PDPA พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล กับ “งานบัญชี” ที่ผู้ประกอบการต้องรู้

โดย

 

 

  โทษของการไม่ปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล  (PDPA)


พรบ. คุ้มครองข้อมูลส่วนบุคคล เป็นกฎหมายที่ออกมาด้วยจุดประสงค์ในการสร้าง “สมดุลย์” ในการใช้ข้อมูลของภาคธุรกิจ
ในเชิงพาณิชย์ และการคุ้มครองสิทธิความเป็นส่วนตัวของบุคคลธรรมดาซึ่งเป็นเจ้าของข้อมูลที่มีการใช้ดังกล่าว ดังนั้น
หลักการภายใต้พรบ. จึงกำหนดว่า ภาคธุรกิจต้องใช้หลักการ “ใจเขาใจเรา” มากขึ้นในการใช้ข้อมูลของบุคคลอื่น
โดยต้องประเมินถึงความจำเป็นในการใช้ข้อมูลดังกล่าวให้มากขึ้น และกรณีจะใช้ข้อมูลนั้น ภาคธุรกิจต้องมีกลไกใน
การแจ้ง หรือขออนุญาตเจ้าของข้อมูลว่า จะมีการใช้ข้อมูลของเจ้าของข้อมูลเหล่านั้นอย่างไร เพื่อวัตถุประสงค์ใดบ้าง
รวมถึงต้องให้สิทธิแก่เจ้าของข้อมูลดังกล่าว ในการใช้สิทธิต่างๆ เหนือข้อมูลที่เป็นของเจ้าของดังกล่าวได้ ในขณะเดียวกัน
ด้วย เจตนารมณ์หลักของพรบ. ในการคุ้มครองเจ้าของข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลจึงมีสิทธิและได้รับ
การปกป้องมากขึ้นเช่นกัน เจ้าของข้อมูลสามารถขอใช้สิทธิต่างๆได้ โดยภาคธุรกิจผู้ใช้ข้อมูลมีหน้าที่ในการปฏิบัติตามสิทธิ
ที่มี การขอใช้ดังกล่าว และเจ้าของข้อมูลยังมีกลไกในการร้องเรียนเพื่อกำหนดมาตรการลงโทษได้หลายหลายขึ้น 

พ.ร.บ. กำหนดโทษของการไม่ปฏิบัติตาม พ.ร.บ. ไว้เป็น 3 ประเภทหลัก คือ โทษแพ่ง โทษอาญา และโทษปกครอง

โทษแพ่ง
หมายถึง เจ้าของข้อมูลซึ่งได้รับความเสียหายไม่ว่าในรูปแบบใดจากการที่ภาคธุรกิจใช้ข้อมูลส่วนบุคคลของ ตนสามารถ
ฟ้องศาลแพ่ง เพื่อเรียกค่าเสียหายได้ ซึ่งด้วยจุดประสงค์ภายใต้ พ.ร.บ. ที่ต้องการคุ้มครองเจ้าของข้อมูล ทำให้การฟ้องคดี
แพ่ง ภายใต้ พ.ร.บ. ได้รับการคุ้มครองที่มากกว่าการฟ้องละเมิด มาตรา 420 ตามประมวลกฎหมายแพ่งและ พาณิชย์ปกติ
โดยเฉพาะส่วนของ “ภาระในการพิสูจน์” ซึ่งโดยหลักการฟ้องละเมิดภายใต้มาตรา 420 ภาระการพิสูจน์ จะตกแก่ผู้เสียหาย
แต่ภายใต้ พ.ร.บ. มาตรา 77 กฎหมายกำหนดชัดเจนว่าบุคคลที่ฝ่าฝืน พ.ร.บ. และทำให้เกิดความเสียหายต่อเจ้าของข้อมูล
ต้องชดใช้ค่าสินไหมทดแทน เว้นแต่บุคคลนั้นจะพิสูจน์ได้ว่าเป็นกรณีเกิดเหตุสุดวิสัย หรือเกิดจาก ความผิดของเจ้าของข้อมูล
เอง หรือเป็นการปฏิบัติตามคำสั่งหรือตามกฎหมาย ซึ่งย่อมหมายถึงว่า ภาระในการพิสูจน์ตก แก่ฝ่ายภาคธุรกิจผู้ใช้ข้อมูล
ส่วนบุคคลแทนที่จะตกกับผู้เสียหายตามหลักกฎหมายละเมิดทั่วไป
นอกจากส่วนของภาระพิสูจน์แล้ว ค่าสินไหมทดแทนที่ต้องรับผิดภายใต้ พ.ร.บ. ยังครอบคลุมไปมากกว่าเพียงค่าเสียหาย
จริงที่เกิดขึ้น แต่รวมถึงค่าใช้จ่ายที่ผู้เสียหายได้ใช้เพื่อ “ป้องกัน” หรือ “ระงับ” ความเสียหายที่จะเกิดขึ้นหรือเกิดขึ้นอีกด้วย
และศาลมีอำนาจตาม พ.ร.บ. ที่จะมีคำสั่ง “ค่าเสียหายเชิงลงโทษ” เพิ่มเติม ได้อีกไม่เกิน 2 เท่าของค่าสินไหม
กล่าวโดยสรุป ภายใต้ พ.ร.บ. กรณีการละเมิดทางแพ่ง การพิสูจน์ของผู้เสียหายลดลง และอาจได้ค่าสินไหมทดแทนที่
มากขึ้นกว่าการฟ้องละเมิดตามประมวลกฎหมายแพ่งและพาณิชย์

โทษอาญา
หมายถึง เจ้าของข้อมูลซึ่งได้รับความเสียหายสามารถใช้สิทธิในการฟ้องเอาผิดทางอาญาได้ใน 2 กรณีคือ
1. ใช้สิทธิฟ้องอาญาต่อภาคธุรกิจซึ่งเปิดเผยหรือใช้ข้อมูลส่วนบุคคลอ่อนไหว (ได้แก่ ข้อมูลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์
ความคิดเห็นทางการเมือง ความเชื่อในลัทธิศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ
ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม และข้อมูลชีวภาพ) โดยไม่ถูกต้องหรือไม่เป็นไปตามวัตถุประสงค์
ที่ระบุไว้ และเป็นการที่น่าจะทำให้ผู้อื่นเกิดความเสียหาย หรืออับอาย
2. ใช้สิทธิฟ้องอาญาต่อบุคคลใดก็ตามที่ล่วงรู้ข้อมูลส่วนบุคคลของเจ้าของข้อมูลเนื่องจากการปฏิบัติหน้าที่ และเปิดเผย
ข้อมูลนั้นแก่ผู้อื่น โดยโทษอาญาสูงสุดอยู่ที่ระวางจำคุกไม่เกิน 1 ปี หรือปรับไม่เกิน 1 ล้านบาท โดย พ.ร.บ. กำหนดชัดเจน
ว่า ในกรณีที่ผู้กระทำความผิดเป็น นิติบุคคล ถ้าการกระทำความผิดนั้นเกิดจากการสั่งหรือกระทำของกรรมการหรือบุคคล
ผู้รับผิดชอบในการดำเนินงานของนิติบุคคลนั้น ผู้เป็นกรรมการหรือบุคคลผู้รับผิดชอบดังกล่าวต้องรับโทษจำคุก
กล่าวโดยสรุป ภายใต้ พ.ร.บ. หากมีการเปิดเผยหรือใช้ข้อมูลส่วนบุคคลไม่ถูกต้อง และทำให้เกิดความเสียหาย หากครบองค์
ประกอบที่ระบุไว้ อาจนำไปสู่โทษอาญา ปรับ และจำคุก ซึ่งกรรมการหรือผู้รับผิดชอบนิติบุคคลดังกล่าวจะได้รับโทษจำคุก
ดังกล่าวแทนนิติบุคคล

โทษปกครอง
ซึ่งเป็นกรณีที่เจ้าของข้อมูลสามารถใช้สิทธิในการร้องเรียนต่อ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เพื่อปรับไหม
ภาคธุรกิจที่ไม่ปฏิบัติให้ครบถ้วนตามหน้าที่ที่มีภายใต้กฎหมายได้ทันที โดยไม่ต้องคำนึงถึงความเสียหาย ดังนั้นโทษทาง
ปกครองจึงมีแนวโน้มการเกิดการร้องเรียนได้ง่ายที่สุด โดยระวางโทษปรับสูงสุดอยู่ที่ 1 ล้าน 3 ล้าน หรือ 5 ล้านบาท
โดยเป็นค่าปรับเข้ารัฐบาล

ตัวอย่าง โทษปกครองได้แก่ กรณีที่หากภาคธุรกิจใช้ข้อมูลส่วนบุคคลของบุคคลอื่นแต่ ไม่ได้แจ้งให้เจ้าของข้อมูล
ทราบเกี่ยวกับการประมวลผลข้อมูล หรือแจ้งข้อมูลไม่ครบถ้วนตามที่กฎหมายกำหนด อาจนำไปสู่โทษปรับสูงสุด
ไม่เกิน 1 ล้านบาทได้ และหากเป็นกรณีของข้อมูลส่วนบุคคลอ่อนไหว โทษปรับสูงสุดอยู่ที่ 5 ล้านบาท



   
      บางส่วนจากบทความ “PDPA พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล กับ “งานบัญชี” ที่ผู้ประกอบการต้องรู้”
      อ่านบทความฉบับเต็มได้ใน... วารสารเอกสารภาษีอากร ปีที่ 39 ฉบับที่ 471 เดือนกุมภาพันธ์ 2564




Lifestyle : Jolica
วารสาร : เอกสารภาษีอากร กุมภาพันธ์ 2564



FaLang translation system by Faboba