PDPA ย่อมาจากอะไร?
PDPA = Personal Data Protection Act
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 — อ่านว่า "พี-ดี-พี-เอ" หรือ "พีดีพีเอ"
PDPA คือกฎหมายไทยที่ตราขึ้นเพื่อคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคล กำหนดหน้าที่และความรับผิดชอบขององค์กรที่เก็บ ใช้ เปิดเผย หรือโอนข้อมูลส่วนบุคคล โดยประกาศในราชกิจจานุเบกษาเมื่อวันที่ 27 พฤษภาคม 2562 และมีผลบังคับใช้เต็มรูปแบบตั้งแต่วันที่ 1 มิถุนายน 2565
PDPA คืออะไร? ประวัติและวัตถุประสงค์
PDPA (พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล) คือกฎหมายที่กำหนดกรอบการเก็บรวบรวม ใช้ เปิดเผย และโอนข้อมูลส่วนบุคคลในประเทศไทย ได้รับแรงบันดาลใจจาก GDPR ของสหภาพยุโรป และถือเป็นก้าวสำคัญในการยกระดับมาตรฐานการคุ้มครองข้อมูลของไทยให้เทียบเท่าสากล
วัตถุประสงค์หลักของ PDPA
- ✓คุ้มครองสิทธิขั้นพื้นฐานในความเป็นส่วนตัวของบุคคล
- ✓กำหนดมาตรฐานการจัดการข้อมูลที่ปลอดภัยและโปร่งใส
- ✓สร้างความไว้วางใจระหว่างผู้บริโภคและองค์กร
- ✓ยกระดับมาตรฐานไทยให้เทียบเท่าสากล (GDPR, APEC)
- ✓ส่งเสริมเศรษฐกิจดิจิทัลที่มีธรรมาภิบาล
หลักการสำคัญ 8 ประการของ PDPA
องค์กรต้องปฏิบัติตามหลักการทั้ง 8 ข้อนี้ในการเก็บและใช้ข้อมูลส่วนบุคคล
หลักความชอบด้วยกฎหมาย (Lawfulness)
การเก็บและใช้ข้อมูลต้องมีฐานทางกฎหมาย เช่น ความยินยอม, สัญญา, ประโยชน์สาธารณะ หรือประโยชน์อันชอบด้วยกฎหมาย
หลักความโปร่งใส (Transparency)
ต้องแจ้งเจ้าของข้อมูลว่าเก็บข้อมูลอะไร ใช้เพื่ออะไร เก็บนานแค่ไหน และส่งต่อให้ใครบ้าง
หลักวัตถุประสงค์ (Purpose Limitation)
ต้องระบุวัตถุประสงค์การเก็บข้อมูลชัดเจน และใช้ข้อมูลเฉพาะตามวัตถุประสงค์ที่แจ้งไว้เท่านั้น
หลักความน้อยที่สุด (Data Minimisation)
เก็บเฉพาะข้อมูลที่จำเป็นต่อวัตถุประสงค์ ไม่เก็บข้อมูลมากเกินความจำเป็น
หลักความถูกต้อง (Accuracy)
ข้อมูลต้องถูกต้อง ทันสมัย และต้องมีกระบวนการแก้ไขข้อมูลที่ไม่ถูกต้อง
หลักการจำกัดระยะเวลา (Storage Limitation)
เก็บข้อมูลไม่เกินระยะเวลาที่จำเป็น ต้องกำหนด retention period และลบข้อมูลเมื่อหมดความจำเป็น
หลักความสมบูรณ์และความลับ (Integrity & Confidentiality)
ต้องมีมาตรการรักษาความปลอดภัยเหมาะสม ป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต การสูญหาย และการถูกทำลาย
หลักความรับผิดชอบ (Accountability)
องค์กรต้องแสดงให้เห็นว่าปฏิบัติตาม PDPA ได้ มีเอกสาร นโยบาย และกระบวนการที่ชัดเจน
สิทธิของเจ้าของข้อมูลส่วนบุคคล
PDPA มอบสิทธิ 8 ประการให้กับเจ้าของข้อมูล และองค์กรมีหน้าที่ต้องตอบสนองต่อการใช้สิทธิเหล่านี้ภายในระยะเวลาที่กำหนด
บทลงโทษตาม PDPA
บทลงโทษแบ่งเป็น 3 ประเภทหลัก — โทษทางปกครอง โทษทางอาญา และโทษทางแพ่ง โดยกรรมการบริษัทและผู้บริหารอาจต้องรับผิดเป็นการส่วนตัวด้วย
โทษทางปกครอง
- •ปรับสูงสุด 1 ล้านบาท — ไม่จัดทำ Privacy Notice
- •ปรับสูงสุด 3 ล้านบาท — ไม่ขอความยินยอมตามแบบที่กำหนด
- •ปรับสูงสุด 5 ล้านบาท — ฝ่าฝืนหน้าที่ของผู้ควบคุมข้อมูล
โทษทางอาญา
- •จำคุกสูงสุด 6 เดือน และ/หรือปรับสูงสุด 500,000 บาท — เก็บข้อมูลอ่อนไหวโดยไม่ชอบ
- •จำคุกสูงสุด 1 ปี และ/หรือปรับสูงสุด 1,000,000 บาท — เปิดเผยข้อมูลโดยมิชอบ
- •จำคุกสูงสุด 1 ปี และ/หรือปรับสูงสุด 1,000,000 บาท — ใช้ข้อมูลเพื่อแสวงหาประโยชน์
โทษทางแพ่ง
- •ค่าเสียหายตามจริงที่เกิดขึ้น
- •ค่าเสียหายเพิ่มเติมสูงสุด 2 เท่าของค่าเสียหายจริง (กรณีจงใจ)
- •ค่าเสียหายเชิงลงโทษ ตามดุลยพินิจศาล
องค์กรที่ต้องปฏิบัติตาม PDPA
PDPA ใช้บังคับกับ ทุกองค์กร ที่เก็บ ใช้ เปิดเผย หรือโอนข้อมูลส่วนบุคคลของบุคคลที่อยู่ในไทย ไม่ว่าองค์กรนั้นจะตั้งอยู่ในหรือนอกประเทศไทยก็ตาม
วิธีปฏิบัติตาม PDPA สำหรับองค์กร — 8 ขั้นตอน
PDPA Compliance ไม่ใช่แค่เรื่องเทคนิค แต่เป็นการเปลี่ยนแปลงกระบวนการทั้งองค์กร ขั้นตอนเหล่านี้เป็นจุดเริ่มต้นที่ดี
Data Mapping & Inventory
สำรวจและจัดทำบัญชีข้อมูลส่วนบุคคลทั้งหมดที่องค์กรเก็บรวบรวม ทั้ง digital และ physical
จัดทำ Privacy Notice
แจ้งเจ้าของข้อมูลว่าเก็บข้อมูลอะไร ใช้เพื่ออะไร เก็บนานแค่ไหน ส่งต่อให้ใครบ้าง และสิทธิที่มี
กำหนด Legal Basis
ระบุฐานทางกฎหมายสำหรับการเก็บข้อมูลแต่ละประเภท: ความยินยอม, สัญญา, ประโยชน์สาธารณะ หรืออื่นๆ
Consent Management
ออกแบบระบบขอและจัดการความยินยอม (Consent) ให้ถูกต้องตามรูปแบบที่ PDPA กำหนด
Data Subject Rights
สร้างกระบวนการรองรับสิทธิ 8 ประการของเจ้าของข้อมูล เช่น สิทธิขอเข้าถึง, แก้ไข, ลบข้อมูล
Security Measures
ติดตั้งมาตรการรักษาความปลอดภัยทางเทคนิคและองค์กร เช่น การเข้ารหัส, Access Control, การอบรมพนักงาน
Vendor Management
ทำ Data Processing Agreement (DPA) กับผู้ให้บริการที่เข้าถึงข้อมูลส่วนบุคคลขององค์กร
Breach Response Plan
จัดทำแผนรับมือกรณีข้อมูลรั่วไหล และซ้อมขั้นตอนการแจ้ง สคส. ภายใน 72 ชั่วโมง
PDPA กับ GDPR ต่างกันอย่างไร?
| หัวข้อ | PDPA (ไทย) | GDPR (EU) |
|---|---|---|
| บังคับใช้ | 1 มิ.ย. 2565 | 25 พ.ค. 2561 |
| โทษปรับสูงสุด | 5 ล้านบาท (~€135K) | €20 ล้าน หรือ 4% global revenue |
| Data Breach แจ้ง | 72 ชั่วโมง | 72 ชั่วโมง |
| DPO (เจ้าหน้าที่คุ้มครองข้อมูล) | ตามประกาศ กคข. | บังคับบางกรณี |
| ขอบเขตนอกประเทศ | ครอบคลุมข้อมูลคนในไทย | ครอบคลุมข้อมูลคนใน EU |
| Data Portability | รองรับ | รองรับ |
| Right to be Forgotten | รองรับ | รองรับ |
| Certification | อยู่ระหว่างพัฒนา | มีมาตรฐาน EU-US Data Privacy Framework |
Claude AI ช่วย PDPA Compliance ได้อย่างไร?
องค์กรที่ใช้ AI ในการทำงานต้องแน่ใจว่า AI ที่เลือกใช้สอดคล้องกับ PDPA ด้วย Claude Enterprise จาก Anthropic ออกแบบมาให้ตอบโจทย์ความต้องการนี้โดยเฉพาะ
Zero Data Training Policy
ข้อมูลที่ส่งผ่าน Claude Enterprise จะไม่ถูกนำไปฝึกโมเดล AI — ปกป้องข้อมูลส่วนบุคคลของลูกค้าคุณ
ISO 27001 & SOC 2
Anthropic ได้รับการรับรอง ISO/IEC 27001:2022 และ SOC 2 Type II — มาตรฐานความปลอดภัยระดับสากล
Data Processing Agreement
Anthropic ทำ DPA กับองค์กร ซึ่งเป็นข้อกำหนดของ PDPA เมื่อใช้ผู้ให้บริการภายนอก
ช่วยเขียน Privacy Notice
Claude ช่วยร่าง Privacy Notice, นโยบายคุกกี้, และเอกสาร Consent ที่ถูกต้องตาม PDPA
ช่วยทำ Data Mapping
Claude วิเคราะห์กระบวนการธุรกิจและช่วยจัดทำ Data Inventory และ Data Flow Diagram
ตอบคำถาม PDPA ได้ทันที
พนักงานสามารถถาม Claude เรื่อง PDPA ได้ตลอด 24/7 ลดภาระทีม Legal และ Compliance
คำถามที่พบบ่อยเกี่ยวกับ PDPA
ต้องการความช่วยเหลือด้าน PDPA Compliance?
CODEDIVA ช่วยองค์กรไทยจัดหา Claude Enterprise ที่สอดคล้อง PDPA พร้อม DPA และคำปรึกษาจากผู้เชี่ยวชาญ