Security Content

PDPA 2026 สิ่งที่ SME ต้องรู้และต้องทำทันที

Posted on by Ariya Phornpraphan
PDPA 2026 สิ่งที่ SME ต้องรู้และต้องทำทันที
05
Jun

PDPA 2026 สิ่งที่ SME ต้องรู้และต้องทำทันที คุณเคยได้รับอีเมลจากลูกค้าว่า ต้องการให้ลบข้อมูลออกจากระบบ

แล้วไม่รู้ว่าต้องทำอะไรบ้างไหม? ถ้าข้อมูลลูกค้ารั่วไหล คุณต้องแจ้งใคร? ภายในกี่วัน? บทความนี้มีคำตอบ

1. PDPA คืออะไร?

PDPA ย่อมาจาก Personal Data Protection Act หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีผลบังคับใช้เต็มรูปแบบตั้งแต่ปี 2565 และในปี 2026 มีการบังคับใช้จริงและเริ่มมีการร้องเรียนแล้ว

กฎหมายนี้กำหนดว่า: ทุกองค์กรที่เก็บ ใช้ หรือเผยแพร่ข้อมูลส่วนบุคคล ต้องได้รับความยินยอมและปกป้องข้อมูลนั้นอย่างเหมาะสม

ข้อมูลส่วนบุคคล (Personal Data) คืออะไร?

ประเภทตัวอย่าง
ข้อมูลพื้นฐานชื่อ-นามสกุล, อีเมล, เบอร์โทร, ที่อยู่
ข้อมูลดิจิทัลIP Address, Cookie, ประวัติการเข้าเว็บ
ข้อมูลทางการเงินเลขบัตรเครดิต, ประวัติการซื้อ
ข้อมูลพนักงานCV, ประวัติเงินเดือน, บัตรประชาชน
ข้อมูลอ่อนไหว (Sensitive Data)สุขภาพ, ศาสนา, พันธุกรรม, ประวัติอาชญากรรม

ข้อมูลอ่อนไหว ต้องขอ Explicit Consent เท่านั้น ห้ามเก็บโดยไม่ได้รับอนุญาตอย่างเด็ดขาด

2. ใครต้องปฏิบัติตาม PDPA?

ทุกธุรกิจที่อยู่ในไทย หรือให้บริการแก่คนในไทย ไม่ว่าจะเป็นบริษัท, ร้านค้า, คลินิก, โรงเรียน หรือ Freelancer ถ้าคุณเก็บข้อมูลใคร คุณต้องปฏิบัติตาม PDPA

  • ร้านอาหารที่มีระบบสมาชิกหรือสั่งอาหารออนไลน์
  • คลินิก, สปา หรือธุรกิจสุขภาพที่เก็บข้อมูลลูกค้า
  • บริษัท E-commerce ขายสินค้าออนไลน์
  • ธุรกิจที่ส่งอีเมล Newsletter หรือ SMS Marketing
  • โรงเรียนกวดวิชาที่เก็บข้อมูลนักเรียนและผู้ปกครอง
  • บริษัทใดก็ตามที่มีพนักงาน — ข้อมูล HR ก็อยู่ภายใต้ PDPA

3. บทบาทหลักใน PDPA

บทบาทคือใครหน้าที่หลัก
Data Controller (ผู้ควบคุมข้อมูล)บริษัท / เจ้าของธุรกิจกำหนดวัตถุประสงค์การใช้ข้อมูล, รับผิดชอบหลัก
Data Processor (ผู้ประมวลผลข้อมูล)Vendor, Cloud Provider, บริษัท ITประมวลผลตามคำสั่ง Controller
Data Subject (เจ้าของข้อมูล)ลูกค้า, พนักงาน, ผู้ใช้บริการมีสิทธิ์ตามกฎหมาย 7 ประการ
DPO (Data Protection Officer)เจ้าหน้าที่คุ้มครองข้อมูลกำกับดูแล Compliance (บางกรณีต้องมี)

SME ส่วนใหญ่เป็นทั้ง Data Controller และอาจจ้าง Data Processor เช่น Google, Mailchimp — ต้องมีสัญญา Data Processing Agreement (DPA) กับ Vendor เหล่านั้นด้วย

4. สิทธิ์ของเจ้าของข้อมูล ที่ SME ต้องตอบได้

สิทธิ์ความหมายกำหนดตอบ
Right to Accessขอดูข้อมูลที่เก็บเกี่ยวกับตัวเขา30 วัน
Right to Rectificationขอแก้ไขข้อมูลที่ไม่ถูกต้อง30 วัน
Right to Erasure (Right to be Forgotten)ขอลบข้อมูลออกจากระบบ30 วัน
Right to Restrictionขอหยุดการใช้งานข้อมูลชั่วคราว30 วัน
Right to Portabilityขอให้ส่งออกข้อมูลในรูปแบบที่ใช้ได้30 วัน
Right to Objectคัดค้านการใช้ข้อมูลเพื่อ Marketingทันที
Right to Withdraw Consentถอนความยินยอมเมื่อไรก็ได้ทันที

ถ้าตอบไม่ทันใน 30 วัน ถือว่าละเมิด PDPA และเจ้าของข้อมูลสามารถร้องเรียนต่อ PDPC ได้ทันที

5. โทษของการละเมิด PDPA (2026)

ประเภทโทษรายละเอียดสูงสุด
โทษปกครองปรับทางปกครอง5,000,000 บาท
โทษแพ่งค่าเสียหายตามจริง + เพิ่มอีก 2 เท่าไม่จำกัด
โทษอาญากรณีเปิดเผยข้อมูลอ่อนไหวโดยเจตนาจำคุก 1 ปี หรือปรับ 1,000,000 บาท

ในปี 2566-2567 เริ่มมีการร้องเรียนและสอบสวนบริษัทไทยจริงๆ แล้ว PDPA ไม่ใช่แค่กฎหมายบนกระดาษอีกต่อไป

6. PDPA กับ Cybersecurity: เชื่อมกันอย่างไร?

สิ่งที่ SME หลายรายมองข้าม — Data Breach (ข้อมูลรั่วไหล) = ละเมิด PDPA โดยอัตโนมัติ ไม่ว่าจะตั้งใจหรือไม่

ถ้าเกิด Data Breach คุณต้องทำอะไร?

  1. ภายใน 72 ชั่วโมง — แจ้ง PDPC (สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล)
  2. โดยไม่ชักช้า — แจ้งเจ้าของข้อมูลที่ได้รับผลกระทบ (ถ้าความเสี่ยงสูง)
  3. บันทึกเหตุการณ์ — เก็บรายละเอียดว่าเกิดอะไร, กระทบใคร, และทำอะไรไปแล้ว

ภัยไซเบอร์ที่นำไปสู่ PDPA Violation:

ภัยไซเบอร์ผลกระทบ PDPA
Ransomwareข้อมูลลูกค้าถูกขโมย → ต้องแจ้ง PDPC ภายใน 72 ชม.
Phishingพนักงานหลงกลให้รหัสผ่าน → ข้อมูลลูกค้ารั่ว → ละเมิด PDPA
ไม่มี MFAบัญชี Email ถูกแฮก → เห็นข้อมูลลูกค้า → ผิด PDPA
Backup ไม่ดีข้อมูลหาย recover ไม่ได้ → ผิดหลัก Data Integrity ของ PDPA

Cybersecurity ที่ดี = PDPA Compliance ที่ดีด้วย — ทั้งสองเรื่องแยกกันไม่ออก

7. PDPA Checklist: 10 สิ่งที่ SME ต้องทำทันที

ส่วนที่ 1: รู้จักข้อมูลตัวเอง

  • Audit ข้อมูลที่มี — รู้ว่าเก็บข้อมูลอะไรบ้าง, อยู่ที่ไหน, ใครเข้าถึงได้
  • ทำ Data Inventory (RoPA) — บันทึกว่าเก็บข้อมูลอะไร เพื่ออะไร และเก็บนานแค่ไหน
  • ระบุ Data Flows — ข้อมูลไหลจากไหนไปไหน เช่น Web Form → CRM → Email Marketing Tool

ส่วนที่ 2: ขอ Consent ให้ถูกต้อง

  • Privacy Policy บนเว็บไซต์ — ระบุชัดว่าเก็บอะไร ใช้ยังไง แชร์กับใคร
  • Cookie Consent Banner — Default ต้องเป็น ปฏิเสธ ห้าม Pre-tick เด็ดขาด
  • Consent Form ที่ถูกต้อง — แยก Consent ชัดเจน ไม่รวมกับ Terms of Service

ส่วนที่ 3: ปกป้องข้อมูล

  • เข้ารหัส (Encryption) — ทั้งระหว่างส่ง (HTTPS/TLS) และจัดเก็บ (at-rest)
  • Access Control — จำกัดสิทธิ์เข้าถึงข้อมูลตามหลัก Need to Know
  • เปิด MFA ทุกบัญชีที่เก็บข้อมูลลูกค้า
  • Backup สม่ำเสมอตามกฎ 3-2-1 เพื่อให้ recover ได้เมื่อเกิดเหตุ

ส่วนที่ 4: เตรียมรับมือ

  • Data Breach Response Plan — มีแผนรับมือและขั้นตอนแจ้ง PDPC ภายใน 72 ชม.
  • ช่องทางรับคำขอสิทธิ์ — มีอีเมลหรือฟอร์มให้ลูกค้า/พนักงานขอสิทธิ์ได้
  • Training พนักงาน — พนักงานทุกคนต้องรู้ว่า PDPA คืออะไร ทำอะไรได้/ไม่ได้

8. ตัวอย่างที่ SME ทำผิดบ้าง

ส่ง Email Marketing โดยไม่ขอ Consent — ซื้อ Email List มาแล้วยิงโปรโมชั่น ถือว่าละเมิด PDPA อย่างชัดเจน

เก็บข้อมูลเกินความจำเป็น — ฟอร์มสมัครสมาชิกถามเลขบัตรประชาชน ทั้งที่ไม่ต้องใช้ ผิดหลัก Data Minimization

ให้ Vendor เข้าถึงข้อมูลโดยไม่มีสัญญา — จ้างบริษัท IT ภายนอกมาดูแลระบบ แต่ไม่ได้ทำ Data Processing Agreement (DPA)

ไม่มี Privacy Policy บนเว็บ — ยังมี SME จำนวนมากที่เปิดเว็บรับออเดอร์ แต่ไม่มี Privacy Policy เลย ผิด PDPA ตั้งแต่ข้อแรก

9. เอกสารที่ SME ต้องมี

เอกสารใช้ทำอะไรระดับ
Privacy Policy / Noticeแจ้งว่าเก็บข้อมูลอะไร ใช้ยังไงบังคับ
Consent Form / Recordหลักฐานการขอ Consentบังคับ
Records of Processing Activities (RoPA)ทะเบียนการประมวลผลข้อมูลบังคับ
Data Processing Agreement (DPA)สัญญากับ Vendor / Cloud Providerบังคับ
Data Breach Response Planแผนรับมือข้อมูลรั่วแนะนำ
Cookie Policyนโยบาย Cookie บนเว็บไซต์แนะนำ
Data Retention Policyกำหนดระยะเวลาเก็บข้อมูลควรมี

10. คำถามที่ SME ถามบ่อย (FAQ)

Q: ธุรกิจเล็กๆ ต้องมี DPO ไหม?

ไม่บังคับสำหรับ SME ทั่วไป — DPO จำเป็นเฉพาะองค์กรที่ประมวลผลข้อมูลขนาดใหญ่ หรือข้อมูลอ่อนไหวเป็นหลัก อย่างไรก็ตาม การมีคนรับผิดชอบด้าน PDPA ภายในองค์กร 1 คนถือเป็นเรื่องฉลาด

Q: Cookie Banner ต้องทำยังไงถึงถูกต้อง?

ต้องแยก Cookie เป็น 3 ประเภท: Necessary (ไม่ต้องขอ Consent), Analytics, Marketing (ต้องขอ) ผู้ใช้ต้องเลือกได้แต่ละประเภท และ Default ต้องเป็น ไม่ยินยอม ห้าม Pre-tick เด็ดขาด

Q: ถ้าใช้ Google Forms เก็บข้อมูลลูกค้า ต้องทำอะไรเพิ่ม?

Google เป็น Data Processor — ต้องยอมรับ Google’s Data Processing Agreement และต้องระบุใน Privacy Notice ของคุณว่าใช้ Google ในการประมวลผลข้อมูล

Q: ถ้าเกิด Data Breach เล็กๆ ต้องแจ้งทุกครั้งไหม?

ขึ้นอยู่กับระดับความเสี่ยง: ถ้าไม่มีความเสี่ยงต่อสิทธิ์และเสรีภาพของเจ้าของข้อมูล ไม่ต้องแจ้ง PDPC แต่ต้องบันทึกเหตุการณ์ไว้ ถ้ามีความเสี่ยง → แจ้งภายใน 72 ชั่วโมง

Q: เก็บข้อมูลลูกค้าไว้ได้นานแค่ไหน?

ตามความจำเป็นของวัตถุประสงค์เดิมที่ขอ Consent ต้องกำหนด Retention Period ไว้ใน Data Retention Policy และลบข้อมูลเมื่อไม่จำเป็นแล้ว

สรุป

การปฏิบัติตาม PDPA ไม่ได้หมายความว่าต้องจ้างทนายหรือลงทุนมหาศาล SME สามารถเริ่มต้นได้ด้วย 4 ขั้นตอน:

  • รู้ว่าเก็บข้อมูลอะไรบ้าง — ทำ Data Inventory ก่อนเลย
  • ขอ Consent ให้ถูกต้อง — Privacy Policy + Consent Form ที่ชัดเจน
  • ปกป้องข้อมูลด้วย Cybersecurity — MFA, Encryption, Access Control, Backup
  • มีแผนรับมือเมื่อเกิดปัญหา — Data Breach Response Plan พร้อมแจ้ง 72 ชม.

ข้อมูลที่ปลอดภัย = ลูกค้าที่ไว้ใจคุณมากขึ้น — PDPA Compliance คือจุดขายที่แข็งแกร่ง

ติดต่อ Skysoft ได้เลย — ทีมงานพร้อมตอบทุกคำถามโดยไม่มีค่าใช้จ่าย

พร้อมประเมินความเสี่ยงด้านความปลอดภัยขององค์กรของคุณหรือยัง?
ติดต่อทีมผู้เชี่ยวชาญ WatchGuard เพื่อรับคำแนะนำเฉพาะสำหรับธุรกิจของคุณได้วันนี้
หากท่านสนใจทดลองใช้สามารถ  ลงทะเบียนเพื่อขอทดลองได้ฟรี 30 วัน

Credit https://www.watchguard.com

Ariya Phornpraphan

Leave a Reply

Your email address will not be published. Required fields are marked *