ส่องบทลงโทษ "PDPA" เริ่ม 1 มิ.ย.65 ฝ่าฝืนต้องโดนอะไรบ้าง?
อ่านชัด ๆ !! บทลงโทษกรณีไม่ปฏิบัติตามกฎหมาย "PDPA" หรือ "พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562" ซึ่งเริ่มบังคับใช้วันที่ 1 มิ.ย.นี้ เอกชนและหน่วยงานรัฐจะต้องจัดเก็บ ใช้ หรือเปิดเผย "ข้อมูลส่วนตัว" อย่างไรให้ไม่กระทบ "สิทธิส่วนบุคคล"
"ข้อมูลส่วนบุคคลในมือคุณ ย่อมมาพร้อมกับความรับผิดชอบอันใหญ่หลวง" ตั้งแต่วันที่ 1 มิ.ย. 65 ประเทศไทยเริ่มบังคับใช้ "PDPA" หรือ "พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562" ซึ่งจะเป็นจุดเริ่มต้นสำคัญที่ทั้งหน่วยงานภาครัฐและเอกชน ต้องให้ความสำคัญกับการบริหารจัดการ "ข้อมูลส่วนบุคคล" ของ "ลูกค้า" หรือ "ประชาชน" อย่างรอบคอบ ไม่ว่าจะเป็นกระบวนการรวบรวม จัดเก็บ ใช้ หรือเปิดเผยข้อมูล เพื่อไม่ให้กระทบต่อสิทธิส่วนบุคคล ตามกฎหมายฉบับนี้
"กรุงเทพธุรกิจออนไลน์" สรุปหลักเกณฑ์เบื้องต้นของ "กฎหมาย PDPA" ที่ต้องทำความเข้าใจ และรับผิดชอบ
PDPA คืออะไร ?
PDPA (Personal Data Protection Act) หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 มีขึ้นเพื่อให้เอกชนและรัฐที่เก็บรวมรวม ใช้ เปิดเผย และ/หรือ โอนข้อมูลส่วนบุคคลในราชอาณาจักรไทย ให้เป็นไปตามมาตรการปกป้องข้อมูลของผู้อื่นจากการถูกละเมิดสิทธิส่วนตัว โดยต้องขอ "ความยินยอม" จากเจ้าของข้อมูล ก่อนการเก็บ รวบรวม ใช้ หรือเปิดเผย
และมีผลใช้บังคับ กรณีผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประเมินผลข้อมูลส่วนบุคคลที่อยู่นอกราชอาณาจักร หากมีกิจกรรม ดังนี้
- เสนอขายสินค้าหรือบริการแก่เจ้าของข้อมูลส่วนบุคคล ที่อยู่ในราชอาณาจักร ไม่ว่าจะมีการชำระเงินหรือไม่ก็ตาม
- เฝ้าติดตามพฤติกรรมของเจ้าของข้อมูลส่วนบุคคลที่เกิดขึ้นในราชอาณาจักร
ข้อมูลส่วนบุคคล ณ ที่นี้ มีอะไรบ้าง ?
ข้อมูลเกี่ยวกับบุคคลที่ทำให้ระบุตัวบุคคลได้ ทั้งทางตรงและทางอ้อม มีดังต่อไปนี้
- เลขประจำตัวประชาชน
- ชื่อ-นามสกุล
- ที่อยู่
- เบอร์โทรศัพท์
- อีเมล
- ข้อมูลทางการเงิน
- เชื้อชาติ
- พฤติกรรมทางเพศ
- ประวัติอาชญากรรม
- ข้อมูลสุขภาพ เป็นต้น
ฝ่าฝืน PDPA มีบทลงโทษ อย่างไร ?
รับผิดทางแพ่ง
ค่าสินไหมทดแทนจากความเสียหายที่ได้รับจริง และศาลสั่งลงโทษเพิ่มขึ้นได้ไม่เกิน 2 เท่าของสินไหมทดแทน
โทษทางปกครอง
- ไม่ขอความยินยอมให้ถูกต้อง ไม่แจ้งรายละเอียดให้เจ้าของข้อมูลทราบ ไม่ให้เจ้าขอข้อมูลเข้าถึงตามสิทธิ ฯลฯ ปรับไม่เกิน 1 ล้านบาท
- เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากฐานทางกฎหมาย ปรับไม่เกิน 3 ล้านบาท
- เก็บรวบรวม ใช้ เปิดเผยหรือโอนข้อมูลส่วนบุคคลอ่อนไหว โดยไม่ชอบด้วยกฎหมาย ปรับไม่เกิน 5 ล้านบาท
โทษอาญา
- ทำให้ผู้อื่นเกิดความเสียหาย เสียชื่อเสีย ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย จำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 5 แสนบาท
- เพื่อแสวงหาประโยชน์ที่มิควรได้โดยชอบด้วยกฎหมายสำหรับตนเองหรือผู้อื่น จำคุก ไม่เกิน 1 ปี หรือปรับไม่เกิน 1 ล้านบาท
- ล่วงรู้ข้อมูลส่วนบุคคลของผู้อื่นเนื่องจากการปฏิบัติหน้าที่ ตาม พ.ร.บ. นี้ ห้ามนำไปเผยแพร่แก่ผู้อื่น (เว้นแต่มีอำนาจหน้าที่ตามกฎหมาย) จำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 5 แสนบาท
ในกรณีที่ผู้กระทำความผิด เป็นนิติบุคคล หากกรรมการผู้จัดการ หรือบุคคลที่ได้รับผิดชอบ สั่งการหรือกระทำหรือละเว้นไม่สั่งการหรือไม่กระทำ จนเป็นเหตุให้นิติบุคคลนั้นกระทำความผิด ต้องรับโทษในคดีอาญานั้นไว้ด้วย
ธุรกิจเกี่ยวข้องกับข้อมูลส่วนบุคคลอย่างไร ?
PDPA กล่าวถึงผู้ที่มีส่วนเกี่ยวข้องกับ "ข้อมูลส่วนบุคคล" ตามกฎหมายไว้ 3 กลุ่ม ได้แก่
กลุ่มแรกคือ "เจ้าของข้อมูลส่วนบุคคล"
กลุ่มที่สองคือ "ผู้ควบคุมข้อมูลส่วนบุคคล" หมายถึง บุคคลหรือนิติบุคคลที่มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวมหรือ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
กลุ่มที่สามคือ "ผู้ประมวลผลข้อมูลส่วนบุคคล" หมายถึง บุคคลหรือนิติบุคคลที่ดำเนินการเกี่ยวกับการรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล
ณ ที่นี้ ธุรกิจต่างๆ จะอยู่ฐานะของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล ซึ่งจำเป็นต้องปฏิบัติตามเงื่อนไขในการจัดการข้อมูลส่วนบุคคลของลูกค้าที่มีอยู่ให้ไม่ละเมิดสิทธิของลูกค้า และได้รับความยินยอมตามกฎหมายก่อน
ขอความยินยอมจากเจ้าของข้อมูลหรือลูกค้า ต้องทำอย่างไร ?
- ต้องได้รับความยินยอมก่อน หรือขณะเก็บข้อมูลส่วนบุคคล
- ต้องทำโดยชัดแจ้ง เป็นหนังสือหรือทำผ่านระบบอิเล็กทรอนิกส์
- ต้องแจ้งวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
- ต้องแยกส่วน ใช้ภาษาที่อ่านง่าย และไม่เป็นการหลอกลวง
- มีความเป็นอิสระในการให้ความยินยอม
- ถอนความยินยอมเมื่อใดก็ได้ เว้นแต่มีข้อจำกัดสิทธิ
------------------------
ที่มา: สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล, ธปท.