PDPA สิ่งที่ผู้ประกอบการต้องรู้
PDPA Essentials Every Thai Business Must Know — ทนายหมิว x LAS
ผู้เขียน: ธันย์ธรณ์เทพ แย้มอุทัย, Ph.D. — Founder & Managing Director, Legal Advance Solution Co., Ltd. | ร่วมเขียนโดย ทนายหมิว (นันทนาถ แสงทอง) — PDPA Lead, LAS
เผยแพร่: 3 เมษายน 2569 | หมวดหมู่: กฎหมายคุ้มครองข้อมูลส่วนบุคคล / Data Protection & Privacy Law | เวลาอ่าน: ~8 นาที
สารบัญ
เปิดเรื่อง: PDPA บังคับใช้แล้ว แต่ผู้ประกอบการยังตามไม่ทัน
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA มีผลบังคับใช้เต็มรูปแบบตั้งแต่วันที่ 1 มิถุนายน 2565 แต่จนถึงวันนี้ ผู้ประกอบการจำนวนมากยังไม่ได้ดำเนินการตามกฎหมาย บางรายไม่รู้ด้วยซ้ำว่าธุรกิจของตนอยู่ภายใต้บังคับของ PDPA
หลายคนเข้าใจว่า PDPA เป็นเรื่องของบริษัทเทคโนโลยีหรือธุรกิจขนาดใหญ่เท่านั้น แต่ความจริงแล้ว ทุกธุรกิจที่เก็บข้อมูลลูกค้าหรือพนักงาน ไม่ว่าจะเป็นร้านอาหาร คลินิกความงาม ร้านค้าออนไลน์ หรือแม้แต่ฟรีแลนซ์ที่มีฐานข้อมูลลูกค้า ล้วนต้องปฏิบัติตาม PDPA ทั้งสิ้น
ผลสำรวจจากสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) พบว่า SME ไทยกว่า 70% ยังไม่มีนโยบายความเป็นส่วนตัว (Privacy Policy) ที่ถูกต้องตามกฎหมาย และกว่า 80% ไม่เคยจัดทำบันทึกกิจกรรมการประมวลผลข้อมูล (ROPA) ตัวเลขเหล่านี้สะท้อนว่า ผู้ประกอบการไทยจำนวนมากกำลังเสี่ยงต่อการถูกลงโทษโดยไม่รู้ตัว
บทความนี้จะพาคุณเข้าใจ PDPA ในฉบับที่เข้าถึงได้ — เขียนสำหรับเจ้าของธุรกิจ ไม่ใช่นักกฎหมาย พร้อม Insights จาก ทนายหมิว (นันทนาถ แสงทอง) PDPA Lead แห่ง Legal Advance Solution ผู้เชี่ยวชาญด้าน PDPA สำหรับธุรกิจโดยเฉพาะ
PDPA คืออะไร? (สรุป 1 นาที)
PDPA ย่อมาจาก Personal Data Protection Act หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นกฎหมายที่กำหนดกรอบในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล โดยมีวัตถุประสงค์เพื่อคุ้มครองสิทธิของเจ้าของข้อมูล (Data Subject) จากการนำข้อมูลไปใช้โดยไม่ชอบด้วยกฎหมาย
ใครอยู่ภายใต้บังคับ PDPA?
กฎหมายฉบับนี้ใช้บังคับกับทุกองค์กรที่เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ไม่ว่าจะเป็น:
- บริษัทจำกัด / ห้างหุ้นส่วน — ที่มีพนักงานหรือลูกค้า
- ร้านค้าออนไลน์ — ที่เก็บชื่อ ที่อยู่ เบอร์โทรลูกค้า
- คลินิก / โรงพยาบาล — ที่เก็บข้อมูลสุขภาพ (ข้อมูลอ่อนไหว)
- ร้านอาหาร / โรงแรม — ที่เก็บข้อมูลผ่านระบบจอง หรือ loyalty program
- ฟรีแลนซ์ / ผู้ประกอบอาชีพอิสระ — ที่มีฐานข้อมูลลูกค้า
โทษมี 3 ระดับ
| ประเภทโทษ | รายละเอียด | อ้างอิง |
|---|---|---|
| โทษทางแพ่ง | ค่าเสียหายจริง + ค่าเสียหายเชิงลงโทษสูงสุด 2 เท่า | พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 77-78 |
| โทษอาญา | จำคุกสูงสุด 1 ปี และ/หรือปรับสูงสุด 1 ล้านบาท | พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 79 |
| โทษปกครอง | ปรับสูงสุด 5 ล้านบาท | พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 90 |
สำคัญ: กรรมการบริษัทหรือผู้มีอำนาจสั่งการ อาจถูกลงโทษเป็นการส่วนตัวได้ หากการกระทำความผิดเกิดจากคำสั่งหรือความยินยอมของตน
5 สิ่งที่ผู้ประกอบการต้องทำทันที
1. จัดทำนโยบายความเป็นส่วนตัว (Privacy Policy)
นโยบายความเป็นส่วนตัว คือเอกสารที่บอกลูกค้าและพนักงานว่า ธุรกิจของคุณเก็บข้อมูลอะไร เพื่ออะไร เก็บนานแค่ไหน และใครเข้าถึงได้บ้าง PDPA กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ต้องแจ้งรายละเอียดเหล่านี้ให้เจ้าของข้อมูลทราบก่อนหรือในขณะที่เก็บรวบรวมข้อมูล
Privacy Policy ที่ดีต้องเขียนด้วยภาษาที่เข้าใจง่าย ไม่ใช่ภาษากฎหมายที่ซับซ้อน และต้องเข้าถึงได้ง่าย เช่น แสดงบนเว็บไซต์ หรือแจ้งในแอปพลิเคชัน
2. ขอความยินยอม (Consent) อย่างถูกวิธี
ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 19 ความยินยอมต้องเป็นการแสดงเจตนาโดยชัดแจ้ง (Explicit Consent) ไม่ใช่แค่ tick box ที่ถูก check ไว้ล่วงหน้า ความยินยอมต้องแยกส่วนจากข้อความอื่น อ่านเข้าใจง่าย และเจ้าของข้อมูลต้องสามารถถอนความยินยอมได้ง่ายเท่ากับตอนให้ความยินยอม
สิ่งที่ห้ามทำ: ใช้ pre-ticked checkbox, รวมความยินยอมไว้ในข้อตกลงอื่น, บังคับให้ยินยอมเป็นเงื่อนไขในการรับบริการ (ยกเว้นข้อมูลนั้นจำเป็นจริง ๆ)
3. แต่งตั้ง DPO หรือผู้รับผิดชอบ
ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 41-42 องค์กรบางประเภทต้องแต่งตั้ง เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer — DPO) โดยเฉพาะองค์กรที่ประมวลผลข้อมูลปริมาณมาก หรือประมวลผลข้อมูลอ่อนไหว
สำหรับ SME ที่ไม่ได้อยู่ในข่ายบังคับ ก็ควรมีผู้รับผิดชอบที่ชัดเจนอย่างน้อย 1 คน เพื่อดูแลเรื่อง PDPA ในองค์กร DPO สามารถเป็นพนักงานภายในหรือจ้างผู้เชี่ยวชาญภายนอกก็ได้
4. จัดทำบันทึกกิจกรรมการประมวลผล (ROPA)
ROPA (Record of Processing Activities) คือเอกสารที่บันทึกว่าองค์กรเก็บข้อมูลอะไรบ้าง จากแหล่งไหน ใช้ทำอะไร เก็บที่ไหน นานเท่าไร และส่งต่อให้ใครบ้าง เอกสารนี้เป็นหลักฐานสำคัญที่แสดงว่าองค์กรปฏิบัติตาม PDPA
ROPA ไม่จำเป็นต้องซับซ้อน สำหรับธุรกิจขนาดเล็กอาจเริ่มจากตาราง Excel ง่าย ๆ ที่ระบุ: ประเภทข้อมูล, วัตถุประสงค์, ฐานกฎหมาย, ระยะเวลาจัดเก็บ, และผู้รับข้อมูล
5. วางแผนแจ้งเหตุละเมิดภายใน 72 ชั่วโมง
ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 37(4) หากเกิดเหตุละเมิดข้อมูลส่วนบุคคล (Data Breach) ผู้ควบคุมข้อมูลต้องแจ้ง สคส. ภายใน 72 ชั่วโมงนับแต่ทราบเหตุ และหากเหตุละเมิดนั้นมีความเสี่ยงสูงที่จะกระทบสิทธิของเจ้าของข้อมูล ต้องแจ้งเจ้าของข้อมูลด้วย
ธุรกิจควรมี Breach Response Plan ที่กำหนดชัดเจนว่า: ใครเป็นผู้รับแจ้ง, ขั้นตอนประเมินความเสี่ยง, ช่องทางแจ้ง สคส., และวิธีแจ้งเจ้าของข้อมูล เตรียมไว้ล่วงหน้าดีกว่ามาทำตอนเกิดเหตุ
PDPA Insights โดยทนายหมิว
ทนายหมิว (นันทนาถ แสงทอง)
PDPA Lead, Legal Advance Solution Co., Ltd.
ผู้เชี่ยวชาญด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคลสำหรับธุรกิจ
Insight 1: "ข้อมูลสุขภาพไม่ใช่คอนเทนต์"
ทนายหมิวเน้นย้ำว่า ภาพผู้ป่วย ภาพก่อน-หลังการรักษา หรือข้อมูลเกี่ยวกับอาการเจ็บป่วย ทั้งหมดนี้ถือเป็น "ข้อมูลอ่อนไหว" (Sensitive Data) ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 26 ซึ่งได้รับความคุ้มครองเข้มงวดกว่าข้อมูลส่วนบุคคลทั่วไป
คลินิกความงาม ทันตกรรม หรือสถานพยาบาลใด ๆ ที่นำภาพผู้ป่วยมาโพสต์โซเชียลมีเดียเพื่อโปรโมตธุรกิจ โดยไม่ได้ขอความยินยอมโดยชัดแจ้ง (Explicit Consent) จากเจ้าของข้อมูล ถือว่าผิด PDPA ทันที แม้จะเบลอหน้าหรือไม่ระบุชื่อก็ตาม หากสามารถระบุตัวบุคคลได้
คำแนะนำ: จัดทำแบบฟอร์มความยินยอมเฉพาะสำหรับการใช้ภาพ/ข้อมูลสุขภาพในสื่อการตลาด แยกจากแบบฟอร์มความยินยอมในการรักษา
Insight 2: "ไม่ใส่ชื่อก็ผิดได้"
ผู้ประกอบการหลายรายเข้าใจผิดว่า หากไม่ระบุชื่อ-นามสกุล ก็ไม่เข้าข่าย PDPA แต่ทนายหมิวชี้ให้เห็นว่า ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 6 "ข้อมูลส่วนบุคคล" หมายถึง ข้อมูลใด ๆ ที่ทำให้สามารถระบุตัวบุคคลได้ ทั้งทางตรงและทางอ้อม
ตัวอย่างเช่น: เลขบัตรประชาชน, เลขหนังสือเดินทาง, email address, เบอร์โทรศัพท์, รูปถ่ายใบหน้า, ข้อมูลตำแหน่ง GPS, IP address, Cookie ID หรือแม้แต่การรวมข้อมูลหลายชิ้นเข้าด้วยกันจนสามารถระบุตัวบุคคลได้ ก็ถือเป็นข้อมูลส่วนบุคคลทั้งสิ้น
คำแนะนำ: ตรวจสอบว่าข้อมูลที่ธุรกิจเก็บ "ระบุตัวบุคคลได้" หรือไม่ ก่อนตัดสินใจว่าเข้าข่าย PDPA หรือไม่
Insight 3: Social Media Marketing — ข้อมูลลูกค้ากับ Targeted Ads
การนำข้อมูลลูกค้าไปใช้ทำ targeted advertising บนแพลตฟอร์มโซเชียลมีเดีย เช่น การอัปโหลดรายชื่อลูกค้า (Customer List) เพื่อสร้าง Custom Audience บน Facebook หรือการใช้ข้อมูลพฤติกรรมการซื้อเพื่อยิงโฆษณา retargeting ทั้งหมดนี้ต้องมีฐานกฎหมาย (Lawful Basis) รองรับ
ทนายหมิวแนะนำว่า ผู้ประกอบการต้องพิจารณาว่าจะใช้ฐานกฎหมายใด: ความยินยอม (Consent) ตามมาตรา 19, ประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) ตามมาตรา 24(5) หรือฐานอื่น โดยต้องมั่นใจว่าได้แจ้งวัตถุประสงค์แก่เจ้าของข้อมูลแล้ว
คำแนะนำ: ระบุวัตถุประสงค์ "การตลาดและโฆษณา" ใน Privacy Policy อย่างชัดเจน และขอ Consent แยกต่างหากสำหรับการส่งโปรโมชัน
โทษที่ต้องรู้
PDPA กำหนดโทษไว้ 3 ระดับ ซึ่งอาจเกิดขึ้นพร้อมกันได้ในการกระทำผิดครั้งเดียว:
โทษปกครอง (มาตรา 90)
ปรับสูงสุด 5,000,000 บาท สั่งโดยคณะกรรมการผู้เชี่ยวชาญ ไม่ต้องผ่านกระบวนการศาล ตัวอย่างการกระทำที่อาจถูกปรับ: เก็บข้อมูลโดยไม่แจ้งวัตถุประสงค์, ไม่จัดให้มีมาตรการรักษาความปลอดภัยที่เหมาะสม, ไม่แจ้งเหตุละเมิดภายใน 72 ชั่วโมง, ไม่จัดทำ ROPA
โทษอาญา (มาตรา 79)
จำคุกสูงสุด 1 ปี และ/หรือปรับสูงสุด 1,000,000 บาท สำหรับการกระทำโดยเจตนา เช่น นำข้อมูลอ่อนไหวไปใช้โดยไม่ได้รับความยินยอม หรือเปิดเผยข้อมูลส่วนบุคคลโดยมิชอบเพื่อให้ผู้อื่นเสียหาย เสียชื่อเสียง หรือถูกดูหมิ่นเกลียดชัง
โทษทางแพ่ง (มาตรา 77-78)
ค่าเสียหายจริง + ค่าเสียหายเชิงลงโทษสูงสุด 2 เท่าของค่าเสียหายจริงที่ศาลกำหนด เจ้าของข้อมูลสามารถฟ้องร้องเรียกค่าเสียหายได้ทั้งกรณีที่เกิดความเสียหายจริง หรือความเสียหายทางจิตใจ โดยภาระการพิสูจน์ตกแก่ผู้ควบคุมข้อมูล
ข้อสังเกต: กรรมการบริษัท ผู้จัดการ หรือผู้มีอำนาจสั่งการในนิติบุคคล อาจถูกลงโทษเป็นการส่วนตัวได้ หากพิสูจน์ได้ว่าการกระทำผิดเกิดจากคำสั่ง การกระทำ หรือการไม่สั่งการของบุคคลนั้น นี่ไม่ใช่แค่เรื่องของ "บริษัท" — แต่เป็นเรื่องส่วนตัวของผู้บริหารด้วย
ติดตามทนายหมิว
BizLaw by ทนายหมิว
ทนายหมิว (นันทนาถ แสงทอง) นำเสนอเนื้อหา PDPA และกฎหมายธุรกิจในภาษาที่เข้าใจง่าย เหมาะสำหรับผู้ประกอบการและเจ้าของธุรกิจ ติดตามได้ที่:
- Instagram: @bizlawbymhew
- Facebook: BizLaw by ทนายหมิว
- Facebook Video: PDPA Content Series
ปรึกษา LAS เรื่อง PDPA
Legal Advance Solution Co., Ltd. (LAS) ให้บริการที่ปรึกษาด้าน PDPA ครบวงจร ตั้งแต่การประเมินความพร้อม (Gap Analysis) จัดทำเอกสารที่จำเป็น (Privacy Policy, Consent Form, ROPA, DPA) ไปจนถึงการฝึกอบรมพนักงานและการเป็น DPO ภายนอก (Outsourced DPO)
ทีม PDPA ของ LAS นำโดย:
- ธันย์ธรณ์เทพ แย้มอุทัย, Ph.D. — Founder & Managing Director, ผู้เชี่ยวชาญกฎหมายธุรกิจ 20+ ปี
- ทนายหมิว (นันทนาถ แสงทอง) — PDPA Lead, ผู้เชี่ยวชาญเฉพาะด้าน PDPA สำหรับธุรกิจ
บทความที่เกี่ยวข้อง
Disclaimer: บทความนี้จัดทำเพื่อวัตถุประสงค์ทางวิชาการและให้ความรู้ทั่วไปเท่านั้น ไม่ถือเป็นคำแนะนำทางกฎหมายเฉพาะราย ผู้อ่านควรปรึกษาที่ปรึกษากฎหมายก่อนตัดสินใจดำเนินการใด ๆ
เกี่ยวกับผู้เขียน
ธันย์ธรณ์เทพ แย้มอุทัย, Ph.D. (Thundthornthep Yamoutai, Ph.D.)
ผู้ก่อตั้งและกรรมการผู้จัดการ Legal Advance Solution Co., Ltd. ผู้เชี่ยวชาญกฎหมายธุรกิจ 20+ ปี อาจารย์พิเศษมหาวิทยาลัยเกษตรศาสตร์ มหาวิทยาลัยกรุงเทพธนบุรี และมหาวิทยาลัยราชภัฏสวนสุนันทา นักวิจัย AI Legal Technology ทุน NIA นักวิจัยตีพิมพ์ ACI สมาชิกคณะกรรมาธิการสภา
ทนายหมิว (นันทนาถ แสงทอง / Nanthanat Saengthong)
PDPA Lead, Legal Advance Solution Co., Ltd. ผู้เชี่ยวชาญด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคลสำหรับธุรกิจ ผู้สร้างสรรค์เนื้อหากฎหมาย PDPA ผ่าน BizLaw by ทนายหมิว
Official Profile | ความรู้กฎหมาย | LAS Website | @bizlawbymhew