ปัจจุบันระบบสารสนเทศได้ถูกพัฒนาก้าวหน้าไปอย่างมาก จึงเป็นสาเหตุให้ส่งผลกระทบหรือเกิดการล่วงละเมิดต่อข้อมูลที่มีความสำคัญในส่วนต่างๆ ได้อย่างง่าย โดยเฉพาะข้อมูลส่วนบุคคลทั้งที่เปิดเผยได้และข้อมูลที่ไม่สามารถเปิดเผยได้ เนื่องจากข้อมูลบางประเภทเป็นข้อมูลที่เจ้าของข้อมูลไม่ประสงค์จะเปิดเผยต่อสาธารณชนหรือต่อบุคคลอื่น เพราะอาจจะส่งผลกระทบต่อบุคคลหรือองค์กรที่เป็นเจ้าของข้อมูลได้ การคุ้มครองข้อมูลส่วนบุคคลมีสาเหตุหลักก็เนื่องมาจากกรณีสหภาพยุโรป (European Union : EU) ได้มีข้อกำหนดเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลตั้งแต่วันที่ ๒๕ พฤษภาคม พ.ศ. ๒๕๖๑ ซึ่งจะมีผลกระทบในเรื่องการค้าระหว่างประเทศ ประเทศไทยในฐานะประเทศคู่ค้ากับ EU และหรือสังคมระหว่างประเทศที่มีความสัมพันธ์ในระหว่างกัน หากผู้ประกอบการหรือผู้เกี่ยวข้องทั้งที่เป็นเจ้าของข้อมูลเอง หรือมีการเก็บรักษาและใช้ข้อมูลทั้งของตนเองหรือข้อมูลของบุคคลอื่น ได้ใช้ข้อมูลดังกล่าวทำให้ความเสียหายเกิดขึ้น จึงมีความจำเป็นที่ต้องรับทราบขอบเขต ระบบควบคุม ระบบยืนยันตัวตน รวมถึงการกำหนดนโยบายสำหรับองค์กร ดังนั้นข้อมูลส่วนบุคคลที่มีการใช้และเก็บรักษาที่สามารถแยกแยะข้อมูลว่าเจ้าของข้อมูลคือบุคคลใด อาจมีการใช้ติดตามบุคคลนั้นหรือเชื่อมโยงข้อมูลอื่นๆ ที่เกี่ยวข้องได้ เช่น บัญชีออนไลน์, การทำธุรกรรมต่างๆ ทางอิเล็กทรอนิกส์ กฎหมายคุ้มครองข้อมูลส่วนบุคคลจึงเป็นสิ่งจำเป็นอย่างมากในปัจจุบันกับ “เจ้าของข้อมูล” ที่จะคุ้มครองการใช้หรือเปิดเผยข้อมูลโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลก่อนนำไปใช้หรือเปิดเผย

ประเทศไทยจึงได้ริเริ่มมีกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่มีการล่วงละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคล ข้อมูลส่วนบุคคลเป็นเรื่องใกล้ตัวและมีความสำคัญต่อบุคคล การนำข้อมูลส่วนบุคคลไปใช้โดยไม่ได้รับความยินยอมอาจสร้างความเดือดร้อนหรือความเสียหายให้กับเจ้าของข้อมูลส่วนบุคคลได้ สอดคล้องกับความก้าวหน้าของเทคโนโลยีสารสนเทศในการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ที่เป็นการล่วงละเมิดที่ทำได้โดยง่าย สะดวก รวดเร็ว ก่อให้เกิดความเสียหายกับเศรษฐกิจของประเทศโดยรวม จึงได้มีกฎหมายที่คุ้มครองข้อมูลส่วนบุคคลเป็นการทั่วไป โดยกำหนดหลักเกณฑ์ กลไก รวมทั้งมาตรการกำกับดูแล ได้แก่ “พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒” โดยมีผลบังคับใช้ตั้งแต่วันที่ ๒๘ พฤษภาคม ๒๕๖๒ เป็นต้นมา  ทั้งนี้เพื่อให้เป็นไปตามที่กฎหมายรัฐธรรมนูญกำหนดไว้ ในการจำกัดสิทธิเสรีภาพของบุคคลโดยข้อกำหนดของกฎหมายเป็นเรื่องๆ ไป ให้มีมาตรการทางกฎหมายอย่างมีประสิทธิภาพ และการเยียวยาเจ้าของข้อมูลส่วนบุคคลจากการถูกละเมิดสิทธิในข้อมูลอย่างครอบคลุมทุกด้านอย่างทันท่วงที

ข้อกำหนดในกฎหมายฉบับนี้ ใช้กับการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล โดยผู้ควบคุมหรือผู้ประมวลผลในกิจกรรมกับเจ้าของข้อมูลตามมาตรา ๕ ได้แก่

1. การเสนอสินค้าหรือบริการให้กับเจ้าของข้อมูล หรือ
2. การเฝ้าติดตามพฤติกรรมของเจ้าของข้อมูล

ทั้งนี้ “ผู้ควบคุมข้อมูลส่วนบุคคล” เป็นศัพท์ใหม่ซึ่งหมายถึง บุคคลธรรมดาหรือนิติบุคคล ที่มีอำนาจตัดสินใจเกี่ยวกับการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ส่วนคำว่า “ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายถึง บุคคลธรรมดาหรือนิติบุคคลที่ดำเนินการเกี่ยวกับการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลดังกล่าวข้างต้น โดยสรุปก็คือมีบุคคลที่เกี่ยวข้องกับเจ้าของข้อมูล ๒ ส่วน ได้แก่ ผู้ควบคุม กับ ผู้ประมวลผล ในเรื่องของการจัดเก็บและเผยแพร่ข้อมูลต้องเป็นไปด้วยความยินยอมของเจ้าของข้อมูลอย่างชัดเจน โดยจัดทำเป็นหนังสือหรือทำผ่านระบบอิเล็กทรอนิกส์ก็ได้ แต่มีเงื่อนไขเรื่องเวลาว่าจะต้องดำเนินการเกี่ยวกับการยินยอมของเจ้าของข้อมูลก่อนหรือในขณะที่จะใช้ข้อมูลส่วนบุคคลนั้น นอกจากนั้นกฎหมายยังกำหนดรายละเอียดสำหรับการแจ้งในเรื่องต่างๆ ให้กับเจ้าของข้อมูล ได้แก่ วัตถุประสงค์, การแจ้งข้อมูลให้เป็นไปตามกฎหมาย, ผลกระทบ, การเก็บและระยะเวลาในการเก็บ, ประเภทหรือหน่วยงานที่ต้องเปิดเผย, สถานที่และการติดต่อ รวมไปถึงสิทธิต่างๆ ของเจ้าของข้อมูลที่กฎหมายนี้กำหนดในหมวด ๓ เกี่ยวกับสิทธิของเจ้าของข้อมูลส่วนบุคคลตั้งแต่มาตรา ๓๐ – ๔๒

ถือได้ว่าเป็นเรื่องใหม่เกี่ยวกับโทษหรือความรับผิดชอบในกฎหมายฉบับนี้ ซึ่งมีกำหนดไว้ทั้งความรับผิดชอบทางแพ่ง โทษทางอาญา และโทษทางปกครอง (หมวด ๖ และ หมวด ๗) ซึ่งเป็นเรื่องที่ดีสำหรับกฎหมายที่มีวัตถุประสงค์ในการคุ้มครองข้อมูลส่วนบุคคลที่เป็นเรื่องละเอียดอ่อน ที่จะทำให้การบังคับใช้กฎหมายเป็นไปได้อย่างมีประสิทธิภาพ ดังจะเห็นได้ว่ามีบทกฎหมายกำหนดให้ทั้งผู้ควบคุมหรือผู้ประมวลผลข้อมูลส่วนบุคคลต้องชดใช้ค่าสินไหมทดแทนให้กับเจ้าของข้อมูลส่วนบุคคล ที่ดำเนินการด้วยประการใดๆ ที่ไม่เป็นไปตามที่กฎหมายกำหนด ทำให้เกิดเสียหายต่อเจ้าของข้อมูล เว้นไว้แต่เป็นเรื่องเหตุสุดวิสัย หรือเกิดจากการกระทำ หรือละเว้นการกระทำของเจ้าของข้อมูลส่วนบุคคลนั่นเอง หรือเป็นการปฏิบัติตามคำสั่งของเจ้าหน้าที่ซึ่งปฏิบัติการตามหน้าที่ และอำนาจตามกฎหมาย (มาตรา ๗๗) ประกอบกับให้อำนาจศาลลงโทษเพิ่มขึ้นได้ไม่เกิน ๒ เท่า จากจำนวนค่าสินไหมที่แท้จริงได้ตามที่ศาลเห็นสมควร โดยคำนึงถึงพฤติการณ์ต่างๆ อันประกอบด้วย เช่น ความร้ายแรงของความเสียหายที่ได้รับ, สถานะทางการเงิน, การบรรเทาความเสียหายที่เกิดขึ้น หรือเจ้าของข้อมูลมีส่วนในการก่อให้เกิดความเสียหายอีกด้วย

สำหรับโทษทางอาญา กำหนดโทษสำหรับผู้ควบคุมข้อมูลส่วนบุคคลที่ใช้หรือเปิดเผยข้อมูลส่วนบุคคล โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล (มาตรา ๒๗) หรือกรณี ส่งหรือโอนข้อมูลไปยังต่างประเทศ ไม่เป็นไปตามหลักเกณฑ์ที่กฎหมายกำหนด เพื่อแสวงหาประโยชน์ที่มิควรได้โดยชอบด้วยกฎหมายสำหรับตนเองหรือผู้อื่น (มาตรา ๒๘) มีโทษจำคุกไม่เกิน ๑ ปี หรือปรับไม่เกิน ๑,๐๐๐,๐๐๐ บาท หรือทั้งจำทั้งปรับ รวมไปถึงโทษกับผู้ที่รู้ข้อมูลแล้วนำไปเปิดเผยแพร่ต่อผู้อื่น (มาตรา ๘๐) มีโทษจำคุกไม่เกิน ๖ เดือน หรือปรับไม่เกิน ๕๐๐,๐๐๐ บาท หรือทั้งจำทั้งปรับ ซึ่งโทษทางอาญาสำหรับผู้กระทำความผิดที่เป็นนิติบุคคลนั้น กรรมการหรือผู้จัดการจะต้องเป็น ผู้รับผิดชอบและต้องได้รับโทษทางอาญาสำหรับความผิดนั้นไปด้วย

ในส่วนโทษทางปกครองที่เป็นเรื่องใหม่ของกฎหมายฉบับนี้ จะเป็นกรณีใช้โทษปรับทางปกครองกับผู้กระทำความผิด หรือฝ่าฝืนไม่ปฏิบัติตามกฎหมายฉบับนี้ ซึ่งมีระวางโทษปรับทางปกครองสูงสุดถึง ๕,๐๐๐,๐๐๐ บาท ขึ้นอยู่กับความร้ายแรงแห่งพฤติกรรมที่กระทำผิด ขนาดของกิจการ หรือพฤติการณ์อื่นๆ ประกอบด้วยในการพิจารณา ซึ่งหากผู้กระทำความผิดไม่ชำระโทษปรับทางปกครองแล้ว ก็จะต้องดำเนินการยึดหรืออายัดทรัพย์สินขายทอดตลาดเพื่อชำระค่าปรับทางปกครองต่อไป จะเห็นได้ว่ากฎหมายคุ้มครองข้อมูลฉบับนี้เป็นมาตรการที่ภาครัฐใช้คุ้มครองข้อมูลส่วนบุคคลให้ได้อย่างมีประสิทธิภาพมากยิ่งขึ้นกว่าเดิม ดังนั้นผู้ประกอบการภาคอุตสาหกรรมที่ใช้งานที่เกี่ยวข้องกับข้อมูลส่วนบุคคลจะต้องพิจารณาตรวจสอบหลักเกณฑ์และโทษตามที่กฎหมายกำหนดให้ถี่ถ้วน หากเกิดความผิดพลาดขึ้นกับข้อมูลส่วนบุคคล อาจก่อให้เกิดความยุ่งยากตามมาในภายหลัง

ทั้งนี้ เมื่อวันที่ 20 พฤษภาคม 2563 ได้มีพระราชกฤษฎีกากำหนดหน่วยงานและกิจการที่ผู้ควบคุมข้อมูลส่วนบุคคลไม่อยู่ภายใต้บังคับแห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ ฯ กำหนดยกเว้นให้หน่วยงานภาครัฐและภาคองค์กรธุรกิจรวม 22 กิจการไม่ต้องอยู่ภายใต้กฎหมายฉบับนี้ในช่วงวันที่ ๒๗ พฤษภาคม ๒๕๖๓ ถึง ๓๑ พฤษภาคม ๒๕๖๔ ได้แก่ หน่วยงานภาครัฐ หน่วยงานของรัฐต่างประเทศและองค์การระหว่างประเทศ  มูลนิธิ สมาคม องค์กรศาสนา และองค์กรไม่แสวงหากำไรกิจการด้านเกษตรกรรม กิจการด้านอุตสาหกรรม กิจการด้านพาณิชยกรรม กิจการด้านการแพทย์และสาธารณสุข กิจการด้านพลังงาน ไอน้ำ น้ำ และการจำกัดของเสียรวมทั้งกิจการที่เกี่ยวข้อง กิจการด้านก่อสร้างกิจการด้านการซ่อมแซมและการบำรุงรักษา กิจการด้านการคมนาคม ขนส่งและการเก็บสินค้า กิจการด้านการท่องเที่ยว กิจการด้านการสื่อสาร โทรคมนาคม คอมพิวเตอร์และดิจิตัล กิจการด้านการเงิน การธนาคาร และการประกันภัย กิจการด้านอสังหาริมทรัพย์ กิจการด้านการประกอบวิชาชีพกิจการด้านการบริหารและบริการสนับสนุน กิจการด้านวิทยาศาสตร์และเทคโนโลยี วิชาการสังคมสงเคราะห์และศิลปะ กิจการด้านการศึกษากิจการด้านความบันเทิงและนันทนาการ กิจการด้านการรักษาความปลอดภัย และกิจการในครัวเรือนและวิสาหกิจชุมขนซึ่งไม่สามารถจำแนกกิจกรรมได้อย่างชัดเจน

ทั้งนี้ยังมีกลุ่มกิจการได้รับการยกเว้นในช่วงเวลาตามมาตรา ๔ เช่น บริษัทข้อมูลเครดิต ถ้าหากในช่วงเวลาดังกล่าวที่ได้รับการยกเว้นสำหรับกิจการทั้ง ๒๒ กิจการ มีการใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่มีเหตุที่ชอบด้วยกฎหมายหรือนอกเหนือไปจากวัตถุประสงค์ที่ได้แจ้ง หรือมีการโอนข้อมูลไปยังต่างประเทศโดยไม่ชอบด้วยกฎหมาย โดยประการที่น่าจะทำให้ผู้อื่นเกิดความเสียหายต่อเชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย ยังไม่ต้องรับผิดทางอาญาตามที่กฎหมายกำหนด และยังไม่ต้องรับผิดชอบในโทษปรับทางปกครองภายใต้ข้อยกเว้น แต่หากมีการใช้หรือเปิดเผยข้อมูลจนก่อให้เกิดความเสียหายต่อเจ้าของข้อมูล ทางเจ้าของข้อมูลยังสามารถที่จะใช้สิทธิในทางแพ่งฟ้องละเมิดเพื่อเรียกร้องค่าเสียหายได้เช่นกัน แต่ทั้งนี้ไม่ได้หมายความว่าผู้ประกอบการต่างๆ จะสามารถกระทำการใดๆ ที่อาจมีความสุ่มเสี่ยงจนกระทั่งถูกดำเนินคดีตามกฎหมายฉบับนี้ เนื่องจากมาตรการทางกฎหมายยังไม่ได้มีการกำหนดรายละเอียดของการดำเนินการในเรื่องต่างๆ อย่างชัดเจน ซึ่งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจะกำหนดขึ้นในภายหลังต่อไป และเมื่อมีมาตรการที่ชัดเจนแล้ว ทางผู้ประกอบการเองก็จะต้องรับมือกับมาตรการทางกฎหมายอย่างทันท่วงที เพื่อให้มีระบบการรักษา การใช้ การเก็บ และเปิดเผยข้อมูลได้อย่างมีมาตรฐานต่อไป

ที่มา : ทีมที่ปรึกษาด้านกฎหมาย