PDPA การละเมิดข้อมูล 72 ชั่วโมง: คู่มือฉบับสมบูรณ์ 2026
Wichai Suriyawong — ทนายความคุ้มครองข้อมูลส่วนบุคคล, ผู้เชี่ยวชาญ PDPA
PDPA การละเมิดข้อมูล 72 ชั่วโมง: คู่มือฉบับสมบูรณ์ 2026
PDPA การละเมิดข้อมูล 72 ชั่วโมง คือกฎหมายที่กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งเหตุการละเมิดข้อมูลต่อสำนักงาน กคช. (สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล) ภายใน 72 ชั่วโมงหลังทราบเหตุ ตามมาตรา 37 แห่ง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กฎนี้ครอบคลุมทุกกรณีที่เกิดการรั่วไหลของข้อมูล การเข้าถึงโดยไม่ได้รับอนุญาต หรือการสูญหายของข้อมูลส่วนบุคคลที่อาจส่งผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูล
การไม่ปฏิบัติตามกฎ 72 ชั่วโมงอาจส่งผลให้องค์กรต้องเผชิญค่าปรับสูงสุด 5 ล้านบาท พร้อมโทษอาญาและค่าเสียหายแพ่ง ตัวอย่างเช่น ในปี 2565 บริษัทค้าปลีกรายหนึ่งในไทยถูกสั่งปรับเพราะแจ้งเหตุการละเมิดข้อมูลลูกค้าล่าช้า 8 วัน ทำให้ข้อมูลบัตรเครดิตกว่า 50,000 รายการรั่วไหลโดยไม่มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม
ทำไมกฎ 72 ชั่วโมงของ PDPA ถึงสำคัญ
การละเมิดข้อมูลส่วนบุคคลไม่ใช่แค่ปัญหาไอที — ผลกระทบครอบคลุมทั้งกฎหมาย การเงิน และชื่อเสียงองค์กร กฎ 72 ชั่วโมงตามมาตรา 37 พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลแจ้งสำนักงาน กคช. (สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล) ทันทีที่ทราบเหตุการละเมิด ระยะเวลาแจ้งเหตุนี้ไม่ใช่ข้อแนะนำ — เป็นข้อบังคับทางกฎหมายที่มีบทลงโทษชัดเจน
การรั่วไหลของข้อมูลแต่ละครั้งส่งผลต่อเจ้าของข้อมูลโดยตรง ข้อมูลส่วนบุคคลที่มีความอ่อนไหว เช่น หมายเลขบัตรประชาชน ข้อมูลสุขภาพ หรือข้อมูลทางการเงิน ถูกนำไปใช้ในทางที่ผิดได้ทันที การแจ้งเหตุภายใน 72 ชั่วโมงช่วยลดความเสี่ยงต่อสิทธิและเสรีภาพของผู้ที่ได้รับผลกระทบ เพราะ PDPC สามารถเข้าช่วยเหลือและแนะนำมาตรการแก้ไขเยียวยาได้ทันท่วงที
ผลกระทบทางกฎหมายและค่าปรับ PDPA
ผู้ควบคุมข้อมูลที่ไม่แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลภายใน 72 ชั่วโมง เผชิญค่าปรับสูงสุด 5 ล้านบาท ตามมาตรา 79 ร่วมกับมาตรา 83 ของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล นอกจากค่าปรับแล้ว ยังมีความเสี่ยงต่อคดีแพ่งจากเจ้าของข้อมูลที่ได้รับความเสียหาย
สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลมีอำนาจสั่งให้องค์กรดำเนินมาตรการรักษาความมั่นคงปลอดภัยเพิ่มเติม ระงับการประมวลผลข้อมูล หรือเปิดเผยข้อมูลการละเมิดต่อสาธารณะ การไม่ปฏิบัติตามคำสั่ง PDPC มีโทษจำคุกสูงสุด 1 ปี หรือปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ
ในปี 2565 ธนาคารแห่งหนึ่งในประเทศไทยถูก PDPC ตักเตือนเป็นลายลักษณ์อักษรเนื่องจากแจ้งเหตุการละเมิดล่าช้า แม้ยังไม่ถึงขั้นปรับ แต่กรณีนี้ถูกเผยแพร่ในเว็บไซต์ กคช. ส่งผลกระทบต่อความเชื่อมั่นของลูกค้า
ป้องกันความเสียหายที่ขยายวง
ระยะเวลา 72 ชั่วโมงแรกเป็นช่วง "golden hour" ของการจัดการวิกฤต Data Breach ยิ่งแจ้งเร็ว โอกาสหยุดยั้งการแพร่กระจายของข้อมูลยิ่งสูง ข้อมูลที่รั่วไหลสามารถถูกนำไปขายในตลาดมืด ใช้ในการฉ้อโกง หรือโจมตี phishing ภายในไม่กี่ชั่วโมง
ตัวอย่างจากต่างประเทศ: ในปี 2017 Equifax (บริษัทข้อมูลเครดิตสหรัฐฯ) ทราบเหตุการละเมิดข้อมูลแต่ไม่แจ้งสาธารณะทันที ข้อมูลของ 147 ล้านคน รั่วไหล บริษัทต้องจ่ายค่าปรับและค่าเสียหาย 700 ล้านดอลลาร์ (ประมาณ 24,000 ล้านบาท) การแจ้งล่าช้าถูกระบุเป็นปัจจัยหนึ่งที่ทำให้ความเสียหายรุนแรงขึ้น
ในประเทศไทย ปี 2566 มีรายงานการรั่วไหลข้อมูลลูกค้าของแพลตฟอร์มอีคอมเมิร์ซกว่า 50,000 ราย ข้อมูลส่วนบุคคลรวมถึงที่อยู่จัดส่งและหมายเลขโทรศัพท์ถูกนำไปใช้ในแคมเปญ scam ทาง LINE และโทรศัพท์ การแจ้งเหตุภายใน 72 ชั่วโมงช่วยให้ PDPC ประสานงานกับหน่วยงานที่เกี่ยวข้อง (เช่น กระทรวงดิจิทัลฯ ตำรวจไซเบอร์) เพื่อเตือนภัยประชาชน
องค์กรที่มีระบบรักษาความปลอดภัยและ Data Protection Officer (DPO) ที่พร้อมสามารถตรวจจับและแจ้งเหตุได้เร็วกว่า การประเมินผลกระทบและการเข้ารหัสข้อมูลช่วยลดความรุนแรงของการละเมิด แนวปฏิบัติ กคช. แนะนำให้ผู้ควบคุมข้อมูลจัดทำบันทึกการละเมิดและแบบฟอร์มแจ้งเหตุไว้ล่วงหน้า
รักษาความน่าเชื่อถือและชื่อเสียง
ผลกระทบต่อชื่อเสียงมักมีค่ามากกว่าค่าปรับทางกฎหมาย ข่าวการละเมิดข้อมูลแพร่กระจายเร็วบนโซเชียลมีเดีย Pantip และเว็บบอร์ดไทย ลูกค้าสูญเสียความไว้วางใจและหันไปใช้บริการคู่แข่ง
การแจ้งเหตุภายใน 72 ชั่วโมงแสดงความรับผิดชอบและความโปร่งใส องค์กรที่จัดการวิกฤตได้ดีมักฟื้นตัวเร็วกว่า ในปี 2019 มหาวิทยาลัยแห่งหนึ่งในสหรัฐฯ (University of Oregon) ถูกปรับ 42,000 ดอลลาร์ (ประมาณ 1.4 ล้านบาท) จากการละเมิด FERPA (กฎหมายคุ้มครองข้อมูลนักศึกษา) เพราะไม่แจ้งเหตุทันท่วงที กรณีนี้กลายเป็นบทเรียนสำหรับสถาบันการศึกษาทั่วโลก
องค์กรที่ปฏิบัติตาม PDPA อย่างเคร่งครัดยังได้เปรียบในการแข่งขัน โดยเฉพาะธุรกิจที่ต้องรับรอง ISO 27001 หรือทำงานกับพาร์ทเนอร์ต่างประเทศที่เน้นเรื่อง Cyber Security และ GDPR compliance ระบบการจัดการเหตุการณ์ Personal Data Breach ที่มีประสิทธิภาพเป็นข้อได้เปรียบในการเจรจาสัญญา
การไม่แจ้งเหตุภายใน 72 ชั่วโมงไม่เพียงผิดกฎหมาย — ยังเป็นการปล่อยให้ผู้ได้รับผลกระทบเผชิญความเสี่ยงโดยไม่จำเป็น ผู้ประมวลผลข้อมูลและผู้ควบคุมข้อมูลส่วนบุคคลต้องเตรียมพร้อมด้วยมาตรการรักษาความมั่นคงปลอดภัยที่แข็งแกร่งและแผนรับมือเหตุฉุกเฉิน
กฎ 72 ชั่วโมง การแจ้งเหตุการละเมิดข้อมูล ทำงานอย่างไร
กลไกการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลตาม มาตรา 37 แห่ง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ออกแบบมาเพื่อให้ผู้ควบคุมข้อมูลส่วนบุคคลตอบสนองต่อเหตุการณ์การรั่วไหลของข้อมูลอย่างรวดเร็ว กระบวนการแบ่งออกเป็น 3 ขั้นตอนหลัก โดยนาฬิกา 72 ชั่วโมงเริ่มนับจากจุดที่องค์กรรับทราบเหตุการณ์ — ไม่ใช่เวลาที่เหตุการณ์เกิดขึ้นจริง
ขั้นตอนที่ 1: การตรวจพบและบันทึกเหตุการณ์
เมื่อระบบรักษาความปลอดภัยตรวจพบความผิดปกติ หรือพนักงานรายงานการสูญหายของอุปกรณ์ที่เก็บข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลต้องบันทึกการละเมิดทันที ตัวอย่าง: พนักงาน HR รายงานว่าโน้ตบุ๊กที่มีไฟล์เงินเดือนพนักงาน 500 คนหายจากรถในวันที่ 15 มกราคม เวลา 18:00 น. — หัวหน้าแผนกต้องบันทึกเวลานี้เป็นจุดเริ่มต้นของนาฬิกา 72 ชั่วโมง
💡 เหตุผล: นาฬิกาเริ่มนับจากเวลา 'รับทราบ' เพื่อป้องกันไม่ให้องค์กรใช้กลยุทธ์ปิดบังหรือเลื่อนการรายงานโดยอ้างว่า "ยังไม่แน่ใจว่าเกิดอะไรขึ้น" การบันทึกเวลาที่แม่นยำคือหลักฐานสำคัญต่อ สำนักงาน กคช. (สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล) ว่าองค์กรปฏิบัติตามกฎหมายอย่างโปร่งใส
ผู้ควบคุมข้อมูลต้องรวบรวมข้อมูลเบื้องต้น 5 ข้อ: (1) ประเภทข้อมูลที่ละเมิด เช่น ชื่อ-นามสกุล เลขบัตรประชาชน ประวัติสุขภาพ (2) จำนวนเจ้าของข้อมูลที่ได้รับผลกระทบโดยประมาณ (3) วิธีการที่เกิดการละเมิด เช่น hacker เข้าถึงระบบ อุปกรณ์สูญหาย อีเมลส่งผิดคน (4) เวลาที่เกิดเหตุและเวลาที่รับทราบ (5) มาตรการรักษาความมั่นคงปลอดภัยที่มีอยู่ก่อนเกิดเหตุ เช่น ข้อมูลเข้ารหัสหรือไม่
ขั้นตอนที่ 2: การประเมินระดับความเสี่ยงต่อเจ้าของข้อมูล
ภายใน 12-24 ชั่วโมงแรก ทีม DPO (Data Protection Officer) หรือเจ้าหน้าที่คุ้มครองข้อมูลต้องทำการประเมินผลกระทบ (Impact Assessment) เพื่อจัดระดับความเสี่ยงต่อสิทธิและเสรีภาพของเจ้าของข้อมูล กระบวนการนี้ใช้เกณฑ์ 4 ข้อ: (1) ประเภทข้อมูล — ข้อมูลส่วนบุคคลที่มีความอ่อนไหว (เช่น ศาสนา โรคประจำตัว) ถือเป็นความเสี่ยงสูงกว่าข้อมูลทั่วไป (เช่น ชื่อ-อีเมล) (2) จำนวนผู้ได้รับผลกระทบ — 10 คนถือว่าเสี่ยงต่ำ แต่ 10,000 คนถือว่าเสี่ยงสูง (3) ผลกระทบที่อาจเกิดขึ้น — เช่น การถูกฉ้อโกง การถูกเลือกปฏิบัติ ความเสียหายทางการเงิน (4) การเข้ารหัสข้อมูล — ถ้าข้อมูลเข้ารหัสด้วย AES-256 และคีย์ยังปลอดภัย แม้ไฟล์รั่วไหลก็ไม่สามารถอ่านได้
⚠️ เหตุผล: การประเมินความเสี่ยงกำหนดขอบเขตการแจ้งเหตุ — ถ้าความเสี่ยงต่ำ (เช่น ข้อมูลเข้ารหัสแล้ว) องค์กรอาจไม่ต้องแจ้งเจ้าของข้อมูลแต่ละคน แต่ถ้าความเสี่ยงสูง (เช่น เลขบัตรประชาชนรั่วไหลโดยไม่เข้ารหัส) ต้องแจ้งทั้ง PDPC และเจ้าของข้อมูลทุกคนโดยเร็วที่สุด การประเมินผิดพลาดอาจทำให้เจ้าของข้อมูลไม่ได้รับการปกป้อง หรือองค์กรถูกปรับเพิ่มเติมจากการปกปิดข้อมูล
ตัวอย่างการจัดระดับ: โรงพยาบาลเอกชนพบว่าระบบ CCTV ในห้องตรวจรั่วไหลคลิปวิดีโอผู้ป่วย 200 คน (ใบหน้าชัดเจน + ข้อมูลโรคบนจอคอมพิวเตอร์ในเฟรม) — นี่คือข้อมูลส่วนบุคคลที่มีความอ่อนไหวระดับสูงสุด ต้องแจ้ง PDPC ภายใน 72 ชั่วโมงและแจ้งผู้ป่วยทุกคนโดยไม่ชักช้า แต่ถ้าระบบ CCTV ใช้ blur.me Enterprise ที่เบลอใบหน้าและข้อมูลบนจอแบบอัตโนมัติก่อนบันทึก — แม้ไฟล์วิดีโอรั่วไหล ก็ไม่สามารถระบุตัวบุคคลได้ ความเสี่ยงลดลงเหลือระดับต่ำ
ขั้นตอนที่ 3: การยื่นแบบฟอร์มแจ้งเหตุต่อ PDPC
ภายในเวลา 72 ชั่วโมงนับจากเวลารับทราบ ผู้ควบคุมข้อมูลต้องส่งแบบฟอร์มแจ้งเหตุไปยัง สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ผ่านระบบออนไลน์ที่ https://www.pdpc.or.th แบบฟอร์มต้องระบุ 8 รายการบังคับ: (1) รายละเอียดผู้ควบคุมข้อมูล (ชื่อบริษัท ที่อยู่ เลขทะเบียนนิติบุคคล ชื่อ DPO) (2) ลักษณะการละเมิดข้อมูลส่วนบุคคล (3) ประเภทและจำนวนข้อมูลที่ละเมิด (4) จำนวนเจ้าของข้อมูลที่ได้รับผลกระทบ (5) ผลกระทบที่อาจเกิดขึ้นต่อเจ้าของข้อมูล (6) มาตรการรักษาความมั่นคงปลอดภัยที่มีอยู่ (7) มาตรการแก้ไขเยียวยาที่ดำเนินการแล้ว (8) รายชื่อผู้ประมวลผลข้อมูล (ถ้ามี)
💡 เหตุผล: ข้อมูลที่เข้ารหัสอาจได้รับการยกเว้นการแจ้งเจ้าของข้อมูลเพราะข้อมูลไม่สามารถอ่านได้ — แม้แฮกเกอร์ได้ไฟล์ไป ก็ไม่สามารถถอดรหัสเพื่อนำไปใช้ในทางที่ผิด กลไกนี้ป้องกันไม่ให้เจ้าของข้อมูลตื่นตระหนกโดยไม่จำเป็น ในขณะที่ PDPC ยังคงได้รับรายงานเพื่อติดตามความถี่ของเหตุการณ์และประเมินมาตรการรักษาความมั่นคงปลอดภัยขององค์กร
ตัวอย่างกรณีศึกษา: บริษัท Fintech แห่งหนึ่งในไทยพบว่าฐานข้อมูลลูกค้า 50,000 ราย (ชื่อ เลขบัตรประชาชน ยอดเงินในบัญชี) ถูกเข้าถึงโดย SQL Injection ในวันที่ 1 กุมภาพันธ์ เวลา 03:00 น. ทีม IT รายงานต่อผู้บริหารเวลา 09:00 น. วันเดียวกัน (นี่คือเวลา "รับทราบ") — นาฬิกา 72 ชั่วโมงสิ้นสุดวันที่ 4 กุมภาพันธ์ เวลา 09:00 น. บริษัทส่งแบบฟอร์มแจ้งเหตุเวลา 08:45 น. วันที่ 4 กุมภาพันธ์ (เหลือเวลา 15 นาที) และแจ้งลูกค้าทุกคนทางอีเมลในวันเดียวกัน พร้อมแนะนำให้เปลี่ยนรหัสผ่านและตรวจสอบบัญชีธนาคาร — บริษัทปฏิบัติตามกฎหมายครบถ้วน
การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลไม่ใช่แค่การกรอกแบบฟอร์ม — มันคือกระบวนการจัดการวิกฤตที่ต้องใช้ความเร็ว ความแม่นยำ และความโปร่งใส ระยะเวลาแจ้งเหตุ 72 ชั่วโมงอาจดูสั้น แต่องค์กรที่มีแผนรับมือการละเมิดข้อมูล (Incident Response Plan) พร้อมทีมงานที่ได้รับการฝึกอบรม สามารถดำเนินการได้ทันเวลาและลดค่าปรับ PDPA ที่อาจสูงถึง 5 ล้านบาท
Best Practices สำหรับ PDPA การละเมิดข้อมูล 72 ชั่วโมง
การจัดการเหตุการณ์ละเมิดข้อมูลส่วนบุคคลภายใน 72 ชั่วโมงต้องอาศัยการเตรียมความพร้อมและระบบที่ชัดเจน การปฏิบัติตามแนวทางเหล่านี้จะช่วยให้ผู้ควบคุมข้อมูลส่วนบุคคลสามารถปฏิบัติตามมาตรา 37 ของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้อย่างมีประสิทธิภาพ และลดความเสี่ยงต่อค่าปรับ PDPA ที่อาจสูงถึง 5 ล้านบาท
จัดทำแผนรับมือการละเมิดข้อมูลล่วงหน้า
องค์กรที่ไม่มีแผนรับมือเหตุการณ์ Data Breach ล่วงหน้าใช้เวลาเฉลี่ย 48-60 ชั่วโมงในการประเมินสถานการณ์และรวบรวมข้อมูล ทำให้เหลือเวลาแจ้ง สำนักงาน กคช เพียง 12-24 ชั่วโมง ซึ่งไม่เพียงพอต่อการจัดเตรียมเอกสารครบถ้วน แผนรับมือที่ดีต้องระบุทีมงานที่รับผิดชอบ (DPO, ทีมไอที, ฝ่ายกฎหมาย) ขั้นตอนการตรวจสอบ และแบบฟอร์มแจ้งเหตุที่กรอกข้อมูลพื้นฐานไว้แล้ว
วิธีตรวจสอบ: จัด tabletop exercise ทุก 6 เดือนโดยจำลองสถานการณ์การรั่วไหลของข้อมูล และวัดเวลาที่ใช้ตั้งแต่ตรวจพบจนถึงพร้อมส่งแบบฟอร์มแจ้งเหตุ — เป้าหมายไม่เกิน 36 ชั่วโมง
ติดตั้งระบบตรวจจับการละเมิดข้อมูลแบบอัตโนมัติ
การตรวจพบเหตุการณ์ Personal Data Breach ด้วยตนเองมักใช้เวลา 7-14 วัน ทำให้พลาดกำหนดระยะเวลาแจ้งเหตุ 72 ชั่วโมงไปนานก่อนที่จะรู้ตัว ระบบรักษาความปลอดภัยที่ดีควรมี Security Information and Event Management (SIEM) ที่ส่งการแจ้งเตือนทันทีเมื่อตรวจพบการเข้าถึงข้อมูลที่ผิดปกติ การเปลี่ยนแปลงสิทธิ์ผู้ใช้ หรือการถ่ายโอนข้อมูลจำนวนมาก เครื่องมือเช่น Splunk, IBM QRadar หรือ Azure Sentinel ช่วยลดเวลาตรวจพบจากหลายวันเหลือไม่ถึง 1 ชั่วโมง
วิธีตรวจสอบ: ตั้งค่า alert ทดสอบโดยจำลองการเข้าถึงข้อมูลที่ไม่ได้รับอนุญาต และวัดว่าระบบส่งการแจ้งเตือนภายในกี่นาที — เป้าหมายไม่เกิน 15 นาที
บันทึกการละเมิดทุกครั้งในระบบจัดการเหตุการณ์
แนวปฏิบัติ กคช ระบุว่าผู้ควบคุมข้อมูลต้องเก็บบันทึกการละเมิดทุกครั้ง แม้กรณีที่ไม่ต้องแจ้ง PDPC เพราะไม่มีความเสี่ยงต่อสิทธิและเสรีภาพของเจ้าของข้อมูล องค์กรที่ไม่มีระบบบันทึกเหตุการณ์เสี่ยงถูกตรวจสอบและปรับเพิ่มเติม เพราะไม่สามารถพิสูจน์ว่าได้ดำเนินการประเมินความเสี่ยงและแก้ไขเยียวยาอย่างเหมาะสม ใช้ระบบ ticketing เช่น Jira, ServiceNow หรือ Google Sheets ที่มี template พร้อมฟิลด์: วันเวลาที่ตรวจพบ, ประเภทข้อมูลที่ได้รับผลกระทบ, จำนวนเจ้าของข้อมูล, ผลการประเมินความเสี่ยง, มาตรการแก้ไข และสถานะการแจ้งเหตุ
วิธีตรวจสอบ: ทบทวนบันทึกการละเมิดทุก 3 เดือน และตรวจสอบว่าทุกเหตุการณ์มีการประเมินผลกระทบและมาตรการรักษาความมั่นคงปลอดภัยที่ดำเนินการครบถ้วน
เข้ารหัสข้อมูลส่วนบุคคลที่มีความอ่อนไหวทั้งหมด
ข้อมูลส่วนบุคคลที่มีความอ่อนไหวที่ไม่ได้เข้ารหัส (เช่น บัตรประชาชน, ประวัติสุขภาพ, ข้อมูลทางการเงิน) ถือว่ามีความเสี่ยงสูงทันทีเมื่อเกิดการรั่วไหล ต้องแจ้ง สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลและเจ้าของข้อมูลภายใน 72 ชั่วโมง แต่ถ้าข้อมูลถูกเข้ารหัสด้วย AES-256 และคีย์ยังปลอดภัย กคช อาจพิจารณาว่าไม่มีความเสี่ยงต่อสิทธิและเสรีภาพ ทำให้ไม่ต้องแจ้งเหตุ (ตามประกาศ กคช เรื่อง หลักเกณฑ์และวิธีการแจ้งเหตุการละเมิด) การเข้ารหัสข้อมูลยังช่วยลดค่าปรับและความเสียหายต่อชื่อเสียงได้อย่างมาก
วิธีตรวจสอบ: ทำการ penetration test ทุก 6-12 เดือน และตรวจสอบว่าข้อมูลที่ถูกดึงออกมาอยู่ในรูปแบบ encrypted — ไม่สามารถอ่านได้โดยไม่มีคีย์
กำหนดช่องทางการสื่อสารฉุกเฉินที่ชัดเจน
ในช่วง 72 ชั่วโมง ทีมงานต้องประสานงานกันตลอดเวลา รวมถึงนอกเวลาทำงานและวันหยุด องค์กรที่ใช้อีเมลหรือ LINE กลุ่มทั่วไปมักพลาดข้อความสำคัญ เพราะข้อความถูกฝังในการสนทนาอื่น ๆ ตั้งช่องทาง dedicated สำหรับเหตุการณ์ Data Breach เท่านั้น เช่น LINE OpenChat แยก, Microsoft Teams channel, หรือ Slack workspace พร้อม escalation path ที่ชัดเจน (ใครต้องติดต่อใครภายในกี่นาที) และเบอร์โทรฉุกเฉินของ DPO, ผู้บริหาร และที่ปรึกษากฎหมาย
วิธีตรวจสอบ: ทดสอบช่องทางสื่อสารนอกเวลาทำงาน (เช่น วันเสาร์ 22:00 น.) โดยส่งข้อความทดสอบและวัดเวลาตอบกลับของทีมงานหลัก — เป้าหมายไม่เกิน 30 นาที
อบรมพนักงานให้รู้จักสัญญาณการละเมิดข้อมูล
พนักงาน 68% ของการละเมิดข้อมูลเกิดจากความผิดพลาดของมนุษย์ (อ้างอิง IBM Cost of a Data Breach Report 2023) เช่น ส่งอีเมลผิดคน, เปิดไฟล์แนบ phishing, หรือใช้ USB ที่ติดมัลแวร์ พนักงานที่ไม่ได้รับการอบรมมักไม่รายงานเหตุการณ์ที่น่าสงสัย หรือรายงานช้าเกิน 24-48 ชั่วโมง จัดอบรม Cyber Security awareness ทุก 6 เดือน โดยสอนให้รู้จัก: อีเมล phishing, ransomware, การเข้าถึงข้อมูลที่ผิดปกติ, การสูญหายของอุปกรณ์ และขั้นตอนรายงานทันที (ภายใน 1 ชั่วโมงหลังตรวจพบ) ผ่านช่องทางฉุกเฉิน
วิธีตรวจสอบ: ส่งอีเมล phishing จำลองทุก 3 เดือน และวัดว่ามีพนักงานกี่เปอร์เซ็นต์ที่รายงานเหตุการณ์ภายใน 1 ชั่วโมง — เป้าหมายอย่างน้อย 80%
เครื่องมือที่ดีที่สุดสำหรับการจัดการการละเมิดข้อมูล PDPA
เมื่อเกิดเหตุการละเมิดข้อมูลส่วนบุคคล องค์กรต้องดำเนินการอย่างรวดเร็วภายใน 72 ชั่วโมง การมีเครื่องมือที่เหมาะสมช่วยให้คุณตรวจจับ ประเมิน และจัดการเหตุการณ์ได้ทันท่วงที โดยเฉพาะการปกป้องข้อมูลภาพและวิดีโอที่อาจรั่วไหลออกไป
สำหรับองค์กรที่ต้องจัดการกับข้อมูลภาพ CCTV หรือเอกสารที่มีข้อมูลส่วนบุคคลที่มีความอ่อนไหว เครื่องมือเบลอและทำให้ข้อมูลนิรนามแบบอัตโนมัติกลายเป็นส่วนสำคัญของมาตรการรักษาความมั่นคงปลอดภัย
| Feature | Blur.me | Redact | Brighter AI | Celantur | DaVinci Resolve | Facepixelizer |
|---|---|---|---|---|---|---|
| ราคา | ฟรี / $19/เดือน | $199/ปี | ติดต่อขอใบเสนอราคา | €500+/เดือน | ฟรี (Studio), $295 (Studio) | ฟรี |
| แพลตฟอร์ม | Web/Desktop/API | Desktop (Win/Mac) | API/On-premise | Cloud API | Desktop (Win/Mac/Linux) | Web |
| ความเร็ว | ~30 วินาที/วิดีโอ | 2-5 นาที/วิดีโอ | เรียลไทม์ | 1-3 นาที/วิดีโอ | 5-15 นาที (manual) | 10 วินาที/รูป |
| ตรวจจับอัตโนมัติ | ใช่ (AI ติดตามใบหน้า) | ใช่ (ใบหน้า/ป้ายทะเบียน) | ใช่ (98%+ accuracy) | ใช่ (ใบหน้า/ป้ายทะเบียน/คน) | ไม่ (manual tracking) | ใช่ (ใบหน้าเท่านั้น) |
| Batch Support | ใช่ (ไม่จำกัด) | ใช่ (50 ไฟล์/ครั้ง) | ใช่ (ไม่จำกัด) | ใช่ (API) | ไม่ | ไม่ |
| Export Formats | MP4, MOV, PNG, JPG | MP4, AVI, MOV | MP4, streaming | MP4, WebM | MP4, MOV, ProRes | JPG, PNG |
| ความยากง่าย | Beginner | Intermediate | Advanced (ต้อง API) | Advanced | Advanced | Beginner |
| เหมาะสำหรับ | SME ที่ต้องการความเร็ว | ทีมกฎหมาย/HR | Enterprise ขนาดใหญ่ | Google Street View style | โปรดักชันวิดีโอ | รูปภาพเดียวเร็ว ๆ |
เครื่องมือไหนเหมาะกับองค์กรคุณ
สำหรับ SME และสตาร์ทอัพ ที่ต้องการตอบสนองภายใน 72 ชั่วโมง Blur.me เป็นตัวเลือกที่รวดเร็วที่สุด ใช้งานง่าย ไม่ต้องติดตั้งซอฟต์แวร์ AI ตรวจจับใบหน้าอัตโนมัติและติดตามตลอดวิดีโอ เหมาะสำหรับการเบลอ CCTV วิดีโอประชุม หรือเอกสาร scan ที่รั่วไหล ประมวลผลเสร็จภายใน 30 วินาที ราคาเริ่มต้นฟรี
หากองค์กรมีทีม DPO เฉพาะและต้องการ ควบคุมทุกขั้นตอนเอง Redact เป็นซอฟต์แวร์ desktop ที่ให้คุณ review ทุก frame ก่อน export เหมาะสำหรับทีมกฎหมายที่ต้องการความแม่นยำสูงสุด แต่ใช้เวลานานกว่า (2-5 นาที/วิดีโอ)
Enterprise ขนาดใหญ่ ที่มีข้อมูล CCTV หลายพันชั่วโมงหรือระบบ real-time ควรพิจารณา Brighter AI หรือ Celantur ทั้งสองรองรับ API integration กับระบบรักษาความปลอดภัยที่มีอยู่ ความแม่นยำสูงกว่า 98% แต่ราคาเริ่มต้นหลักหมื่นบาทต่อเดือน
สำหรับ รูปภาพเดี่ยว (เช่น screenshot ที่รั่วไหลบน LINE หรือ social media) Facepixelizer ใช้งานฟรีผ่าน web ประมวลผลเสร็จภายใน 10 วินาที แต่ไม่รองรับวิดีโอหรือ batch
Blur.me โดดเด่นกว่า Redact ตรงที่ AI ทำงานอัตโนมัติ 100% ไม่ต้อง manual tracking ประหยัดเวลา 80%+ ในขณะที่ Redact ยังต้องให้ user คลิกเลือกใบหน้าในทุก scene ที่ใบหน้าเคลื่อนที่ สำหรับทีมที่มีเวลาจำกัดภายใน 72 ชั่วโมง ความเร็วของ Blur.me ช่วยให้คุณมีเวลาเหลือสำหรับการเตรียมเอกสารแจ้ง PDPC
เครื่องมือจัดการข้อมูลโครงสร้าง (Structured Data)
นอกจากข้อมูลภาพ การละเมิดข้อมูลส่วนบุคคลมักเกิดจากฐานข้อมูล CSV หรือระบบ CRM รั่วไหล สำหรับข้อมูลประเภทนี้ เครื่องมือที่แนะนำคือ ARX Data Anonymization (ฟรี, open-source) และ Google Cloud DLP API (ตรวจจับข้อมูลส่วนบุคคลอัตโนมัติ เช่น เลขบัตรประชาชน 13 หลัก อีเมล เบอร์โทร) เหมาะสำหรับการ anonymize ข้อมูลก่อนส่งต่อให้หน่วยงานสอบสวน
สำหรับองค์กรที่ต้องการ ระบบตรวจจับการรั่วไหลแบบ real-time Microsoft Purview และ Varonis รองรับการแจ้งเตือนทันทีเมื่อมีการเข้าถึงข้อมูลผิดปกติ ช่วยให้คุณเริ่มนับ 72 ชั่วโมงได้ทันทีที่เหตุการณ์เกิด ราคาเริ่มต้นหลักหมื่นบาทต่อปี เหมาะสำหรับธนาคาร โรงพยาบาล และหน่วยงานราชการ
FAQ: คำถามที่พบบ่อยเกี่ยวกับ PDPA การละเมิดข้อมูล 72 ชั่วโมง
การละเมิดข้อมูลส่วนบุคคลตาม PDPA คืออะไร?
การละเมิดข้อมูลส่วนบุคคลหมายถึงเหตุการณ์ที่ข้อมูลรั่วไหล สูญหาย ถูกเข้าถึงโดยไม่ได้รับอนุญาต หรือถูกทำลายโดยไม่ตั้งใจ ตามมาตรา 37 PDPA ครอบคลุมทั้งการโจมตีทางไซเบอร์ การเข้าถึงโดยบุคคลภายนอก และความผิดพลาดของพนักงาน ตัวอย่างเช่น ฐานข้อมูลลูกค้าถูกแฮก อีเมลส่งผิดคน หรือแฟลชไดรฟ์หาย ความเสี่ยงจะสูงขึ้นถ้าเกี่ยวข้องกับข้อมูลส่วนบุคคลที่มีความอ่อนไหว เช่น บัตรประชาชน ข้อมูลสุขภาพ หรือข้อมูลทางการเงิน
ต้องแจ้ง PDPC ภายในกี่ชั่วโมงเมื่อเกิดการละเมิดข้อมูล?
ผู้ควบคุมข้อมูลต้องแจ้งเหตุการละเมิดข้อมูลให้สำนักงาน กคช. (PDPC) ทราบภายใน 72 ชั่วโมงนับจากเวลาที่รับรู้เหตุการณ์ ไม่ใช่เวลาที่เกิดเหตุจริง การนับเวลาเริ่มตั้งแต่วินาทีแรกที่คุณทราบว่ามีการละเมิดเกิดขึ้น เช่น ถ้ารู้เหตุวันจันทร์ 09:00 น. ต้องแจ้งภายในวันพฤหัสบดี 09:00 น. ถ้าแจ้งช้ากว่านี้ต้องระบุเหตุผลในแบบฟอร์มแจ้งเหตุ พร้อมแนบหลักฐานประกอบ
ถ้าไม่แจ้งการละเมิดข้อมูลภายใน 72 ชั่วโมงจะมีโทษอย่างไร?
การไม่แจ้งเหตุการละเมิดข้อมูลหรือแจ้งล่าช้าโดยไม่มีเหตุอันสมควรอาจมีค่าปรับสูงสุด 5 ล้านบาท ตามมาตรา 79-83 PDPA นอกจากนี้ยังเสี่ยงต่อการถูกฟ้องเรียกค่าเสียหายแพ่งจากเจ้าของข้อมูลที่ได้รับผลกระทบ องค์กรอาจสูญเสียความน่าเชื่อถือและถูกสั่งให้ปรับปรุงมาตรการรักษาความมั่นคงปลอดภัย ในกรณีร้ายแรงผู้บริหารอาจถูกดำเนินคดีอาญา ค่าปรับจริงขึ้นอยู่กับความร้ายแรงและจำนวนข้อมูลที่รั่วไหล
แจ้งการละเมิดข้อมูล PDPA ที่ไหนและต้องเตรียมเอกสารอะไรบ้าง?
แจ้งผ่านแบบฟอร์มแจ้งเหตุออนไลน์บนเว็บไซต์สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (www.pdpc.or.th) เอกสารที่ต้องเตรียมประกอบด้วย: รายละเอียดเหตุการณ์ (วันเวลาที่รับรู้ ประเภทข้อมูลที่รั่วไหล จำนวนเจ้าของข้อมูลที่ได้รับผลกระทบ) สาเหตุและช่องทางการละเมิด มาตรการแก้ไขเยียวยาที่ดำเนินการแล้ว และแผนป้องกันในอนาคต ถ้ามี DPO ให้ระบุข้อมูลติดต่อด้วย การแจ้งที่สมบูรณ์จะช่วยลดความเสี่ยงในการถูกปรับ
กรณีใดบ้างที่ไม่ต้องแจ้ง PDPC เมื่อเกิดการละเมิดข้อมูล?
ไม่ต้องแจ้ง PDPC ถ้าการละเมิดไม่ก่อให้เกิดความเสี่ยงต่อสิทธิและเสรีภาพของเจ้าของข้อมูล เช่น ข้อมูลถูกเข้ารหัสแบบ AES-256 และผู้ไม่ประสงค์ดีไม่สามารถถอดรหัสได้ หรือข้อมูลที่รั่วไหลเป็นข้อมูลสาธารณะอยู่แล้ว อย่างไรก็ตาม ผู้ควบคุมข้อมูลต้องเก็บบันทึกการละเมิดทุกครั้งไว้อย่างน้อย 3 ปี เพื่อแสดงให้ กคช. ตรวจสอบได้ว่ามีการประเมินความเสี่ยงอย่างถูกต้อง การตัดสินใจนี้ควรปรึกษา DPO หรือที่ปรึกษากฎหมาย
การแจ้งการละเมิดข้อมูลภายใน 72 ชั่วโมงคือหน้าที่ตามกฎหมาย แต่การป้องกันไม่ให้เกิดการละเมิดตั้งแต่แรกสำคัญกว่า หนึ่งในจุดเสี่ยงที่มักถูกมองข้ามคือภาพถ่ายและวิดีโอที่มีใบหน้าลูกค้าหรือพนักงาน ถ้าองค์กรของคุณจัดเก็บไฟล์ภาพจำนวนมาก ลองอ่านวิธีเบลอใบหน้าในรูปภาพอัตโนมัติเพื่อลดความเสี่ยงก่อนที่จะต้องใช้แผนรับมือ breach
ปกปิดใบหน้าใน 30 วินาที
ลดความเสี่ยง PDPA breach ด้วยการเบลอใบหน้าอัตโนมัติ ไม่ต้องแก้ทีละรูป
ลองใช้ฟรี