การฟ้องคดีละเมิดจากเหตุข้อมูลส่วนบุคคลรั่วไหล (data breach) : ศึกษากรณีความรับผิดตามข้อบังคับ GDPR ของสหภาพยุโรป

Article Sidebar

PDF
เผยแพร่แล้ว: ม.ค. 30, 2026
คำสำคัญ:
เจ้าของข้อมูล ข้อมูลส่วนบุคคลรั่วไหล ค่าเสียหายอันมิใช่ตัวเงิน ค่าเสียหายเพื่อการลงโทษ ละเมิด GDPR General Data Protection Regulation พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

Main Article Content

นัทชา อักษรพันธ์
สำนักวิจัยและวิชาการ สำนักงานศาลปกครอง

บทคัดย่อ

     ข้อบังคับว่าด้วยหลักการคุ้มครองข้อมูลส่วนบุคคลของพลเมืองสหภาพยุโรป หรือที่เรียกโดยย่อว่า ข้อบังคับ GDPR (General Data Protection Regulation) มีการบัญญัติรับรองให้มีการดำเนินคดีโดยภาคเอกชน (private enforcement) เพื่อเรียกให้รับผิดทางแพ่ง โดยมีการกำหนดให้เจ้าของข้อมูลสามารถเรียกให้ผู้ควบคุมข้อมูล และผู้ประมวลผลข้อมูลรับผิดชดใช้ในความเสียหายอันเกิดจากการฝ่าฝืนบทบัญญัติตามข้อบังคับ GDPR ได้ บทความนี้จึงมุ่งศึกษาเปรียบเทียบกลไกการใช้สิทธิในการเรียกร้องค่าเสียหาย(right to compensation) ของเจ้าของข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ของประเทศไทยกับข้อบังคับ GDPR ซึ่งบังคับใช้มาก่อนและมีข้อความคิดที่ตกผลึกแล้วในหลายประเด็นอันศึกษาได้จากคำพิพากษาที่เกี่ยวข้อง เพื่อพัฒนาข้อความคิดเกี่ยวกับกลไกการเยียวยาสิทธิในการคุ้มครองข้อมูลส่วนบุคคลอย่างเป็นระบบ โดยเนื้อหาของบทความนี้ครอบคลุมสาระสำคัญของบทบัญญัติว่าด้วยความรับผิดทางแพ่งในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เทียบเคียงกับข้อบังคับ GDPR ที่เกี่ยวข้องในมิติต่าง ๆ อาทิ องค์ประกอบของความรับผิดทางแพ่งและภาระการพิสูจน์ เหตุยกเว้นความรับผิดทางแพ่ง ลักษณะของความเสียหายที่เป็นความเสียหายที่สามารถเรียกให้ชดเชยเยียวยาได้ (recoverable loss) และเน้นย้ำถึงข้อแตกต่างสำคัญที่ปรากฏในเรื่องของความเสียหายที่สามารถเรียกค่าชดเชยได้ ซึ่งข้อบังคับ GDPR รับรองให้เจ้าของข้อมูลส่วนบุคคลได้รับการชดเชยทั้งความเสียหายที่เป็นตัวเงินและไม่ใช่ตัวเงิน ซึ่งรวมถึง “ความหวาดกลัวว่าข้อมูลส่วนบุคคลที่รั่วไหลอาจถูกนำไปใช้โดยมิชอบในอนาคต” (fear of potential misuse of personal data) ด้วย ในขณะที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ยังไม่ได้บัญญัติถึงความเสียหายที่ไม่ใช่ตัวเงินซึ่งอาจส่งผลให้เจ้าของข้อมูลส่วนบุคคลต้องพบกับความยากลำบากในการพิสูจน์ความเสียหายที่เป็นตัวเงินเพื่อเรียกร้องค่าเสียหาย และอาจส่งผลต่อประสิทธิภาพในการคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคลในประเทศไทย อันเป็นที่มาของข้อเสนอแนะในการแก้ไขกฎหมายและทบทวนการตีความเกี่ยวกับความเสียหายที่ไม่ใช่ตัวเงินของระบบกฎหมายไทย  โดยเฉพาะอย่างยิ่ง ในบริบทของการคุ้มครองข้อมูลส่วนบุคคลเพื่อก่อให้เกิดการคุ้มครองสิทธิในข้อมูลส่วนบุคคลอย่างแท้จริง

Downloads

Download data is not yet available.

Article Details

รูปแบบการอ้างอิง
อักษรพันธ์ น. (2026). การฟ้องคดีละเมิดจากเหตุข้อมูลส่วนบุคคลรั่วไหล (data breach) : ศึกษากรณีความรับผิดตามข้อบังคับ GDPR ของสหภาพยุโรป. วารสารวิชาการศาลปกครอง, 25(3), หน้า 100–130. สืบค้น จาก https://so09.tci-thaijo.org/index.php/admcJ/article/view/6227
ฉบับ
ปีที่ 25 ฉบับที่ 3 (2568): วารสารวิชาการศาลปกครอง
ประเภทบทความ
บทความทางวิชาการ
Creative Commons License

อนุญาตภายใต้เงื่อนไข Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International License.

เอกสารอ้างอิง

คณาธิป ทองรวีวงศ์, คำอธิบายหลักกฎหมายคุ้มครองข้อมูลส่วนบุคคล, (พิมพ์ครั้งที่ 3 นิติธรรม 2565).

นคร เสรีรักษ์ และ คณะ, General Data Protection Regulation ฉบับภาษาไทย (P.Press 2562).

สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล, กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล Personal Data Protection Act (พิมพ์ครั้งที่ 4 สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล 2566).

António Barreto Menezes Cordeiro, Data Protection Litigation System Under the GDPR in Dário Moura Vicente, Sofia de Vasconcelos Casimiro, Chen Chen (eds) The Legal Challenges of the Fourth Industrial Revolution-the European Union's Digital Strategy (Law, Governance and Technology Series, vol 57. Springer Online 2023).

European Data Protection Supervisor, Two decades of personal data protection. What next?— EDPS 20th Anniversary <https://www.edps.europa.eu/system /files/202406/edps _20thanniversary-book_en.pdf>.

Gabriela Zanfir-Fortuna, ‘Article 82. Right to compensation and liability’ in Christopher Kuner, Lee A. Bygrave and Christopher Docksey (eds) The EU General Data Protection Regulation (GDPR): A Commentary (Online edn, Oxford Academic 2020).

Graham Greenleaf, ‘The Philippines and Thailand—ASEAN’s Incomplete Comprehensive Laws’, Asian Data Privacy Laws: Trades and Human Rights perspectives (Oxford University Press 2014).

Philip Coppel KC. and others, Information Rights: A Practitioner's Guide to Data Protection, Freedom of Information and Other Information Rights. (Oxford: Bloomsbury Collections Web, 2023).

นฤมล ขณะรัตน์, ‘บทบาทของศาลปกครองในการคุ้มครองข้อมูลส่วนบุคคล’ (เอกสารเผยแพร่ของสำนักวิจัยและวิชาการ สำนักงานศาลปกครอง 2564).

พรทิพย์ สุทธิอรรถศิลป์, ‘ค่าเสียหายทางจิตใจ: ศึกษากฎหมายลักษณะละเมิดของอังกฤษและเยอรมันเปรียบเทียบกับกฎหมายลักษณะละเมิดของไทย’ (หลักสูตร “ผู้พิพากษาผู้บริหารในศาลชั้นต้น” รุ่นที่ 13 สถาบันพัฒนาข้าราชการฝ่ายตุลาการศาลยุติธรรม สำนักงานศาลยุติธรรม 2557).

Annegret Bediek and Issabella Stuerzer, The Brussel Effect, European Regulatory Power and Political Capital: Evidence for Mutually Reinforcing Internal and External Dimensions of the Brussels Effect from the European Digital Policy Debates (2023)

Francesca Episcopo, ‘UI v. Österreichische Post AG – A First Brick in the Wall for a European Interpretation of Art. 82 GDPR’ (2024) 2 Journal of European Consumer and Market Law.

Johana Chamberlain and Jane Reichel, ‘The Relationship between Damages and Administrative Fines in the EU General Data Protection Regulation’ (2020) 89 Mississippi Law Journal 667.

Jonas Knetsch, ‘The Compensation of Non-Pecuniary Loss in GDPR Infringement Cases’ (2022) 13(2) Journal of the European Tort Law.

Matúš Mesarčík, ‘The Great Escape? Liabiility of Public Authorities in the Data Protection Area’ (2021) 11 (1) The Lawyer Quarterly.

Shu Li, ‘Compensation for non-material damage under Article 82 GDPR: A review of Case C-300/21’ (2023) 30(3) Maastricht Journal of European and Comparative Law.

Stephan Mulders, ‘The relationship between the principle of effectiveness under Art. 47 CFR and the concept of damages under Art. 82 GDPR’ (2023) 13 International Data Privacy Law.

Theerachit Jitkarunawong, ‘Civil Liability Under Data Protection Laws: A Comparative Study between Thailand's Personal Data Protection Act and the EU's General Data Protection Regulation’ (LL.M. in Business Law Thesis Thammasat University 2019).

ศูนย์วิจัยกฎหมายและการพัฒนา คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย, แนวทางปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล (Thailand Data Protection Guidelines 3.0) <https://www.law. chula.ac.th/wp-content/uploads/2020/12/TDPG3.0-C5-20201208.pdf>.

สำนักข่าวอิศรา, ‘ฉบับเต็ม! เปิดพฤติการณ์ JIB ละเลย-ทำ‘ข้อมูลลูกค้า'รั่ว ก่อนโดนปรับ 7 ล้าน ผิด'กม.PDPA’ (28 สิงหาคม 2567) <https://www.isranews.org/article/isranews-scoop/131265-PDPC-JIB-PDPA-law-report.html>.

ผู้จัดการออนไลน์, ‘ผู้สมัคร สว. ร้องกกต.สอบข้อมูลผู้สมัครหลุด 23,000 ชื่อ หวั่นมิจฉาชีพนำไปสร้างความเสียหาย’ (12 มิถุนายน 2567) <https://mgronline.com/politics/detail/9670000050465>.

มติชนออนไลน์, ‘นักเรียนทุนรัฐบาล ผวา! ข้อมูลส่วนตัวหลุด จากเว็บไซต์ กพ. จี้แจงด่วน หวั่นมิจฉาชีพนำไปต่อยอด’ (8 กรกฎาคม 2567) <https://www.matichon.co.th/local/news_4668790>.

Glossary ‘Recital (EU)’ <https://uk.practicallaw.thomsonreuters.com/w-009-6368?transitionType=Default&contextData=(sc.Default)&firstPage=true>.

Recital 85 to GDPR < https://gdpr-info.eu/recitals/no-85/>.

Recital 146 to GDPR <https://gdpr-info.eu/recitals/no-146/>.