มาตรา 84

หมวด 7 · 3 แนวคิดที่เกี่ยวข้อง · 4 มาตราอ้างอิง

สารบัญในมาตรานี้

ตัวบท
สรุป
องค์ประกอบสำคัญ
มาตราที่อ้างอิง
หมายเหตุ
แนวคิดที่เกี่ยวข้อง

ตัวบท

มาตรา 84 ผู้ควบคุมข้อมูลส่วนบุคคลผู้ใดฝ่าฝืนมาตรา 26 วรรคหนึ่งหรือวรรคสาม หรือฝ่าฝืนมาตรา 27 วรรคหนึ่งหรือวรรคสอง หรือมาตรา 28 อันเกี่ยวกับข้อมูลส่วนบุคคลตามมาตรา 26 หรือส่งหรือโอนข้อมูลส่วนบุคคลตามมาตรา 26 โดยไม่เป็นไปตามมาตรา 29 วรรคหนึ่งหรือวรรคสาม ต้องระวางโทษปรับทางปกครองไม่เกินห้าล้านบาท

สรุป

มาตรานี้กำหนดโทษปรับทางปกครองสูงสุด 5 ล้านบาท — ระดับสูงสุดในส่วนที่ 2 — สำหรับผู้ควบคุมที่ฝ่าฝืนเกี่ยวกับข้อมูลอ่อนไหว (มาตรา 26) ใน 4 กรณี: (1) มาตรา 26 วรรค 1/3 (ฐานเก็บข้อมูลอ่อนไหว); (2) มาตรา 27 วรรค 1/2 เกี่ยวกับข้อมูลอ่อนไหว (ใช้/เปิดเผย); (3) มาตรา 28 เกี่ยวกับข้อมูลอ่อนไหว (ส่งต่างประเทศ); (4) ส่ง/โอนข้อมูลอ่อนไหวไม่ตาม มาตรา 29 วรรค 1/3

องค์ประกอบสำคัญ

ผู้ต้องรับผิด: ผู้ควบคุมข้อมูลส่วนบุคคล
โทษ: ปรับทางปกครองไม่เกิน 5 ล้านบาท
เงื่อนไขร่วม: ทุกการกระทำเกี่ยวข้องกับข้อมูลอ่อนไหว (มาตรา 26)
การกระทำ 4 กรณี:
- (1) ฝ่าฝืน มาตรา 26 วรรค 1 หรือ 3 — ฐานในการเก็บข้อมูลอ่อนไหว (ความยินยอมโดยชัดแจ้ง + 6 ฐานข้อยกเว้น) / การจัดการข้อมูลที่กฎหมายอื่นกำหนด
- (2) ฝ่าฝืน มาตรา 27 วรรค 1 หรือ 2 — ใช้/เปิดเผย — เกี่ยวกับข้อมูลอ่อนไหว
- (3) ฝ่าฝืน มาตรา 28 — ส่งหรือโอนไปต่างประเทศ — เกี่ยวกับข้อมูลอ่อนไหว
- (4) ส่งหรือโอนข้อมูลอ่อนไหวโดยไม่เป็นไปตาม มาตรา 29 วรรค 1 หรือ 3

มาตราที่อ้างอิง

มาตรา 26 — ข้อมูลอ่อนไหว — ขอบเขตของความผิดทุกกรณีในมาตรานี้
มาตรา 27 — การใช้/เปิดเผยข้อมูล — กรณี (2)
มาตรา 28 — การส่งไปต่างประเทศ — กรณี (3)
มาตรา 29 — ฐานสำหรับการส่งหรือโอน — กรณี (4)

หมายเหตุ

โทษ 5 ล้าน — โทษปรับทางปกครองสูงสุดใน พ.ร.บ.:
- ใช้กับข้อมูลอ่อนไหวเท่านั้น — สอดคล้องกับหลักการคุ้มครองพิเศษของข้อมูลอ่อนไหว
- ความรุนแรงของผลกระทบ หากข้อมูลอ่อนไหวรั่วไหล (เช่น ข้อมูลทางการแพทย์, รสนิยมทางเพศ, เชื้อชาติ) → ผลร้ายแรง
3 ระดับโทษทางปกครองของผู้ควบคุม — สรุป:
- 1 ล้าน (มาตรา 82): หน้าที่ปฏิบัติ
- 3 ล้าน (มาตรา 83): หน้าที่ใจกลาง — ข้อมูลทั่วไป
- 5 ล้าน (มาตรานี้): ข้อมูลอ่อนไหว
เปรียบเทียบกับ มาตรา 79 (โทษอาญา):
- มาตรานี้ (โทษทางปกครอง): ฝ่าฝืน มาตรา 27 เกี่ยวกับข้อมูลอ่อนไหว → 5 ล้าน — ใช้กับทุกการฝ่าฝืน
- มาตรา 79 (โทษอาญา): ฝ่าฝืน มาตรา 27 เกี่ยวกับข้อมูลอ่อนไหว + ผลร้ายแรง (มาตรา 79 ว.1) หรือ เพื่อแสวงหาประโยชน์ (ว.2) → จำคุก + ปรับ
- ใช้คู่กันได้ — โทษทางปกครองสำหรับนิติบุคคล + โทษอาญาสำหรับบุคคลที่กระทำ
เปรียบเทียบกับ มาตรา 87 (ผู้ประมวลผล):
- มาตรานี้: ผู้ควบคุมเกี่ยวกับข้อมูลอ่อนไหว → 5 ล้าน
- มาตรา 87: ผู้ประมวลผลส่งหรือโอนข้อมูลอ่อนไหว → 5 ล้าน
- ระดับเท่ากัน แต่ขอบเขตของผู้ประมวลผลแคบกว่า (เฉพาะการส่ง/โอน)
เปรียบเทียบกับ GDPR Art. 83 (2):
- GDPR: ปรับสูงสุด 20 ล้านยูโร หรือ 4% ของยอดขายรวมทั่วโลก (ราว 800 ล้านบาท หรือมากกว่า)
- มาตรานี้: เพดาน 5 ล้านบาท — สูงกว่ากฎหมายไทยทั่วไปแต่ต่ำกว่า GDPR
- ผลในเชิงปฏิบัติ: บริษัทไทยที่ส่งข้อมูลให้บริษัทในยุโรปอาจรับโทษทั้ง 2 ระบบพร้อมกัน
การพิจารณาจำนวนเงิน — ตาม มาตรา 90:
- คณะกรรมการผู้เชี่ยวชาญพิจารณาตาม
  - ความร้ายแรงแห่งพฤติกรรม
  - ขนาดกิจการของผู้ควบคุม
  - พฤติการณ์อื่น ๆ
- อาจสั่งให้แก้ไขหรือตักเตือนก่อนปรับ
เหตุที่ฝ่าฝืน มาตรา 26 วรรคสามรับโทษด้วย:
- มาตรา 26 วรรค 3 = การจัดการข้อมูลที่กฎหมายอื่น (เช่น กฎหมายแรงงาน) อนุญาตให้เก็บ
- การไม่ปฏิบัติตามเงื่อนไขที่กฎหมายอื่นกำหนด → กระทบสิทธิของเจ้าของข้อมูลอ่อนไหวเช่นกัน
ฐานในการพิจารณาขนาดกิจการ:
- กิจการขนาดเล็ก (เช่น คลินิกเดี่ยว) — โทษ 5 ล้านอาจสูงเกินไป → คณะกรรมการผู้เชี่ยวชาญอาจปรับน้อยกว่า
- กิจการขนาดใหญ่ (เช่น โรงพยาบาลเครือข่าย) — โทษ 5 ล้านอาจไม่เพียงพอที่จะป้องปราม → ใช้เพดานเต็ม
- หลักการนี้สอดคล้องกับ มาตรา 90 วรรค 2