PDPA คืออะไร — ทำความเข้าใจกฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทย
PDPA คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act, B.E. 2562) ซึ่งมีผลบังคับใช้เต็มรูปแบบตั้งแต่วันที่ 1 มิถุนายน 2565 กฎหมายฉบับนี้ถือเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลฉบับแรกของประเทศไทยที่มีความครอบคลุมและมีบทลงโทษชัดเจน โดยมีแนวคิดคล้ายคลึงกับ GDPR (General Data Protection Regulation) ของสหภาพยุโรป
ผมทำงานด้าน IT มากว่า 30 ปี ตั้งแต่ก่อตั้ง SiamCafe.net ในปี 1997 ได้เห็นวิวัฒนาการของกฎหมายเทคโนโลยีไทยมาตลอด ต้องบอกว่า PDPA คือ กฎหมายที่ส่งผลกระทบต่อทุกองค์กรที่เก็บข้อมูลลูกค้า ไม่ว่าจะเป็นร้านค้าออนไลน์ขนาดเล็กไปจนถึงบริษัทมหาชน ถ้าคุณมีเว็บไซต์ที่เก็บอีเมล เบอร์โทร หรือแม้แต่ Cookie ก็ต้องปฏิบัติตาม PDPA ทั้งสิ้น
ข้อมูลจากสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ระบุว่า ในปี 2025 มีเรื่องร้องเรียนเกี่ยวกับการละเมิดข้อมูลส่วนบุคคลมากกว่า 4,500 เรื่อง เพิ่มขึ้นจากปี 2024 ถึง 38% แสดงให้เห็นว่าประชาชนตระหนักถึงสิทธิของตนเองมากขึ้น และองค์กรที่ไม่ปฏิบัติตามมีความเสี่ยงสูงที่จะถูกดำเนินคดี
ทำไมต้องรู้เรื่อง PDPA ในปี 2026 — ผลกระทบต่อทุกองค์กร
ในปี 2026 การบังคับใช้ PDPA เข้มงวดขึ้นอย่างมาก สคส. ได้ออกประกาศเพิ่มเติมหลายฉบับที่กำหนดรายละเอียดการปฏิบัติตามกฎหมาย รวมถึงมาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ซึ่งมีผลบังคับใช้ตั้งแต่ต้นปี 2026
เหตุผลที่ต้องรู้เรื่อง PDPA คือ:
- บทลงโทษรุนแรง — ค่าปรับสูงสุด 5 ล้านบาท และโทษจำคุกสูงสุด 1 ปี สำหรับกรณีร้ายแรง
- ค่าเสียหายเชิงลงโทษ — ศาลสามารถสั่งให้จ่ายค่าเสียหายเชิงลงโทษได้สูงสุด 2 เท่าของค่าเสียหายจริง
- ชื่อเสียงองค์กร — การถูกเปิดเผยว่าละเมิด PDPA ส่งผลกระทบต่อความน่าเชื่อถือขององค์กรอย่างมาก
- ลูกค้าตระหนักสิทธิ — ผู้บริโภคยุคใหม่ให้ความสำคัญกับความเป็นส่วนตัวมากขึ้น องค์กรที่ปฏิบัติตาม PDPA จะได้เปรียบในการแข่งขัน
- ข้อกำหนดใหม่ปี 2026 — สคส. กำหนดให้องค์กรขนาดกลางขึ้นไปต้องแต่งตั้ง DPO (Data Protection Officer) ภายในไตรมาส 2 ของปี 2026
จากประสบการณ์ที่ผมให้คำปรึกษาด้าน IT Security กับองค์กรต่างๆ พบว่ากว่า 60% ของ SME ไทยยังไม่ปฏิบัติตาม PDPA อย่างครบถ้วน โดยเฉพาะเรื่องการจัดทำ Privacy Policy ที่ถูกต้อง การขอ Consent ที่ชัดเจน และการจัดการ Data Breach
🎬 วิดีโอที่เกี่ยวข้อง — YouTube @icafefx
องค์ประกอบสำคัญของ PDPA — มาตราที่ต้องรู้
PDPA คือ กฎหมายที่ประกอบด้วยหลักการสำคัญหลายประการ ซึ่งผมจะอธิบายแต่ละส่วนให้เข้าใจง่าย:
1. ข้อมูลส่วนบุคคล (Personal Data) คืออะไร
ข้อมูลส่วนบุคคลตาม PDPA หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม ตัวอย่างเช่น ชื่อ-นามสกุล เลขบัตรประชาชน ที่อยู่ เบอร์โทรศัพท์ อีเมล IP Address ข้อมูลตำแหน่งที่ตั้ง (GPS) Cookie ID รวมถึงข้อมูลชีวภาพ เช่น ลายนิ้วมือ ใบหน้า
นอกจากนี้ยังมี ข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data) ซึ่งได้รับการคุ้มครองเป็นพิเศษ ได้แก่ เชื้อชาติ ศาสนา ความคิดเห็นทางการเมือง ข้อมูลสุขภาพ ข้อมูลพันธุกรรม ข้อมูลชีวภาพ ข้อมูลเกี่ยวกับรสนิยมทางเพศ และประวัติอาชญากรรม
2. บทบาทตาม PDPA
- เจ้าของข้อมูล (Data Subject) — บุคคลที่ข้อมูลนั้นเกี่ยวข้อง เช่น ลูกค้า พนักงาน
- ผู้ควบคุมข้อมูล (Data Controller) — องค์กรที่ตัดสินใจว่าจะเก็บข้อมูลอะไร เพื่อวัตถุประสงค์อะไร
- ผู้ประมวลผลข้อมูล (Data Processor) — ผู้ที่ประมวลผลข้อมูลตามคำสั่งของผู้ควบคุมข้อมูล เช่น ผู้ให้บริการ Cloud
- เจ้าหน้าที่คุ้มครองข้อมูล (DPO) — บุคคลที่ได้รับแต่งตั้งให้ดูแลการปฏิบัติตาม PDPA
3. ฐานทางกฎหมาย 7 ฐาน (Lawful Basis)
การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลต้องมีฐานทางกฎหมายอย่างน้อย 1 ฐาน ได้แก่ ความยินยอม (Consent) สัญญา (Contract) หน้าที่ตามกฎหมาย (Legal Obligation) ประโยชน์สำคัญต่อชีวิต (Vital Interest) ภารกิจของรัฐ (Public Task) ประโยชน์อันชอบธรรม (Legitimate Interest) และจดหมายเหตุ/วิจัย (Archiving/Research)
4. สิทธิของเจ้าของข้อมูล 8 ประการ
PDPA คือ กฎหมายที่ให้สิทธิแก่เจ้าของข้อมูลอย่างครอบคลุม ได้แก่ สิทธิในการเข้าถึงข้อมูล สิทธิในการแก้ไขข้อมูล สิทธิในการลบข้อมูล สิทธิในการระงับการใช้ข้อมูล สิทธิในการโอนย้ายข้อมูล สิทธิในการคัดค้าน สิทธิในการถอนความยินยอม และสิทธิในการร้องเรียน
เปรียบเทียบ PDPA กับกฎหมายคุ้มครองข้อมูลต่างประเทศ
| หัวข้อ | PDPA (ไทย) | GDPR (EU) | CCPA (สหรัฐฯ) |
|---|---|---|---|
| ปีบังคับใช้ | 2565 (2022) | 2561 (2018) | 2563 (2020) |
| ขอบเขต | ทุกองค์กรที่เก็บข้อมูลในไทย | ทุกองค์กรที่เก็บข้อมูล EU citizen | ธุรกิจใน California รายได้ > $25M |
| ค่าปรับสูงสุด | 5 ล้านบาท (~$140K) | €20M หรือ 4% รายได้ทั่วโลก | $7,500 ต่อการละเมิด |
| โทษจำคุก | สูงสุด 1 ปี | ไม่มี (แต่ละประเทศกำหนดเอง) | ไม่มี |
| DPO บังคับ | องค์กรขนาดกลางขึ้นไป (2026) | บังคับบางกรณี | ไม่บังคับ |
| สิทธิลบข้อมูล | มี | มี (Right to be Forgotten) | มี |
| Data Breach แจ้ง | ภายใน 72 ชั่วโมง | ภายใน 72 ชั่วโมง | ภายใน 45 วัน |
| Consent | ต้องขอชัดเจน (Explicit) | ต้องขอชัดเจน (Explicit) | Opt-out (ไม่ต้องขอก่อน) |
จากตารางจะเห็นว่า PDPA มีความเข้มงวดใกล้เคียงกับ GDPR โดยเฉพาะเรื่องการขอ Consent และการแจ้ง Data Breach แต่ค่าปรับยังน้อยกว่า GDPR มาก อย่างไรก็ตาม สำหรับ SME ไทย ค่าปรับ 5 ล้านบาทถือว่าสูงมากแล้ว
วิธีปฏิบัติตาม PDPA — Checklist สำหรับองค์กร IT
จากประสบการณ์ที่ผมช่วยองค์กรกว่า 50 แห่งปฏิบัติตาม PDPA ผมสรุปขั้นตอนสำคัญดังนี้:
ขั้นตอนที่ 1: สำรวจข้อมูล (Data Mapping)
เริ่มจากการสำรวจว่าองค์กรเก็บข้อมูลส่วนบุคคลอะไรบ้าง เก็บที่ไหน ใครเข้าถึงได้ และเก็บไว้นานเท่าไร ขั้นตอนนี้สำคัญที่สุดเพราะถ้าไม่รู้ว่ามีข้อมูลอะไร ก็ไม่สามารถคุ้มครองได้ ผมแนะนำให้ใช้ Data Flow Diagram เพื่อแสดงการไหลของข้อมูลในองค์กร
ขั้นตอนที่ 2: จัดทำ Privacy Policy
เขียนนโยบายความเป็นส่วนตัวที่ชัดเจน ระบุวัตถุประสงค์ในการเก็บข้อมูล ฐานทางกฎหมาย ระยะเวลาจัดเก็บ สิทธิของเจ้าของข้อมูล และช่องทางติดต่อ DPO ต้องเขียนเป็นภาษาที่เข้าใจง่าย ไม่ใช่ภาษากฎหมายที่ซับซ้อน
ขั้นตอนที่ 3: ปรับระบบ Consent
ทุกจุดที่เก็บข้อมูลต้องมีการขอ Consent ที่ชัดเจน ห้ามใช้ Pre-checked Checkbox ต้องแยก Consent แต่ละวัตถุประสงค์ออกจากกัน และต้องให้ถอน Consent ได้ง่ายเท่ากับการให้ Consent สำหรับเว็บไซต์ ต้องมี Cookie Consent Banner ที่ถูกต้องตามกฎหมาย
ขั้นตอนที่ 4: จัดทำ ROPA (Record of Processing Activities)
บันทึกรายการกิจกรรมการประมวลผลข้อมูลทั้งหมด รวมถึงวัตถุประสงค์ ประเภทข้อมูล ผู้รับข้อมูล ระยะเวลาจัดเก็บ และมาตรการรักษาความปลอดภัย เอกสารนี้ต้องพร้อมให้ สคส. ตรวจสอบได้ตลอดเวลา
ขั้นตอนที่ 5: จัดทำแผน Data Breach Response
ต้องมีแผนรับมือเหตุการณ์ข้อมูลรั่วไหล โดยต้องแจ้ง สคส. ภายใน 72 ชั่วโมง และแจ้งเจ้าของข้อมูลโดยไม่ชักช้าหากเหตุการณ์มีความเสี่ยงสูง ผมแนะนำให้ซ้อมแผนอย่างน้อยปีละ 1 ครั้ง
ขั้นตอนที่ 6: อบรมพนักงาน
พนักงานทุกคนที่เกี่ยวข้องกับข้อมูลส่วนบุคคลต้องได้รับการอบรม ทั้งเรื่องหลักการ PDPA สิทธิของเจ้าของข้อมูล วิธีจัดการคำขอใช้สิทธิ และวิธีรายงาน Data Breach
เทคนิคขั้นสูง — PDPA สำหรับนักพัฒนาและ IT Admin
สำหรับคนทำงาน IT โดยเฉพาะ PDPA คือ เรื่องที่ต้องคำนึงถึงตั้งแต่ขั้นตอนออกแบบระบบ (Privacy by Design):
Database Security
เข้ารหัสข้อมูลส่วนบุคคลทั้ง At Rest (AES-256) และ In Transit (TLS 1.3) ใช้ Column-level Encryption สำหรับข้อมูลที่มีความอ่อนไหว เช่น เลขบัตรประชาชน ใช้ Data Masking สำหรับ Environment ที่ไม่ใช่ Production และจำกัดสิทธิการเข้าถึงตามหลัก Least Privilege
Log และ Audit Trail
บันทึก Log การเข้าถึงข้อมูลส่วนบุคคลทุกครั้ง รวมถึง Who (ใครเข้าถึง) What (เข้าถึงข้อมูลอะไร) When (เมื่อไร) Why (เพื่อวัตถุประสงค์อะไร) เก็บ Log อย่างน้อย 1 ปี และป้องกันไม่ให้ถูกแก้ไข
API Security
ถ้าองค์กรมี API ที่เปิดเผยข้อมูลส่วนบุคคล ต้องใช้ Authentication (OAuth 2.0 หรือ API Key) Rate Limiting เพื่อป้องกัน Data Scraping และ Response Filtering เพื่อส่งเฉพาะข้อมูลที่จำเป็น
Data Retention Automation
สร้างระบบลบข้อมูลอัตโนมัติเมื่อครบกำหนดระยะเวลาจัดเก็บ ใช้ Soft Delete ก่อน แล้ว Hard Delete หลังจากผ่านระยะเวลาที่กำหนด ทำ Anonymization สำหรับข้อมูลที่ต้องเก็บเพื่อวิเคราะห์แต่ไม่ต้องระบุตัวบุคคล
Cookie Consent Implementation
สำหรับเว็บไซต์ ต้องแบ่ง Cookie เป็นหมวดหมู่: Necessary (ไม่ต้องขอ Consent) Analytics (ต้องขอ) Marketing (ต้องขอ) และ Functional (ต้องขอ) ใช้ CMP (Consent Management Platform) เช่น Cookiebot, OneTrust หรือ CookieYes และต้อง Block Cookie จนกว่าจะได้รับ Consent
FAQ — คำถามที่พบบ่อยเกี่ยวกับ PDPA
PDPA คือ กฎหมายที่บังคับใช้กับใครบ้าง?
PDPA บังคับใช้กับทุกองค์กรที่เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในประเทศไทย ไม่ว่าจะเป็นบริษัทไทยหรือต่างชาติ รวมถึงบุคคลธรรมดาที่เก็บข้อมูลเพื่อวัตถุประสงค์ทางธุรกิจ ยกเว้นการเก็บข้อมูลเพื่อประโยชน์ส่วนตัวหรือกิจกรรมในครอบครัว
ถ้าไม่ปฏิบัติตาม PDPA จะโดนโทษอะไร?
โทษแบ่งเป็น 3 ประเภท: โทษทางแพ่ง (ค่าเสียหายจริง + เชิงลงโทษสูงสุด 2 เท่า) โทษทางอาญา (จำคุกสูงสุด 1 ปี ปรับสูงสุด 1 ล้านบาท) และโทษทางปกครอง (ปรับสูงสุด 5 ล้านบาท) นอกจากนี้ สคส. ยังสามารถสั่งให้หยุดการประมวลผลข้อมูลได้
SME ขนาดเล็กต้องทำอะไรบ้างเพื่อปฏิบัติตาม PDPA?
อย่างน้อยต้องทำ 4 อย่าง: จัดทำ Privacy Policy ติดบนเว็บไซต์ ปรับระบบขอ Consent ให้ชัดเจน จัดทำบันทึกกิจกรรมการประมวลผลข้อมูล (ROPA) แบบง่าย และมีแผนรับมือ Data Breach สคส. มี Template ให้ดาวน์โหลดฟรีสำหรับ SME
การส่งอีเมลการตลาดต้องขอ Consent ตาม PDPA หรือไม่?
ต้องขอ Consent ก่อนส่งอีเมลการตลาดทุกครั้ง โดยต้องเป็น Opt-in (ลูกค้าต้องกดยินยอมเอง) ไม่ใช่ Opt-out และต้องมีลิงก์ Unsubscribe ในทุกอีเมล การซื้อ Email List มาส่งโดยไม่ได้รับ Consent ถือเป็นการละเมิด PDPA
PDPA คือ กฎหมายที่ครอบคลุมข้อมูลบนโซเชียลมีเดียด้วยหรือไม่?
ครอบคลุม ถ้าองค์กรเก็บข้อมูลจากโซเชียลมีเดียเพื่อวัตถุประสงค์ทางธุรกิจ เช่น เก็บข้อมูลลูกค้าจาก Facebook Page เก็บข้อมูลผู้ติดตามจาก Instagram หรือใช้ Social Login ที่ดึงข้อมูลส่วนบุคคล ทั้งหมดนี้ต้องปฏิบัติตาม PDPA
สรุป PDPA คือ — สิ่งที่ทุกองค์กรต้องทำในปี 2026
PDPA คือ กฎหมายที่ไม่สามารถเพิกเฉยได้อีกต่อไป ในปี 2026 การบังคับใช้เข้มงวดขึ้น บทลงโทษชัดเจนขึ้น และประชาชนตระหนักถึงสิทธิของตนเองมากขึ้น องค์กรที่ยังไม่ได้เริ่มปฏิบัติตามควรเริ่มทันที โดยเริ่มจากการสำรวจข้อมูล จัดทำ Privacy Policy ปรับระบบ Consent และอบรมพนักงาน การปฏิบัติตาม PDPA ไม่ใช่แค่เรื่องกฎหมาย แต่เป็นการสร้างความไว้วางใจกับลูกค้า ซึ่งเป็นสินทรัพย์ที่มีค่าที่สุดขององค์กรในยุคดิจิทัล
