ถอดบทเรียนการลงดาบโทษทางปกครองตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลครั้งแรก

เมื่อเดือนสิงหาคม 2567 มีข่าวดังในวงการการคุ้มครองข้อมูลส่วนบุคคล เมื่อคณะกรรมการผู้เชี่ยวชาญภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล คณะที่ 2 (ที่รับพิจารณาเรื่องร้องเรียนเกี่ยวกับเทคโนโลยีดิจิทัลและอื่น ๆ) (“คณะกรรมการฯ”) มีคำสั่งลงวันที่ 31 กรกฎาคม 2567 ให้บริษัทเอกชน ได้แก่ บริษัท เจ.ไอ.บี. คอมพิวเตอร์ กรุ๊ป จำกัด ปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลอย่างเคร่งครัด พร้อมระบุโทษทางปกครองและค่าปรับรวมสูงถึง 7,000,000 บาท สำหรับเหตุความบกพร่องในการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่เกิดจากการร้องเรียนโดยลูกค้าที่ซื้อสินค้าของบริษัทดังกล่าวผ่านช่องทางออนไลน์ไปแล้วในช่วงตั้งแต่ปี 2563 - 2567 ที่ดำเนินการร้องเรียนตามกลไกพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล และกล่าวอ้างว่ามีคนอ้างเป็นพนักงานของบริษัทดังกล่าวติดต่อเข้ามาลวงทำให้ลูกค้าหลงเชื่อซื้อสินค้าและเกิดความเสียหาย

โดยคณะกรรมการฯ มีคำตัดสินให้บริษัทดังกล่าวรับโทษปรับทางปกครอง ภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) และกฎหมายลำดับรอง ใน 3 ประเด็นดังนี้ (1) กรณีไม่แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล สั่งปรับโทษอัตราสูงสุด 1,000,000 บาท (2) กรณีไม่มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม สั่งปรับโทษอัตราสูงสุด 3,000,000 บาท และ (3) กรณีไม่แจ้งเหตุละเมิดข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด สั่งปรับโทษอัตราสูงสุด 3,000,000 บาท

บทความฉบับนี้จะพาไปย้อนทำความเข้าใจเพื่อถอดบทเรียนจากเหตุการณ์ดังกล่าว โดยทำความเข้าใจบริบท ที่มาที่ไป ผลที่จะเกิดขึ้น รวมถึงสิ่งที่ผู้ประกอบการต่าง ๆ ควรพิจารณานำไปปรับใช้เพื่อหลีกเลี่ยงกรณีที่จะโดนการลงโทษ

วิเคราะห์ข้อเท็จจริงที่น่าสนใจภายใต้คำตัดสินของคณะกรรมการฯ

แม้เป็นข้อมูลส่วนบุคคลที่เก็บมาก่อนกฎหมายคุ้มครองข้อมูลส่วนบุคคลจะมีผลบังคับใช้ แต่ข้อมูลดังกล่าวก็ได้รับความคุ้มครอง เมื่อพิจารณาจากข้อเท็จจริงที่มีการเปิดเผยเป็นสาธารณะเกี่ยวกับคำตัดสินของคณะกรรมการฯ ข้อสังเกตหนึ่งที่น่าสนใจคือ ลูกค้าที่ดำเนินการร้องเรียนในกรณีนี้เป็นลูกค้าที่ซื้อสินค้ากับทางบริษัทผู้ถูกร้องเรียนมาตั้งแต่ปี 2563 ซึ่งเป็นช่วงก่อนที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลจะมีผลบังคับใช้ ดังนั้นจะเห็นได้ว่าแม้จะเป็นข้อมูลส่วนบุคคลที่มีการจัดเก็บ รวบรวม ประมวลผล หรือใช้มาก่อนที่กฎหมายจะมีผลบังคับใช้ แต่หากบริษัทในฐานะผู้ควบคุมข้อมูลส่วนบุคคลยังคงเก็บรักษาข้อมูลส่วนบุคคลดังกล่าวอยู่ บริษัทย่อมยังมีหน้าที่ต้องปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลอยู่เสมอ บทเฉพาะกาลภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล มาตรา 95 เพียงกำหนดไว้ว่า ให้ผู้ควบคุมข้อมูลส่วนบุคคลที่เก็บรวบรวมข้อมูลส่วนบุคคลไว้ก่อนวันที่พระราชบัญญัติจะใช้บังคับ สามารถเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลนั้นต่อไปได้ตามวัตถุประสงค์เท่านั้น ไม่ได้ให้การยกเว้นจากหน้าที่หรือความรับผิดในการประมวลผลข้อมูลส่วนบุคคลดังกล่าวให้ถูกต้องตามพระราชบัญญัติ ดังนั้นแม้จะเป็นลูกค้าที่ซื้อสินค้าจากบริษัทผู้ถูกร้องเรียนเพียงครั้งเดียวในปี 2563 แต่หากได้รับผลกระทบลูกค้าดังกล่าวก็ถือเป็นเจ้าของข้อมูลส่วนบุคคลที่มีสิทธิร้องเรียนภายใต้กรอบของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลได้โดยสมบูรณ์เช่นกัน

ต่อมาเมื่อวิเคราะห์ตามข้อเท็จจริงของความบกพร่องที่คณะกรรมการฯ อ้างอิงพิจารณาตัดสินลงโทษบริษัทผู้ถูกร้องเรียนในแต่ละกรณี อาจสรุปได้ดังนี้ 

(1) ข้อบกพร่องเกี่ยวกับการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล

ภายใต้กำหนดของมาตรา 41 (2) ผู้ควบคุมข้อมูลส่วนบุคคลที่เก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคลที่จำเป็นต้องตรวจสอบข้อมูลส่วนบุคคล หรือต้องใช้ระบบในการดำเนินการประมวลผลข้อมูลส่วนบุคคลอย่างสม่ำเสมอ โดยเหตุที่มีข้อมูลส่วนบุคคลเป็นจำนวนมาก มีหน้าที่ภายใต้กฎหมายในการที่จะต้องแต่งตั้งและจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ซึ่งเมื่ออ้างอิงจากประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง การจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามมาตรา 41 (2) ที่มีผลบังคับใช้ในวันที่ 13 ธันวาคม 2566 ข้อ 6 การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยมีจำนวนเจ้าของข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม ใช้ หรือเปิดเผยตั้งแต่ 100,000 รายขึ้นไป เป็นการประมวลผลข้อมูลส่วนบุคคลจำนวนมาก ด้วยข้อเท็จจริงที่บริษัทที่ถูกร้องเรียนมีการประมวลผลข้อมูลส่วนบุคคลผู้ซื้อสินค้าทั่วประเทศเป็นจำนวนมากกว่า 100,000 ราย บริษัทจึงมีหน้าที่ตามกฎหมายทันทีภายใต้มาตรา 41 (2) ในการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล และเหตุที่บริษัทไม่ได้แต่งตั้งเจ้าหน้าที่ดังกล่าวแม้มีหน้าที่ ถือเป็นความผิดภายใต้มาตรา 82 เป็นเหตุให้ระวางโทษปรับทางปกครองไม่เกิน 1,000,000 บาท

(2) ข้อบกพร่องเกี่ยวกับการจัดให้มีมาตรการรักษาความปลอดภัย

ภายใต้กำหนดของมาตรา 37 (1) ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่หลักในการจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึงข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ โดยต้องดำเนินการให้ได้ตามมาตรฐานขั้นต่ำที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกำหนด ทั้งนี้ คณะกรรมการได้กำหนดมาตรฐานขั้นต่ำไว้ในประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล ที่มีผลบังคับใช้ในวันที่ 21 มิถุนายน 2565 โดยกำหนดให้ต้องมีการรักษาความมั่นคงปลอดภัยในข้อมูลอย่างเหมาะสมตามระดับความเสี่ยง ทรัพยากรที่ต้องใช้ และความเป็นไปได้ในการดำเนินการประกอบกัน แต่โดยหลักการต้องมี (1) มาตรการควบคุมและจำกัดการเข้าถึงข้อมูลส่วนบุคคลอย่างเหมาะสมผ่านกลไกการยืนยันตัวตน การบริหารจัดการสิทธิการเข้าถึง และการกำหนดหน้าที่ความรับผิดชอบของผู้ใช้งาน (2) วิธีการเพื่อให้สามารถตรวจสอบย้อนหลังเกี่ยวกับการเข้าถึงข้อมูลได้ รวมถึง (3) การเสริมสร้างความตระหนักรู้ด้านความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลภายในองค์กร

สำหรับกรณีที่เกิดขึ้นพบข้อเท็จจริงว่ามีบุคคลแอบอ้างว่าเป็นพนักงานของบริษัทผู้ถูกร้องเรียน ติดต่อไปยังลูกค้าของบริษัทดังกล่าว และสามารถบอกข้อมูลส่วนบุคคลของลูกค้าได้อย่างถูกต้อง ทำให้ลูกค้าหลงเชื่อ กรณีดังกล่าวจึงแสดงให้เห็นชัดเจนว่า บริษัทผู้ถูกร้องเรียนไม่ได้ดำเนินมาตรการเพื่อป้องกันการเข้าถึงข้อมูลโดยบุคคลที่ไม่ได้รับอนุญาต หรือการเข้าถึงข้อมูลโดยมิชอบอย่างเห็นได้ชัด จึงถือว่าเป็นกรณีที่บริษัทมีความบกพร่อง ไม่ว่าบุคคลที่โทรไปแอบอ้างนั้นจะเป็นพนักงานของบริษัทจริงหรือไม่ก็ตาม โดยถือเป็นกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลกระทำผิดฝ่าฝืนกฎหมายในมาตรา 83 ต้องระวางโทษปรับทางปกครองไม่เกิน 3,000,000 บาท สำหรับกรณีการจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยนี้ คณะกรรมการฯ ได้มีคำสั่งให้บริษัทปฏิบัติตามแนวทางที่คณะกรรมการฯ กำหนดเพิ่มเติมและรายงานความคืบหน้าเพิ่มเติมด้วย ซึ่งหากบริษัทไม่ดำเนินการจะนำไปสู่โทษปกครองจากการไม่ปฏิบัติตามคำสั่งที่กำหนดไว้ในมาตรา 89 ต้องระวางโทษปรับทางปกครองเพิ่มเติมอีกไม่เกิน 500,000 บาท 

(3) ข้อบกพร่องจากการไม่แจ้งเหตุละเมิดข้อมูลส่วนบุคคล

ภายใต้กำหนดของมาตรา 37 (4) ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลโดยไม่ชักช้าภายใน 72 ชั่วโมง นับแต่ทราบเหตุเท่าที่จะสามารถทำได้ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล และในกรณีที่การละเมิดมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคลให้แจ้งเหตุการละเมิดดังกล่าวให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อมกับแนบทางการเยียวยาโดยไม่ชักช้า โดยต้องแจ้งตามหลักเกณฑ์และวิธีการที่คณะกรรมการประกาศกำหนด ซึ่งคณะกรรมการได้ประกาศหลักเกณฑ์การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลไว้ในประกาศที่มีผลบังคับใช้เมื่อวันที่ 15 ธันวาคม 2565 ทั้งนี้ คณะกรรมการกำหนดนิยาม “การละเมิดข้อมูลส่วนบุคคล” ให้หมายถึง การละเมิดมาตรการรักษาความมั่นคงปลอดภัยที่ทำให้เกิดการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจ ไม่ว่าจะเกิดจากเจตนา ความจงใจ ความประมาทเลินเล่อ การกระทำโดยปราศจากอำนาจหรือโดยมิชอบ ข้อผิดพลาดบกพร่อง อุบัติเหตุ หรือเหตุอื่นใด

จะเห็นได้ว่ากรณีข้อเท็จจริงที่เกิดขึ้นนั้น เกิดการละเมิดข้อมูลส่วนบุคคลตามนิยามขึ้นแล้ว ดังนั้นบริษัทผู้ถูกร้องเรียนต้องมีหน้าที่แจ้งเหตุดังกล่าวไปยังสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และอาจรวมถึงการแจ้งไปยังเจ้าของข้อมูลส่วนบุคคลที่ได้รับผลกระทบเช่นกัน ไม่เช่นนั้นบริษัทผู้ถูกร้องเรียนต้องพิสูจน์ให้ได้ว่าเหตุการละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล แต่จากข้อเท็จจริงที่ปรากฏว่าบริษัทผู้ถูกร้องเรียนไม่ได้ดำเนินการแจ้งเหตุและไม่ได้ดำเนินการพิสูจน์ใดเพิ่มเติม จึงถือว่าบริษัทผู้ถูกร้องเรียนเป็นผู้ควบคุมข้อมูลส่วนบุคคลที่กระทำผิดตามมาตรา 83 และต้องระวางโทษปรับทางปกครองไม่เกิน 3,000,000 บาท

โทษทางปกครองเป็นโทษที่ถูกลงโทษได้ง่าย แต่ก็หลีกเลี่ยงได้ง่ายเช่นกัน

ข้อสังเกตที่เห็นได้จากข้อเท็จจริงที่เกิดขึ้น การลงโทษทางปกครองทั้งหมดโดยคณะกรรมการฯ ไม่ได้มีส่วนของการพิจารณาปัจจัยเรื่องความเสียหายที่เจ้าของข้อมูลส่วนบุคคลจะได้รับโดยตรงเลย เป็นเพียงการพิจารณาจากข้อเท็จจริงว่าบริษัทผู้ถูกร้องเรียนในฐานะผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ต้องทำสิ่งใดบ้างภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล และบริษัทได้ดำเนินการตามหน้าที่ที่ตนมีอย่างครบถ้วนหรือไม่ หากไม่ครบถ้วนในข้อใดย่อมนำไปสู่โทษปกครองได้ในทันที

ดังนั้นในทางกลับกัน หากผู้ประกอบการในฐานะผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการตาม Checklist หน้าที่ที่กฎหมายกำหนดครบถ้วนทั้งหมดแล้ว ย่อมเป็นกระบวนการที่ทำให้ผู้ประกอบการดังกล่าวสามารถหลีกเลี่ยงความเสี่ยงในการถูกลงโทษปรับทางปกครองได้อย่างง่ายดายเช่นกัน ทั้งนี้ รายละเอียดหน้าที่ที่ผู้ควบคุมข้อมูลส่วนบุคคลควรรับทราบเพื่อหลีกเลี่ยงโทษปกครองทั้งหมด อาจสรุปได้เป็นดังนี้

(1) เก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลโดยพิจารณาจากฐานความชอบด้วยกฎหมาย (Lawful Basis) ในการประมวลผลข้อมูลส่วนบุคคลดังกล่าว

(2) แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลให้ถูกต้องครบถ้วนตามที่กฎหมายกำหนด หรือขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลถ้าจำเป็น และต้องขอความยินยอมให้ถูกต้องตามแบบฟอร์มที่กฎหมายกำหนด

(3) ปฏิบัติหน้าที่ที่กำหนดไว้อย่างชัดเจนในมาตรา 37 ของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลให้ได้ครบถ้วน

(4) จัดทำบันทึกรายการการประมวลผลข้อมูลส่วนบุคคลที่มีเนื้อหาครบถ้วนตามที่กฎหมายกำหนดในมาตรา 39

(5) แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หากอยู่ภายใต้เกณฑ์ที่กฎหมายกำหนด

(6) เคารพสิทธิของเจ้าของข้อมูลส่วนบุคคล กรณีที่บุคคลดังกล่าวขอใช้สิทธิกับตน ภายใต้กรอบระยะเวลาที่กำหนดไว้

กระบวนการร้องเรียนโดยเจ้าของข้อมูลส่วนบุคคล

ข้อสังเกตอีกส่วนหนึ่งที่น่าสนใจและน่าศึกษาจากกรณีที่เกิดขึ้นคือ กระบวนการร้องเรียนที่นำไปสู่การออกคำสั่งลงโทษทางปกครอง 

สำหรับกลไกการร้องเรียนภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล กฎหมายกำหนดให้มีการแต่งตั้งคณะกรรมการผู้เชี่ยวชาญขึ้นมาเพื่อทำหน้าที่พิจารณาเรื่องร้องเรียนตามพระราชบัญญัติ โดยมาตรา 73 ของพระราชบัญญัติกำหนดให้สิทธิของเจ้าของข้อมูลส่วนบุคคลให้สามารถร้องเรียนได้ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคล รวมถึงลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลนั้นฝ่าฝืนหรือไม่ปฏิบัติตามพระราชบัญญัติหรือประกาศที่ออกตามพระราชบัญญัติ ข้อสังเกตหนึ่งคือ เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องเรียนได้ทันทีที่มีการฝ่าฝืนโดยไม่ต้องพิจารณาว่ามีความเสียหายเกิดขึ้นกับตนหรือไม่ โดยมีระเบียบคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกำหนด เรื่อง การยื่น การไม่รับเรื่อง การยุติเรื่อง การพิจารณา และระยะเวลาในการพิจารณาคำร้องเรียน ซึ่งมีผลบังคับใช้ในวันที่ 12 กรกฎาคม 2565 ขึ้นมาเป็นการเฉพาะ ทั้งนี้ รูปแบบการร้องเรียนสามารถยื่นได้ 3 ช่องทางคือ (1) ยื่นโดยตรงต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (2) ยื่นผ่านทางไปรษณีย์มายังสำนักงาน หรือ (3) ยื่นผ่านช่องทางอิเล็กทรอนิกส์ที่สำนักงานประกาศกำหนด 

เมื่อได้รับคำร้องเรียนจะมีขั้นตอนดังนี้ (1) เจ้าหน้าที่ต้องตรวจสอบความครบถ้วนของคำร้องเรียน และต้องออกใบรับคำร้องหรือแจ้งให้แก้ไขภายใน 15 วัน นับแต่ได้รับคำร้องเรียน จากนั้น (2) เจ้าหน้าที่จะเสนอเรื่องร้องเรียนผ่านเลขาธิการสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเพื่อให้คณะกรรมการผู้เชี่ยวชาญพิจารณา (3) เมื่อเลขาธิการส่งเรื่องไปยังคณะกรรมการผู้เชี่ยวชาญแล้ว ให้ประธานกรรมการผู้เชี่ยวชาญเรียกประชุมคณะกรรมการผู้เชี่ยวชาญโดยเร็ว โดยต้องพิจารณาเรื่องร้องเรียนให้เสร็จภายในเวลา 90 วัน นับแต่วันที่มีการประชุมครั้งแรก เว้นแต่มีเหตุสุดวิสัยหรือเหตุจำเป็นอื่นที่ทำให้ไม่สามารถดำเนินการได้ คณะกรรมการผู้เชี่ยวชาญจะขออนุมัติขอขยายเวลาพิจารณาออกไปต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้ไม่เกิน 2 ครั้ง ครั้งละไม่เกิน 60 วัน และสุดท้าย (4) คำสั่งของคณะกรรมการผู้เชี่ยวชาญให้เป็นที่สุด และเมื่อผลการพิจารณาเป็นประการใด ให้คณะกรรมการผู้เชี่ยวชาญแจ้งให้ผู้ร้องเรียนทราบด้วยเหตุผล

โทษอื่นภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล

นอกเหนือจากกระบวนกลไกการร้องเรียนผ่านคณะกรรมการฯ เพื่อให้มีการบังคับคำสั่งโทษทางปกครองต่อผู้ควบคุมข้อมูลส่วนบุคคลแล้ว เจ้าของข้อมูลส่วนบุคคลที่ได้รับความเสียหายจากการบกพร่องของผู้ควบคุมข้อมูลส่วนบุคคล ยังมีสิทธิในการดำเนินการร้องเรียนให้ผู้ควบคุมข้อมูลส่วนบุคคลดังกล่าวรับผิดทางแพ่งและทางอาญาได้เพิ่มเติมภายใต้กรอบของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลได้อีกด้วย ทั้งนี้ เป็นการดำเนินการใช้สิทธิฟ้องร้องไปตามกระบวนการวิธีพิจารณาความแพ่งและกระบวนวิธีพิจารณาความอาญา แล้วแต่กรณี 

สำหรับกรณีที่เกิดขึ้นกับบริษัทผู้ถูกร้องเรียน เจ้าของข้อมูลส่วนบุคคลคือลูกค้าได้รับความเสียหายเป็นตัวเงินที่ชัดเจนโดยตรงจากเหตุการณ์ที่เกิดขึ้น ดังนั้นลูกค้าดังกล่าวย่อมมีสิทธิที่จะดำเนินการฟ้องร้องให้เกิดการลงโทษรับผิดทางแพ่งได้เพิ่มเติมภายใต้มาตรา 77 ของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ซึ่งกำหนดว่าหากผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการอันเป็นการฝ่าฝืนพระราชบัญญัติทำให้เกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลนั้นต้องชดใช้ค่าสินไหมทดแทนเพื่อการนั้นแก่เจ้าของข้อมูลส่วนบุคคล ไม่ว่าการดำเนินการนั้นจะเกิดจากการกระทำโดยจงใจหรือประมาทเลินเล่อหรือไม่ก็ตาม โดยค่าสินไหมนั้นหมายรวมถึงค่าใช้จ่ายทั้งหมดที่เจ้าของข้อมูลส่วนบุคคลได้ใช้จ่ายไปตามความจำเป็นเพื่อป้องกันความเสียหายที่กำลังจะเกิดขึ้นหรือระงับความเสียที่เกิดขึ้นแล้วด้วย ดังนั้นขอบเขตของค่าสินไหมที่เรียกได้ค่อนข้างกว้าง นอกจากนี้ มาตรา 78 ของพระราชบัญญัติกำหนดให้อำนาจแก่ศาลในการสั่งให้ผู้ควบคุมข้อมูลส่วนบุคคลจ่ายค่าสินไหมทดแทนเพื่อการลงโทษ (Punitive Damage) ได้เพิ่มขึ้นจากจำนวนสินไหมทดแทนที่แท้จริงที่ศาลกำหนดได้ตามที่เห็นสมควร แต่ไม่เกิน 2 เท่าของค่าสินไหมทดแทนที่แท้จริง ซึ่งกรณีนี้เมื่อพิจารณาถึงความร้ายแรงของความเสียหาย สถานะทางการเงินของผู้ควบคุมข้อมูลส่วนบุคคล คือ บริษัทผู้ถูกร้องเรียน อาจมีกรณีที่ศาลอาจใช้ดุลพินิจดังกล่าวได้อีกด้วย ทั้งนี้ เจ้าของข้อมูลส่วนบุคคลที่ได้รับความเสียหายต้องใช้สิทธิเรียกร้องค่าเสียหายภายในกรอบระยะเวลาไม่เกิน 3 ปี นับแต่วันที่ผู้เสียหายรู้ถึงความเสียหายและรู้ตัวผู้ควบคุมข้อมูลส่วนบุคคลที่ต้องรับผิด และไม่เกิน 10 ปี นับแต่วันที่มีการละเมิดข้อมูลส่วนบุคคล ไม่เช่นนั้นจะขาดอายุความ

สำหรับกรณีของโทษทางอาญา เมื่อพิจารณาจากข้อเท็จจริงที่ปรากฏในข่าว ข้อมูลส่วนบุคคลที่ถูกใช้ทำให้เกิดความเสียหายไม่รวมข้อมูลส่วนบุคคลที่กำหนดไว้ในมาตรา 26 ของพระราชบัญญัติ ดังนั้นเจ้าของข้อมูลส่วนบุคคลที่ได้รับความเสียหายอาจไม่สามารถใช้สิทธิฟ้องร้องเป็นโทษอาญาที่จะลงโทษต่อผู้ควบคุมข้อมูลส่วนบุคคลคือบริษัทผู้ถูกร้องเรียนนั้น ภายใต้มาตรา 79 ของพระราชบัญญัติได้ 

ถอดบทเรียนสำหรับผู้ประกอบการอื่น

จากข้อเท็จจริงและประเด็นน่าสนใจที่สรุปมาในบทความฉบับนี้ อาจสรุปบทเรียนที่สำคัญสำหรับผู้ประกอบการอื่นได้ว่า การเคารพและการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลเป็นเรื่องสำคัญต่อการประกอบธุรกิจ และหน่วยงานคุ้มครองข้อมูลส่วนบุคคลเองก็กำลังดำเนินบทบาทของตนเองในการคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคลมากขึ้น

ในขณะเดียวกัน เจ้าของข้อมูลส่วนบุคคลเองก็มีความเข้าใจเกี่ยวกับสิทธิของตนที่มีภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลมากขึ้นเช่นกัน เพื่อหลีกเลี่ยงความเสี่ยงการรับโทษที่ผู้ประกอบการอาจได้รับทั้งทางปกครอง แพ่ง หรืออาญา หรือแม้กระทั่งหลีกเลี่ยงความเสี่ยงการเสียชื่อเสียงในกรณีมีการร้องเรียนสิทธิโดยเจ้าของข้อมูลส่วนบุคคล ผู้ประกอบการควรต้องกำชับการดำเนินการคุ้มครองข้อมูลส่วนบุคคลภายใต้องค์กรของตนให้ครบถ้วน ถูกต้อง ภายใต้กรอบของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลมากขึ้น