EN | TH
LAS SHIELD

PDPA Checklist — 10 ข้อที่ SME ต้องทำ

ธันย์ธรณ์เทพ แย้มอุทัย, Ph.D. | LAS Legal | 3 เมษายน 2569

ธุรกิจของคุณเก็บข้อมูลลูกค้าหรือไม่? หากคำตอบคือใช่ — คุณอยู่ภายใต้บังคับของ PDPA แม้จะเป็นเพียง SME ขนาดเล็กที่เก็บชื่อ เบอร์โทร หรืออีเมลลูกค้า พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 บังคับใช้กับทุกองค์กร ไม่จำกัดขนาด โทษสูงสุดถึง 5 ล้านบาท

Checklist 10 ข้อ PDPA สำหรับ SME

1. จัดทำบันทึกกิจกรรมการประมวลผลข้อมูล (ROPA)

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 39 กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลจัดทำบันทึกรายการกิจกรรมการประมวลผลข้อมูล ระบุว่าเก็บข้อมูลอะไร จากใคร เพื่อวัตถุประสงค์ใด เก็บนานเท่าไร และแบ่งปันกับใคร

2. จัดทำนโยบายความเป็นส่วนตัว (Privacy Policy)

ตามมาตรา 23 ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งให้เจ้าของข้อมูลทราบก่อนหรือในขณะเก็บรวบรวมข้อมูล ถึงวัตถุประสงค์ ประเภทข้อมูล ระยะเวลาจัดเก็บ สิทธิของเจ้าของข้อมูล และช่องทางติดต่อ

3. จัดการเรื่องความยินยอม (Consent Management)

มาตรา 19 กำหนดว่าการเก็บรวบรวมข้อมูลส่วนบุคคลต้องได้รับความยินยอมจากเจ้าของข้อมูล โดยความยินยอมต้องทำเป็นหนังสือหรือผ่านระบบอิเล็กทรอนิกส์ แยกส่วนชัดเจนจากข้อความอื่น ใช้ภาษาอ่านเข้าใจง่าย และเจ้าของข้อมูลมีสิทธิถอนความยินยอมได้ทุกเมื่อ

4. ระวังข้อมูลอ่อนไหว (Sensitive Data)

มาตรา 26 กำหนดว่า ข้อมูลส่วนบุคคลที่เป็นเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อทางศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม หรือข้อมูลชีวภาพ ต้องได้ความยินยอมโดยชัดแจ้ง (Explicit Consent)

5. ทำสัญญาประมวลผลข้อมูล (DPA) กับผู้ให้บริการ

ตามมาตรา 40 หากมีการส่งข้อมูลให้ผู้ประมวลผลข้อมูลส่วนบุคคล (เช่น ผู้ให้บริการ Cloud, ระบบ CRM, บริษัทจัดส่ง) ต้องจัดทำข้อตกลงประมวลผลข้อมูล (Data Processing Agreement) กำหนดหน้าที่และมาตรการรักษาความปลอดภัย

6. จัดทำมาตรการรักษาความปลอดภัย

มาตรา 37(1) กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลโดยมิชอบ

7. เตรียมแผนรับมือเหตุละเมิดข้อมูล

มาตรา 37(4) กำหนดว่าเมื่อเกิดเหตุละเมิดข้อมูลส่วนบุคคล ต้องแจ้งสำนักงานคุ้มครองข้อมูลส่วนบุคคลภายใน 72 ชั่วโมง นับแต่ทราบเหตุ หากเหตุละเมิดมีความเสี่ยงสูงที่จะกระทบสิทธิเสรีภาพของบุคคล ต้องแจ้งเจ้าของข้อมูลด้วย

8. กำหนดระยะเวลาจัดเก็บข้อมูล (Retention Period)

ต้องกำหนดระยะเวลาจัดเก็บข้อมูลให้ชัดเจนตามวัตถุประสงค์ เมื่อหมดความจำเป็นต้องลบหรือทำให้ไม่สามารถระบุตัวบุคคลได้ ตามมาตรา 37(3)

9. จัดระบบรองรับสิทธิเจ้าของข้อมูล

เจ้าของข้อมูลมีสิทธิตามมาตรา 30-36 ได้แก่ สิทธิเข้าถึง สิทธิแก้ไข สิทธิลบ สิทธิระงับการใช้ สิทธิโอนย้าย และสิทธิคัดค้าน SME ต้องมีช่องทางและกระบวนการรองรับสิทธิเหล่านี้

10. แต่งตั้ง DPO หรือผู้รับผิดชอบ

แม้ SME ขนาดเล็กอาจยังไม่จำเป็นต้องแต่งตั้ง DPO (Data Protection Officer) อย่างเป็นทางการ แต่ควรมอบหมายผู้รับผิดชอบดูแลเรื่อง PDPA ภายในองค์กรอย่างชัดเจน

จุดเริ่มต้นง่ายๆ: เริ่มจากข้อ 1 (ROPA) และข้อ 2 (Privacy Policy) ก่อน เพราะเป็นพื้นฐานที่จะทำให้เข้าใจว่าองค์กรเก็บข้อมูลอะไรบ้าง จากนั้นค่อยขยายไปข้ออื่นๆ ตามลำดับ

สรุป

PDPA ไม่ได้น่ากลัวอย่างที่คิด แต่ต้องเริ่มลงมือทำ SME ที่ปฏิบัติตามทั้ง 10 ข้อนี้จะมีความพร้อมในการปกป้องข้อมูลลูกค้าและลดความเสี่ยงจากการถูกร้องเรียนหรือถูกปรับ

← ตอนที่ 3 LAS SHIELD 4/10 ตอนที่ 5 →
กฎหมายที่เกี่ยวข้อง
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 19 มาตรา 23 มาตรา 26 มาตรา 30-36 มาตรา 37 มาตรา 39 มาตรา 40 PDPA SME Privacy Policy DPA
LAS Shield | Legal Advance Solution Co., Ltd.
Knowledge Hub | laslegal.co.th

Disclaimer: บทความนี้จัดทำเพื่อวัตถุประสงค์ทางวิชาการและให้ความรู้ทั่วไปเท่านั้น ไม่ถือเป็นคำแนะนำทางกฎหมายเฉพาะราย ผู้อ่านควรปรึกษาที่ปรึกษากฎหมายก่อนตัดสินใจดำเนินการใด ๆ