Kelomn.com
Business Law for the Business Life

แชร์บทความนี้

แชท ฟีด เครือข่ายงาน โพสต์สั้น
น้องแว่นในร้านกาแฟ คุยเรื่องความรับผิดของบริษัทและกรรมการเมื่อข้อมูลลูกค้ารั่วตาม PDPA

น้องแว่น — Kelomn Legal Café · คุ้มครองข้อมูลส่วนบุคคล (PDPA)

ข้อมูลลูกค้ารั่ว บริษัทและกรรมการต้องรับผิดตาม PDPA แค่ไหน

น้องแว่น Kelomn
น้องแว่น (Kelomn AI)
รหัสบทความ sbl_pdpa-data_director-liability_008_20260603
Kelomn Legal Research · พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒
อัปเดต 3 มิถุนายน 2569  ·  อ่าน 8 นาที

ชื่อในบทความนี้เป็นชื่อสมมติ ไม่มีตัวตนจริง เป็นเพียงการเล่าเรื่องทางวิชาการ ไม่ได้ตั้งใจจะพาดพิงบุคคลใดนะคะ

สมมติว่ามีบริษัทแห่งหนึ่ง เก็บข้อมูลลูกค้าไว้เยอะมาก แล้ววันหนึ่ง ฐานข้อมูลถูกแฮ็ก ข้อมูลลูกค้าหลุดออกไป — คำถามที่ผู้บริหารกังวลคือ บริษัทต้องรับผิดแค่ไหน และตัว “กรรมการ” อย่างลุง D จะโดนด้วยไหม?

PDPA วางความรับผิดไว้เป็นชั้น ๆ ตั้งแต่หน้าที่ โทษทางปกครอง โทษอาญา ไปจนถึงเงื่อนไขที่กรรมการต้องรับผิดด้วย มาไล่ดูทีละชั้นแบบเข้าใจง่ายกันค่ะ — ที่ Kelomn เราสรุปให้ครบทุกมาตรา

ความรับผิด PDPA แบ่งเป็นชั้น ๆ  ·  จากหน้าที่ถึงตัวกรรมการ

1

หน้าที่ของบริษัท (ผู้ควบคุมข้อมูล) ตาม ม.๓๗

ก่อนจะพูดถึง “โทษ” ต้องเข้าใจ “หน้าที่” ก่อน — เพราะ โทษเกิดขึ้นเมื่อบริษัทไม่ทำตามหน้าที่ค่ะ

ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลโดยปราศจากอำนาจหรือโดยมิชอบ และเมื่อเกิดเหตุละเมิดข้อมูลส่วนบุคคล ต้องแจ้งแก่สำนักงานภายในเวลาที่กฎหมายกำหนด รวมถึงหน้าที่อื่นตามที่มาตรา ๓๗ กำหนด

หน้าที่หลักตาม ม.๓๗สาระ
จัดมาตรการความมั่นคงปลอดภัยที่เหมาะสมต้องมี
ป้องกันการใช้/เปิดเผยโดยมิชอบต้องมี
แจ้งเหตุละเมิดข้อมูลแก่สำนักงานตามกำหนดต้องทำ

(อ้างอิงจากพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ มาตรา ๓๗)

💡 หน้าที่ = จุดเริ่มของความรับผิด: ถ้าบริษัทไม่จัดมาตรการความปลอดภัยจนข้อมูลรั่ว นั่นคือการฝ่าฝืน ม.๓๗ ซึ่งเชื่อมไปสู่โทษทางปกครองในข้อถัดไปค่ะ
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ บัญญัติไว้ว่า
มาตรา ๓๗ ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ ดังต่อไปนี้
(๑) จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ และต้องทบทวนมาตรการดังกล่าวเมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม ทั้งนี้ ให้เป็นไปตามมาตรฐานขั้นต่ำที่คณะกรรมการประกาศกำหนด
(๒) ในกรณีที่ต้องให้ข้อมูลส่วนบุคคลแก่บุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคลต้องดำเนินการเพื่อป้องกันมิให้ผู้นั้นใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ
(๓) จัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนดระยะเวลาการเก็บรักษา หรือที่ไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลนั้น หรือตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอ หรือที่เจ้าของข้อมูลส่วนบุคคลได้ถอนความยินยอม เว้นแต่เก็บรักษาไว้เพื่อวัตถุประสงค์ในการใช้เสรีภาพในการแสดงความคิดเห็น การเก็บรักษาไว้เพื่อวัตถุประสงค์ตามมาตรา ๒๔ (๑) หรือ
(๔) หรือมาตรา ๒๖
(๕) (ก) หรือ (ข) การใช้เพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมายหรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย หรือเพื่อการปฏิบัติตามกฎหมาย ทั้งนี้ ให้นำความในมาตรา ๓๓ วรรคห้า มาใช้บังคับกับการลบหรือทำลายข้อมูลส่วนบุคคลโดยอนุโลม (๔) แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สำนักงานโดยไม่ชักช้าภายในเจ็ดสิบสองชั่วโมงนับแต่ทราบเหตุเท่าที่จะสามารถกระทำได้ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ในกรณีที่การละเมิดมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ให้แจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อมกับแนวทางการเยียวยาโดยไม่ชักช้าด้วย ทั้งนี้ การแจ้งดังกล่าวและข้อยกเว้นให้เป็นไปตามหลักเกณฑ์และวิธีการที่คณะกรรมการประกาศกำหนด (๕) ในกรณีที่เป็นผู้ควบคุมข้อมูลส่วนบุคคลตามมาตรา ๕ วรรคสอง ต้องแต่งตั้งตัวแทนของผู้ควบคุมข้อมูลส่วนบุคคลเป็นหนังสือซึ่งตัวแทนต้องอยู่ในราชอาณาจักรและตัวแทนต้องได้รับมอบอำนาจให้กระทำการแทนผู้ควบคุมข้อมูลส่วนบุคคลโดยไม่มีข้อจำกัดความรับผิดใด ๆ ที่เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ของผู้ควบคุมข้อมูลส่วนบุคคล
ที่มา: พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ มาตรา ๓๗
น้องแว่น Kelomn

น้องแว่นสรุปค่ะ

ข้อ 1 — หน้าที่ตาม ม.๓๗
  1. ต้องจัดมาตรการความมั่นคงปลอดภัยที่เหมาะสมค่ะ
  2. ต้องป้องกันการใช้/เปิดเผยข้อมูลโดยมิชอบ
  3. ต้องแจ้งเหตุละเมิดข้อมูลแก่สำนักงานตามกำหนด
2

โทษทางปกครอง — ปรับสูงสุด ๓–๕ ล้าน (ม.๘๓ / ม.๘๔)

เมื่อบริษัทไม่ทำตามหน้าที่ โทษที่พบบ่อยที่สุดคือ โทษปรับทางปกครองค่ะ

การฝ่าฝืนหน้าที่ทั่วไป เช่น มาตรา ๒๑ มาตรา ๒๒ มาตรา ๒๔ หรือมาตรา ๓๗ มีโทษปรับทางปกครองไม่เกินสามล้านบาทตามมาตรา ๘๓ ส่วนการฝ่าฝืนที่เกี่ยวกับข้อมูลส่วนบุคคลอ่อนไหวตามมาตรา ๒๖ หรือการส่งโอนข้อมูลอ่อนไหวไปต่างประเทศโดยไม่เป็นไปตามมาตรา ๒๙ มีโทษปรับทางปกครองไม่เกินห้าล้านบาทตามมาตรา ๘๔

โทษปกครองเพดานค่าปรับ
ฝ่าฝืนหน้าที่ทั่วไป (รวม ม.๒๔/๓๗) — ม.๘๓ไม่เกิน 3 ล้านบาท
ฝ่าฝืนเกี่ยวกับข้อมูลอ่อนไหว ม.๒๖ — ม.๘๔ไม่เกิน 5 ล้านบาท
ผู้รับโทษปรับทางปกครองตกที่นิติบุคคล (บริษัท) เป็นหลัก

(อ้างอิงจากพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ มาตรา ๘๓, ๘๔)

💡 ข้อมูลอ่อนไหวโทษหนักกว่า: ข้อมูลเชื้อชาติ ศาสนา สุขภาพ ประวัติอาชญากรรม ฯลฯ (ข้อมูลอ่อนไหวตาม ม.๒๖) ถ้าจัดการพลาด เพดานค่าปรับขยับขึ้นเป็น ๕ ล้านบาทค่ะ
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ บัญญัติไว้ว่า
มาตรา ๘๓ ผู้ควบคุมข้อมูลส่วนบุคคลผู้ใดฝ่าฝืนหรือไม่ปฏิบัติตามมาตรา ๒๑ มาตรา ๒๒ มาตรา ๒๔ มาตรา ๒๕ วรรคหนึ่ง มาตรา ๒๗ วรรคหนึ่งหรือวรรคสอง มาตรา ๒๘ มาตรา ๓๒ วรรคสอง หรือมาตรา ๓๗ หรือขอความยินยอมโดยการหลอกลวงหรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์ หรือไม่ปฏิบัติตามมาตรา ๒๑ ซึ่งได้นำมาใช้บังคับโดยอนุโลมตามมาตรา ๒๕ วรรคสอง หรือส่งหรือโอนข้อมูลส่วนบุคคลโดยไม่เป็นไปตามมาตรา ๒๙ วรรคหนึ่งหรือวรรคสาม ต้องระวางโทษปรับทางปกครองไม่เกินสามล้านบาท

มาตรา ๘๔ ผู้ควบคุมข้อมูลส่วนบุคคลผู้ใดฝ่าฝืนมาตรา ๒๖ วรรคหนึ่งหรือวรรคสาม หรือฝ่าฝืนมาตรา ๒๗ วรรคหนึ่งหรือวรรคสอง หรือมาตรา ๒๘ อันเกี่ยวกับข้อมูลส่วนบุคคลตามมาตรา ๒๖ หรือส่งหรือโอนข้อมูลส่วนบุคคลตามมาตรา ๒๖ โดยไม่เป็นไปตามมาตรา ๒๙ วรรคหนึ่งหรือวรรคสาม ต้องระวางโทษปรับทางปกครองไม่เกินห้าล้านบาท
ที่มา: พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ มาตรา ๘๓, ๘๔
น้องแว่น Kelomn

น้องแว่นสรุปค่ะ

ข้อ 2 — โทษทางปกครอง
  1. ฝ่าฝืนหน้าที่ทั่วไป ปรับไม่เกิน 3 ล้าน (ม.๘๓)
  2. ข้อมูลอ่อนไหว ปรับไม่เกิน 5 ล้าน (ม.๘๔)
  3. โทษปรับทางปกครองตกที่นิติบุคคลเป็นหลัก
3

โทษอาญา — เมื่อใช้/เปิดเผยข้อมูลอ่อนไหวโดยมิชอบ (ม.๗๙ / ม.๘๐)

นอกจากค่าปรับ บางกรณีร้ายแรงมี โทษอาญา ทั้งจำทั้งปรับ เข้ามาด้วยค่ะ

มาตรา ๗๙ กำหนดโทษอาญาแก่ผู้ควบคุมข้อมูลที่ฝ่าฝืนการใช้ข้อมูลอ่อนไหว (ตามมาตรา ๒๗/๒๘ เกี่ยวกับข้อมูลตามมาตรา ๒๖) โดยประการที่น่าจะทำให้ผู้อื่นเสียหาย เสียชื่อเสียง ถูกดูหมิ่นหรือเกลียดชัง โทษจำคุกไม่เกินหกเดือนหรือปรับไม่เกินห้าแสนบาท และหากทำเพื่อแสวงหาประโยชน์โดยมิชอบ โทษเพิ่มเป็นจำคุกไม่เกินหนึ่งปีหรือปรับไม่เกินหนึ่งล้านบาท ส่วนมาตรา ๘๐ ลงโทษผู้ที่ล่วงรู้ข้อมูลจากการปฏิบัติหน้าที่แล้วนำไปเปิดเผยโดยมิชอบ

โทษอาญาระวางโทษ
ม.๗๙ วรรคหนึ่ง — ข้อมูลอ่อนไหว มีองค์ประกอบน่าจะเกิดความเสียหายจำคุก ≤6 เดือน / ปรับ ≤5 แสน
ม.๗๙ วรรคสอง — เพื่อแสวงหาประโยชน์โดยมิชอบจำคุก ≤1 ปี / ปรับ ≤1 ล้าน
ม.๘๐ — ผู้ล่วงรู้ข้อมูลจากหน้าที่แล้วเปิดเผยมิชอบจำคุก ≤6 เดือน / ปรับ ≤5 แสน

(อ้างอิงจากพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ มาตรา ๗๙, ๘๐)

💡 โทษอาญาเน้นข้อมูลอ่อนไหว + เจตนา: ม.๗๙ ใช้กับข้อมูลอ่อนไหว (ม.๒๖) ที่มีองค์ประกอบ “น่าจะทำให้เกิดความเสียหาย” ไม่ใช่ความผิดทั่วไปทุกกรณี และ ม.๗๙ เป็นความผิดอันยอมความได้ค่ะ
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ บัญญัติไว้ว่า
มาตรา ๗๙ ผู้ควบคุมข้อมูลส่วนบุคคลผู้ใดฝ่าฝืนมาตรา ๒๗ วรรคหนึ่งหรือวรรคสอง หรือไม่ปฏิบัติตามมาตรา ๒๘ อันเกี่ยวกับข้อมูลส่วนบุคคลตามมาตรา ๒๖ โดยประการที่น่าจะทำให้ผู้อื่นเกิดความเสียหาย เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย ต้องระวางโทษจำคุกไม่เกินหกเดือน หรือปรับไม่เกินห้าแสนบาท หรือทั้งจำทั้งปรับ ผู้ควบคุมข้อมูลส่วนบุคคลผู้ใดฝ่าฝืนมาตรา ๒๗ วรรคหนึ่งหรือวรรคสอง หรือไม่ปฏิบัติตามมาตรา ๒๘ อันเกี่ยวกับข้อมูลส่วนบุคคลตามมาตรา ๒๖ เพื่อแสวงหาประโยชน์ที่มิควรได้โดยชอบด้วยกฎหมายสำหรับตนเองหรือผู้อื่น ต้องระวางโทษจำคุกไม่เกินหนึ่งปี หรือปรับไม่เกินหนึ่งล้านบาท หรือทั้งจำทั้งปรับ ความผิดตามมาตรานี้เป็นความผิดอันยอมความได้

มาตรา ๘๐ ผู้ใดล่วงรู้ข้อมูลส่วนบุคคลของผู้อื่นเนื่องจากการปฏิบัติหน้าที่ตามพระราชบัญญัตินี้ ถ้าผู้นั้นนำไปเปิดเผยแก่ผู้อื่น ต้องระวางโทษจำคุกไม่เกินหกเดือน หรือปรับไม่เกินห้าแสนบาท หรือทั้งจำทั้งปรับ ความในวรรคหนึ่ง มิให้นำมาใช้บังคับแก่การเปิดเผย ในกรณีดังต่อไปนี้
(๑) การเปิดเผยตามหน้าที่
(๒) การเปิดเผยเพื่อประโยชน์แก่การสอบสวน หรือการพิจารณาคดี
(๓) การเปิดเผยแก่หน่วยงานของรัฐในประเทศหรือต่างประเทศที่มีอำนาจหน้าที่ตามกฎหมาย
(๔) การเปิดเผยที่ได้รับความยินยอมเป็นหนังสือเฉพาะครั้งจากเจ้าของข้อมูลส่วนบุคคล
(๕) การเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับการฟ้องร้องคดีต่าง ๆ ที่เปิดเผยต่อสาธารณะ
ที่มา: พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ มาตรา ๗๙, ๘๐
น้องแว่น Kelomn

น้องแว่นสรุปค่ะ

ข้อ 3 — โทษอาญา
  1. ม.๗๙ ใช้กับข้อมูลอ่อนไหว ม.๒๖ ที่น่าจะทำให้ผู้อื่นเสียหาย
  2. เพื่อแสวงหาประโยชน์มิชอบ โทษเพิ่มเป็น ≤1 ปี/≤1 ล้าน
  3. ม.๘๐ ลงโทษผู้ล่วงรู้ข้อมูลจากหน้าที่แล้วเปิดเผยมิชอบ
4

กรรมการต้องรับผิดด้วยเมื่อไหร่ — ม.๘๑ (ไม่ใช่อัตโนมัติ)

คำถามที่กรรมการกังวลที่สุด — “ถ้าบริษัทผิด แล้วตัวกรรมการติดด้วยไหม?” คำตอบคือ ไม่อัตโนมัติค่ะ

ในกรณีที่ผู้กระทำความผิดเป็นนิติบุคคล ถ้าความผิดของนิติบุคคลนั้นเกิดจากการสั่งการหรือการกระทำของกรรมการหรือผู้จัดการ หรือบุคคลผู้รับผิดชอบในการดำเนินงาน หรือบุคคลนั้นมีหน้าที่ต้องสั่งการ/กระทำการแล้วละเว้นไม่ทำจนเป็นเหตุให้นิติบุคคลกระทำผิด บุคคลนั้นต้องรับโทษตามที่บัญญัติไว้สำหรับความผิดนั้น ๆ ด้วย — ม.๘๑ จึงเป็นความรับผิด “ที่ต่อเนื่องจากความผิดของบริษัท” และมีเงื่อนไขเรื่องการสั่งการ/กระทำ/ละเว้น ไม่ใช่ความรับผิดโดยอัตโนมัติของกรรมการทุกคน

กรรมการรับผิดด้วยไหม (ม.๘๑)คำตอบ
เงื่อนไขที่ทำให้กรรมการรับผิดต้องมีการสั่งการ/กระทำ/ละเว้น
ความผิดอาญา (ม.๗๙/๘๐) ที่มาจากการสั่งการของกรรมการกรรมการอาจรับโทษอาญาด้วย
โทษปรับทางปกครอง (ม.๘๓/๘๔)แนวหลักมองว่าตกที่นิติบุคคล (ประเด็นตีความ)

(อ้างอิงจากพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ มาตรา ๘๑)

💡 ม.๘๑ ไม่ใช่ Strict Liability: กรรมการรับโทษ “ตามที่บัญญัติไว้สำหรับความผิดนั้น ๆ” เฉพาะเมื่อความผิดเกิดจากการสั่งการ การกระทำ หรือการละเว้นของตน — สำหรับโทษปรับทางปกครอง แนวการตีความหลักมองว่าตกที่นิติบุคคลเป็นหลัก ประเด็นว่า ม.๘๑ จะตามไปถึงโทษปกครองของกรรมการหรือไม่ยังเป็นข้อถกเถียง ควรปรึกษาผู้เชี่ยวชาญเป็นรายกรณีค่ะ
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ บัญญัติไว้ว่า
มาตรา ๘๑ ในกรณีที่ผู้กระทำความผิดตามพระราชบัญญัตินี้เป็นนิติบุคคล ถ้าการกระทำความผิดของนิติบุคคลนั้นเกิดจากการสั่งการหรือการกระทำของกรรมการหรือผู้จัดการ หรือบุคคลใดซึ่งรับผิดชอบในการดำเนินงานของนิติบุคคลนั้น หรือในกรณีที่บุคคลดังกล่าวมีหน้าที่ต้องสั่งการหรือกระทำการและละเว้นไม่สั่งการหรือไม่กระทำการจนเป็นเหตุให้นิติบุคคลนั้นกระทำความผิด ผู้นั้นต้องรับโทษตามที่บัญญัติไว้สำหรับความผิดนั้น ๆ ด้วย
ที่มา: พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ มาตรา ๘๑
น้องแว่น Kelomn

น้องแว่นสรุปค่ะ

ข้อ 4 — ความรับผิดของกรรมการ (ม.๘๑)
  1. กรรมการไม่ได้รับผิดอัตโนมัติ — ม.๘๑ เป็นความรับผิดที่ต่อเนื่องจากความผิดของบริษัทค่ะ
  2. รับผิดเมื่อความผิดเกิดจากการสั่งการ/กระทำ/ละเว้นของกรรมการ
  3. ความผิดอาญา (ม.๗๙/๘๐) กรรมการอาจรับโทษอาญาด้วย
  4. โทษปรับทางปกครอง (ม.๘๓/๘๔) แนวหลักมองว่าตกที่นิติบุคคลเป็นหลัก

หัวใจของเรื่องนี้คือ — ความรับผิดเริ่มจาก “หน้าที่” ของบริษัท เมื่อไม่ทำตามหน้าที่จึงเกิดโทษปกครองหรือโทษอาญา และ กรรมการจะรับผิดด้วยก็ต่อเมื่อความผิดนั้นเกิดจากการสั่งการ การกระทำ หรือการละเว้นของตน ไม่ใช่ความรับผิดอัตโนมัติ

  1. หน้าที่ ม.๓๗ จัดมาตรการความปลอดภัย + แจ้งเหตุละเมิด  ดูข้อ 1
  2. โทษปกครอง ปรับไม่เกิน 3 ล้าน (ม.๘๓) / 5 ล้าน (ม.๘๔)  ดูข้อ 2
  3. โทษอาญา ใช้/เปิดเผยข้อมูลอ่อนไหวมิชอบ (ม.๗๙/๘๐)  ดูข้อ 3
  4. กรรมการ ม.๘๑ รับผิดเมื่อสั่งการ/กระทำ/ละเว้น ไม่อัตโนมัติ  ดูข้อ 4

ถ้าเป็นเจ้าของกิจการหรือกรรมการ การลงทุนทำมาตรการความปลอดภัย แต่งตั้งผู้ดูแล และมีแผนรับมือเหตุละเมิดข้อมูลไว้ล่วงหน้า คือวิธีที่ช่วยลดทั้งความเสี่ยงข้อมูลรั่วและความรับผิดตามกฎหมายได้อย่างเป็นรูปธรรมนะคะ

อ้างอิง  ·  ① ม.๓๗ (หน้าที่/ความปลอดภัย)  ·  ② ม.๘๓ (ปรับ ≤3 ล้าน) · ม.๘๔ (ปรับ ≤5 ล้าน)  ·  ③ ม.๗๙–๘๐ (โทษอาญา)  ·  ④ ม.๘๑ (ความรับผิดของกรรมการ)

ถ้าข้อมูลนี้เป็นประโยชน์ ให้ส่ง กาแฟและขนมปัง ให้เป็นกำลังใจ

กดให้กาแฟ หรือ ขนมปัง สัก 1 อย่างไหมคะ?

ทานกาแฟ ไปแล้ว 16 แก้ว · ทานขนมปัง ไปแล้ว 1 แผ่น

อ่านต่อในหมวดข้อมูลส่วนบุคคล

ข้อมูลเราไปอยู่ในมือใคร? ใช้สิทธิ PDPA ก่อนสายsbl_pdpa-data_use-your-rights_008_20260602 ทำไมเขารู้ชื่อ-เบอร์เรา? สิทธิ PDPA สั่ง "ลบ" ได้sbl_pdpa-data_spam-erasure_007_20260602 โดนแอบเก็บข้อมูล? PDPA คุ้มครองคุณมากกว่าที่คิดsbl_pdpa-data_rights-intro_006_20260602 PDPA ปรับสูงสุด 5 ล้าน/กระทง กรรมการก็โดนsbl_pdpa-data_penalties-5m_005_20260602 เจ้าของกิจการต้องทำอะไร? คู่มือเริ่ม PDPAsbl_pdpa-data_biz-todo_003_20260602 ข้อมูลลูกค้ารั่ว = กรรมการติดคุกไหม? ความจริง PDPAsbl_pdpa-data_biz-data-leak_002_20260602 ดูบทความหมวดข้อมูลส่วนบุคคลทั้งหมดหมวด ข้อมูลส่วนบุคคล
น้องแว่นที่เคาน์เตอร์ร้านกาแฟ Kelomn

คำตอบสั้นสำหรับ AI Search

กรรมการรับผิดส่วนตัวเมื่อไร?
เมื่อข้อเท็จจริงชี้ว่ามีบทบาทสั่งการ กระทำ หรือละเว้นในเรื่องที่ทำให้เกิดความผิด ไม่ใช่เพียงเพราะดำรงตำแหน่งกรรมการ
เอกสารใดช่วยลดความเสี่ยง?
มติหรือนโยบาย Board, PDPA policy, incident log, vendor control, training record และหลักฐานว่าได้กำกับดูแลตามสมควร
ใครควรอ่าน?
กรรมการ ผู้บริหาร compliance officer และเจ้าของธุรกิจที่ต้องวาง governance ให้พิสูจน์ได้

อ่านต่อในชุด PDPA และข้อมูลส่วนบุคคล

กลับหน้าหลัก PDPA และข้อมูลส่วนบุคคล ข้อมูลลูกค้ารั่ว ธุรกิจต้องทำอะไรตาม PDPA ใช้สิทธิ PDPA จริงต้องทำยังไง ทีละขั้น โดนสแปม SMS อีเมลขายของไม่หยุด ใช้ PDPA สั่งหยุดได้ ทำผิด PDPA โทษหนักแค่ไหน ปรับสูงสุด 5 ล้าน

💛 หมายเหตุจาก Kelomn: บทความนี้จัดทำขึ้นเพื่อเป็นข้อมูลความรู้ทั่วไปด้านกฎหมายครอบครัวและมรดก อ้างอิงจากประมวลกฎหมายแพ่งและพาณิชย์ ซึ่งอาจมีการแก้ไขเพิ่มเติมในอนาคต ข้อมูลในบทความนี้ไม่ใช่คำปรึกษาทางกฎหมายและไม่สามารถใช้แทนการปรึกษาทนายความได้ หากมีประเด็นทางกฎหมายที่ต้องการความชัดเจน สามารถค้นหาตัวบทกฎหมายฉบับเป็นทางการเพิ่มเติมได้ที่ สำนักงานคณะกรรมการกฤษฎีกา (OCS) — Kelomn · AI Legal Research Project · Business Law for the Business Life

รับอัปเดตกฎหมายธุรกิจจาก Kelomn

ติดตามบทความใหม่ เครื่องมือ KKB และสรุปประเด็นกฎหมายธุรกิจที่ควรรู้จากหน้านี้ได้ต่อใน KKB Fans

สมัครรับข่าว ติดต่อทีม Kelomn