บทลงโทษตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ของไทย

PDPA มีการกำหนดบทลงโทษเอาไว้ทั้ง 3 ประเภทที่กล่าวมาทั้งหมด!! โดยมีรายละเอียดดังนี้

1. โทษทางแพ่ง มีการกำหนดให้ชดใช้ค่าสินไหมทดแทนให้กับเจ้าของข้อมูลส่วนบุคคลที่ได้รับความเสียหายจากการละเมิด บวกกับ ชดใช้ค่าสินไหมทดแทนเพื่อการลงโทษเพิ่มเติมสูงสุดเป็น 2 เท่าของค่าเสียหายจริง

เท่ากับว่า หากศาลตัดสินให้ผู้ควบคุมข้อมูลส่วนบุคคลต้องชดใช้ค่าสินไหมทดแทนให้แก่เจ้าของข้อมูลส่วนบุคคล 10 ล้านบาท ศาลอาจจะกำหนดค่าสินไหมเพื่อการลงโทษเพิ่มอีก 20 ล้านบาท รวมเป็น 30 ล้านบาท!!!

2. โทษทางอาญาของ PDPA มี 2 โทษคือ โทษจำคุก และ โทษปรับ ถึงตรงนี้หลายคนคงจะงงว่า หากผู้กระทำผิดเป็นบริษัท (นิติบุคคล) แล้ว บริษัทจะได้รับโทษจำคุกได้ยังไง คำตอบคือ กรรมการหรือบุคคลซึ่งรับผิดชอบในการดำเนินงานของบริษัทนั้นๆ นั่นแหละ ที่อาจจะได้รับโทษจำคุก และโทษอาญาที่สูงที่สุดของ PDPA คือ โทษจำคุก 1 ปี หรือปรับ 1 ล้านบาท หรือทั้งจำทั้งปรับ ซึ่งโทษสูงสุดนี้มาจากการใช้หรือเปิดเผยข้อมูล หรือส่งโอนข้อมูลไปต่างประเทศในส่วนที่เป็นข้อมูลส่วนบุคคล sensitive ที่ไม่เป็นไปตามข้อกำหนดของ PDPA เพื่อแสวงหาผลประโยชน์ที่ไม่ควรได้โดยชอบด้วยกฎหมาย และโทษปรับนี้เป็นคนละส่วนต่างหากจากการชดใช้ค่าเสียหายทางแพ่งที่กล่าวในข้อ 1 ข้างต้น
3. โทษทางปกครองของ PDPA คือโทษปรับเป็นตัวเงิน ซึ่งมีตั้งแต่ 1 ล้านบาทไปจนถึง 5 ล้านบาท โดยกรณีที่จะโดนโทษปรับสูงสุด 5 ล้านบาทนี้ คือกรณีที่มีการฝ่าฝืนข้อกำหนดที่เกี่ยวกับการใช้หรือเปิดเผยข้อมูล หรือส่งโอนข้อมูลไปต่างประเทศในส่วนที่เป็นข้อมูลส่วนบุคคล sensitive และแน่นอนว่า โทษปรับนี้เป็นคนละส่วนต่างหากจากการชดใช้ค่าเสียหายทางแพ่งและโทษปรับทางอาญา

            หมายความว่า หากมีการละเมิดข้อกำหนดของ PDPA อาจจะโดนบทลงโทษทั้ง 3 ประเภทนี้พร้อมกันได้