ผลกระทบต่อองค์กรที่อาจเกิดขึ้นหากไม่ปฏิบัติตาม PDPA

หากไม่ปฏิบัติตาม PDPA จะเกิดอะไรขึ้น?

เนื่องจากพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำลังจะมีการบังคับใช้ในอีกไม่กี่เดือนข้างหน้านี้ องค์กรและบริษัทต่างๆ จึงจำเป็นต้องพิจารณาถึงรายละเอียดและข้อบังคับเกี่ยวกับกฎหมายในส่วนนี้เอาไว้ให้ดี พร้อมทำความเข้าใจเรื่องผลกระทบที่อาจเกิดขึ้นหากไม่ปฏิบัติตาม PDPA

สำหรับรายละเอียดที่จะต้องพิจารณาตามพ.ร.บ. กฎหมายคุ้มครองข้อมูลส่วนบุคคลหรือ PDPA นั้นมีข้อบังคับสำหรับการเก็บรวบรวมข้อมูล การใช้ และการเผยแพร่ข้อมูลเอาไว้ และเพื่อให้ข้อมูลส่วนบุคคลนั้นถูกนำไปใช้ในทางที่เหมาะสมมากที่สุด ขอบข่ายในการเข้าถึงข้อมูลส่วนบุคคลจึงเป็นสิ่งที่มีข้อจำกัด เพื่อป้องกันไม่ให้มีการนำข้อมูลส่วนบุคคลของเจ้าของข้อมูลต่างๆ ไปใช้งาน จึงจำเป็นจะต้องมีการกำหนดโทษเอาไว้อยู่ 3 ส่วนด้วยกัน นั่นก็คือโทษทางแพ่ง โทษทางอาญา และโทษทางปกครอง

โทษทางแพ่ง

ตามที่ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลกำหนดเอาไว้นั้น โทษทางแพ่งจะเกิดขึ้นเมื่อผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคล จงใจหรือประมาทเลินเล่อ ฝ่าฝืนหรือไม่ปฏิบัติตาม PDPA ทำให้เจ้าของข้อมูลเสียหาย จำต้อง ‘เสียค่าสินไหมทดแทน’ ให้แก่เจ้าของข้อมูล

ค่าสินไหมทดแทน

ค่าสินไหมทดแทนจะรวมถึงค่าใช้จ่ายที่เจ้าของข้อมูลได้จ่ายไปตามความจำเป็น เพื่อป้องกันความเสียหายที่กำลังจะเกิดขึ้น หรือระงับความเสียหายที่เกิดขึ้นด้วย และศาลอาจกำหนดให้ผู้กระทำผิดจ่ายเพิ่มเติมจากจำนวนค่าสินไหมทดแทนที่แท้จริงได้ แต่ต้องไม่เกินกว่า 2 เท่าของค่าสินไหมทดแทนที่แท้จริง

อายุความ

3 ปี นับแต่วันที่ผู้เสียหายรู้ถึงความเสียหาย และรู้ตัวผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคลที่ต้องรับผิด หรือ 10 ปีนับแต่วันที่มีการละเมิดข้อมูลส่วนบุคคล

ข้อยกเว้น

พิสูจน์ได้ว่าเกิดจากเหตุสุดวิสัย เกิดจากการกระทำหรือละเว้นการกระทำของเจ้าของข้อมูล เป็นการปฏิบัติตามคำสั่งของเจ้าหน้าที่ซึ่งปฏิบัติตามกฎหมาย

โทษทางอาญา

สำหรับโทษทางอาญาตามพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลนั้น แบ่งออกไว้หลายส่วนด้วยกัน ไม่ว่าจะเป็นกรณีผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือเปิดเผยข้อมูลอ่อนไหวเพื่อการสร้างความเสียหาย โดยที่ความเสียหายนั้นเกิดขึ้นจากการใช้หรือเปิดเผยข้อมูลส่วนบุคคลซึ่งเป็นข้อมูลอ่อนไหวนอกเหนือไปจากวัตถุประสงค์ที่ได้แจ้งไว้ หรือการโอนข้อมูลอ่อนไหวไปยังต่างประเทศโดยไม่ชอบด้วยกฎหมาย จนทำให้เจ้าของข้อมูลเกิดความเสียหาย เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย

โทษทางอาญา

โทษจำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 500,000 บาท หรือทั้งจำทั้งปรับ

หมายเหตุ

สามารถยอมความได้: กรณีผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือเปิดเผยข้อมูลอ่อนไหวในการแสวงหาประโยชน์ โดยที่ความเสียหายนั้นเกิดขึ้นจากการใช้หรือเปิดเผยข้อมูลส่วนบุคคลซึ่งเป็นข้อมูลอ่อนไหวนอกไปจากวัตถุประสงค์ที่ได้แจ้งไว้ หรือโอนข้อมูลอ่อนไหวไปยังต่างประเทศโดยไม่ชอบด้วยกฎหมาย สำหรับตนเองและผู้อื่น

โทษทางอาญา

โทษจำคุกไม่เกิน 1 ปี หรือปรับไม่เกิน 1,000,000 บาท หรือทั้งจำทั้งปรับ

หมายเหตุ

สามารถยอมความได้: กรณีเปิดเผยข้อมูลส่วนบุคคล สำหรับกรณีนี้ ความผิดจะเกิดขึ้นเมื่อผู้ที่รู้ข้อมูลส่วนบุคคลของผู้อื่นจากการปฏิบัติตามหน้าที่ที่กำหนดในพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล

โทษทางอาญา

โทษจำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 500,000 บาท หรือทั้งจำทั้งปรับ

ข้อยกเว้น

เป็นการเปิดเผยตามหน้าที่ หรือเพื่อประโยชน์แก่การสอบสวน หรือการพิจารณาคดี หรือเปิดเผยแก่หน่วยงานของรัฐในประเทศหรือต่างประเทศที่มีอำนาจหน้าที่ หรือเปิดเผยที่ได้รับความยินยอมเป็นหนังสือเฉพาะครั้งจากเจ้าของข้อมูลส่วนบุคคล หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับการฟ้องร้องคดีต่างๆ ที่เปิดเผยต่อสาธารณะ

หมายเหตุ

ในกรณีที่ผู้กระทำผิดเป็นนิติบุคคล บุคคลที่กระทำความผิดต้องรับผิดชอบในการดำเนินงานของนิติบุคคลนั้นๆ และรับโทษตามความผิดนั้นๆ อีกด้วย

โทษทางปกครอง

สำหรับโทษทางปกครองตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล นั้น จะแบ่งโทษทางปกครองเอาไว้ทั้งโทษของผู้ควบคุมข้อมูล, โทษของผู้ประมวลผลข้อมูล และโทษทางปกครองอื่นๆ

โทษของผู้ควบคุมข้อมูลในกรณีที่ไม่ปฏิบัติตาม PDPA

• ไม่ได้ขอความยินยอมหรือไม่แจ้งผลกระทบจากการถอนความยินยอม
• ไม่แจ้งในกรณีที่เก็บข้อมูล
• ไม่ให้เจ้าของข้อมูลเข้าถึงข้อมูลตามสิทธิ
• ไม่ทำบันทึกรายการตามที่กฎหมายกำหนด
• ไม่มีเจ้าหน้าที่หรือไม่จัดให้มีเจ้าหน้าที่ดูแลข้อมูลอย่างเพียงพอ
• มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลโดยปราศจากฐานทางกฎหมาย
• ใช้ข้อมูลผิดไปจากวัตถุประสงค์ที่แจ้งเอาไว้
• เก็บข้อมูลเกินกว่าที่จำเป็น
• เก็บข้อมูลจากแหล่งอื่นที่ต้องห้ามตามกฎหมาย
• ทำให้เจ้าของข้อมูลเข้าใจผิดในวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
• ไม่ปฏิบัติตามหน้าที่ของผู้ควบคุมข้อมูล
• ทั้งนี้จะรวมถึงข้อมูลส่วนบุคคลที่มีความอ่อนไหว

โทษของผู้ประมวลผลข้อมูลในกรณีที่ไม่ปฏิบัติตาม PDPA

• การไม่จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือไม่มีการสนับสนุนการปฏิบัติหน้าที่อย่างเพียงพอ
• การไม่ปฏิบัติตามคำสั่งของผู้ควบคุมข้อมูล การไม่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม
• การไม่จัดทำบันทึกรายการกิจกรรมการประมวลผล
• การโอนข้อมูลไปต่างประเทศโดยไม่ชอบด้วยกฎหมาย
• รวมไปถึงการโอนข้อมูลอ่อนไหวไปต่างประเทศโดยไม่ชอบด้วยกฎหมาย

โทษทางปกครองอื่นๆ

• ตัวแทนของผู้ควบคุมข้อมูล หรือผู้ประมวลผลข้อมูล ไม่จัดให้มีบันทึกรายการประมวลผลข้อมูล
• ไม่ปฏิบัติตามคำสั่งคณะกรรมผู้เชี่ยวชาญ หรือไม่มาชี้แจงข้อเท็จจริง หรือไม่ส่งข้อมูลให้คณะกรรมการผู้เชี่ยวชาญ

เพื่อช่วยป้องกันไม่ให้เกิดปัญหาที่ตามมาจากกรณีที่ไม่ปฏิบัติตาม PDPA หรือกรณีอื่นๆ ข้างต้นนั้น PDPA Pro ผู้ช่วยที่จะทำให้คุณสามารถสร้าง Privacy Policy ได้อย่างมืออาชีพและใช้ได้จริงตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ในระยะเวลาเพียงไม่กี่นาทีเท่านั้น สร้าง Policy ได้ที่ PDPA.Pro นอกจากนี้คุณยังสามารถสร้างแบบฟอร์มที่จะช่วยให้บริษัทของคุณรับคำขอสิทธิต่างๆ จากเจ้าของข้อมูลอย่างง่ายดายได้ที่ PDPA Form รวมไปถึงการสร้างแบนเนอร์คุกกี้ยินยอมบนหน้าเว็บไซต์ของคุณได้อีกด้วย อ่านข้อมูลเพิ่มเติมได้ที่ Cookie Wow