ข้อมูลรั่ว ถูกละเมิดข้อมูลส่วนบุคคล ต้องฟ้องภายในกี่ปี

01 ธันวาคม 2566

ปัญหาข้อมูลรั่วไหล ทั้งถูกแฮก ถูกนำข้อมูลส่วนบุคคลไปขาย หรือหลอกเอาข้อมูลไปโดยไม่ยินยอม ถูกละเมิดข้อมูลส่วนบุคคล ต้องการฟ้องคดี ต้องฟ้องภายในกี่ปี กางโทษ และการได้รับค่าสินไหมทดแทน

บ่อยครั้งที่ปรากฏข่าวข้อมูลส่วนบุคคลของประชาชนรั่วไหล ทั้งจากการถูกแฮกเกอร์ขโมยข้อมูล ทั้งจากการซื้อขายข้อมูลของคนในหน่วยงาน องค์กร ซึ่งเหตุการณ์ในลักษณะนี้เกิดขึ้นทั้งในรัฐ และเอกชน สร้างความเสียหายต่อบุคคล องค์กร และเศรษฐกิจ  กระทบความเชื่อมั่นของประชาชน เป็นต้นตอของการก่ออาชญากรรมทางการเงิน

ข้อมูลส่วนบุคคล มีอะไรบ้าง

ข้อมูลส่วนบุคคล คือ ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม เช่น ชื่อ - นามสกุล, เลขประจำตัวประชาชน, ที่อยู่, เบอร์โทรศัพท์, วันเกิด, อีเมล, การศึกษา, เพศ, อาชีพ, รูปถ่าย, ข้อมูลทางการเงิน และรวมถึง ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) เช่น ข้อมูลทางการแพทย์หรือสุขภาพ, ข้อมูลทางพันธุกรรมและไบโอเมทริกซ์, เชื้อชาติ, ความคิดเห็นทางการเมือง, ความเชื่อทางศาสนาหรือปรัชญา, พฤติกรรมทางเพศ, ประวัติอาชญากรรม, ข้อมูลสหภาพแรงงาน เป็นต้น แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ

ข้อมูลประชาชนรั่วไหล

การคุ้มครองข้อมูลส่วนบุคคล

ประเทศไทยมีกฎหมายคุ้มครองข้อมูลส่วนบุคคล คือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือกฎหมาย PDPA ซึ่งเริ่มบังคับใช้อย่างเต็มรูปแบบเมื่อวันที่ 1 มิ.ย. 2565 กฎหมายฉบับนี้ให้เจ้าของข้อมูลมีสิทธิในข้อมูลส่วนตัวที่ถูกจัดเก็บไปแล้ว หรือกำลังจะถูกจัดเก็บมากขึ้น เพื่อสร้างความปลอดภัยและเป็นส่วนตัวให้แก่เจ้าของข้อมูล

โดยมีสิทธิที่สำคัญคือ สิทธิการรับทราบและยิมยอมการเก็บข้อมูลส่วนตัว และสิทธิในการขอเข้าถึงข้อมูลส่วนตัว คัดค้านและเพิกถอนการเก็บและนำข้อมูลไปใช้ และสิทธิขอให้ลบหรือทำลายข้อมูลส่วนตัว

ซึ่งผู้ประกอบการขององค์กร และบริษัทต่างๆต้องปฏิบัติตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ในการเก็บรวบรวมข้อมูล ประมวลผลข้อมูล นำข้อมูลไปใช้ รวมถึงการเก็บรักษาและดูแลความปลอดภัยของข้อมูลส่วนบุคคคลของลูกค้าและบุคคลที่เกี่ยวข้อง หากไม่ปฏิบัติตามต้องรับโทษร้ายแรงทั้งทางแพ่ง อาญา และปกครอง

หากถูกละเมิดข้อมูลส่วนบุคคล ต้องฟ้องภายในกี่ปี

อายุความฟ้องคดี 3 ปี นับแต่วันที่ผู้เสียหายรู้ถึงความเสียหาย และรู้ตัวผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลที่ต้องรับผิด หรือ 10 ปี นับแต่วันที่มีการละเมิดข้อมูลส่วนบุคคล

ช่องทางการยื่นคำร้องเรียน

  1. ยื่นโดยตรงต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล โทร. 02-142-1033, 02-141-6993
  2. ยื่นผ่านทางไปรษณีย์มายังสำนักงานฯ
  3. ยื่นผ่านช่องทางอิเล็กทรอนิกส์หรือช่องทางอื่นตามที่สำนักงานกำหนดฯ

ผู้ร้องเรียน คือ เจ้าของข้อมูลส่วนบุคคล ที่ใช้สิทธิร้องเรียนต่อองค์กร ในฐานะที่เป็น ผู้ควบคุมข้อมูลส่วนบุคคลหรือ ผู้ประมวลผลข้อมูลส่วนบุคคล รวมถึง ลูกจ้าง หรือ ผู้รับจ้าง ขององค์กรนั้นที่ ฝ่าฝืน หรือ ไม่ปฏิบัติตาม PDPA หรือประกาศที่ออกตาม PDPA

คำร้องเรียน ต้องมีรายละเอียดอย่างน้อย ประกอบด้วย

  • หมายเลขโทร์ศัพท์ หรืออีเมล พร้อมแสดงบัตรประจำตัวประชาชนหรือเอกสารประจำตัวอื่น
  • รายละเอียดข้อเท็จจริงและข้อมูลที่เกี่ยวข้อง
  • รายละเอียดความเสียหายหรือผลกระทบ
  • หลักฐานที่เกี่ยวข้อง เช่น พยานเอกสาร
  • พยานวัตถุ ถ้อยคำพยานบุคคล เป็นต้น
  • คำขอที่ต้องการ
  • คำรับรองว่าการร้องเรียนว่าเป็นความจริง

โทษ และการชดเชยค่าสินไหมทดแทน

ความรับผิดทางแพ่ง
ผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคลที่ทำให้เกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคล ต้องชดใช้ค่าสินไหมทดแทน ไม่ว่าจะเกิดจากการกระทำโดยจงใจหรือประมาทเลินเล่อหรือไม่ก็ตาม เว้นแต่จะพิสูจน์ได้ว่า
- เหตุสุดวิสัย หรือเกิดจากการกระทำหรือละเว้นการกระทำโดยเจ้าของข้อมูลส่วนบุคคล
- เป็นการปฏิบัติตามคำสั่งของเจ้าหน้าที่ซึ่งปฏิบัติการตามหน้าที่และอำนาจตามกฎหมาย

ค่าสินไหมทดแทน
นอกจากค่าสินไหมทดแทนที่แท้จริงแล้ว ศาลมีอำนาจสั่งให้จ่ายค่าสินไหมทดแทน เพื่อการลงโทษเพิ่มขึ้นได้ แต่ไม่เกิน 2 เท่า ของค่าสินไหมทดแทนที่แท้จริง 

โทษทางอาญา
1. ใช้หรือเปิดเผย ส่งหรือโอนข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) โดยมิชอบด้วยกฎหมาย 

  • โดยน่าจะทำให้ผู้อื่นเกิดความเสียหาย จำคุกไม่เกิน 6 เดือน ปรับไม่เกิน 500,000 บาท หรือทั้งจำทั้งปรับ
  • เพื่อแสวงหาประโยชน์ที่มิควรได้โดยชอบด้วยกฎหมายสำหรับตนเองหรือผู้อื่น จำคุกไม่เกิน 1 ปี ปรับไม่เกิน 1,000,000 บาท หรือทั้งจำทั้งปรับ

2. ล่วงรู้ข้อมูลส่วนบุคคลเนื่องจากการปฏิบัติหน้าที่ตามกฎหมายนี้ แล้วนำไปเปิดเผยแก่ผู้อื่น โดยมิชอบด้วยกฎหมาย จำคุกไม่เกิน 6 เดือน ปรับไม่เกิน 500,000 บาท หรือทั้งจำทั้งปรับ

3. กรรมการ ,ผู้จัดการ หรือบุคคลใดที่รับผิดชอบ ในการดำเนินงานของนิติบุคคล ต้องร่วมรับผิดด้วยหากมีการสั่งการ กระทำการ ละเว้นไม่สั่งการ ละเว้นไม่กระทำการ จนเป็นเหตุให้นิติบุคคลกระทำความผิด บทลงโทษจะขึ้นอยู่กับฐานความผิด

โทษปรับทางปกครอง สูงสุดไม่เกิน 5,000,000 บาท
กระทำความผิดที่เป็นการฝ่าฝืนหรือไม่ปฏิบัติตามที่กฎหมายกำหนด เช่น ไม่แจ้งวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลให้เจ้าของข้อมูลส่วนบุคคลทราบ ,ขอความยินยอมโดยหลอกลวงเจ้าของข้อมูลส่วนบุคคล

ที่มา : สำนักงานกิจการยุติธรรม