ไม่มี PDPA มีโทษหนัก: พรบ.ใหม่ที่เจ้าของเว็บไซต์ต้องรู้ […]

ไม่มี PDPA มีโทษหนัก: พรบ.ใหม่ที่เจ้าของเว็บไซต์ต้องรู้

7 มกราคม 2564 ณ สำนักงานกฎหมายณัฐภัทร


ไม่แน่ ท่านอาจกำลังจะทำผิดกฎหมายอย่างการตั้งนโยบาย หรือเงื่อไขการใช้งานเว็บไซต์ที่ตามใจฉัน และไม่เป็นไปตามข้อกฎหมายที่กำลังจะบังคับใช้ล่าสุด แม้โดยตั้งใจหรือไม่ตั้งใจก็ตาม หากแต่ถูกร้องเรียนหรือและถูกเจ้าหน้าที่รัฐฟ้องคดี ครานั้นถ้าจะอ้างว่าไม่รู้กฎหมายก็ไม่ได้นะครับ

วันนี้เราจึงได้รวบรวมคำถาม-คำตอบมาให้ท่านที่จะทำให้ทั้งเจ้าของแพลตฟอร์มออนไลน์หรือเว็บไซต์ต่างๆสามารถเริ่มต้นศึกษากฎหมายและนำไปปฎิบัติตามได้ง่ายไปพร้อมกับสำนักงานของเรา มาเริ่มต้นกันเลยครับ

Q: กฎหมาย PDPA คืออะไร (ความหมาย)
A: คือกฎหมายระดับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งถือเป็นเรื่องใหม่ของประเทศไทย ที่กฎหมายใช้ป้องกันการรุกล้ำข้อมูลส่วนบุคคลจากการเก็บรวมบรวมของผู้ไม่ประสงค์ดีต่างๆเพื่อให้เจ้าของข้อมูลมีสิทธิเลือกและให้ความยินยอม(Concent)ในการใช้ ประมวลผล จัดเจ็บและเปิดเผยข้อมูลส่วนตัวของผู้ใช้งาน(Privacy)

Q: เหตุผลสำคัญที่เกิดกฎหมายฉบับนี้ขึ้น
A: ในขณะนี้มีคนจำนวนมาก ที่ยังไม่ทราบว่าการที่เราเข้าเว็บไซต์ใดๆหรือใช้แพลตฟอร์มใดๆก็ตามในโลกออนไลน์ เจ้าของเว็บไซต์หรือผู้ควบคุมระบบสามารถตามรอยเราได้ (tracking)โดยที่เราไม่ต้องยินยอม และอีกหนึ่งเหตุผลสำคัญที่กฎหมายตัวนี้ออกมานั่นก็เนื่องจากในอดีตมีเหตุการณ์การละเมิดข้อมูลส่วนบุคคลที่อันตรายอย่างมากขึ้น ธนาคารดังในประเทศหรือค่ายโทรศัพท์ยักษ์ใหญ่ถูกแฮ็กข้อมูล

Q: กฎหมายPDPAฉบับนี้ใช้บังคับใคร (ขอบเขต)
A: เรียกได้ว่าใช้กับธุรกิจผู้ให้บริการออนไลน์แทบทุกประเภทที่มีการใช้ รวบรวมและสามารถเปิดเผยข้อมูลส่วนบุคคลของผู้ใช้บริการได้ ทั้งในราชอาณาจักรไทยหรือนอกราชอาณาจักร และไม่ว่าบริการนั้นจะต้องมีการชำระเงินหรือไม่ก็ตาม แต่ก็ยังมีการยกเว้นในกิจการ 6 ประเภทในระยะยาว และกิจการ 22 ประเภทในระยะสั้นของการปรับตัวนี้  

Q: ยกเว้นกิจการใดและมีกิจการอะไรบ้าง
A: ส่วนมากกฎหมายฉบับนี้ให้ข้อยกเว้นแก่หน่วยงานรัฐบาลหรือหน่วยงานหรือสำนักงานที่มีผลต่อประโยชน์ของส่วนรวมเสียส่วนมากและมีบางข้อมูลอย่างแหล่งที่มาของข้อมูลส่วนบุคคลของผู้ใช้งาน ที่อาจไม่ต้องแจ้งหากคุณเป็นกิจการขนาดเล็กที่ไม่มีการใช้ จัดเก็บ หรือเผยแพร่ข้อมูลที่มีความเสี่ยง

ซึ่งสามารถแยกออกเป็น 2 ประเภทใหญ่ในข้อยกเว้น

คือ 1. ในระยะสั้นที่กำหนดยกเว้นถึงแค่ในวันที่ 31 พฤษภาคม 2564 เพื่อการปรับตัวและเตรียมพร้อมใช้พรบ.คุ้มครองข้อมูลส่วนบุคคล คือ 1. หน่วยงานของรัฐ 2. หน่วยงานของรัฐต่างประเทศและองค์การระหว่างประเทศ 3. มูลนิธิ สมาคม องค์กรศาสนา และองค์กรไม่แสวงหากำไร 4. กิจการด้านเกษตรกรรม 5. กิจการด้านอุตสาหกรรม 6. กิจการด้านพาณิชยกรรม 7. กิจการด้านการแพทย์และสาธารณสุข 8. กิจการด้านพลังงาน ไอน้ำ น้ำ และการกำจัดของเสีย รวมทั้งกิจการที่เกี่ยวข้อง 9. กิจการด้านการก่อสร้าง 10. กิจการด้านการซ่อมและการบำรุงรักษา 11. กิจการด้านการคมนาคม ขนส่ง และการเก็บสินค้า 12. กิจการด้านการท่องเที่ยว 13. กิจการด้านการสื่อสาร โทรคมนาคม คอมพิวเตอร์ และดิจิทัล 14. กิจการด้านการเงิน การธนาคาร และการประกันภัย 15. กิจการด้านอสังหาริมทรัพย์ 16. กิจการด้านการประกอบวิชาชีพ 17. กิจการด้านการบริหารและบริการสนับสนุน 18. กิจการด้านวิทยาศาสตร์และเทคโนโลยี วิชาการ สังคมสงเคราะห์ และศิลปะ 19. กิจการด้านการศึกษา 20. กิจการด้านความบันเทิงและนันทนาการ 21. กิจการด้านการรักษาความปลอดภัย 22. กิจการในครัวเรือนและวิสาหกิจชุมชน ซึ่งไม่สามารถจำแนกกิจกรรมได้อย่างชัดเจน อ้างอิงตามพระราชกฤษฎีกาเล่ม 137/37ก

และ 2. ในระยะยาวหากเกี่ยวกับสภาผู้แทนราษฎร วุฒิสภาและรัฐสภา การพิจารณาคดีของศาล การบังคับคดี ประกอบกิจการเกี่ยวกับข้อมูลบัตรเครดิต เพื่อสื่อกิจการมวลชน การดำเนินการของรัฐ การเก็บรวมรวมที่ใช้แค่ในการส่วนตัวหรือครอบครัวเหล่านี้ไม่ต้องปฏิบัติตามกฎหมายนี้ อ้างอิงตาม มาตรา ๔ ในพรบ.นี้

การขอความยินยอมของ PDPA

Q: จะต้องปฎิบัติตามกฎหมายอย่างไร
A: หัวใจของ PDPA คือการให้ ”ความยินยอม” (Concent) แก่ผู้ให้บริการออนไลน์ไม่ว่าจะแพลตฟอร์มใด ที่ผู้ให้บริการต้องมีหน้าข้อกำหนดหรือนโยบาย (Policy) แจ้งให้ชัดเจน และต้องมี “การขอความยินยอม”แก่ผู้ใช้เป็นหนังสือหรือทางอิเล็กทรอนิกส์อยู่เสมอ ภาพที่เราคุ้นตากันมักจะเป็นเว็บที่มีการแสดงหน้าขอเก็บบันทึกข้อมูล หรือ คุกกี้ (HTTP Cookie)ที่ปฎิบัติตาม GDPR ของสหภาพยุโรปนั่นเอง ทั้งยังต้อง “แจ้ง” ถึงการใช้ การเก็บรวบรวม การเผยแพร่ข้อมูลให้ชัดเจนแก่ผู้ใช้งานอีกด้วย มิเช่นนั้นจะต้องได้รับโทษตามกฎหมาย

เนื่องจากตาม มาตรา 23 ของพรบ.คุ้มครองข้อมูลส่วนบุคคลกำหนดให้ในการเก็บรวบรวมข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบก่อนหรือในขณะเก็บรวบรวมถึงรายละเอียดดังต่อไปนี้ 
1.แจ้งให้ทราบถึงวัตถุประสงค์
2.แจ้งให้ทราบถึงกรณีที่เจ้าของข้อมูลส่วนบุคคลต้องให้ข้อมูลส่วนบุคคลเพ่ือปฏิบัติ ตามกฎหมายหรือสัญญาหรือมีความจาเป็นต้องให้ข้อมูลส่วนบุคคลเพื่อเข้าทาสัญญา รวมท้ังแจ้งถึง ผลกระทบท่ีเป็นไปได้จากการไม่ให้ข้อมูลส่วนบุคคล 
3.แจ้งให้ทราบถึงข้อมูลส่วนบุคคลท่ีจะมีการเก็บรวบรวมและระยะเวลาในการเก็บรวบรวมไว้ โดยต้องรุบุเวลาที่อาจคาดหมายได้*
4.ประเภทของบุคคลหรือหน่วยงานซึ่งข้อมูลส่วนบุคคลที่เก็บรวบรวมอาจจะถูกเปิดเผย 
5.ข้อมูลเก่ียวกับผู้ควบคุมข้อมูลส่วนบุคคล สถานท่ีติดต่อ และวิธีการติดต่อ 
และสิทธิอื่นๆตาม มาตรา ๓๐ วรรคหน่ึง คือสิทธิขอรับสำเนาข้อมุล่มาหรือขอให้เปิดเผยแหล่งที่มา มาตรา ๓๑ วรรคหน่ึง คือหากมีระบบอัตโนมัติ จะต้องนำมาใช้ มาตรา ๓๒ วรรคหนึ่ง สิทธิคัดค้าน  มาตรา ๓๓ วรรคหนึ่ง ลบหรือทำลาย  มาตรา ๓๔ วรรคหนึ่ง คือสิทธิระงับการใช้มาตรา ๓๖ วรรคหน่ึง คือต้องบันทึกคำร้องขอและแสดง และมาตรา ๗๓ วรรคหนึ่ง คือเรื่องสิทธิร้องเรียน

Q: หากไม่ปฎิบัติตามจะเกิดอะไรขึ้น 
A: มีโทษทั้งโทษตามตารางข้างต้นนี้
ความรับผิดทางแพ่งในพรบ.นี้ ถือเป็น ความรับผิดโดยเคร่งครัด (Stric liaablity) ให้อำนาจศาลสั่งให้ผู้ควบคุมข้อมูลชดใช้ค่าเสียหายทดแทนสองเท่าของค่าสินไหมทดแทนที่ได้(ตามความเสียหายจริง)กำหนดอายุความ 3 ปี
ความรับผิดทางอาญา สำหรับการกระทำความผิดร้ายแรงอย่างการแสวงหาประโยชน์ที่ไม่ควรได้อื่นจากข้อมูลดังกล่าว เช่น การขายข้อมูลออนไลน์

มาตราเนื้อความบทลงโทษหมายเหตุ
๗๙ใช้หรือเปิดเผยข้อมูลของบุคคลอื่นโดยไม่ได้รับความยินยอมปรับ <= 500,000 บาท และหรือจำคุก <= 6 เดือนยอมความได้
~ได้รับข้อมูลด้วยความยินยอมแต่ใช้ผิดวัตถุประสงค์ที่แจ้งไว้ปรับ <= 500,000 บาท และหรือจำคุก <= 6 เดือนยอมความได้
~ส่งข้อมูลที่มีความละเอียดอ่อนไปยังต่างประเทศเพื่อแสวงหาผลประโยชน์อันมิควรปรับ <= 1,000,000 บาท และหรือจำคุก <= 1 ปียอมความได้
:- ความรับผิดทางอาญา

ความรับผิดทางปกครอง ซึ่งเป็นความผิดจากการไม่กระทำตามหลักเกณฑ์ที่กำหนดของพรบ.นี้ อย่างการมิได้”ขอความยินยอม”ตามแบบ เช่นไม่แจ้งให้เจ้าของข้อมูลทราบถึงวัตถุประสงค์การใช้ข้อมูล

มาตราเนื้อความบทลงโทษ
๘๒ไม่แจ้งให้เจ้าของข้อมูลทราบวัตถุประสงค์ปรับ <= 1,000,000 บาท
~ไม่ปฎิบัติตามหลักเกณฑ์ที่ให้เจ้าของข้อมูลเข้าถึงของมูลของตนและรับสำเนานั้นปรับ <= 1,000,000 บาท
๘๓ขอความยินยอมโดยหลอกลวงหรือใช้ผิดวัตถุประสงค์ปรับ <= 3,000,000 บาท
~ไม่ให้เจ้าของข้อมูลใช้สิทธิคัดค้าน ใช้ เปิดเผยข้อมูลดังกล่าวปรับ <= 3,000,000 บาท
~โอนไปยังต่างประเทศ,
ใช้และเปิดเผยโดยไม่มีความยินยอม
ปรับ <= 3,000,000 บาท
:- ความรับผิดทางปกครอง
แล้วหากพบเจอการกระทำผิด พรบ. ต้องทำเช่นไร?

A: ท่านสามารถใช้สิทธิของความเป็นเจ้าของข้อมูลส่วนบุคคล ได้ 4 ประเภทใหญ
1.สิทธิการลบข้อมูล 
2.สิทธิโต้แย้งคัดค้าน
3.สิทธิระงับการใช้ข้อมูล
4.สิทธิในการเคลื่อนย้ายข้อมูล

กล่าวคือ หากท่านใช้สิทธิในทางปกติไม่ได้ ท่านสามารถร้องเรียนเรื่องไปทาง สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ในกรณีผู้ประมวลผลหรือลูกจ้างหรือผู้รับจ้างของผู้ควบคุม ผู้ประมวลผลนั้นฝ่าฝืนหรือไม่ปฎิบัติตามกฎหมาย ได้ที่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล สำนักงานปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม
e-mail : pdpc@mdes.go.th
หรือโทร : 02-142-1033

ทั้งนี้ท่านอาจได้รับการชดใช้ค่าเสียหายทดแทนทางแพ่งจากการแจ้งร้องเรียนนี้ หากมีข้อซักถามเพิ่มเติมหรือต้องการตัวแทนในการดำเนินการทางกฎหมายในเรื่องนี้แทนคุณ โปรดติดต่อเราเพื่อประหยัดเวลาในงานเอกสารและทุนทรัพย์ในการดำเนินคดีของคุณ

หรือ ในแง่ของผู้ประกอบการทางเราสามารถจัดทำ นโยบายหรือเงื่อนไขในการใช้งานเว็บไซต์ของคุณให้ถูกต้องตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ทั้งหมดได้ และในอนาคตเรากำลังพัฒนาปลักอินเพื่อสนับสนุนการทำงานของเว็บไซต์ด้วย PDPA Policy ต่อไป กรุณาติดต่อเราหากท่านมีความสนใจ หรือมีข้อซักถามเกี่ยวกับ PDPA เพิ่มเติม กล่าวที่. NATTAPATFIRM.COM

รับคำปรึกษากฎหมายติดต่อด่วนตลอด 24 ชั่วโมง

ทนายความประจำสนง.