มาตรา 77
สารบัญในมาตรานี้
ตัวบท
มาตรา 77 ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งดำเนินการใด ๆ เกี่ยวกับข้อมูลส่วนบุคคลอันเป็นการฝ่าฝืนหรือไม่ปฏิบัติตามบทบัญญัติแห่งพระราชบัญญัตินี้ทำให้เกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคล ต้องชดใช้ค่าสินไหมทดแทนเพื่อการนั้นแก่เจ้าของข้อมูลส่วนบุคคล ไม่ว่าการดำเนินการนั้นจะเกิดจากการกระทำโดยจงใจหรือประมาทเลินเล่อหรือไม่ก็ตาม เว้นแต่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลนั้นจะพิสูจน์ได้ว่า
(1) ความเสียหายนั้นเกิดจากเหตุสุดวิสัย หรือเกิดจากการกระทำหรือละเว้นการกระทำของเจ้าของข้อมูลส่วนบุคคลนั้นเอง
(2) เป็นการปฏิบัติตามคำสั่งของเจ้าหน้าที่ซึ่งปฏิบัติการตามหน้าที่และอำนาจตามกฎหมาย
ค่าสินไหมทดแทนตามวรรคหนึ่ง ให้หมายความรวมถึงค่าใช้จ่ายทั้งหมดที่เจ้าของข้อมูลส่วนบุคคลได้ใช้จ่ายไปตามความจำเป็นในการป้องกันความเสียหายที่กำลังจะเกิดขึ้นหรือระงับความเสียหายที่เกิดขึ้นแล้วด้วย
สรุป
มาตรานี้เปิดหมวด 6 (ความรับผิดทางแพ่ง) ด้วยหลักความรับผิดเด็ดขาด — ผู้ควบคุม/ผู้ประมวลผลที่ฝ่าฝืน พ.ร.บ. และก่อความเสียหายแก่เจ้าของข้อมูลต้องชดใช้ค่าสินไหมทดแทน โดยไม่ต้องพิสูจน์เจตนาหรือประมาท — มีข้อยกเว้น 2 ประการที่ผู้ควบคุม/ผู้ประมวลผลพิสูจน์ได้: (1) เหตุสุดวิสัย หรือเกิดจากเจ้าของข้อมูลเอง; (2) ปฏิบัติตามคำสั่งเจ้าหน้าที่ — ค่าสินไหมรวมค่าใช้จ่ายในการป้องกัน/ระงับความเสียหายของเจ้าของข้อมูลด้วย
องค์ประกอบสำคัญ
- วรรค 1 — หลักความรับผิดเด็ดขาด:
- ผู้รับผิด:
- ผู้ควบคุมข้อมูลส่วนบุคคล
- ผู้ประมวลผลข้อมูลส่วนบุคคล
- เหตุที่รับผิด: ดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลโดยฝ่าฝืนหรือไม่ปฏิบัติตาม พ.ร.บ. + เกิดความเสียหายต่อเจ้าของข้อมูล
- ขอบเขตความรับผิด: ชดใช้ค่าสินไหมทดแทน
- หลักความรับผิดเด็ดขาด: ไม่ต้องพิสูจน์เจตนาหรือประมาท — ภาระการพิสูจน์ตกแก่ผู้ควบคุม/ผู้ประมวลผลในการพิสูจน์ข้อยกเว้น
- ผู้รับผิด:
- ข้อยกเว้น (1) — เหตุสุดวิสัย / เจ้าของข้อมูลเอง:
- เหตุสุดวิสัย — ตามนิยามใน ป.พ.พ. ม.8 (เหตุที่ป้องกันไม่ได้แม้ใช้ความระมัดระวังตามสมควร)
- กระทำหรือละเว้นโดยเจ้าของข้อมูลเอง — เช่น เจ้าของข้อมูลใส่รหัสผ่านอ่อน → ถูกแฮก
- ข้อยกเว้น (2) — ปฏิบัติตามคำสั่งเจ้าหน้าที่:
- เจ้าหน้าที่ที่ปฏิบัติการตามหน้าที่และอำนาจตามกฎหมาย
- เช่น พนักงานเจ้าหน้าที่ตาม มาตรา 76 สั่งให้ส่งข้อมูล → ผู้ควบคุมส่งตามคำสั่ง → ไม่รับผิด
- วรรค 2 — ขอบเขตค่าสินไหมทดแทน:
- รวมค่าใช้จ่ายตามความจำเป็นในการ
- ป้องกันความเสียหายที่กำลังจะเกิดขึ้น
- ระงับความเสียหายที่เกิดขึ้นแล้ว
- รวมค่าใช้จ่ายตามความจำเป็นในการ
มาตราที่อ้างอิง
- มาตรา 78 — ค่าสินไหมทดแทนเพื่อการลงโทษ + อายุความ — ขยายมาตรานี้เรื่องจำนวนและกรอบเวลา
หมายเหตุ
- เหตุที่ใช้หลักความรับผิดเด็ดขาด — ไม่ใช่ความรับผิดเพราะประมาท:
- ความไม่เท่าเทียมกันของข้อมูล — ผู้ควบคุมเก็บข้อมูลของเจ้าของ; เจ้าของไม่เห็นกระบวนการภายใน
- การพิสูจน์ประมาทเลินเล่อของผู้ควบคุมเป็นภาระที่หนักเกินไปสำหรับเจ้าของข้อมูล
- ผู้ควบคุมเป็นผู้ได้ประโยชน์จากข้อมูล → ควรรับความเสี่ยงที่มาด้วย
- สอดคล้องกับ GDPR Art. 82 ที่ใช้หลักความรับผิดเด็ดขาดเช่นกัน
- เปรียบเทียบกับ ป.พ.พ. ม.420 (ละเมิดทั่วไป):
- ป.พ.พ. ม.420: ต้องพิสูจน์จงใจหรือประมาท + ความเสียหาย + ความสัมพันธ์เชิงเหตุผล
- มาตรานี้: ไม่ต้องพิสูจน์จงใจหรือประมาท — เพียงพิสูจน์การฝ่าฝืน พ.ร.บ. + ความเสียหาย + ความสัมพันธ์เชิงเหตุผล
- ภาระการพิสูจน์ — เปรียบเทียบ:
- เจ้าของข้อมูล (โจทก์): พิสูจน์
- ผู้ควบคุม/ผู้ประมวลผลฝ่าฝืน พ.ร.บ.
- ความเสียหายเกิดขึ้น
- ความสัมพันธ์เชิงเหตุผลระหว่างการฝ่าฝืนกับความเสียหาย
- ผู้ควบคุม/ผู้ประมวลผล (จำเลย): พิสูจน์ข้อยกเว้น (1) หรือ (2) เพื่อให้พ้นความรับผิด
- เจ้าของข้อมูล (โจทก์): พิสูจน์
- ข้อยกเว้น (2) — เหตุที่รับผิดไม่ได้:
- การกระทำตามคำสั่งเจ้าหน้าที่ที่ชอบด้วยกฎหมาย ไม่ใช่ความผิดของผู้ควบคุม/ผู้ประมวลผล
- ตัวอย่าง: ตำรวจมีหมายขอข้อมูล → ผู้ควบคุมต้องส่งให้ — ไม่ควรต้องชดใช้ค่าเสียหาย
- แต่ถ้าคำสั่งไม่ชอบด้วยกฎหมาย (เช่น ไม่มีหมาย) → ข้อยกเว้นนี้ไม่ใช้ — ผู้ควบคุมยังต้องรับผิด
- ค่าใช้จ่ายป้องกัน/ระงับ — ตัวอย่าง:
- ป้องกัน: เจ้าของข้อมูลรู้ว่าข้อมูลรั่ว → จ้างที่ปรึกษาช่วยเปลี่ยนรหัสผ่าน, ตรวจสอบบัญชีต่าง ๆ
- ระงับ: เจ้าของข้อมูลรู้ว่ามีการขโมยตัวตน → ค่าใช้จ่ายในการแจ้งความ, ขอคืนเงินจากบัตรเครดิต, แก้ไขรายงานเครดิต
- การรวมค่าใช้จ่ายเหล่านี้สะท้อนหลักคืนสภาพเดิมของกฎหมายแพ่ง
- ความสัมพันธ์ระหว่างผู้ควบคุมกับลูกจ้าง — เปรียบเทียบกับ ป.พ.พ. ม.425:
- ป.พ.พ. ม.425: นายจ้างรับผิดในการกระทำของลูกจ้างที่ทำในทางการที่จ้าง
- มาตรานี้: ผู้ควบคุมรับผิดในการดำเนินการเกี่ยวกับข้อมูล — รวมการกระทำของลูกจ้าง/ผู้รับจ้างที่ดำเนินการในนามผู้ควบคุม
- กลไกระงับข้อพิพาท — 2 ทางคู่ขนาน: