บทลงโทษ

ความรับผิดทางแพ่ง

ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลที่ทำให้เกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคลต้องชดใช้ค่าสินไหมทดแทน ไม่ว่าจะเกิดจากการกระทำโดยจงใจ หรือประมาทเลินเล่อหรือไม่ก็ตาม เว้นแต่พิสูจน์ได้ว่า 1. เหตุสุดวิสัย หรือเกิดจากการะทำหรือละเว้นการกระทำโดยเจ้าของข้อมูลส่วนบุคคล 2. เป็นการปฏิบัติตามคำสั่งของเจ้าหน้าที่ซึ่งปฏิบัติการตามหน้าที่และอำนาจทางกฎหมาย นอกจากสินไหมทดแทนที่แท้จริงแล้ว ศาลมีอำนาจสั่งให้จ่ายค่าสินไหมทดแทนเพื่อการลงโทษเพิ่มขึ้นได้ แต่ไม่เกิน 2 เท่าของค่าสินไหมทดแทนที่แท้จริง

อายุความฟ้องคดี 3 ปี

นับแต่วันที่ผู้เสียหายรู้ถึงความเสียหายและรู้ตัวผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลที่ต้องรับผิด หรือ 10 ปี นับแต่วันที่มีการละเมิดข้อมูลส่วนบุคคล

ความรับผิดทางอาญา

1. ใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน  โดยมิชอบหรือนอกเหนือวัตถุประสงค์ ส่งหรือโอนข้อมูลส่วนบุคคลที่มีความละเอียดอ่อนไปยังต่างประเทศ -โดยประการที่น่าจะทำให้ผู้อื่นเกิดความเสียหายต้องระวางโทษจำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 500,000 บาท หรือทั้งจำทั้งปรับ -เพื่อแสวงหาประโยชน์ที่มิควรได้โดยชอบด้วยกฎหมายสำหรับตนเองหรือผู้อื่น ต้องระวางโทษจำคุกไม่เกิน 1 ปี หรือปรับไม่เกิน 1,000,000 บาท หรือทั้งจำทั้งปรับ 2. ล่วงรู้ข้อมูลส่วนบุคคลเนื่องจากการปฏิบัติหน้าที่ตามกฎหมายนี้ แล้วนำไปเปิดเผยแก่ผู้อื่นโดยมิชอบด้วยกฎหมาย ต้องระวางโทษจำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 500,000 บาท หรือทั้งจำทั้งปรับ 3. กรรมการหรือผู้จัดการ หรือบุคคลใดที่รับผิดชอบในการดำเนินงานของนิติบุคคล หากมีการสั่งการ หรือกระทำการและละเว้นไม่สั่งการหรือไม่กระทำการ จนเป็นเหตุให้นิติบุคคลกระทำความผิด ต้องรับโทษตามที่บัญญัติไว้สำหรับความผิดนั้นด้วย

ความรับผิดทางอาญา

ความรับผิดทางปกครอง

โทษทางปกครองของผู้ควบคุมข้อมูล (การกระทำที่เป็นความผิด) โทษปรับทางปกครอง ไม่เกิน 1,000,000 บาท-การไม่ขอความยินยอมให้ถูกต้องตามกฎหมายหรือไม่แจ้งผลกระทบจากการถอนความยินยอม (มาตรา 19) โทษปรับทางปกครอง ไม่เกิน 3,000,000 บาท-การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากฐานทางกฎหมาย(มาตรา 24, มาตรา 27)-การเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลผิดไปจากวัตถุประสงค์ที่ได้แจ้งไว้โดยไม่ได้แจ้งวัตถุประสงค์ใหม่หรือมีกฎหมายให้ทำได้ (มาตรา 21)-การเก็บรวบรวมข้อมูลเกินไปกว่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล (มาตรา 22)-การเก็บข้อมูลจากแหล่งอื่นที่ไม่ใช่เจ้าของข้อมูลโดยตรงที่ต้องห้ามตามกฎหมาย(มาตรา 25)-การขอความยินยอมที่เป็นการหลอกลวงหรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์โทษปรับทางปกครอง ไม่เกิน 5,000,000 บาท-การเก็บรวบรวม ใช้ หรือเปิดเผย การโอนข้อมูลอ่อนไหวโดยไม่ชอบด้วยกฎหมาย (มาตรา 26, มาตรา 27, มาตรา 28, มาตรา 29) โทษทางปกครองของผู้ควบคุมข้อมูล (การไม่ปฏิบัติตามหน้าที่)โทษปรับทางปกครอง ไม่เกิน 1,000,000 บาท-การไม่แจ้งเจ้าของข้อมูลทั้งในกรณีเก็บข้อมูลจากเจ้าของข้อมูลโดยตรงหรือโดยอ้อม (มาตรา 23 หรือมาตรา 25)-การไม่ให้เจ้าของข้อมูลเข้าถึงข้อมูลตามสิทธิ (มาตรา 30)-การไม่จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (มาตรา 41)-การไม่จัดให้มีการสนับสนุนการปฏิบัติหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลอย่างเพียงพอ หรือการให้ออกหรือเลิกจ้างเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลเพราะเหตุที่ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล (มาตรา 42)โทษปรับทางปกครอง ไม่เกิน 3,000,000 บาท-การไม่ดำเนินการตามสิทธิคัดค้านของเจ้าของข้อมูล (มาตรา 32 วรรค 2)-การโอนข้อมูลส่วนบุคคลไปยังต่างประเทศโดยไม่ชอบด้วยกฎหมาย (มาตรา 28,มาตรา 29)-การไม่จัดให้มีมาตรการในการรักษาความมั่นคงปลอดภัยที่เหมาะสม การไม่จัดให้มีระบบตรวจสอบเพื่อลบทำลายข้อมูลหรือไม่ปฏิบัติตามสิทธิในการลบเมื่อถอนความยินยอมหรือตามสิทธิในการขอลบข้อมูลโดยไม่มีเหตุตามกฎหมาย การไม่แจ้งเหตุละเมิดข้อมูล หรือการไม่ตั้งตัวแทนในราชอาณาจักร

**โทษทางปกครองนั้นสามารถอุทธรณ์โต้แย้งตามกฎหมายว่าด้วยวิธีปฏิบัติราชการทางปกครองในฐานะคำสั่งทางปกครอง**