พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนดหน้าที่ขององค์กรในฐานะผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลที่ต้องปฏิบัติเมื่อดำเนินการประมวลผลข้อมูลส่วนบุคคลไว้หลายประการ พร้อมทั้งได้กำหนดมาตรการเพื่อบังคับการให้เป็นไปตามกฎหมายไว้ด้วยกล่าวคือ กำหนดให้องค์กรอาจมีความรับผิดทางแพ่ง โทษทางอาญา และโทษทางปกครอง ในกรณีที่องค์กรปฏิบัติฝ่าฝืนกฎหมาย ซึ่งเป็นการบัญญัติที่สอดคล้องกับกฎหมายอีกหลาย ๆ ฉบับที่ต้องการให้มีมาตรการบังคับเพื่อให้เป็นไปตามกฎหมาย
มาตรการลงโทษหนึ่งที่ถูกกำหนดไว้ใน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ที่มักถูกกล่าวถึงเสมอคือ ความรับผิดทางอาญา ของผู้บริหารนิติบุคคลซึ่งกฎหมายกำหนดขึ้นเพื่อให้ผู้บริหารของนิติบุคคลปฏิบัติหน้าที่ตามกฎหมายด้วยความรับผิดชอบ (accountability) หากมีหน้าที่ในฐานะผู้นำขององค์กรควรสั่งการหรือกระทำการให้สอดคล้องกับกฎหมายก็พึงต้องกระทำ ในขณะเดียวกันก็ต้องไม่เพิกเฉยหรือละเลย ละเว้นไม่สั่งการหรือไม่กระทำการจนเป็นเหตุให้นิติบุคคลนั้นกระทำความผิดอีกด้วย ซึ่งกฎหมายหลาย ๆ ฉบับก็มีมาตรการบังคับในทำนองเดียวกัน ตัวอย่างเช่น มาตรา 77 แห่ง พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 ซึ่งเป็นกฎหมายที่ตราขึ้นในช่วงเวลาเดียวกัน เป็นต้น
ขณะที่ในบริบทของสังคมโลก ก็มีการนำมาตรการลงโทษทางอาญามาใช้เพื่อบังคับการให้เป็นไปตามกฎหมายเช่นเดียวกัน ในโอกาสนี้ สำนักงานฯ ขอยกกรณีศึกษาของ 2 ประเทศ ได้แก่ ประเทศเยอรมนี และประเทศสิงคโปร์มาเปรียบเทียบเพื่อทำความเข้าใจ
ประเทศเยอรมนีเป็นรัฐสมาชิกของสหภาพยุโรปที่มีส่วนสำคัญในการผลักดันให้มี General Data Protection Regulation หรือ GDPR ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศในกลุ่มสหภาพยุโรป และปัจจุบันได้เป็นกฎหมายต้นแบบของหลายๆ ประเทศในการตรากฎหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลซึ่งก็รวมถึง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ของประเทศไทยด้วย
ตาม GDPR นั้นจะไม่มีบทกำหนดโทษทางอาญา มีแต่ค่าปรับทางปกครองในอัตราที่สูงมาก โดยค่าปรับในอัตราสูงสุดจะอยู่ที่ร้อยละ 4 ของผลประกอบการรวมจากทั่วโลก (ไม่ใช่เฉพาะแต่ผลประกอบการในสหภาพยุโรป) แต่การที่ GDPR ไม่มีบทกำหนดโทษทางอาญาไม่ใช่ว่าสหภาพยุโรปจะเห็นว่ากฎหมายคุ้มครองข้อมูลส่วนบุคคลไม่ควรมีโทษทางอาญา แต่เพราะว่า การลงโทษทางอาญา ไม่อยู่ในขอบอำนาจของสหภาพยุโรป ดังนั้น กฎหมายของสหภาพยุโรป จึงไม่มีโทษทางอาญา
อย่างไรก็ตาม การกำหนดโทษทางอาญายังคงเป็นอำนาจของรัฐสมาชิก รัฐสมาชิกสามารถกำหนดมาตรการเพิ่มเติมเท่าที่ไม่ขัดหรือแย้งกับ GDPR เพื่อให้กฎหมายมีผลใช้บังคับได้ ในประเทศเยอรมนีที่มีการตรา Federal Data Protection Act 2017 (BDSG) ขึ้น ก็มีการกำหนดโทษทางอาญาไว้ในมาตรา 42 ของกฎหมายดังกล่าวโดยกำหนดโทษจำคุกไว้ไม่เกิน 3 ปีหรือปรับในกรณีที่กระทำผิดเงื่อนไขเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด
ในขณะที่ประเทศสิงคโปร์ ได้มีการแก้ไขกฎหมายคุ้มครองข้อมูลส่วนบุคคลตาม Personal Data Protection (Amendment) Act 2020 (No. 40 of 2020) มีผลใช้บังคับเมื่อวันที่ 1 กุมภาพันธ์ 2564 โดยเพิ่มเติมบทบัญญัติว่าด้วยความรับผิดทางอาญา ไว้ 3 กรณี ได้แก่
(1)การเปิดเผยข้อมูลส่วนบุคคลโดยไม่ชอบด้วยกฎหมาย (Singapore PDPA section 48D)
(2)การใช้ข้อมูลส่วนบุคคลโดยไม่ชอบด้วยกฎหมายและทำให้ได้มาซึ่งผลประโยชน์หรือทำให้เกิดความเสียหายต่อบุคคล (Singapore PDPA section 48E)
(3)การระบุกลับอัตลักษณ์ของบุคคล (re-identification) โดยไม่ชอบด้วยกฎหมาย (Singapore PDPA section 48F)
นอกจากนี้ ในการแก้ไขดังกล่าวยังได้กำหนดด้วยว่าในกรณีที่การกระทำความผิดตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลเกิดจากการกระทำความผิดของนิติบุคคล ให้กรรมการหรือผู้บริหารของนิติบุคคลมีความรับผิดด้วยหากการกระทำผิดนั้นเกิดจากการกระทำหรือการงดเว้นกระทำของกรรมการหรือผู้มีอำนาจ (SG PDPA section 52) โดยความรับผิดทางอาญานั้นมีโทษปรับไม่เกิน 5,000 เหรียญสิงคโปร์ หรือโทษจำคุกไม่เกิน 2 ปี หรือทั้งจำทั้งปรับ
ซึ่งหากพิจารณาความรับผิดทางอาญาตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ เทียบกับกฎหมายของสิงคโปร์จะพบว่าขอบเขตความรับผิดทางอาญาของไทยตามาตรา 79 และมาตรา 80 นั้นแคบกว่ากฎหมายของประเทศสิงคโปร์ โดยเฉพาะความรับผิดทางอาญาตามาตรา 79 ต้องเป็นกรณีที่เกี่ยวเนื่องกับการประมวลผลข้อมูลส่วนบุคคลตามาตรา 26 (ข้อมูลส่วนบุคคลอ่อนไหว) โดยไม่ชอบด้วยกฎหมายเท่านั้นอีกทั้งในส่วนของโทษจำคุกก็กำหนดไว้น้อยกว่า กล่าวคือ จำคุกไม่เกิน 6 เดือน หรือ 1 ปี และต้องการเจตนาพิเศษในทางกฎหมายอาญาประกอบด้วยหากจะให้กรรมการ หรือผู้บริหารของนิติบุคคลต้องรับผิด
สำนักงานฯ จึงขอถือโอกาสนี้สื่อสารไปยังสาธารณะเกี่ยวกับข้อกังวลที่ว่าพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ มีการกำหนดโทษทางอาญาทั้ง ๆ ที่ GDPR ที่เป็นกฎหมายต้นแบบไม่ได้กำหนดไว้ หรือประเทศสิงคโปร์ไม่ได้กำหนดไว้ แต่กฎหมายไทยกำหนดโทษและความรับผิดไว้สูงเกินกว่านานาอารยประเทศที่ใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลมาก่อนประเทศไทยอาจจะยังเป็นความเข้าใจที่คลาดเคลื่อนอยู่จากข้อเท็จจริงและข้อกฎหมายที่ใช้บังคับอยู่ในปัจจุบัน.
_________
สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
https://www.bangkokbiznews.com/columnist/1001604