มาตรา 86

หมวด 7 · 3 แนวคิดที่เกี่ยวข้อง · 4 มาตราอ้างอิง

สารบัญในมาตรานี้

ตัวบท
สรุป
องค์ประกอบสำคัญ
มาตราที่อ้างอิง
หมายเหตุ
แนวคิดที่เกี่ยวข้อง

ตัวบท

มาตรา 86 ผู้ประมวลผลข้อมูลส่วนบุคคลผู้ใดไม่ปฏิบัติตามมาตรา 40 โดยไม่มีเหตุอันควร หรือส่งหรือโอนข้อมูลส่วนบุคคลโดยไม่เป็นไปตามมาตรา 29 วรรคหนึ่งหรือวรรคสาม หรือไม่ปฏิบัติตามมาตรา 37 (5) ซึ่งได้นำมาใช้บังคับโดยอนุโลมตามมาตรา 38 วรรคสอง ต้องระวางโทษปรับทางปกครองไม่เกินสามล้านบาท

สรุป

มาตรานี้กำหนดโทษปรับทางปกครองไม่เกิน 3 ล้านบาทสำหรับผู้ประมวลผลใน 3 กรณี: (1) ไม่ปฏิบัติ มาตรา 40 โดยไม่มีเหตุอันควร — ไม่ปฏิบัติตามคำสั่งผู้ควบคุม/ไม่จัดทำบันทึก/ไม่ทำมาตรการรักษาความปลอดภัย/ไม่ลบเมื่อสิ้นสุด; (2) ส่ง/โอนข้อมูลไม่เป็นไปตาม มาตรา 29 วรรค 1/3; (3) ไม่ปฏิบัติ มาตรา 37 (5) — ไม่แจ้งเหตุละเมิด — อนุโลมจาก มาตรา 38 วรรค 2

องค์ประกอบสำคัญ

ผู้ต้องรับผิด: ผู้ประมวลผลข้อมูลส่วนบุคคล
โทษ: ปรับทางปกครองไม่เกิน 3 ล้านบาท
การกระทำ 3 กรณี:
- (1) ไม่ปฏิบัติ มาตรา 40 โดยไม่มีเหตุอันควร:
  - หน้าที่ใน มาตรา 40 — 4 หน้าที่หลักของผู้ประมวลผล (ปฏิบัติตามคำสั่ง / จัดทำบันทึก / รักษาความปลอดภัย / ลบเมื่อสิ้นสุด)
  - เงื่อนไข: "โดยไม่มีเหตุอันควร" — เปิดให้ผู้ประมวลผลพิสูจน์เหตุผลที่ไม่ปฏิบัติได้
- (2) ส่งหรือโอนโดยไม่เป็นไปตาม มาตรา 29 วรรค 1 หรือ 3:
  - ไม่มีฐานสำหรับส่งไปต่างประเทศ
- (3) ไม่ปฏิบัติ มาตรา 37 (5) อนุโลมจาก มาตรา 38 วรรค 2:
  - ไม่แจ้งเหตุละเมิดข้อมูลภายในเวลาที่กำหนด

มาตราที่อ้างอิง

มาตรา 29 — ฐานสำหรับการส่งหรือโอน
มาตรา 37 — มาตรการรักษาความปลอดภัย — (5) แจ้งเหตุละเมิด
มาตรา 38 — หน้าที่อนุโลมของผู้ประมวลผล — วรรค 2
มาตรา 40 — หน้าที่ของผู้ประมวลผล — 4 หน้าที่หลัก

หมายเหตุ

"โดยไม่มีเหตุอันควร" — ลักษณะเฉพาะของมาตรานี้:
- มาตรานี้เป็นมาตราเดียวในส่วนที่ 2 ที่ใช้คำนี้
- เหตุที่กฎหมายให้ผ่อนผันแก่ผู้ประมวลผล:
  - ผู้ประมวลผลทำงานตามคำสั่งของผู้ควบคุม
  - บางครั้งผู้ควบคุมไม่ได้ระบุชัดเจนหรือคำสั่งขัดกัน
  - ผู้ประมวลผลอาจไม่สามารถปฏิบัติได้จริง (เช่น ไม่มีข้อมูลครบ)
- ผู้ประมวลผลอาจพิสูจน์เหตุผลเพื่อพ้นจากโทษ
เปรียบเทียบกับผู้ควบคุม มาตรา 83:
- มาตรานี้: ผู้ประมวลผล → 3 ล้าน — เน้นการปฏิบัติตามคำสั่ง + การส่งโอน + การแจ้งเหตุละเมิด
- มาตรา 83: ผู้ควบคุม → 3 ล้าน — เน้นฐานในการประมวลผลและวัตถุประสงค์
- 2 มาตราเป็นภาพสะท้อนของแต่ละบทบาท
3 ระดับโทษทางปกครองของผู้ประมวลผล — สรุป:
- 1 ล้าน (มาตรา 85): ไม่ตั้ง DPO / ไม่สนับสนุน DPO
- 3 ล้าน (มาตรานี้): ไม่ปฏิบัติตามคำสั่ง / ส่งโอนผิด / ไม่แจ้งเหตุละเมิด
- 5 ล้าน (มาตรา 87): ส่งโอนข้อมูลอ่อนไหวผิด
เหตุที่การไม่แจ้งเหตุละเมิด (มาตรา 37 (5)) อยู่ในระดับ 3 ล้าน:
- การไม่แจ้งเหตุละเมิด → ทำให้เจ้าของข้อมูลไม่สามารถป้องกันตนเองได้ทัน
- กระทบสิทธิของเจ้าของข้อมูลโดยตรง
- มาตรฐานสากล (GDPR Art. 33) ก็มีบทลงโทษหนักสำหรับการไม่แจ้งภายใน 72 ชั่วโมง
ความเชื่อมโยงกับ มาตรา 38 วรรค 2:
- มาตรา 38 วรรค 2 = ผู้ประมวลผลต้องปฏิบัติหน้าที่ตาม มาตรา 37 (5) อนุโลม
- มาตรานี้ทำให้การไม่ปฏิบัติตามมีโทษทางปกครอง — สอดคล้องกับการบังคับใช้
เปรียบเทียบกับโทษอาญา:
- ผู้ประมวลผลไม่มีโทษอาญาตรง ๆ ในส่วนที่ 1 — เพราะ มาตรา 79 ใช้กับ"ผู้ควบคุม"เท่านั้น
- แต่ผู้ประมวลผลอาจรับโทษอาญาตาม มาตรา 80 (ล่วงรู้ข้อมูลแล้วเปิดเผย) ถ้าเข้าข่าย