PDPA กับความรับผิดของผู้ประกอบการ

24 เมษายน 2568 16:57
, , Law - Accounting - Tax, Line Today, , , , , , 0
PDPA กับความรับผิดของผู้ประกอบการ

ถ้าวันนี้คุณทำธุรกิจ ไม่ว่าจะขายของออนไลน์ เปิดร้านอาหาร ใช้ระบบเก็บข้อมูลลูกค้า หรือแค่มีแบบฟอร์มให้คนกรอกชื่อ-เบอร์โทรไว้ นั่นแหละ คุณเกี่ยวข้องกับข้อมูลส่วนบุคคลแล้ว และถ้าจัดการไม่ดี กฎหมาย PDPA (พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล) อาจทำให้คุณต้องเจอทั้งค่าปรับหลักล้าน หรือหนักกว่านั้นคือคดีอาญา

โดยกฎหมายนี้ ไม่ใช่แค่กฎหมายตัวใหม่ที่ต้องมีแค่นโยบายความเป็นส่วนตัวบนเว็บ แต่คือกติกาสำคัญที่ทุกธุรกิจต้องรู้และรับมือให้ทัน เพราะแค่พลาดนิดเดียว ข้อมูลลูกค้ารั่วไหล ก็อาจถูกฟ้องได้ทันที บทความนี้จะพาคุณเข้าใจแบบง่าย ๆ พร้อมเจาะลึกว่าผู้ประกอบการอย่างคุณ ต้องรับผิดอะไรบ้าง ถ้าเกิดละเมิดขึ้นมา รู้ไว้ ป้องกันไว้ ดีกว่าต้องมานั่งเสียทั้งชื่อเสียงและค่าเสียหายทีหลัง

กฎหมาย PDPA

คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ย่อมาจาก Personal Data Protection Act B.E. 2562 (2019) เป็นกฎหมายว่าด้วยการให้สิทธิ์กับเจ้าของข้อมูลส่วนบุคคล สร้างมาตรฐานการรักษาข้อมูลส่วนบุคคลให้ปลอดภัย และนำไปใช้ให้ถูกวัตถุประสงค์ตามคำยินยอมที่เจ้าของข้อมูลส่วนบุคคลอนุญาต

ข้อมูลส่วนบุคคล ตามกฎหมาย PDPA

ข้อมูลส่วนบุคคล (Personal Data) คือ ข้อมูลเกี่ยวกับบุคคลที่สามารถระบุตัวบุคคลนั้นได้ ทั้งทางตรงหรือทางอ้อม แต่จะไม่นับรวมข้อมูลของผู้ที่เสียชีวิตไปแล้ว

ตัวอย่าง

ชื่อ-นามสกุล หรือชื่อเล่น, รูปถ่าย, เลขประจำตัวประชาชน, เลขหนังสือเดินทาง, เลขบัตรประกันสังคม, เลขใบอนุญาตขับขี่, เลขประจำตัวผู้เสียภาษี, เลขบัญชีธนาคาร, เลขบัตรเครดิต, รวมถึง ที่อยู่, อีเมล, เลขโทรศัพท์ / ข้อมูลอุปกรณ์หรือเครื่องมือ เช่น IP address, MAC address, Cookie ID / ข้อมูลระบุทรัพย์สินของบุคคล เช่น ทะเบียนรถยนต์, โฉนดที่ดิน เป็นต้น

*สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.)

ใครบ้างที่มีส่วนเกี่ยวข้องกับข้อมูลส่วนบุคคล ?

เราสามารถแบ่งผู้ที่มีส่วนเกี่ยวข้องกับข้อมูลส่วนบุคคลในกฎหมาย PDPA ได้ 3 ประเภท

1. เจ้าของข้อมูลส่วนบุคคล หรือ Data Subject

คือ บุคคลที่ข้อมูลสามารถระบุไปถึงได้

2. ผู้ควบคุมข้อมูลส่วนบุคคล หรือ Data Controller

คือ บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจ เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

3. ผู้ประมวลผลข้อมูลส่วนบุคคล หรือ Data Processor

คือ บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล

PDPC คือใคร?

PDPC คือ หน่วยงานกำกับดูแล PDPA คือ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ที่ใช้อำนาจผ่าน สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หรือ สคส.

ความรับผิดของผู้ประกอบการธุรกิจ

หากผู้ประกอบการไม่ปฏิบัติตาม PDPA หรือปฏิบัติตามไม่ครบถ้วน ผู้ประกอบการก็มีความเสี่ยงที่จะต้องรับผิดตามกฎหมาย โดยความรับผิดแบ่งออกเป็น 3 ส่วน ได้แก่ ความรับผิดทางแพ่ง ความรับผิดทางอาญา และโทษทางปกครอง ดังนี้

1. ความรับผิดทางแพ่ง

ผู้ประกอบการจะต้องชดใช้ความเสียหายที่เกิดขึ้นจริงกับเจ้าของข้อมูลส่วนบุคคลที่ได้รับความเสียหายจากการละเมิดข้อมูล และอาจต้องชดใช้เพิ่มเติมสูงสุดอีก 2 เท่าของค่าเสียหายจริง ไม่ว่าผู้ประกอบการจงใจหรือประมาทก็ตาม (เว้นแต่จะพิสูจน์ได้ว่าเกิดจากเหตุสุดวิสัยหรือเกิดจากการกระทำหรือละเว้นการกระทำของเจ้าของข้อมูลส่วนบุคคลนั้นเอง หรือเป็นการปฏิบัติตามคำสั่งของเจ้าหน้าที่ซึ่งปฏิบัติการตามหน้าที่และอำนาจตามกฎหมาย)

2. ความรับผิดทางอาญา

ในทางอาญา โดยปกติโทษ PDPA จะสามารถยอมความกันได้ โดยความผิดเกิดจากการที่ธุรกิจในฐานะผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือเปิดเผยข้อมูลส่วนบุคคลนอกเหนือไปจากวัตถุประสงค์ที่ได้แจ้งเจ้าของข้อมูลส่วนบุคคลไว้ ซึ่งการกระทำดังกล่าวนำไปสู่โทษทางอาญาทั้งจำทั้งปรับ ซึ่งรายละเอียดก็จะมีดังนี้

1) การประมวลผลข้อมูลส่วนบุคคลโดยผู้ควบคุมข้อมูล ซึ่งอาจทำให้เจ้าของข้อมูลส่วนบุคคลเกิดความเสียหาย เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย ต้องระวางโทษจำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 500,000 บาท หรือทั้งจำทั้งปรับ

2) ความผิดฐานเปิดเผยข้อมูลส่วนบุคคล ผู้ใดล่วงรู้ข้อมูลส่วนบุคคลของผู้อื่นเนื่องจากการปฏิบัติหน้าที่ตาม PDPA แล้วนำไปเปิดเผยแก่ผู้อื่น ต้องระวางโทษจำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 500,000 บาท หรือทั้งจำทั้งปรับ

3) การกระทำความผิดนั้นเกิดจากการที่ผู้ประกอบการแสวงหาประโยชน์สำหรับตนเองหรือผู้อื่นโดยทุจริต ต้องระวางโทษจำคุกไม่เกิน 1 ปี หรือปรับไม่เกิน 1,000,000 บาท หรือทั้งจำทั้งปรับ

3. ความรับผิดทางปกครอง

โทษปรับทางปกครองของผู้ประกอบการประกอบด้วยหลายฐาน สรุปสาระสำคัญดังนี้

1) การกระทำที่เป็นความผิด เช่น เก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากฐานทางกฎหมาย ไม่ขอความยินยอมให้ถูกต้อง โทษปรับตั้งแต่ไม่เกิน 1,000,000 บาท ถึง ไม่เกิน 5,000,000 บาท

2) การไม่ปฏิบัติตามหน้าที่ตามความรับผิดชอบ เช่น ไม่แจ้งเจ้าของข้อมูลถึงการเก็บข้อมูลจากเจ้าของข้อมูล โอนข้อมูลส่วนบุคคลไปยังต่างประเทศโดยไม่ชอบด้วยกฎหมาย ไม่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม โทษปรับตั้งแต่ไม่เกิน 1,000,000 บาท ถึง ไม่เกิน 3,000,000 บาท

อ่านบทความอื่นๆ
รู้หรือไม่…กฎหมายข้อมูลส่วนบุคคล มีขอบเขตการใช้บังคับ และข้อยกเว้นอย่างไร?
“เจ้าของข้อมูล” ได้รับสิทธิ์และความคุ้มครองจากกฎหมายPDPAอย่างไร?
เรื่องที่เข้าใจผิดเกี่ยวกับ PDPA

Related Articles

ข้อความค้นหา

COVID-19 Dharmniti ditc HR PDPA กฎหมาย กฎหมายภาษี กฎหมายแรงงาน กรมพัฒนาธุรกิจการค้า กรมสรรพากร กลุ่มบริษัท ธรรมนิติ จำกัด (มหาชน) กลุ่มธรรมนิติ การประชุมคณะรัฐมนตรี การเงิน ข้อมูลส่วนบุคคล ครม. ตลาดหลักทรัพย์ ที่ดิน ธรรมนิติ ธุรกิจ นักบัญชี นายจ้าง บริษัท ดีไอทีซี จำกัด บริษัท ตรวจสอบภายในธรรมนิติ จำกัด บริษัท ธรรมนิติการบัญชีและภาษีอากร จำกัด บริษัท ธรรมนิติ จำกัด (มหาชน) บัญชี ประกันสังคม ประชุม ครม. ประมวลกฎหมายอาญา ประมวลกฎหมายแพ่งและพาณิชย์ ผู้ประกอบการ ผู้ประกันตน พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ภาษี ภาษีมูลค่าเพิ่ม มติ ครม. ลดหย่อนภาษี ลูกจ้าง ลูกหนี้ วารสาร CPD & Account วารสาร HR Society magazine วารสารเอกสารภาษีอากร เงินสมทบ เจ้าหนี้

Copyright ©2025  dharmniti.co.th All rights reserved.

Log in with your credentials

Forgot your details?