ถอดบทเรียนจากคำสั่งปรับ 7 ล้านบาทตาม PDPA

เมื่อวันที่ 21 สิงหาคม 2567 สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ได้เผยแพร่คำสั่งของคณะกรรมการผู้เชี่ยวชาญ (กชช.) คณะที่ 2 ในกรณีมีคำสั่งลงโทษปรับทางปกครองบริษัทแห่งหนึ่งเป็นเงินจำนวน 7 ล้านบาท

          อันเนื่องมาจากการปฏิบัติฝ่าฝืนหน้าที่ขององค์การในฐานะผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งถือเป็นการลงโทษปรับทางปกครองครั้งแรกตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA

          ในวันนี้ ผู้เขียนจึงอยาก ถือโอกาสพาผู้อ่านทุกท่านมาเรียนรู้ถึงกลไกการใช้บังคับ PDPA และหน้าที่ต่าง ๆ ขององค์กรตามที่ PDPA กำหนดในส่วนที่เกี่ยวเนื่องกับคำสั่งลงโทษปรับทางปกครองในกรณีดังกล่าว

 

          ตาม PDPA กำหนดให้ กชช. มีหน้าที่และอำนาจในการพิจารณาเรื่องร้องเรียนตาม PDPA รวมทั้งตรวจสอบการกระทำใด ๆ ของผู้ควบคุมข้อมูลส่วนบุคคล (องค์กรต่าง ๆ ทั้งรัฐและเอกชน) เกี่ยวกับข้อมูลส่วนบุคคลที่ก่อให้เกิดความเสียหายแก่เจ้าของข้อมูลส่วนบุคคล

          โดยกำหนดให้เจ้าของข้อมูลส่วนบุคคล (ประชาชน/ผู้ใช้บริการ) มีสิทธิร้องเรียนในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลที่ฝ่าฝืนหรือไม่ปฏิบัติตาม PDPA ได้

          ซึ่งจากกรณีพฤติกรรมการกระทำความผิดตามที่ปรากฎในข่าวอันนำไปสู่การกำหนดค่าปรับทางปกครองเป็นเงินจำนวน 7 ล้านบาทนั้น เกิดจากการกระทำความผิด 3 ประการ กล่าวคือ

1. มาตรการรักษาความมั่นคงปลอดภัย:

          องค์กรมีหน้าที่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ

          และต้องทบทวนมาตรการดังกล่าวเมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม (มาตรา 37 (1))

          โดยองค์กรมีหน้าที่ต้องจัดให้มีมาตรการเชิงองค์กร (organizational measures) และมาตรการเชิงเทคนิค (technical measures) ที่เหมาะสม ซึ่งอาจรวมถึงมาตรการทางกายภาพ (physical measures) ที่จำเป็นด้วย โดยคำนึงถึงระดับความเสี่ยงตามลักษณะและวัตถุประสงค์ของการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ตลอดจนโอกาสเกิดและผลกระทบจากเหตุการละเมิดข้อมูลส่วนบุคคล

          บทกำหนดโทษ ต้องระวางโทษปรับทางปกครองไม่เกิน 3 ล้านบาท (มาตรา 83)

2.การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล:

          องค์กรมีหน้าที่แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่ สคส. โดยไม่ชักช้าภายใน  72 ชั่วโมงนับแต่ทราบเหตุเท่าที่จะสามารถกระทำได้ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล

          ในกรณีที่การละเมิดมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ให้แจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อมกับแนวทางการเยียวยาโดยไม่ชักช้าด้วย

          โดยองค์กรอาจชี้แจงเหตุผลความจำเป็นและรายละเอียดที่เกี่ยวข้องเพื่อแสดงให้เห็นว่ามีเหตุจำเป็นที่ไม่อาจหลีกเลี่ยงได้ที่ทำให้แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลล่าช้า โดยจะต้องแจ้งแก่สคส. โดยเร็ว ทั้งนี้ ต้องไม่เกิน 15 วันนับแต่ทราบเหตุ

          บทกำหนดโทษ ต้องระวางโทษปรับทางปกครองไม่เกิน 3 ล้านบาท (มาตรา 83)

 

3. การแต่งตั้ง DPO:

          ผู้ควบคุมข้อมูลส่วนบุคคลที่การดำเนินกิจกรรมของตน จำเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่ำเสมอ โดยเหตุที่มีข้อมูลส่วนบุคคลเป็นจำนวนมาก มีหน้าที่ต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของตน (มาตรา 41 (2))

          โดยการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ซึ่งเป็นส่วนหนึ่งของกิจกรรมหลัก (core activities) โดยมีจำนวนเจ้าของข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตั้งแต่  1 แสนรายขึ้นไป ให้ถือเป็นกรณีที่มีข้อมูลส่วนบุคคลเป็นจำนวนมาก (on a large scale) 

          บทกำหนดโทษ ต้องระวางโทษปรับทางปกครองไม่เกิน 1 ล้านบาท (มาตรา 85)

          รายละเอียดเกี่ยวกับหน้าที่ขององค์กรต่าง ๆ ใน 3 กรณีข้างต้นมีประกาศของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจำนวนอย่างน้อย 3 ฉบับที่กำหนดหลักเกณฑ์และรายละเอียดต่าง ๆ ไว้เพื่อให้องค์กรต่าง ๆ ดำเนินการและถือปฏิบัติอย่างเคร่งครัด

          ซึ่งหากพิจารณาจากบทกำหนดโทษที่ กชช. กำหนดในกรณีนี้ ผู้เขียนเข้าใจว่า กชช. มีความเห็นว่าการกระทำของหน่วยงานดังกล่าวเป็น กรณีร้ายแรง หรือคำสั่งให้แก้ไขและตักเตือนไม่เป็นผล รวมทั้งไม่มีเหตุบรรเทาโทษต่าง ๆ ตามกฎหมายกำหนดจึงมีคำสั่งลงโทษปรับทางปกครองในอัตราสูงสุดสำหรับความผิดในแต่ละมาตรา

          องค์ประกอบสำคัญในทางกฎหมายที่ทำให้ กชช. สามารถกำหนดค่าปรับได้ในครั้งนี้ ส่วนหนึ่งมาจากประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์การพิจารณาออกคำสั่งลงโทษปรับทางปกครองของคณะกรรมการผู้เชี่ยวชาญ (ฉบับที่ 2) พ.ศ. 2567 ที่ให้ยกเลิกความในข้อ 9 (2) ของประกาศฉบับเดิม ดังนี้

 

          ให้คณะกรรมการผู้เชี่ยวชาญมีคำสั่งลงโทษปรับทางปกครองแก่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลหรือบุคคลที่เกี่ยวข้อง ตามระเบียบและบัญชีค่าปรับที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกำหนด

          โดยคำนึงถึงความร้ายแรงและพฤติการณ์อื่นในการลงโทษปรับทางปกครองตามที่เห็นสมควร และอาจมีคำสั่งตาม (1) (ก) (ข) หรือ (ค) ด้วยก็ได้ การตัดคำว่า ตามระเบียบและบัญชีค่าปรับที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกำหนด

          ทำให้ในการกำหนดค่าปรับทางปกครองสามารถดำเนินการได้โดยไม่ต้องใช้ระเบียบและบัญชีค่าปรับ (ซึ่งที่ผ่านมามีอุปสรรคหลายประการทำให้ไม่สามารถออกระเบียบและบัญชีค่าปรับได้) โดยประกาศฯ (ฉบับที่ 2) ดังกล่าว มีผลนับตั้งแต่วันที่ 9 พฤษภาคม 2567 เป็นต้นมา

          ซึ่งนอกจากการกำหนดค่าปรับทางปกครองเป็นเงิน 7 ล้านบาทดังกล่าวแล้ว กชช. ยังมีคำสั่งกำหนดเงื่อนไข ให้มีการปรับปรุงบุคลากร (people) กระบวนการ (process) และเทคโนโลยี (technology) ให้มีประสิทธิภาพและความเหมาะสมตามที่ กชช. กำหนดอีกด้วย.