NEWS

เจาะลึกกฎหมาย / ผู้ควบคุมข้อมูลส่วนบุคคล และ ผู้ประมวลผลข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้ประกาศลงในราชกิจจานุเบกษาในวันที่ 27 พฤษภาคม 2562 ที่ผ่านมา มีเนื้อหาครอบคลุมการคุ้มครองข้อมูลส่วนบุคคลของบุคคลธรรมดาที่เก็บรวมรวม ใช้ หรือเปิดเผยโดยผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลอยู่ในราชอาณาจักรไทย รวมไปถึงผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลที่อยู่นอกราชอาณาจักรไทยแต่มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบุคคลที่อยู่ในราชอาณาจักรไทย เนื้อหาในหมวดการคุ้มครองข้อมูลส่วนบุคคล สิทธิของเจ้าของข้อมูลส่วนบุคคล และหมวดอื่นๆนอกเหนือจากหมวด 1 และ 4 จะมีผลบังคับใช้อย่างสมบูรณ์ในวันที่ 27 พฤษภาคม 2563 นี้ โดยพ.ร.บ.ฉบับนี้ได้กำหนดมาตรการคุ้มครองข้อมูลส่วนบุคคล สิทธิของเจ้าของข้อมูลส่วนบุคคล หน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลไว้ พร้อมทั้งกำหนดบทลงโทษกรณีที่มีการละเมิดข้อมูลส่วนบุคคล ทั้งความรับผิดทางแพ่ง โทษทางปกครอง และโทษทางอาญา เช่น การปรับและจำคุก หรือทั้งจำทั้งปรับ

 

ข้อมูลส่วนบุคคลคืออะไร

ข้อมูลส่วนบุคคล (Personal Data) ตามนิยามในมาตรา 6 ของพ.ร.บ.ฉบับนี้ หมายถึง ข้อมูลใดๆก็ตามที่ทำให้สามารถระบุตัวตนของบุคคลผู้เป็นเจ้าของข้อมูล (Data Subject) นั้นได้ไม่ว่าโดยทางตรงหรือทางอ้อม และต้องเป็นข้อมูลเกี่ยวกับบุคคลธรรมดาที่ยังมีชีวิตอยู่เท่านั้น กล่าวคือ ข้อมูลใดๆก็ตามที่ทำให้ผู้ที่ได้รับทราบข้อมูลนี้ไปสามารถบ่งบอกได้ว่าเจ้าของข้อมูลนี้เป็นใคร ไม่ว่าข้อมูลนั้นจะเป็นข้อมูลชัดแจ้งโดยตรง หรือข้อมูลทางอ้อมที่โดยลำพังด้วยตัวเองไม่สามารถระบุตัวตนเจ้าของข้อมูลได้ แต่เมื่อนำมารวมกับข้อมูลอื่นๆทำให้สามารถระบุตัวตนเจ้าของข้อมูลได้ ก็ถือว่าเป็นข้อมูลส่วนบุคคลเช่นเดียวกัน ตัวอย่างเช่น ชื่อ อีเมลส่วนตัว รูปถ่าย เบอร์โทรศัพท์ส่วนตัว เป็นต้น

นอกจากข้อมูลส่วนบุคคลดังกล่าวแล้ว ยังมีข้อมูลส่วนบุคคลอีกประเภทหนึ่งซึ่งเป็นข้อมูลประเภทที่มีความเป็นส่วนตัวและเป็นข้อมูลอ่อนไหว (Sensitive Data) ซึ่งไม่สามารถเก็บรวบรวมได้ เว้นแต่ได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล ข้อมูลอ่อนไหวได้ถูกยกตัวอย่างไว้ในมาตรา 26 กล่าวคือ ข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกัน

 

หากไม่ได้รับความยินยอมก็เก็บข้อมูลไม่ได้

ความยินยอม (Consent) เป็นหลักการสำคัญของพ.ร.บ.ฉบับนี้ มาตรา 19 ระบุไว้โดยชัดแจ้งว่า ผู้ควบคุมข้อมูลส่วนบุคคลไม่สามารถเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคลได้ถ้าไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อน หรือ ณ ขณะที่ทำการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลดังกล่าว ในการขอความยินยอมนั้นต้องกระทำโดยชัดแจ้งโดยอาจจะทำเป็นหนังสือ หรือ ผ่านระบบอิเล็กทรอนิกส์ก็ได้ ต้องมีข้อความที่เข้าใจง่าย อ่านง่าย ไม่ทำให้เข้าใจผิด และ แยกออกมาจากส่วนอื่นโดยชัดแจ้ง นอกจากนี้ ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ และ เปิดเผยข้อมูลส่วนบุคคลด้วย เช่น บริษัทจะเก็บข้อมูลส่วนบุคคลของพนักงานทุกคนเพื่อจัดทำทะเบียนลูกจ้างของบริษัท ดังนั้น ในการทำการใดก็ตามที่เกี่ยวกับข้อมูลส่วนบุคคล มีความสำคัญเป็นอย่างยิ่งที่จะต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อน และสามารถกระทำได้เฉพาะภายในขอบเขตที่ได้รับความยินยอมไว้เท่านั้น โดยเฉพาะอย่างยิ่งหากข้อมูลนั้นเป็นข้อมูลอ่อนไหว การขอความยินยอมและเก็บรวบรวมต้องกระทำด้วยความระมัดระวัง ผู้ควบคุมข้อมูลต้องแจ้งวัตถุประสงค์ของการเก็บรวบรวมอย่างชัดเจน เก็บรวบรวมข้อมูลเท่าที่จำเป็น และต้องได้รับความยินยอมอย่างชัดแจ้งเท่านั้น

อย่างไรก็ตาม พ.ร.บ.ฉบับนี้ได้มีการระบุข้อยกเว้นในบางกรณีที่ทำให้สามารถเก็บรวบรวม ใช้ หรือ เผยแพร่ข้อมูลส่วนบุคคลได้โดยไม่ต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลถ้าเป็นไปตามกรณีที่กฎหมายกำหนด เช่น

  • เพื่อการทำเอกสารประวัติศาสตร์ จดหมายเหตุ การวิจัย หรือ สถิติ (Historical archives, research or statistic)
  • เพื่อการป้องกันหรือระงับอันตรายต่อชีวิตร่างกายสุขภาพ (Vital Interest)
  • เป็นกรณีจำเป็นเพื่อปฏิบัติหน้าที่ตามสัญญาระหว่างเจ้าของข้อมูลส่วนบุคคลและผู้ควบคุมข้อมูลส่วนบุคคล (Contract)
  • เพื่อประโยชน์สาธารณะ (Public Interest)
  • เป็นการกระทำอันจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล หรือ (Legitimate Interest)
  • เป็นการปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล (Legal Obligation)

ทั้งนี้ ผู้ควบคุมข้อมูลส่วนบุคคลต้องบันทึกการใช้หรือเปิดเผยข้อมูลที่เก็บมาโดยอาศัยข้อยกเว้นนี้ไว้ในรายการที่สามารถตรวจสอบได้ตามมาตรา 39

 

ผู้ควบคุมข้อมูลส่วนบุคคล และ ผู้ประมวลผลข้อมูลส่วนบุคคล

ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามนิยามในมาตรา 6 กล่าวคือ บุคคลที่ทำหน้าที่ในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลที่ตนเก็บรวบรวมมาตามวัตถุประสงค์ที่ได้แจ้งไว้ต่อเจ้าของข้อมูลส่วนบุคคล และเป็นผู้ที่มีอำนาจในการตัดสินใจเกี่ยวกับการใช้และเผยแพร่ข้อมูลส่วนบุคคล และจะต้องเป็นผู้รับผิดชอบต่อเจ้าของข้อมูลส่วนบุคคลโดยตรง ตัวอย่างเช่น บริษัทที่ทำการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ในการทำการตลาด, บริษัทที่เก็บรวบรวมข้อมูลส่วนบุคคลเพื่อใช้สร้างบัญชีผู้ใช้งานให้กับเจ้าของข้อมูลส่วนบุคคล, บุคคลธรรมดาผู้ทำการขอข้อมูลส่วนบุคคลของบุคคลอื่นเพื่อใช้ในการส่งของ เป็นต้น

ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ตามนิยามในมาตรา 6 คือ บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล กล่าวคือ บุคคลที่ผู้ควบคุมข้อมูลส่วนบุคคลสั่งให้ทำการเก็บรวบรวม ประมวลผล ใช้ และเปิดเผยข้อมูลส่วนบุคคลได้ และต้องเป็นบุคคลที่กระทำการเกี่ยวกับข้อมูลส่วนบุคคลตามคำสั่งของผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น ไม่สามารถดำเนินการด้วยตัวเองโดยปราศจากคำสั่งของผู้ควบคุมข้อมูลส่วนบุคคลได้ ซึ่งอาจเป็นนิติบุคคลภายนอกที่ผู้ควบคุมข้อมูลส่วนบุคคลว่าจ้างให้ดำเนินการประมวลผลข้อมูลส่วนบุคคลก็ได้ ในการดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลนั้น ผู้ประมวลผลข้อมูลส่วนบุคคลสามารถกระทำการได้ภายในขอบเขตของคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น หากผู้ประมวลผลข้อมูลส่วนบุคคลกระทำการเกินคำสั่ง หรือ กระทำการโดยไม่มีคำสั่งจากผู้ควบคุมข้อมูลส่วนบุคคล กฎหมายจะถือว่าผู้ประมวลผลข้อมูลส่วนบุคคลกลายเป็นผู้ควบคุมข้อมูลส่วนบุคคลเอง ตัวอย่างของผู้ประมวลผลข้อมูลส่วนบุคคล เช่น บริษัทวิจัยการตลาดที่ผู้ควบคุมข้อมูลส่วนบุคคลส่งข้อมูลส่วนบุคคลให้เพื่อทำวิจัยการตลาด บริษัทขนส่งที่ผู้ควบคุมข้อมูลส่วนบุคคลส่งข้อมูลให้เพื่อให้ดำเนินการส่งสินค้า เป็นต้น

 

หน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล และ ผู้ประมวลผลข้อมูลส่วนบุคคล

หน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล

หน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล ได้ระบุไว้ในมาตรา 37, 39 และ 41 โดยมีหน้าที่ที่จะต้องกระทำดังต่อไปนี้

  1. จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูล: ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องวางมาตรการคุ้มครองข้อมูลส่วนบุคคลเพื่อป้องกันไม่ให้ข้อมูลส่วนบุคคลที่เก็บรวบรวมมาสูญหาย หรือถูกเข้าถึงหรือใช้โดยมิชอบจากบุคคลอื่นผู้ไม่ได้รับอนุญาต มาตรการดังกล่าวต้องทันสมัยตามเทคโนโลยี และเป็นไปตามมาตรฐานขั้นต่ำที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจะกำหนดต่อไป
  2. จัดให้มีมาตรการป้องการไม่ให้ผู้อื่นใช้หรือเปิดเผยข้อมูลโดยมิชอบ: ผู้ควบคุมข้อมูลส่วนบุคคลที่ได้ให้ข้อมูลส่วนบุคคลกับบุคคลภายนอก ต้องจัดให้มีมาตรการป้องกันเพื่อไม่ให้บุคคลผู้ได้รับข้อมูลนั้นใช้หรือเปิดเผยข้อมูลที่ได้รับไปโดยมิชอบ
  3. จัดให้มีระบบตรวจสอบเพื่อดำเนินการลบ หรือทำลายข้อมูลส่วนบุคคล: ผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดให้มีระบบตรวจสอบที่สามารถลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวตนได้เมื่อข้อมูลนั้นหมดความจำเป็นที่จะใช้ เกินจำเป็น หรือเมื่อเจ้าของข้อมูลส่วนบุคคลร้องขอให้ลบหรือถอนความยินยอม โดยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลอาจประกาศกำหนดหลักเกณฑ์ในการลบ หรือ ทำลายข้อมูลส่วนบุคคลได้ในอนาคต
  4. แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล: เมื่อมีเหตุการณ์ใดๆที่ละเมิดข้อมูลส่วนบุคคลที่ผู้ควบคุมข้อมูลส่วนบุคคลรวบรวมไว้เกิดขึ้น ผู้ควบคุมข้อมูลส่วนบุคคลต้องรีบแจ้งเหตุดังกล่าวต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายใน 72 ชั่วโมงนับแต่เมื่อทราบเหตุดังกล่าว
  5. แต่งตั้งตัวแทนในราชอาณาจักร: ถ้าผู้ควบคุมข้อมูลส่วนบุคคลอยู่นอกประเทศไทย ผู้ควบคุมส่วนบุคคลต้องแต่งตั้งตัวแทนของตนในประเทศไทย โดยต้องแต่งตั้งเป็นหนังสือ ตัวแทนต้องอยู่ในประเทศไทยและต้องได้รับมอบอำนาจให้กระทำการแทนผู้ควบคุมข้อมูลส่วนบุคคลโดยไม่มีข้อจำกัดความรับผิดใดๆเกี่ยวกับข้อมูลส่วนบุคคลตามวัตถุประสงค์ของผู้ควบคุมข้อมูลส่วนบุคคล
  6. จัดทำบันทึกรายการ (มาตรา 39): ผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดทำรายการในรูปแบบหนังสือหรือรูปแบบอิเล็กทรอนิกส์เพื่อให้เจ้าของข้อมูลส่วนบุคคลหรือสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลสามารถตรวจสอบได้ โดยต้องจดบันทึกรายการเกี่ยวกับข้อมูลที่เก็บรวบรวม, วัตถุประสงค์ของการเก็บรวบรวม, ข้อมูลของผู้ควบคุมข้อมูลส่วนบุคคล, ระยะเวลาเก็บรักษาข้อมูล, สิทธิและวิธีการเข้าถึงข้อมูล, เงื่อนไขของผู้มีสิทธิเข้าถึงข้อมูลและการเข้าถึงข้อมูล, การเก็บรวมรวบ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมตามข้อยกเว้นที่กฎหมายกำหนด, การปฏิเสธการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล, และ คำอธิบายมาตรการรักษาความปลอดภัยของข้อมูล ทั้งนี้ หน้าที่ในข้อนี้ไม่นำมาบังคับใช้กับกิจการขนาดเล็ก ที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจะกำหนดคุณสมบัติต่อไป
  7. จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer): หากผู้ควบคุมข้อมูลส่วนบุคคลต้องดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลเป็นจำนวนมากโดยดำเนินการอย่างสม่ำเสมอ หรือ กิจกรรมธุรกิจหลักของผู้ควบคุมข้อมูลส่วนบุคคลเป็นกิจกรรมเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้นหรือเป็นหน่วยงานของรัฐที่ประกาศกำหนด ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลด้วย โดยเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลจะมีหน้าที่ในการรักษาความลับข้อมูลส่วนบุคคล, ให้คำแนะนำเกี่ยวกับข้อมูลส่วนบุคคลแก่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผล หรือลูกจ้างที่เกี่ยวข้องของผู้ควบคุมข้อมูลส่วนบุคคล, ตรวจสอบการดำเนินงานของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลให้เป็นไปตามกฎหมาย, และประสานงานให้ความร่วมมือกับทางราชการด้วย ทั้งนี้ พ.ร.บ. ฉบับนี้ได้ให้ความคุ้มครองต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลว่า ผู้ควบคุมข้อมูลส่วนบุคคลจะไม่สามารถเลิกจ้างเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลอันเนื่องมาจากการปฏิบัติหน้าที่ตามพ.ร.บ. นี้ไม่ได้

 

หน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคล

หน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล ได้ระบุไว้ในมาตรา 40 โดยมีหน้าที่ที่จะต้องกระทำดังต่อไปนี้

  1. ดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลตามคำสั่งของผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น: ในการเก็บรวบรวม ใช้ ประมวลผล หรือ เผยแพร่ข้อมูลส่วนบุคคลของผู้ประมวลผลข้อมูลส่วนบุคคลนั้นจะต้องกระทำภายใต้คำสั่งของผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น โดยต้องกระทำภายในขอบเขตคำสั่งที่ได้รับมา หากกระทำเกินกว่าขอบเขตคำสั่ง หรือ กระทำโดยไม่มีคำสั่ง จะถือว่าผู้ประมวลผลข้อมูลส่วนบุคคลเป็นผู้ประมวลผลข้อมูลส่วนบุคคล อย่างไรก็ตาม หากคำสั่งที่ได้รับมานั้นขัดข้อกฎหมาย ผู้ประมวลผลข้อมูลส่วนบุคคลมิต้องปฏิบัติตามคำสั่งดังกล่าว
  2. จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลที่เหมาะสม: หน้าที่ในการจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลในส่วนนี้จะเหมือนกับของผู้ควบคุมข้อมูลส่วนบุคคล แต่หากเกิดกรณีการละเมิดข้อมูลส่วนบุคคลเกิดขึ้น ผู้ประมวลผลข้อมูลส่วนบุคคลจะต้องแจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบถึงการละเมิดดังกล่าวด้วย
  3. จัดทำและเก็บรักษาบันทึกรายการการประมวลผลข้อมูลส่วนบุคคล: หน้าที่การจัดทำบันทึกตามข้อนี้มิใช่กรณีตามมาตรา 39 ซึ่งเป็นหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคลจะต้องจัดทำบันทึกรายละเอียดของการประมวลผลข้อมูลส่วนบุคคลที่ตนได้ทำไป โดยหลักเกณฑ์และวิธีการทำจะถูกกำหนดโดยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลต่อไป
  4. หน้าที่ในการจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล: เช่นเดียวกันกับหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล หากผู้ประมวลผลข้อมูลส่วนบุคคลเข้าเกณฑ์ที่ระบุไว้ ก็จะต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลเช่นเดียวกันกับผู้ควบคุมข้อมูลส่วนบุคคล

 

 

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นความพยายามในการคุ้มครองข้อมูลส่วนบุคคลของประชาชนชาวไทยและจะส่งผลกระทบอย่างมากต่อการดำเนินธุรกิจของทุกบริษัท ดังนั้น บริษัททั้งหลายควรตรวจสอบระบบภายในของตนว่าได้มีระบบการปฏิบัติการเกี่ยวกับข้อมูลส่วนบุคคลตามหน้าที่ที่กฎหมายกำหนดแล้วหรือไม่ หากเกิดการละเมิดข้อมูลส่วนบุคคลหรือไม่ปฏิบัติตามพ.ร.บ.ฉบับนี้ อาจจะต้องรับผิดชอบทั้งความรับผิดในทางแพ่ง เช่น ค่าสินไหมทดแทนความเสียหายที่แท้จริง และ ค่าสินไหมทดแทนเพื่อการลงโทษสูงสุดถึงสองเท่าของค่าสินไหมทดแทนที่แท้จริง ในทางอาญามีโทษจำคุกสูงสุดไม่เกิน 1 ปี หรือ ปรับสูงสุดไม่เกิน 1,000,000 บาท หรือทั้งจำทั้งปรับ นอกจากนี้ ยังต้องรับผิดในโทษทางปกครองซึ่งอาจถูกปรับได้สูงสุดถึง 5,000,000 บาท พ.ร.บ.ฉบับนี้จึงเป็นกฎหมายที่มีบทลงโทษที่เยอะและค่อนข้างรุนแรงในระดับหนึ่ง เนื่องด้วยกฎหมายฉบับนี้เพิ่งประกาศใช้ได้ไม่นาน สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจะออกกฎระเบียบเพิ่มเติมที่เกี่ยวข้องกับข้อมูลส่วนบุคคลในอนาคต ผู้ประกอบการทั้งหลายจึงต้องศึกษากฎหมายดังกล่าวอยู่เสมอและเตรียมความพร้อมและพัฒนาระบบและมาตรการต่างๆ เช่น ระบบการเก็บข้อมูล การได้รับความยินยอมจากเจ้าของข้อมูล ทีมงานที่เกี่ยวข้อง เป็นต้น เพื่อรับมือกับการเปลี่ยนแปลงที่จะเกิดขึ้นในไม่ช้านี้และเป็นการคุ้มครองสิทธิของเจ้าของข้อมูลได้อย่างปลอดภัยและมีมาตรฐาน

 

 

Poom Kerdsang

Sunida Mahapiroon