พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ PDPA ของไทยกำลังจะมีผลบังคับใช้ในวันที่ 1 มิถุนายน 2565 นี้แล้ว นับเป็นเรื่องใหม่ของสังคมไทย เป็นกฎหมายสำคัญที่ส่งผล กระทบกับเราทุกคนในการเปิดเผยข้อมูลส่วนบุคคล โดยกฎหมายจะเน้นไปที่การสร้างมาตรฐานให้กับองค์กรต่างๆ ที่มีการเก็บรวบรวมข้อมูลส่วนบุคคลต่าง ๆ การปกป้องข้อมูลส่วนบุคคลไม่ให้นำไปใช้อย่างผิดกฎหมาย เกิดการรั่วไหลของข้อมูลไม่ว่าจะเป็นข้อมูลส่วนบุคคล อาทิ ชื่อ นามสกุล ชื่อเล่น เลขประจำตัวประชาชน เลขหนังสือเดินทาง เลขบัตรประกันสังคม เลขใบอนุญาตขับขี่ รวมถึงข้อมูลอุปกรณ์หรือเครื่องมือต่าง ๆ เช่น IP address และ Cookie ID เป็นต้น เป็นต้น
ครอบคลุมข้อมูลทางชีวมิติ เช่น รูปภาพใบหน้า ลายนิ้วมือ ฟิล์มเอ็กซเรย์ ข้อมูลอัตลักษณ์เสียง และพันธุกรรม นอกจากนี้ยังครอบคลุมถึงข้อมูลต่าง ๆที่สามารถเชื่อมโยงไปถึงข้อมูลข้างต้นได้ อย่างเช่น วันเกิด และสถานที่เกิด เชื้อชาติ น้ำหนัก ส่วนสูง ข้อมูลการแพทย์ การศึกษา การเงิน การจ้างงาน
รวมถึงข้อมูลส่วนบุคคลที่มีความอ่อนไหว หรือ ละเอียดอ่อน อย่างเช่น ข้อมูลพฤติกรรมทางเพศ เชื้อชาติ ศาสนา และประวัติอาชญากรรม ด้วย ซึ่งหากเกิดการรั่วไหลจะเกิดผลเสียที่ร้ายแรงกับผู้เป็นเจ้าของข้อมูลส่วนบุคคล ได้มากกว่าข้อมูลส่วนบุคคลอื่น ๆ จากขอบเขตที่ครอบคลุมอย่างกว้างขวางนี้เอง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล จึงกำหนดบทลงโทษสำหรับผู้ที่ไม่ปฏิบัติตามกฎหมายฉบับนี้เอาไว้อย่างเข้มข้น ดังนี้
ความผิดรับผิดทางแพ่ง
กฎหมายกำหนดให้ "ผู้ควบคุมข้อมูลส่วนบุคคล/ผู้ประมวลผลข้อมูลส่วนบุคคล" ที่ทำให้เกิดความเสียหายต่อ "เจ้าของข้อมูลส่วนบุคคล"
ต้องใช้ชดใช้ค่าสินไหมทดแทน ไม่ว่าจะเกิดจากการกระทำโดยจงใจหรือประมาทเลินเล่อหรือไม่ก็ตาม เว้นแต่จะพิสูจน์ได้ว่า
เป็นเหตุสุดวิสัย หรือ เกิดจากการกระทำหรือละเว้นการกระทำโดย "เจ้าของข้อมูลส่วนบุคคล" หรือ กรณีเป็นการปฏิบัติตามคำสั่งของ เจ้าหน้าที่ ซึ่งปฏิบัติการตามหน้าที่และอำนาจของกฎหมาย
ค่าสินไหมทดแทน
นอกจากค่าสินไหมทดแทนที่แท้จริงแล้ว ศาลมีอำนาจสั่งให้จ่ายค่าสินไหมทดแทนเพื่อการลงโทษเพิ่มขึ้นได้ แต่ไม่เกิน 2 เท่า ของค่าสินไหมทดแทนที่แท้จริง
ยกตัวอย่างเช่น หากศาลตัดสินว่า ให้ ผู้ควบคุมข้อมูลส่วนบุคคล ต้องชดใช้ค่าสินไหมทดแทนแก่ "เจ้าของข้อมูลส่วนบุคคล" จำนวน 1 แสนบาท
ศาลอาจมีคำสั่งกำหนดค่าสินไหมเพื่อการลงโทษเพิ่มอีก 2 เท่าของค่าเสียหายจริง กล่าวคือ จะต้องจ่ายเป็นค่าปรับทั้งหมด จำนวน 3 แสนบาท
โทษทางปกครอง
โทษทางอาญา
1.ผู้ควบคุมข้อมูลส่วนบุคคล ใช้ หรือ เปิดเผย ส่งหรือโอนข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) หรือ ข้อมูลส่วนบุคคลอ่อนไหว โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล หรือ ผิดจากวัตถุประสงค์ที่ได้แจ้งไว้ หรือ โอนข้อมูลส่วนบุคคลอ่อนไหวไปยังต่างประเทศโดยไม่ชอบด้วยกฎหมาย
2.ผู้ใดล่วงรู้ข้อมูลส่วนบุคคลของผู้อื่นเนื่องจากการปฏิบัติหน้าที่ตามกฎหมายนี้ แล้วนำไปเปิดเผยแก่ผู้อื่นโดยมิชอบด้วยกฎหมาย จำคุกไม่เกิน 6 เดือน ปรับไม่เกิน 5 แสนบาท
3.ผู้กระทำความผิดที่เป็น นิติบุคคล หากกรรมการหรือผู้จัดการ หรือ บุคคลใดที่รับผิดชอบในการดำเนินงานของนิติบุคคล สั่งการ หรือ กระทำ หรือละเว้นไม่สั่งการหรือไม่กระทำการ
จนเป็นเหตุให้นิติบุคคลนั้นกระทำความผิด ต้องรับโทษในส่วนที่กำหนดโทษอาญาไว้ด้วย