เมื่อถูกละเมิดข้อมูลส่วนบุคคลที่ทำให้เกิดความเสียหาย ต้องฟ้องภายในกี่ปี ? และมีความรับผิดและบทลงโทษตาม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พุทธศักราช 2562 อย่างไร ?

#ข้อมูลส่วนบุคคล คือ ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ เช่น ชื่อ – นามสกุล, เลขประจำตัวประชาชน, ที่อยู่, เบอร์โทรศัพท์, วันเกิด, อีเมล, การศึกษา, เพศ, อาชีพ, รูปถ่าย, ข้อมูลทางการเงิน และรวมถึง ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) เช่น ข้อมูลทางการแพทย์หรือสุขภาพ, ข้อมูลทางพันธุกรรมและไบโอเมทริกซ์, เชื้อชาติ, ความคิดเห็นทางการเมือง, ความเชื่อทางศาสนาหรือปรัชญา, พฤติกรรมทางเพศ, ประวัติอาชญากรรม, ข้อมูลสหภาพแรงงาน เป็นต้น

#ผู้ควบคุมข้อมูลส่วนบุคคล คือ บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจ เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

ต้องฟ้องภายในกี่ปี ?

อายุความฟ้องคดี 3 ปี นับแต่วันที่ผู้เสียหายรู้ถึงความเสียหายและรู้ตัวผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลที่ต้องรับผิด หรือ 10 ปี นับแต่วันที่มีการละเมิดข้อมูลส่วนบุคคล

มีบทลงโทษอย่างไร ? ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล

#ความรับผิดทางแพ่ง ผู้ควบคุมข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคล ที่ทำให้เกิดความเสียหาย ต่อเจ้าของข้อมูลส่วนบุคคล ต้องชดใช้ค่าสินไหมทดแทน ไม่ว่าจะเกิดจากการกระทำโดยจงใจหรือประมาทเลินเล่อหรือไม่ก็ตาม เว้นแต่ จะพิสูจน์ได้ว่า

• เหตุสุดวิสัย หรือเกิดจากการกระทำหรือละเว้นการกระทำโดยเจ้าของข้อมูลส่วนบุคคล
• เป็นการปฏิบัติตามคำสั่งของเจ้าหน้าที่ซึ่งปฏิบัติการตามหน้าที่และอำนาจตามกฎหมาย

#ค่าสินไหมทดแทน นอกจากค่าสินไหมทดแทนที่แท้จริงแล้ว ศาลมีอำนาจสั่งให้จ่ายค่าสินไหมทดแทน เพื่อการลงโทษเพิ่มขึ้นได้ แต่ไม่เกิน 2 เท่า ของค่าสินไหมทดแทนที่แท้จริง

โทษทางอาญา

1. ใช้หรือเปิดเผย ส่งหรือโอนข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) โดยมิชอบด้วยกฎหมาย

• โดยประการที่น่าจะทำให้ผู้อื่นเกิดความเสียหาย จำคุกไม่เกิน 6 เดือน ปรับไม่เกิน 500,000 บาท หรือทั้งจำทั้งปรับ
• เพื่อแสวงหาประโยชน์ที่มิควรได้โดยชอบด้วยกฎหมายสำหรับตนเองหรือผู้อื่น จำคุกไม่เกิน 1 ปี ปรับไม่เกิน 1,000,000 บาท หรือทั้งจำทั้งปรับ

2. ล่วงรู้ข้อมูลส่วนบุคคลเนื่องจากการปฏิบัติหน้าที่ตามกฎหมายนี้ แล้วนำไปเปิดเผยแก่ผู้อื่น โดยมิชอบด้วยกฎหมาย จำคุกไม่เกิน 6 เดือน ปรับไม่เกิน 500,000 บาท หรือทั้งจำทั้งปรับ

3. กรรมการ/ผู้จัดการ/บุคคลใดที่รับผิดชอบ ในการดำเนินงานของนิติบุคคล ต้องร่วมรับผิดด้วยหากมีการสั่งการ/กระทำการ/ละเว้นไม่สั่งการ/ละเว้นไม่กระทำการ จนเป็นเหตุให้นิติบุคคลกระทำความผิด บทลงโทษจะขึ้นอยู่กับฐานความผิด

โทษปรับทางปกครอง

สูงสุดไม่เกิน 5,000,000 บาท กระทำความผิด ที่เป็นการฝ่าฝืนหรือไม่ปฏิบัติตามที่กฎหมายกำหนด เช่น

• ไม่แจ้งวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลให้เจ้าของข้อมูลส่วนบุคคลทราบ
• ขอความยินยอมโดยหลอกลวงเจ้าของข้อมูลส่วนบุคคล

ประกาศสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง ช่องทางการยื่นคำร้องเรียนผ่านช่องทางอิเล็กทรอนิกส์และแบบคำร้องเรียน พุทธศักราช 2566

ช่องทางการยื่นคำร้องเรียน

1. ยื่นโดยตรงต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล โทร. 02-142-1033, 02-141-6993
2. ยื่นผ่านทางไปรษณีย์มายังสำนักงานฯ
3. ยื่นผ่านช่องทางอิเล็กทรอนิกส์หรือช่องทางอื่นตามที่สำนักงานกำหนด

ผู้ร้องเรียน คือ เจ้าของข้อมูลส่วนบุคคล ที่ใช้สิทธิร้องเรียนต่อองค์กร ในฐานะที่เป็น ผู้ควบคุมข้อมูลส่วนบุคคลหรือ ผู้ประมวลผลข้อมูลส่วนบุคคล รวมถึง ลูกจ้าง หรือ ผู้รับจ้าง ขององค์กรนั้นที่ ฝ่าฝืน หรือ ไม่ปฏิบัติตาม PDPA หรือประกาศที่ออกตาม PDPA

คำร้องเรียน ต้องมีรายละเอียดอย่างน้อย ดังนี้

อ้างอิง

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พุทธศักราช 2562 (มาตรา 77 – 90)
ระเบียบคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ว่าด้วยการยื่นการไม่รับเรื่อง การยุติเรื่อง การพิจารณา และระยะเวลาในการพิจารณาคำร้องเรียน พุทธศักราช 2565