The Tort of Personal Data Breach Litigation : Analysis on Liability under the European Union's GDPR

Article Sidebar

PDF
Published: Jan 30, 2026
Keywords:
data subject data breach non-material damages punitive damages tort GDPR General Data Protection Regulation Personal Data Protection Act B.E. 2562 (2019)

Main Article Content

Nutcha Aksornpan
Bureau of Research and Legal Studies, Office of the Administrative Courts

Abstract

     The General Data Protection Regulation (“GDPR”) of the European Union establishes a framework for private enforcement, allowing data subjects to seek civil remedies for the damage suffered as a result of an infringement of the GDPR from the data controller or processor. This article aims to comparatively analyze the mechanisms for exercising the right to compensation under Thailand's Personal Data Protection Act B.E. 2562 (2019) (“PDPA”) and the GDPR, which has been in force earlier and features more developed jurisprudence on various key issues, in order to develop a systematic understanding of the remedial mechanisms available to individuals for ensuring their data protection rights. The article explores the essential aspects of civil liability provisions under Thailand’s PDPA in comparison with the GDPR, including elements of liability, the burden of proof, defenses to liability, and the nature of recoverable losses. Particular emphasis is placed on the significant divergence between the two regimes concerning the recognition of compensable damage. While the GDPR explicitly allows for compensation for both material and non-material harm—including the fear of potential misuse of personal data resulting from data breaches—Thailand’s PDPA does not explicitly address non-material damages. In practice, this may place a considerable burden on data subjects, who must then prove quantifiable financial loss in order to claim compensation. Such a limitation may undermine the effectiveness of data protection enforcement in Thailand. Accordingly, the article recommends legal reform and a re-evaluation of the interpretation of non-material damage within the Thai legal system—particularly in the context of personal data protection—to ensure the effective and comprehensive safeguarding of data subjects’ rights.

Downloads

Download data is not yet available.

Article Details

How to Cite
Aksornpan, N. (2026). The Tort of Personal Data Breach Litigation : Analysis on Liability under the European Union’s GDPR. Administrative Courts Journal, 25(3), หน้า 100–130. retrieved from https://so09.tci-thaijo.org/index.php/admcJ/article/view/6227
Issue
Vol. 25 No. 3 (2568): Administrative Courts Journal
Section
บทความทางวิชาการ
Creative Commons License

This work is licensed under a Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International License.

References

คณาธิป ทองรวีวงศ์, คำอธิบายหลักกฎหมายคุ้มครองข้อมูลส่วนบุคคล, (พิมพ์ครั้งที่ 3 นิติธรรม 2565).

นคร เสรีรักษ์ และ คณะ, General Data Protection Regulation ฉบับภาษาไทย (P.Press 2562).

สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล, กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล Personal Data Protection Act (พิมพ์ครั้งที่ 4 สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล 2566).

António Barreto Menezes Cordeiro, Data Protection Litigation System Under the GDPR in Dário Moura Vicente, Sofia de Vasconcelos Casimiro, Chen Chen (eds) The Legal Challenges of the Fourth Industrial Revolution-the European Union's Digital Strategy (Law, Governance and Technology Series, vol 57. Springer Online 2023).

European Data Protection Supervisor, Two decades of personal data protection. What next?— EDPS 20th Anniversary <https://www.edps.europa.eu/system /files/202406/edps _20thanniversary-book_en.pdf>.

Gabriela Zanfir-Fortuna, ‘Article 82. Right to compensation and liability’ in Christopher Kuner, Lee A. Bygrave and Christopher Docksey (eds) The EU General Data Protection Regulation (GDPR): A Commentary (Online edn, Oxford Academic 2020).

Graham Greenleaf, ‘The Philippines and Thailand—ASEAN’s Incomplete Comprehensive Laws’, Asian Data Privacy Laws: Trades and Human Rights perspectives (Oxford University Press 2014).

Philip Coppel KC. and others, Information Rights: A Practitioner's Guide to Data Protection, Freedom of Information and Other Information Rights. (Oxford: Bloomsbury Collections Web, 2023).

นฤมล ขณะรัตน์, ‘บทบาทของศาลปกครองในการคุ้มครองข้อมูลส่วนบุคคล’ (เอกสารเผยแพร่ของสำนักวิจัยและวิชาการ สำนักงานศาลปกครอง 2564).

พรทิพย์ สุทธิอรรถศิลป์, ‘ค่าเสียหายทางจิตใจ: ศึกษากฎหมายลักษณะละเมิดของอังกฤษและเยอรมันเปรียบเทียบกับกฎหมายลักษณะละเมิดของไทย’ (หลักสูตร “ผู้พิพากษาผู้บริหารในศาลชั้นต้น” รุ่นที่ 13 สถาบันพัฒนาข้าราชการฝ่ายตุลาการศาลยุติธรรม สำนักงานศาลยุติธรรม 2557).

Annegret Bediek and Issabella Stuerzer, The Brussel Effect, European Regulatory Power and Political Capital: Evidence for Mutually Reinforcing Internal and External Dimensions of the Brussels Effect from the European Digital Policy Debates (2023)

Francesca Episcopo, ‘UI v. Österreichische Post AG – A First Brick in the Wall for a European Interpretation of Art. 82 GDPR’ (2024) 2 Journal of European Consumer and Market Law.

Johana Chamberlain and Jane Reichel, ‘The Relationship between Damages and Administrative Fines in the EU General Data Protection Regulation’ (2020) 89 Mississippi Law Journal 667.

Jonas Knetsch, ‘The Compensation of Non-Pecuniary Loss in GDPR Infringement Cases’ (2022) 13(2) Journal of the European Tort Law.

Matúš Mesarčík, ‘The Great Escape? Liabiility of Public Authorities in the Data Protection Area’ (2021) 11 (1) The Lawyer Quarterly.

Shu Li, ‘Compensation for non-material damage under Article 82 GDPR: A review of Case C-300/21’ (2023) 30(3) Maastricht Journal of European and Comparative Law.

Stephan Mulders, ‘The relationship between the principle of effectiveness under Art. 47 CFR and the concept of damages under Art. 82 GDPR’ (2023) 13 International Data Privacy Law.

Theerachit Jitkarunawong, ‘Civil Liability Under Data Protection Laws: A Comparative Study between Thailand's Personal Data Protection Act and the EU's General Data Protection Regulation’ (LL.M. in Business Law Thesis Thammasat University 2019).

ศูนย์วิจัยกฎหมายและการพัฒนา คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย, แนวทางปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล (Thailand Data Protection Guidelines 3.0) <https://www.law. chula.ac.th/wp-content/uploads/2020/12/TDPG3.0-C5-20201208.pdf>.

สำนักข่าวอิศรา, ‘ฉบับเต็ม! เปิดพฤติการณ์ JIB ละเลย-ทำ‘ข้อมูลลูกค้า'รั่ว ก่อนโดนปรับ 7 ล้าน ผิด'กม.PDPA’ (28 สิงหาคม 2567) <https://www.isranews.org/article/isranews-scoop/131265-PDPC-JIB-PDPA-law-report.html>.

ผู้จัดการออนไลน์, ‘ผู้สมัคร สว. ร้องกกต.สอบข้อมูลผู้สมัครหลุด 23,000 ชื่อ หวั่นมิจฉาชีพนำไปสร้างความเสียหาย’ (12 มิถุนายน 2567) <https://mgronline.com/politics/detail/9670000050465>.

มติชนออนไลน์, ‘นักเรียนทุนรัฐบาล ผวา! ข้อมูลส่วนตัวหลุด จากเว็บไซต์ กพ. จี้แจงด่วน หวั่นมิจฉาชีพนำไปต่อยอด’ (8 กรกฎาคม 2567) <https://www.matichon.co.th/local/news_4668790>.

Glossary ‘Recital (EU)’ <https://uk.practicallaw.thomsonreuters.com/w-009-6368?transitionType=Default&contextData=(sc.Default)&firstPage=true>.

Recital 85 to GDPR < https://gdpr-info.eu/recitals/no-85/>.

Recital 146 to GDPR <https://gdpr-info.eu/recitals/no-146/>.