ถอดบทเรียนจากคำสั่งปรับ 7 ล้านบาทตาม PDPA
เมื่อวันที่ 21 สิงหาคม 2567 สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ได้เผยแพร่คำสั่งของคณะกรรมการผู้เชี่ยวชาญ (กชช.) คณะที่ 2 ในกรณีมีคำสั่งลงโทษปรับทางปกครองบริษัทแห่งหนึ่งเป็นเงินจำนวน 7 ล้านบาท
อันเนื่องมาจากการปฏิบัติฝ่าฝืนหน้าที่ขององค์การในฐานะผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งถือเป็นการลงโทษปรับทางปกครองครั้งแรกตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA
ในวันนี้ ผู้เขียนจึงอยาก ถือโอกาสพาผู้อ่านทุกท่านมาเรียนรู้ถึงกลไกการใช้บังคับ PDPA และหน้าที่ต่าง ๆ ขององค์กรตามที่ PDPA กำหนดในส่วนที่เกี่ยวเนื่องกับคำสั่งลงโทษปรับทางปกครองในกรณีดังกล่าว
ตาม PDPA กำหนดให้ กชช. มีหน้าที่และอำนาจในการพิจารณาเรื่องร้องเรียนตาม PDPA รวมทั้งตรวจสอบการกระทำใด ๆ ของผู้ควบคุมข้อมูลส่วนบุคคล (องค์กรต่าง ๆ ทั้งรัฐและเอกชน) เกี่ยวกับข้อมูลส่วนบุคคลที่ก่อให้เกิดความเสียหายแก่เจ้าของข้อมูลส่วนบุคคล
โดยกำหนดให้เจ้าของข้อมูลส่วนบุคคล (ประชาชน/ผู้ใช้บริการ) มีสิทธิร้องเรียนในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลที่ฝ่าฝืนหรือไม่ปฏิบัติตาม PDPA ได้
ซึ่งจากกรณีพฤติกรรมการกระทำความผิดตามที่ปรากฎในข่าวอันนำไปสู่การกำหนดค่าปรับทางปกครองเป็นเงินจำนวน 7 ล้านบาทนั้น เกิดจากการกระทำความผิด 3 ประการ กล่าวคือ
1. มาตรการรักษาความมั่นคงปลอดภัย:
องค์กรมีหน้าที่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ
และต้องทบทวนมาตรการดังกล่าวเมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม (มาตรา 37 (1))
โดยองค์กรมีหน้าที่ต้องจัดให้มีมาตรการเชิงองค์กร (organizational measures) และมาตรการเชิงเทคนิค (technical measures) ที่เหมาะสม ซึ่งอาจรวมถึงมาตรการทางกายภาพ (physical measures) ที่จำเป็นด้วย โดยคำนึงถึงระดับความเสี่ยงตามลักษณะและวัตถุประสงค์ของการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ตลอดจนโอกาสเกิดและผลกระทบจากเหตุการละเมิดข้อมูลส่วนบุคคล
บทกำหนดโทษ ต้องระวางโทษปรับทางปกครองไม่เกิน 3 ล้านบาท (มาตรา 83)
2.การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล:
องค์กรมีหน้าที่แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่ สคส. โดยไม่ชักช้าภายใน 72 ชั่วโมงนับแต่ทราบเหตุเท่าที่จะสามารถกระทำได้ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล
ในกรณีที่การละเมิดมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ให้แจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อมกับแนวทางการเยียวยาโดยไม่ชักช้าด้วย
โดยองค์กรอาจชี้แจงเหตุผลความจำเป็นและรายละเอียดที่เกี่ยวข้องเพื่อแสดงให้เห็นว่ามีเหตุจำเป็นที่ไม่อาจหลีกเลี่ยงได้ที่ทำให้แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลล่าช้า โดยจะต้องแจ้งแก่สคส. โดยเร็ว ทั้งนี้ ต้องไม่เกิน 15 วันนับแต่ทราบเหตุ
บทกำหนดโทษ ต้องระวางโทษปรับทางปกครองไม่เกิน 3 ล้านบาท (มาตรา 83)
3. การแต่งตั้ง DPO:
ผู้ควบคุมข้อมูลส่วนบุคคลที่การดำเนินกิจกรรมของตน จำเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่ำเสมอ โดยเหตุที่มีข้อมูลส่วนบุคคลเป็นจำนวนมาก มีหน้าที่ต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของตน (มาตรา 41 (2))
โดยการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ซึ่งเป็นส่วนหนึ่งของกิจกรรมหลัก (core activities) โดยมีจำนวนเจ้าของข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตั้งแต่ 1 แสนรายขึ้นไป ให้ถือเป็นกรณีที่มีข้อมูลส่วนบุคคลเป็นจำนวนมาก (on a large scale)
บทกำหนดโทษ ต้องระวางโทษปรับทางปกครองไม่เกิน 1 ล้านบาท (มาตรา 85)
รายละเอียดเกี่ยวกับหน้าที่ขององค์กรต่าง ๆ ใน 3 กรณีข้างต้นมีประกาศของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจำนวนอย่างน้อย 3 ฉบับที่กำหนดหลักเกณฑ์และรายละเอียดต่าง ๆ ไว้เพื่อให้องค์กรต่าง ๆ ดำเนินการและถือปฏิบัติอย่างเคร่งครัด
ซึ่งหากพิจารณาจากบทกำหนดโทษที่ กชช. กำหนดในกรณีนี้ ผู้เขียนเข้าใจว่า กชช. มีความเห็นว่าการกระทำของหน่วยงานดังกล่าวเป็น “กรณีร้ายแรง หรือคำสั่งให้แก้ไขและตักเตือนไม่เป็นผล” รวมทั้งไม่มีเหตุบรรเทาโทษต่าง ๆ ตามกฎหมายกำหนดจึงมีคำสั่งลงโทษปรับทางปกครองในอัตราสูงสุดสำหรับความผิดในแต่ละมาตรา
องค์ประกอบสำคัญในทางกฎหมายที่ทำให้ กชช. สามารถกำหนดค่าปรับได้ในครั้งนี้ ส่วนหนึ่งมาจากประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์การพิจารณาออกคำสั่งลงโทษปรับทางปกครองของคณะกรรมการผู้เชี่ยวชาญ (ฉบับที่ 2) พ.ศ. 2567 ที่ให้ยกเลิกความในข้อ 9 (2) ของประกาศฉบับเดิม ดังนี้
“ให้คณะกรรมการผู้เชี่ยวชาญมีคำสั่งลงโทษปรับทางปกครองแก่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลหรือบุคคลที่เกี่ยวข้อง ตามระเบียบและบัญชีค่าปรับที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกำหนด
โดยคำนึงถึงความร้ายแรงและพฤติการณ์อื่นในการลงโทษปรับทางปกครองตามที่เห็นสมควร และอาจมีคำสั่งตาม (1) (ก) (ข) หรือ (ค) ด้วยก็ได้” การตัดคำว่า “ตามระเบียบและบัญชีค่าปรับที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกำหนด”
ทำให้ในการกำหนดค่าปรับทางปกครองสามารถดำเนินการได้โดยไม่ต้องใช้ระเบียบและบัญชีค่าปรับ (ซึ่งที่ผ่านมามีอุปสรรคหลายประการทำให้ไม่สามารถออกระเบียบและบัญชีค่าปรับได้) โดยประกาศฯ (ฉบับที่ 2) ดังกล่าว มีผลนับตั้งแต่วันที่ 9 พฤษภาคม 2567 เป็นต้นมา
ซึ่งนอกจากการกำหนดค่าปรับทางปกครองเป็นเงิน 7 ล้านบาทดังกล่าวแล้ว กชช. ยังมีคำสั่งกำหนดเงื่อนไข ให้มีการปรับปรุงบุคลากร (people) กระบวนการ (process) และเทคโนโลยี (technology) ให้มีประสิทธิภาพและความเหมาะสมตามที่ กชช. กำหนดอีกด้วย.