32.3 C
Nakhon Sawan
วันพุธ, พฤษภาคม 22, 2024
spot_img

ความรับผิดเกี่ยวกับข้อมูลส่วนบุคคล

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลนั้น เนื่องจากปัจจุบันมีการล่วงละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคลเป็นจำนวนมากจนสร้างความเดือดร้อนรำคาญหรือความเสียหายให้แก่เจ้าของข้อมูลส่วนบุคคล ประกอบกับความก้าวหน้าของเทคโนโลยีทำให้การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลอันเป็นการล่วงละเมิดดังกล่าว ทำได้โดยง่าย สะดวก และรวดเร็ว ก่อให้เกิดความเสียหายต่อเศรษฐกิจโดยรวม สมควรกำหนดให้มีกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลเป็นการทั่วไปขึ้น เพื่อกำหนดหลักเกณฑ์ กลไก หรือมาตรการกำกับดูแลเกี่ยวกับการให้ความคุ้มครองข้อมูลส่วนบุคคลที่เป็นหลักการทั่วไป เพื่อให้การคุ้มครองข้อมูลส่วนบุคคลมีประสิทธิภาพและเพื่อให้มีมาตรการเยียวยาเจ้าของข้อมูลส่วนบุคคลจากการถูกละเมิดสิทธิในข้อมูลส่วนบุคคลที่มีประสิทธิภาพ ซึ่งการตราพระราชบัญญัตินี้สอดคล้องกับเงื่อนไขที่บัญญัติไว้ในมาตรา ๒๖ ของรัฐธรรมนูญแห่งราชอาณาจักรไทย

ข้อมูลส่วนบุคคล หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ เช่น เลขบัตรประจำตัวประชาชน ชื่อ – นามสกุล ที่อยู่ เบอร์โทรศัพท์ อีเมล ข้อมูลทางการเงิน เชื้อชาติ ลัทธิศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความเห็นทางการเมือง ข้อมูลสหภาพแรงงาน (กรกนก ศรีมุข, 2022)

ผู้ควบคุมข้อมูลส่วนบุคคล หมายถึง บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

ผู้ประมวลผลข้อมูลส่วนบุคคล หมายความว่า บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคลทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล

การบังคับใช้กฎหมาย

1) ใช้บังคับแก่การเก็บรวบรวม การใช้ หรือการเปิดเผยข้อมูลส่วนบุคคลโดยผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งอยู่ในราชอาณาจักร

2) มีผลใช้บังคับถึงกรณีผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลที่อยู่นอกราชอาณาจักร

หากมีกิจกรรมดังนี้

(1) เสนอขายสินค้าหรือบริการแก่เจ้าของข้อมูลส่วนบุคคลที่อยู่ในราชอาณาจักรไม่ว่าจะมีการชำระเงินหรือไม่

(2) เฝ้าติดตามพฤติกรรมของเจ้าของข้อมูลที่เกิดขึ้นในราชอาณาจักร (อัญมณี สัจจาสัย, 2565)

การเปิดเผยข้อมูลที่ชอบด้วยกฎหมาย มีดังนี้

1) ต้องได้รับความยินยอมโดยชัดแจ้ง

2) ทำไปเพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล ซึ่งเจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมได้

3) การดำเนินกิจกรรมโดยชอบด้วยกฎหมายที่มีการคุ้มครองที่เหมาะสมของมูลนิธิ สมาคม หรือองค์กรไม่แสวงกำไร

4) เป็นข้อมูลที่เปิดเผยต่อสาธารณะด้วยความยินยอมโดยชัดแจ้งของเจ้าของข้อมูลส่วนบุคคล

5) จำเป็นเพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย

6) จำเป็นในการปฏิบัติตามกฎหมาย ที่กำหนดไว้เฉพาะ (Digital Council of Thailand, 2563)

หน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล มีดังนี้

1) หน้าที่ควบคุมข้อมูลส่วนบุคคล (Data Controller) จัดให้มีมาตรการรักษาความมั่นคงปลอดภัย มีระบบตรวจสอบการลบ/ทำลายข้อมูล เมื่อพ้นกำหนดระยะเวลาเก็บรักษา แจ้งเหตุละเมิดแก่สำนักงานภายใน 72 ช.ม. ป้องกันการใช้หรือเปิดเผยข้อมูลโดยมิชอบ บันทึกรายการเมื่อมีการเก็บรวบรวม การใช้ หรือเปิดเผยข้อมูลส่วนบุคคล แต่งตั้งตัวแทนในราชอาณาจักร (กรณีอยู่ที่ต่างประเทศ)

2) หน้าที่ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ดำเนินการตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคล จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม รวมทั้งแจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบถึงเหตุการณ์ละเมิดข้อมูลส่วนบุคคล จัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคล

3) หน้าที่เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer) ให้คำแนะนำแก่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล ตรวจสอบการดำเนินงานของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูล ประสานงานและให้ความร่วมมือกับสำนักงานในกรณีที่มีปัญหาเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล รักษาความลับของข้อมูลที่รู้หรือได้มาจากการปฏิบัติหน้าที่ (Digital Council of Thailand, 2563)

สิทธิของเจ้าของข้อมูลส่วนบุคคล มีดังนี้

1) สิทธิได้รับแจ้งรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคล (Right to be informed)

2) สิทธิขอเข้าถึงข้อมูลส่วนบุคคล (Right of access)

3) สิทธิขอให้โอนข้อมูลส่วนบุคคล (Right to data portability)

4) สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Right to object)

5) สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ (Right to erasure/right to be forgotten)

6) สิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคล (Right to restrict processing)

7) สิทธิขอให้แก้ไขข้อมูลส่วนบุคคล (Right to rectification)

8) สิทธิในการร้องเรียนกรณีที่ผู้ควบคุมหรือผู้ประมวลผลไม่ปฏิบัติตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (Digital Council of Thailand, 2563)

การร้องเรียน ตามมาตรา 71 – มาตรา 76 มีดังนี้ กำหนดให้มีคณะกรรมการเชี่ยวชาญซึ่งได้จากการแต่งตั้งขึ้นคณะหนึ่งเพื่อมีหน้าที่และอำนาจในการพิจารณาเรื่องร้องเรียน ตามพระราชบัญญัตินี้ รวมถึงการตรวจสอบการกระทำใด ๆ ของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลข้อมูลส่วนบุคคล รวมทั้งผู้ที่เกี่ยวข้องที่เกี่ยวกับภารกิจให้เกิดความเสียหายแก่เจ้าของข้อมูลส่วนบุคคล ตลอดทั้งการไกล่เกลี่ยข้อพิพาทข้อมูลส่วนบุคคล (อัญมณี สัจจาสัย, 2565) มีขั้นตอนดังนี้

ที่มา : สำนักงานปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม

         ความรับผิดเกี่ยวกับมูลส่วนบุคคล มีดังนี้ (วันพิจิตร จินตระกูลชัย, PDPA คืออะไร: 2564)

1) โทษทางแพ่ง กำหนดให้ชดใช้ค่าสินไหมทดแทนที่เกิดขึ้นจริงให้กับเจ้าของข้อมูลส่วนบุคคลที่ได้รับความเสียหายจากการละเมิด และอาจจะต้องจ่ายบวกเพิ่มอีกเป็นค่าค่าสินไหมทดแทนเพื่อการลงโทษเพิ่มเติมสูงสุดได้อีก 2 เท่าของค่าเสียหายจริง ยกตัวอย่างเช่น หากศาลตัดสินว่าให้ผู้ควบคุมข้อมูลส่วนบุคคล ต้องชดใช้ค่าสินไหมทดแทนแก่เจ้าของข้อมูลส่วนบุคคล เป็นจำนวน 1 แสนบาท ศาลอาจมีคำสั่งกำหนดค่าสินไหมเพื่อการลงโทษเพิ่มอีก 2 เท่าของค่าเสียหายจริง เท่ากับว่าจะต้องจ่ายเป็นค่าปรับทั้งหมด เป็นจำนวนเงิน 3 แสนบาท

2) โทษทางอาญา มีทั้งโทษจำคุกและโทษปรับ โดยมีโทษจำคุกสูงสุดไม่เกิน 1 ปี หรือ ปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ โดยโทษสูงสุดดังกล่าวจะเกิดจากการไม่ปฏิบัติตาม PDPA ในส่วนการใช้ เปิดเผย หรือส่งโอนข้อมูลไปยังต่างประเทศ ประเภทข้อมูลที่มีความละเอียดอ่อน (Sensitive Personal Data) ส่วนกรณีหากผู้กระทำความผิด คือ บริษัท (นิติบุคคล) ก็อาจจะสงสัยว่าใครจะเป็นผู้ถูกจำคุก เพราะบริษัทติดคุกไม่ได้ ในส่วนตรงนี้ก็อาจจะตกมาที่ ผู้บริหาร, กรรมการ หรือบุคคลซึ่งรับผิดชอบในการดำเนินงานของบริษัทนั้น ๆ ที่จะต้องได้รับการลงโทษจำคุกแทน

3) โทษทางปกครอง โทษปรับ มี ตั้งแต่ 1 ล้านบาทจนถึงสูงสุดไม่เกิน 5 ล้านบาท ซึ่งโทษปรับสูงสุด 5 ล้านบาท จะเป็นกรณีของการไม่ปฏิบัติตาม PDPA ในส่วนการใช้ข้อมูล หรือเปิดเผยข้อมูล หรือส่งโอนข้อมูลไปยังต่างประเทศของประเภทข้อมูลที่มีความละเอียดอ่อน (Sensitive Personal Data) ซึ่งโทษทางปกครองนี้จะแยกต่างหากกับการชดใช้ค่าเสียหายที่เกิดจากโทษทางแพ่งและโทษทางอาญาด้วย

ข้อยกเว้นที่สามารถเก็บรวบรวมข้อมูลส่วนบุคคลได้โดยไม่ต้องขอความยินยอม มีดังนี้

1) Scientific or Historical Research เป็นการจัดทำเอกสารประวัติศาสตร์ จดหมายเหตุ การศึกษาวิจัยหรือสถิติ

2) Vital Interest เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล เช่น การเข้ารับบริการทางการแพทย์ ณ โรงพยาบาล

3) Contract เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญา เช่น เจ้าของข้อมูลส่วนบุคคลทำสัญญากู้ยืมเงินจากธนาคาร ธนาคารสามารถเก็บรวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้นได้ตามวัตถุประสงค์ของสัญญา

4) Public Task เป็นการจำเป็นเพื่อปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะ หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐ

5) Legitimate Interest เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล หรือของบุคคลหรือนิติบุคคลอื่น

6) Legal Obligations เป็นการปฏิบัติตามกฎหมาย (กรกนก ศรีมุข, 2022)

แสดงให้เห็นว่าข้อมูลส่วนบุคคลมีความสำคัญต่อบุคคลมากขึ้น เดิมที่บริษัทต่างๆ เช่น บริษัทประกันภัย ประกันชีวิต บริษัทเพื่อการโฆษณา บริษัทเพื่อการจำหน่ายสินค้า บริษัทเพื่อการร่วมลงทุนฯ จะซื้อข้อมูลส่วนบุคคลจากธนาคาร มหาวิทยาลัย โรงพยาบาล สำนักทะเบียนอำเภอ สรรพากร ฯลฯ เพื่อนำไปใช้ในการโฆษณาและเชิญชวนเจ้าของข้อมูล ในยุคแรกๆ จะขอข้อมูลจากผู้จัดเก็บข้อมูลฟรีหรือมีผลประโยชน์ตอบแทนเล็กน้อย ยุคต่อมามีการรับซื้อข้อมูลละ 1-2 บาทต่อข้อมูลหนึ่งคน ผลกระทบต่อเจ้าของข้อมูลในช่วงแรกคือ มีโฆษณาส่งมาที่บ้านหรือภูมิลำเนา โทรศัพท์ อีเมล และสื่ออิเล็กทรอนิกส์ต่างๆ เป็นจำนวนมาก จนสร้างความรำคาญใจต่อผู้เป็นเจ้าของข้อมูลและประชาชนอย่างมาก ในยุคต่อมาข้อมูลส่วนบุคคลเริ่มเป็นข้อมูลที่มีไว้ใช้ในการกระทำความผิดของกลุ่มมิจฉาชีพออนไลน์ โดยเฉพาะข้อมูลการก่ออาชญากรรม การหลีกเลี่ยงภาษี หรือปกปิดความผิดไว้ ที่ทำให้เจ้าของข้อมูลรู้สึกหวาดกลัวและยอมโอนเงินให้กับกลุ่มมิจฉาชีพ ในยุคนี้ส่วนมากประชาชนหลงเชื่อกันมากเพราะแยกกันไม่ออก ระหว่างกลุ่มมิจฉาชีพกับเจ้าหน้าที่รัฐตัวจริงที่เรียกรับสินบน ในยุคต่อมาเป็นยุคของแก๊งคอลเซ็นเตอร์มีเพียงเบอร์โทรศัพท์และข้อมูลส่วนบุคคล ด้วยการโทรเข้ามาหาเจ้าของข้อมูลแล้วแอบอ้างว่าเป็นเจ้าหน้าที่ของรัฐ ธนาคาร กยศ. สรรพากร สถานีขนส่ง สำนักงานตำรวจ ฯลฯ อยู่ที่ว่าเจ้าของข้อมูลไปทำธุรกรรมอะไรไว้ ติดต่อเข้ามาเพื่อดำเนินการอะไรบางอย่าง แล้วให้เจ้าของข้อมูลปฏิบัติหรือกดฟังก์ชันตาม ผลที่ตามมาก็คือเงินถูกโอนไปยังบัญชีอื่นทั้งหมด ซึ่งในยุคปัจจุบันกลุ่มมิจฉาชีพมีเพียงเบอร์โทรศัพท์ส่งลิงค์เข้ามาเพื่อให้กดยอมรับหรือดำเนินการ ทำให้กลุ่มมิจฉาชีพเข้ามาควบคุมโทรศัพท์หรือระบบคอมพิวเตอร์ของเจ้าของข้อมูลได้ทั้งหมด ดังนั้นภาครัฐและหน่วยงานต่างๆ จึงพยายามหาวิธีเพื่อความปลอดภัยให้กับประชาชน ซึ่งการดำเนินการต่อผู้กระทำความผิดกระทำได้ยาก เนื่องจากเป็นยุคไร้พรมแดน ไร้ตัวตน การติดต่อสื่อสารมีเพียงข้อความ เสียง รูปภาพ เป็นบางกรณีอาจได้เห็นใบหน้า ทำให้เป็นช่องทางของกลุ่มมิจฉาชีพในการสืบหาตัวบุคคล ซึ่งในยุคต่อไปรัฐบาลควรดำเนินการต่อผู้จัดทำเถื่อนเกี่ยวกับเว็บไซต์       เฟซบุ๊ก ไลน์ ติ๊กต๊อก อีเมล เบอร์โทรศัพท์ ฯลฯ ที่เกี่ยวกับการยืนยันตัวตนในระบบออนไลน์ที่ไม่มีตัวตนหรือตัวตนปลอม ให้มีความผิดและมีบทลงโทษ หรือเคร่งครัดต่อการสร้างตัวตนในระบบอิเล็กทรอนิกส์ให้มากขึ้น ประกอบกับธนาคารแห่งประเทศไทยหรือธนาคารต่างๆ ต้องให้ความร่วมมือต่อการป้องกันอาชญากรรม เนื่องจากเงินของมิจฉาชีพไม่สามารถไปไหนได้ ไม่ว่าจะโอนไปร้อยทอดพันทอดเงินก็ยังอยู่ในธนาคารนั่นเอง อยู่ที่ว่าธนาคารจะให้ความสำคัญต่อความเดือดร้อนของประชาชนหรือไม่ หรืออาจมองได้ว่าธนาคารมีส่วนได้รับผลประโยชน์จากการโอนเงินจำนวนมากดังกล่าว จึงไม่ดำเนินการอย่างใดอย่างหนึ่งเพื่อเป็นการช่วยเหลือผู้เสียหาย สวัสดีครับ

 

 

ผศ.ปองปรีดา ทองมาดี

อาจารย์ประจำสาขาวิชานิติศาสตร์

 

ติดตามเราที่

149แฟนคลับชอบ
spot_img

ข่าวลาสุด