาเปรียบเทียบเพื่อทำความเข้าใจ
ประเทศเยอรมนีเป็นรัฐสมาชิกของสหภาพยุโรป ที่มีส่วนสำคัญในการผลักดันให้มี General Data Protection Regulation หรือ GDPR ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศในกลุ่มสหภาพยุโรป
และปัจจุบันได้เป็นกฎหมายต้นแบบของหลายๆ ประเทศ ในการตรากฎหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลซึ่งก็รวมถึง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ของประเทศไทยด้วย
ตาม GDPR นั้นจะไม่มีบทกำหนดโทษทางอาญา มีแต่ค่าปรับทางปกครองในอัตราที่สูงมาก โดยค่าปรับในอัตราสูงสุดจะอยู่ที่ร้อยละ 4 ของผลประกอบการรวมจากทั่วโลก (ไม่ใช่เฉพาะแต่ผลประกอบการในสหภาพยุโรป)
แต่การที่ GDPR ไม่มีบทกำหนดโทษทางอาญาไม่ใช่ว่าสหภาพยุโรปจะเห็นว่ากฎหมายคุ้มครองข้อมูลส่วนบุคคลไม่ควรมีโทษทางอาญา แต่เพราะว่า “การลงโทษทางอาญา” ไม่อยู่ในขอบอำนาจของสหภาพยุโรป ดังนั้น กฎหมายของสหภาพยุโรป “จึงไม่มีโทษทางอาญา”
อย่างไรก็ตาม การกำหนดโทษทางอาญายังคงเป็นอำนาจของรัฐสมาชิก รัฐสมาชิกสามารถกำหนดมาตรการเพิ่มเติมเท่าที่ไม่ขัดหรือแย้งกับ GDPR เพื่อให้กฎหมายมีผลใช้บังคับได้
ในประเทศเยอรมนีที่มีการตรา Federal Data Protection Act 2017 (BDSG) ขึ้น ก็มีการกำหนดโทษทางอาญาไว้ในมาตรา 42 ของกฎหมายดังกล่าวโดยกำหนดโทษจำคุกไว้ไม่เกิน 3 ปีหรือปรับในกรณีที่กระทำผิดเงื่อนไขเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด
ในขณะที่ประเทศสิงคโปร์ ได้มีการแก้ไขกฎหมายคุ้มครองข้อมูลส่วนบุคคลตาม Personal Data Protection (Amendment) Act 2020 (No. 40 of 2020) มีผลใช้บังคับเมื่อวันที่ 1 ก.พ.2564 โดยเพิ่มเติมบทบัญญัติว่าด้วยความรับผิดทางอาญา ไว้ 3 กรณี ได้แก่
(1) การเปิดเผยข้อมูลส่วนบุคคลโดยไม่ชอบด้วยกฎหมาย (Singapore PDPA section 48D)
(2) การใช้ข้อมูลส่วนบุคคลโดยไม่ชอบด้วยกฎหมายและทำให้ได้มาซึ่งผลประโยชน์หรือทำให้เกิดความเสียหายต่อบุคคล (Singapore PDPA section 48E)
(3) การระบุกลับอัตลักษณ์ของบุคคล (re-identification) โดยไม่ชอบด้วยกฎหมาย (Singapore PDPA section 48F)
นอกจากนี้ ในการแก้ไขดังกล่าวยังได้กำหนดด้วยว่า ในกรณีที่การกระทำความผิดตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลเกิดจากการกระทำความผิดของนิติบุคคล ให้กรรมการหรือผู้บริหารของนิติบุคคลมีความรับผิดด้วยหากการกระทำผิดนั้น
เกิดจากการกระทำหรือการงดเว้นกระทำของกรรมการหรือผู้มีอำนาจ (SG PDPA section 52) โดยความรับผิดทางอาญานั้นมีโทษปรับไม่เกิน 5,000 เหรียญสิงคโปร์ หรือโทษจำคุกไม่เกิน 2 ปี หรือทั้งจำทั้งปรับ
หากพิจารณาความรับผิดทางอาญาตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ เทียบกับกฎหมายของสิงคโปร์จะพบว่า ขอบเขตความรับผิดทางอาญาของไทยตามาตรา 79 และมาตรา 80 นั้นแคบกว่ากฎหมายของประเทศสิงคโปร์
โดยเฉพาะความรับผิดทางอาญาตามมาตรา 79 ต้องเป็นกรณีที่เกี่ยวเนื่องกับการประมวลผลข้อมูลส่วนบุคคลตามาตรา 26 (ข้อมูลส่วนบุคคลอ่อนไหว) โดยไม่ชอบด้วยกฎหมายเท่านั้นอีกทั้งในส่วนของโทษจำคุกก็กำหนดไว้น้อยกว่า
กล่าวคือ จำคุกไม่เกิน 6 เดือน หรือ 1 ปี และต้องการเจตนาพิเศษในทางกฎหมายอาญาประกอบด้วยหากจะให้กรรมการ หรือผู้บริหารของนิติบุคคลต้องรับผิด
สำนักงานฯ จึงขอถือโอกาสนี้สื่อสารไปยังสาธารณะเกี่ยวกับข้อกังวลที่ว่าพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ มีการกำหนดโทษทางอาญาทั้ง ๆ ที่ GDPR ที่เป็นกฎหมายต้นแบบไม่ได้กำหนดไว้ หรือประเทศสิงคโปร์ไม่ได้กำหนดไว้
แต่กฎหมายไทยกำหนดโทษและความรับผิดไว้สูงเกินกว่านานาอารยประเทศที่ใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลมาก่อนประเทศไทยอาจจะยังเป็นความเข้าใจที่คลาดเคลื่อนอยู่จากข้อเท็จจริงและข้อกฎหมายที่ใช้บังคับอยู่ในปัจจุบัน.