31 Mar ภายหลังการบังคับใช้ PDPA และบทลงโทษของพรบ.คุ้มครองข้อมูลส่วนบุคคล
บทความก่อนหน้า: ทบทวนเรื่องของ PDPA ที่ภาคธุรกิจควรให้ความสำคัญ
ภายหลังการบังคับใช้ PDPA
การที่เราจะยินยอมจะไม่เหมือนกับการยอมรับข้อตกลง (Agree) ที่ยาวเหยียดโดยที่เราไม่ได้อ่านข้อความ เพราะกฎหมายข้อมูลส่วนบุคคลจะมีโทษทั้งทางแพ่ง อาญา และทางปกครองด้วย ฉะนั้นเจ้าของข้อมูลจะต้องอ่านให้ละเอียด เพื่อดูว่าจุดประสงค์ของการเก็บข้อมูลนี้ถูกนำไปใช้ตรงวัตถุประสงค์หรือไม่ หากเรายินยอมโดยไม่อ่าน ผู้ที่ได้รับการยินยอมหรือผู้ครอบครองข้อมูลของคุณสามารถนำข้อมูลไปใช้ได้ ตรงนี้ต้องเน้นย้ำเรื่องการอ่าน ศึกษาวัตถุประสงค์ หรือข้อบังคับให้ละเอียดก่อนให้ความยินยอมเสมอ เพื่อป้องกันการถูกละเมิดสิทธิ
บทลงโทษของการละเมิดกฎหมาย
โทษทางแพ่ง
- ค่าสินไหมทดแทนจากความเสียหายที่ได้รับจริง และศาลสั่งลงโทษเพิ่มขึ้นได้แต่ไม่เกินสองเท่าของสินไหมทดแทนที่แท้จริง
โทษทางปกครอง
- หากไม่ขอความยินยอมให้ถูกต้อง ไม่แจ้งรายละเอียดให้เจ้าของข้อมูลทราบ ไม่ให้เจ้าของข้อมูลเข้าถึงข้อมูลตามสิทธิ ไม่จัดทำบันทึกรายการ ไม่จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ไม่จัดให้มีการสนับสนุนการปฏิบัติหน้าที่ของ DPO มีโทษปรับไม่เกิน 1,000,000บาท
- เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากฐานทางกฎหมาย ไม่ได้แจ้งวัตถุประสงค์การใช้งานใหม่ เก็บข้อมูลเกินความจำเป็น ขอความยินยอมที่เป็นการหลอกลวงให้เข้าใจผิด ไม่จัดให้มีมาตรการรักษาความปลอดภัยที่เหมาะสม ไม่แจ้งเหตุเมื่อมีการละเมิดข้อมูล โอนข้อมูลไปต่างประเทศโดยไม่ชอบด้วยกฎหมาย ไม่ตั้งตัวแทนในราชอาณาจักร มีโทษปรับไม่เกิน 3,000,000บาท
- เก็บรวบรวม ใช้ เปิดเผยหรือโอนข้อมูลส่วนบุคคลอ่อนไหวโดยไม่ชอบด้วยกฎหมาย มีโทษปรับไม่เกิน 5,000,000บาท
โทษทางอาญา
- หากผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือเปิดเผยข้อมูลส่วนบุคคลอ่อนไหว โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล หรือผิดจากวัตถุประสงค์ที่ได้แจ้งไว้ หรือ โอนข้อมูลส่วนบุคคลอ่อนไหวไปยังต่างประเทศโดยไม่ชอบด้วยกฎหมาย
- ทำให้ผู้อื่นเกิดความเสียหาย เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย มีโทษจำคุกอย่างน้อย 6 เดือน หรือปรับไม่เกิน 500,000 บาท
- ทำไปเพื่อแสวงหาประโยชน์ที่มิควรได้โดยชอบด้วยกฎหมายสำหรับตนเองหรือผู้อื่น มีโทษจำคุกอย่างน้อย 1 ปี หรือปรับไม่เกิน 1,000,000 บาท
- หากมีผู้ใด ล่วงรู้ข้อมูลส่วนบุคคลของผู้อื่นเนื่องจากการปฏิบัติหน้าที่ ตามพ.ร.บ.นี้ ห้ามนำไปเปิดเผยแก่ผู้อื่นเว้นแต่เปิดเผยตามหน้าที่ หรือเพื่อประโยชน์แก่การสอบสวนหรือพิจารณาคดี หรือได้รับความยินยอมเป็นหนังสือเฉพาะครั้งจากเจ้าของข้อมูลส่วนบุคคล หรือเปิดเผยให้หน่วยงานที่มีอำนาจหน้าที่ตามกฎหมาย หรือข้อมูลคดีต่างๆ ที่เปิดเผยต่อสาธารณะ มีโทษจำคุกอย่างน้อย 6 เดือน หรือปรับไม่เกิน 500,000 บาท
- ผู้กระทำความผิดที่เป็นนิติบุคคล หากกรรมการหรือผู้จัดการ หรือ บุคคลใดซึ่งรับผิดชอบในการดำเนินงานของนิติบุคคลนั้น สั่งการหรือกระทำหรือละเว้นไม่สั่งการหรือไม่กระทำการจนเป็นเหตุให้นิติบุคคลนั้นกระทำความผิด ต้องรับโทษในส่วนที่กำหนดโทษอาญาไว้ด้วย
เปรียบเทียบโทษที่บริษัทยักษ์ใหญ่ในโลกที่ได้รับจาก GDPR
บทลงโทษจาก GDPR (General Data Protection Regulation) ซึ่งให้ความคุ้มครองข้อมูลส่วนบุคคลแบบใหม่ในยุโรป ช่วงพฤษภาคม 2561 – มกราคม 2563 เราจะพบว่าค่อนข้างรุนแรงมาก จากตัวอย่างของบทลงโทษที่ 5 บริษัทยักษ์ใหญ่ได้รับจาก GDPR
ขอบคุณข้อมูลจาก:
กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม
อ่านบทความที่เกี่ยวข้อง:
1. ใครเป็นใครใน PDPA? และประโยชน์ที่ได้จาก PDPA ใครได้อะไร?
2. ทบทวนเรื่องของ PDPA ที่ภาคธุรกิจควรให้ความสำคัญ
- Tackling The Challenges of Rental Businesses with SAP B1 and Aware’s RentalSuite - May 10, 2024
- ก้าวข้ามขีดจำกัด 7 ประการที่ธุรกิจให้เช่าต้องเผชิญด้วย SAP B1 พร้อมฟังก์ชัน RentalSuite จาก Aware - May 9, 2024
- เสริมประสิทธิภาพงานฝ่ายทรัพยากรบุคคลด้วยพลังของ Microsoft Copilot - April 2, 2024
- ยกระดับการศึกษาไปอีกขั้นด้วย Microsoft 365 Copilot - March 28, 2024
- Microsoft Copilot ผู้ช่วยคนใหม่สำหรับฝ่ายทรัพยากรบุคคล - March 26, 2024
- ประโยชน์ทางธุรกิจของ Copilot สำหรับสายงาน Marketing - March 6, 2024
- ประโยชน์หลักของ Microsoft Copilot เพื่อการใช้งานทางธุรกิจ - February 23, 2024
- 8 Questions You May Have About Microsoft Copilot - February 8, 2024
- 9 คำถามที่คนสงสัยกันมากที่สุดเกี่ยวกับ Microsoft Copilot - February 8, 2024
- SAP Business One ระบบ ERP ที่เป็นมากกว่าแค่ระบบบัญชี - December 6, 2023