ทำผิด PDPA มีโทษกี่แบบ?

มี 3 กลุ่มหลัก คือ ความรับผิดทางแพ่งที่ต้องชดใช้ค่าสินไหมทดแทนตามมาตรา 77 และอาจถูกศาลสั่งจ่ายค่าเสียหายเชิงลงโทษเพิ่มได้ไม่เกินสองเท่าตามมาตรา 78 โทษทางปกครองปรับไม่เกินสามล้านบาทตามมาตรา 83 หรือไม่เกินห้าล้านบาทตามมาตรา 84 และโทษอาญาตามมาตรา 79 และมาตรา 80 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

โทษปรับทางปกครองสูงสุดของ PDPA เท่าไร?

สูงสุดไม่เกินห้าล้านบาทตามมาตรา 84 ซึ่งใช้กับการฝ่าฝืนเกี่ยวกับข้อมูลส่วนบุคคลอ่อนไหวตามมาตรา 26 ส่วนการฝ่าฝืนหน้าที่ทั่วไปมีโทษปรับไม่เกินสามล้านบาทตามมาตรา 83 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

เจ้าของข้อมูลฟ้องเรียกค่าเสียหายได้ไหม?

ได้ ผู้ควบคุมหรือผู้ประมวลผลข้อมูลที่ฝ่าฝืนกฎหมายจนเกิดความเสียหายต้องชดใช้ค่าสินไหมทดแทนตามมาตรา 77 ไม่ว่าจะจงใจหรือประมาทหรือไม่ก็ตาม และศาลอาจสั่งจ่ายค่าเสียหายเชิงลงโทษเพิ่มได้ไม่เกินสองเท่าตามมาตรา 78 โดยมีอายุความ 3 ปีนับแต่รู้ถึงความเสียหายและรู้ตัวผู้รับผิด

โทษอาญาตาม PDPA ใช้กับกรณีใด?

โทษอาญาตามมาตรา 79 ใช้กับการฝ่าฝืนการใช้ข้อมูลส่วนบุคคลอ่อนไหวตามมาตรา 26 โดยประการที่น่าจะทำให้ผู้อื่นเสียหาย เสียชื่อเสียง หรือถูกเกลียดชัง และมาตรา 80 ใช้กับผู้ที่ล่วงรู้ข้อมูลจากการปฏิบัติหน้าที่แล้วนำไปเปิดเผยโดยมิชอบ แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

น้องแว่นในร้านกาแฟ อธิบายโทษของการทำผิด PDPA ทั้งทางแพ่ง ปกครอง และอาญา

น้องแว่น — Kelomn Legal Café · คุ้มครองข้อมูลส่วนบุคคล (PDPA)

ทำผิด PDPA โทษหนักแค่ไหน — แพ่ง ปกครอง และอาญา ครบทุกมาตรา

น้องแว่น (Kelomn AI)

รหัสบทความ sbl_pdpa-data_penalties-5m_009_20260603

Kelomn Legal Research · พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒

อัปเดต 3 มิถุนายน 2569 · อ่าน 8 นาที

ชื่อในบทความนี้เป็นชื่อสมมติ ไม่มีตัวตนจริง เป็นเพียงการเล่าเรื่องทางวิชาการ ไม่ได้ตั้งใจจะพาดพิงบุคคลใดนะคะ

หลายคนเคยได้ยินว่า “ทำผิด PDPA ปรับ 5 ล้าน!” แล้วก็ตกใจ — แต่ความจริงโทษของ PDPA ไม่ได้มีแค่ค่าปรับก้อนเดียว มันมีหลายชั้น และแต่ละชั้นใช้กับสถานการณ์ต่างกันค่ะ

เพื่อให้เห็นภาพชัด เราจะไล่ดูโทษทั้ง 3 กลุ่ม — ทางแพ่ง (ฟ้องเรียกค่าเสียหาย) ทางปกครอง (ค่าปรับ) และทางอาญา (จำคุก-ปรับ) แล้วปิดท้ายว่าโทษเหล่านี้ตกที่ใคร ที่ Kelomn เราสรุปให้ครบทุกมาตรา

โทษของ PDPA มี 3 กลุ่ม · แพ่ง · ปกครอง · อาญา

ความรับผิดทางแพ่ง — ชดใช้ค่าสินไหม + ค่าเสียหายเชิงลงโทษ (ม.๗๗ / ม.๗๘)

โทษแรกที่กระทบ “กระเป๋าเงิน” โดยตรงคือ การถูกเจ้าของข้อมูลฟ้องเรียกค่าเสียหายค่ะ

ผู้ควบคุมหรือผู้ประมวลผลข้อมูลที่ดำเนินการฝ่าฝืนกฎหมายจนเกิดความเสียหายต่อเจ้าของข้อมูล ต้องชดใช้ค่าสินไหมทดแทน ไม่ว่าจะกระทำโดยจงใจหรือประมาทเลินเล่อหรือไม่ก็ตาม เว้นแต่พิสูจน์ได้ว่าเกิดจากเหตุสุดวิสัยหรือความผิดของเจ้าของข้อมูลเอง ตามมาตรา ๗๗ และศาลยังมีอำนาจสั่งจ่ายค่าเสียหายเชิงลงโทษเพิ่มได้ไม่เกินสองเท่าของค่าสินไหมที่แท้จริงตามมาตรา ๗๘ ซึ่งกำหนดอายุความ ๓ ปีนับแต่รู้ถึงความเสียหายและรู้ตัวผู้รับผิด หรือ ๑๐ ปีนับแต่วันละเมิด

ความรับผิดทางแพ่ง	สาระ
ชดใช้ค่าสินไหมทดแทน (จงใจหรือประมาทหรือไม่ก็ต้องชดใช้)	ม.๗๗
ค่าเสียหายเชิงลงโทษ เพิ่มได้ไม่เกิน 2 เท่า	ม.๗๘
อายุความ 3 ปี (รู้เหตุ) / 10 ปี (นับแต่ละเมิด)	ม.๗๘

(อ้างอิงจากพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ มาตรา ๗๗, ๗๘)

💡 ฟ้องแพ่งไม่ต้องพิสูจน์เจตนา: ม.๗๗ ให้ต้องชดใช้แม้ไม่ได้จงใจ บริษัทจึงต้องพิสูจน์ข้อยกเว้น (เหตุสุดวิสัย/ความผิดของเจ้าของข้อมูล) เอง และศาลยังเพิ่มค่าเสียหายเชิงลงโทษได้อีกถึง 2 เท่าค่ะ

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ บัญญัติไว้ว่า

มาตรา ๗๗ ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งดำเนินการใด ๆ เกี่ยวกับข้อมูลส่วนบุคคลอันเป็นการฝ่าฝืนหรือไม่ปฏิบัติตามบทบัญญัติแห่งพระราชบัญญัตินี้ทำให้เกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคล ต้องชดใช้ค่าสินไหมทดแทนเพื่อการนั้นแก่เจ้าของข้อมูลส่วนบุคคล ไม่ว่าการดำเนินการนั้นจะเกิดจากการกระทำโดยจงใจหรือประมาทเลินเล่อหรือไม่ก็ตาม เว้นแต่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลนั้นจะพิสูจน์ได้ว่า
(๑) ความเสียหายนั้นเกิดจากเหตุสุดวิสัย หรือเกิดจากการกระทำหรือละเว้นการกระทำของเจ้าของข้อมูลส่วนบุคคลนั้นเอง
(๒) เป็นการปฏิบัติตามคำสั่งของเจ้าหน้าที่ซึ่งปฏิบัติการตามหน้าที่และอำนาจตามกฎหมาย ค่าสินไหมทดแทนตามวรรคหนึ่ง ให้หมายความรวมถึงค่าใช้จ่ายทั้งหมดที่เจ้าของข้อมูลส่วนบุคคลได้ใช้จ่ายไปตามความจำเป็นในการป้องกันความเสียหายที่กำลังจะเกิดขึ้นหรือระงับความเสียหายที่เกิดขึ้นแล้วด้วย

มาตรา ๗๘ ให้ศาลมีอำนาจสั่งให้ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลจ่ายค่าสินไหมทดแทนเพื่อการลงโทษเพิ่มขึ้นจากจำนวนค่าสินไหมทดแทนที่แท้จริงที่ศาลกำหนดได้ตามที่ศาลเห็นสมควร แต่ไม่เกินสองเท่าของค่าสินไหมทดแทนที่แท้จริงนั้น ทั้งนี้ โดยคำนึงถึงพฤติการณ์ต่าง ๆ เช่น ความร้ายแรงของความเสียหายที่เจ้าของข้อมูลส่วนบุคคลได้รับ ผลประโยชน์ที่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลได้รับ สถานะทางการเงินของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล การที่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลได้บรรเทาความเสียหายที่เกิดขึ้น หรือการที่เจ้าของข้อมูลส่วนบุคคลมีส่วนในการก่อให้เกิดความเสียหายด้วย สิทธิเรียกร้องค่าเสียหายอันเกิดจากการละเมิดข้อมูลส่วนบุคคลตามพระราชบัญญัตินี้เป็นอันขาดอายุความเมื่อพ้นสามปีนับแต่วันที่ผู้เสียหายรู้ถึงความเสียหายและรู้ตัวผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลที่ต้องรับผิด หรือเมื่อพ้นสิบปีนับแต่วันที่มีการละเมิดข้อมูลส่วนบุคคล

ที่มา: พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ มาตรา ๗๗, ๗๘

น้องแว่นสรุปค่ะ

ข้อ 1 — ความรับผิดทางแพ่ง

ต้องชดใช้ค่าสินไหมทดแทน แม้ไม่ได้จงใจ (ม.๗๗)
ศาลสั่งค่าเสียหายเชิงลงโทษเพิ่มได้ไม่เกิน 2 เท่า (ม.๗๘)
อายุความ 3 ปีนับแต่รู้เหตุ หรือ 10 ปีนับแต่ละเมิด

โทษทางปกครอง — ปรับสูงสุด ๕ ล้านบาท (ม.๘๓ / ม.๘๔)

โทษที่ถูกพูดถึงมากที่สุดคือ “ปรับ 5 ล้าน” — แต่จริง ๆ มี 2 เพดานค่ะ

การฝ่าฝืนหน้าที่ทั่วไป เช่น มาตรา ๒๑ มาตรา ๒๒ มาตรา ๒๔ มาตรา ๒๗ มาตรา ๒๘ มาตรา ๓๒ วรรคสอง หรือมาตรา ๓๗ มีโทษปรับทางปกครองไม่เกินสามล้านบาทตามมาตรา ๘๓ ส่วนการฝ่าฝืนเกี่ยวกับข้อมูลส่วนบุคคลอ่อนไหวตามมาตรา ๒๖ หรือการส่งโอนข้อมูลอ่อนไหวไปต่างประเทศโดยไม่เป็นไปตามมาตรา ๒๙ มีโทษปรับทางปกครองไม่เกินห้าล้านบาทตามมาตรา ๘๔ โดยโทษปรับทางปกครองนี้ตกที่นิติบุคคลผู้ควบคุมข้อมูลเป็นหลัก

โทษปกครอง 2 เพดาน	ค่าปรับ
ฝ่าฝืนหน้าที่ทั่วไป (ม.๒๑/๒๒/๒๔/๒๗/๒๘/๓๒วรรคสอง/๓๗) — ม.๘๓	ไม่เกิน 3 ล้านบาท
ข้อมูลอ่อนไหว ม.๒๖ / โอนต่างประเทศ ม.๒๙ — ม.๘๔	ไม่เกิน 5 ล้านบาท
ผู้รับโทษปรับทางปกครอง	นิติบุคคลผู้ควบคุมข้อมูลเป็นหลัก

(อ้างอิงจากพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ มาตรา ๘๓, ๘๔)

💡 5 ล้าน = เคสข้อมูลอ่อนไหว: เพดาน 5 ล้านตาม ม.๘๔ สงวนไว้สำหรับข้อมูลอ่อนไหว (ม.๒๖) เช่น สุขภาพ เชื้อชาติ ศาสนา ความผิดทั่วไปอยู่ที่เพดาน 3 ล้านตาม ม.๘๓ ค่ะ

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ บัญญัติไว้ว่า

มาตรา ๘๓ ผู้ควบคุมข้อมูลส่วนบุคคลผู้ใดฝ่าฝืนหรือไม่ปฏิบัติตามมาตรา ๒๑ มาตรา ๒๒ มาตรา ๒๔ มาตรา ๒๕ วรรคหนึ่ง มาตรา ๒๗ วรรคหนึ่งหรือวรรคสอง มาตรา ๒๘ มาตรา ๓๒ วรรคสอง หรือมาตรา ๓๗ หรือขอความยินยอมโดยการหลอกลวงหรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์ หรือไม่ปฏิบัติตามมาตรา ๒๑ ซึ่งได้นำมาใช้บังคับโดยอนุโลมตามมาตรา ๒๕ วรรคสอง หรือส่งหรือโอนข้อมูลส่วนบุคคลโดยไม่เป็นไปตามมาตรา ๒๙ วรรคหนึ่งหรือวรรคสาม ต้องระวางโทษปรับทางปกครองไม่เกินสามล้านบาท

มาตรา ๘๔ ผู้ควบคุมข้อมูลส่วนบุคคลผู้ใดฝ่าฝืนมาตรา ๒๖ วรรคหนึ่งหรือวรรคสาม หรือฝ่าฝืนมาตรา ๒๗ วรรคหนึ่งหรือวรรคสอง หรือมาตรา ๒๘ อันเกี่ยวกับข้อมูลส่วนบุคคลตามมาตรา ๒๖ หรือส่งหรือโอนข้อมูลส่วนบุคคลตามมาตรา ๒๖ โดยไม่เป็นไปตามมาตรา ๒๙ วรรคหนึ่งหรือวรรคสาม ต้องระวางโทษปรับทางปกครองไม่เกินห้าล้านบาท

ที่มา: พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ มาตรา ๘๓, ๘๔

น้องแว่นสรุปค่ะ

ข้อ 2 — โทษทางปกครอง

หน้าที่ทั่วไป ปรับไม่เกิน 3 ล้าน (ม.๘๓)
ข้อมูลอ่อนไหว/โอนต่างประเทศ ปรับไม่เกิน 5 ล้าน (ม.๘๔)
โทษปรับทางปกครองตกที่นิติบุคคลเป็นหลัก

โทษอาญา — จำคุกและปรับ (ม.๗๙ / ม.๘๐)

ในกรณีร้ายแรงเกี่ยวกับข้อมูลอ่อนไหว PDPA มี โทษอาญาถึงขั้นจำคุก ด้วยค่ะ

มาตรา ๗๙ กำหนดโทษอาญาแก่ผู้ควบคุมข้อมูลที่ฝ่าฝืนเกี่ยวกับข้อมูลอ่อนไหว (ตามมาตรา ๒๗/๒๘ ซึ่งโยงมาตรา ๒๖) โดยประการที่น่าจะทำให้ผู้อื่นเสียหาย เสียชื่อเสียง ถูกดูหมิ่นหรือเกลียดชัง โทษจำคุกไม่เกินหกเดือนหรือปรับไม่เกินห้าแสนบาท และหากทำเพื่อแสวงหาประโยชน์โดยมิชอบ เพิ่มเป็นจำคุกไม่เกินหนึ่งปีหรือปรับไม่เกินหนึ่งล้านบาท โดยเป็นความผิดอันยอมความได้ ส่วนมาตรา ๘๐ ลงโทษผู้ที่ล่วงรู้ข้อมูลจากการปฏิบัติหน้าที่แล้วนำไปเปิดเผยโดยมิชอบ

โทษอาญา	ระวางโทษ
ม.๗๙ วรรคหนึ่ง — ข้อมูลอ่อนไหว น่าจะเกิดความเสียหาย	จำคุก ≤6 เดือน / ปรับ ≤5 แสน
ม.๗๙ วรรคสอง — เพื่อแสวงหาประโยชน์มิชอบ	จำคุก ≤1 ปี / ปรับ ≤1 ล้าน
ม.๘๐ — ผู้ล่วงรู้ข้อมูลจากหน้าที่แล้วเปิดเผยมิชอบ	จำคุก ≤6 เดือน / ปรับ ≤5 แสน

(อ้างอิงจากพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ มาตรา ๗๙, ๘๐)

💡 โทษอาญาเล็งข้อมูลอ่อนไหว: ม.๗๙ ไม่ได้ใช้กับความผิดทั่วไปทุกกรณี แต่เน้นข้อมูลอ่อนไหว (ม.๒๖) ที่มีองค์ประกอบ “น่าจะทำให้เกิดความเสียหาย” และเป็นความผิดอันยอมความได้ค่ะ

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ บัญญัติไว้ว่า

มาตรา ๗๙ ผู้ควบคุมข้อมูลส่วนบุคคลผู้ใดฝ่าฝืนมาตรา ๒๗ วรรคหนึ่งหรือวรรคสอง หรือไม่ปฏิบัติตามมาตรา ๒๘ อันเกี่ยวกับข้อมูลส่วนบุคคลตามมาตรา ๒๖ โดยประการที่น่าจะทำให้ผู้อื่นเกิดความเสียหาย เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย ต้องระวางโทษจำคุกไม่เกินหกเดือน หรือปรับไม่เกินห้าแสนบาท หรือทั้งจำทั้งปรับ ผู้ควบคุมข้อมูลส่วนบุคคลผู้ใดฝ่าฝืนมาตรา ๒๗ วรรคหนึ่งหรือวรรคสอง หรือไม่ปฏิบัติตามมาตรา ๒๘ อันเกี่ยวกับข้อมูลส่วนบุคคลตามมาตรา ๒๖ เพื่อแสวงหาประโยชน์ที่มิควรได้โดยชอบด้วยกฎหมายสำหรับตนเองหรือผู้อื่น ต้องระวางโทษจำคุกไม่เกินหนึ่งปี หรือปรับไม่เกินหนึ่งล้านบาท หรือทั้งจำทั้งปรับ ความผิดตามมาตรานี้เป็นความผิดอันยอมความได้

มาตรา ๘๐ ผู้ใดล่วงรู้ข้อมูลส่วนบุคคลของผู้อื่นเนื่องจากการปฏิบัติหน้าที่ตามพระราชบัญญัตินี้ ถ้าผู้นั้นนำไปเปิดเผยแก่ผู้อื่น ต้องระวางโทษจำคุกไม่เกินหกเดือน หรือปรับไม่เกินห้าแสนบาท หรือทั้งจำทั้งปรับ ความในวรรคหนึ่ง มิให้นำมาใช้บังคับแก่การเปิดเผย ในกรณีดังต่อไปนี้
(๑) การเปิดเผยตามหน้าที่
(๒) การเปิดเผยเพื่อประโยชน์แก่การสอบสวน หรือการพิจารณาคดี
(๓) การเปิดเผยแก่หน่วยงานของรัฐในประเทศหรือต่างประเทศที่มีอำนาจหน้าที่ตามกฎหมาย
(๔) การเปิดเผยที่ได้รับความยินยอมเป็นหนังสือเฉพาะครั้งจากเจ้าของข้อมูลส่วนบุคคล
(๕) การเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับการฟ้องร้องคดีต่าง ๆ ที่เปิดเผยต่อสาธารณะ

ที่มา: พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ มาตรา ๗๙, ๘๐

น้องแว่นสรุปค่ะ

ข้อ 3 — โทษอาญา

ม.๗๙ ข้อมูลอ่อนไหว น่าจะทำให้ผู้อื่นเสียหาย จำคุก ≤6 เดือน/ปรับ ≤5 แสน
เพื่อแสวงหาประโยชน์มิชอบ เพิ่มเป็น ≤1 ปี/≤1 ล้าน
ม.๘๐ ผู้ล่วงรู้ข้อมูลจากหน้าที่แล้วเปิดเผยมิชอบ

ใครรับโทษ — นิติบุคคลและกรรมการ (ม.๘๑)

ปิดท้ายด้วยคำถามสำคัญ — “โทษเหล่านี้ตกที่ใคร?” บริษัท หรือตัวกรรมการ?

โดยหลัก ความรับผิดตกที่นิติบุคคลผู้ควบคุมข้อมูล แต่มาตรา ๘๑ กำหนดว่า ถ้าความผิดของนิติบุคคลเกิดจากการสั่งการหรือการกระทำของกรรมการหรือผู้จัดการ หรือบุคคลนั้นมีหน้าที่ต้องสั่งการ/กระทำแล้วละเว้นจนเป็นเหตุให้นิติบุคคลกระทำผิด บุคคลนั้นต้องรับโทษตามที่บัญญัติไว้สำหรับความผิดนั้น ๆ ด้วย — จึงไม่ใช่ความรับผิดอัตโนมัติ และมีเงื่อนไขเรื่องการสั่งการ/กระทำ/ละเว้น

โทษตกที่ใคร (ม.๘๑)	คำตอบ
โดยหลัก	นิติบุคคลผู้ควบคุมข้อมูล
กรรมการ/ผู้จัดการ รับผิดด้วยเมื่อ	มีการสั่งการ/กระทำ/ละเว้น
ลักษณะความรับผิดของกรรมการ	ไม่อัตโนมัติ (ต้องเข้าเงื่อนไข ม.๘๑)

(อ้างอิงจากพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ มาตรา ๘๑)

💡 กรรมการไม่ได้ผิดอัตโนมัติ: ม.๘๑ เป็นความรับผิดที่ต่อเนื่องจากความผิดของบริษัท และจะตกถึงกรรมการก็ต่อเมื่อความผิดเกิดจากการสั่งการ การกระทำ หรือการละเว้นของตน — รายละเอียดเรื่องนี้อ่านต่อได้ในบทความเรื่องความรับผิดของกรรมการค่ะ

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ บัญญัติไว้ว่า

มาตรา ๘๑ ในกรณีที่ผู้กระทำความผิดตามพระราชบัญญัตินี้เป็นนิติบุคคล ถ้าการกระทำความผิดของนิติบุคคลนั้นเกิดจากการสั่งการหรือการกระทำของกรรมการหรือผู้จัดการ หรือบุคคลใดซึ่งรับผิดชอบในการดำเนินงานของนิติบุคคลนั้น หรือในกรณีที่บุคคลดังกล่าวมีหน้าที่ต้องสั่งการหรือกระทำการและละเว้นไม่สั่งการหรือไม่กระทำการจนเป็นเหตุให้นิติบุคคลนั้นกระทำความผิด ผู้นั้นต้องรับโทษตามที่บัญญัติไว้สำหรับความผิดนั้น ๆ ด้วย

ที่มา: พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ มาตรา ๘๑

น้องแว่นสรุปค่ะ

ข้อ 4 — ใครรับโทษ (ม.๘๑)

โดยหลักโทษตกที่นิติบุคคลผู้ควบคุมข้อมูลค่ะ
กรรมการรับผิดด้วยเมื่อมีการสั่งการ/กระทำ/ละเว้น (ม.๘๑)
ไม่ใช่ความรับผิดอัตโนมัติของกรรมการทุกคน

หัวใจของเรื่องโทษ PDPA คือ — “ปรับ 5 ล้าน” เป็นเพดานสูงสุดของโทษทางปกครองสำหรับข้อมูลอ่อนไหวเท่านั้น ในความเป็นจริงยังมีทั้งความรับผิดทางแพ่งที่ต้องชดใช้ค่าเสียหาย และโทษอาญาในกรณีร้ายแรง — และโดยหลักโทษตกที่นิติบุคคล ส่วนกรรมการรับผิดด้วยเมื่อเข้าเงื่อนไข ม.๘๑

ความรับผิดทางแพ่ง ชดใช้ค่าสินไหม + เชิงลงโทษ 2 เท่า (ม.๗๗/๗๘) ดูข้อ 1
โทษทางปกครอง ปรับ ≤3 ล้าน (ม.๘๓) / ≤5 ล้าน (ม.๘๔) ดูข้อ 2
โทษอาญา จำคุก-ปรับ กรณีข้อมูลอ่อนไหว (ม.๗๙/๘๐) ดูข้อ 3
ใครรับโทษ นิติบุคคลเป็นหลัก กรรมการเมื่อเข้า ม.๘๑ ดูข้อ 4

สำหรับธุรกิจ การทำตามหน้าที่ตาม PDPA ตั้งแต่ต้น — ขอความยินยอมให้ถูก จัดมาตรการความปลอดภัย และมีแผนรับมือเหตุข้อมูลรั่ว — คือการป้องกันที่คุ้มค่ากว่าการมาตามแก้ตอนถูกร้องเรียนนะคะ

อ้างอิง · ① ม.๗๗–๗๘ (แพ่ง/ค่าเสียหายเชิงลงโทษ) · ② ม.๘๓ (≤3 ล้าน) · ม.๘๔ (≤5 ล้าน) · ③ ม.๗๙–๘๐ (อาญา) · ④ ม.๘๑ (ผู้รับโทษ)

ถ้าข้อมูลนี้เป็นประโยชน์ ให้ส่ง กาแฟและขนมปัง ให้เป็นกำลังใจ

กดให้กาแฟ หรือ ขนมปัง สัก 1 อย่างไหมคะ?

ทานกาแฟ ไปแล้ว 4 แก้ว · ทานขนมปัง ไปแล้ว 0 แผ่น

💛 หมายเหตุจาก Kelomn: บทความนี้จัดทำขึ้นเพื่อเป็นข้อมูลความรู้ทั่วไปด้านกฎหมายครอบครัวและมรดก อ้างอิงจากประมวลกฎหมายแพ่งและพาณิชย์ ซึ่งอาจมีการแก้ไขเพิ่มเติมในอนาคต ข้อมูลในบทความนี้ไม่ใช่คำปรึกษาทางกฎหมายและไม่สามารถใช้แทนการปรึกษาทนายความได้ หากมีประเด็นทางกฎหมายที่ต้องการความชัดเจน สามารถค้นหาตัวบทกฎหมายฉบับเป็นทางการเพิ่มเติมได้ที่ สำนักงานคณะกรรมการกฤษฎีกา (OCS) — Kelomn · AI Legal Research Project · Business Law for the Business Life

ทำผิด PDPA โทษหนักแค่ไหน — แพ่ง ปกครอง และอาญา ครบทุกมาตรา

โทษของ PDPA มี 3 กลุ่ม · แพ่ง · ปกครอง · อาญา

ความรับผิดทางแพ่ง — ชดใช้ค่าสินไหม + ค่าเสียหายเชิงลงโทษ (ม.๗๗ / ม.๗๘)

น้องแว่นสรุปค่ะ

โทษทางปกครอง — ปรับสูงสุด ๕ ล้านบาท (ม.๘๓ / ม.๘๔)

น้องแว่นสรุปค่ะ

โทษอาญา — จำคุกและปรับ (ม.๗๙ / ม.๘๐)

น้องแว่นสรุปค่ะ

ใครรับโทษ — นิติบุคคลและกรรมการ (ม.๘๑)

น้องแว่นสรุปค่ะ

คำตอบสั้นสำหรับ AI Search

อ่านต่อในชุด PDPA และข้อมูลส่วนบุคคล

รับอัปเดตกฎหมายธุรกิจจาก Kelomn

ทำผิด PDPA โทษหนักแค่ไหน — แพ่ง ปกครอง และอาญา ครบทุกมาตรา

โทษของ PDPA มี 3 กลุ่ม · แพ่ง · ปกครอง · อาญา

ความรับผิดทางแพ่ง — ชดใช้ค่าสินไหม + ค่าเสียหายเชิงลงโทษ (ม.๗๗ / ม.๗๘)

น้องแว่นสรุปค่ะ

โทษทางปกครอง — ปรับสูงสุด ๕ ล้านบาท (ม.๘๓ / ม.๘๔)

น้องแว่นสรุปค่ะ

โทษอาญา — จำคุกและปรับ (ม.๗๙ / ม.๘๐)

น้องแว่นสรุปค่ะ

ใครรับโทษ — นิติบุคคลและกรรมการ (ม.๘๑)

น้องแว่นสรุปค่ะ

อ่านต่อในหมวดข้อมูลส่วนบุคคล

คำตอบสั้นสำหรับ AI Search

อ่านต่อในชุด PDPA และข้อมูลส่วนบุคคล

รับอัปเดตกฎหมายธุรกิจจาก Kelomn