ละเมิดกฎ PDPA โทษ คืออะไร ฉบับอัปเดต

หลายคนคิดว่า กฎหมาย PDPA นั้นไม่น่ากลัวเป็นกฎหมายเล็กๆที่เอาไว้ขู่เฉยๆ ทำให้คนละเลยอย่างรุนแรง แต่หารู้ไม่ว่า เป็นกฎหมายที่เราควรให้ความสำคัญอย่างมากในชีวิตประจำวันเพราะพลาดเพียงนิดเดียวทำให้เราเสี่ยงทำผิดกฎหมาย โดนโทษปรับ หรือโทษจำคุกได้เลย

ไม่ว่าจะบุคคลหรือองค์กรต้องเผชิญกับบทลงโทษตามกฎหมาย PDPA ซึ่งครอบคลุมทั้งทางแพ่ง อาญา และปกครอง บทความนี้จึงจะพาคุณไปรู้จักกับ PDPA โทษที่ชัดเจนของการละเมิดกฎหมายพร้อมอ้างอิงกฎหมายอย่างเป็นระบบ เพื่อให้คุณเข้าใจความเสี่ยงได้อย่างครบถ้วนพร้อมยกตัวอย่างกับเหตุการณ์ที่เกิดขึ้นจริงในไทยมาให้ทุกท่านเข้าใจและเห็นภาพมากยิ่งขึ้น

โทษของการละเมิด PDPA มีกี่ประเภท?

ภายใต้กฎหมาย PDPA ได้กำหนดบทลงโทษไว้ 3 ประเภทหลัก เพื่อให้ครอบคลุมทุกกรณีของการละเมิด ได้แก่

1. PDPA โทษทางแพ่ง

หากการละเมิดข้อมูลส่วนบุคคลทำให้เจ้าของข้อมูลได้รับความเสียหาย ฝ่ายที่ถูกละเมิดสามารถฟ้องร้องเรียกค่าเสียหายตามกฎหมายแพ่งได้ทันที โดยอ้างอิงตามมาตรา 77 ของ PDPA ซึ่งระบุชัดเจนว่า ผู้กระทำผิดอาจต้องชดใช้ค่าสินไหมทดแทนตามความเสียหายจริง และอาจถูกศาลสั่งให้จ่ายค่าสินไหมทดแทนเพิ่มเติมได้อีกสูงสุดไม่เกิน 2 เท่าของมูลค่าความเสียหาย หากศาลเห็นว่าการกระทำนั้นเกิดจากความประมาทเลินเล่อ หรือมีเจตนาแสวงหาผลประโยชน์จากข้อมูลของผู้อื่นโดยไม่เหมาะสม

2.  PDPA โทษทางอาญา

สำหรับกรณีที่มีการกระทำผิดอย่างร้ายแรง โดยเฉพาะหากมีเจตนาหรือกระทำโดยประมาทเลินเล่อจนทำให้เกิดผลเสียหายอย่างมีนัยสำคัญ PDPA กำหนดบทลงโทษทางอาญาไว้ชัดเจนในมาตรา 79 ถึง 81 โดยมีโทษจำคุกไม่เกิน 1 ปี หรือปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ ขึ้นอยู่กับลักษณะของความผิด ตัวอย่างพฤติกรรมที่อาจเข้าข่าย เช่น การเปิดเผยข้อมูลโดยไม่มีสิทธิ การส่งข้อมูลต่อโดยไม่ได้รับความยินยอม หรือการใช้ข้อมูลส่วนบุคคลเพื่อผลประโยชน์ทางการค้าโดยไม่ได้รับอนุญาตจากเจ้าของข้อมูล

3. PDPA โทษทางปกครอง

ในบางกรณี เจ้าหน้าที่รัฐสามารถออกคำสั่งลงโทษโดยไม่ต้องผ่านกระบวนการศาล กฎหมาย PDPA ให้อำนาจแก่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลในการลงโทษทางปกครอง ซึ่งเป็นการออกค่าปรับตามดุลยพินิจ โดยบทบัญญัตินี้อยู่ในมาตรา 83 ถึง 86 โทษทางปกครองสามารถมีมูลค่าสูงสุดถึง 5 ล้านบาทต่อกรณี ขึ้นอยู่กับระดับความรุนแรงของการกระทำผิด เช่น การเก็บข้อมูลโดยไม่ได้ขอความยินยอม การไม่เปิดเผยวัตถุประสงค์ของการเก็บข้อมูล การไม่แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล (DPO) ในกรณีที่กฎหมายกำหนด

การละเมิด PDPA ที่พบได้บ่อยในชีวิตประจำวัน

การละเมิดกฎหมาย PDPA ไม่ได้เกิดขึ้นจากเจตนาเพียงอย่างเดียว แต่บางครั้งอาจเกิดจากความประมาทหรือความไม่รู้เท่าทันของผู้ที่เกี่ยวข้อง ตัวอย่างที่พบได้บ่อย ได้แก่ การเก็บข้อมูลลูกค้าโดยไม่ได้แจ้งวัตถุประสงค์ให้ชัดเจน เช่น แบบฟอร์มที่ไม่มีการระบุว่าจะนำข้อมูลไปใช้เพื่ออะไร หรือไม่มีลิงก์ไปยังนโยบายความเป็นส่วนตัว

อีกตัวอย่างที่พบได้บ่อยคือ การนำข้อมูลของลูกค้าไปใช้ในการทำการตลาดแบบเจาะจง (targeted marketing) โดยไม่มีการขอความยินยอมล่วงหน้า เช่น ส่งอีเมลโฆษณา หรือโฆษณาบนแพลตฟอร์มโซเชียลมีเดียโดยใช้ฐานข้อมูลที่ได้มาจากการลงทะเบียนหรือการซื้อสินค้า โดยเจ้าของข้อมูลไม่เคยอนุญาตให้ใช้ในลักษณะนี้มาก่อน

บางองค์กรก็ประสบปัญหาจากการที่ระบบไม่มีความปลอดภัยเพียงพอ ทำให้ข้อมูลรั่วไหลจากภายใน เช่น พนักงานเข้าถึงข้อมูลโดยไม่จำเป็น หรือมีการแฮกข้อมูลจากภายนอก แต่ไม่มีมาตรการป้องกันที่เพียงพอ ซึ่งในกรณีนี้ องค์กรอาจต้องรับผิดทั้งทางปกครอง และทางแพ่ง

โทษของบุคคลธรรมดา และนิติบุคคล ความผิดที่ต้องเข้าใจ

การกระทำผิดตาม PDPA ไม่ได้หมายถึงเฉพาะบุคคลธรรมดาเท่านั้นที่ต้องรับผิด เพราะกฎหมายยังรองรับการดำเนินคดีต่อ “นิติบุคคล” หรือองค์กรในฐานะผู้กระทำผิดด้วย โดยเฉพาะในกรณีที่องค์กรไม่ได้มีมาตรการควบคุมหรือป้องกันการละเมิดข้อมูลอย่างเหมาะสม

หากเป็นการกระทำของบุคคลธรรมดา เช่น พนักงานหรือเจ้าหน้าที่ที่นำข้อมูลไปใช้โดยไม่ได้รับอนุญาต บุคคลนั้นจะต้องรับโทษโดยตรงตามที่กฎหมายกำหนด แต่หากพบว่าองค์กรไม่มีมาตรการในการควบคุมพฤติกรรมเหล่านั้น หรือมีระบบที่เอื้อต่อการละเมิด PDPA องค์กรในฐานะนิติบุคคลก็จะต้องรับผิดร่วมด้วย

ในกรณีร้ายแรง ผู้บริหารหรือกรรมการอาจถูกดำเนินคดีหากพบว่ามีส่วนร่วม หรือปล่อยปละละเลยโดยรู้ถึงความเสี่ยงแล้วแต่ไม่ดำเนินการแก้ไข ซึ่งในทางกฎหมายถือว่ามีส่วนรับผิดในการละเมิดสิทธิของเจ้าของข้อมูล

ตัวอย่างบทลงโทษที่เคยเกิดขึ้นในประเทศไทย

หลังจากที่ PDPA เริ่มบังคับใช้อย่างจริงจังในประเทศไทย ก็เริ่มมีกรณีศึกษาที่แสดงให้เห็นว่า กฎหมายนี้ไม่ใช่เพียงแค่แนวทางปฏิบัติ แต่สามารถบังคับใช้ได้จริง และมีผลต่อทั้งองค์กรและบุคคลที่เกี่ยวข้อง

กรณีหนึ่งที่ได้รับความสนใจ คือเว็บไซต์อีคอมเมิร์ซรายใหญ่ที่ปล่อยให้ข้อมูลผู้ใช้กว่าหลายแสนรายรั่วไหลออกจากระบบ เนื่องจากไม่มีการเข้ารหัสข้อมูลอย่างเหมาะสม แม้ว่าองค์กรจะไม่ได้ตั้งใจให้เกิดเหตุการณ์นี้ แต่เพราะไม่มีมาตรการเพียงพอ จึงถูกสั่งปรับทางปกครอง และมีผู้เสียหายหลายรายฟ้องร้องเรียกค่าเสียหายตามกฎหมายแพ่ง

อีกกรณีหนึ่งที่ถูกดำเนินคดี คือบริษัทอสังหาริมทรัพย์ที่นำข้อมูลลูกค้ามาใช้ทำโฆษณา Facebook Remarketing โดยไม่แจ้งหรือขอความยินยอมล่วงหน้าอย่างถูกต้อง แม้จะเป็นการตลาดที่พบเห็นได้ทั่วไป แต่การกระทำนี้ผิดหลักของ PDPA อย่างชัดเจน และนำไปสู่การลงโทษในรูปแบบค่าปรับ

บทสรุป

บทลงโทษของ PDPA ถูกออกแบบมาเพื่อให้ทุกฝ่ายตระหนักถึงความสำคัญของข้อมูลส่วนบุคคล การไม่ปฏิบัติตาม แม้เพียงเล็กน้อย ก็สามารถนำไปสู่ความเสียหายที่รุนแรง ทั้งในแง่ของภาพลักษณ์องค์กร การเงิน ทางทีดีทุกบริษัทควรหาแนวทางป้องกัน และ อบรมพนักงานอย่างต่อเนื่องเพื่อป้องกันการเกิดเหตุการณ์ในอนาคต

คำถามที่พบบ่อยเกี่ยวกับโทษของการละเมิด PDPA

Q1: ละเมิด PDPA ต้องรับโทษทุกกรณีหรือไม่?

A: ไม่ใช่ทุกกรณีที่การกระทำเกี่ยวกับข้อมูลส่วนบุคคลจะนำไปสู่บทลงโทษ หากองค์กรหรือบุคคลสามารถแสดงให้เห็นว่าได้ดำเนินการตามมาตรฐานที่เหมาะสม มีเจตนาดี และไม่มีการละเมิดสิทธิของเจ้าของข้อมูลโดยตรง ก็อาจไม่ถูกลงโทษ อย่างไรก็ตาม หากมีความประมาทเลินเล่อ การไม่ปฏิบัติตามข้อกำหนด หรือมีผลกระทบที่รุนแรงต่อเจ้าของข้อมูล ก็อาจถูกลงโทษตามกฎหมายได้

Q2:  เจ้าของข้อมูลสามารถฟ้องร้องผู้เก็บข้อมูลได้หรือไม่?

A: สามารถทำได้ เจ้าของข้อมูลมีสิทธิตามกฎหมายในการฟ้องร้องเรียกค่าเสียหายจากผู้ที่ละเมิดสิทธิของตน ทั้งในกรณีที่มีความเสียหายทางจิตใจ หรือความเสียหายเชิงธุรกิจ โดยสามารถฟ้องร้องในศาลแพ่งตามมาตรา 77 ของ PDPA และอาจได้รับค่าสินไหมเพิ่มเติมจากศาลหากพฤติกรรมของผู้กระทำผิดร้ายแรง

โทร 02-096-3585

รับชมบริการของเราได้ที่ t-reg.co