คู่มือ PDPA ข้อมูลลูกค้า: ปกป้องข้อมูลวิดีโอ 2026
Wichai Suriyawong — ทนายความคุ้มครองข้อมูลส่วนบุคคล, ผู้เชี่ยวชาญ PDPA
ทำให้นิรนามข้อมูลลูกค้าสำหรับ SaaS 2026 (PDPA ฉบับสมบูรณ์)
ในปี 2565 สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สำนักงาน กคช.) ได้ออกคำสั่งปรับธุรกิจไทยหลายรายรวมกว่า 12 ล้านบาทจากการจัดการ PDPA ข้อมูลลูกค้าไม่ถูกต้อง — ส่วนใหญ่เป็นความผิดพลาดง่าย ๆ อย่างการเก็บข้อมูลส่วนบุคคลโดยไม่ขอความยินยอม หรือไม่มีมาตรการรักษาความปลอดภัยที่เพียงพอ หากธุรกิจของคุณยังจัดเก็บข้อมูลลูกค้าในสเปรดชีต Excel หรือส่งรายชื่อผ่าน LINE โดยไม่เข้ารหัส คุณกำลังเสี่ยงต่อค่าปรับสูงสุด 5 ล้านบาทต่อครั้ง — ยังไม่นับค่าเสียหายจากการฟ้องแพ่งและความเสียหายต่อชื่อเสียงแบรนด์ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) บังคับใช้เต็มรูปแบบมาตั้งแต่ 1 มิถุนายน 2565 แล้ว แต่หลายธุรกิจยังไม่รู้ว่าต้องปกป้องข้อมูลลูกค้าอย่างไร ใช้เทคโนโลยีอะไร และต้องเตรียมเอกสารอะไรบ้างเพื่อให้ปลอดภัยจากการตรวจสอบ
วิธีการจัดการข้อมูลลูกค้าให้เป็นไปตาม PDPA
การจัดการข้อมูลลูกค้าภายใต้กรอบ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ไม่ใช่แค่เรื่องของการติดตั้งซอฟต์แวร์ตัวใดตัวหนึ่ง แต่เป็นการปรับกระบวนการทำงานทั้งองค์กร ตั้งแต่การเก็บรวบรวม การใช้งาน ไปจนถึงการลบข้อมูล องค์กรที่ทำธุรกิจในไทยต้องเข้าใจว่าแต่ละขั้นตอนต้องสอดคล้องกับหลักการ ความเป็นส่วนตัว และสิทธิของเจ้าของข้อมูล ไม่ว่าจะเป็นธุรกิจ SME หรือองค์กรขนาดใหญ่
วิธีที่ 1: การจัดทำระบบขอความยินยอมที่ชัดเจน
ความยินยอม เป็นฐานการประมวลผลข้อมูลที่สำคัญที่สุดใน PDPA องค์กรต้องขอความยินยอมจากลูกค้าก่อนเก็บข้อมูลทุกครั้ง โดยต้องระบุวัตถุประสงค์ชัดเจน ไม่คลุมเครือ เช่น "เพื่อส่งข้อเสนอทางการตลาด" ไม่ใช่แค่ "เพื่อปรับปรุงบริการ" ที่กว้างเกินไป ความยินยอมต้องเป็นการกระทำที่ชัดแจ้ง ไม่ใช่การเงียบหรือไม่ตอบกลับ
สำหรับธุรกิจที่มี ฐานข้อมูลลูกค้า จำนวนมาก การใช้ Consent Management Platform (CMP) เป็นทางเลือกที่ช่วยจัดการได้มีประสิทธิภาพ ระบบเหล่านี้บันทึกว่าลูกค้าให้ความยินยอมอะไร เมื่อไหร่ และสามารถถอนความยินยอมได้ตลอดเวลา เครื่องมืออย่าง OneTrust หรือ Cookiebot เหมาะกับองค์กรขนาดใหญ่ ขณะที่ SME อาจเริ่มจากการใช้ฟอร์มออนไลน์ที่มีช่องติ๊กแยกตามวัตถุประสงค์ เช่น ใช้ Google Forms หรือ Typeform ที่เชื่อมต่อกับ CRM เพื่อบันทึกประวัติความยินยอม
ข้อจำกัดของวิธีนี้คือต้องอัปเดตระบบอย่างต่อเนื่อง เมื่อมีวัตถุประสงค์ใหม่ ต้องขอความยินยอมใหม่ ไม่สามารถใช้ความยินยอมเดิมครอบคลุมได้ นอกจากนี้ลูกค้าบางรายอาจไม่ให้ความยินยอมในบางเรื่อง องค์กรต้องมีระบบแยกกลุ่มลูกค้าตามความยินยอมที่ให้มา
วิธีที่ 2: การเข้ารหัสและจำกัดการเข้าถึงข้อมูล
การเข้ารหัสข้อมูล (Encryption) เป็นมาตรการรักษาความปลอดภัยทางเทคนิคที่ PDPA กำหนดให้องค์กรต้องมี โดยเฉพาะกับ ข้อมูลอ่อนไหว เช่น เลขบัตรประชาชน ข้อมูลสุขภาพ หรือข้อมูลทางการเงิน การเข้ารหัสทำให้แม้ข้อมูลรั่วไหล ผู้ไม่หวังดีก็ไม่สามารถอ่านได้หากไม่มีกุญแจถอดรหัส องค์กรควรเข้ารหัสข้อมูลทั้งตอนเก็บ (at rest) และตอนส่งผ่านเครือข่าย (in transit)
ควบคู่กับการเข้ารหัสคือการใช้ Access Control จำกัดว่าพนักงานคนไหนเข้าถึงข้อมูลส่วนไหนได้บ้าง หลักการ "Least Privilege" คือให้สิทธิ์เท่าที่จำเป็นต่อการทำงานเท่านั้น เช่น ฝ่ายการตลาดเข้าถึงชื่อและอีเมล แต่ไม่ควรเห็นเลขบัตรประชาชนหรือข้อมูลทางการเงิน การทำ Data Masking คือปิดบังข้อมูลบางส่วน เช่น แสดงเลขบัตรเป็น "3-XXXX-XXXXX-XX-X" ก็เป็นวิธีหนึ่งที่ช่วยลดความเสี่ยง
สำหรับองค์กรที่ใช้ Cloud Storage เช่น AWS, Google Cloud หรือ Azure ควรเปิดใช้งานฟีเจอร์ encryption ที่มีให้ และตั้งค่า IAM (Identity and Access Management) เพื่อควบคุมสิทธิ์การเข้าถึง ถ้าเก็บข้อมูลใน server ภายในองค์กร ควรใช้ซอฟต์แวร์เข้ารหัสเช่น VeraCrypt หรือ BitLocker สำหรับ Windows
ข้อจำกัดคือการเข้ารหัสทำให้การประมวลผลช้าลงเล็กน้อย และหากสูญหายกุญแจถอดรหัส ข้อมูลจะกู้คืนไม่ได้ นอกจากนี้ต้องมีการฝึกอบรมพนักงานให้เข้าใจวิธีจัดการกุญแจอย่างปลอดภัย ไม่แชร์รหัสผ่านหรือเก็บไว้ในที่เปิดเผย
วิธีที่ 3: การแต่งตั้ง DPO และจัดทำนโยบายความเป็นส่วนตัว
องค์กรที่ประมวลผลข้อมูลจำนวนมากหรือเป็น ข้อมูลอ่อนไหว ต้องแต่งตั้ง เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer หรือ DPO) ตาม PDPA DPO ทำหน้าที่เป็นศูนย์กลางในการกำกับดูแลการปฏิบัติตามกฎหมาย ให้คำปรึกษาแก่ฝ่ายต่าง ๆ ในองค์กร และเป็นจุดติดต่อกับ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สำนักงาน กคช.) หากมีเหตุการณ์ละเมิดข้อมูล
การจัดทำ นโยบายความเป็นส่วนตัว (Privacy Policy) ที่ชัดเจนและเข้าถึงง่ายเป็นข้อกำหนดบังคับ นโยบายต้องระบุว่าองค์กรเก็บข้อมูลอะไรบ้าง ใช้เพื่ออะไร แชร์กับใครบ้าง เก็บนานแค่ไหน และลูกค้ามีสิทธิอะไรบ้าง (เช่น สิทธิขอเข้าถึง แก้ไข ลบ หรือคัดค้านการประมวลผล) นโยบายต้องเขียนด้วยภาษาที่เข้าใจง่าย ไม่ใช่ภาษากฎหมายที่ซับซ้อน
ธุรกิจ SME ที่ไม่มีงบประมาณสูงสามารถใช้เทมเพลต Privacy Policy ฟรีจากเว็บไซต์ เช่น TermsFeed หรือ PrivacyPolicies.com แล้วปรับแต่งให้เหมาะกับธุรกิจของตน หรืออ้างอิงจากแนวทางที่ สำนักงาน กคช. เผยแพร่บนเว็บไซต์ www.pdpc.or.th สำหรับองค์กรขนาดใหญ่ ควรจ้างที่ปรึกษากฎหมายจัดทำเพื่อความครอบคลุม
ข้อจำกัดคือ DPO ต้องมีความรู้เฉพาะทาง ไม่ใช่แค่มอบหมายให้พนักงาน IT ทำแบบผ่าน ๆ นอกจากนี้นโยบายต้องอัปเดตทุกครั้งที่มีการเปลี่ยนแปลงวิธีการใช้ข้อมูล ซึ่งต้องแจ้งให้ลูกค้าทราบและขอความยินยอมใหม่หากจำเป็น
วิธีที่ 4: การจำกัดระยะเวลาเก็บรักษาและลบข้อมูลอย่างปลอดภัย
PDPA กำหนดหลักการ การเก็บรักษาข้อมูล ว่าต้องเก็บเท่าที่จำเป็นต่อวัตถุประสงค์เท่านั้น เมื่อหมดความจำเป็นต้องลบหรือทำให้เป็นนิรนาม (Anonymization) องค์กรต้องกำหนดนโยบายชัดเจนว่าแต่ละประเภทข้อมูลเก็บนานเท่าไร เช่น ข้อมูลลูกค้าที่ไม่ได้ทำธุรกรรมมานานกว่า 3 ปีควรลบออก หรือข้อมูล log การเข้าถึงระบบเก็บไว้ 1 ปีเพื่อ การตรวจสอบความปลอดภัย แล้วลบ
การลบข้อมูลต้องทำอย่างถาวร ไม่ใช่แค่กดปุ่ม delete ที่ยังกู้คืนได้ สำหรับข้อมูลดิจิทัล ควรใช้ซอฟต์แวร์ที่ทำ secure deletion เช่น Eraser หรือ BleachBit ที่เขียนทับข้อมูลหลายรอบ สำหรับฮาร์ดดิสก์หรือสื่อจัดเก็บทางกายภาพ ควรใช้บริการทำลายข้อมูลที่ได้มาตรฐาน เช่น degaussing หรือ physical shredding การทำ Anonymization คือการลบข้อมูลระบุตัวตนออก เช่น ลบชื่อ เบอร์โทร เหลือแค่ข้อมูลสถิติที่ไม่สามารถย้อนกลับหาตัวบุคคลได้
สำหรับข้อมูลที่เก็บใน CRM เช่น Salesforce, HubSpot หรือ Zoho CRM ควรตั้งค่า retention policy และใช้ฟีเจอร์ data deletion ที่มีให้ ถ้าใช้ฐานข้อมูลเองเช่น MySQL หรือ PostgreSQL ควรเขียนสคริปต์ทำ automated cleanup ตามกำหนดเวลา
ข้อจำกัดคือบางข้อมูลต้องเก็บไว้ตามกฎหมายอื่น ๆ เช่น ข้อมูลภาษีต้องเก็บ 5 ปี ข้อมูลบัญชีธนาคารต้องเก็บ 10 ปี องค์กรต้องสร้างสมดุลระหว่างการปฏิบัติตาม PDPA กับข้อกำหนดทางกฎหมายอื่น ๆ ที่เกี่ยวข้อง การทำ Anonymization ที่ไม่ดีพออาจยังสามารถย้อนกลับหาตัวบุคคลได้ จึงต้องใช้เทคนิคที่ได้มาตรฐาน เช่น k-anonymity หรือ differential privacy
เปรียบเทียบเครื่องมือจัดการข้อมูลลูกค้าตาม PDPA
| ฟีเจอร์ | OneTrust | TrustArc | Securiti.ai | Microsoft Priva | PDPA Thailand Kit |
|---|---|---|---|---|---|
| ราคา | ติดต่อขอใบเสนอราคา (เริ่ม ~$50K/ปี) | ติดต่อขอใบเสนอราคา (เริ่ม ~$30K/ปี) | ติดต่อขอใบเสนอราคา (เริ่ม ~$40K/ปี) | รวมใน Microsoft 365 E5 (฿820/user/เดือน) | ฟรี (เทมเพลต + คู่มือ) |
| Consent Management | ระบบจัดการความยินยอมแบบ real-time พร้อม API | Cookie banner + preference center แบบครบวงจร | AI-powered consent tracking ข้ามแพลตฟอร์ม | Consent tracking ใน Microsoft ecosystem | เทมเพลตฟอร์มขอความยินยอมเท่านั้น |
| Data Discovery | AI สแกนฐานข้อมูล + cloud storage อัตโนมัติ | สแกน structured/unstructured data ทุกแหล่ง | Auto-discovery ข้าม 900+ data sources | สแกนเฉพาะ Microsoft 365, Azure, Dynamics | ไม่มี (manual audit) |
| การจัดการสิทธิเจ้าของข้อมูล | Portal สำหรับ data subject requests (DSR) อัตโนมัติ | Workflow อนุมัติ DSR + ติดตามภายใน 30 วัน | AI จัดลำดับความสำคัญ requests + auto-fulfillment | Request portal + 30-day tracking dashboard | เทมเพลตฟอร์มคำขอ + manual tracking |
| การแจ้งเตือนการละเมิด | Alert ภายใน 72 ชม. พร้อมเทมเพลตรายงาน PDPC | Incident response workflow + แจ้ง regulator อัตโนมัติ | AI ประเมินความรุนแรง + guided response | Alert + แนะนำขั้นตอนตาม PDPA/GDPR | ไม่มี (manual process) |
| บูรณาการ CRM/Marketing | Salesforce, HubSpot, Marketo, SAP (50+ integrations) | Salesforce, Oracle, Adobe (30+ integrations) | 900+ pre-built connectors รวม LINE OA API | Microsoft Dynamics, Power Platform เท่านั้น | ไม่มี |
| Platform | Cloud-based (SaaS) | Cloud-based (SaaS) | Cloud-based (SaaS) | Microsoft 365 cloud | เอกสาร PDF/Word |
| เหมาะกับ | องค์กรขนาดใหญ่ที่ต้องการ compliance ครบวงจร | บริษัทข้ามชาติที่ต้อง multi-regulation (GDPR+PDPA) | Enterprise ที่มีข้อมูลกระจายหลายระบบ | ธุรกิจที่ใช้ Microsoft 365 อยู่แล้ว | SME งบจำกัดที่เริ่มต้น PDPA |
คำแนะนำ: สำหรับ SME ที่เริ่มต้น PDPA Thailand Kit (ฟรี) ให้เทมเพลตครบ แต่ต้อง manual tracking ทั้งหมด — เหมาะกับธุรกิจที่มีลูกค้าไม่เกิน 500 ราย สำหรับองค์กรที่ใช้ Microsoft 365 อยู่แล้ว Microsoft Priva คุ้มค่าที่สุด เพราะบูรณาการกับระบบเดิมไม่ต้องลงทุนเพิ่ม สำหรับ enterprise ที่ต้องการระบบ consent management ระดับสากล OneTrust เป็นมาตรฐานอุตสาหกรรม แม้ราคาจะสูง แต่ครอบคลุม data discovery, DSR automation และ multi-regulation compliance ในแพลตฟอร์มเดียว
FAQ
กฎหมาย PDPA กำหนดเงื่อนไขอะไรบ้างในการเก็บข้อมูลลูกค้า?
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนดให้องค์กรต้องแจ้งวัตถุประสงค์การเก็บข้อมูลอย่างชัดเจนและขอความยินยอมก่อนการประมวลผลข้อมูล การเก็บรักษาข้อมูลต้องมีระบบรักษาความปลอดภัยที่เหมาะสม เช่น การเข้ารหัสข้อมูลและ Access Control องค์กรต้องเก็บข้อมูลเท่าที่จำเป็นตามวัตถุประสงค์เท่านั้น และต้องลบข้อมูลเมื่อหมดความจำเป็น ข้อมูลอ่อนไหว เช่น เลขบัตรประชาชน ต้องได้รับความยินยอมอย่างชัดแจ้ง การละเมิดข้อมูลต้องแจ้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายใน 72 ชั่วโมง
GDPR กับ PDPA ต่างกันอย่างไร?
GDPR และ PDPA มีหลักการปกป้องข้อมูลคล้ายกัน แต่ PDPA มีค่าปรับสูงสุด 5 ล้านบาท ขณะที่ GDPR ปรับได้ถึง 4% ของรายได้ทั่วโลก PDPA ใช้บังคับกับข้อมูลคนไทยและผู้อยู่ในไทยเท่านั้น ในขณะที่ GDPR ครอบคลุมพลเมืองสหภาพยุโรป PDPA กำหนดให้แต่งตั้ง Data Protection Officer (DPO) เฉพาะองค์กรภาครัฐและธุรกิจที่ประมวลผลข้อมูลจำนวนมาก แต่ GDPR บังคับทุกองค์กรที่มีความเสี่ยงสูง การขอความยินยอมใน PDPA ยืดหยุ่นกว่า GDPR ในบางกรณี
ข้อมูลส่วนบุคคลตาม PDPA มีอะไรบ้าง?
ข้อมูลส่วนบุคคลครอบคลุมข้อมูลที่ระบุตัวบุคคลได้ เช่น ชื่อ-นามสกุล เลขบัตรประชาชน 13 หลัก เบอร์โทรศัพท์ อีเมล ที่อยู่ ป้ายทะเบียนรถ รูปถ่าย และข้อมูลจากระบบ CRM ข้อมูลอ่อนไหวต้องได้รับความยินยอมพิเศษ รวมถึงข้อมูลสุขภาพ ศาสนา ความเห็นทางการเมือง ข้อมูลชีวภาพ เช่น ลายนิ้วมือ ใบหน้า ประวัติอาชญากรรม และข้อมูลทางเพศ ฐานข้อมูลลูกค้าที่เก็บประวัติการซื้อ พฤติกรรมออนไลน์ IP address และคุกกี้ก็ถือเป็นข้อมูลส่วนบุคคลที่ต้องปกป้องตาม PDPA
บริษัทควรมีเอกสาร PDPA อะไรบ้าง?
บริษัทต้องจัดทำนโยบายความเป็นส่วนตัวที่แสดงบนเว็บไซต์และแอปอย่างชัดเจน ฟอร์มขอความยินยอมที่ระบุวัตถุประสงค์การใช้ข้อมูลเฉพาะเจาะจง Data Mapping ที่แสดงการไหลของข้อมูลในองค์กร คู่มือการจัดการข้อมูลสำหรับพนักงาน และแผนรับมือการละเมิดข้อมูล (Data Breach Response Plan) องค์กรที่ใช้ PDPA SaaS หรือ Cloud Storage ต้องมีสัญญา Data Processing Agreement กับผู้ให้บริการ การทำให้นิรนามข้อมูลลูกค้าต้องมีขั้นตอนที่ชัดเจนและบันทึกไว้เป็นหลักฐาน
SME ที่มีงบจำกัดควรเริ่มต้นปฏิบัติตาม PDPA อย่างไร?
SME ควรเริ่มจากการตรวจสอบข้อมูลลูกค้าที่เก็บอยู่ในทุกระบบ รวมถึง CRM สเปรดชีต อีเมล และ Cloud Storage ลบข้อมูลที่ไม่จำเป็นทันที ใช้ Consent Management Platform ฟรีหรือราคาถูก เช่น ฟอร์มขอความยินยอมใน Google Forms หรือปลั๊กอิน WordPress แทนระบบราคาแพง ตั้งค่าการเข้ารหัสข้อมูลพื้นฐานใน Google Workspace หรือ Microsoft 365 ที่มีอยู่แล้ว จัดอบรมพนักงาน 2-3 ชั่วโมงเกี่ยวกับสิทธิของเจ้าของข้อมูลและมาตรการรัก
Blur faces in seconds with BlurMe
AI auto-detects and blurs all faces in your video. No install, no manual tracking.
Try BlurMe Free