มาตรา 85
สารบัญในมาตรานี้
ตัวบท
มาตรา 85 ผู้ประมวลผลข้อมูลส่วนบุคคลผู้ใดไม่ปฏิบัติตามมาตรา 41 วรรคหนึ่ง หรือมาตรา 42 วรรคสองหรือวรรคสาม ต้องระวางโทษปรับทางปกครองไม่เกินหนึ่งล้านบาท
สรุป
มาตรานี้กำหนดโทษปรับทางปกครองไม่เกิน 1 ล้านบาทสำหรับผู้ประมวลผลที่ไม่ปฏิบัติ: (1) มาตรา 41 วรรค 1 — ไม่แต่งตั้งตัวแทน/DPO; (2) มาตรา 42 วรรค 2 หรือ 3 — ไม่สนับสนุน DPO หรือไม่เปิดเผยช่องทางติดต่อ DPO — ขนานกับ มาตรา 82 (ผู้ควบคุม) ในเรื่องการตั้ง DPO และการสนับสนุน DPO
องค์ประกอบสำคัญ
- ผู้ต้องรับผิด: ผู้ประมวลผลข้อมูลส่วนบุคคล
- โทษ: ปรับทางปกครองไม่เกิน 1 ล้านบาท
- การกระทำ:
มาตราที่อ้างอิง
หมายเหตุ
- เหตุที่ผู้ประมวลผลต้องตั้ง DPO:
- แม้ผู้ประมวลผลไม่ใช่เจ้าของข้อมูลโดยตรง แต่เป็นผู้ที่จัดการข้อมูลในนามของผู้ควบคุม
- การตั้ง DPO ในผู้ประมวลผลทำให้มีผู้ตรวจสอบภายในของผู้ประมวลผลเอง
- สอดคล้องกับ GDPR Art. 37 ที่กำหนดให้ทั้งผู้ควบคุมและผู้ประมวลผลต้องตั้ง DPO ในกรณีที่กฎหมายกำหนด
- เปรียบเทียบกับ มาตรา 82 (ผู้ควบคุม):
- เหตุที่ผู้ประมวลผลมีหน้าที่น้อยกว่าผู้ควบคุม:
- ผู้ประมวลผลทำงานตามคำสั่งของผู้ควบคุม
- หน้าที่หลัก (เช่น ฐานในการเก็บข้อมูล, แจ้งเจ้าของข้อมูล) อยู่ที่ผู้ควบคุม
- ผู้ประมวลผลมีหน้าที่เพียงปฏิบัติตามสัญญากับผู้ควบคุม + ตั้ง DPO + ส่งโอนตามฐาน
- 3 บทลงโทษทางปกครองของผู้ประมวลผล:
- ความเชื่อมโยงกับ มาตรา 88 (ตัวแทน):
- ภาวะความรับผิด — ลักษณะของโทษทางปกครอง: