อย่ารอให้ถูกปรับ! สรุป โทษทางอาญา PDPA ที่ ผู้บริหาร และ DPO ต้องรู้ก่อนสายเกินไป

 

นับตั้งแต่ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA (Personal Data Protection Act) มีผลบังคับใช้อย่างเต็มรูปแบบเมื่อวันที่ 1 มิถุนายน 2565 ภูมิทัศน์ของการดำเนินธุรกิจในประเทศไทยก็ได้เปลี่ยนแปลงไปอย่างสิ้นเชิง ข้อมูลลูกค้าที่เคยเป็นเพียง “สินทรัพย์” ของบริษัท กลายเป็น “ระเบิดเวลา” ที่หากบริหารจัดการไม่ดี อาจนำมาซึ่งความเสียหายมหาศาล

ความเข้าใจผิดที่อันตรายที่สุดของผู้บริหารหลายท่านคือ คิดว่า กฎหมาย PDPA เป็นเรื่องของฝ่ายไอที (IT) หรือฝ่ายกฎหมายเท่านั้น และหากทำผิดก็คงแค่ “เสียค่าปรับ” ให้จบเรื่องไป แต่ในความเป็นจริง กฎหมายฉบับนี้มีเขี้ยวเล็บที่แหลมคมกว่านั้น โดยเฉพาะ “ค่าปรับ PDPA” ที่สูงลิ่ว และที่น่ากลัวที่สุดคือ “โทษจำคุก” ที่ไม่ได้จำกัดอยู่แค่พนักงานระดับปฏิบัติการ แต่ลามไปถึง “กรรมการบริษัท” หรือผู้มีอำนาจสั่งการสูงสุดด้วย

บทความนี้ B-Tools Training จะพาท่านไปเจาะลึกถึงโครงสร้างบทลงโทษ โดยเฉพาะโทษทางอาญาที่หลายคนมองข้าม เพื่อให้ท่านเตรียมพร้อมป้องกันความเสี่ยงก่อนที่จะสายเกินไป

 

 

สรุป 3 บทลงโทษ PDPA มีอะไรบ้าง?

เพื่อให้เห็นภาพรวมความเสี่ยง กฎหมาย PDPA ได้กำหนดบทลงโทษสำหรับผู้ฝ่าฝืนไว้ 3 ประเภทหลัก ซึ่งแต่ละประเภทมีความรุนแรงและวัตถุประสงค์ที่แตกต่างกัน ดังนี้:

1. โทษทางปกครอง (Administrative Penalties)

นี่คือโทษที่พบได้บ่อยที่สุดและเป็น “ด่านแรก” ของการบังคับใช้กฎหมาย เกิดขึ้นเมื่อองค์กร (ในฐานะ Data Controller) ไม่ปฏิบัติตามขั้นตอนที่กฎหมายกำหนด เช่น ไม่ขอความยินยอม (Consent) ให้ถูกต้อง, ไม่มีมาตรการรักษาความปลอดภัยข้อมูล, หรือไม่แต่งตั้งเจ้าหน้าที่ DPO ในกรณีที่จำเป็น

  • ความรุนแรง: โทษปรับสูงสุดถึง 5,000,000 บาท (ห้าล้านบาท) ต่อความผิด

  • เป้าหมาย: เพื่อลงโทษองค์กรหรือนิติบุคคลที่ละเลยหน้าที่

2. โทษทางแพ่ง (Civil Liability)

เป็นเรื่องของการ “ชดใช้ค่าเสียหาย” หลายคนกังวลเรื่อง PDPA ถ่ายรูปติดคนอื่น แล้วจะโดนฟ้อง ซึ่งส่วนใหญ่มักจบที่การเจรจาไกล่เกลี่ยหรือลบรูป แต่สิ่งที่น่ากลัวกว่าสำหรับองค์กรคือกรณีข้อมูลลูกค้ารั่วไหลจำนวนมาก จนศาลสั่งจ่ายค่าสินไหมทดแทน บวกกับ “ค่าสินไหมทดแทนเพื่อการลงโทษ” (Punitive Damages) เพิ่มได้อีก 2 เท่า

  • ความรุนแรง: ต้องจ่าย ค่าสินไหมทดแทน ตามความเสียหายที่เกิดขึ้นจริง บวกกับ ศาลมีอำนาจสั่งให้จ่าย “ค่าสินไหมทดแทนเพื่อการลงโทษ” (Punitive Damages) เพิ่มได้อีกไม่เกิน 2 เท่าของค่าเสียหายจริง

  • ตัวอย่าง: หากข้อมูลรั่วไหลทำให้ลูกค้าสูญเสียเงิน 1 ล้านบาท ศาลอาจสั่งให้บริษัทจ่ายคืน 1 ล้านบาท + ค่าปรับเพื่อการลงโทษอีก 2 ล้านบาท รวมเป็น 3 ล้านบาท

3. โทษทางอาญา (Criminal Penalties)

นี่คือส่วนที่เราจะโฟกัสในบทความนี้ เพราะเป็นส่วนที่ร้ายแรงที่สุด คือมีโทษ “จำคุก” เข้ามาเกี่ยวข้อง

  • ความรุนแรง: จำคุกสูงสุดไม่เกิน 1 ปี หรือปรับไม่เกิน 1,000,000 บาท หรือทั้งจำทั้งปรับ

  • เงื่อนไข: ไม่ได้เกิดขึ้นกับทุกกรณี แต่จะเกิดขึ้นเมื่อมีการใช้ “ข้อมูลอ่อนไหว (Sensitive Data)” โดยทุจริต หรือทำให้ผู้อื่นเกิดความเสียหาย เสียชื่อเสียง ถูกดูหมิ่น เกลียดชัง

 

 

เจาะลึก “โทษทางอาญา PDPA” กรรมการติดคุกจริงไหม?

คำถามที่ผู้บริหารมักถามด้วยความกังวลคือ “ถ้าพนักงานทำข้อมูลรั่ว กรรมการบริษัทต้องติดคุกด้วยเหรอ?” คำตอบสั้นๆ คือ “มีโอกาสเป็นไปได้” ครับ

ความรับผิดทางอาญาตาม PDPA ไม่ได้เกิดขึ้นง่ายๆ เหมือนโทษทางปกครอง แต่เมื่อเกิดขึ้นแล้ว ผลกระทบจะรุนแรงต่อตัวบุคคลมาก โดยกฎหมายกำหนดเงื่อนไขสำคัญไว้ใน มาตรา 79 ซึ่งระบุว่า ผู้ควบคุมข้อมูลส่วนบุคคลจะมีความผิดทางอาญาเมื่อเข้าข่ายองค์ประกอบ ดังนี้:

1. เกี่ยวข้องกับ “ข้อมูลส่วนบุคคลที่ละเอียดอ่อน” (Sensitive Data)

โทษทางอาญาจะบังคับใช้เฉพาะกรณีที่เกี่ยวข้องกับข้อมูลตาม มาตรา 26 เท่านั้น ซึ่งได้แก่:

  • เชื้อชาติ (Race)

  • เผ่าพันธุ์ (Ethnic Origin)

  • ความคิดเห็นทางการเมือง (Political Opinions)

  • ความเชื่อในลัทธิ ศาสนา หรือปรัชญา (Religious or Philosophical Beliefs)

  • พฤติกรรมทางเพศ (Sexual Behavior)

  • ประวัติอาชญากรรม (Criminal Records)

  • ข้อมูลสุขภาพ (Health Data)

  • ข้อมูลสหภาพแรงงาน (Trade Union Membership)

  • ข้อมูลพันธุกรรม (Genetic Data)

  • ข้อมูลชีวภาพ (Biometric Data) เช่น ลายนิ้วมือ, การสแกนใบหน้า

2. ต้องมี “เจตนาทุจริต” หรือทำให้เกิดความเสียหาย

นี่คือ Keyword สำคัญครับ การที่ข้อมูลรั่วไหลโดย “ประมาทเลินเล่อ” (เช่น ลืมล็อกหน้าจอคอมพิวเตอร์ หรือถูก Hacker โจมตีแม้จะมีระบบป้องกันแล้ว) ส่วนใหญ่จะโดนแค่โทษทางปกครองและทางแพ่ง

แต่ โทษทางอาญา จะทำงานเมื่อมีเจตนาพิเศษ คือ:

  • เปิดเผยข้อมูลโดยทุจริต: เพื่อแสวงหาประโยชน์ที่มิควรได้โดยชอบด้วยกฎหมายสำหรับตนเองหรือผู้อื่น (เช่น HR แอบเอาประวัติสุขภาพพนักงานไปขายให้บริษัทประกัน)

  • เปิดเผยแล้วทำให้เกิดความเสียหาย: ทำให้เจ้าของข้อมูลเสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย

ความรับผิดชอบของกรรมการบริษัท (Director’s Liability)

ตาม มาตรา 81 ระบุว่า ในกรณีที่ผู้กระทำความผิดเป็นนิติบุคคล (บริษัท) หากการกระทำความผิดนั้นเกิดจาก “การสั่งการ หรือการกระทำ” ของกรรมการ ผู้จัดการ หรือบุคคลผู้รับผิดชอบ หรือเกิดจาก “การละเว้นไม่สั่งการ หรือไม่กระทำ” ตามหน้าที่

  • บุคคลนั้นต้องรับโทษจำคุกด้วย!

นั่นหมายความว่า หากกรรมการบริษัททราบว่าระบบความปลอดภัยข้อมูลหละหลวม แต่เพิกเฉยไม่ยอมอนุมัติงบประมาณปรับปรุง หรือไม่มีนโยบายป้องกัน จนนำไปสู่การรั่วไหลของข้อมูลอ่อนไหวและเกิดความเสียหาย กรรมการผู้นั้นไม่อาจปฏิเสธความรับผิดชอบได้ ท่านไม่สามารถอ้างว่า “ไม่รู้เรื่องไอที” ได้อีกต่อไปในยุค PDPA

 

 

หน้าที่ของ DPO และผู้บริหาร ในการป้องกันความเสี่ยง

เมื่อความเสี่ยงมีเดิมพันสูงถึงอิสรภาพของผู้บริหาร บทบาทของ Data Controller (ผู้ควบคุมข้อมูลส่วนบุคคล – ซึ่งก็คือองค์กร) และ DPO (เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล) จึงมีความสำคัญอย่างยิ่งในการสร้าง “เกราะป้องกัน” ทางกฎหมาย

1. หน้าที่ของ Data Controller (ผู้บริหาร/องค์กร)

  • กำหนดนโยบาย (Policy): ต้องมี Privacy Policy ที่ชัดเจน และประกาศให้พนักงานและลูกค้าทราบ

  • จัดหามาตรการความปลอดภัย: ทั้งทางเทคนิค (Firewall, Encryption) และทางกายภาพ (การเข้าถึงห้อง Server, การเก็บเอกสาร) ให้เหมาะสมกับความเสี่ยง โดยเฉพาะข้อมูล Sensitive Data

  • กำกับดูแล (Governance): ไม่ใช่แค่สั่งการ แต่ต้องตรวจสอบว่าพนักงานปฏิบัติตามนโยบายหรือไม่

  • บันทึกรายการกิจกรรม (ROPD): ต้องมี Record of Processing Activities เพื่อให้ตรวจสอบย้อนกลับได้เมื่อเกิดปัญหา

2. หน้าที่ของ DPO (เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล)

DPO เปรียบเสมือน “ผู้ตรวจสอบภายใน” ด้านข้อมูลส่วนบุคคล หน้าที่หลักคือ:

  • ให้คำแนะนำ: แก่ผู้บริหารและพนักงานเกี่ยวกับการปฏิบัติตาม PDPA

  • ตรวจสอบการทำงาน: Monitor การทำงานขององค์กรว่ามีความเสี่ยงจุดไหนบ้าง

  • ประสานงาน: เป็นจุดติดต่อกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) เมื่อเกิดเหตุละเมิด

ข้อควรระวัง: DPO ไม่ควรเป็นคนเดียวกับผู้ที่มีอำนาจตัดสินใจเรื่องข้อมูล (เช่น IT Manager หรือ HR Manager) ในบางกรณี เพื่อป้องกันผลประโยชน์ทับซ้อน (Conflict of Interest) แต่ควรเป็นผู้ที่มีความรู้ทั้งด้านกฎหมายและไอที หรือได้รับการอบรมมาโดยเฉพาะ

 

 

กรณีศึกษา ปัญหา PDPA ข้อมูลรั่วไหล ที่อาจส่งผลให้ผู้บริหารโดนปรับ

เพื่อให้เห็นภาพชัดเจนขึ้น ลองมาดูตัวอย่างเหตุการณ์สมมติที่อาจนำไปสู่โทษทางอาญาครับ

Case Study 1: คลินิกเสริมความงามขายข้อมูลลูกค้า (โทษอาญาชัดเจน)

เหตุการณ์: พนักงานการตลาดของคลินิกแห่งหนึ่ง แอบคัดลอกฐานข้อมูลลูกค้า VIP ซึ่งมีทั้ง “รูปภาพก่อนทำศัลยกรรม” (ข้อมูลสุขภาพ/ชีวภาพ – Sensitive) และ “ประวัติการรักษา” นำไปขายต่อให้กับเอเจนซี่ศัลยกรรมคู่แข่ง เพื่อแลกกับค่าตอบแทน

  • วิเคราะห์:

    1. เป็นข้อมูล Sensitive Data (สุขภาพ/ชีวภาพ)

    2. มีการเปิดเผยต่อบุคคลภายนอก

    3. มี “เจตนาทุจริต” เพื่อแสวงหาผลประโยชน์ส่วนตัว

  • บทลงโทษ: พนักงานคนดังกล่าวมีความผิดทางอาญาแน่นอน (จำคุกไม่เกิน 1 ปี) และหากพิสูจน์ได้ว่า กรรมการบริษัทรู้เห็นเป็นใจ หรือ ละเลยไม่วางระบบป้องกันการเข้าถึงข้อมูล กรรมการก็อาจต้องรับโทษจำคุกร่วมด้วย

Case Study 2: ฝ่าย HR ส่งผลตรวจโรคพนักงานผิดคน (เสี่ยงโทษอาญา)

เหตุการณ์: ฝ่าย HR ส่งอีเมลผลตรวจสุขภาพประจำปี (รวมถึงผลตรวจ HIV) ของนาย A ไปให้นาย B และพนักงานคนอื่นๆ ในแผนกดู โดยไม่ได้ตั้งใจ แต่ทำให้พนักงานคนอื่นรู้ว่านาย A ป่วยและเกิดความรังเกียจ

  • วิเคราะห์:

    1. เป็นข้อมูล Sensitive Data (สุขภาพ)

    2. ทำให้เจ้าของข้อมูล (นาย A) เสียชื่อเสียง ถูกดูหมิ่น หรือถูกเกลียดชัง

  • บทลงโทษ: แม้อาจจะอ้างว่าประมาท (ส่งผิด) แต่หากผลกระทบทำให้นาย A เสียหายอย่างรุนแรง และระบบการส่งข้อมูลของบริษัทหละหลวมมาก ศาลอาจพิจารณาถึงองค์ประกอบความผิดที่ทำให้เกิดความเสียหายและอับอาย ซึ่งมีความเสี่ยงต่อโทษทางอาญาเช่นกัน

“ป้องกันความเสี่ยงเหล่านี้ตั้งแต่ต้นทางด้วยการสร้างความเข้าใจที่ถูกต้องให้แก่บุคลากรผ่าน [บริการจัดอบรม PDPA สำหรับองค์กร] ที่ครอบคลุมทั้งข้อกฎหมายและแนวทางปฏิบัติที่ปลอดภัย”

 

 

สรุป: ความรู้คือเกราะป้องกันที่ดีที่สุด

PDPA ไม่ใช่กฎหมายที่ออกมาเพื่อจับผิด แต่เป็นกฎหมายที่ยกระดับมาตรฐานการทำงานให้มีความเป็นสากลและเคารพสิทธิผู้อื่น สำหรับผู้บริหารและ DPO การ “ไม่รู้กฎหมาย” ไม่ใช่ข้ออ้างที่จะช่วยให้รอดพ้นจากคุกตารางได้

กุญแจสำคัญในการรอดพ้นจากโทษทางอาญา คือการแสดงให้เห็นว่าองค์กรมี “เจตนาสุจริต” ในการคุ้มครองข้อมูล มีมาตรการป้องกันที่รัดกุม และมีการอบรมพนักงานอย่างต่อเนื่อง หากเกิดเหตุสุดวิสัยจริงๆ หลักฐานการเตรียมความพร้อมเหล่านี้จะเป็นสิ่งที่ช่วยผ่อนหนักให้เป็นเบาได้

ไม่อยากเสี่ยงคุก เสี่ยงค่าปรับ และชื่อเสียงบริษัทพังทลาย?

อย่าปล่อยให้ความไม่รู้กลายเป็นความเสี่ยงขององค์กร B-Tools Training ขอแนะนำหลักสูตร “PDPA for Executives & DPO: กฎหมายคุ้มครองข้อมูลส่วนบุคคลฉบับเจาะลึกและการนำไปใช้จริง”

สิ่งที่คุณจะได้รับจากหลักสูตรนี้:

  • เจาะลึกข้อกฎหมายแบบเข้าใจง่าย ภาษาคนทำงาน ไม่ใช่ภาษานักกฎหมาย

  • Workshop การทำ ROPD และการประเมินความเสี่ยง (DPIA)

  • Guideline การวางมาตรการความปลอดภัยที่สอดคล้องกับงบประมาณ

  • Case Studies จริง อัปเดตล่าสุดปี 2025/2026

 

“ปกป้ององค์กรของคุณตั้งแต่วันนี้ ก่อนที่ข้อมูลจะรั่วไหลในวันพรุ่งนี้! [หลักสูตรอบรม PDPA ฉบับปฏิบัติจริง] หรือติดต่อเราเพื่อรับคำปรึกษา In-house Training สำหรับองค์กรของคุณ”

 

Last Updated on March 4, 2026

Picture of B Tools Training
B Tools Training

ที่ปรึกษาเชิงกลยุทธ์ด้านการฝึกอบรมองค์กร เชื่อมโยงคน ผลงาน และเป้าหมายธุรกิจ เพื่อผลลัพธ์ที่วัดได้

Table of Contents

หลักสูตรแนวคิดผู้ประกอบการ (Entrepreneur Mindset): เปลี่ยนพนักงานให้คิดเหมือนเจ้าของธุรกิจ

เรียนรู้ การเป็นผู้ประกอบการในองค์กร (Entrepreneur Mindset) เปลี่ยนมุมมองลูกจ้างสู่การเป็นเจ้าของกิจการ และการมองหาโอกาสสร้างรายได้ให้องค์กร

อ่านต่อ »
บรรยากาศการฝึกการเจรจาต่อรองด้วยทักษะ Negotiation Skills

Negotiation & Influencing Skills – หลักสูตรการเจรจาต่อรองและการโน้มน้าวใจเพื่อความสำเร็จทางธุรกิจ

หลักสูตร Negotiation & Influencing Skills เน้น อบรมการเจรจาต่อรอง และศิลปะโน้มน้าวใจ เรียนรู้กลยุทธ์ Win-Win และจิตวิทยาปิดดีลเพื่อความสำเร็จทางธุรกิจ

อ่านต่อ »
วิทยากรกำลังบรรยายหลักสูตร PDPA Training เกี่ยวกับการจัดการข้อมูลส่วนบุคคลในองค์กร

หลักสูตร PDPA ฉบับปฏิบัติจริง เปลี่ยนเรื่องกฎหมายให้เป็นเรื่องง่ายและทำได้ทันที

ลดความเสี่ยงทางกฎหมายด้วยหลักสูตร PDPA Training (อบรม PDPA) เรียนรู้การจัดการข้อมูลส่วนบุคคล Consent Form และ Data Breach Management

อ่านต่อ »
Load More
Scroll to Top