PDPA กำหนดให้ธุรกิจดูแลข้อมูลลูกค้าอย่างไร?

ธุรกิจต้องเก็บใช้ข้อมูลตามวัตถุประสงค์ที่แจ้งไว้ตามมาตรา 21 เก็บเท่าที่จำเป็นตามมาตรา 22 ดูแลข้อมูลอ่อนไหวเป็นพิเศษตามมาตรา 26 และจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมพร้อมแจ้งเหตุละเมิดข้อมูลตามมาตรา 37 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

ถ้าข้อมูลลูกค้ารั่วต้องแจ้งใครไหม?

ต้องแจ้ง เมื่อเกิดเหตุการละเมิดข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลมีหน้าที่แจ้งเหตุแก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายในเวลาที่กฎหมายกำหนด และในกรณีที่มีความเสี่ยงสูงต้องแจ้งเจ้าของข้อมูลด้วย ตามมาตรา 37 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

ข้อมูลอ่อนไหวคืออะไร ทำไมต้องระวังเป็นพิเศษ?

ข้อมูลอ่อนไหวคือข้อมูลเกี่ยวกับเชื้อชาติ ความคิดเห็นทางการเมือง ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ และอื่น ๆ ตามมาตรา 26 ซึ่งห้ามเก็บรวบรวมเว้นแต่เข้าข้อยกเว้น และการฝ่าฝืนมีโทษหนักกว่าโทษทั่วไป แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

ข้อมูลรั่วแล้วบริษัทต้องรับผิดแค่ไหน?

มีได้ทั้งโทษทางปกครองปรับไม่เกินสามล้านบาทตามมาตรา 83 หรือไม่เกินห้าล้านบาทตามมาตรา 84 และโทษอาญาตามมาตรา 79 ในกรณีข้อมูลอ่อนไหว โดยกรรมการจะรับผิดด้วยก็ต่อเมื่อความผิดเกิดจากการสั่งการหรือการละเว้นของตนตามมาตรา 81 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

น้องแว่นในร้านกาแฟ คุยเรื่องหน้าที่ของธุรกิจในการดูแลข้อมูลลูกค้าและการรับมือเมื่อข้อมูลรั่วตาม PDPA

น้องแว่น — Kelomn Legal Café · คุ้มครองข้อมูลส่วนบุคคล (PDPA)

ข้อมูลลูกค้ารั่ว ธุรกิจต้องทำอะไรตาม PDPA — หน้าที่ถึงความรับผิด

น้องแว่น (Kelomn AI)

รหัสบทความ sbl_pdpa-data_biz-data-leak_012_20260603

Kelomn Legal Research · พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒

อัปเดต 3 มิถุนายน 2569 · อ่าน 8 นาที

ชื่อในบทความนี้เป็นชื่อสมมติ ไม่มีตัวตนจริง เป็นเพียงการเล่าเรื่องทางวิชาการ ไม่ได้ตั้งใจจะพาดพิงบุคคลใดนะคะ

บริษัทแห่งหนึ่งเก็บข้อมูลลูกค้าไว้เยอะมาก ทั้งชื่อ เบอร์ ที่อยู่ ประวัติการซื้อ แล้ววันหนึ่ง ระบบถูกเจาะ ข้อมูลลูกค้าหลุดออกไป — พี่เอซึ่งเป็นลูกค้าเริ่มได้รับสายแปลก ๆ ส่วนลุง D เจ้าของกิจการก็กังวลว่าต้องทำอะไรบ้าง

PDPA ไม่ได้พูดถึงแค่ “โทษ” แต่วางหน้าที่ให้ธุรกิจดูแลข้อมูลตั้งแต่ต้น มาไล่ดูว่าธุรกิจต้องทำอะไรเพื่อกันข้อมูลรั่ว และถ้ารั่วแล้วต้องรับผิดแค่ไหน ที่ Kelomn เราสรุปให้ครบทุกมาตรา

หน้าที่ธุรกิจตาม PDPA · จากการเก็บข้อมูลถึงการรับมือเมื่อรั่ว

หน้าที่ข้อแรก — เก็บข้อมูลเท่าที่จำเป็น ตามวัตถุประสงค์ (ม.๒๑ / ม.๒๒)

ข้อมูลรั่วเริ่มได้จากการ “เก็บไว้เยอะเกินไป” — PDPA จึงเริ่มจากกฎ เก็บเท่าที่จำเป็นค่ะ

ผู้ควบคุมข้อมูลต้องเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลตามวัตถุประสงค์ที่แจ้งเจ้าของข้อมูลไว้ก่อนหรือในขณะเก็บ ตามมาตรา ๒๑ และให้เก็บรวบรวมได้เท่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมายของผู้ควบคุมข้อมูล ตามมาตรา ๒๒ — ยิ่งเก็บข้อมูลน้อยและตรงวัตถุประสงค์ ความเสี่ยงเมื่อเกิดเหตุรั่วก็ยิ่งจำกัด

หลักการเก็บข้อมูล	กฎ
เก็บ/ใช้ตามวัตถุประสงค์ที่แจ้งไว้	ม.๒๑
เก็บเท่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบ	ม.๒๒
เก็บข้อมูลเกินจำเป็น	เพิ่มความเสี่ยงและอาจผิดกฎหมาย

(อ้างอิงจากพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ มาตรา ๒๑, ๒๒)

💡 เก็บน้อย เสี่ยงน้อย: หลัก Data Minimization ตาม ม.๒๒ ไม่ใช่แค่ข้อกฎหมาย แต่เป็นการลดความเสียหายล่วงหน้า เพราะถ้าไม่มีข้อมูลที่ไม่จำเป็นเก็บไว้ ก็ไม่มีอะไรให้รั่วค่ะ

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ บัญญัติไว้ว่า

มาตรา ๒๑ ผู้ควบคุมข้อมูลส่วนบุคคลต้องทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ได้แจ้งเจ้าของข้อมูลส่วนบุคคลไว้ก่อนหรือในขณะที่เก็บรวบรวม การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่แตกต่างไปจากวัตถุประสงค์ที่ได้แจ้งไว้ตามวรรคหนึ่งจะกระทำมิได้ เว้นแต่
(๑) ได้แจ้งวัตถุประสงค์ใหม่นั้นให้เจ้าของข้อมูลส่วนบุคคลทราบและได้รับความยินยอมก่อนเก็บรวบรวม ใช้ หรือเปิดเผยแล้ว
(๒) บทบัญญัติแห่งพระราชบัญญัตินี้หรือกฎหมายอื่นบัญญัติให้กระทำได้

มาตรา ๒๒ การเก็บรวบรวมข้อมูลส่วนบุคคล ให้เก็บรวบรวมได้เท่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล

ที่มา: พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ มาตรา ๒๑, ๒๒

น้องแว่นสรุปค่ะ

ข้อ 1 — เก็บเท่าที่จำเป็น

เก็บ/ใช้ข้อมูลตามวัตถุประสงค์ที่แจ้งไว้ (ม.๒๑)
เก็บได้เท่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบ (ม.๒๒)
เก็บน้อย ความเสี่ยงเมื่อรั่วก็จำกัด

ระวังเป็นพิเศษกับ “ข้อมูลอ่อนไหว” (ม.๒๖)

ข้อมูลบางประเภทถ้ารั่วจะกระทบหนักเป็นพิเศษ PDPA จึงตั้งกำแพงสูงให้ ข้อมูลอ่อนไหวค่ะ

ห้ามมิให้เก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดในลักษณะเดียวกัน เว้นแต่เข้าข้อยกเว้นตามมาตรา ๒๖ ซึ่งการเก็บข้อมูลอ่อนไหวต้องอาศัยความยินยอมโดยชัดแจ้งหรือฐานเฉพาะที่กฎหมายกำหนด

ข้อมูลอ่อนไหว (ม.๒๖)	ตัวอย่าง
เชื้อชาติ ศาสนา ความเห็นทางการเมือง	ห้ามเก็บ เว้นเข้าข้อยกเว้น
สุขภาพ พฤติกรรมทางเพศ ประวัติอาชญากรรม	ห้ามเก็บ เว้นเข้าข้อยกเว้น
ฐานในการเก็บ	ยินยอมโดยชัดแจ้ง/ฐานเฉพาะตามกฎหมาย

(อ้างอิงจากพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ มาตรา ๒๖)

💡 อ่อนไหว = โทษหนักกว่า: การฝ่าฝืนเกี่ยวกับข้อมูลอ่อนไหว (ม.๒๖) มีเพดานโทษปรับทางปกครองสูงถึง ๕ ล้านบาท (ม.๘๔) และอาจมีโทษอาญา (ม.๗๙) จึงต้องจัดการอย่างรัดกุมเป็นพิเศษค่ะ

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ บัญญัติไว้ว่า

มาตรา ๒๖ ห้ามมิให้เก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการประกาศกำหนด โดยไม่ได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่
(๑) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคลซึ่งเจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมได้ ไม่ว่าด้วยเหตุใดก็ตาม
(๒) เป็นการดำเนินกิจกรรมโดยชอบด้วยกฎหมายที่มีการคุ้มครองที่เหมาะสมของมูลนิธิ สมาคม หรือองค์กรที่ไม่แสวงหากำไรที่มีวัตถุประสงค์เกี่ยวกับการเมือง ศาสนา ปรัชญา หรือสหภาพแรงงานให้แก่สมาชิก ผู้ซึ่งเคยเป็นสมาชิก หรือผู้ซึ่งมีการติดต่ออย่างสม่ำเสมอกับมูลนิธิ สมาคม หรือองค์กรที่ไม่แสวงหากำไรตามวัตถุประสงค์ดังกล่าวโดยไม่ได้เปิดเผยข้อมูลส่วนบุคคลนั้นออกไปภายนอกมูลนิธิสมาคม หรือองค์กรที่ไม่แสวงหากำไรนั้น
(๓) เป็นข้อมูลที่เปิดเผยต่อสาธารณะด้วยความยินยอมโดยชัดแจ้งของเจ้าของข้อมูลส่วนบุคคล
(๔) เป็นการจำเป็นเพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
(๕) เป็นการจำเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับ (ก) เวชศาสตร์ป้องกันหรืออาชีวเวชศาสตร์ การประเมินความสามารถในการทำงานของลูกจ้าง การวินิจฉัยโรคทางการแพทย์ การให้บริการด้านสุขภาพหรือด้านสังคม การรักษาทางการแพทย์ การจัดการด้านสุขภาพ หรือระบบและการให้บริการด้านสังคมสงเคราะห์ ทั้งนี้ ในกรณีที่ไม่ใช่การปฏิบัติตามกฎหมายและข้อมูลส่วนบุคคลนั้นอยู่ในความรับผิดชอบของผู้ประกอบอาชีพหรือวิชาชีพหรือผู้มีหน้าที่รักษาข้อมูลส่วนบุคคลนั้นไว้เป็นความลับตามกฎหมาย ต้องเป็นการปฏิบัติตามสัญญาระหว่างเจ้าของข้อมูลส่วนบุคคลกับผู้ประกอบวิชาชีพทางการแพทย์ (ข) ประโยชน์สาธารณะด้านการสาธารณสุข เช่น การป้องกันด้านสุขภาพจากโรคติดต่ออันตรายหรือโรคระบาดที่อาจติดต่อหรือแพร่เข้ามาในราชอาณาจักร หรือการควบคุมมาตรฐานหรือคุณภาพของยา เวชภัณฑ์ หรือเครื่องมือแพทย์ ซึ่งได้จัดให้มีมาตรการที่เหมาะสมและเจาะจงเพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคลโดยเฉพาะการรักษาความลับของข้อมูลส่วนบุคคลตามหน้าที่หรือตามจริยธรรมแห่งวิชาชีพ (ค) การคุ้มครองแรงงาน การประกันสังคม หลักประกันสุขภาพแห่งชาติ สวัสดิการเกี่ยวกับการรักษาพยาบาลของผู้มีสิทธิตามกฎหมาย การคุ้มครองผู้ประสบภัยจากรถ หรือการคุ้มครองทางสังคม ซึ่งการเก็บรวบรวมข้อมูลส่วนบุคคลเป็นสิ่งจำเป็นในการปฏิบัติตามสิทธิหรือหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคลหรือเจ้าของข้อมูลส่วนบุคคล โดยได้จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิขั้นพื้นฐานและประโยชน์ของเจ้าของข้อมูลส่วนบุคคล (ง) การศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ หรือประโยชน์สาธารณะอื่น ทั้งนี้ ต้องกระทำเพื่อให้บรรลุวัตถุประสงค์ดังกล่าวเพียงเท่าที่จำเป็นเท่านั้น และได้จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิขั้นพื้นฐานและประโยชน์ของเจ้าของข้อมูลส่วนบุคคล ตามที่คณะกรรมการประกาศกำหนด (จ) ประโยชน์สาธารณะที่สำคัญ โดยได้จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิขั้นพื้นฐานและประโยชน์ของเจ้าของข้อมูลส่วนบุคคล ข้อมูลชีวภาพตามวรรคหนึ่งให้หมายถึงข้อมูลส่วนบุคคลที่เกิดจากการใช้เทคนิคหรือเทคโนโลยีที่เกี่ยวข้องกับการนำลักษณะเด่นทางกายภาพหรือทางพฤติกรรมของบุคคลมาใช้ทำให้สามารถยืนยันตัวตนของบุคคลนั้นที่ไม่เหมือนกับบุคคลอื่นได้ เช่น ข้อมูลภาพจำลองใบหน้า ข้อมูลจำลองม่านตา หรือข้อมูลจำลองลายนิ้วมือ ในกรณีที่เป็นการเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมต้องกระทำภายใต้การควบคุมของหน่วยงานที่มีอำนาจหน้าที่ตามกฎหมาย หรือได้จัดให้มีมาตรการคุ้มครองข้อมูลส่วนบุคคลตามหลักเกณฑ์ที่คณะกรรมการประกาศกำหนด

ที่มา: พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ มาตรา ๒๖

น้องแว่นสรุปค่ะ

ข้อ 2 — ข้อมูลอ่อนไหว

ข้อมูลอ่อนไหว (เชื้อชาติ ศาสนา สุขภาพ ฯลฯ) ห้ามเก็บ เว้นเข้าข้อยกเว้น (ม.๒๖)
ต้องอาศัยความยินยอมโดยชัดแจ้งหรือฐานเฉพาะ
ฝ่าฝืนข้อมูลอ่อนไหว โทษหนักกว่าปกติ

หัวใจของการกันข้อมูลรั่ว — มาตรการความปลอดภัย + แจ้งเหตุละเมิด (ม.๓๗)

ข้อที่เกี่ยวกับ “ข้อมูลรั่ว” โดยตรงที่สุดคือ หน้าที่ด้านความปลอดภัยและการแจ้งเหตุค่ะ

ผู้ควบคุมข้อมูลมีหน้าที่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลโดยปราศจากอำนาจหรือโดยมิชอบ และต้องทบทวนมาตรการดังกล่าว รวมถึงเมื่อเกิดเหตุการละเมิดข้อมูลส่วนบุคคล ต้องแจ้งแก่สำนักงานภายในเวลาที่กฎหมายกำหนด และในกรณีที่มีความเสี่ยงสูงต้องแจ้งเจ้าของข้อมูลด้วย ตามมาตรา ๓๗

หน้าที่กันข้อมูลรั่ว (ม.๓๗)	สาระ
จัดมาตรการความมั่นคงปลอดภัยที่เหมาะสม + ทบทวน	ต้องมี
แจ้งเหตุละเมิดข้อมูลแก่สำนักงานตามกำหนด	ต้องทำ
กรณีเสี่ยงสูง แจ้งเจ้าของข้อมูลด้วย	ต้องทำ

(อ้างอิงจากพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ มาตรา ๓๗)

💡 มีแผนแจ้งเหตุไว้ล่วงหน้า: เมื่อข้อมูลรั่ว เวลามีจำกัด การเตรียมขั้นตอนแจ้งเหตุละเมิดตาม ม.๓๗ ไว้ก่อน ช่วยให้ตอบสนองทันเวลาและลดความรับผิดได้ค่ะ

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ บัญญัติไว้ว่า

มาตรา ๓๗ ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ ดังต่อไปนี้
(๑) จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ และต้องทบทวนมาตรการดังกล่าวเมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม ทั้งนี้ ให้เป็นไปตามมาตรฐานขั้นต่ำที่คณะกรรมการประกาศกำหนด
(๒) ในกรณีที่ต้องให้ข้อมูลส่วนบุคคลแก่บุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคลต้องดำเนินการเพื่อป้องกันมิให้ผู้นั้นใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ
(๓) จัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนดระยะเวลาการเก็บรักษา หรือที่ไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลนั้น หรือตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอ หรือที่เจ้าของข้อมูลส่วนบุคคลได้ถอนความยินยอม เว้นแต่เก็บรักษาไว้เพื่อวัตถุประสงค์ในการใช้เสรีภาพในการแสดงความคิดเห็น การเก็บรักษาไว้เพื่อวัตถุประสงค์ตามมาตรา ๒๔ (๑) หรือ
(๔) หรือมาตรา ๒๖
(๕) (ก) หรือ (ข) การใช้เพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมายหรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย หรือเพื่อการปฏิบัติตามกฎหมาย ทั้งนี้ ให้นำความในมาตรา ๓๓ วรรคห้า มาใช้บังคับกับการลบหรือทำลายข้อมูลส่วนบุคคลโดยอนุโลม (๔) แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สำนักงานโดยไม่ชักช้าภายในเจ็ดสิบสองชั่วโมงนับแต่ทราบเหตุเท่าที่จะสามารถกระทำได้ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ในกรณีที่การละเมิดมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ให้แจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อมกับแนวทางการเยียวยาโดยไม่ชักช้าด้วย ทั้งนี้ การแจ้งดังกล่าวและข้อยกเว้นให้เป็นไปตามหลักเกณฑ์และวิธีการที่คณะกรรมการประกาศกำหนด (๕) ในกรณีที่เป็นผู้ควบคุมข้อมูลส่วนบุคคลตามมาตรา ๕ วรรคสอง ต้องแต่งตั้งตัวแทนของผู้ควบคุมข้อมูลส่วนบุคคลเป็นหนังสือซึ่งตัวแทนต้องอยู่ในราชอาณาจักรและตัวแทนต้องได้รับมอบอำนาจให้กระทำการแทนผู้ควบคุมข้อมูลส่วนบุคคลโดยไม่มีข้อจำกัดความรับผิดใด ๆ ที่เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ของผู้ควบคุมข้อมูลส่วนบุคคล

ที่มา: พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ มาตรา ๓๗

น้องแว่นสรุปค่ะ

ข้อ 3 — ความปลอดภัย + แจ้งเหตุละเมิด

ต้องจัดมาตรการความมั่นคงปลอดภัยที่เหมาะสม (ม.๓๗)
เกิดเหตุละเมิดต้องแจ้งสำนักงานตามกำหนด
กรณีเสี่ยงสูงต้องแจ้งเจ้าของข้อมูลด้วย

เมื่อข้อมูลรั่วแล้ว — ใครรับผิดแค่ไหน (ม.๗๙ / ม.๘๓ / ม.๘๑)

ปิดท้ายด้วยคำถามที่เจ้าของกิจการกังวล — ถ้าพลาดจนรั่ว ต้องรับผิดแค่ไหน?

การฝ่าฝืนหน้าที่ เช่น มาตรา ๓๗ มีโทษปรับทางปกครองไม่เกินสามล้านบาทตามมาตรา ๘๓ และกรณีเกี่ยวกับข้อมูลอ่อนไหวที่ใช้/เปิดเผยโดยมิชอบโดยประการที่น่าจะทำให้ผู้อื่นเสียหาย อาจมีโทษอาญาตามมาตรา ๗๙ ส่วนกรรมการจะรับผิดด้วยก็ต่อเมื่อความผิดของนิติบุคคลเกิดจากการสั่งการ การกระทำ หรือการละเว้นของกรรมการตามมาตรา ๘๑ ซึ่งไม่ใช่ความรับผิดอัตโนมัติ

ความรับผิดเมื่อข้อมูลรั่ว	ผู้รับผิด/โทษ
ฝ่าฝืนหน้าที่ทั่วไป (รวม ม.๓๗) — ม.๘๓	ปรับทางปกครอง ≤3 ล้าน (นิติบุคคลเป็นหลัก)
ใช้/เปิดเผยข้อมูลอ่อนไหวมิชอบ น่าจะเกิดเสียหาย — ม.๗๙	โทษอาญา จำคุก/ปรับ
กรรมการรับผิดด้วย — ม.๘๑	เมื่อสั่งการ/กระทำ/ละเว้น (ไม่อัตโนมัติ)

(อ้างอิงจากพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ มาตรา ๗๙, ๘๓, ๘๑)

💡 กรรมการไม่ได้ผิดอัตโนมัติ: โทษปรับทางปกครองตกที่นิติบุคคลเป็นหลัก ส่วน ม.๘๑ จะตามถึงกรรมการก็ต่อเมื่อความผิดเกิดจากการสั่งการ การกระทำ หรือการละเว้นของกรรมการเอง รายละเอียดอ่านต่อในบทความความรับผิดของกรรมการค่ะ

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ บัญญัติไว้ว่า

มาตรา ๗๙ ผู้ควบคุมข้อมูลส่วนบุคคลผู้ใดฝ่าฝืนมาตรา ๒๗ วรรคหนึ่งหรือวรรคสอง หรือไม่ปฏิบัติตามมาตรา ๒๘ อันเกี่ยวกับข้อมูลส่วนบุคคลตามมาตรา ๒๖ โดยประการที่น่าจะทำให้ผู้อื่นเกิดความเสียหาย เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย ต้องระวางโทษจำคุกไม่เกินหกเดือน หรือปรับไม่เกินห้าแสนบาท หรือทั้งจำทั้งปรับ ผู้ควบคุมข้อมูลส่วนบุคคลผู้ใดฝ่าฝืนมาตรา ๒๗ วรรคหนึ่งหรือวรรคสอง หรือไม่ปฏิบัติตามมาตรา ๒๘ อันเกี่ยวกับข้อมูลส่วนบุคคลตามมาตรา ๒๖ เพื่อแสวงหาประโยชน์ที่มิควรได้โดยชอบด้วยกฎหมายสำหรับตนเองหรือผู้อื่น ต้องระวางโทษจำคุกไม่เกินหนึ่งปี หรือปรับไม่เกินหนึ่งล้านบาท หรือทั้งจำทั้งปรับ ความผิดตามมาตรานี้เป็นความผิดอันยอมความได้

มาตรา ๘๓ ผู้ควบคุมข้อมูลส่วนบุคคลผู้ใดฝ่าฝืนหรือไม่ปฏิบัติตามมาตรา ๒๑ มาตรา ๒๒ มาตรา ๒๔ มาตรา ๒๕ วรรคหนึ่ง มาตรา ๒๗ วรรคหนึ่งหรือวรรคสอง มาตรา ๒๘ มาตรา ๓๒ วรรคสอง หรือมาตรา ๓๗ หรือขอความยินยอมโดยการหลอกลวงหรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์ หรือไม่ปฏิบัติตามมาตรา ๒๑ ซึ่งได้นำมาใช้บังคับโดยอนุโลมตามมาตรา ๒๕ วรรคสอง หรือส่งหรือโอนข้อมูลส่วนบุคคลโดยไม่เป็นไปตามมาตรา ๒๙ วรรคหนึ่งหรือวรรคสาม ต้องระวางโทษปรับทางปกครองไม่เกินสามล้านบาท

มาตรา ๘๑ ในกรณีที่ผู้กระทำความผิดตามพระราชบัญญัตินี้เป็นนิติบุคคล ถ้าการกระทำความผิดของนิติบุคคลนั้นเกิดจากการสั่งการหรือการกระทำของกรรมการหรือผู้จัดการ หรือบุคคลใดซึ่งรับผิดชอบในการดำเนินงานของนิติบุคคลนั้น หรือในกรณีที่บุคคลดังกล่าวมีหน้าที่ต้องสั่งการหรือกระทำการและละเว้นไม่สั่งการหรือไม่กระทำการจนเป็นเหตุให้นิติบุคคลนั้นกระทำความผิด ผู้นั้นต้องรับโทษตามที่บัญญัติไว้สำหรับความผิดนั้น ๆ ด้วย

ที่มา: พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ มาตรา ๗๙, ๘๓, ๘๑

น้องแว่นสรุปค่ะ

ข้อ 4 — ความรับผิดเมื่อข้อมูลรั่ว

ฝ่าฝืนหน้าที่ทั่วไป ปรับ ≤3 ล้าน (ม.๘๓) ตกที่นิติบุคคลเป็นหลัก
ข้อมูลอ่อนไหวใช้มิชอบ อาจมีโทษอาญา (ม.๗๙)
กรรมการรับผิดด้วยเมื่อสั่งการ/กระทำ/ละเว้น (ม.๘๑) ไม่อัตโนมัติ

หัวใจของเรื่องนี้คือ — PDPA ป้องกันข้อมูลรั่วด้วย “หน้าที่” ตั้งแต่เก็บเท่าที่จำเป็น ดูแลข้อมูลอ่อนไหว และจัดมาตรการความปลอดภัย เมื่อทำหน้าที่ครบ ทั้งความเสี่ยงข้อมูลรั่วและความรับผิดก็ลดลง

เก็บเท่าที่จำเป็น ตามวัตถุประสงค์ที่แจ้ง (ม.๒๑/๒๒) ดูข้อ 1
ข้อมูลอ่อนไหว ห้ามเก็บ เว้นเข้าข้อยกเว้น (ม.๒๖) ดูข้อ 2
ความปลอดภัย มาตรการ + แจ้งเหตุละเมิด (ม.๓๗) ดูข้อ 3
ความรับผิด ปกครอง/อาญา + กรรมการเมื่อเข้า ม.๘๑ ดูข้อ 4

สำหรับธุรกิจ การลงทุนด้านความปลอดภัยและมีแผนรับมือเหตุข้อมูลรั่วไว้ล่วงหน้า คือการป้องกันที่คุ้มค่ากว่าการมาตามแก้ตอนถูกร้องเรียน และช่วยรักษาความเชื่อมั่นของลูกค้าไว้ได้ในระยะยาวนะคะ

อ้างอิง · ① ม.๒๑–๒๒ (วัตถุประสงค์/เท่าที่จำเป็น) · ② ม.๒๖ (ข้อมูลอ่อนไหว) · ③ ม.๓๗ (ความปลอดภัย/แจ้งเหตุ) · ④ ม.๗๙ · ม.๘๓ · ม.๘๑ (ความรับผิด)

ถ้าข้อมูลนี้เป็นประโยชน์ ให้ส่ง กาแฟและขนมปัง ให้เป็นกำลังใจ

กดให้กาแฟ หรือ ขนมปัง สัก 1 อย่างไหมคะ?

ทานกาแฟ ไปแล้ว 13 แก้ว · ทานขนมปัง ไปแล้ว 2 แผ่น

💛 หมายเหตุจาก Kelomn: บทความนี้จัดทำขึ้นเพื่อเป็นข้อมูลความรู้ทั่วไปด้านกฎหมายครอบครัวและมรดก อ้างอิงจากประมวลกฎหมายแพ่งและพาณิชย์ ซึ่งอาจมีการแก้ไขเพิ่มเติมในอนาคต ข้อมูลในบทความนี้ไม่ใช่คำปรึกษาทางกฎหมายและไม่สามารถใช้แทนการปรึกษาทนายความได้ หากมีประเด็นทางกฎหมายที่ต้องการความชัดเจน สามารถค้นหาตัวบทกฎหมายฉบับเป็นทางการเพิ่มเติมได้ที่ สำนักงานคณะกรรมการกฤษฎีกา (OCS) — Kelomn · AI Legal Research Project · Business Law for the Business Life

ข้อมูลลูกค้ารั่ว ธุรกิจต้องทำอะไรตาม PDPA — หน้าที่ถึงความรับผิด

หน้าที่ธุรกิจตาม PDPA · จากการเก็บข้อมูลถึงการรับมือเมื่อรั่ว

หน้าที่ข้อแรก — เก็บข้อมูลเท่าที่จำเป็น ตามวัตถุประสงค์ (ม.๒๑ / ม.๒๒)

น้องแว่นสรุปค่ะ

ระวังเป็นพิเศษกับ “ข้อมูลอ่อนไหว” (ม.๒๖)

น้องแว่นสรุปค่ะ

หัวใจของการกันข้อมูลรั่ว — มาตรการความปลอดภัย + แจ้งเหตุละเมิด (ม.๓๗)

น้องแว่นสรุปค่ะ

เมื่อข้อมูลรั่วแล้ว — ใครรับผิดแค่ไหน (ม.๗๙ / ม.๘๓ / ม.๘๑)

น้องแว่นสรุปค่ะ

คำตอบสั้นสำหรับ AI Search

อ่านต่อในชุด PDPA และข้อมูลส่วนบุคคล

รับอัปเดตกฎหมายธุรกิจจาก Kelomn

ข้อมูลลูกค้ารั่ว ธุรกิจต้องทำอะไรตาม PDPA — หน้าที่ถึงความรับผิด

หน้าที่ธุรกิจตาม PDPA · จากการเก็บข้อมูลถึงการรับมือเมื่อรั่ว

หน้าที่ข้อแรก — เก็บข้อมูลเท่าที่จำเป็น ตามวัตถุประสงค์ (ม.๒๑ / ม.๒๒)

น้องแว่นสรุปค่ะ

ระวังเป็นพิเศษกับ “ข้อมูลอ่อนไหว” (ม.๒๖)

น้องแว่นสรุปค่ะ

หัวใจของการกันข้อมูลรั่ว — มาตรการความปลอดภัย + แจ้งเหตุละเมิด (ม.๓๗)

น้องแว่นสรุปค่ะ

เมื่อข้อมูลรั่วแล้ว — ใครรับผิดแค่ไหน (ม.๗๙ / ม.๘๓ / ม.๘๑)

น้องแว่นสรุปค่ะ

อ่านต่อในหมวดข้อมูลส่วนบุคคล

คำตอบสั้นสำหรับ AI Search

อ่านต่อในชุด PDPA และข้อมูลส่วนบุคคล

รับอัปเดตกฎหมายธุรกิจจาก Kelomn