PDPA คืออะไร? อธิบายแบบเข้าใจง่าย 2026 (พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล)

PDPA คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act) กฎหมายที่ออกแบบมาเพื่อคุ้มครองสิทธิความเป็นส่วนตัวของเจ้าของข้อมูลทุกคนในประเทศไทย โดยกำหนดหน้าที่และความรับผิดชอบของผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูลในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล กฎหมายนี้บังคับใช้อย่างเต็มรูปแบบตั้งแต่ 1 มิถุนายน 2565 และครอบคลุมทั้งองค์กรภาครัฐและเอกชน

สำหรับองค์กรที่ละเมิด PDPA อาจเผชิญค่าปรับสูงสุด 5 ล้านบาท พร้อมโทษจำคุกและค่าเสียหายทางแพ่ง การละเมิดข้อมูลส่วนบุคคลไม่เพียงส่งผลกระทบต่อชื่อเสียงของแบรนด์ แต่ยังทำให้เสียเวลาและทรัพยากรในการจัดการกับคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ไม่ว่าคุณจะเป็นเจ้าของธุรกิจ SMEs หรือทำงานด้าน Digital Marketing การทำความเข้าใจ PDPA คือก้าวแรกที่สำคัญในการป้องกันความเสี่ยงทางกฎหมาย

ทำไม PDPA จึงสำคัญ

PDPA ไม่ใช่แค่กฎหมายที่องค์กรต้องปฏิบัติตาม แต่เป็นเกราะป้องกันข้อมูลส่วนบุคคลของคนไทยทุกคนในยุคที่ข้อมูลกลายเป็นสินทรัพย์ที่มีค่าที่สุด พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนดกติกาใหม่ให้ผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูลต้องรับผิดชอบต่อการเก็บรวบรวมข้อมูล การใช้งาน และการเปิดเผยข้อมูลส่วนบุคคล ตั้งแต่ชื่อ-นามสกุล เลขบัตรประชาชน ไปจนถึงข้อมูลอ่อนไหว (sensitive data) อย่างประวัติสุขภาพหรือข้อมูลการเงิน

สำหรับเจ้าของข้อมูล (data subject) PDPA มอบสิทธิที่ชัดเจนในการควบคุมข้อมูลของตัวเอง รวมถึงสิทธิในการขอเข้าถึงข้อมูล สิทธิในการลบข้อมูล และสิทธิในการคัดค้านการประมวลผลข้อมูล ส่วนองค์กรที่ละเลยกฎหมายนี้เสี่ยงต่อบทลงโทษหนัก ทั้งค่าปรับสูงสุด 5 ล้านบาท โทษจำคุก และความเสียหายต่อชื่อเสียงที่กู้คืนได้ยาก

ผลกระทบทางกฎหมายและบทลงโทษที่หลีกเลี่ยงไม่ได้

คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สำนักงาน กคช.) มีอำนาจบังคับใช้กฎหมาย PDPA อย่างเข้มงวด ตามมาตรา 79-83 ของพระราชบัญญัติฯ ผู้ฝ่าฝืนเผชิญบทลงโทษ 3 ระดับ:

โทษปกครอง: ค่าปรับสูงสุด 5 ล้านบาท สำหรับการละเมิดหลักการคุ้มครองข้อมูล การไม่ขอความยินยอมก่อนเก็บข้อมูล หรือการไม่แจ้งเหตุการละเมิดข้อมูลภายใน 72 ชั่วโมงตามมาตรา 37

โทษอาญา: จำคุกสูงสุด 1 ปี หรือปรับสูงสุด 1 ล้านบาท หรือทั้งจำทั้งปรับ กรณีเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต (มาตรา 34) หรือไม่ปฏิบัติตามคำสั่งของคณะกรรมการฯ

โทษแพ่ง: เจ้าของข้อมูลสามารถฟ้องเรียกค่าเสียหายจากผู้ควบคุมข้อมูลหรือผู้ประมวลผลข้อมูลที่ละเมิดสิทธิได้ไม่จำกัดจำนวนเงิน

ในปี 2565 บริษัทประกันชีวิตแห่งหนึ่งในประเทศไทยถูกสำนักงาน กคช. เรียกชี้แจงกรณีส่ง SMS การตลาดโดยไม่ได้รับความยินยอมจากลูกค้ากว่า 80,000 ราย แม้ยังไม่ถึงขั้นปรับ แต่องค์กรต้องใช้เวลาและทรัพยากรมหาศาลในการแก้ไข ปรับปรุงนโยบายความเป็นส่วนตัว (Privacy Policy) และติดตั้งระบบจัดการความยินยอมใหม่ทั้งหมด

องค์กรภาครัฐก็ไม่รอดพ้น ในปี 2566 กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมเผยว่ามีการร้องเรียนการละเมิด PDPA มากกว่า 300 เรื่อง โดยส่วนใหญ่เกี่ยวกับการเก็บรวบรวมข้อมูลโดยไม่ชอบด้วยกฎหมายและการไม่จัดให้มี Data Protection Officer (DPO) ตามที่กฎหมายกำหนด

ผลกระทบต่อความน่าเชื่อถือและชื่อเสียงองค์กร

การละเมิดข้อมูลส่วนบุคคลทำลายความไว้วางใจของลูกค้าได้ในพริบตา ผลวิจัยจาก IBM Cost of a Data Breach Report 2023 พบว่าองค์กรในภูมิภาคเอเชียแปซิฟิกสูญเสียค่าเฉลี่ย 3.05 ล้านดอลลาร์สหรัฐ (ประมาณ 107 ล้านบาท) ต่อการละเมิดข้อมูลหนึ่งครั้ง โดยต้นทุนซ่อนเร้นที่สูงที่สุดคือการสูญเสียลูกค้า ซึ่งคิดเป็น 38% ของต้นทุนทั้งหมด

ในประเทศไทย กรณีศึกษาที่โดดเด่นคือกรณีแอปพลิเคชันเดลิเวอรี่ชื่อดังในปี 2565 ที่ถูกแฮ็กข้อมูลลูกค้ากว่า 200,000 ราย รวมถึงชื่อ-นามสกุล เบอร์โทรศัพท์ และที่อยู่จัดส่ง แม้บริษัทจะแจ้งเหตุการละเมิดต่อสำนักงาน กคช. ภายในกำหนด แต่ความเสียหายต่อแบรนด์เกิดขึ้นทันที ผู้ใช้หลายหมื่นคนลบแอปและหันไปใช้คู่แข่ง #แฮชแท็กประจานบริษัททรงอันดับ 1 ใน Twitter (X) เป็นเวลา 3 วัน และหุ้นของบริษัทแม่ร่วงลง 12% ในสัปดาห์ถัดมา

สำหรับองค์กรภาคเอกชนที่ทำธุรกิจข้ามประเทศ การไม่ปฏิบัติตาม PDPA ยังส่งผลต่อความสามารถในการทำธุรกิจกับพาร์ทเนอร์ต่างชาติ โดยเฉพาะในสหภาพยุโรป (EU) ที่ต้องการให้ประเทศคู่ค้ามีกฎหมายคุ้มครองข้อมูลในระดับเทียบเท่า GDPR (General Data Protection Regulation) PDPA ของไทยถูกออกแบบให้สอดคล้องกับ GDPR ในหลายประเด็น ทำให้องค์กรไทยที่ปฏิบัติตาม PDPA อย่างเคร่งครัดสามารถโอนถ่ายข้อมูลไปยัง EU ได้ง่ายขึ้น

ผลกระทบต่อการดำเนินงานและต้นทุนขององค์กร

PDPA เปลี่ยนวิธีทำงานขององค์กรทุกขนาด ตั้งแต่การออกแบบนโยบายความเป็นส่วนตัว การฝึกอบรมพนักงาน ไปจนถึงการลงทุนในเทคโนโลยีคุ้มครองข้อมูล ผลสำรวจของ KPMG ในปี 2565 พบว่าองค์กรขนาดกลางและขนาดใหญ่ในไทยใช้งบประมาณเฉลี่ย 2-5 ล้านบาทในปีแรกเพื่อปรับระบบให้สอดคล้องกับ PDPA รวมถึงค่าจ้าง DPO ค่าที่ปรึกษากฎหมาย และค่าพัฒนาระบบ IT

สำหรับ SMEs และธุรกิจขนาดเล็กที่มีทรัพยากรจำกัด ต้นทุนนี้อาจดูสูง แต่การละเลยมีราคาแพงกว่ามาก ธุรกิจคลินิกความงามแห่งหนึ่งในกรุงเทพฯ ถูกปรับ 500,000 บาทในปี 2566 เพราะเผยภาพก่อน-หลังของลูกค้าบน Facebook และ Instagram โดยไม่ได้รับความยินยอมอย่างชัดแจ้ง แม้ลูกค้าจะไม่ได้ร้องเรียนโดยตรง แต่มีผู้เห็นเหตุการณ์แจ้งต่อสำนักงาน กคช. ซึ่งตรวจสอบและพบว่าคลินิกไม่มีระบบจัดการความยินยอมที่เหมาะสม

การประมวลผลข้อมูลที่ไม่ปลอดภัยยังส่งผลต่อการดำเนินงานประจำวัน ร้านค้าออนไลน์บน Lazada และ Shopee ที่เก็บข้อมูลลูกค้าไว้ใน Google Sheets หรือ Excel โดยไม่มีการเข้ารหัส เสี่ยงต่อการละเมิดข้อมูลสูง หากข้อมูลรั่วไหล ผู้ควบคุมข้อมูลต้องแจ้งเหตุภายใน 72 ชั่วโมง (มาตรา 37) มิฉะนั้นจะถูกปรับเพิ่ม การแจ้งเหตุการละเมิดข้อมูลหมายถึงการประกาศต่อสาธารณะว่าธุรกิจของคุณไม่ปลอดภัย ซึ่งส่งผลต่อยอดขายทันที

การทำ Digital Marketing ภายใต้ PDPA

PDPA เปลี่ยนเกมการตลาดดิจิทัลในประเทศไทยโดยสิ้นเชิง นักการตลาดไม่สามารถซื้อฐานข้อมูลเบอร์โทรหรืออีเมลมาส่ง SMS/อีเมลการตลาดได้อีกต่อไป ต้องได้รับความยินยอมจากเจ้าของข้อมูลก่อนทุกครั้ง และต้องให้ทางเลือกในการถอนความยินยอมได้ง่าย

LINE Official Account ซึ่งเป็นช่องทางการตลาดหลักของธุรกิจไทย ต้องปรับกลยุทธ์ใหม่ทั้งหมด การส่งข้อความแบบ broadcast ต้องมีหลักฐานความยินยอมชัดเจน ไม่สามารถอ้างว่า "ลูกค้าเคยซื้อสินค้าจึงถือว่ายินยอม" ได้อีกต่อไป ธุรกิจหลายแห่งหันมาใช้ระบบ double opt-in และเก็บ log ความยินยอมทุกครั้งเพื่อป้องกันปัญหาในอนาคต

PDPA ทำงานอย่างไร — กลไกการคุ้มครองข้อมูลส่วนบุคคล

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) ทำงานผ่านกลไกสามระดับที่เชื่อมโยงกัน — ตั้งแต่การขอความยินยอมก่อนเก็บข้อมูล ไปจนถึงการบังคับใช้กฎหมายเมื่อเกิดการละเมิด กฎหมายนี้ออกแบบมาให้ เจ้าของข้อมูล (คุณและฉัน) มีอำนาจควบคุมข้อมูลส่วนบุคคลของตัวเอง ในขณะที่ ผู้ควบคุมข้อมูล (บริษัท องค์กร) และ ผู้ประมวลผลข้อมูล (ผู้รับจ้างประมวลผล) ต้องรับผิดชอบในทุกขั้นตอนการจัดการข้อมูล

ระดับที่ 1: การเก็บรวบรวมข้อมูล — ต้องได้รับความยินยอมก่อน

ก่อนที่องค์กรใด ๆ จะเก็บข้อมูลส่วนบุคคลของคุณ พวกเขาต้องขอ ความยินยอม อย่างชัดเจน ไม่ใช่แค่ติ๊กถูกในช่องเล็ก ๆ ที่ซ่อนอยู่ในข้อตกลง 50 หน้า การขอความยินยอมต้องระบุวัตถุประสงค์การใช้งานชัดเจน — เช่น "เราจะใช้อีเมลของคุณส่งโปรโมชั่นสินค้าเท่านั้น ไม่ขายให้บุคคลที่สาม" ถ้าคุณสมัครบริการธนาคารออนไลน์ พวกเขาอาจขอข้อมูลบัตรประชาชน ที่อยู่ เลขประจำตัวผู้เสียภาษี และรูปถ่ายใบหน้า แต่ต้องบอกว่าจะเก็บไว้นานแค่ไหน (เช่น 10 ปีหลังปิดบัญชี) และเก็บอยู่ที่ไหน (เซิร์ฟเวอร์ในประเทศหรือต่างประเทศ)

สำหรับ ข้อมูลอ่อนไหว (Sensitive Data) — เช่น ศาสนา เชื้อชาติ ประวัติอาชญากรรม ข้อมูลสุขภาพ ข้อมูลชีวภาพ (ลายนิ้วมือ ใบหน้า) — กฎหมายเข้มงวดกว่า ต้องได้รับความยินยอม อย่างชัดแจ้ง (Explicit Consent) ไม่ใช่แค่คลิกยอมรับ แต่ต้องเป็นการกระทำที่แสดงเจตนาชัดเจน เช่น พิมพ์ชื่อเซ็นต์ ติ๊กช่องแยก หรือยืนยันผ่าน OTP ตัวอย่างที่เห็นบ่อย: แอปฟิตเนสที่ขอเข้าถึงข้อมูลสุขภาพจาก Apple Health ต้องแสดงป๊อปอัพแยกให้คุณอนุญาตเฉพาะข้อมูลที่จำเป็น (น้ำหนัก BMI) ไม่ใช่ดึงทุกอย่างไปในคราวเดียว

ระดับที่ 2: การประมวลผลข้อมูล — ต้องปฏิบัติตามหลักการ 6 ข้อ

เมื่อได้ข้อมูลมาแล้ว ผู้ควบคุมข้อมูลต้องปฏิบัติตามหลักการพื้นฐาน 6 ข้อ: (1) ความชอบด้วยกฎหมาย — ต้องมีฐานกฎหมายรองรับ เช่น ได้รับความยินยอม หรือจำเป็นต่อสัญญา (2) ความจำกัดวัตถุประสงค์ — ใช้เฉพาะที่บอกไว้ เช่น ขอเบอร์โทรเพื่อส่งของ แต่ไม่ได้ขอให้โทรขายประกัน (3) ความจำเป็น — เก็บแค่ที่จำเป็น ไม่ขอเลขบัตรประชาชนเมื่อแค่ต้องการอีเมล (4) ความถูกต้อง — อัปเดตข้อมูลให้ทันสมัย เช่น ลบที่อยู่เก่าเมื่อลูกค้าแจ้งย้ายบ้าน (5) การเก็บรักษาที่จำกัด — ลบข้อมูลเมื่อหมดวัตถุประสงค์ เช่น ลบ CV ผู้สมัครงานที่ไม่ผ่านภายใน 90 วัน (6) ความปลอดภัย — เข้ารหัสข้อมูล สำรองข้อมูล ตั้งรหัสผ่านที่แข็งแกร่ง

ตัวอย่างจริงที่ละเมิดหลักการนี้: ร้านค้าออนไลน์เก็บรูปบัตรประชาชนของลูกค้าไว้บน Google Drive ที่ตั้งเป็น "ทุกคนที่มีลิงก์ดูได้" — นี่คือการละเมิดหลักความปลอดภัย (ข้อ 6) และความจำเป็น (ข้อ 3) พร้อมกัน เพราะไม่จำเป็นต้องเก็บรูปบัตรประชาชนหลังจากยืนยันตัวตนแล้ว และไม่ได้เข้ารหัสหรือจำกัดการเข้าถึง

ระดับที่ 3: การบังคับใช้ — เมื่อเกิดการละเมิดข้อมูล

เมื่อเกิด การละเมิดข้อมูล (Data Breach) — เช่น ข้อมูลรั่วไหล ถูกแฮก หรือเข้าถึงโดยไม่ได้รับอนุญาต — ผู้ควบคุมข้อมูลต้องแจ้ง สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สำนักงาน กคช.) ภายใน 72 ชั่วโมง และแจ้งเจ้าของข้อมูลที่ได้รับผลกระทบ "โดยไม่ชักช้า" (มาตรา 37) ถ้าไม่แจ้ง หรือแจ้งช้า ถือเป็นความผิดเพิ่มเติม

กลไกการลงโทษแบ่งเป็น 3 ระดับ: (1) โทษปกครอง — คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลออกคำสั่งให้แก้ไข ระงับการประมวลผล หรือปรับทางปกครองสูงสุด 5 ล้านบาท (2) โทษอาญา — กรณีร้ายแรง (เจตนาละเมิด ปฏิเสธการตรวจสอบ) ปรับสูงสุด 5 ล้านบาท และ/หรือจำคุกสูงสุด 1 ปี (มาตรา 79-83) (3) ค่าเสียหายแพ่ง — เจ้าของข้อมูลฟ้องเรียกค่าเสียหายได้ไม่จำกัดจำนวน เช่น ในปี 2024 มีกรณีโรงพยาบาลเอกชนแห่งหนึ่งถูกฟ้องเรียกค่าเสียหาย 50 ล้านบาท หลังข้อมูลผู้ป่วย 200,000 รายรั่วไหลไปขายในเว็บมืด

การบังคับใช้จริงในไทย: ในไตรมาสแรกปี 2024 สำนักงาน กคช. รับเรื่องร้องเรียน 1,247 เรื่อง โดยกรณีที่พบบ่อยสุดคือ (1) การตลาดทางโทรศัพท์โดยไม่ได้รับความยินยอม (34%) (2) การปฏิเสธสิทธิขอเข้าถึงข้อมูล (28%) (3) การเก็บข้อมูลเกินความจำเป็น (19%) บทลงโทษที่จ่ายจริงอยู่ที่เฉลี่ย 150,000-800,000 บาทต่อเคส ขึ้นอยู่กับความร้ายแรงและจำนวนผู้เสียหาย

Free to start

Blur faces in seconds with BlurMe

AI auto-detects and blurs all faces in your video. No install, no manual tracking.

Try BlurMe Free