fbpx Skip to content

ไอทีจะถูกฟ้องร้องจากกฏหมาย PDPA ฉบับใหม่หรือเปล่า (วะ?)

ไอทีถูกฟ้องร้อง PDPA (1)

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ที่ออกมาคุ้มครองผู้บริโภค จากการนำข้อมูลส่วนตัวของเราไปใช้งานแบบไม่ได้อนุญาต จากหลากหลายผู้ให้บริการ ทั้งโซเชี่ยลมีเดีย ธนาคาร ประกันภัย หรือแม้กระทั่งกู้เงิน การพนันออนไลน์และอื่นๆ ข้อมูลนี้เป็นหน้าที่รับผิดชอบจากคนเบื้องหลังที่ดูแลข้อมูลคือ พนักงานไอที แล้วอย่างนี้คนทำงานบริษัทที่ดูแลข้อมูล ระบบงานแล้วมีข้อมูลหลุดหรือมีปัญหาถูกฟ้องร้องขึ้นมา ไอทีจะเป็นผู้สมรู้ร่วมคิดที่มีความผิดหรือเปล่านะ

พรบ.คุ้มครองข้อมูลส่วนบุคคล PDPA มีไว้เพื่ออะไร 

ถ้ายกเอานิยามจากราชกิจจานุเบกษามาพลอตลงให้อ่าน คำนิยามของกฏหมายฉบับนี้คือ “การคุ้มครองข้อมูลส่วนบุคคลมีประสิทธิภาพและเพื่อให้มีมาตรการเยียวยาเจ้าของข้อมูลส่วนบุคคลจาก การถูกละเมิดสิทธิในข้อมูลส่วนบุคคลที่มีประสิทธิภาพ” ฉะนั้นพอมาดูไอเดียของการมีฉบับนี้ดูเหมือนจะทำให้เจ้าของข้อมูล Win ที่มีขอบเขตการฟ้องร้องกรณีที่ถูกละเมิด เอาข้อมูลไปใช้โดยไม่ได้ยินยอม

ตัวละครของ PDPA มีใครเป็นตัวละครคนสำคัญบ้าง?

1.ผู้ควบคุมข้อมูลส่วนบุคคล – โดยที่ผู้ควบคุมข้อมูลบุคคลที่ดูข้อกำหนด แจ้งจุดประสงค์ของข้อมูลไปใช้งาน
2.เจ้าของข้อมูลส่วนบุคคล – เป็นคนที่ถูกนำข้อมูลไปใช้งาน ต้องเข้าใจข้อกำหนดการใช้งานทั้งหมดจากผู้ควบคุมข้อมูล
3.ผู้ประมวลผลข้อมูลส่วนบุคคล – เป็นคนที่ต้องเก็บรวบรวมข้อมูลไว้ในที่ปลอดภัย ป้องกันการสูญหาย โดยรับอำนาจมาจากผู้ควบคุมข้อมูลส่วนบุคคลนั่นเอง

ไอทีเกี่ยวอะไรกับ PDPA บริษัท?

ปฏิเสธไม่ได้เลยว่าตัวละครสำคัญของการจัดเก็บข้อมูล ซึ่งกฏหมายฉบับนี้เหมือนเน้นไปทางเก็บข้อมูลทางอิเลกโทรนิคมากกว่ารูปแบบเดิม ผู้ที่ต้องอำนวยความสะดวกในการจัดการข้อมูลต่างๆ นอกจากตำแหน่งแอดมินแล้ว ผู้ที่เป็นโครงสร้างและเบื้่องหลังคือไอทีนั่นเอง ซึ่ง Part การจัดเก็บข้อมูลและความปลอดภัยทางข้อมูลต่างๆ จะขึ้นอยู่กับนโยบายของแต่ละบริษัท แต่สงสัยไหมว่าถ้าเกิดเหตุการณ์ไม่ปกติ เช่น ข้อมูลหลุดออกไปไม่ว่าจะเป็นฝีมือคนใน หรือ แฮกเกอร์เจาะระบบออกไปแล้ว ไอทีที่เป็นเหมือนผู้อำนวยความสะดวกมีสิทธิ์ติดคุกหรือเปล่า

ไอทีติดคุกเรื่องจริงหรือจ้อจี้

1.โทษทางอาญา

จากพระราชบัญญัติฉบับนี้กำหนดโทษไว้สองรูปแบบ คือโทษทางอาญาซึ่งกำหนดบทลงโทษให้กับ ผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งการทำงานของฝ่ายไอทีที่อยู่ภายใต้บริษัท ที่เป็นนิติบุคคล ถ้าหากสิ่งใดที่เกิดความผิดพลาดจากระบบการทำงาน หรือคำสั่งของผู้บังคับบัญชา จะมีบทลงโทษกับนิติบุคคล หรือ “ผู้ควบคุมข้อมูลส่วนบุคคล”

2.โทษทางปกครอง

ฐานะฝ่ายไอทีที่เป็นผู้ประมวลผลข้อมูลส่วนบุคคล จะมีบทลงโทษถ้าหากไม่ได้มีการทำตามผู้ควบคุม ในการเก็บข้อมูล หรือตรวจสอบข้อมูลในระบบอย่างสม่ำเสมอ รวมถึงตรวจสอบการดำเนินงาน ประสานงานสำนักงานในกรณีที่มีปัญหาการเก็บข้อมูลส่วนบุคคล ต้องระวางโทษปรับทางปกครองไม่เกินหนึ่งล้านบาท 

ถึงแม้ว่าทางกฏหมายมีบัญญัติไว้แล้วก็ตาม ในทางปฏิบัติขั้นตอนการดำเนินการหลายอย่างยังคงมีความคลุมเครือ ระหว่างการทำงานที่ได้รับมอบหมายจากผู้คุมข้อมูลส่วนบุคคลแต่เกิดปัญหา หรือ ปัญหาการถูกโจรกรรมข้อมูลแล้วข้อมูลสูญหาย ในกรณีดังกล่าวยังคงเป็นที่ถกเถียงกันอยู่

อย่าเพิ่งตื่นตกใจ

ปัญหาของกฏหมายที่ออกมาใหม่นั้นคือไม่มีกรณีตัวอย่างการตัดสินคดี ฉะนั้นหลายกรณีนั้นก่อนจะเกิดเป็นคดีความจึงจะมีการไกล่เกลี่ย รวมถึงขั้นตอนการสืบหาความผิดนั้นยังคงไม่แน่นอน และผู้ที่เป็นพระเอกในการรับการถูกฟ้องร้องได้ก่อนก็คือตัวองค์กร หรือ ผู้ควบคุมข้อมูล เป็นด่านแรกก่อนเสมอ ทำให้ไอทีที่ทำงานตามนโยบายขององค์กร และการตัดสินใจเรื่องต่างๆก็เป็นความรับผิดชอบของผู้บริหารนั่นเอง สบายใจได้ว่าโอกาสที่คนทำงานต้องมาแบกรับความผิดมีน้อย

สรุป

ถึงมีการเปลี่ยนแปลงทางกฏหมายในการเก็บข้อมูลส่วนบุคคลที่ต้องการความรัดกุมทางการทำงานมากยิ่งขึ้น ซึ่งแนวทางการออกกฏหมาย PDPA ฉบับนี้นั้นเน้นให้ผู้ใช้งานต้องยอมรับสิทธิ์ โดยที่รับทราบกฏและข้อบังคับอย่างถี่ถ้วนเพียงเท่านี้ บริษัทก็สบายใจได้ว่าความเสี่ยงที่บริษัทจะต้องปวดหัวกับการถูกฟ้องร้องคงมีไม่มาก โดย Prospace เรามีบริการทั้งเอกสาร PDPA ที่ถูกต้องตามหลักนิติกรรม หรือ ถ้าไม่มีผู้ติดตั้งบนเว็บไซต์ หรือไอทีที่ติดตั้งระบบ บริการของเรามีทีมที่ปรึกษาสามารถช่วยเหลือได้จนถึงอบรมพนักงานที่เกี่ยวข้องสามารถติดต่อเราโดยแบบฟอร์มด้านล่างนี้เลย

 


Reference : Source