TH | EN
Legal Advance Solution — Knowledge Hub
by Thundthornthep Yamoutai, Ph.D.
Data Protection & PDPA Compliance

PDPA Compliance สำหรับธุรกิจ B2B:
คู่มือระดับ C-Suite

วิเคราะห์เชิงลึก พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 สำหรับภาคธุรกิจ B2B — Data Controller, DPA, Cross-Border Transfer, บทลงโทษ และ Checklist 30 ข้อ

Thundthornthep Yamoutai, Ph.D. | 4 เมษายน 2569 | Legal Compliance Guide

Table of Contents / สารบัญ

  1. บทนำ — PDPA กับธุรกิจ B2B: ทำไมต้องให้ความสำคัญ
  2. กรอบกฎหมาย — พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
  3. PDPA สำหรับธุรกิจ B2B — ประเด็นที่แตกต่างจาก B2C
  4. ขั้นตอนการทำ PDPA Compliance 6 Steps
  5. บทลงโทษ (Penalties) — ทั้งทางแพ่ง อาญา ปกครอง
  6. กรณีศึกษา — ตัวอย่างการบังคับใช้ในไทย
  7. Checklist: PDPA Compliance สำหรับธุรกิจ B2B
  8. บทสรุป
  9. เอกสารอ้างอิง (References)

1. บทนำ — PDPA กับธุรกิจ B2B: ทำไมต้องให้ความสำคัญ Introduction — Why B2B Must Prioritize PDPA

เมื่อพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act — PDPA) มีผลบังคับใช้เต็มรูปแบบในวันที่ 1 มิถุนายน 2565 ภาคธุรกิจไทยส่วนใหญ่มุ่งความสนใจไปที่การเก็บข้อมูลผู้บริโภค (B2C) เช่น การจัดการ Cookie บนเว็บไซต์ หรือการขอความยินยอมทางการตลาด อย่างไรก็ตาม บริษัทที่ดำเนินธุรกิจแบบ Business-to-Business (B2B) มักประเมินความเสี่ยงด้าน PDPA ต่ำเกินจริง โดยเข้าใจผิดว่ากฎหมายนี้ใช้กับการค้าปลีกหรือ E-Commerce เป็นหลัก

ในความเป็นจริง ธุรกิจ B2B ต้องประมวลผลข้อมูลส่วนบุคคลในเกือบทุกขั้นตอนของการดำเนินธุรกิจ ไม่ว่าจะเป็นข้อมูลของพนักงานลูกค้าที่ติดต่อประสานงาน ข้อมูลผู้มีอำนาจลงนามของบริษัทคู่ค้า ข้อมูล HR ที่ได้รับมาในงาน Outsourcing หรือข้อมูลของผู้ใช้งานระบบในฐานะผู้ให้บริการ Software-as-a-Service (SaaS) และ Cloud Computing ทั้งหมดนี้ล้วนอยู่ในขอบเขตของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

ยิ่งไปกว่านั้น ธุรกิจ B2B มักมีบทบาทซับซ้อนกว่า B2C ในระบบนิเวศของ PDPA กล่าวคือ บริษัทหนึ่งอาจทำหน้าที่เป็น ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) สำหรับข้อมูลพนักงานตนเอง และในเวลาเดียวกันก็ทำหน้าที่เป็น ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ให้แก่ลูกค้าองค์กร ความซับซ้อนเชิงบทบาทนี้ทำให้การจัดทำ PDPA Compliance สำหรับ B2B มีความละเอียดและต้องการความเชี่ยวชาญเชิงกฎหมายสูงกว่า B2C อย่างมีนัยสำคัญ

C-Suite Insight

จากการบังคับใช้ PDPA นับตั้งแต่ปี 2565 สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ได้รับเรื่องร้องเรียนเพิ่มขึ้นอย่างต่อเนื่อง และเริ่มมีการออกคำสั่งทางปกครองในหลายกรณี ธุรกิจ B2B ที่ยังไม่มี PDPA Framework ที่ชัดเจนถือว่ากำลังแบกรับความเสี่ยงทางกฎหมายที่ไม่จำเป็น

บทความนี้จัดทำขึ้นเพื่อผู้บริหารระดับ C-Suite และทีมกฎหมายองค์กรที่ต้องการเข้าใจกรอบกฎหมาย PDPA ในบริบทของธุรกิจ B2B อย่างครอบคลุม ครอบคลุมตั้งแต่นิยามสำคัญ ฐานทางกฎหมาย บทบาทของ Data Processing Agreement (DPA) ในห่วงโซ่อุปทาน ประเด็นการโอนข้อมูลข้ามพรมแดน บทลงโทษ กรณีศึกษา และ Checklist 30 ข้อที่ทีมงานสามารถนำไปใช้ได้ทันที

2. กรอบกฎหมาย — พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 Legal Framework — Personal Data Protection Act B.E. 2562 (2019)

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ประกาศใช้ในราชกิจจานุเบกษาเมื่อวันที่ 27 พฤษภาคม 2562 และมีผลบังคับใช้เต็มรูปแบบเมื่อวันที่ 1 มิถุนายน 2565 กฎหมายนี้มีวัตถุประสงค์เพื่อคุ้มครองสิทธิของบุคคลธรรมดา (Natural Person) ในฐานะเจ้าของข้อมูล และกำหนดหน้าที่ให้แก่ผู้ควบคุมและผู้ประมวลผลข้อมูล โดยได้รับอิทธิพลเชิงโครงสร้างจาก General Data Protection Regulation (GDPR) ของสหภาพยุโรป

2.1 นิยามสำคัญ: Data Controller vs Data Processor

ความเข้าใจในนิยามของ Data Controller และ Data Processor เป็นรากฐานที่สำคัญที่สุดของการทำ PDPA Compliance สำหรับ B2B เพราะหน้าที่และความรับผิดตามกฎหมายของสองบทบาทนี้แตกต่างกันอย่างมีนัยสำคัญ

Data Controller

ผู้ควบคุมข้อมูลส่วนบุคคล

บุคคลหรือนิติบุคคลที่มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 6) กำหนดวัตถุประสงค์และวิธีการประมวลผลข้อมูล มีหน้าที่รับผิดชอบโดยตรงต่อเจ้าของข้อมูล

Data Processor

ผู้ประมวลผลข้อมูลส่วนบุคคล

บุคคลหรือนิติบุคคลที่ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล (พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 6) ไม่มีอำนาจตัดสินใจในวัตถุประสงค์ของการประมวลผล

⚠ ข้อควรระวังสำหรับ B2B

ธุรกิจ B2B หลายประเภท เช่น ผู้ให้บริการ Payroll, HR Software, Cloud Infrastructure, หรือ Outsourced Accounting มักทำหน้าที่เป็น Data Processor ให้ลูกค้า แต่ก็เป็น Data Controller สำหรับข้อมูลพนักงานตนเองพร้อมกัน การผสมปนเประหว่างสองบทบาทโดยไม่มี Data Processing Agreement (DPA) ที่ชัดเจน ถือเป็นความเสี่ยงทางกฎหมายระดับ 🔴 High

2.2 ฐานทางกฎหมาย 7 ฐาน (Legal Basis)

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 24 กำหนดฐานทางกฎหมาย (Legal Basis) ที่อนุญาตให้ Data Controller ประมวลผลข้อมูลส่วนบุคคลโดยไม่ต้องขอความยินยอมจากเจ้าของข้อมูลได้ 6 ฐาน รวมกับฐานความยินยอมในมาตรา 19 รวมทั้งสิ้น 7 ฐาน ดังนี้:

ความยินยอม
Consent
เจ้าของข้อมูลให้ความยินยอมอย่างชัดแจ้ง (พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 19)
การปฏิบัติตามสัญญา
Contract Performance
จำเป็นเพื่อปฏิบัติตามสัญญาที่เจ้าของข้อมูลเป็นคู่สัญญา (มาตรา 24 (1))
หน้าที่ตามกฎหมาย
Legal Obligation
จำเป็นเพื่อปฏิบัติตามกฎหมาย เช่น การจัดทำรายงานภาษี (มาตรา 24 (2))
ประโยชน์สำคัญ
Vital Interests
จำเป็นเพื่อป้องกันอันตรายต่อชีวิต ร่างกาย หรือสุขภาพ (มาตรา 24 (3))
ภารกิจสาธารณะ
Public Task
จำเป็นเพื่อการดำเนินภารกิจเพื่อสาธารณะประโยชน์ (มาตรา 24 (4))
ประโยชน์อันชอบธรรม
Legitimate Interests
จำเป็นเพื่อประโยชน์อันชอบด้วยกฎหมาย โดยไม่เกินสมควร (มาตรา 24 (5)) — ใช้บ่อยใน B2B
การวิจัยและสถิติ
Research & Statistics
เพื่อการศึกษาวิจัย จัดทำสถิติ หรือประโยชน์สาธารณะ (มาตรา 24 (6))
B2B Practice Note

ในบริบท B2B ฐาน ประโยชน์อันชอบธรรม (Legitimate Interests) และ การปฏิบัติตามสัญญา (Contract Performance) เป็นฐานที่ใช้บ่อยที่สุด เช่น การเก็บข้อมูล Contact Person ของคู่ค้าเพื่อการสื่อสารทางธุรกิจ หรือการเก็บข้อมูลพนักงานลูกค้าในงาน HR Outsourcing อย่างไรก็ดี ต้องทำ Legitimate Interests Assessment (LIA) เพื่อยืนยันว่าการประมวลผลนั้นสมสัดส่วนและไม่กระทบสิทธิเจ้าของข้อมูลเกินสมควร

2.3 สิทธิเจ้าของข้อมูล 8 ประการ

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หมวด 3 (มาตรา 30–43) กำหนดสิทธิของเจ้าของข้อมูลส่วนบุคคลไว้ 8 ประการ ซึ่ง Data Controller ต้องจัดให้มีกลไกรองรับการใช้สิทธิเหล่านี้:

สิทธิรับทราบ
Right to be Informed
สิทธิเข้าถึง
Right of Access
สิทธิแก้ไข
Right to Rectification
สิทธิลบข้อมูล
Right to Erasure
สิทธิระงับ
Right to Restrict
สิทธิพกพา
Right to Portability
สิทธิคัดค้าน
Right to Object
สิทธิถอนความยินยอม
Right to Withdraw Consent
มาตราสำคัญ: สิทธิลบข้อมูล (Right to Erasure) กำหนดไว้ใน พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 33 | สิทธิพกพาข้อมูล (Right to Data Portability) กำหนดไว้ใน มาตรา 35 | สิทธิคัดค้าน (Right to Object) กำหนดไว้ใน มาตรา 36 | Data Controller ต้องตอบสนองคำขอใช้สิทธิภายใน 30 วัน นับจากวันที่รับคำขอ (มาตรา 41)

3. PDPA สำหรับธุรกิจ B2B — ประเด็นที่แตกต่างจาก B2C PDPA for B2B — Key Differences from B2C Compliance

การทำ PDPA Compliance สำหรับธุรกิจ B2B มีความซับซ้อนและมีประเด็นเฉพาะที่แตกต่างจาก B2C อย่างมีนัยสำคัญ ดังจะวิเคราะห์ในหัวข้อต่อไปนี้:

3.1 ข้อมูลพนักงานลูกค้า vs ข้อมูลผู้บริโภค

ในสภาพแวดล้อม B2B บริษัทมักเก็บและประมวลผลข้อมูลส่วนบุคคลของ "บุคลากรของนิติบุคคลอื่น" ซึ่งได้แก่ กรรมการผู้จัดการ ผู้จัดการฝ่าย พนักงานฝ่าย Procurement หรือ IT ของบริษัทลูกค้า บุคคลเหล่านี้ล้วนเป็น "เจ้าของข้อมูลส่วนบุคคล" ตามกฎหมาย แม้ว่าการติดต่อจะเกิดขึ้นในบริบทเชิงธุรกิจระหว่างองค์กร

ต่างจาก B2C ที่เจ้าของข้อมูลเป็นผู้บริโภคสุดท้าย ใน B2B เจ้าของข้อมูลมักไม่รับรู้ว่าข้อมูลตนเองถูกแบ่งปันในห่วงโซ่อุปทาน (Supply Chain) ข้อมูลหนึ่งชุดอาจถูกส่งต่อจากบริษัทแม่สู่ผู้ให้บริการ IT สู่ Data Center ในต่างประเทศ โดยที่พนักงานเจ้าของข้อมูลไม่เคยรับทราบ ความซับซ้อนนี้เพิ่มความเสี่ยงด้าน Transparency และ Notice อย่างมาก

B2B-Specific Risk

ตัวอย่างที่พบบ่อยใน B2B:

  1. บริษัท SaaS เก็บข้อมูลผู้ใช้งานระบบของลูกค้าองค์กร (ซึ่งเป็นพนักงานของลูกค้า)
  2. ผู้ให้บริการ Payroll เก็บข้อมูลเงินเดือน วันเกิด เลขบัตรประชาชน และบัญชีธนาคารของพนักงานลูกค้า
  3. บริษัท Logistics เก็บข้อมูลรับส่งสินค้าที่ระบุชื่อ-ที่อยู่บุคคลของลูกค้า
  4. ที่ปรึกษาการจัดการ (Management Consultant) เข้าถึงข้อมูล HR และประเมินผลพนักงานของลูกค้า

3.2 การโอนข้อมูลข้ามแดน (Cross-Border Transfer)

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 28 กำหนดข้อจำกัดในการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ โดยประเทศปลายทางหรือองค์กรระหว่างประเทศที่รับข้อมูลต้องมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ ซึ่งเป็นประเด็นสำคัญมากสำหรับ B2B ที่ใช้ระบบ Cloud หรือ SaaS ของต่างประเทศ

สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ได้ออกประกาศว่าด้วยการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ ซึ่งกำหนดกลไกในการโอนข้อมูลข้ามแดนที่ถูกกฎหมาย ได้แก่:

  1. Adequacy Decision: ประเทศปลายทางได้รับการรับรองว่ามีมาตรฐานคุ้มครองข้อมูลเพียงพอ โดย PDPC (ปัจจุบันยังอยู่ระหว่างการกำหนดรายชื่อประเทศ)
  2. Standard Contractual Clauses (SCC): ทำสัญญาโอนข้อมูลโดยใช้แบบสัญญามาตรฐานที่ PDPC กำหนด ซึ่งรับรองระดับการคุ้มครองเทียบเท่ากฎหมายไทย
  3. Binding Corporate Rules (BCR): สำหรับกลุ่มบริษัทในเครือเดียวกัน สามารถใช้กฎภายในกลุ่มที่ได้รับการอนุมัติจาก PDPC แทนการทำ SCC ทีละคู่
  4. Explicit Consent: ในบางกรณี อาจอาศัยความยินยอมอย่างชัดแจ้งของเจ้าของข้อมูล แต่ต้องแจ้งล่วงหน้าว่าประเทศปลายทางอาจไม่มีมาตรฐานคุ้มครองเพียงพอ
⚠ ความเสี่ยงระดับ High สำหรับ B2B

บริษัท B2B ที่ใช้ AWS, Google Cloud, Microsoft Azure, Salesforce, Workday หรือ SAP ซึ่งตั้ง Server ต่างประเทศ มีความเสี่ยงว่าการโอนข้อมูลส่วนบุคคลของพนักงานลูกค้าอาจไม่ได้รับการคุ้มครองตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 28 หากไม่มีกลไกถ่ายโอนที่ถูกกฎหมาย ความเสี่ยงนี้อยู่ระดับ 🔴 High

3.3 Data Processing Agreement (DPA) ระหว่างคู่ค้า

Data Processing Agreement (DPA) หรือ สัญญาประมวลผลข้อมูลส่วนบุคคล คือสัญญาที่กำหนดหน้าที่ ความรับผิดชอบ และมาตรการรักษาความปลอดภัยระหว่าง Data Controller (ลูกค้า) และ Data Processor (ผู้ให้บริการ B2B) พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 40 กำหนดให้ Data Controller ใช้ Data Processor ที่มีมาตรการคุ้มครองข้อมูลเพียงพอ และต้องมีสัญญาเป็นลายลักษณ์อักษรกำกับ

DPA ที่สมบูรณ์ในบริบท B2B ไทย ควรประกอบด้วยข้อกำหนดสำคัญต่อไปนี้:

  1. ขอบเขตและวัตถุประสงค์ของการประมวลผล: ระบุชัดเจนว่า Data Processor ได้รับอนุญาตให้ประมวลผลข้อมูลใด เพื่อวัตถุประสงค์ใด และห้ามนำข้อมูลไปใช้เพื่อวัตถุประสงค์อื่น
  2. ประเภทข้อมูลส่วนบุคคลและประเภทเจ้าของข้อมูล: ระบุประเภทข้อมูล (เช่น ชื่อ อีเมล เลขบัตรประชาชน) และประเภทเจ้าของข้อมูล (เช่น พนักงาน ลูกค้า) อย่างชัดเจน
  3. มาตรการรักษาความปลอดภัย (Technical & Organizational Measures): กำหนดมาตรการขั้นต่ำ เช่น การเข้ารหัสข้อมูล (Encryption), การควบคุมการเข้าถึง (Access Control), การ Backup และ Recovery
  4. การแต่งตั้ง Sub-Processor: กำหนดเงื่อนไขและข้อจำกัดในการมอบหมายงานประมวลผลข้อมูลต่อให้แก่บุคคลที่สาม (Sub-processor)
  5. การแจ้งเหตุละเมิด (Breach Notification): กำหนดกรอบเวลาและกระบวนการแจ้งเหตุ Data Breach ระหว่าง Processor และ Controller
  6. สิทธิตรวจสอบ (Audit Rights): Data Controller มีสิทธิตรวจสอบว่า Data Processor ปฏิบัติตาม DPA และกฎหมาย PDPA หรือไม่
  7. การส่งคืนหรือลบข้อมูล: เมื่อสิ้นสุดสัญญา Data Processor ต้องส่งคืนหรือลบข้อมูลทั้งหมดตามคำสั่งของ Data Controller
Strategic Recommendation

ในสภาพแวดล้อม B2B ปัจจุบัน DPA กำลังกลายเป็น "ข้อกำหนดมาตรฐาน" ในสัญญา Master Service Agreement (MSA) หรือสัญญาจ้างบริการ ลูกค้าองค์กรขนาดใหญ่ โดยเฉพาะบริษัทที่มีธุรกรรมกับ GDPR จะกำหนดให้ผู้ให้บริการ B2B ต้องลงนาม DPA ก่อนเริ่มให้บริการ บริษัทที่ยังไม่มี DPA Template พร้อมใช้ อาจสูญเสียโอกาสทางธุรกิจและเสียเปรียบในการแข่งขัน

4. ขั้นตอนการทำ PDPA Compliance (6 Steps) 6-Step PDPA Compliance Roadmap for B2B

การจัดทำ PDPA Compliance Framework สำหรับธุรกิจ B2B ควรดำเนินการตามลำดับขั้นตอน 6 ขั้นตอนต่อไปนี้ โดยแต่ละขั้นตอนมีผลลัพธ์ (Deliverable) ที่ชัดเจนและวัดได้:

1

Data Mapping / Data Inventory

Record of Processing Activities (RoPA)

สำรวจและจัดทำบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคลทั้งหมด (Record of Processing Activities — RoPA) ตามที่กำหนดใน พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 39 ระบุแหล่งที่มา ประเภทข้อมูล วัตถุประสงค์ ฐานทางกฎหมาย ระยะเวลาเก็บ และผู้รับข้อมูล

2

Privacy Policy & Notice

Privacy Notice Design

จัดทำนโยบายความเป็นส่วนตัว (Privacy Policy) และหนังสือแจ้ง (Privacy Notice) ที่ครอบคลุมข้อมูลตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 23 รวมถึง Notice เฉพาะสำหรับพนักงาน ลูกค้า และคู่ค้าแยกต่างหาก

3

Consent Management

Lawful Basis Documentation

กำหนด Legal Basis ที่เหมาะสมสำหรับแต่ละกิจกรรมการประมวลผล และออกแบบระบบจัดการความยินยอม (Consent Management) สำหรับกรณีที่ต้องใช้ฐานความยินยอม ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 19

4

DPIA Assessment

Data Protection Impact Assessment

ดำเนินการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล (DPIA) ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 37 สำหรับกิจกรรมที่มีความเสี่ยงสูง เช่น การประมวลผลข้อมูลอ่อนไหว (Sensitive Data) หรือการประมวลผลในปริมาณมาก

5

Incident Response Plan

Data Breach Response SOP

จัดทำแผนรองรับเหตุละเมิดข้อมูลส่วนบุคคล (Data Breach Response Plan) โดยกำหนดกระบวนการตรวจจับ ประเมิน แจ้ง PDPC ภายใน 72 ชั่วโมง (กรณีมีความเสี่ยงสูง) และแจ้งเจ้าของข้อมูล ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 37/1 [ต้องยืนยันมาตรา]

6

DPO Appointment

Data Protection Officer

พิจารณาแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer — DPO) ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 41–43 โดยเฉพาะสำหรับบริษัทที่ประมวลผลข้อมูลอ่อนไหวเป็นกิจกรรมหลัก หรือมีการประมวลผลขนาดใหญ่

4.1 Data Mapping — จุดเริ่มต้นที่ขาดไม่ได้

Data Mapping หรือการสำรวจแผนที่ข้อมูล เป็นขั้นตอนแรกที่สำคัญที่สุด โดยต้องระบุว่าองค์กรเก็บข้อมูลส่วนบุคคลอะไรบ้าง จากแหล่งใด เก็บไว้ที่ใด ส่งต่อให้ใคร และเก็บนานเท่าไร สำหรับธุรกิจ B2B แนะนำให้ทำ Data Mapping แยกตามหมวดหมู่ดังนี้:

  1. ข้อมูลพนักงาน (Employee Data): ชื่อ ที่อยู่ เลขบัตรประชาชน ข้อมูลธนาคาร ประวัติสุขภาพ (ถ้ามี) ซึ่งเป็นข้อมูลอ่อนไหว (Sensitive Data) ตาม มาตรา 26
  2. ข้อมูลคู่ค้าและลูกค้าองค์กร (B2B Contact Data): ชื่อ ตำแหน่ง อีเมล เบอร์โทรศัพท์ของผู้ติดต่อ (Contact Person) ซึ่งเป็นข้อมูลส่วนบุคคลตาม มาตรา 6
  3. ข้อมูลที่ประมวลผลในนามลูกค้า (Data Processed as Processor): ข้อมูลที่ได้รับมอบหมายจากลูกค้าในฐานะ Data Controller เพื่อให้บริการ
  4. ข้อมูลจากระบบ Digital: Log Files, IP Addresses, Cookies, User Behavior Data จากระบบดิจิทัลขององค์กร

4.2 DPIA — เมื่อใดต้องทำ

การประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล (Data Protection Impact Assessment — DPIA) บังคับสำหรับกิจกรรมที่มีความเสี่ยงสูงต่อสิทธิและเสรีภาพของบุคคล ซึ่งในบริบท B2B ได้แก่:

  1. การประมวลผลข้อมูลอ่อนไหว (Sensitive Personal Data) ตาม มาตรา 26 เช่น ข้อมูลสุขภาพ ข้อมูลชีวมิติ (Biometric) ข้อมูลศาสนา ในปริมาณมาก
  2. การประมวลผลโดยระบบอัตโนมัติ (Automated Processing) ที่ส่งผลกระทบต่อสิทธิของบุคคล รวมถึง Profiling
  3. การประมวลผลข้อมูลของบุคคลกลุ่มเปราะบาง เช่น เด็ก ผู้สูงอายุ
  4. การนำข้อมูลชุดใหม่มาใช้ร่วมกันในลักษณะที่อาจระบุตัวตนได้
  5. การส่งข้อมูลข้ามพรมแดนในปริมาณมาก

4.3 DPO — หน้าที่และคุณสมบัติ

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer — DPO) ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 41 มีหน้าที่หลัก ได้แก่ ให้คำแนะนำด้าน PDPA แก่องค์กร ตรวจสอบการปฏิบัติตามกฎหมาย ประสานงานกับ PDPC และเป็นจุดติดต่อสำหรับเจ้าของข้อมูลที่ต้องการใช้สิทธิ

DPO ไม่จำเป็นต้องเป็นพนักงานประจำ สามารถเป็นที่ปรึกษาภายนอก (External DPO) ได้ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 41 วรรคสอง ซึ่งเป็นทางเลือกที่คุ้มค่าสำหรับ SME B2B ที่ไม่มีทรัพยากรพอสำหรับการจ้างพนักงานประจำ

5. บทลงโทษ (Penalties) — ทั้งทางแพ่ง อาญา ปกครอง Penalties — Civil, Criminal & Administrative

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนดบทลงโทษใน 3 ระดับ ซึ่งอาจใช้บังคับพร้อมกันในคดีเดียวกัน ทำให้ความเสี่ยงทางกฎหมายรวมสูงมาก ดังนี้:

ประเภทโทษ ความผิด บทลงโทษสูงสุด มาตรา
🔴 อาญา เก็บข้อมูลอ่อนไหวโดยไม่ชอบด้วยกฎหมาย หรือนำไปใช้หาผลประโยชน์ส่วนตัว จำคุก 1 ปี และ/หรือ ปรับ 1,000,000 บาท มาตรา 90
🔴 อาญา ล่วงละเมิดสิทธิเจ้าของข้อมูลโดยเจตนา เปิดเผยข้อมูลที่รู้ว่าเป็นความลับ จำคุก 6 เดือน และ/หรือ ปรับ 500,000 บาท มาตรา 89
🟡 แพ่ง ประมวลผลข้อมูลโดยไม่ชอบด้วยกฎหมาย ก่อให้เกิดความเสียหาย ค่าสินไหมทดแทนจริง + ค่าสินไหมเพื่อการลงโทษสูงสุด 2 เท่า มาตรา 86
🟡 ปกครอง ไม่จัดให้มีมาตรการรักษาความปลอดภัยที่เหมาะสม ปรับ 1,000,000 บาท มาตรา 83
🟡 ปกครอง ไม่จัดทำ RoPA หรือไม่แต่งตั้ง DPO ในกรณีบังคับ ปรับ 1,000,000 บาท มาตรา 82
🔴 ปกครอง เก็บ ใช้ เปิดเผยข้อมูลอ่อนไหวโดยไม่มีฐานทางกฎหมาย ปรับ 5,000,000 บาท มาตรา 84
🔴 ปกครอง โอนข้อมูลข้ามแดนโดยไม่ชอบด้วยกฎหมาย ปรับ 5,000,000 บาท มาตรา 85
⚠ ความเสี่ยงสะสม (Cumulative Risk)

กรณีเดียวกันอาจถูกลงโทษทั้งทางปกครอง ทางแพ่ง และทางอาญาพร้อมกัน ตัวอย่างเช่น บริษัท SaaS ที่ประสบ Data Breach แล้วไม่มีมาตรการรักษาความปลอดภัยที่เหมาะสม อาจต้องรับผิดทางปกครองสูงสุด 1,000,000 บาท (มาตรา 83) + ชดใช้ค่าเสียหายทางแพ่งพร้อมค่าสินไหมลงโทษอีก 2 เท่า (มาตรา 86) + อาจมีโทษอาญาหากมีเจตนา (มาตรา 89–90) รวมความเสี่ยงทางการเงินอาจสูงถึงหลายสิบล้านบาท

5.1 กรณีความรับผิดของกรรมการและผู้บริหาร

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 91 กำหนดให้ในกรณีที่นิติบุคคลกระทำผิด หากมูลเหตุมาจากการสั่งการหรือการกระทำของกรรมการ ผู้จัดการ หรือบุคคลที่รับผิดชอบในการดำเนินกิจการของนิติบุคคลนั้น บุคคลดังกล่าวต้องรับโทษตามที่กำหนดไว้สำหรับความผิดนั้นด้วย

ซึ่งหมายความว่า CEO, CFO หรือ CTO ของบริษัท B2B อาจต้องรับผิดทางอาญาเป็นการส่วนตัวหากพิสูจน์ได้ว่าการละเมิด PDPA เกิดจากการสั่งการหรือการละเลยในการดูแลของตน นี่คือเหตุผลสำคัญที่ผู้บริหารระดับสูงต้องให้ความสำคัญกับ PDPA Compliance อย่างจริงจัง

6. กรณีศึกษา — ตัวอย่างการบังคับใช้ในไทย Case Studies — PDPA Enforcement Scenarios in Thailand (Anonymized)

เพื่อรักษาหลักการ Client Confidentiality กรณีศึกษาต่อไปนี้ได้รับการ Anonymize โดยแทนชื่อบริษัทด้วยตัวอักษร A, B, C, D ตามมาตรฐาน LAS และนำเสนอในลักษณะ Composite Case เพื่อการศึกษา

Case Study 1 — B2B SaaS Provider

บริษัท A (SaaS HR Platform) ประมวลผลข้อมูลพนักงานลูกค้าโดยไม่มี DPA

ข้อเท็จจริง: บริษัท A ให้บริการระบบ HR ออนไลน์แก่ลูกค้าองค์กร (บริษัท B) โดยไม่มี Data Processing Agreement ลงนาม เมื่อเกิดเหตุ Data Breach ข้อมูลพนักงานของบริษัท B กว่า 3,000 รายถูกเข้าถึงโดยไม่ได้รับอนุญาต

ประเด็นกฎหมาย: บริษัท A (ในฐานะ Data Processor) ไม่มีมาตรการรักษาความปลอดภัยที่เหมาะสม และไม่มีสัญญา DPA ตามที่กำหนดใน พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 40 บริษัท B (Data Controller) อาจถูกร้องเรียนโดยพนักงานเจ้าของข้อมูลด้วย

ผลที่เกิดขึ้น: ความเสี่ยงทางปกครองสูงสุด 1,000,000 บาท + ความเสี่ยงทางแพ่ง
บทเรียน: ผู้ให้บริการ B2B SaaS ทุกรายต้องมี DPA Template พร้อมใช้ และต้องลงนามก่อนเริ่มบริการทุกครั้ง
Case Study 2 — Cross-Border Data Transfer

บริษัท C (ผู้นำเข้า-ส่งออก) ส่งข้อมูลลูกค้าไปยัง Server ต่างประเทศโดยไม่มีกลไก SCC

ข้อเท็จจริง: บริษัท C ใช้ระบบ ERP ของต่างประเทศที่ตั้ง Server ในสหรัฐอเมริกา โดยข้อมูลสั่งซื้อและข้อมูลส่วนบุคคลของผู้ติดต่อฝ่าย Procurement ของคู่ค้าไทยถูกจัดเก็บและประมวลผลใน Server ดังกล่าว โดยไม่มีการจัดทำ Standard Contractual Clauses (SCC) หรือกลไกคุ้มครองข้ามแดนอื่นใด

ประเด็นกฎหมาย: การโอนข้อมูลไปยังประเทศที่อาจไม่มีมาตรฐานคุ้มครองข้อมูลเพียงพอ โดยไม่มีกลไกรองรับ อาจฝ่าฝืน พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 28

ผลที่เกิดขึ้น: ความเสี่ยงทางปกครองสูงสุด 5,000,000 บาท ตาม มาตรา 85
บทเรียน: ก่อนเลือก Cloud / ERP ต่างประเทศ ต้องตรวจสอบว่า Vendor มี Data Processing Agreement และกลไก Cross-Border Transfer ที่รองรับ PDPA ไทยพร้อมหรือไม่
Case Study 3 — Marketing B2B

บริษัท D (Marketing Agency B2B) ส่ง Email Marketing โดยไม่มีฐานทางกฎหมาย

ข้อเท็จจริง: บริษัท D รวบรวมรายชื่อและอีเมลของ Marketing Manager และ Procurement Manager จากบริษัทต่างๆ ผ่านการค้นหาจากเว็บไซต์และ LinkedIn แล้วส่ง Email Marketing เพื่อเสนอบริการ B2B โดยไม่มีความยินยอมและไม่มีฐานทางกฎหมายอื่นรองรับ

ประเด็นกฎหมาย: แม้จะเป็นบริบท B2B แต่บุคคลที่รับอีเมลยังคงเป็นเจ้าของข้อมูลส่วนบุคคล การเก็บและใช้ข้อมูลเพื่อการตลาดโดยตรงต้องมีฐาน Legitimate Interests หรือความยินยอม พร้อมสิทธิ Opt-Out ที่ชัดเจน

ผลที่เกิดขึ้น: ความเสี่ยงทางปกครองและอาจถูกร้องเรียนต่อ PDPC
บทเรียน: B2B Email Marketing ต้องมี Legitimate Interests Assessment + Opt-Out Mechanism ที่ชัดเจนในทุกอีเมล

7. Checklist: PDPA Compliance สำหรับธุรกิจ B2B B2B PDPA Compliance Checklist — 30 Action Items

Checklist ต่อไปนี้ครอบคลุม 30 รายการที่ธุรกิจ B2B ควรดำเนินการเพื่อสร้าง PDPA Compliance Framework ที่แข็งแกร่ง แบ่งเป็น 5 หมวด:

หมวด A — Data Governance Foundation

หมวด B — Vendor & Partner Management

หมวด C — Technical Security Measures

หมวด D — People & Process

หมวด E — Monitoring & Governance

การให้คะแนน Compliance Level

ประเมินระดับ PDPA Compliance ขององค์กร:

  1. 🟢 Level 3 (ดี): ผ่าน 25–30 ข้อ — PDPA Compliant พร้อมรองรับการตรวจสอบ
  2. 🟡 Level 2 (กลาง): ผ่าน 15–24 ข้อ — ต้องเร่งดำเนินการส่วนที่ขาด โดยเฉพาะหมวด B และ C
  3. 🔴 Level 1 (ต่ำ): ผ่านน้อยกว่า 15 ข้อ — ความเสี่ยงสูง ควรจ้างที่ปรึกษา PDPA ทันที

8. บทสรุป Conclusion

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ไม่ได้เป็นเพียงภาระผูกพันทางกฎหมายสำหรับธุรกิจ B2B แต่เป็นโอกาสในการสร้างความไว้วางใจ (Trust) กับลูกค้าและคู่ค้า บริษัทที่มี PDPA Framework ที่แข็งแกร่งจะมีความได้เปรียบในการแข่งขัน โดยเฉพาะในตลาดที่ลูกค้าองค์กรให้ความสำคัญกับ Data Governance มากขึ้น

ประเด็นที่ผู้บริหาร B2B ต้องจดจำมี 5 ข้อหลัก ได้แก่ (1) ทำความเข้าใจบทบาทตนเองว่าเป็น Data Controller, Data Processor หรือทั้งสอง (2) ลงนาม DPA กับ Vendor และลูกค้าทุกราย (3) จัดการ Cross-Border Transfer ให้ถูกต้อง (4) มีแผนรองรับ Data Breach ที่ชัดเจน และ (5) ทบทวน Compliance อย่างสม่ำเสมอ

สำหรับธุรกิจ B2B ที่ยังอยู่ในขั้นเริ่มต้นของ PDPA Compliance แนะนำให้เริ่มจาก Data Mapping และการจัดทำ DPA Template ก่อน เพราะสองสิ่งนี้เป็นรากฐานที่จะทำให้ขั้นตอนอื่นๆ ง่ายและมีประสิทธิภาพยิ่งขึ้น การลงทุนใน PDPA Compliance วันนี้ คือการลงทุนในความยั่งยืนทางธุรกิจและการปกป้องชื่อเสียงขององค์กรในระยะยาว

LAS B2B PDPA Services

Legal Advance Solution Co., Ltd. (LAS) ให้บริการที่ปรึกษา PDPA Compliance ครบวงจรสำหรับธุรกิจ B2B ประกอบด้วย PDPA Gap Analysis, Data Mapping Workshop, DPA Template (Thai/English), Privacy Policy Drafting, DPO-as-a-Service และ PDPA Audit ประจำปี สอบถามรายละเอียดได้ที่ laslegal.co.th

FAQ — คำถามที่พบบ่อย

Q1: ธุรกิจ B2B ที่ไม่ได้เก็บข้อมูลผู้บริโภคโดยตรง ต้องทำ PDPA Compliance หรือไม่?

ต้องทำ เพราะธุรกิจ B2B ยังคงประมวลผลข้อมูลส่วนบุคคลของพนักงาน กรรมการ และผู้ติดต่อของบริษัทคู่ค้า ซึ่งล้วนเป็นข้อมูลส่วนบุคคลตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 6 และอาจทำหน้าที่เป็น Data Processor ให้แก่ลูกค้าในฐานะ Data Controller อีกด้วย

Q2: Data Processing Agreement (DPA) คืออะไร และต้องทำในกรณีใดบ้าง?

DPA คือสัญญาที่กำหนดหน้าที่และความรับผิดชอบระหว่าง Data Controller และ Data Processor ต้องทำทุกครั้งที่ธุรกิจ B2B รับจ้างประมวลผลข้อมูลให้ลูกค้า เช่น ผู้ให้บริการ SaaS, Cloud, Payroll, HR Outsourcing ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 40

Q3: โทษสูงสุดของการฝ่าฝืน PDPA คือเท่าไร?

โทษสูงสุดมี 3 ประเภทพร้อมกัน: (1) โทษทางปกครอง: ปรับสูงสุด 5,000,000 บาทต่อกรรม (มาตรา 84–85) (2) โทษทางแพ่ง: ชดใช้ค่าสินไหมทดแทน + ค่าสินไหมลงโทษสูงสุด 2 เท่า (มาตรา 86) (3) โทษอาญา: จำคุกสูงสุด 1 ปี และ/หรือปรับสูงสุด 1,000,000 บาท (มาตรา 90)

Q4: ธุรกิจ B2B ที่ส่งข้อมูลพนักงานลูกค้าออกต่างประเทศต้องทำอะไรบ้าง?

ต้องปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 28 โดยตรวจสอบมาตรฐานของประเทศปลายทาง หากไม่เพียงพอต้องใช้ Standard Contractual Clauses (SCC), Binding Corporate Rules (BCR) หรือความยินยอมอย่างชัดแจ้ง

Q5: ธุรกิจขนาดกลางต้องแต่งตั้ง DPO หรือไม่?

บังคับเฉพาะกรณี: (1) เป็นหน่วยงานของรัฐ (2) ประมวลผลข้อมูลในกิจกรรมหลักที่ต้องติดตามขนาดใหญ่ หรือ (3) ประมวลผลข้อมูลอ่อนไหวเป็นกิจกรรมหลัก ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 41 B2B SME ส่วนใหญ่ไม่บังคับ แต่แนะนำให้มี Privacy Officer ไว้เพื่อลดความเสี่ยง

เอกสารอ้างอิง / References

  1. พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act B.E. 2562 (2019)) — ราชกิจจานุเบกษา เล่ม 136 ตอนที่ 69 ก วันที่ 27 พฤษภาคม 2562
  2. สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) — www.pdpc.or.th
  3. ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ (ออกตามความในมาตรา 28)
  4. ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมของผู้ควบคุมข้อมูลส่วนบุคคล
  5. กฎกระทรวง การรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล พ.ศ. 2565
  6. European Commission, General Data Protection Regulation (GDPR) — Regulation 2016/679
  7. สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (ETDA) — แนวปฏิบัติด้านการคุ้มครองข้อมูลส่วนบุคคล www.etda.or.th
  8. International Association of Privacy Professionals (IAPP), APAC Privacy Guidance — Thailand PDPA Overview (2023)
กฎหมายที่เกี่ยวข้อง
PDPA 2562
pdpc.or.th — Full Act PDF
Data Protection
pdpc.or.th — PDPA Overview
พ.ร.บ. คุ้มครองข้อมูลฯ ม.6
pdpc.or.th — มาตรา 6 นิยามข้อมูลส่วนบุคคล
ม.19 (Consent)
pdpc.or.th — มาตรา 19 ความยินยอม
ม.24 (Legal Basis)
pdpc.or.th — มาตรา 24 ฐานทางกฎหมาย
ม.26 (Sensitive Data)
pdpc.or.th — มาตรา 26 ข้อมูลอ่อนไหว
ม.28 (Cross-Border)
pdpc.or.th — มาตรา 28 ส่งข้อมูลต่างประเทศ
ม.40 (DPA)
pdpc.or.th — มาตรา 40 ผู้ประมวลผลข้อมูล
ม.41 (DPO)
pdpc.or.th — มาตรา 41 เจ้าหน้าที่คุ้มครองข้อมูล
ม.82–91 (Penalties)
pdpc.or.th — มาตรา 82–91 บทลงโทษ

บทความที่เกี่ยวข้อง (Related Articles)

Disclaimer / ข้อจำกัดความรับผิด

ภาษาไทย: บทความนี้จัดทำขึ้นเพื่อวัตถุประสงค์ทางวิชาการและให้ความรู้ทั่วไปเท่านั้น มิใช่ความเห็นทางกฎหมายเฉพาะเรื่องสำหรับกรณีใดกรณีหนึ่ง เนื้อหาสะท้อนสถานะของกฎหมายและแนวปฏิบัติ ณ วันที่ 4 เมษายน 2569 ซึ่งอาจมีการเปลี่ยนแปลงได้ ผู้อ่านควรปรึกษาทนายความหรือที่ปรึกษา PDPA ที่มีความเชี่ยวชาญก่อนนำข้อมูลไปใช้ประกอบการตัดสินใจ ผู้เขียนและ Legal Advance Solution Co., Ltd. ไม่รับผิดชอบต่อความเสียหายใดๆ ที่อาจเกิดขึ้นจากการนำเนื้อหาในบทความนี้ไปใช้โดยไม่ได้ปรึกษาผู้เชี่ยวชาญ

English: This article is prepared solely for academic and general informational purposes. It does not constitute legal advice for any specific matter. The content reflects the state of law and practice as of 4 April 2026, which may be subject to change. Readers should consult qualified legal counsel or a PDPA specialist before acting on any information contained herein. The author and Legal Advance Solution Co., Ltd. disclaim all liability for any loss or damage arising from reliance on the contents of this article without professional consultation.

© 2026 Thundthornthep Yamoutai, Ph.D. — Legal Advance Solution Co., Ltd. (LAS) — All Rights Reserved.

Back to Knowledge Hub
ดูบทความและบล็อกทั้งหมด / View All Content →