PDPA กับกรณีตัวอย่างการลงโทษทางปกครอง
โดย
|
|
PDPA กับกรณีตัวอย่างการลงโทษทางปกครอง
|
เมื่อเร็ว ๆ นี้ เมื่อคณะกรรมการผู้เชี่ยวชาญภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล คณะที่ 2 (ที่รับพิจารณาเรื่องร้องเรียนเกี่ยวกับเทคโนโลยีดิจิทัลและอื่น ๆ) (“คณะกรรมการฯ”) มีคำสั่งลงวันที่ 31 กรกฎาคม 2567 ให้บริษัทเอกชนแห่งหนึ่ง ปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลอย่างเคร่งครัด พร้อมระบุโทษทางปกครองและค่าปรับรวมสูงถึง 7,000,000 บาท สำหรับเหตุความบกพร่องในการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่เกิดจากการร้องเรียนโดยลูกค้าที่ซื้อสินค้าของบริษัทดังกล่าวผ่านช่องทางออนไลน์ไปแล้วในช่วงตั้งแต่ปี 2563 - 2567 ที่ดำเนินการร้องเรียนตามกลไกพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล และกล่าวอ้างว่ามีคนอ้างเป็นพนักงานของบริษัทดังกล่าวติดต่อเข้ามาลวงทำให้ลูกค้าหลงเชื่อซื้อสินค้าและเกิดความเสียหาย โดยคณะกรรมการฯ มีคำตัดสินให้บริษัทดังกล่าวรับโทษปรับทางปกครอง ภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) และกฎหมายลำดับรอง ใน 3 ประเด็นดังนี้ (1) กรณีไม่แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล สั่งปรับโทษอัตราสูงสุด 1,000,000 บาท (2) กรณีไม่มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม สั่งปรับโทษอัตราสูงสุด 3,000,000 บาท (3) กรณีไม่แจ้งเหตุละเมิดข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด สั่งปรับโทษอัตราสูงสุด 3,000,000 บาท วิเคราะห์ข้อเท็จจริงภายใต้คำตัดสินของคณะกรรมการฯ แม้เป็นข้อมูลส่วนบุคคลที่เก็บมาก่อนกฎหมายคุ้มครองข้อมูลส่วนบุคคลจะมีผลบังคับใช้ แต่ข้อมูลดังกล่าวก็ได้รับความคุ้มครอง เมื่อพิจารณาจากข้อเท็จจริงที่มีการเปิดเผยเป็นสาธารณะเกี่ยวกับคำตัดสินของคณะกรรมการฯ ข้อสังเกตหนึ่งที่น่าสนใจคือ ลูกค้าที่ดำเนินการร้องเรียนในกรณีนี้เป็นลูกค้าที่ซื้อสินค้ากับทางบริษัทผู้ถูกร้องเรียนมาตั้งแต่ปี 2563 ซึ่งเป็นช่วงก่อนที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลจะมีผลบังคับใช้ ดังนั้นจะเห็นได้ว่าแม้จะเป็นข้อมูลส่วนบุคคลที่มีการจัดเก็บ รวบรวม ประมวลผล หรือใช้มาก่อนที่กฎหมายจะมีผลบังคับใช้ แต่หากบริษัทในฐานะผู้ควบคุมข้อมูลส่วนบุคคลยังคงเก็บรักษาข้อมูลส่วนบุคคลดังกล่าวอยู่ บริษัทย่อมยังมีหน้าที่ต้องปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลอยู่เสมอ บทเฉพาะกาลภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล มาตรา 95 เพียงกำหนดไว้ว่า ให้ผู้ควบคุมข้อมูลส่วนบุคคลที่เก็บรวบรวมข้อมูลส่วนบุคคลไว้ก่อนวันที่พระราชบัญญัติจะใช้บังคับ สามารถเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลนั้นต่อไปได้ตามวัตถุประสงค์เท่านั้น ไม่ได้ให้การยกเว้นจากหน้าที่หรือความรับผิดในการประมวลผลข้อมูลส่วนบุคคลดังกล่าวให้ถูกต้องตามพระราชบัญญัติ ดังนั้นแม้จะเป็นลูกค้าที่ซื้อสินค้าจากบริษัทผู้ถูกร้องเรียนเพียงครั้งเดียวในปี 2563 แต่หากได้รับผลกระทบลูกค้าดังกล่าวก็ถือเป็นเจ้าของข้อมูลส่วนบุคคลที่มีสิทธิร้องเรียนภายใต้กรอบของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลได้โดยสมบูรณ์เช่นกัน ต่อมาเมื่อวิเคราะห์ตามข้อเท็จจริงของความบกพร่องที่คณะกรรมการฯ อ้างอิงพิจารณาตัดสินลงโทษบริษัทผู้ถูกร้องเรียนในแต่ละกรณี อาจสรุปได้ดังนี้ (1) ข้อบกพร่องเกี่ยวกับการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ภายใต้กำหนดของมาตรา 41 (2) ผู้ควบคุมข้อมูลส่วนบุคคลที่เก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคลที่จำเป็นต้องตรวจสอบข้อมูลส่วนบุคคล หรือต้องใช้ระบบในการดำเนินการประมวลผลข้อมูลส่วนบุคคลอย่างสม่ำเสมอ โดยเหตุที่มีข้อมูลส่วนบุคคลเป็นจำนวนมาก มีหน้าที่ภายใต้กฎหมายในการที่จะต้องแต่งตั้งและจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ซึ่งเมื่ออ้างอิงจากประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง การจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามมาตรา 41 (2) ที่มีผลบังคับใช้ในวันที่ 13 ธันวาคม 2566 ข้อ 6 การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยมีจำนวนเจ้าของข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม ใช้ หรือเปิดเผยตั้งแต่ 100,000 รายขึ้นไป เป็นการประมวลผลข้อมูลส่วนบุคคลจำนวนมาก ด้วยข้อเท็จจริงที่บริษัทที่ถูกร้องเรียนมีการประมวลผลข้อมูลส่วนบุคคลผู้ซื้อสินค้าทั่วประเทศเป็นจำนวนมากกว่า 100,000 ราย บริษัทจึงมีหน้าที่ตามกฎหมายทันทีภายใต้มาตรา 41 (2) ในการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล และเหตุที่บริษัทไม่ได้แต่งตั้งเจ้าหน้าที่ดังกล่าวแม้มีหน้าที่ ถือเป็นความผิดภายใต้มาตรา 82 เป็นเหตุให้ระวางโทษปรับทางปกครองไม่เกิน 1,000,000 บาท ส่วนอีก 2 ประเด็น ติดตามรายละเอียดต่อได้ในวารสารเอกสารภาษีอากร
จากบทความ ถอดบทเรียน การลงดาบโทษทางปกครองตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลครั้งแรก Section: Laws & News / Column: Business Law อ่านบทความฉบับสมบูรณ์ได้ที่... วารสารเอกสารภาษีอากร ปีที่ 44 ฉบับที่ 517 เดือนตุลาคม 2567 หรือสมัครสมาชิก “วารสารเอกสารภาษีอากร” เพื่อรับสิทธิอ่านและสืบค้นบทความ ผ่านระบบ e- Magazine Index
|
|
|
|
|
|
|