เผยแพร่เมื่อ: 2025-11-10
cta
ปรึกษาทนาย 24 ชั่วโมง
“ ได้รับคำตอบทันที ! “

สรุปง่ายๆ กฎหมาย PDPA คืออะไรและใช้ในกรณีไหนบ้าง 

PDPA คืออะไร และทำไมต้องใส่ใจ 

ในยุคที่ข้อมูลถูกเปรียบเปรยว่าเป็นน้ำมันแห่งศตวรรษที่ 21 การจัดการข้อมูลส่วนบุคคลได้กลายเป็นประเด็นสำคัญระดับโลก ประเทศไทยได้ตอบสนองต่อความเปลี่ยนแปลงนี้ด้วยการประกาศใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือที่เรียกกันว่า PDPA ซึ่งเป็นกฎหมายที่ส่งผลกระทบโดยตรงต่อทั้งภาคธุรกิจและชีวิตประจำวันของประชาชนทุกคน 

กฎหมาย PDPA กำหนดมาตรฐานในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในประเทศไทย โดยมีวัตถุประสงค์หลักเพื่อปกป้องสิทธิความเป็นส่วนตัวของเจ้าของข้อมูลและสร้างความรับผิดชอบให้กับผู้ที่นำข้อมูลไปใช้ กฎหมายฉบับนี้ได้รับแรงบันดาลใจและมีหลักการหลายประการที่สอดคล้องกับมาตรฐานสากล 

โดยเฉพาะ GDPR ของสหภาพยุโรป การเกิดขึ้นของ PDPA เป็นผลมาจากการที่ในอดีต ภาคธุรกิจและองค์กรสามารถเข้าถึงและใช้ประโยชน์จากข้อมูลส่วนบุคคลได้อย่างเสรี ซึ่งนำไปสู่ปัญหาการละเมิดสิทธิความเป็นส่วนตัวที่เพิ่มสูงขึ้น 

ตัวอย่างเช่น การซื้อขายเบอร์โทรศัพท์เพื่อวัตถุประสงค์ทางการตลาด การโทรศัพท์ขายประกันหรือสินเชื่อโดยที่เจ้าของเบอร์ไม่เคยให้ความยินยอม หรือการรั่วไหลของข้อมูลที่นำไปสู่การฉ้อโกง กฎหมาย PDPA จึงถูกออกแบบมาเพื่อยุติการกระทำดังกล่าว โดยบังคับให้องค์กรต้องมีฐานทางกฎหมายก่อนที่จะดำเนินการใดๆ กับข้อมูลส่วนบุคคล กฎหมายมีผลบังคับใช้เมื่อไหร่ แม้ว่ากฎหมายจะได้รับการประกาศในราชกิจจานุเบกษาตั้งแต่ปี 2562 แต่เพื่อให้ภาคธุรกิจมีเวลาเตรียมความพร้อม การบังคับใช้ในส่วนสาระสำคัญจึงได้มีการเลื่อนออกไปหลายครั้ง 

กฎหมาย PDPA ได้มีผลบังคับใช้อย่างเต็มรูปแบบในวันที่ 1 มิถุนายน พ.ศ. 2565 แล้ว ซึ่งหมายความว่าองค์กรต่างๆ ไม่มีข้ออ้างในการผัดผ่อนการปฏิบัติตามอีกต่อไป และคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลก็มีอำนาจเต็มในการกำกับดูแลและบังคับใช้บทลงโทษตามกฎหมาย ใครต้องปฏิบัติตาม

กฎหมาย PDPA มีขอบเขตการบังคับใช้ที่กว้างขวางมาก โดยบังคับใช้กับทุกคนทั้งบุคคลธรรมดาและนิติบุคคลที่มีการดำเนินการใดๆ เกี่ยวกับข้อมูลส่วนบุคคล ไม่ว่าองค์กรนั้นจะตั้งอยู่ในประเทศไทยหรือต่างประเทศก็ตาม 

หากมีการประมวลผลข้อมูลของเจ้าของข้อมูลที่อยู่ในประเทศไทย และมีการเสนอขายสินค้าหรือบริการ หรือมีการเฝ้าติดตามพฤติกรรมของเจ้าของข้อมูลเหล่านั้น องค์กรแทบทุกประเภทในปัจจุบันต้องปฏิบัติตาม PDPA ตัวอย่างเช่น ธุรกิจอีคอมเมิร์ซและร้านค้าออนไลน์ที่เก็บชื่อ ที่อยู่ เบอร์โทรศัพท์สำหรับจัดส่งสินค้า ฝ่ายทรัพยากรบุคคลที่เก็บข้อมูลพนักงานและผู้สมัครงาน ฝ่ายการตลาดที่เก็บข้อมูลลูกค้าเพื่อส่งโปรโมชั่น และแม้แต่ธุรกิจขนาดเล็กที่มีระบบสมาชิกหรือติดตั้งกล้องวงจรปิด 

กฎหมายได้จำแนกผู้ที่เกี่ยวข้องหลักๆ ออกเป็นสองฝ่ายสำคัญ  

1. ผู้ควบคุมข้อมูลส่วนบุคคล หรือ Data Controller 

ซึ่งคือบุคคลหรือนิติบุคคลที่มีอำนาจตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล พูดง่ายๆ คือผู้ที่นำข้อมูลไปใช้ประโยชน์หลัก เช่น บริษัท ร้านค้า โรงพยาบาล โรงเรียน 

2. ผู้ประมวลผลข้อมูลส่วนบุคคล หรือ Data Processor 

ซึ่งคือบุคคลหรือนิติบุคคลที่ดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของ Data Controller เช่น บริษัทรับทำบัญชี ผู้ให้บริการคลาวด์ เอเจนซี่การตลาด บริษัทรับจ้างทำลายเอกสาร 

ความเสี่ยงที่สำคัญคือ องค์กรจำนวนมากโดยเฉพาะธุรกิจขนาดเล็กและร้านค้าอีคอมเมิร์ซ ไม่ตระหนักว่าตนเองมีสถานะทางกฎหมายเป็น Data Controller และกำลังดำเนินการหลายอย่างที่ขัดต่อกฎหมาย PDPA โดยไม่รู้ตัว ซึ่งนำไปสู่ความเสี่ยงในการถูกฟ้องร้องและถูกปรับมหาศาล 

การจำแนกประเภทข้อมูล: หัวใจสำคัญของ PDPA 

การปฏิบัติตาม PDPA เริ่มต้นจากการที่องค์กรต้องรู้จักข้อมูลที่ตนเองถืออยู่ เพราะกฎหมายกำหนดบทลงโทษที่แตกต่างกันตามความร้ายแรงและประเภทของข้อมูลที่ถูกละเมิด องค์กรจึงจำเป็นต้องสามารถจำแนกประเภทข้อมูลที่ตนเองจัดเก็บได้อย่างชัดเจน 

ข้อมูลส่วนบุคคล

ข้อมูลส่วนบุคคล หมายถึง ข้อมูลใดๆ ที่เกี่ยวกับบุคคลธรรมดาซึ่งทำให้สามารถระบุตัวตนของบุคคลนั้นได้ ไม่ว่าจะเป็นทางตรงหรือทางอ้อม ข้อมูลส่วนบุคคลไม่รวมนิติบุคคลหรือข้อมูลผู้ที่เสียชีวิตไปแล้ว การระบุตัวตนทางตรง ได้แก่ ชื่อ-นามสกุล เลขที่บัตรประจำตัวประชาชน เลขหนังสือเดินทาง ส่วนการระบุตัวตนทางอ้อม ได้แก่ เบอร์โทรศัพท์ อีเมล ที่อยู่ วันเกิด บัญชีธนาคาร ไอดีไลน์ คุกกี้บนเว็บไซต์ ไอพีแอดเดรส หรือแม้แต่ข้อมูลที่เมื่อนำไปรวมกับข้อมูลอื่นแล้วสามารถระบุตัวตนได้ 

ข้อมูลส่วนบุคคลทั่วไป 

ข้อมูลส่วนบุคคลทั่วไป คือข้อมูลพื้นฐานที่องค์กรส่วนใหญ่จำเป็นต้องใช้ในการดำเนินธุรกิจ เช่น การติดต่อสื่อสาร การให้บริการ การจัดส่งสินค้า หรือการปฏิบัติตามสัญญา แม้จะเป็นข้อมูลทั่วไป การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลเหล่านี้ องค์กรจะต้องมีฐานการประมวลผลที่ชอบด้วยกฎหมายรองรับเสมอ ความยินยอมเป็นเพียงหนึ่งในฐานเท่านั้น 

ฐานอื่น ๆ ที่ใช้ได้โดยไม่ต้องขอความยินยอม เช่น ฐานสัญญา สำหรับการปฏิบัติตามสัญญาที่เจ้าของข้อมูลเป็นคู่สัญญา เช่น เก็บชื่อและที่อยู่เพื่อส่งสินค้าที่ลูกค้าสั่งซื้อ ฐานประโยชน์อันชอบธรรม เพื่อประโยชน์อันชอบธรรมขององค์กรแต่ต้องไม่กระทบสิทธิขั้นพื้นฐานของเจ้าของข้อมูล เช่น การติดกล้องวงจรปิดเพื่อป้องกันอาชญากรรม และฐานการปฏิบัติตามกฎหมาย เพื่อปฏิบัติตามกฎหมายอื่น เช่น การเก็บข้อมูลพนักงานเพื่อส่งประกันสังคม 

ข้อมูลส่วนบุคคลอ่อนไหว จุดเสี่ยงที่สำคัญที่สุด 

นี่คือกับดักหรือจุดเสี่ยงที่สำคัญที่สุดในกฎหมาย PDPA ข้อมูลส่วนบุคคลอ่อนไหวถูกกำหนดไว้ในมาตรา 26 ว่าเป็นข้อมูลที่มีความละเอียดอ่อนสูง และหากรั่วไหลอาจก่อให้เกิดอันตรายร้ายแรงหรือการเลือกปฏิบัติที่ไม่เป็นธรรมต่อเจ้าของข้อมูล 

ข้อมูลอ่อนไหวตามมาตรา 26 ได้แก่ 

  • เชื้อชาติ 
  • เผ่าพันธุ์ 
  • ความคิดเห็นทางการเมือง 
  • ความเชื่อในลัทธิ 
  • ศาสนา หรือปรัชญา 
  • พฤติกรรมทางเพศ 
  • ประวัติอาชญากรรม 
  • ข้อมูลสุขภาพ 
  • ความพิการ 
  • ข้อมูลสุขภาพจิต 
  • ข้อมูลสหภาพแรงงาน 
  • ข้อมูลพันธุกรรม 
  • ข้อมูลชีวภาพเช่นข้อมูลภาพจำลองใบหน้า 
  • ข้อมูลจำลองลายนิ้วมือ 
  • ข้อมูลสแกนม่านตา 
  • และข้อมูลอื่นใดที่กระทบต่อเจ้าของข้อมูลในทำนองเดียวกัน 

องค์กรส่วนใหญ่มักเข้าใจผิดว่าตนเองไม่ได้เก็บข้อมูลเหล่านี้ 

แต่ในความเป็นจริง องค์กรเกือบทุกแห่งกำลังประมวลผลข้อมูลอ่อนไหวตามมาตรา 26 อยู่ทุกวันโดยเฉพาะในฝ่ายทรัพยากรบุคคล ตัวอย่างเช่น ข้อมูลสุขภาพ ไม่ได้หมายถึงแค่ข้อมูลในโรงพยาบาล แต่รวมถึงข้อมูลสุขภาพของพนักงาน เช่น ใบลาป่วยที่ระบุโรค ผลการตรวจสุขภาพประจำปีของบริษัท ข้อมูลการแพ้ยาในแบบฟอร์มสมัครงาน ข้อมูลชีวภาพ ไม่ใช่เทคโนโลยีขั้นสูงที่ไกลตัว 

แต่เครื่องสแกนลายนิ้วมือหรือเครื่องสแกนใบหน้าที่พนักงานใช้บันทึกเวลาเข้า-ออกงาน ประวัติอาชญากรรม คือหนังสือรับรองความประพฤติจากสำนักงานตำรวจแห่งชาติที่ฝ่ายทรัพยากรบุคคลใช้ในการตรวจสอบประวัติของผู้สมัครงานหรือพนักงานใหม่ ศาสนาหรือเชื้อชาติ มักปรากฏอยู่ในสำเนาบัตรประชาชนที่ฝ่ายทรัพยากรบุคคลหรือฝ่ายจัดซื้อจัดจ้างเก็บรวบรวมไว้ 

หลักการสำคัญ กฎหมายกำหนดว่าห้ามมิให้เก็บรวบรวมข้อมูลอ่อนไหวโดยเด็ดขาด 

เว้นแต่องค์กรจะได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูล หรือเข้าข้อยกเว้นที่กฎหมายกำหนด 

ข้อยกเว้นสำคัญที่อนุญาตให้ประมวลผลข้อมูลอ่อนไหวได้โดยไม่ต้องใช้ความยินยอม 

เช่น เพื่อป้องกันหรือระงับอันตรายต่อชีวิต เพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมายหรือการต่อสู้คดี เพื่อการปฏิบัติตามกฎหมาย เช่น เพื่อประโยชน์ด้านการคุ้มครองแรงงาน การประกันสังคม หลักประกันสุขภาพแห่งชาติ และเพื่อประโยชน์สาธารณะด้านการสาธารณสุข เช่น การควบคุมโรคระบาด

การที่องค์กรประมวลผลข้อมูลอ่อนไหวโดยไม่ได้รับความยินยอมโดยชัดแจ้งหรือไม่สามารถอ้างอิงข้อยกเว้นทางกฎหมายได้ ถือเป็นการละเมิด PDPA ที่ร้ายแรงที่สุดและนำไปสู่บทลงโทษทางปกครองขั้นสูงสุด 

บทบาทและหน้าที่ภายใต้ PDPA การปฏิบัติตาม PDPA ไม่ใช่หน้าที่ของฝ่ายใดฝ่ายหนึ่ง แต่เป็นความรับผิดชอบร่วมกันของผู้ที่มีส่วนเกี่ยวข้องกับข้อมูล 

กฎหมายได้กำหนดบทบาทหลักไว้สามส่วน ได้แก่

1. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) 

ผู้ควบคุมข้อมูลคือบุคคลหรือนิติบุคคลที่มีอำนาจหน้าที่ในการตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล หรืออีกนัยหนึ่งคือเจ้าของกระบวนการที่นำข้อมูลไปใช้ประโยชน์ ผู้ควบคุมข้อมูลเป็นผู้รับผิดชอบสูงสุดต่อกฎหมาย PDPA ในทุกมิติ หน้าที่สำคัญของผู้ควบคุมข้อมูล ได้แก่ การกำหนดฐานทางกฎหมายสำหรับการประมวลผลข้อมูลแต่ละกิจกรรม การจัดทำและแจ้งประกาศความเป็นส่วนตัวให้เจ้าของข้อมูลทราบก่อนหรือขณะเก็บข้อมูล การออกแบบกระบวนการขอความยินยอมให้ถูกต้องตามกฎหมาย การจัดให้มีมาตรการรักษาความปลอดภัยทั้งเชิงเทคนิคและเชิงองค์กรที่เหมาะสมเพื่อป้องกันข้อมูลรั่วไหล และการกำกับดูแลผู้ประมวลผลข้อมูล 

หน้าที่ที่มักถูกละเลยคือ ผู้ควบคุมข้อมูลมีหน้าที่ตามกฎหมายในการคัดเลือกและตรวจสอบผู้ประมวลผลข้อมูลว่ามีมาตรฐานเพียงพอหรือไม่ และต้องจัดให้มีข้อตกลงการประมวลผลข้อมูลหรือ DPA ที่ชัดเจน 

2. ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) 

ผู้ประมวลผลข้อมูลคือบุคคลหรือนิติบุคคลที่ดำเนินการประมวลผลข้อมูลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลเท่านั้น ผู้ประมวลผลข้อมูลไม่มีอำนาจตัดสินใจนำข้อมูลไปใช้เพื่อวัตถุประสงค์ของตนเอง หน้าที่หลักคือ การดำเนินการตามคำสั่งตามขอบเขตที่ระบุในสัญญาที่ทำไว้กับผู้ควบคุมข้อมูลเท่านั้น การจัดให้มีมาตรการรักษาความปลอดภัยที่เหมาะสมตามมาตรฐานที่กฎหมายกำหนด การแจ้งเตือนผู้ควบคุมข้อมูลหากพบเหตุข้อมูลรั่วไหล และการรักษาความลับของข้อมูล ความสัมพันธ์ระหว่างผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูลเป็นความสัมพันธ์แบบลำดับชั้น 

หากผู้ประมวลผลข้อมูล เช่น เอเจนซี่การตลาด ทำข้อมูลลูกค้ารั่วไหล ผู้ประมวลผลจะมีความผิดฐานไม่ปฏิบัติตามมาตรการความปลอดภัย แต่ผู้ควบคุมข้อมูลก็จะต้องร่วมรับผิดชอบด้วยในฐานะผู้ควบคุมที่บกพร่องในการกำกับดูแลและตรวจสอบ 

ดังนั้น การเลือกใช้บริการผู้ประมวลผลข้อมูลที่ไม่ปฏิบัติตาม PDPA จึงเป็นการนำความเสี่ยงมหาศาลเข้าสู่องค์กรโดยตรง 

3. เจ้าของข้อมูลส่วนบุคคล (Data Subject) 

เจ้าของข้อมูลคือบุคคลธรรมดาที่เป็นเจ้าของข้อมูลส่วนบุคคลนั้นๆ เช่น ลูกค้า พนักงาน ผู้เข้าชมเว็บไซต์ ภายใต้กฎหมาย PDPA เจ้าของข้อมูลไม่ได้เป็นเพียงผู้ถูกกระทำอีกต่อไป แต่มีสถานะเป็นผู้มีสิทธิสูงสุดในข้อมูลของตนเอง 

กฎหมายได้มอบสิทธิสำคัญ 8 ประการให้กับเจ้าของข้อมูล

เพื่อใช้ในการบริหารจัดการและควบคุมข้อมูลของตนเอง 8 สิทธิของเจ้าของข้อมูล สิทธิทั้งแปดประการนี้ไม่ใช่เพียงแนวคิดทางทฤษฎี แต่คือกระบวนการปฏิบัติงานที่ทุกองค์กรในฐานะผู้ควบคุมข้อมูลต้องสร้างช่องทางขึ้นมารองรับ องค์กรต้องสามารถรับคำขอใช้สิทธิ ตรวจสอบยืนยันตัวตนของผู้ยื่นคำขอ และดำเนินการตามคำขอโดยไม่ชักช้าและไม่คิดค่าใช้จ่าย 

1. สิทธิในการรับทราบ 

เป็นสิทธิในการได้รับแจ้งรายละเอียดก่อนหรือขณะเก็บข้อมูลว่าจะเก็บข้อมูลอะไร เพื่อวัตถุประสงค์ใด เก็บไว้นานเท่าใด และจะส่งต่อให้ใครบ้าง องค์กรจะแจ้งผ่านเอกสารที่เรียกว่าประกาศความเป็นส่วนตัว 

2. สิทธิในการเข้าถึงข้อมูล 

เป็นสิทธิในการร้องขอสำเนาข้อมูลส่วนบุคคลของตนเองที่อยู่ในความครอบครองขององค์กร หรือขอให้เปิดเผยว่าองค์กรได้ข้อมูลนั้นมาอย่างไร 

3. สิทธิในการแก้ไขข้อมูลให้ถูกต้อง 

เป็นสิทธิในการขอให้องค์กรแก้ไขข้อมูลของตนให้ถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด เช่น การอัปเดตที่อยู่หรือเบอร์โทรศัพท์ 

4. สิทธิในการโอนย้ายข้อมูล 

เป็นสิทธิในการขอรับข้อมูลของตนเองจากองค์กรในรูปแบบที่สามารถอ่านหรือใช้งานได้ด้วยเครื่องมืออัตโนมัติ เช่น ไฟล์ CSV หรือ JSON และมีสิทธิขอให้ส่งข้อมูลนี้ไปยังผู้ควบคุมข้อมูลอื่นโดยอัตโนมัติหากทำได้ทางเทคนิค 

5. สิทธิในการคัดค้าน 

เป็นสิทธิในการคัดค้านการประมวลผลข้อมูลของตนเองในบางกรณี โดยเฉพาะอย่างยิ่งสิทธิในการคัดค้านการตลาดแบบตรง ซึ่งหากเจ้าของข้อมูลใช้สิทธินี้ องค์กรต้องหยุดทำการตลาดกับบุคคลนั้นทันทีโดยไม่มีข้อยกเว้น 

6. สิทธิในการระงับการใช้ข้อมูล 

เป็นสิทธิในการขอให้ระงับหรือแช่แข็งการใช้ข้อมูลของตนเองไว้ชั่วคราว เช่น ในระหว่างที่องค์กรกำลังตรวจสอบความถูกต้องของข้อมูลตามที่ร้องขอ 

7. สิทธิในการลบข้อมูลส่วนบุคคล 

นี่คือหนึ่งในสิทธิที่ทรงพลังที่สุด เจ้าของข้อมูลสามารถร้องขอให้องค์กรลบหรือทำลายข้อมูลของตนออกจากระบบ โดยสามารถใช้สิทธินี้ได้เมื่อข้อมูลนั้นหมดความจำเป็น เมื่อเจ้าของข้อมูลถอนความยินยอมและองค์กรไม่มีฐานอื่นรองรับ หรือเมื่อข้อมูลนั้นถูกประมวลผลโดยมิชอบ 

อย่างไรก็ตาม สิทธินี้ไม่ใช่สิทธิเด็ดขาด องค์กรสามารถปฏิเสธคำขอลบข้อมูลได้หากการเก็บข้อมูลนั้นยังคงจำเป็นสำหรับวัตถุประสงค์อื่นที่ชอบด้วยกฎหมาย เช่น เพื่อการใช้เสรีภาพในการแสดงความคิดเห็น เพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมายหรือการต่อสู้คดี หรือเพื่อการปฏิบัติตามกฎหมายอื่น 

8.สิทธิในการร้องเรียน 

เป็นสิทธิในการร้องเรียนต่อหน่วยงานกำกับดูแลคือสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หากพบว่าองค์กรละเมิดหรือไม่ปฏิบัติตาม PDPA 

บทลงโทษ 

สามประเภทที่ธุรกิจต้องระวัง ความตื่นตัวของภาคธุรกิจต่อกฎหมาย PDPA ส่วนใหญ่มาจากบทลงโทษซึ่งถือว่ารุนแรงอย่างมาก 

สิ่งที่ทำให้บทลงโทษ PDPA น่ากังวล

กฎหมายออกแบบให้เป็นการลงโทษสามประเภท ซึ่งหมายความว่า การกระทำความผิดเพียงครั้งเดียวเช่นทำข้อมูลลูกค้ารั่วไหลอาจส่งผลให้องค์กรถูกฟ้องร้องและลงโทษได้พร้อมกันทั้งสามเส้นทาง 

1. โทษทางแพ่ง 

การฟ้องร้องโดยตรงจากเจ้าของข้อมูลที่ได้รับความเสียหายจากการละเมิด องค์กรต้องชดใช้ค่าเสียหายตามที่เกิดขึ้นจริงไม่ว่าจะเป็นความเสียหายต่อทรัพย์สิน ชื่อเสียง หรือความรู้สึก นอกจากนี้ศาลยังมีอำนาจสั่งให้องค์กรจ่ายค่าเสียหายเชิงลงโทษเพิ่มเติมจากค่าเสียหายจริงได้อีกสูงสุดไม่เกินสองเท่าของค่าเสียหายจริง เพื่อเป็นการลงโทษองค์กรที่กระทำการโดยเจตนาหรือประมาทเลินเล่ออย่างร้ายแรง 

2. โทษทางอาญา 

มุ่งเป้าไปที่การกระทำโดยเจตนาทุจริตหรือการแสวงหาผลประโยชน์โดยมิชอบ บทลงโทษมีทั้งโทษจำคุกและปรับ โดยโทษสูงสุดคือจำคุกไม่เกินหนึ่งปี หรือปรับสูงสุดหนึ่งล้านบาท หรือทั้งจำทั้งปรับ โทษอาญามุ่งเน้นไปที่การกระทำผิดที่ร้ายแรง เช่น การนำข้อมูลไปขายโดยไม่ได้รับอนุญาต การเปิดเผยข้อมูลอ่อนไหวเพื่อให้ผู้อื่นเสียหาย หรือเพื่อแสวงหาประโยชน์ นอกจากนี้หากนิติบุคคลกระทำผิด โทษอาญานี้อาจส่งผลถึงกรรมการหรือผู้จัดการที่รับผิดชอบการดำเนินงานของบริษัทด้วย 

3. โทษทางปกครอง 

ที่น่ากลัวและเกิดขึ้นได้ง่ายที่สุด บทลงโทษที่น่ากลัวและเกิดขึ้นได้ง่ายที่สุดสำหรับองค์กร เพราะเป็นอำนาจของคณะกรรมการผู้เชี่ยวชาญภายใต้สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลที่สามารถสั่งปรับองค์กรได้โดยตรงโดยไม่ต้องผ่านกระบวนการศาล อัตราโทษปรับจะแบ่งตามระดับความรุนแรงของการกระทำผิด 

สำหรับความผิดที่ไม่ร้ายแรงมาก เช่น ไม่แจ้งรายละเอียดให้เจ้าของข้อมูลทราบหรือไม่ทำประกาศความเป็นส่วนตัว อาจถูกปรับสูงสุดหนึ่งล้านบาท สำหรับความผิดที่เกี่ยวข้องกับการประมวลผลข้อมูลโดยไม่มีฐานกฎหมายรองรับ อาจถูกปรับสูงสุดสามล้านบาท และสำหรับความผิดที่ร้ายแรงที่สุดคือการเก็บรวบรวม ใช้ เปิดเผย หรือโอนข้อมูลส่วนบุคคลอ่อนไหวตามมาตรา 26 โดยไม่ชอบด้วยกฎหมาย อาจถูกปรับสูงสุดห้าล้านบาท 

การที่กฎหมายผูกโยงค่าปรับสูงสุดห้าล้านบาทเข้ากับข้อมูลอ่อนไหวยืนยันว่า การที่องค์กรใช้เครื่องสแกนลายนิ้วมือหรือเก็บใบลาป่วยโดยไม่มีฐานกฎหมายรองรับถือเป็นความเสี่ยงทางกฎหมายระดับสูงสุดขององค์กร การสั่งปรับจริงเจ็ดล้านบาท 

การบังคับใช้กฎหมาย PDPA ไม่ใช่เพียงทฤษฎีอีกต่อไป 

ในเดือนสิงหาคม 2567 คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้สร้างบรรทัดฐานสำคัญด้วยการสั่งลงโทษปรับทางปกครองบริษัทเอกชนรายใหญ่เป็นเงินรวมเจ็ดล้านบาท ค่าปรับเจ็ดล้านบาทไม่ได้มาจากความผิดเพียงกระทงเดียว แต่เป็นการรวมกันของความล้มเหลวในการปฏิบัติตามกฎหมายหลายมาตราพร้อมกัน อันเนื่องมาจากเหตุการณ์ที่บริษัททำข้อมูลลูกค้ารั่วไหลไปสู่กลุ่มมิจฉาชีพ 

ความผิดหลักที่ถูกลงโทษคือ ไม่มีมาตรการรักษาความมั่นคงปลอดภัยข้อมูลที่เพียงพอ ไม่แจ้งเหตุละเมิดข้อมูลส่วนบุคคลภายใน 72 ชั่วโมง และไม่แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกำลังบังคับใช้กฎหมายอย่างจริงจังและเด็ดขาด และบทลงโทษที่รุนแรงไม่ได้เกิดจากเหตุข้อมูลรั่วเพียงอย่างเดียว แต่เกิดจากความล้มเหลวในการปฏิบัติตามกระบวนการที่กฎหมายกำหนด   

แนวทางปฏิบัติจริงสำหรับองค์กร 

เพื่อให้องค์กรสามารถดำเนินธุรกิจได้อย่างสอดคล้องกับ PDPA และหลีกเลี่ยงบทลงโทษรุนแรง องค์กรจำเป็นต้องมีเครื่องมือและกระบวนการที่เป็นรูปธรรม นโยบายและประกาศความเป็นส่วนตัว 

องค์กรจำเป็นต้องมีเอกสารสองประเภทคือ 

  • Privacy Policy
  • Privacy Notice 

ซึ่งมักถูกเรียกสลับกันแต่มีวัตถุประสงค์ที่แตกต่างกัน 

นโยบายความเป็นส่วนตัว (Privacy Policy) 

เป็นเอกสารภายในเหมือนคู่มือสำหรับพนักงานและผู้บริหาร เพื่อกำหนดกรอบนโยบายและมาตรฐานขององค์กรในการจัดการข้อมูลส่วนบุคคล 

ประกาศความเป็นส่วนตัว (Privacy Notice)

เป็นเอกสารภายนอกที่องค์กรต้องแจ้งให้เจ้าของข้อมูลทราบก่อนหรือขณะที่จะเก็บข้อมูล เพื่อปฏิบัติตามสิทธิในการรับทราบ เนื้อหาต้องระบุชัดเจนว่าจะเก็บข้อมูลอะไร เพื่อวัตถุประสงค์ใด ใช้ฐานกฎหมายใด จะเก็บไว้นานเท่าใด จะเปิดเผยให้ใครบ้าง สิทธิของเจ้าของข้อมูลมีอะไรบ้าง และช่องทางการติดต่อผู้ควบคุมข้อมูลหรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล นโยบายสำหรับฝ่ายทรัพยากรบุคคล ฝ่ายทรัพยากรบุคคลเป็นแผนกที่มีความเสี่ยงสูงในการละเมิด PDPA เนื่องจากมีการประมวลผลข้อมูลอ่อนไหวจำนวนมาก เช่น ข้อมูลสุขภาพ ประวัติอาชญากรรม ข้อมูลชีวภาพ 

ดังนั้นฝ่ายทรัพยากรบุคคลจึงจำเป็นต้องมีประกาศความเป็นส่วนตัวสำหรับผู้สมัครงานและพนักงานโดยเฉพาะ เพื่อแจ้งพนักงานให้ทราบถึงการประมวลผลข้อมูลดังกล่าว และต้องมีการขอความยินยอมโดยชัดแจ้งสำหรับกิจกรรมที่ไม่สามารถอ้างฐานกฎหมายอื่นได้ นโยบายคุกกี้และการขอความยินยอม 

ในยุคดิจิทัล เว็บไซต์คือหน้าด่านสำคัญของการเก็บข้อมูล 

คุกกี้ที่เว็บไซต์ใช้ในการติดตามพฤติกรรมผู้เข้าชม วิเคราะห์สถิติ หรือยิงโฆษณา ถือเป็นการประมวลผลข้อมูลส่วนบุคคล ดังนั้นองค์กรที่มีเว็บไซต์จึงต้องมี 

Cookie Consent Banner คือ ป๊อปอัปที่เด้งขึ้นมาเพื่อขอความยินยอมจากผู้เข้าชมก่อนที่จะมีการใช้คุกกี้ 

การออกแบบที่ถูกต้องต้องไม่ติ๊กช่องยินยอมไว้ล่วงหน้า ผู้ใช้ต้องเป็นผู้กระทำการติ๊กเอง ต้องมีทางเลือกที่ชัดเจนคือปุ่มยอมรับทั้งหมด ปฏิเสธทั้งหมด และตั้งค่าคุกกี้ และที่สำคัญที่สุดคือต้องบล็อกคุกกี้ก่อนได้รับความยินยอม เว็บไซต์ต้องห้ามปล่อยคุกกี้ที่ไม่จำเป็นจนกว่าผู้ใช้จะกดยอมรับ 

การขอความยินยอมที่ถูกต้อง 

ในกรณีที่องค์กรไม่สามารถอ้างฐานกฎหมายอื่นได้ องค์กรจำเป็นต้องใช้ความยินยอม 

การขอความยินยอมที่ถูกต้องตามกฎหมายต้องมีลักษณะดังนี้ 

1. ต้องชัดแจ้ง 

คือ ต้องเป็นการกระทำที่ชัดเจนเช่นการติ๊กเครื่องหมายถูก ไม่ใช่การนิ่งเงียบ 

2. ต้องแยกส่วน

คือ ต้องแยกแบบฟอร์มการขอความยินยอมออกจากข้อกำหนดและเงื่อนไขอื่นๆ อย่างชัดเจน 

3. ต้องเข้าใจง่าย 

คือ ต้องใช้ภาษาที่คนทั่วไปเข้าใจไม่ใช่ภาษากฎหมายที่ซับซ้อน 

4.ต้องถอนง่าย 

คือ เจ้าของข้อมูลต้องมีสิทธิถอนความยินยอมได้ทุกเมื่อและกระบวนการถอนความยินยอมต้องง่ายเหมือนกับการให้ความยินยอม 

การแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล 

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลหรือ DPO 

คือ บุคคลที่องค์กรแต่งตั้งเพื่อทำหน้าที่เป็นผู้เชี่ยวชาญอิสระคอยให้คำแนะนำ ตรวจสอบการปฏิบัติงานภายในองค์กร และเป็นผู้ประสานงานหลักกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล 

กฎหมายบังคับให้องค์กรต้องแต่งตั้ง DPO 

หากเข้าเงื่อนไขข้อใดข้อหนึ่ง เช่น เป็นหน่วยงานของรัฐ เป็นองค์กรที่มีกิจกรรมหลักในการประมวลผลข้อมูลที่ต้องมีการเฝ้าติดตามอย่างเป็นระบบข้อมูลของคนจำนวนมาก หรือกิจกรรมหลักขององค์กรคือการประมวลผลข้อมูลอ่อนไหว 

การที่องค์กรเข้าข่ายตามกฎหมายแต่ล้มเหลวในการแต่งตั้ง DPO ถือเป็นความผิดร้ายแรงและเป็นหนึ่งในฐานความผิดที่นำไปสู่การถูกลงโทษ มาตรการรักษาความปลอดภัยและการแจ้งเหตุ 

มาตรา 37 เป็นมาตราสำคัญที่กำหนดหน้าที่ของผู้ควบคุมข้อมูลในการป้องกันข้อมูล องค์กรต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมทั้งในเชิงเทคนิคเช่นการเข้ารหัสข้อมูลและไฟร์วอลล์ และเชิงองค์กรเช่นนโยบายจำกัดสิทธิการเข้าถึงข้อมูล การแจ้งเหตุข้อมูลรั่วไหลคือกระบวนการที่สำคัญที่สุดหลังจากเกิดเหตุ 

หากเกิดเหตุการละเมิดข้อมูลส่วนบุคคล องค์กรมีหน้าที่ตามกฎหมายสองประการ 

  1. ต้องแจ้งเหตุต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลโดยไม่ชักช้าภายใน 72 ชั่วโมงนับแต่ทราบเหตุ 
  2. หากการรั่วไหลนั้นมีความเสี่ยงสูงที่จะกระทบสิทธิและเสรีภาพของเจ้าของข้อมูล องค์กรต้องแจ้งเหตุให้เจ้าของข้อมูลทราบโดยตรงโดยไม่ชักช้าพร้อมแนวทางเยียวยาด้วย การที่องค์กรจะแจ้งเหตุภายใน 72 ชั่วโมงได้เป็นไปไม่ได้เลยหากองค์กรไม่มีระบบตรวจจับและแผนรับมือที่ดี ความล้มเหลวในการแจ้งเหตุภายในเวลาที่กำหนด ถือเป็นความผิดร้ายแรงในตัวของมันเอง แยกต่างหากจากความผิดฐานทำข้อมูลรั่ว PDPA ในบริบทเฉพาะทางธุรกิจ 

การบังคับใช้ PDPA ไม่ได้เท่าเทียมกันในทุกอุตสาหกรรม 

บริบทที่แตกต่างกันของธุรกิจย่อมนำมาซึ่งความท้าทายที่แตกต่างกัน ธุรกิจขนาดเล็ก ธุรกิจขนาดเล็กมักมีความเข้าใจที่คลาดเคลื่อนว่าตนเองเป็นธุรกิจขนาดเล็กและอาจได้รับการยกเว้นจาก PDPA เป็นความจริงที่กฎหมายลำดับรองได้มีการยกเว้นให้กิจการขนาดเล็กไม่ต้องจัดทำบันทึกรายการกิจกรรมการประมวลผล 

อย่างไรก็ตาม ข้อยกเว้นนี้มีเงื่อนไขสำคัญที่ระบุไว้อย่างชัดเจนว่า 

ข้อยกเว้นจะถูกยกเลิกทันทีหากธุรกิจขนาดเล็กนั้นมีการประมวลผลข้อมูลอ่อนไหว ตามมาตรา 26 เนื่องจากธุรกิจขนาดเล็กส่วนใหญ่มีการใช้เครื่องสแกนลายนิ้วมือเพื่อบันทึกเวลาทำงานหรือมีการเก็บใบลาป่วยของพนักงาน 

ซึ่งทั้งสองกิจกรรมนี้คือการประมวลผลข้อมูลอ่อนไหว ผลลัพธ์คือ ธุรกิจขนาดเล็กส่วนใหญ่ในประเทศไทยไม่ได้รับข้อยกเว้นตามกฎหมายและยังคงต้องปฏิบัติตาม PDPA อย่างเต็มรูปแบบเสมือนองค์กรขนาดใหญ่ การที่ธุรกิจขนาดเล็กเข้าใจผิดว่าตนเองได้รับยกเว้นทั้งหมดจึงถือเป็นความเสี่ยงทางกฎหมายที่สูงมาก 

อีคอมเมิร์ซและการขายออนไลน์ ธุรกิจอีคอมเมิร์ซคือผู้ควบคุมข้อมูลเต็มรูปแบบที่ต้องปฏิบัติตาม PDPA อย่างเคร่งครัด ธุรกิจขายของออนไลน์ต้องแยกระหว่างการประมวลผลเพื่อปฏิบัติตามสัญญาเช่นการใช้ชื่อ ที่อยู่ เบอร์โทรเพื่อจัดส่งสินค้าซึ่งสามารถทำได้โดยไม่ต้องขอความยินยอม กับการประมวลผลเพื่อการตลาดเช่นการส่งข้อความหรืออีเมลเพื่อแจ้งโปรโมชั่นซึ่งจำเป็นต้องขอความยินยอมอย่างชัดเจนและแยกส่วนออกมา 

นอกจากนี้ต้องมีประกาศความเป็นส่วนตัวที่ชัดเจนบนหน้าเว็บไซต์หรือแอปพลิเคชันเพื่อแจ้งลูกค้าว่าจะนำข้อมูลไปใช้อย่างไรบ้าง การตลาดดิจิทัล PDPA ได้เปลี่ยนแปลงภูมิทัศน์ของการทำการตลาดดิจิทัลในประเทศไทยไปตลอดกาล การกระทำในอดีตเช่นการซื้อฐานข้อมูลเบอร์โทรศัพท์หรืออีเมล การขูดข้อมูลจากแพลตฟอร์มอื่นมาใช้ หรือการนำข้อมูลลูกค้าจากธุรกิจหนึ่งไปใช้อีกธุรกิจหนึ่งโดยไม่แจ้งให้ทราบ ถือเป็นการกระทำที่ผิดกฎหมาย PDPA อย่างชัดเจน การทำการตลาดสมัยใหม่เช่นการทำรีทาร์เก็ตติ้ง การยิงโฆษณาแบบเฉพาะบุคคล และการทำการตลาดผ่านอีเมลหรือข้อความ ทั้งหมดนี้จำเป็นต้องอาศัยการให้ความยินยอมอย่างชัดแจ้งจากผู้ใช้ 

ดังนั้น Cookie Consent Banner จึงกลายเป็นเครื่องมือทางกฎหมายที่สำคัญที่สุดสำหรับนักการตลาดเพื่อให้ได้มาซึ่งความยินยอมที่ถูกต้องในการติดตามพฤติกรรมผู้ใช้และยิงโฆษณา 

บทส่งท้าย

PDPA คือโอกาสในการสร้างความไว้วางใจ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้เปลี่ยนกระบวนทัศน์จากการที่องค์กรเป็นเจ้าของข้อมูลไปสู่การที่องค์กรเป็นเพียงผู้ดูแลข้อมูลชั่วคราว โดยมีบุคคลธรรมดาเป็นเจ้าของสิทธิที่แท้จริง การปฏิบัติตาม PDPA จึงไม่ควรถูกมองว่าเป็นภาระหรือค่าใช้จ่ายทางกฎหมาย แต่ควรถูกมองว่าเป็นการลงทุนที่สำคัญในการสร้างความไว้วางใจซึ่งเป็นสกุลเงินที่มีค่าที่สุดในยุคดิจิทัล ในยุคที่ข่าวการรั่วไหลของข้อมูลเกิดขึ้นเป็นรายวันและบทลงโทษทางกฎหมายได้ถูกบังคับใช้อย่างจริงจัง องค์กรที่สามารถแสดงให้สาธารณชนเห็นถึงความโปร่งใสและมาตรการคุ้มครองข้อมูลที่เข้มแข็งจะสามารถสร้างความได้เปรียบในการแข่งขันได้อย่างยั่งยืน การละเมิด PDPA ไม่เพียงแต่ส่งผลให้เกิดค่าปรับทางปกครองหลักล้านบาทหรือความรับผิดทางอาญาและทางแพ่งเท่านั้น แต่ยังสามารถทำลายชื่อเสียงและความเชื่อมั่นของลูกค้าที่องค์กรสั่งสมมาเป็นเวลานาน ซึ่งอาจเป็นความเสียหายที่รุนแรงและประเมินค่าไม่ได้ยิ่งกว่าตัวเงิน

ปรึกษาทนายตัวจริง

สอบถามได้ทุกเรื่องราวทางกฎหมาย

"โดนโกง โดนประจาน" ปรึกษาได้ในคลิกเดียว

ทนายพร้อมให้คำปรึกษาตลอด 24 ชม.
4.8/5
รีวิวจากผู้ใช้งานจริงมากกว่า 16000 รีวิว
ทนายออนไลน์อยู่ 50 ท่าน
cta
ปรึกษาทนาย 24 ชั่วโมง
“ ได้รับคำตอบทันที ! “
Lawyer ProfileLawyer Profile
ทนายออนไลน์ 600 ท่าน
bind:isSubmitting />
undefined undefined

ทนาย undefined undefined

ยังไม่มีรีวิว

เบอร์โทรศัพท์

ไม่ระบุ

เมื่อเริ่มต้นติดต่อทนาย กรุณาแจ้งว่า "ติดต่อผ่านทาง Law Link"
การให้คำปรึกษาทางกฎหมาย อาจมีค่าใช้จ่ายขึ้นอยู่กับการตกลงกับทนาย หากต้องการฟ้องคดีกรุณาแจ้งรายละเอียดกับทนายเพิ่มเติม
Law Link เป็นเพียงตัวกลางในการเชื่อมต่อลูกความกับทนายเท่านั้น ไม่มีส่วนเกี่ยวข้องกับสัญญาจ้างว่าความแต่อย่างใด
หรือ