ข้อมูลส่วนบุคคลรวมอะไรบ้าง?

ข้อมูลทั่วไป: ชื่อ, เลขบัตรประชาชน, อีเมล, เบอร์โทร, ที่อยู่, ภาพถ่าย, IP address, GPS location ข้อมูลอ่อนไหว: เชื้อชาติ, ศาสนา, ความเห็นการเมือง, รสนิยมทางเพศ, ประวัติอาชญากรรม, ข้อมูลสุขภาพ, ข้อมูลพันธุกรรม, ข้อมูล biometric

ถ้าไม่ทำตาม PDPA โดนปรับเท่าไหร่?

PDPA มี 3 ระดับโทษ: ทางแพ่ง (ค่าเสียหายจริง + ค่าสินไหม ไม่เกิน 2 เท่าของค่าเสียหายจริง), ทางอาญา (จำคุก 6 เดือน - 1 ปี + ปรับสูงสุด 1 ล้านบาท), ทางปกครอง (ปรับสูงสุด 5 ล้านบาท)

องค์กรไหนต้องมี DPO?

ต้องมี Data Protection Officer (DPO) ใน 3 กรณี: 1) เป็นหน่วยงานรัฐ 2) ประมวลผลข้อมูลขนาดใหญ่ที่ต้องตรวจสอบสม่ำเสมอ 3) เป็น sensitive data ขนาดใหญ่ ไม่มีคือปรับสูงสุด 1 ล้านบาท

SME ขนาดเล็กต้องทำตาม PDPA ไหม?

ต้อง — กฎหมาย PDPA ไม่แบ่งขนาดธุรกิจ ถ้ามีการเก็บข้อมูลส่วนบุคคล (เช่น รายชื่อลูกค้า อีเมล เบอร์โทร) ต้องปฏิบัติตาม PDPA ครบทุกข้อ

PDPA พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล 2562 อธิบายเข้าใจง่าย + กรณีศึกษา

Q: PDPA คืออะไร?

PDPA (Personal Data Protection Act) คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ของไทย บังคับใช้เต็มที่ตั้งแต่ 1 มิถุนายน 2565 มีต้นแบบจาก GDPR ของสหภาพยุโรป

1. PDPA คืออะไร?

PDPA ย่อมาจาก Personal Data Protection Act — คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ของไทย มีต้นแบบจาก GDPR ของสหภาพยุโรป

PDPA ออกแบบมาเพื่อ:

🛡️ คุ้มครองข้อมูลส่วนบุคคล ของคนไทยจากการถูกใช้ในทางผิด
⚖️ ให้สิทธิเจ้าของข้อมูล ในการควบคุมข้อมูลของตัวเอง
🏢 กำหนดหน้าที่องค์กร ที่เก็บข้อมูลให้รับผิดชอบ
🌍 สอดคล้องมาตรฐานสากล เพื่อค้าขาย/ส่งข้อมูลระหว่างประเทศได้

ไทม์ไลน์ PDPA: ประกาศ 2562 → เลื่อนบังคับใช้เพราะ COVID → บังคับใช้เต็มที่ 1 มิ.ย. 2565

💡 ความเข้าใจผิด

หลายคนเข้าใจว่า PDPA แค่เกี่ยวกับ "กล้องวงจรปิด" หรือ "cookie banner" — จริงๆ ครอบคลุมกว้างกว่ามาก: ใช้กับ ทุกการเก็บ/ใช้/เปิดเผยข้อมูลส่วนบุคคล ไม่ว่าจะอยู่ในรูปแบบใด (กระดาษ, Excel, Database, รูปถ่าย, voice recording)

2. ข้อมูลส่วนบุคคล 2 ประเภท

PDPA แบ่งข้อมูลเป็น 2 ประเภท — ที่บทลงโทษและความเข้มงวดต่างกัน:

🔵 ข้อมูลส่วนบุคคลทั่วไป (Personal Data)

ข้อมูลที่ระบุตัวบุคคลได้ทั้งทางตรงและทางอ้อม:

ชื่อ-นามสกุล
เลขบัตรประชาชน, passport, ใบขับขี่
เบอร์โทรศัพท์, อีเมล, ที่อยู่
วันเดือนปีเกิด, สัญชาติ, อายุ
เลขทะเบียนรถ, ภาพถ่าย
IP address, MAC address, GPS location
Cookie ID, device fingerprint
ข้อมูลทางการเงิน, เลขบัญชี, credit card

🔴 ข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Personal Data)

ข้อมูลที่ถ้ารั่วไหลจะกระทบสิทธิเสรีภาพอย่างรุนแรง — บทลงโทษหนักกว่า 5 เท่า:

เชื้อชาติ, เผ่าพันธุ์
ความคิดเห็นทางการเมือง
ความเชื่อในลัทธิ ศาสนา ปรัชญา
พฤติกรรมทางเพศ, รสนิยมทางเพศ
ประวัติอาชญากรรม
ข้อมูลสุขภาพ, โรคประจำตัว, ความพิการ
ข้อมูลพันธุกรรม (DNA, genetic data)
ข้อมูล biometric (ลายนิ้วมือ, ใบหน้า, ม่านตา)
ข้อมูลสหภาพแรงงาน

⚠️ ข้อมูลอ่อนไหวต้อง explicit consent

การเก็บข้อมูลอ่อนไหวต้อง ขอความยินยอม "โดยชัดแจ้ง" (explicit consent) — ไม่ใช่แค่ tick checkbox แต่ต้องอธิบายชัดเจนว่าจะเก็บอะไร เพื่ออะไร และเจ้าของต้องมีสิทธิ์ปฏิเสธโดยไม่ถูกบังคับ

3. ใครเกี่ยวข้องบ้าง? (3 บทบาท)

PDPA แบ่งคน/องค์กรเป็น 3 บทบาท:

3 บทบาทใน PDPA: เจ้าของข้อมูล → ผู้ควบคุม (รับผิดชอบหลัก) → ผู้ประมวลผล

1️⃣ Data Subject (เจ้าของข้อมูล)

บุคคลธรรมดาที่เป็นเจ้าของข้อมูล — เช่น ลูกค้า, พนักงาน, ผู้เข้าชมเว็บ, คู่ค้า

2️⃣ Data Controller (ผู้ควบคุมข้อมูล) ⭐

บริษัท/องค์กรที่เป็นคนตัดสินใจว่าจะเก็บข้อมูลอะไร ใช้ทำอะไร — เป็นบทบาทที่ มีหน้าที่หลักและรับผิดมากที่สุด

ตัวอย่าง: บริษัทที่เก็บข้อมูลลูกค้าผ่านแบบฟอร์ม / โรงพยาบาลที่เก็บประวัติคนไข้ / ร้านค้าออนไลน์ที่เก็บข้อมูล order

3️⃣ Data Processor (ผู้ประมวลผลข้อมูล)

บริษัท/องค์กรที่ประมวลผลข้อมูลแทน Data Controller — ไม่ได้ตัดสินใจเอง แต่ทำตามคำสั่ง

ตัวอย่าง: บริษัท Email marketing ที่รับ list มาส่ง / Cloud provider ที่เก็บข้อมูล / บริษัท IT outsource

💡 SME ส่วนใหญ่

ถ้าธุรกิจคุณ เก็บข้อมูลลูกค้าหรือพนักงาน — คุณคือ Data Controller หน้าที่ทั้งหมดของ PDPA อยู่ที่คุณ

4. 8 สิทธิของเจ้าของข้อมูล (DSR)

PDPA ให้สิทธิ Data Subject Rights (DSR) ใน 8 ข้อ — เจ้าของข้อมูลขอใช้สิทธิเหล่านี้ได้ทุกเมื่อ:

RIGHT 01

📋 สิทธิได้รับการแจ้งให้ทราบ

Right to be informed — ต้องรู้ว่าข้อมูลถูกเก็บอะไร เพื่ออะไร เก็บนานแค่ไหน

RIGHT 02

👁️ สิทธิเข้าถึงข้อมูล

Right to access — ขอดูข้อมูลของตัวเองได้ตลอด พร้อมขอ copy

RIGHT 03

✏️ สิทธิแก้ไขข้อมูล

Right to rectification — ขอแก้ไขข้อมูลที่ไม่ถูกต้องหรือล้าสมัย

RIGHT 04

🗑️ สิทธิให้ลบข้อมูล

Right to erasure ("right to be forgotten") — ขอให้ลบข้อมูลทิ้ง

RIGHT 05

⏸️ สิทธิระงับการใช้ข้อมูล

Right to restrict processing — สั่งหยุดประมวลผลชั่วคราว

RIGHT 06

📦 สิทธิให้โอนย้ายข้อมูล

Right to data portability — ขอข้อมูลในรูป machine-readable

RIGHT 07

🛑 สิทธิคัดค้าน

Right to object — คัดค้านการนำข้อมูลไปใช้เพื่อ marketing

RIGHT 08

↩️ สิทธิถอนความยินยอม

Right to withdraw consent — ยกเลิก consent ที่เคยให้ไว้

⚠️ ต้องตอบสนองภายใน 30 วัน

เมื่อเจ้าของข้อมูลส่งคำขอ DSAR (Data Subject Access Request) มา — Data Controller ต้องตอบสนองภายใน 30 วัน ถ้าเพิกเฉยปรับสูงสุด 3 ล้านบาท

Consent คือ หัวใจของ PDPA — การขอความยินยอมที่ถูกต้องต้องมี 4 องค์ประกอบ:

Freely given (อิสระ) — ไม่บังคับ ปฏิเสธได้โดยไม่เสียประโยชน์
Specific (เฉพาะเจาะจง) — บอกชัดว่าเก็บข้อมูลอะไร ใช้ทำอะไร
Informed (ได้รับข้อมูล) — เจ้าของข้อมูลรู้รายละเอียดครบ
Unambiguous (ชัดเจน) — ใช้ checkbox "ยืนยัน" ไม่ใช่ pre-ticked

❌ ตัวอย่าง Consent ที่ผิด

"การใช้บริการนี้ถือว่ายินยอม" (implicit consent — ไม่ได้)
Checkbox ถูก tick มาแล้ว default (pre-ticked — ไม่ได้)
"ยอมรับเงื่อนไขทั้งหมด" รวมข้อมูล marketing บังคับ (bundling — ไม่ได้)
เก็บข้อมูลสุขภาพโดยไม่อธิบายว่าจะส่งให้บริษัทประกัน (ไม่ informed)

✅ ตัวอย่าง Consent ที่ถูก

Checkbox ว่าง "ยินยอมให้ส่งข้อมูล marketing" (ต้อง opt-in)
มีปุ่ม "ยกเลิกความยินยอม" ในเมนูตั้งค่า
แยก consent สำหรับ "เก็บข้อมูลเพื่อให้บริการ" กับ "ส่งโฆษณา"
Privacy Policy เขียนภาษาเข้าใจง่าย ไม่ใช่ภาษากฎหมายล้วน

6. บทลงโทษ 3 ระดับ

PDPA มีบทลงโทษ 3 ระดับ ที่สามารถโดนพร้อมกันได้:

⚖️ ระดับ 1: ทางแพ่ง

เจ้าของข้อมูลฟ้องเรียกค่าเสียหาย

ค่าเสียหายจริง (actual damages)
+ ค่าสินไหมทดแทน ไม่เกิน 2 เท่า ของค่าเสียหายจริง
อายุความ: 3 ปีจากวันรู้ความเสียหาย หรือ 10 ปีจากวันละเมิด

🔒 ระดับ 2: ทางอาญา (จำคุก + ปรับ)

กรณีร้ายแรง — เจตนาทุจริต

ความผิด	โทษจำคุก	ปรับ
เปิดเผยข้อมูลทั่วไปโดยมิชอบ	≤ 6 เดือน	≤ 500,000 ฿
ใช้/เปิดเผยข้อมูลอ่อนไหวเพื่อแสวงหาผลประโยชน์	≤ 1 ปี	≤ 1,000,000 ฿

📋 ระดับ 3: ทางปกครอง (ปรับสูงสุด!)

คณะกรรมการ PDPA สั่งปรับโดยตรง — มาเร็วและจำนวนสูงสุด:

ความผิด	มาตรา	ค่าปรับสูงสุด
ไม่ปฏิบัติตามสิทธิเจ้าของข้อมูล (DSAR)	ม.32	≤ 1,000,000 ฿
ไม่แจ้งวัตถุประสงค์ก่อนเก็บข้อมูล	ม.23	≤ 1,000,000 ฿
ไม่มี DPO เมื่อกฎหมายกำหนด	ม.41	≤ 1,000,000 ฿
ไม่ขอ consent ตามแบบที่กำหนด	ม.19	≤ 3,000,000 ฿
ข้อมูลรั่วไหลโดยไม่แจ้ง สคส.	ม.37	≤ 3,000,000 ฿
ใช้/เปิดเผย "ข้อมูลอ่อนไหว" โดยมิชอบ	ม.26+	≤ 5,000,000 ฿
ส่งข้อมูลไปต่างประเทศโดยมิชอบ	ม.28-29	≤ 5,000,000 ฿

🚨 รวมโทษได้

ทั้ง 3 ระดับ โดนพร้อมกันได้ — เช่น เปิดเผยข้อมูลอ่อนไหวเพื่อหากำไร อาจโดน: จำคุก 1 ปี + ปรับอาญา 1 ล้าน + ปรับปกครอง 5 ล้าน + ค่าเสียหายทางแพ่ง = รวมหลายล้าน

7. กรณีศึกษาจริง 6 เรื่อง

ตัวอย่างจริงที่เกิดขึ้นในประเทศไทยและต่างประเทศ:

กรณีที่ 1 • ไม่แจ้งวัตถุประสงค์

🏥 โรงพยาบาลเก็บข้อมูลคนไข้ไปขายให้บริษัทประกัน

โรงพยาบาลแห่งหนึ่งเก็บข้อมูลคนไข้ตามปกติ แต่นำข้อมูลโรคประจำตัวไปขายให้บริษัทประกันชีวิต โดยไม่ได้แจ้งคนไข้ — เข้าข่ายทั้ง ม.23 (ไม่แจ้งวัตถุประสงค์) + ม.26 (ใช้ sensitive data โดยมิชอบ) — ปรับสูงสุด 5+1 = 6 ล้านบาท

ความผิด: ม.23 + ม.26 ปรับ ≤ 6,000,000 ฿

กรณีที่ 2 • ข้อมูลรั่วไหล

🛒 ร้านค้าออนไลน์โดน hack — เก็บข้อมูล credit card แบบ plain text

ร้านค้าออนไลน์ถูก hack เข้าระบบ ข้อมูลลูกค้า 50,000 ราย รวมถึงเลขบัตรเครดิตรั่วไหล เพราะเก็บแบบ plain text ไม่ encrypt — เข้าข่าย ม.37 ไม่มี security ที่เหมาะสม + ไม่แจ้ง สคส. ภายใน 72 ชั่วโมง

ความผิด: ม.37 ปรับ ≤ 3,000,000 ฿

กรณีที่ 3 • DSAR เพิกเฉย

📧 ลูกค้าขอลบข้อมูล แต่บริษัทเพิกเฉย

ลูกค้าส่ง email ขอลบข้อมูลตัวเองออกจาก mailing list ของบริษัท A บริษัทไม่ตอบกลับและยังคงส่ง marketing email ต่อ — ลูกค้าร้องเรียน สคส. — บริษัทผิด ม.32 ไม่ปฏิบัติตาม DSAR ภายใน 30 วัน

ความผิด: ม.32 ปรับ ≤ 1,000,000 ฿

กรณีที่ 4 • Consent ไม่ถูกต้อง

📋 บริษัท HR ใช้ pre-ticked checkbox

บริษัทรับสมัครงานมีแบบฟอร์ม online ที่ checkbox "ยินยอมให้ส่งข้อมูลให้พาร์ทเนอร์" ถูก tick มาแล้ว default — ผู้สมัครต้อง uncheck เอง ถ้าไม่ต้องการ เข้าข่าย ม.19 Consent ไม่ถูกต้อง

ความผิด: ม.19 ปรับ ≤ 3,000,000 ฿

กรณีที่ 5 • Cross-border transfer

☁️ บริษัทใช้ Cloud ต่างประเทศโดยไม่มี safeguard

บริษัทไทยใช้ CRM ที่ host ใน server ต่างประเทศที่ไม่มีกฎหมายคุ้มครองข้อมูลที่เพียงพอ โดยไม่มี SCC (Standard Contractual Clauses) — เข้าข่าย ม.28-29 ส่งข้อมูลไปต่างประเทศโดยมิชอบ

ความผิด: ม.28-29 ปรับ ≤ 5,000,000 ฿

กรณีที่ 6 • PDPC ลงโทษจริง (พ.ย. 2566)

🏢 บริษัท online retail โดนปรับครั้งแรกในไทย

สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส./PDPC) ได้สั่ง ปรับครั้งแรก 7 ล้านบาท บริษัท online retail รายใหญ่ในไทย ในความผิด 3 ข้อ: (1) ไม่มี DPO, (2) ไม่ได้แจ้งข้อมูลรั่วไหล, (3) ไม่มี security measures ที่เหมาะสม — นี่เป็นกรณีที่ทำให้ วงการธุรกิจไทยตื่นตัวเรื่อง PDPA อย่างจริงจัง

ความผิด: ม.37 + ม.41 + ม.83 โดนปรับจริง 7,000,000 ฿

8. DPO และ RoPA สำคัญอย่างไร?

🎯 DPO (Data Protection Officer)

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล — องค์กรที่ ต้องมี DPO ใน 3 กรณี:

เป็น หน่วยงานของรัฐ
มีการเก็บ/ใช้/เปิดเผยข้อมูลในระดับ large scale ที่ต้องตรวจสอบสม่ำเสมอ
มีการเก็บ/ใช้ ข้อมูลอ่อนไหวขนาดใหญ่

หน้าที่ของ DPO:

ตรวจสอบการปฏิบัติตาม PDPA
เป็น point of contact กับ สคส. และเจ้าของข้อมูล
ให้คำปรึกษากับ Data Controller
ดูแล Data Protection Impact Assessment (DPIA)

📒 RoPA (Records of Processing Activities)

บันทึกกิจกรรมการประมวลผลข้อมูล — ทุกองค์กรที่เป็น Data Controller ต้องทำ เป็นเหมือน "บัญชี" ที่บอกว่าองค์กรเก็บข้อมูลอะไรบ้าง เพื่ออะไร

RoPA ต้องระบุ:

ชื่อ + ที่อยู่ของ Data Controller / DPO
วัตถุประสงค์ของการประมวลผล
ประเภทข้อมูลที่เก็บ + ประเภทเจ้าของข้อมูล
ระยะเวลาที่เก็บข้อมูล (retention period)
มาตรการรักษาความปลอดภัย
การส่งข้อมูลให้บุคคลที่สาม / ต่างประเทศ

9. Checklist 12 ข้อสำหรับ SME

เริ่ม PDPA compliance ในธุรกิจ — 12 ข้อต้องทำ เรียงตาม priority:

Map ข้อมูลที่เก็บ — ลิสต์ทุกข้อมูลส่วนบุคคล (ลูกค้า/พนักงาน/คู่ค้า) ที่บริษัทเก็บ
ทำ RoPA — บันทึกกิจกรรมการประมวลผลข้อมูลทุกประเภท
กำหนด DPO (ถ้าจำเป็น) — แต่งตั้ง + ส่งชื่อให้ สคส.
สร้าง Privacy Policy — เขียนเป็นภาษาไทยเข้าใจง่าย ติดบนเว็บ
แก้ Consent forms — เปลี่ยนเป็น opt-in checkbox, แยก purpose
ทำ DSAR Process — มีช่องทางรับคำขอ + ตอบใน 30 วัน
Security Measures — encrypt sensitive data, access control, audit log
Breach Response Plan — มีแผนแจ้ง สคส. ภายใน 72 ชั่วโมง
Vendor Management — ทำ DPA (Data Processing Agreement) กับทุก vendor ที่ประมวลผลข้อมูลให้
Cross-border Transfer — ตรวจ cloud / SaaS ที่ใช้ — มี safeguard ไหม
Training — อบรมพนักงานทุกคนเรื่อง PDPA + ทำซ้ำทุกปี
Audit + Review — ทบทวนทุก 6 เดือน, update RoPA, ทดสอบ breach response

🛠️ ต้องการระบบ PDPA Compliance Suite?

Fada รับสร้าง Custom Web Application ที่รองรับ PDPA ตั้งแต่วันแรก
DSAR Portal, RoPA Management, Consent Manager, Breach Response — ปรับให้เข้ากับธุรกิจคุณ
🎉 ลด 30% เดือนนี้ • เริ่ม ฿35K-1.4M+

ดูบริการ Custom Web App → ปรึกษาฟรีผ่าน LINE

10. คำถามที่พบบ่อย

Q: SME ขนาดเล็ก (5-10 คน) ต้องทำตาม PDPA ไหม?

A: ต้อง — กฎหมาย PDPA ไม่แบ่งขนาดธุรกิจ ถ้าเก็บข้อมูลลูกค้า/พนักงาน (เช่น ชื่อ-นามสกุล, อีเมล, เบอร์โทร) ต้องปฏิบัติตามครบ แต่ความเข้มข้นอาจน้อยกว่า enterprise (ไม่จำเป็นต้องมี DPO)

Q: เก็บ namecard ลูกค้าในกล่องบนโต๊ะถือเป็น PDPA ไหม?

A: ใช่ — PDPA ใช้กับข้อมูลส่วนบุคคล "ทุกรูปแบบ" รวมถึงกระดาษ ต้องมี security เพียงพอ (ล็อกตู้) + ใช้เฉพาะวัตถุประสงค์ที่ขอ + ลบเมื่อไม่ใช้

Q: ส่ง email ติดต่อลูกค้าเก่าได้ไหม?

A: ขึ้นกับ:

ถ้า มี existing relationship และ email เรื่อง "การให้บริการ" — ส่งได้ (legitimate interest)
ถ้าเป็น marketing/promotion — ต้องมี consent + opt-out option ในทุก email

Q: ใช้ Google Analytics หรือ Facebook Pixel ผิด PDPA ไหม?

A: ไม่ผิด แต่ต้อง:

แจ้งผู้ใช้ใน Privacy Policy ว่าใช้ tools เหล่านี้
มี Cookie Consent banner (สำหรับเก็บ marketing cookies)
Anonymize IP ใน GA (เราตั้งให้แล้วในเว็บนี้)

Q: ค่าใช้จ่ายในการทำ PDPA compliance ทั้งระบบ?

A: ขึ้นกับขนาดธุรกิจ:

SME (5-50 คน): 50,000-200,000 บาท (template + consultancy)
Mid-size (50-200): 200,000-800,000 บาท (DPO + DSAR system)
Enterprise (200+): 800,000-3,000,000+ บาท (full suite + audits)

Q: ใช้ AWS, Google Cloud, Microsoft Azure ผิด PDPA ไหม?

A: ไม่ผิด — แต่ต้องตั้ง data residency = Singapore/Asia (ใกล้ไทย, มีกฎหมายคุ้มครอง) + ทำ DPA (Data Processing Agreement) — AWS, GCP, Azure มี SCC ให้ใช้แล้ว

Q: ข้อมูลพนักงานต้องเก็บนานแค่ไหนหลังลาออก?

A: ตามที่กฎหมายแรงงาน + สรรพากรกำหนด — ปกติ 10 ปี สำหรับเอกสารบัญชี/ภาษี แต่ข้อมูลที่ไม่จำเป็นต้องลบทันที (เช่น CV, performance review เก่า)

⚖️ DISCLAIMER

บทความนี้เขียนเพื่อให้ความรู้ทั่วไป — ไม่ใช่คำปรึกษาทางกฎหมาย สำหรับ PDPA ที่มีบทลงโทษสูง ควรปรึกษาทนายความเฉพาะด้านหรือ DPO มืออาชีพ เพื่อประเมินบริบทเฉพาะของธุรกิจคุณ

PDPA พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล 2562อธิบายเข้าใจง่าย พร้อมกรณีศึกษาและบทลงโทษ