เผยแพร่ข้อมูลส่วนบุคคลของผู้อื่นโดยไม่ได้รับความยินยอม ถือเป็นความผิด อาจติดคุกถูกปรับ
ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือกฎหมาย PDPA (Personal Data Protection Act) เป็นกฎหมายที่คุ้มครองข้อมูลส่วนบุคคลที่สามารถระบุถึงตัวเจ้าของข้อมูลนั้นได้ เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ บัญชีธนาคาร อีเมล ไอดีไลน์ บัญชีผู้ใช้ของเว็บไซต์ ลายนิ้วมือ ประวัติสุขภาพ เป็นต้น ซึ่งเริ่มมีผลบังคับใช้ 27 พฤษภาคม 2563 ที่ผ่านมา เนื่องจากข้อมูลของแต่ละคนย่อมเป็นสมบัติส่วนตัวของเจ้าของข้อมูล ผู้อื่นจะมารับรู้หรือเอาข้อมูลไปใช้โดยพลการไม่ได้ โดยใน พ.ร.บ. นี้ระบุว่า
“มาตรา 27 ห้ามมิให้ผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือเปิดเผยข้อมูลส่วนบุคคล โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล”
สำหรับบทลงโทษนั้น หากผู้ได้ฝ่าฝืนไม่ปฏิบัติติตามพระราชบัญญัติฯ ดังกล่าว กฎหมายได้กำหนดบทลงโทษไว้ด้วยกัน 3 ทาง ดังนี้
บทลงโทษทางแพ่ง
บุคคลหรือภาคธุรกิจใดที่ทำให้เจ้าของข้อมูลส่วนบุคคลเสียหาย จะต้องใช้ค่าสินไหมทดแทน ไม่ว่าจะจงใจให้เกิดเหตุการณ์นั้นขึ้นหรือไม่ตั้งใจก็ตาม ยกเว้นว่าจะพิสูจน์ได้ว่าเกิดจากเหตุสุดวิสัยหรือเกิดจากการกระทำหรือละเว้นการกระทำของเจ้าของข้อมูลส่วนบุคคลนั้นเอง หรือเป็นการปฏิบัติตามคำสั่งของเจ้าหน้าที่ซึ่งปฏิบัติการตามหน้าที่และอำนาจตามกฎหมาย
ส่วนค่าสินไหมทดแทนจะรวมถึงค่าใช้จ่ายที่เจ้าของข้อมูลได้จ่ายไปตามความจำเป็น เพื่อป้องกันความเสียหายที่กำลังจะเกิดขึ้น หรือระงับความเสียหายที่เกิดขึ้นด้วย และศาลอาจกำหนดให้ผู้กระทำผิดจ่ายเพิ่มเติมจากจำนวนค่าสินไหมทดแทนที่แท้จริงได้ แต่ต้องไม่เกินกว่า 2 เท่าของค่าสินไหมทดแทนที่แท้จริง บทลงโทษ PDPA ในทางแพ่ง กำหนดอายุความไว้ 3 ปี นับแต่วันที่ผู้เสียหายรู้ถึงความเสียหาย และรู้ตัวผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคลที่ต้องรับผิด หรือ 10 ปีนับแต่วันที่มีการละเมิดข้อมูลส่วนบุคคล (มาตรา 77 และ 78)
บทลงโทษในทางอาญา
บทลงโทษ ในทางอาญานั้นสามารถยอมความได้ (มาตรา 79) ฉะนั้น ผู้เสียหายหรือเจ้าของข้อมูลจะต้องมีการร้องทุกข์หรือฟ้องคดีต่อศาลภายใน 3 เดือนนับแต่วันที่รู้เรื่องความผิดและรู้ตัวผู้กระทำความผิด ถ้าระยะเวลาได้พ้น 3 เดือนแล้ว แต่ผู้เสียหายยังไม่ได้ร้องทุกข์หรือฟ้องคดีต่อศาลแล้ว กฎหมายถือว่าอายุความในคดีนั้นขาดทันที ตามประมวลกฎหมายอาญา มาตรา 96
ส่วนผลของความเสียหายต่อเจ้าของข้อมูลส่วนบุคคลก็จะแตกต่างกัน โดยมีรายละเอียดดังนี้
– การกระทำความผิดนั้นอาจทำให้เจ้าของข้อมูลส่วนบุคคลเสียหาย เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย ต้องระวางโทษจำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 500,000 บาท หรือทั้งจำทั้งปรับ (มาตรา 79 วรรคแรก)
– ความกระทำความผิดนั้นเกิดจากการที่ธุรกิจแสวงหาประโยชน์สำหรับตนเองหรือผู้อื่นโดยทุจริต ต้องระวางโทษจำคุกไม่เกิน 1 ปี หรือปรับไม่เกิน 1,000,000 บาท หรือทั้งจำทั้งปรับ (มาตรา 79 วรรคสอง)
– ความผิดฐานเปิดเผยข้อมูลส่วนบุคคล ผู้ใดล่วงรู้ข้อมูลส่วนบุคคลของผู้อื่นเนื่องจากการปฏิบัติหน้าที่ตาม PDPA แล้วนำไปเปิดเผยแก่ผู้อื่น ต้องระวางโทษจำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 500,000 บาท หรือทั้งจำทั้งปรับ (มาตรา 80)
– ในกรณีที่ผู้กระทำผิดเป็นนิติบุคคล บุคคลที่กระทำความผิดต้องรับผิดชอบในการดำเนินงานของนิติบุคคลนั้นๆ และรับโทษตามความผิดนั้นๆ อีกด้วย (มาตรา 81)
อย่างไรก็ตาม ผู้ควบคุมข้อมูลส่วนบุคคลได้รับการยกเว้นความผิดในกรณีที่เป็นการเปิดเผยข้อมูลส่วนบุคคลตามหน้าที่ หรือเพื่อประโยชน์แก่การสอบสวน หรือการพิจารณาคดี หรือเปิดเผยแก่หน่วยงานของรัฐในประเทศหรือต่างประเทศที่มีอำนาจหน้าที่ หรือเปิดเผยที่ได้รับความยินยอมเป็นหนังสือเฉพาะครั้งจากเจ้าของข้อมูลส่วนบุคคล หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับการฟ้องร้องคดีต่างๆ ที่เปิดเผยต่อสาธารณะ (มาตรา 80 วรรคสอง)
บทลงโทษทางปกครอง
บทลงโทษ PDPA ในทางปกครอง มีอัตราโทษปรับทางปกครองสูงสุดไม่เกิน 5,000,000 บาท หรือในกรณีที่คณะกรรมการผู้เชี่ยวชาญเห็นสมควรอาจจะสั่งให้แก้ไขหรือตักเตือนก่อนก็ได้ โดย PDPA กำหนดโทษของผู้ควบคุมข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคล ตัวแทน และโทษทางปกครองอื่นๆ ดังนี้
โทษของผู้ควบคุมข้อมูลส่วนบุคคล
– ไม่ขอความยินยอมหรือไม่แจ้งผลกระทบจากการถอนความยินยอม
– ไม่แจ้งการเก็บข้อมูลส่วนบุคคล
– ไม่ให้เจ้าของข้อมูลส่วนบุคคลเข้าถึงข้อมูลตามสิทธิ
– ไม่ทำบันทึกรายการตามที่กฎหมายกำหนด
– ไม่มีเจ้าหน้าที่หรือไม่จัดให้มีเจ้าหน้าที่ดูแลข้อมูลส่วนบุคคลอย่างเพียงพอ
– เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากฐานทางกฎหมาย
– ใช้ข้อมูลส่วนบุคคลผิดไปจากวัตถุประสงค์ที่แจ้งเอาไว้
– เก็บข้อมูลส่วนบุคคลเกินกว่าที่จำเป็น
– เก็บข้อมูลส่วนบุคคลจากแหล่งอื่นที่ต้องห้ามตามกฎหมาย
– ทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
– ไม่ปฏิบัติตามหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล
โทษของผู้ประมวลผลข้อมูลส่วนบุคคล
– การไม่จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือไม่มีการสนับสนุนการปฏิบัติหน้าที่อย่างเพียงพอ
– การไม่ปฏิบัติตามคำสั่งของผู้ควบคุมข้อมูลส่วนบุคคล การไม่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม
– การไม่จัดทำบันทึกรายการกิจกรรมการประมวลผล
– การโอนข้อมูลส่วนบุคคลทั่วไปและข้อมูลส่วนบุคคลที่อ่อนไหวไปต่างประเทศโดยไม่ชอบด้วยกฎหมาย
ยกตัวอย่าง
ลูกเป็นเน็ตไอดอลชื่อดัง ได้เข้าไปเช็คอินเข้าพักที่โรงแรมแห่งหนึ่ง หากลูกค้าโดนแอบถ่ายรูปหรือถ่ายคลิปหรือเผยแพร่คลิปจากกล้องวงจรปิด ซึ่งทั้งในภาพและคลิปสามารถยืนยันและระบุตัวตนได้ว่าเป็นผู้ใด แล้วนำไปอัปโหลดลงเพจหรือลงสื่อโซเชี่ยลมีเดียต่างๆ โดยมีวัตถุประสงค์เพื่อโปรโมทร้านค้า หรือ ในกรณีนี้ต้องของความยินยอมจากเน็ตไอดอลชื่อดังนั้นเสียก่อน หากฝ่าฝืนย่อมเป็นความผิดตามกฎหมาย PDPA และหากภาพหรือคลิปที่สื่อสารหรือเผยแพร่ออกไปนั้น อาจทำให้เจ้าของข้อมูลส่วนบุคคลเสียหาย เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย นอกจากนะเป็นความผิดตามประราชบัญญัตินี้แล้ว ยังอาจเป็นความผิดฐานหมิ่นประมาทด้วยการโฆษณา ตามประมวลกฎหมายอาญามาตรา 328 อีกประการหนึ่งด้วย
ดังนั้น สิ่งสำคัญที่ธุรกิจในฐานะผู้ควบคุมข้อมูลส่วนบุคคลจะต้องปฏิบัติ คือ การดำเนินการตามสิทธิของเจ้าของข้อมูลส่วนบุคคล โดยเฉพาะการขอความยินยอม (Consent) ตามกฎหมาย PDPA ถือว่าเป็นขั้นตอนที่สำคัญมากที่สุด เพราะถ้าไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลแล้ว ธุรกิจก็ไม่อาจนำข้อมูลนั้นมาใช้ได้ และเมื่อได้รับความยินยอมแล้วก็จะต้องใช้ข้อมูลตามวัตถุประสงค์ที่ได้แจ้งไว้ รวมทั้งดูแลรักษาข้อมูลนั้นให้ปลอดภัย ป้องกันผู้อื่นละเมิดสิทธิความเป็นส่วนตัวของเจ้าของข้อมูล ซึ่งหากข้อมูลรั่วไหลออกไปก็อาจนำมาซึ่งความเสียหายต่อเจ้าของข้อมูลส่วนบุคคล และธุรกิจในฐานะผู้ควบคุมข้อมูลส่วนบุคคลก็อาจมีความผิดตามกฎหมาย ทั้งทางแพ่ง อาญา และปกครองได้
การดำเนินคดีทางกฎหมาย
สำหรับการดำเนินคดีนั้น ผู้เสียหายหรือเจ้าของข้อมูลส่วนบุคคลสามารถ ดำเนินการได้ดังนี้
1. แจ้งความร้องทุกข์ต่อพนักงานสอบสวน ณ สถานที่ๆ มูลคดีเกิด ภายใน 3 เดือน เพื่อให้พนักงานสอบสวนดำเนินการสอบสวนแล้วมีความเห็นสั่งฟ้องไปยังพนักงานอัยการ และพนักงานอัยการมีความเห็นสั่งฟ้องต่อศาลแทนได้ หรือ
2. แต่งตั้งทนายความฟ้องคดีโดยตรงต่อศาลในทางอาญาและเรียกค่าเสียหายในทางแพ่งไปพร้อมกันด้วยก็ได้ ซึ่งวิธีนี้จะทำให้การดำเนินคดีเป็นไปด้วยความรวดเร็ว
ปรึกษากฎหมายโทร 080-9193691 , 02-0749954
หรือ แอดไลน์ @closelawyer หรือ คลิก https://line.me/R/ti/p/%40closelawyer
สาขาเชียงใหม่ โทร 080-3955536 แอดไลน์ @closelawyercmi
หรือ คลิก https://lin.ee/Zu2JmNU
เผยแพร่ข้อมูลส่วนบุคคลของผู้อื่นโดยไม่ได้รับความยินยอม ถือเป็นความผิด อาจติดคุกถูกปรับ