SME ขนาดเล็กต้องทำตาม PDPA ด้วยไหม?

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 บังคับใช้กับทุกองค์กรที่เก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ไม่ว่าจะมีขนาดเล็กหรือใหญ่เพียงใด หากธุรกิจเก็บข้อมูลลูกค้า เช่น ชื่อ เบอร์โทร อีเมล ก็ถือว่าอยู่ภายใต้ PDPA แล้ว

DPO คือใคร และ SME ต้องแต่งตั้งไหม?

DPO (Data Protection Officer) คือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ตามมาตรา 41 ของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 การแต่งตั้งDPO เป็นข้อบังคับสำหรับ (1) หน่วยงานของรัฐ (2) องค์กรที่ประมวลผลข้อมูลจำนวนมาก (3) องค์กรที่ประมวลผลข้อมูลอ่อนไหวเป็นกิจกรรมหลัก SME ทั่วไปอาจไม่จำเป็น แต่ควรมีผู้รับผิดชอบด้าน PDPA ชัดเจน

โทษสูงสุดของ PDPA คือเท่าไร?

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนดโทษทางแพ่ง (มาตรา 78) สูงสุด 2 เท่าของความเสียหายจริง โทษทางปกครอง (มาตรา 82-86) สูงสุด 5,000,000 บาท และโทษทางอาญา (มาตรา 79-81) จำคุกสูงสุด 1 ปี ปรับสูงสุด 1,000,000 บาท

ความยินยอม (Consent) ต้องทำอย่างไรจึงจะถูกต้อง?

ตามมาตรา 19 พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ความยินยอมต้องเป็นไปโดยอิสระ เฉพาะเจาะจง แจ้งให้ทราบ และชัดเจน ต้องแยกออกจากข้อความอื่น ต้องไม่มีเงื่อนไขผูกมัด เจ้าของข้อมูลต้องถอนความยินยอมได้ง่ายพอๆ กับการให้ความยินยอม และต้องจัดเก็บหลักฐานการให้ความยินยอมไว้

Data Breach ต้องแจ้งภายใน 72 ชั่วโมงนับจากเมื่อไร?

ตามมาตรา 37(4) พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ต้องแจ้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ภายใน 72 ชั่วโมงนับแต่รู้ถึงเหตุละเมิด ไม่ใช่นับจากวันที่เกิดเหตุ หากเหตุละเมิดมีความเสี่ยงสูงต่อสิทธิของเจ้าของข้อมูล ต้องแจ้งเจ้าของข้อมูลด้วย 'โดยไม่ชักช้า'

LAS SHIELD

PDPA Checklist — 10 ข้อที่ SME ต้องทำ (ฉบับสมบูรณ์)

ธันย์ธรณ์เทพ แย้มอุทัย, Ph.D. | LAS Legal | อัปเดต 8 เมษายน 2569

ธุรกิจของคุณเก็บข้อมูลลูกค้าหรือไม่? หากคำตอบคือใช่ — คุณอยู่ภายใต้บังคับของ PDPA แม้จะเป็นเพียง SME ขนาดเล็กที่เก็บเพียงชื่อ เบอร์โทร หรืออีเมลลูกค้า พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 บังคับใช้กับทุกองค์กรที่เก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ไม่จำกัดขนาดธุรกิจ ไม่จำกัดว่าเป็นนิติบุคคลหรือบุคคลธรรมดา โทษทางปกครองสูงสุดถึง 5,000,000 บาท โทษทางอาญาจำคุกสูงสุด 1 ปี

บทความนี้รวบรวม 10 ข้อที่ SME ต้องดำเนินการ พร้อมคำอธิบายเชิงปฏิบัติ ระบุมาตราที่เกี่ยวข้อง ตารางบทลงโทษ ข้อกำหนด DPO และตัวอย่างแบบฟอร์มที่ต้องจัดเตรียม

สารบัญ (Table of Contents)

จัดทำ ROPA — บันทึกกิจกรรมการประมวลผล
จัดทำ Privacy Policy
จัดการ Consent — ความยินยอม
ข้อมูลอ่อนไหว (Sensitive Data)
ทำ DPA กับ Vendor และผู้ให้บริการ
มาตรการรักษาความปลอดภัย
แผนรับมือ Data Breach
กำหนด Retention Period
รองรับสิทธิเจ้าของข้อมูล
แต่งตั้ง DPO หรือผู้รับผิดชอบ PDPA
ตารางบทลงโทษ PDPA
LAS Risk Assessment
คำถามที่พบบ่อย (FAQ)

ภาพรวม: ใครคือ "ผู้ควบคุมข้อมูลส่วนบุคคล"?

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 6 กำหนดว่า "ผู้ควบคุมข้อมูลส่วนบุคคล" (Data Controller) คือบุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล และ "ผู้ประมวลผลข้อมูลส่วนบุคคล" (Data Processor) คือบุคคลหรือนิติบุคคลที่ดำเนินการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูล

SME ส่วนใหญ่จะเป็น Data Controller เนื่องจากตัดสินใจว่าจะเก็บข้อมูลอะไร เพื่อวัตถุประสงค์ใด ส่วนผู้ให้บริการ Cloud, ระบบ CRM, บริษัทส่งอีเมล Marketing จะเป็น Data Processor ที่ดำเนินการตามคำสั่ง

1จัดทำบันทึกกิจกรรมการประมวลผลข้อมูล (ROPA — Records of Processing Activities)

มาตรา 39 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

ROPA คือเอกสารสำคัญที่สุดในการปฏิบัติตาม PDPA พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 39 กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลจัดทำบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคล ซึ่งต้องระบุรายละเอียดต่อไปนี้อย่างครบถ้วน

สิ่งที่ต้องระบุใน ROPA

ชื่อและข้อมูลติดต่อของผู้ควบคุมข้อมูลส่วนบุคคลและตัวแทน (ถ้ามี)
วัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคล
ประเภทของเจ้าของข้อมูล เช่น ลูกค้า พนักงาน คู่ค้า
ประเภทของข้อมูล เช่น ชื่อ ที่อยู่ อีเมล เบอร์โทร ข้อมูลสุขภาพ
ระยะเวลาจัดเก็บ หรือเกณฑ์ที่ใช้กำหนดระยะเวลาจัดเก็บ
บุคคลที่สามที่รับข้อมูล และกรณีส่งออกนอกประเทศ
มาตรการรักษาความปลอดภัยโดยทั่วไป

วิธีทำ ROPA สำหรับ SME

SME สามารถเริ่มต้นด้วยสเปรดชีตอย่างง่ายที่มีคอลัมน์ดังนี้: (1) ชื่อกิจกรรม (2) ประเภทข้อมูล (3) เจ้าของข้อมูล (4) วัตถุประสงค์ (5) ฐานทางกฎหมาย (Legal Basis) (6) ระยะเวลาจัดเก็บ (7) ผู้รับข้อมูล (8) มาตรการความปลอดภัย จากนั้นค่อยพัฒนาเป็นระบบที่ซับซ้อนขึ้นตามความจำเป็น

🔴 Risk: High — ไม่จัดทำ ROPA

หากไม่มี ROPA เจ้าหน้าที่ สคส. สามารถสั่งให้หยุดการประมวลผลข้อมูลชั่วคราวได้ตามมาตรา 58 และอาจมีโทษทางปกครองตามมาตรา 82 สูงสุดถึง 3,000,000 บาท

2จัดทำนโยบายความเป็นส่วนตัว (Privacy Policy / Privacy Notice)

มาตรา 23-24 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 23 กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคล แจ้งให้เจ้าของข้อมูลทราบก่อนหรือในขณะที่เก็บรวบรวมข้อมูล โดยต้องแจ้งข้อมูลดังต่อไปนี้

รายการที่ต้องแจ้งใน Privacy Notice

วัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล
ประเภทของบุคคลหรือหน่วยงานซึ่งข้อมูลอาจถูกเปิดเผย
สิทธิของเจ้าของข้อมูลส่วนบุคคล (มาตรา 30-36)
ชื่อและช่องทางติดต่อผู้ควบคุมข้อมูลส่วนบุคคล
ระยะเวลาจัดเก็บข้อมูล หรือเกณฑ์กำหนดระยะเวลาดังกล่าว
ฐานทางกฎหมาย (Legal Basis) ที่ใช้ในการประมวลผล
ข้อมูลการส่งออกข้อมูลไปต่างประเทศ (ถ้ามี)
ชื่อและข้อมูลติดต่อ DPO (ถ้ามี)

ฐานทางกฎหมาย (Legal Basis) 6 ประการ

ฐาน	มาตรา	ตัวอย่างการใช้งาน
ความยินยอม (Consent)	ม.19	รับข่าวสาร Newsletter, Marketing
สัญญา (Contract)	ม.24(3)	ประมวลผลเพื่อส่งสินค้าที่ซื้อ
หน้าที่ตามกฎหมาย (Legal Obligation)	ม.24(6)	เก็บข้อมูลตามกฎหมายภาษี
ประโยชน์สำคัญ (Vital Interest)	ม.24(4)	ฉุกเฉินทางการแพทย์
ผลประโยชน์สาธารณะ (Public Task)	ม.24(5)	หน่วยงานรัฐ
ประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest)	ม.24(7)	การป้องกันการทุจริต Fraud Prevention

ข้อสำคัญ: Privacy Notice ต้องเขียนด้วยภาษาที่เข้าใจง่าย ไม่ใช้ศัพท์เทคนิคมากเกินไป ต้องเข้าถึงได้ง่าย เช่น แสดงบนเว็บไซต์ ในแบบฟอร์มเก็บข้อมูล หรือส่งให้ทางอีเมล ก่อนหรือขณะเก็บรวบรวมข้อมูล ตามมาตรา 23 วรรคสอง

4ระวังข้อมูลอ่อนไหว (Sensitive Personal Data)

มาตรา 26 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 26 กำหนดให้ข้อมูลบางประเภทได้รับการคุ้มครองเป็นพิเศษ เรียกว่า "ข้อมูลส่วนบุคคลที่มีความอ่อนไหว" ซึ่งต้องได้รับ ความยินยอมโดยชัดแจ้ง (Explicit Consent) ก่อนเสมอ เว้นแต่จะมีข้อยกเว้นตามที่กฎหมายกำหนด

ประเภทข้อมูลอ่อนไหวตามมาตรา 26

ประเภท	ตัวอย่างในธุรกิจ SME	ข้อยกเว้นที่พบบ่อย
เชื้อชาติ / เผ่าพันธุ์	HR เก็บสัญชาติพนักงาน	จำเป็นตามกฎหมายแรงงาน
ความคิดเห็นทางการเมือง	แบบสอบถามทางการเมือง	แทบไม่มีข้อยกเว้นสำหรับธุรกิจ
ความเชื่อทางศาสนา / ปรัชญา	เก็บเพื่อจัดมื้ออาหารฮาลาล	ได้รับความยินยอมชัดแจ้ง
พฤติกรรมทางเพศ	แพลตฟอร์มนัดหมาย	ต้องได้รับความยินยอมโดยชัดแจ้ง
ประวัติอาชญากรรม	Background Check พนักงาน	จำเป็นตามกฎหมาย / ความยินยอม
ข้อมูลสุขภาพ	ใบรับรองแพทย์ ประกันสุขภาพ	จำเป็นทางการแพทย์ / ความยินยอม
ข้อมูลสหภาพแรงงาน	สมาชิกภาพสหภาพแรงงาน	จำเป็นตามกฎหมายแรงงาน
ข้อมูลพันธุกรรม	ผลตรวจ DNA	จำเป็นทางการแพทย์
ข้อมูลชีวภาพ (Biometric)	ลายนิ้วมือ สแกนใบหน้า ระบบ Time Attendance	ต้องได้รับความยินยอมโดยชัดแจ้ง

🔴 Risk: High — ระบบ Time Attendance ใช้ลายนิ้วมือ

ระบบบันทึกเวลาด้วย Fingerprint หรือ Face Recognition ถือเป็นการประมวลผลข้อมูลชีวภาพ (Biometric Data) ซึ่งเป็นข้อมูลอ่อนไหว ต้องได้รับความยินยอมโดยชัดแจ้งจากพนักงานทุกคน พร้อมแจ้งวัตถุประสงค์ และต้องมี Privacy Notice แยกสำหรับข้อมูลชีวภาพโดยเฉพาะ

5ทำสัญญาประมวลผลข้อมูล (DPA — Data Processing Agreement) กับ Vendor

มาตรา 40 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 40 กำหนดว่าในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลมอบหมายให้ผู้ประมวลผลข้อมูลส่วนบุคคลดำเนินการแทน ต้องจัดทำ ข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (DPA) เป็นลายลักษณ์อักษร

Vendor ที่ SME ต้องทำ DPA ด้วย

ผู้ให้บริการ Cloud Storage เช่น Google Drive, Dropbox, AWS, Azure
ระบบ CRM เช่น Salesforce, HubSpot, LINE CRM
ผู้ให้บริการอีเมล Marketing เช่น Mailchimp, Sendgrid
ผู้ให้บริการชำระเงิน เช่น Omise, 2C2P, Stripe
บริษัทขนส่งพัสดุที่รับข้อมูลผู้รับสินค้า
บริษัทรับทำบัญชีที่เข้าถึงข้อมูลพนักงาน
ผู้ให้บริการ Analytics เช่น Google Analytics

ข้อกำหนดที่ต้องมีใน DPA

ขอบเขตและวัตถุประสงค์ของการประมวลผล
ประเภทของข้อมูลส่วนบุคคลที่ประมวลผล
ระยะเวลาการประมวลผล
หน้าที่และความรับผิดชอบของผู้ประมวลผล
มาตรการรักษาความปลอดภัยที่ต้องดำเนินการ
ข้อห้ามใช้ข้อมูลเพื่อวัตถุประสงค์อื่น
หน้าที่แจ้งเมื่อเกิด Data Breach
การส่งต่อข้อมูลไปยัง Sub-processor
การลบหรือส่งคืนข้อมูลเมื่อสิ้นสุดการประมวลผล

🟡 Risk: Medium — ไม่มี DPA กับผู้ให้บริการ Cloud

หากผู้ให้บริการ Cloud เกิดข้อมูลรั่วไหล และไม่มี DPA กำหนดความรับผิด SME ในฐานะ Data Controller อาจต้องรับผิดชอบต่อเจ้าของข้อมูลแต่เพียงผู้เดียว ควรตรวจสอบว่าผู้ให้บริการที่ใช้อยู่มีข้อกำหนดด้าน DPA อยู่ใน Terms of Service หรือไม่

6จัดทำมาตรการรักษาความปลอดภัย (Technical & Organizational Security Measures)

มาตรา 37(1) พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 37(1) กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคล "จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม" เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลโดยมิชอบ

มาตรการที่ SME ควรมี (Minimum Standard)

ด้าน	มาตรการ	ระดับความสำคัญ
การควบคุมการเข้าถึง	ใช้รหัสผ่านที่แข็งแกร่ง, 2FA, กำหนดสิทธิ์ตามตำแหน่ง	สูง
การเข้ารหัส	Encrypt ข้อมูลอ่อนไหว, ใช้ HTTPS บนเว็บ	สูง
การสำรองข้อมูล	Backup สม่ำเสมอ ทดสอบ Restore ได้	กลาง
การตรวจสอบการเข้าถึง	Log การเข้าถึงข้อมูลสำคัญ	กลาง
การฝึกอบรมพนักงาน	อบรม PDPA ปีละอย่างน้อย 1 ครั้ง	สูง
นโยบายการใช้อุปกรณ์	BYOD Policy, Mobile Device Management	กลาง
การกำจัดข้อมูล	Secure Deletion, Shredding เอกสาร	กลาง

หลักการ Privacy by Design: ตามแนวทางสากล ควรออกแบบระบบโดยคำนึงถึงความเป็นส่วนตัวตั้งแต่ต้น เช่น เก็บข้อมูลเฉพาะที่จำเป็น (Data Minimization), กำหนดสิทธิ์การเข้าถึงตามหลัก Need-to-Know เท่านั้น

7เตรียมแผนรับมือเหตุละเมิดข้อมูล (Data Breach Response Plan)

มาตรา 37(4) พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 37(4) กำหนดว่าเมื่อเกิดเหตุละเมิดข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลต้อง แจ้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ภายใน 72 ชั่วโมง นับแต่ทราบเหตุ และหากมีความเสี่ยงสูงต้องแจ้งเจ้าของข้อมูลด้วย

ขั้นตอน Data Breach Response

ตรวจพบ (Detect) — ระบุว่ามีเหตุละเมิดเกิดขึ้น ประเมินขอบเขตเบื้องต้น
ควบคุม (Contain) — ดำเนินการหยุดการรั่วไหลทันที เช่น ปิด Account ที่ถูก Compromise
ประเมิน (Assess) — ประเมินความเสียหาย จำนวนเจ้าของข้อมูลที่ได้รับผล ระดับความเสี่ยง
แจ้ง สคส. (Notify Authority) — ภายใน 72 ชั่วโมง ผ่านระบบออนไลน์ของ สคส. หากไม่สามารถแจ้งครบถ้วนได้ทัน ให้แจ้งเบื้องต้นก่อน แล้วส่งข้อมูลเพิ่มเติมภายหลัง
แจ้งเจ้าของข้อมูล (Notify Data Subjects) — กรณีมีความเสี่ยงสูง ต้องแจ้ง "โดยไม่ชักช้า"
บันทึกและวิเคราะห์ (Document & Review) — บันทึกเหตุการณ์ทั้งหมด วิเคราะห์หาสาเหตุ และปรับปรุงมาตรการ

ข้อมูลที่ต้องแจ้ง สคส. เมื่อเกิด Data Breach

ลักษณะของเหตุละเมิดข้อมูลส่วนบุคคล
ประเภทและจำนวนโดยประมาณของเจ้าของข้อมูลที่ได้รับผลกระทบ
ประเภทและจำนวนโดยประมาณของข้อมูลส่วนบุคคลที่เกี่ยวข้อง
ชื่อและข้อมูลติดต่อของ DPO หรือผู้รับผิดชอบ
ผลกระทบที่อาจเกิดขึ้น
มาตรการที่ได้ดำเนินการหรือเสนอแนะ

🔴 Risk: High — ไม่แจ้งภายใน 72 ชั่วโมง

การไม่แจ้งเหตุละเมิดข้อมูลส่วนบุคคลภายใน 72 ชั่วโมงโดยไม่มีเหตุผลอันควร อาจมีโทษทางปกครองตามมาตรา 84 สูงสุด 3,000,000 บาท Option A: จัดทำ Data Breach Response Plan ล่วงหน้าและซ้อม Drill ปีละ 1 ครั้ง | Option B: ใช้บริษัทที่ปรึกษา PDPA ที่มีทีม Incident Response สนับสนุน

8กำหนดระยะเวลาจัดเก็บข้อมูล (Data Retention Policy)

มาตรา 37(3) พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 37(3) กำหนดให้ผู้ควบคุมข้อมูล ลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นความจำเป็นตามวัตถุประสงค์ หรือตามที่เจ้าของข้อมูลร้องขอเว้นแต่จะมีกฎหมายกำหนดให้เก็บต่อไป

ตัวอย่าง Retention Period สำหรับ SME

ประเภทข้อมูล	Retention Period แนะนำ	เหตุผล / ฐานกฎหมาย
ข้อมูลลูกค้า (Active)	ตลอดระยะที่เป็นลูกค้า + 3 ปี	อายุความเรียกร้อง ปพพ. ม.193/30
ข้อมูลใบแจ้งหนี้ / ใบเสร็จ	5 ปี	กฎหมายบัญชี (พ.ร.บ.การบัญชี พ.ศ. 2543)
ข้อมูลพนักงาน (ในระหว่างจ้าง)	ตลอดระยะการจ้างงาน + 2 ปี	พ.ร.บ.คุ้มครองแรงงาน ม.123
CV / ใบสมัครงาน (ไม่ผ่านการคัดเลือก)	6 เดือน - 1 ปี	ขอบเขตวัตถุประสงค์สิ้นสุด
Log การเข้าเว็บไซต์ / IP Address	90 วัน	ตามมาตรฐาน Cybersecurity
ข้อมูล Marketing / Newsletter	จนกว่าจะถอนความยินยอม	ฐาน Consent สิ้นสุด
กล้อง CCTV	30-90 วัน	ตามความจำเป็นด้านความปลอดภัย

หลักการ Data Minimization: ตามแนวทางของสำนักงาน สคส. ควรเก็บข้อมูลเท่าที่จำเป็นต่อวัตถุประสงค์ที่กำหนดเท่านั้น (Principle of Purpose Limitation) ไม่ควรเก็บข้อมูล "เผื่อไว้" โดยไม่มีวัตถุประสงค์ที่ชัดเจน

9จัดระบบรองรับสิทธิเจ้าของข้อมูล (Data Subject Rights)

มาตรา 30-36 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 30-36 กำหนดสิทธิ 7 ประการของเจ้าของข้อมูล ที่ SME ต้องสร้างกระบวนการรองรับ

สิทธิ	มาตรา	เนื้อหาโดยสรุป	ระยะเวลาตอบสนอง
สิทธิเข้าถึง (Access)	ม.30	ขอดูข้อมูลที่เก็บไว้เกี่ยวกับตนเอง	ภายใน 30 วัน
สิทธิแก้ไข (Rectification)	ม.34	ขอแก้ไขข้อมูลที่ไม่ถูกต้องหรือไม่สมบูรณ์	ภายใน 30 วัน
สิทธิลบ (Erasure / Right to be Forgotten)	ม.33	ขอให้ลบข้อมูลเมื่อหมดความจำเป็น	ภายใน 30 วัน
สิทธิระงับการใช้ (Restriction)	ม.35	ขอให้หยุดใช้ข้อมูลชั่วคราวระหว่างพิจารณา	ภายใน 30 วัน
สิทธิโอนย้าย (Portability)	ม.31	ขอรับข้อมูลในรูปแบบที่ใช้งานได้ / โอนไปที่อื่น	ภายใน 30 วัน
สิทธิคัดค้าน (Objection)	ม.32	คัดค้านการประมวลผลด้วย Legitimate Interest	ทันที (หยุดก่อน)
สิทธิถอนความยินยอม (Withdraw Consent)	ม.19 วรรค3	ถอนความยินยอมได้ตลอดเวลา	ทันที

กระบวนการรับและตอบสนองคำขอ (DSR Process)

จัดทำช่องทางรับคำขอที่ชัดเจน เช่น อีเมล แบบฟอร์มออนไลน์
ยืนยันตัวตนผู้ขอก่อนดำเนินการ เพื่อป้องกันการขอข้อมูลแทนกัน
บันทึกคำขอทุกรายการพร้อมวันที่รับและดำเนินการ
ตอบกลับภายใน 30 วัน หากต้องใช้เวลาเพิ่ม ต้องแจ้งให้ทราบ
หากปฏิเสธคำขอ ต้องแจ้งเหตุผลตามกฎหมาย

10แต่งตั้ง DPO (Data Protection Officer) หรือผู้รับผิดชอบ PDPA

มาตรา 41-45 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 41 กำหนดให้แต่งตั้ง DPO ในกรณีที่กำหนดไว้ โดย DPO มีหน้าที่หลักดังนี้

เมื่อไหร่ต้องแต่งตั้ง DPO อย่างเป็นทางการ

ผู้ควบคุมข้อมูลหรือผู้ประมวลผลข้อมูลเป็น หน่วยงานของรัฐ
การดำเนินการหลักของผู้ควบคุมข้อมูล จำเป็นต้องตรวจสอบข้อมูลส่วนบุคคลขนาดใหญ่ อย่างสม่ำเสมอ (Large Scale Monitoring)
กิจกรรมหลักเป็นการประมวลผล ข้อมูลอ่อนไหว ตามมาตรา 26 ในขนาดใหญ่

หน้าที่ของ DPO ตามมาตรา 42

ให้คำแนะนำแก่ผู้ควบคุมข้อมูลเกี่ยวกับการปฏิบัติตาม PDPA
ตรวจสอบการดำเนินงานของผู้ควบคุมข้อมูลให้เป็นไปตาม PDPA
ประสานงานและให้ความร่วมมือกับสำนักงาน สคส.
รักษาความลับของข้อมูลที่ได้รับในการปฏิบัติหน้าที่

SME ที่ยังไม่ถึงเกณฑ์บังคับ — ทำอย่างไร?

🟢 แนวทาง: แต่งตั้ง "PDPA Coordinator" ภายใน

แม้ไม่ถึงเกณฑ์บังคับ ควรมอบหมายพนักงานคนหนึ่งเป็น PDPA Coordinator รับผิดชอบ: (1) อัปเดตนโยบายเมื่อกฎหมายเปลี่ยน (2) รับและตอบสนองคำขอจากเจ้าของข้อมูล (3) ประสานงานกับ สคส. หากจำเป็น (4) ฝึกอบรมพนักงาน (5) บันทึกและ Review ROPA ประจำปี

ข้อกำหนดสำหรับ DPO ตามมาตรา 43

DPO ต้องมีความรู้เชี่ยวชาญด้านกฎหมายและการปฏิบัติงานด้านการคุ้มครองข้อมูลส่วนบุคคล
ต้องไม่รับคำสั่งในการปฏิบัติหน้าที่จากผู้ควบคุมข้อมูล (ต้องมีความเป็นอิสระ)
สามารถเป็นพนักงานของผู้ควบคุมข้อมูลหรือบุคคลภายนอก (Outsourced DPO) ก็ได้
ต้องเปิดเผยข้อมูลติดต่อ DPO ให้เจ้าของข้อมูลทราบ

ตารางบทลงโทษตาม PDPA

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนดบทลงโทษ 3 ประเภท ได้แก่ โทษทางแพ่ง โทษทางอาญา และโทษทางปกครอง

โทษทางแพ่ง (มาตรา 77-78)

ความผิด	โทษ
ละเมิดสิทธิเจ้าของข้อมูลโดยจงใจหรือประมาทเลินเล่อ	ค่าเสียหายตามจริง + เพิ่มได้ไม่เกิน 2 เท่า (Punitive)
ส่งข้อมูลออกนอกราชอาณาจักรโดยไม่ชอบ	ค่าเสียหายตามจริง + เพิ่มได้ไม่เกิน 2 เท่า

โทษทางอาญา (มาตรา 79-81)

ความผิด	จำคุก	ปรับ
ใช้ประโยชน์จากข้อมูลส่วนบุคคลโดยมิชอบ (ม.79)	ไม่เกิน 6 เดือน	ไม่เกิน 500,000 บาท
เปิดเผยข้อมูลอ่อนไหวโดยมิชอบ (ม.80)	ไม่เกิน 1 ปี	ไม่เกิน 1,000,000 บาท
เจ้าหน้าที่ ล่วงรู้ข้อมูลและเปิดเผย (ม.81)	ไม่เกิน 6 เดือน	ไม่เกิน 500,000 บาท
หากกระทำโดยนิติบุคคล (ม.81 วรรคสอง)	—	ปรับอัตรา 2 เท่าของบุคคลธรรมดา

โทษทางปกครอง (มาตรา 82-86)

ความผิด	โทษปรับสูงสุด
เก็บข้อมูลโดยไม่มีฐานทางกฎหมาย / ไม่ได้รับความยินยอม (ม.82)	3,000,000 บาท
ประมวลผลข้อมูลอ่อนไหวโดยไม่ชอบ (ม.83)	5,000,000 บาท
ไม่แจ้งเหตุละเมิดข้อมูลภายใน 72 ชั่วโมง (ม.84)	3,000,000 บาท
ขัดขวางการดำเนินงานของ สคส. (ม.85)	500,000 บาท
ไม่ปฏิบัติตามคำสั่งของ สคส. (ม.86)	500,000 บาท

LAS Risk Assessment — PDPA Compliance

ข้อ	กิจกรรม	ระดับความเสี่ยง	ผลกระทบ
3	ไม่มี Consent ที่ถูกต้องสำหรับ Marketing	🔴 สูง	โทษปรับสูงสุด 3 ล้านบาท + ค่าเสียหาย
4	ประมวลผล Biometric Data โดยไม่มี Explicit Consent	🔴 สูง	โทษปรับสูงสุด 5 ล้านบาท + อาญา 1 ปี
7	ไม่มีแผน Breach Response / ไม่แจ้ง 72 ชม.	🔴 สูง	โทษปรับสูงสุด 3 ล้านบาท
1	ไม่มี ROPA	🟡 กลาง	ไม่สามารถพิสูจน์การปฏิบัติตาม PDPA ได้
5	ไม่มี DPA กับ Cloud Provider	🟡 กลาง	ความรับผิดรั่วไหลทั้งหมดตกที่ Data Controller
9	ไม่มีกระบวนการรองรับสิทธิเจ้าของข้อมูล	🟡 กลาง	เสี่ยงถูกร้องเรียน สคส. + ค่าเสียหาย
2	ไม่มี Privacy Policy บนเว็บไซต์	🟢 ต่ำ-กลาง	ความน่าเชื่อถือต่ำ + เสี่ยงร้องเรียน
6	ขาดมาตรการความปลอดภัยพื้นฐาน	🟢 ต่ำ (ถ้าไม่มีข้อมูลอ่อนไหว)	เสี่ยง Breach

คำถามที่พบบ่อย (FAQ)

Q1: SME ขนาดเล็ก 5 คน ต้องทำตาม PDPA ครบทุกข้อไหม?

ใช่ — พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ไม่ได้ยกเว้นตามขนาดธุรกิจ อย่างไรก็ตาม "ขนาด" ของมาตรการที่ต้องทำสามารถสมส่วนกับขนาดและลักษณะธุรกิจได้ SME ขนาดเล็กที่เก็บข้อมูลลูกค้าพื้นฐานไม่ต้องมีระบบที่ซับซ้อนเท่าองค์กรขนาดใหญ่ แต่ต้องมีพื้นฐาน 10 ข้อนี้ครบ

Q2: DPO ต้องเป็นคนในหรือจ้างภายนอกได้?

ตามมาตรา 41 พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 DPO สามารถเป็นพนักงานของผู้ควบคุมข้อมูล หรือเป็นบุคคลภายนอกที่รับจ้างเป็น "Outsourced DPO" ก็ได้ การใช้ DPO ภายนอกเป็นทางเลือกที่นิยมสำหรับ SME เพราะประหยัดกว่าการจ้างพนักงานเต็มเวลา แต่ DPO ต้องมีความรู้เพียงพอตามมาตรา 43

Q3: กล้อง CCTV หน้าร้านต้องทำ Privacy Notice ไหม?

ใช่ — กล้อง CCTV เก็บภาพบุคคลซึ่งถือเป็นข้อมูลส่วนบุคคล ต้องแจ้งให้ทราบด้วยการติดป้ายในพื้นที่ชัดเจนว่ามีกล้อง CCTV พร้อมระบุวัตถุประสงค์ (เช่น เพื่อความปลอดภัย) ระยะเวลาเก็บ และช่องทางติดต่อ ฐานทางกฎหมายที่ใช้มักเป็น Legitimate Interest (มาตรา 24(7)) เพื่อความปลอดภัยของทรัพย์สิน

Q4: หากลูกค้าขอให้ลบข้อมูล แต่เรายังต้องใช้ข้อมูลเพื่อออกใบกำกับภาษี ต้องทำอย่างไร?

ตามมาตรา 33 พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 สิทธิลบข้อมูลไม่ใช่สิทธิเด็ดขาด — หากมีฐานทางกฎหมายอื่นที่ต้องเก็บต่อไป เช่น การปฏิบัติตามหน้าที่ตามกฎหมาย (Legal Obligation) ในกรณีนี้คือกฎหมายภาษีที่กำหนดให้เก็บเอกสารบัญชี 5 ปี สามารถปฏิเสธคำขอลบได้ แต่ต้องแจ้งเหตุผลให้เจ้าของข้อมูลทราบ

Q5: ส่งข้อมูลลูกค้าให้บริษัทต่างชาติ (Cloud ต่างประเทศ) ต้องทำอย่างไร?

ตามมาตรา 28 พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 การส่งออกข้อมูลส่วนบุคคลนอกราชอาณาจักรต้องได้รับความยินยอมจากเจ้าของข้อมูล หรือประเทศปลายทางต้องมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ หรือมีข้อตกลงตามแบบที่ สคส. กำหนด ในทางปฏิบัติ ผู้ให้บริการ Cloud รายใหญ่ระดับโลก (AWS, Google, Microsoft Azure) มักมี Standard Contractual Clauses (SCCs) ในสัญญาอยู่แล้ว แต่ควรตรวจสอบและทำ DPA

จุดเริ่มต้น 30 วัน สำหรับ SME:
สัปดาห์ที่ 1-2: จัดทำ ROPA + Privacy Notice
สัปดาห์ที่ 2-3: ทบทวน Consent ที่มีอยู่ + ทำ DPA กับ Vendor หลัก
สัปดาห์ที่ 3-4: มอบหมาย PDPA Coordinator + วางแผน Breach Response
เดือนที่ 2: ฝึกอบรมพนักงาน + Review Retention Policy

สรุป

PDPA ไม่ได้น่ากลัวอย่างที่คิด แต่ต้องลงมือทำอย่างจริงจัง SME ที่ปฏิบัติตามทั้ง 10 ข้อนี้จะมีความพร้อมในการปกป้องข้อมูลลูกค้า ลดความเสี่ยงจากการถูกร้องเรียน และสร้างความไว้วางใจให้กับลูกค้าและคู่ค้าในระยะยาว การลงทุนด้าน PDPA Compliance ไม่ใช่ค่าใช้จ่าย — แต่เป็นการป้องกันความเสี่ยงที่คุ้มค่า เมื่อเทียบกับโทษปรับสูงสุด 5,000,000 บาท

← ตอนที่ 3 LAS SHIELD 4/10 ตอนที่ 5 →

กฎหมายที่เกี่ยวข้อง

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 6 มาตรา 19 มาตรา 23 มาตรา 24 มาตรา 26 มาตรา 28 มาตรา 30-36 มาตรา 37 มาตรา 39 มาตรา 40 มาตรา 41-43 มาตรา 77-86 PDPA SME Privacy Policy DPA DPO Data Breach Consent Sensitive Data

Disclaimer: บทความนี้จัดทำเพื่อวัตถุประสงค์ทางวิชาการและให้ความรู้ทั่วไปเท่านั้น ไม่ถือเป็นคำแนะนำทางกฎหมายเฉพาะราย ผู้อ่านควรปรึกษาที่ปรึกษากฎหมายก่อนตัดสินใจดำเนินการใด ๆ | This article is for general informational purposes only and does not constitute legal advice. Readers should consult a qualified legal professional before taking any action.