ค่าปรับสูงสุด PDPA เท่าไหร่?

PDPA มีโทษ 3 ระดับ: โทษทางปกครองปรับสูงสุด 5,000,000 บาท (มาตรา 90-91) โทษทางอาญาจำคุกไม่เกิน 1 ปี และ/หรือปรับไม่เกิน 1,000,000 บาท (มาตรา 79-81) และค่าเสียหายเชิงลงโทษไม่เกิน 2 เท่าของค่าเสียหายจริง (มาตรา 78) โดยโทษจะขึ้นอยู่กับมาตราที่ละเมิดและความร้ายแรงของการกระทำ

PDPA มีโทษจำคุกด้วยหรือไม่?

ใช่ PDPA มาตรา 79-81 กำหนดโทษอาญาไว้ 3 กรณี: การใช้หรือเปิดเผยข้อมูลโดยมิชอบ (จำคุกไม่เกิน 6 เดือน ปรับไม่เกิน 500,000 บาท) การนำข้อมูลไปใช้เพื่อแสวงหาประโยชน์โดยมิชอบ (จำคุกไม่เกิน 1 ปี ปรับไม่เกิน 1,000,000 บาท) และการล่วงรู้ข้อมูลแล้วนำไปเปิดเผย (จำคุกไม่เกิน 6 เดือน ปรับไม่เกิน 500,000 บาท)

SME โดนค่าปรับ PDPA ด้วยไหม?

ใช่ PDPA ไม่มีข้อยกเว้นสำหรับ SME ธุรกิจทุกขนาดที่ละเมิด PDPA มีโอกาสถูกปรับตามกฎหมาย อย่างไรก็ตาม ศาลและคณะกรรมการผู้เชี่ยวชาญจะพิจารณาจากขนาดธุรกิจ ความร้ายแรงของการละเมิด มาตรการที่ใช้ป้องกัน และการให้ความร่วมมือในการแก้ไข ซึ่งอาจมีผลต่อจำนวนค่าปรับ

เคยมีใครโดนค่าปรับ PDPA ในไทยแล้วหรือยัง?

ตั้งแต่ PDPA บังคับใช้ 1 มิถุนายน 2565 คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) หรือ PDPC ได้รับเรื่องร้องเรียนจำนวนมากและมีคำสั่งลงโทษทางปกครองหลายกรณี ซึ่งเป็นสัญญาณว่าการบังคับใช้กฎหมายเป็นไปอย่างจริงจัง ไม่ควรละเลยการปฏิบัติตาม PDPA

← กลับหน้าหลัก

ค่าปรับ PDPA — โทษกรณีละเมิด พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล

Complete PDPA penalties breakdown — fines, imprisonment, and punitive damages

สรุปโทษ PDPA — ฿5,000,000 สูงสุด

฿5M

โทษทางปกครองสูงสุด

ม.91

1 ปี

โทษจำคุกสูงสุด

ม.80

ค่าเสียหายเชิงลงโทษ

ม.78

PDPA มีโทษทั้งทางปกครอง ทางอาญา และทางแพ่ง โดยผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) และผู้ประมวลผลข้อมูล (Data Processor) ต้องรับผิดตามกฎหมาย ภาระการพิสูจน์ตกแก่ผู้ควบคุมข้อมูล — คุณต้องพิสูจน์ว่าคุณปฏิบัติตามกฎหมายแล้ว

รายละเอียดโทษ PDPA ทั้งหมด

Full PDPA penalty breakdown by section

⚖️

โทษทางปกครอง

Administrative Penalties — มาตรา 90-91

ไม่ปฏิบัติตามหลักการคุ้มครองข้อมูล (ม.22-29)

มาตรา 90

ปรับไม่เกิน 3,000,000 บาท

ไม่ปฏิบัติตามสิทธิเจ้าของข้อมูล (ม.30-36)

มาตรา 90

ปรับไม่เกิน 3,000,000 บาท

ไม่แต่งตั้งผู้แทนในราชอาณาจักร (ม.5)

มาตรา 90

ปรับไม่เกิน 3,000,000 บาท

ไม่ปฏิบัติตามหน้าที่ผู้ควบคุมข้อมูล (ม.37-41)

มาตรา 90

ปรับไม่เกิน 3,000,000 บาท

ไม่แจ้งเหตุละเมิดข้อมูล (ม.37(4))

มาตรา 90

ปรับไม่เกิน 3,000,000 บาท

ละเมิดคำสั่งคณะกรรมการผู้เชี่ยวชาญ

มาตรา 91

ปรับไม่เกิน 5,000,000 บาท

🔒

โทษทางอาญา

Criminal Penalties — มาตรา 79-81

ใช้หรือเปิดเผยข้อมูลโดยมิชอบเพื่อให้ผู้อื่นเสียหาย

มาตรา 79

จำคุกไม่เกิน 6 เดือน / ปรับไม่เกิน 500,000 บาท

ผู้ควบคุมข้อมูลใช้ข้อมูลเพื่อแสวงหาประโยชน์โดยมิชอบ

มาตรา 80

จำคุกไม่เกิน 1 ปี / ปรับไม่เกิน 1,000,000 บาท

ล่วงรู้ข้อมูลแล้วนำไปเปิดเผยแก่ผู้อื่นโดยมิชอบ

มาตรา 81

จำคุกไม่เกิน 6 เดือน / ปรับไม่เกิน 500,000 บาท

กรณีนิติบุคคล — กรรมการ/ผู้จัดการต้องรับโทษด้วย

มาตรา 82

ต้องระวางโทษตามที่บัญญัติ เว้นแต่พิสูจน์ได้ว่าไม่ได้รู้เห็น

💰

โทษทางแพ่ง

Civil Liabilities — มาตรา 77-78

ค่าเสียหายที่แท้จริง (Actual Damages)

มาตรา 77

ค่าเสียหายที่พิสูจน์ได้จริงตามจำนวนที่ศาลกำหนด

ค่าเสียหายเชิงลงโทษ (Punitive Damages)

มาตรา 78

ไม่เกิน 2 เท่าของค่าเสียหายจริง (ศาลมีดุลยพินิจ)

ภาระการพิสูจน์ตกแก่ผู้ควบคุมข้อมูล

มาตรา 77 วรรค 3

ผู้ควบคุมข้อมูลต้องพิสูจน์ว่าได้ปฏิบัติตาม PDPA แล้ว

ปัจจัยที่ศาลและคณะกรรมการใช้พิจารณาค่าปรับ

Factors affecting penalty amounts

1. ขนาดและลักษณะธุรกิจ

SME รายเล็กที่มีข้อมูลส่วนบุคคลจำนวนน้อยอาจได้รับโทษน้อยกว่าองค์กรใหญ่ แต่ไม่ได้หมายความว่า SME จะไม่ถูกลงโทษ — เพียงแต่จำนวนค่าปรับอาจแตกต่างกัน

2. ความร้ายแรงของการละเมิด

การละเมิดโดยเจตนาหรือประมาทเลินเล่ออย่างร้ายแรงมีโทษหนักกว่าการละเมิดที่เกิดจากความไม่รู้ การเปิดเผยข้อมูลอ่อนไหว (Sensitive Data) โดยมิชอบจะได้รับโทษรุนแรงกว่าข้อมูลทั่วไป

3. มาตรการป้องกันและแก้ไข

ธุรกิจที่มีระบบรักษาความปลอดภัยที่ดี มีนโยบาย PDPA และพยายามปฏิบัติตามกฎหมาย จะได้รับการพิจารณาลดโทษ การให้ความร่วมมือในการสอบสวนก็เป็นปัจจัยบวก

4. การเยียวยาผู้เสียหาย

หากผู้ควบคุมข้อมูลดำเนินการเยียวยาผู้เสียหายอย่างรวดเร็ว แจ้งเหตุละเมิดต่อ สคส. โดยไม่ชักช้า และมีมาตรการป้องกันการเกิดซ้ำ จะเป็นปัจจัยลดโทษที่สำคัญ

กรณีศึกษาการบังคับใช้ PDPA ในไทย

PDPA enforcement case patterns in Thailand

นับตั้งแต่ PDPA มีผลบังคับใช้เต็มรูปแบบเมื่อ 1 มิถุนายน 2565 คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ได้รับเรื่องร้องเรียนและมีคำสั่งลงโทษทางปกครองในหลายกรณี กรณีที่พบบ่อยที่สุดคือ:

การเก็บข้อมูลโดยไม่ได้รับความยินยอม

เว็บไซต์หรือแอปพลิเคชันที่เก็บข้อมูลส่วนบุคคลโดยไม่ได้ขอความยินยอม หรือใช้การยินยอมโดยปริยาย (implied consent) ซึ่งไม่เป็นไปตามมาตรา 19

การใช้ข้อมูลผิดวัตถุประสงค์

การนำข้อมูลลูกค้าไปใช้เพื่อการตลาดโดยที่ลูกค้าไม่ยินยอม หรือขายข้อมูลให้บุคคลที่สามโดยไม่แจ้งให้เจ้าของข้อมูลทราบ

มาตรการรักษาความปลอดภัยไม่เพียงพอ

ข้อมูลลูกค้าหลุดรั่วจากการที่ระบบไม่มีมาตรการรักษาความปลอดภัยที่เหมาะสม เป็นการฝ่าฝืนมาตรา 37(1) ที่กำหนดให้ผู้ควบคุมข้อมูลต้องจัดให้มีมาตรการที่เหมาะสม

ป้องกันค่าปรับ PDPA — ตรวจสอบเว็บไซต์ของคุณวันนี้

รู้ก่อนปรับก่อน ตรวจสอบ 6 เช็คลิสต์ PDPA บนเว็บไซต์ของคุณฟรี ภายใน 60 วินาที ไม่ต้องสมัครสมาชิก

ตรวจสอบฟรีเลย →