กฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศไทย: คู่มือการปฏิบัติตาม PDPA (2026)

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ของประเทศไทย ซึ่งมีผลบังคับใช้เต็มรูปแบบตั้งแต่วันที่ 1 มิถุนายน 2565 ควบคุมการเก็บรวบรวม ใช้ เปิดเผย และจัดเก็บข้อมูลส่วนบุคคลสำหรับองค์กรใดก็ตามที่ประมวลผลข้อมูลเกี่ยวกับบุคคลในประเทศไทย รวมถึงธุรกิจต่างชาติที่มุ่งเป้าไปยังผู้บริโภคชาวไทย
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) ของประเทศไทยคืออะไร
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ของประเทศไทย เป็นกฎหมายหลักที่ควบคุมการเก็บรวบรวม ใช้ เปิดเผย และจัดเก็บข้อมูลส่วนบุคคลในประเทศ ตราขึ้นเมื่อวันที่ 27 พฤษภาคม 2562 และประกาศในราชกิจจานุเบกษาในวันเดียวกัน PDPA ถือเป็นกฎหมายคุ้มครองข้อมูลฉบับสมบูรณ์ฉบับแรกของประเทศไทย

PDPA ใช้บังคับกับองค์กรใดก็ตามที่เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบุคคลในประเทศไทย ไม่ว่าองค์กรนั้นจะตั้งอยู่ในประเทศหรือไม่ก็ตาม ขอบเขตการบังคับใช้นอกประเทศนี้หมายความว่าธุรกิจต่างชาติที่เสนอสินค้าหรือบริการแก่บุคคลในประเทศไทย หรือเฝ้าติดตามพฤติกรรมของบุคคลที่อยู่ในประเทศไทย ต้องปฏิบัติตามกฎหมายฉบับนี้ด้วย
กฎหมายฉบับนี้เดิมกำหนดให้มีผลบังคับใช้เต็มรูปแบบใน พ.ศ. 2563 แต่เนื่องจากสถานการณ์การแพร่ระบาดของโควิด-19 การบังคับใช้บทบัญญัติสำคัญจึงถูกเลื่อนออกไปหลายครั้ง จนกระทั่งบทบัญญัติหลักด้านการคุ้มครองข้อมูลของ PDPA มีผลบังคับใช้เต็มรูปแบบใน วันที่ 1 มิถุนายน 2565
กฎหมายฉบับนี้ได้แบบอย่างมาจากระเบียบคุ้มครองข้อมูลทั่วไปของสหภาพยุโรป (GDPR) เป็นส่วนใหญ่ โดยมีโครงสร้างคล้ายคลึงกันในหลายประเด็น เช่น ฐานทางกฎหมายในการประมวลผลข้อมูล สิทธิของเจ้าของข้อมูล และข้อกำหนดเรื่องการแจ้งเหตุละเมิดข้อมูล อย่างไรก็ตาม PDPA มีบทบัญญัติที่ปรับให้เข้ากับสภาพแวดล้อมทางกฎหมายและการกำกับดูแลของประเทศไทยโดยเฉพาะ และภาพรวมด้านการกำกับดูแลก็ได้พัฒนาไปอย่างมากนับตั้งแต่ พ.ศ. 2565 ผ่านประกาศลำดับรอง มาตรการบังคับใช้กฎหมาย และกฎหมายเสริมอื่น ๆ
คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC)
คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เป็นหน่วยงานกำกับดูแลหลักที่รับผิดชอบการกำกับดูแลและบังคับใช้ PDPA คณะกรรมการชุดนี้จัดตั้งขึ้นอย่างเป็นทางการเมื่อวันที่ 18 มกราคม 2565 เมื่อประกาศสำนักนายกรัฐมนตรีเรื่องการแต่งตั้งประธานกรรมการและกรรมการผู้ทรงคุณวุฒิได้รับการเผยแพร่ในราชกิจจานุเบกษา
องค์ประกอบของ PDPC
คณะกรรมการประกอบด้วย
- ประธานกรรมการ ที่ได้รับการแต่งตั้งโดยพิจารณาจากความรู้ ทักษะ และประสบการณ์ด้านการคุ้มครองข้อมูล
- รองประธานกรรมการ ซึ่งดำรงตำแหน่งปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (MDES) โดยตำแหน่ง
- กรรมการโดยตำแหน่งจำนวนห้าคน ซึ่งกำหนดตามตำแหน่งในหน่วยงานรัฐที่เกี่ยวข้อง
- กรรมการผู้ทรงคุณวุฒิเก้าคน ซึ่งแต่งตั้งโดยพิจารณาจากความเชี่ยวชาญด้านการคุ้มครองข้อมูลส่วนบุคคล การคุ้มครองผู้บริโภค เทคโนโลยี สังคมศาสตร์ กฎหมาย สุขภาพ การเงิน หรือสาขาที่เกี่ยวข้อง
PDPC ได้รับการสนับสนุนจาก สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ซึ่งดำเนินงานภายใต้กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม
อำนาจหน้าที่ของ PDPC
PDPC มีอำนาจกว้างขวางภายใต้ PDPA ในการ
- จัดทำแผนแม่บทเพื่อส่งเสริมและคุ้มครองข้อมูลส่วนบุคคล
- กำหนดมาตรการ หลักเกณฑ์ และแนวทางปฏิบัติสำหรับผู้ประกอบธุรกิจ
- ออกประกาศและกฎเกณฑ์ลำดับรองภายใต้ PDPA
- สืบสวนข้อร้องเรียนและกำหนดโทษทางปกครอง
- กำหนดกระบวนการและยุทธศาสตร์สำหรับการดำเนินงานด้านการคุ้มครองข้อมูลส่วนบุคคล
- เป็นหน่วยงานประสานงานความร่วมมือด้านการคุ้มครองข้อมูลระหว่างประเทศ
ณ เดือนมกราคม 2569 สำนักงาน PDPC ได้บันทึกข้อร้องเรียนที่เกี่ยวข้องกับ PDPA ไว้ 2,672 เรื่อง โดยข้อร้องเรียนที่มีจำนวนมากที่สุดเกี่ยวข้องกับการไม่ปฏิบัติตามหลักการเก็บข้อมูลเท่าที่จำเป็น การเก็บรวบรวมข้อมูลโดยไม่มีฐานทางกฎหมายที่ชอบด้วยกฎหมาย และการใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต
หน่วย Eagle Eye ของ PDPC
พัฒนาการด้านปฏิบัติการที่สำคัญประการหนึ่งคือการจัดตั้งความสามารถในการเฝ้าติดตามเชิงรุก ซึ่งบางครั้งเรียกกันภายในว่า หน่วย Eagle Eye ปัจจุบัน PDPC เฝ้าติดตามฟอรัมบนดาร์กเว็บและแพลตฟอร์มสื่อสังคมออนไลน์สาธารณะ เพื่อค้นหาหลักฐานการรั่วไหลของข้อมูลที่กระทบต่อผู้พำนักในประเทศไทย ซึ่งหมายความว่าองค์กรต่าง ๆ อาจถูกสอบสวนโดยหน่วยงานกำกับดูแลได้ แม้จะไม่มีข้อร้องเรียนอย่างเป็นทางการจากผู้ได้รับผลกระทบ หากมีข้อมูลการรั่วไหลปรากฏขึ้นทางออนไลน์ก่อนที่องค์กรจะรายงานเอง PDPC อาจเริ่มกระบวนการสอบสวนโดยใช้ข้อมูลจากการเฝ้าติดตามดังกล่าวเป็นฐาน
ฐานทางกฎหมายในการประมวลผลข้อมูลส่วนบุคคล
ภายใต้ PDPA ผู้ควบคุมข้อมูลจะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไม่ได้ เว้นแต่จะมีฐานทางกฎหมายที่ชอบด้วยกฎหมายรองรับ ประเทศไทยรับรองฐานทางกฎหมายไว้ เจ็ดประการ สำหรับการประมวลผลข้อมูล
1. ความยินยอม
เจ้าของข้อมูลให้ความยินยอมโดยสมัครใจ เฉพาะเจาะจง แจ้งให้ทราบ และปราศจากความคลุมเครือ ความยินยอมต้องแยกออกจากเรื่องอื่นได้อย่างชัดเจน นำเสนอในรูปแบบที่เข้าถึงได้ง่ายโดยใช้ภาษาที่ชัดเจนและเข้าใจง่าย เจ้าของข้อมูลสามารถเพิกถอนความยินยอมได้ทุกเมื่อ และการเพิกถอนต้องทำได้ง่ายเช่นเดียวกับการให้ความยินยอม
ประเด็นที่มักปรากฏในแนวปฏิบัติของ PDPC และการรับฟังความคิดเห็นร่างแก้ไข PDPA เมื่อ พ.ศ. 2568 คือความยินยอมบางครั้งถูกใช้เป็นฐานทางกฎหมายเริ่มต้นแม้ในกรณีที่มีฐานอื่นที่เหมาะสมกว่า PDPC ได้ส่งสัญญาณว่าการใช้ความยินยอมโดยการบังคับหรือจูงใจ เช่น การกำหนดเงื่อนไขให้ต้องยินยอมต่อการประมวลผลที่ไม่จำเป็นก่อนจึงจะเข้าถึงบริการได้นั้น ไม่ถือเป็นความยินยอมที่ชอบด้วย PDPA
2. ความจำเป็นตามสัญญา
การประมวลผลมีความจำเป็นสำหรับการเข้าทำสัญญาหรือปฏิบัติตามสัญญากับเจ้าของข้อมูล ครอบคลุมสถานการณ์เช่นการประมวลผลข้อมูลการชำระเงินเพื่อดำเนินการตามคำสั่งซื้อ
3. การปฏิบัติตามกฎหมาย
การประมวลผลมีความจำเป็นเพื่อปฏิบัติตามกฎหมายที่ผู้ควบคุมข้อมูลอยู่ภายใต้บังคับ ซึ่งรวมถึงข้อกำหนดการรายงานตามกฎระเบียบ ภาระผูกพันทางภาษี และคำสั่งศาล
4. ประโยชน์สำคัญต่อชีวิต
การประมวลผลมีความจำเป็นเพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล ใช้บังคับในสถานการณ์ฉุกเฉินที่เจ้าของข้อมูลไม่สามารถให้ความยินยอมได้
5. ภารกิจของรัฐเพื่อประโยชน์สาธารณะ
การประมวลผลมีความจำเป็นสำหรับภารกิจที่ดำเนินการเพื่อประโยชน์สาธารณะ หรือภายใต้อำนาจหน้าที่ที่มอบให้แก่ผู้ควบคุมข้อมูล หน่วยงานรัฐมักอาศัยฐานนี้เป็นประจำ
6. ประโยชน์โดยชอบด้วยกฎหมาย
การประมวลผลมีความจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลหรือบุคคลภายนอก โดยมีเงื่อนไขว่าประโยชน์ดังกล่าวต้องไม่ล่วงล้ำสิทธิและเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูลเกินสมควร เมื่ออาศัยฐานนี้ องค์กรควรจัดทำ การประเมินประโยชน์โดยชอบด้วยกฎหมาย เพื่อบันทึกการชั่งน้ำหนักดังกล่าวไว้เป็นเอกสาร
7. การวิจัยและสถิติ
การประมวลผลมีความจำเป็นสำหรับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ หรือเพื่อวัตถุประสงค์ด้านการวิจัยและสถิติ โดยต้องมีมาตรการคุ้มครองสิทธิของเจ้าของข้อมูลที่เหมาะสม
ข้อมูลส่วนบุคคลที่มีความอ่อนไหว
PDPA นิยามข้อมูลส่วนบุคคลที่มีความอ่อนไหวว่าเป็นข้อมูลเกี่ยวกับ
- เชื้อชาติหรือชาติพันธุ์
- ความคิดเห็นทางการเมือง
- ความเชื่อทางศาสนาหรือปรัชญา
- พฤติกรรมทางเพศ
- ประวัติอาชญากรรม
- ข้อมูลสุขภาพ
- ความพิการ
- การเป็นสมาชิกสหภาพแรงงาน
- ข้อมูลพันธุกรรม
- ข้อมูลชีวมิติ
- ข้อมูลประเภทอื่นใดที่ PDPC อาจกำหนดเพิ่มเติม
การเก็บรวบรวมข้อมูลส่วนบุคคลที่มีความอ่อนไหวเป็นสิ่งต้องห้าม เว้นแต่จะได้รับ ความยินยอมโดยชัดแจ้ง จากเจ้าของข้อมูล ยกเว้นในกรณีจำกัดบางประการ เช่น เพื่อคุ้มครองประโยชน์สำคัญต่อชีวิตของบุคคลที่ไม่สามารถให้ความยินยอมได้ การประมวลผลโดยมูลนิธิหรือองค์กรไม่แสวงหากำไรเพื่อสมาชิกของตน หรือการประมวลผลข้อมูลที่เจ้าของข้อมูลได้เปิดเผยต่อสาธารณะด้วยตนเองอย่างชัดแจ้ง
มาตรการบังคับใช้กฎหมายของ PDPC ต่อบริการสแกนม่านตาในเดือนพฤศจิกายน 2568 (กล่าวถึงด้านล่าง) แสดงให้เห็นว่าหน่วยงานกำกับดูแลให้ความสำคัญกับข้อมูลชีวมิติอย่างจริงจังเพียงใด PDPC พบว่าสิ่งจูงใจทางการเงินที่ใช้เพื่อขอความยินยอมทำให้ความยินยอมนั้นไม่เป็นไปโดยสมัครใจตาม PDPA ส่งผลให้มีคำสั่งให้หยุดดำเนินการและลบข้อมูลม่านตาประมาณ 1.2 ล้านรายการ
องค์กรที่มีกิจกรรมหลักเกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลที่มีความอ่อนไหวในระดับขนาดใหญ่ ต้องแต่งตั้ง เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)
สิทธิของเจ้าของข้อมูล
PDPA ให้สิทธิที่มีผลบังคับอย่างครอบคลุมแก่บุคคลเหนือข้อมูลส่วนบุคคลของตน ผู้ควบคุมข้อมูลต้องตอบสนองต่อคำขอใช้สิทธิ โดยไม่ชักช้า และไม่เกิน 30 วัน นับแต่วันที่ได้รับคำขอ
สิทธิที่จะได้รับแจ้ง
เจ้าของข้อมูลมีสิทธิได้รับแจ้งเกี่ยวกับกิจกรรมการประมวลผลข้อมูลก่อนหรือในขณะที่มีการเก็บรวบรวมข้อมูลส่วนบุคคล คำแจ้งเรื่องความเป็นส่วนตัวต้องระบุวัตถุประสงค์ของการเก็บรวบรวม ประเภทของข้อมูลที่เก็บรวบรวม ตัวตนของผู้ควบคุมข้อมูล และระยะเวลาการเก็บรักษาข้อมูล
สิทธิในการเข้าถึงข้อมูล
บุคคลอาจขอเข้าถึงข้อมูลส่วนบุคคลที่ผู้ควบคุมข้อมูลถือครองเกี่ยวกับตนเอง และขอรับสำเนาข้อมูลดังกล่าวได้ ผู้ควบคุมข้อมูลต้องจัดเตรียมข้อมูลในรูปแบบที่ใช้กันทั่วไปและอ่านได้
สิทธิในการแก้ไขข้อมูล
เจ้าของข้อมูลสามารถขอแก้ไขข้อมูลส่วนบุคคลที่ไม่ถูกต้อง ไม่สมบูรณ์ หรือทำให้เข้าใจผิดได้
สิทธิในการลบข้อมูล
บุคคลอาจขอให้ลบหรือทำลายข้อมูลส่วนบุคคลเมื่อไม่มีความจำเป็นสำหรับวัตถุประสงค์ที่เก็บรวบรวมไว้อีกต่อไป เมื่อมีการเพิกถอนความยินยอม หรือเมื่อการประมวลผลนั้นไม่ชอบด้วยกฎหมาย
สิทธิในการโอนย้ายข้อมูล
เจ้าของข้อมูลมีสิทธิได้รับข้อมูลส่วนบุคคลของตนในรูปแบบที่มีโครงสร้าง ใช้กันทั่วไป และอ่านได้ด้วยเครื่อง และมีสิทธิขอให้ส่งข้อมูลนั้นไปยังผู้ควบคุมข้อมูลรายอื่นโดยตรง หากสามารถทำได้ในทางเทคนิค
สิทธิในการคัดค้าน
บุคคลอาจคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของตนได้ทุกเมื่อ เมื่อการประมวลผลนั้นอาศัยฐานประโยชน์โดยชอบด้วยกฎหมาย ประโยชน์สาธารณะ หรือการตลาดทางตรง
สิทธิในการระงับการใช้ข้อมูล
เจ้าของข้อมูลอาจขอให้ผู้ควบคุมข้อมูลจำกัดการประมวลผลข้อมูลของตนในสถานการณ์เฉพาะ เช่น ระหว่างที่กำลังตรวจสอบความถูกต้องของข้อมูล
สิทธิในการร้องเรียน
เจ้าของข้อมูลที่เชื่อว่าผู้ควบคุมข้อมูลหรือผู้ประมวลผลข้อมูลได้ฝ่าฝืน PDPA สามารถยื่นข้อร้องเรียนโดยตรงต่อสำนักงาน PDPC ได้
ข้อกำหนดเรื่องการแจ้งเหตุการละเมิดข้อมูล
PDPA ของประเทศไทยกำหนดภาระหน้าที่ที่เข้มงวดเกี่ยวกับการแจ้งเหตุการละเมิดข้อมูลแก่ผู้ควบคุมข้อมูลไว้ภายใต้ มาตรา 37(4)
การแจ้งต่อ PDPC ภายใน 72 ชั่วโมง
ผู้ควบคุมข้อมูลต้องแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลต่อ PDPC โดยไม่ชักช้า และเมื่อสามารถทำได้ ภายใน 72 ชั่วโมง นับแต่ทราบเหตุการละเมิด การแจ้งเป็นสิ่งจำเป็น เว้นแต่การละเมิดนั้นไม่น่าจะก่อให้เกิดความเสี่ยงต่อสิทธิและเสรีภาพของเจ้าของข้อมูล
หากมีเหตุสุดวิสัยที่ทำให้ผู้ควบคุมข้อมูลไม่สามารถแจ้งภายใน 72 ชั่วโมงได้ ต้องแจ้ง ไม่เกิน 15 วัน นับแต่วันที่ผู้ควบคุมข้อมูลทราบเหตุการละเมิด ในกรณีดังกล่าว ผู้ควบคุมข้อมูลต้องชี้แจงเหตุผลอันสมควรที่แสดงว่าความล่าช้าเกิดจากเหตุสุดวิสัยจริง
การแจ้งต่อเจ้าของข้อมูล
เมื่อการละเมิดมีแนวโน้มที่จะก่อให้เกิด ความเสี่ยงสูง ต่อสิทธิและเสรีภาพของเจ้าของข้อมูล ผู้ควบคุมข้อมูลต้องแจ้งให้บุคคลที่ได้รับผลกระทบทราบโดยไม่ชักช้า การแจ้งดังกล่าวต้องอธิบายลักษณะของการละเมิดและให้คำแนะนำในการบรรเทาความเสียหายที่อาจเกิดขึ้น
ปัจจัยในการประเมินความเสี่ยง
เมื่อพิจารณาว่าการละเมิดใดจำเป็นต้องแจ้งหรือไม่ ผู้ควบคุมข้อมูลควรพิจารณาปัจจัยดังนี้
- ลักษณะและประเภทของการละเมิด (ความลับ ความถูกต้องครบถ้วน หรือความพร้อมใช้งาน)
- ประเภทและปริมาณของข้อมูลส่วนบุคคลที่ได้รับผลกระทบ
- ความรุนแรงของผลกระทบที่อาจเกิดขึ้นต่อเจ้าของข้อมูล
- ข้อมูลนั้นได้รับการเข้ารหัสหรือมีการป้องกันในลักษณะอื่นหรือไม่
- ความน่าจะเป็นของความเสียหายตามสภาพการณ์ที่เกิดขึ้น
ข้อกำหนดด้านการจัดทำเอกสาร
ผู้ควบคุมข้อมูลต้องเก็บรักษาบันทึกการประเมินความเสี่ยง การสืบสวน และผลการตรวจสอบทั้งหมดไว้ เอกสารเหล่านี้อาจมีความสำคัญอย่างยิ่งในระหว่างการร้องเรียน การสอบสวนของหน่วยงานกำกับดูแล หรือการตรวจสอบโดย PDPC ทุกคดีบังคับใช้กฎหมายใน พ.ศ. 2568 เผยให้เห็นความบกพร่องในห่วงโซ่การจัดทำเอกสารนี้
บทลงโทษกรณีไม่แจ้งเหตุการละเมิด
ภายใต้ มาตรา 83 ของ PDPA การไม่ยื่นแจ้งเหตุการละเมิดภายใน 72 ชั่วโมง ทำให้ผู้ควบคุมข้อมูลต้องรับโทษปรับทางปกครอง สูงสุด 3 ล้านบาท ความบกพร่องในการแจ้งเหตุการละเมิดถูกระบุว่าเป็นการฝ่าฝืนในทุกหนึ่งในห้าคดีบังคับใช้กฎหมายที่ประกาศเมื่อเดือนสิงหาคม 2568
บทลงโทษภายใต้ PDPA
PDPA กำหนดโครงสร้างบทลงโทษสามระดับ ครอบคลุมความรับผิดทางปกครอง ทางอาญา และทางแพ่ง
โทษทางปกครอง
คณะกรรมการผู้เชี่ยวชาญของ PDPC อาจกำหนดโทษปรับทางปกครองสูงสุด 5 ล้านบาทต่อการฝ่าฝืนหนึ่งครั้ง คณะกรรมการยังคงมีดุลพินิจที่จะออกคำตักเตือนหรือสั่งให้ดำเนินมาตรการแก้ไข แทนการลงโทษปรับก็ได้
เมื่อพิจารณากำหนดจำนวนค่าปรับ PDPC จะพิจารณาปัจจัยต่าง ๆ รวมถึง
- ความร้ายแรงและขอบเขตของการฝ่าฝืน
- มาตรการที่ผู้ควบคุมข้อมูลหรือผู้ประมวลผลข้อมูลดำเนินการเพื่อตอบสนองต่อการละเมิด
- ขอบเขตที่เจ้าของข้อมูลที่ได้รับผลกระทบได้รับการเยียวยา
- ความทันท่วงทีและความเหมาะสมของมาตรการภายหลังเหตุการณ์
- การฝ่าฝืนก่อนหน้านี้ของนิติบุคคลเดียวกัน
บทลงโทษทางอาญาภายใต้ PDPA
บทลงโทษทางอาญาภายใต้ PDPA ประกอบด้วย
- การเปิดเผยโดยไม่ได้รับอนุญาต: บุคคลที่ได้รับข้อมูลส่วนบุคคลจากการปฏิบัติหน้าที่ภายใต้ PDPA แล้วเปิดเผยแก่ผู้ไม่มีสิทธิ ต้องระวางโทษ จำคุกไม่เกินหกเดือน ปรับ ไม่เกิน 500,000 บาท หรือทั้งจำทั้งปรับ
- การใช้ข้อมูลอ่อนไหวโดยมิชอบ: การใช้ข้อมูลส่วนบุคคลที่มีความอ่อนไหวเพื่อก่อให้เกิดความเสียหาย มีโทษ จำคุกไม่เกินหนึ่งปี ปรับ ไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ
- ความรับผิดของนิติบุคคล: หากความผิดเกิดจากการกระทำของนิติบุคคล กรรมการหรือผู้รับผิดชอบที่ทราบถึงการฝ่าฝืนและไม่ป้องกันการกระทำนั้น อาจต้องรับผิดทางอาญาเป็นการส่วนตัวได้
ความรับผิดทางแพ่ง
ผู้ควบคุมข้อมูลหรือผู้ประมวลผลข้อมูลที่ประมวลผลข้อมูลส่วนบุคคลโดยไม่ชอบด้วยกฎหมายและก่อให้เกิดความเสียหาย ไม่ว่าจะโดยเจตนาหรือโดยประมาท ต้องชดใช้ค่าสินไหมทดแทนแก่เจ้าของข้อมูล และศาลอาจกำหนด ค่าสินไหมทดแทนเพื่อการลงโทษสูงสุดถึงสองเท่า ของความเสียหายที่แท้จริงที่เกิดขึ้น
พระราชกำหนดมาตรการป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยี (ฉบับที่ 2) (2568)
พระราชกำหนดมาตรการป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยี (ฉบับที่ 2) พ.ศ. 2568 ได้เผยแพร่ในราชกิจจานุเบกษาเมื่อวันที่ 12 เมษายน 2568 และ มีผลบังคับใช้ตั้งแต่วันที่ 13 เมษายน 2568 กฎหมายฉบับนี้ทำงานควบคู่ไปกับ PDPA เพื่อจัดการกับการนำข้อมูลส่วนบุคคลไปใช้ในอาชญากรรมที่เกี่ยวข้องกับเทคโนโลยี
บทบัญญัติทางอาญาใหม่สำหรับการนำข้อมูลส่วนบุคคลไปใช้ในทางที่ผิด
พระราชกำหนดฉบับนี้กำหนดความผิดทางอาญาที่แยกต่างหาก มุ่งเอาผิดการนำข้อมูลส่วนบุคคลไปใช้เป็นอาวุธ ดังนี้
- ความผิดพื้นฐาน: การเก็บรวบรวม ครอบครอง หรือเปิดเผยข้อมูลส่วนบุคคล ไม่ว่าจะระบุตัวตนได้โดยตรงหรือโดยอ้อม โดยมีเจตนาเพื่อเอื้อให้เกิดอาชญากรรมทางเทคโนโลยีหรือความผิดทางอาญาอื่นใด มีโทษ จำคุกไม่เกิน 1 ปี และ/หรือปรับไม่เกิน 100,000 บาท
- การแสวงหาประโยชน์ในเชิงพาณิชย์: การซื้อ ขาย หรือแสวงหาผลกำไรจากข้อมูลส่วนบุคคลโดยมิชอบ มีโทษ จำคุกไม่เกิน 5 ปี และ/หรือปรับไม่เกิน 500,000 บาท
บทลงโทษเหล่านี้ใช้บังคับไม่ว่าผู้กระทำจะเป็นผู้เก็บรวบรวมข้อมูลนั้นในตอนแรกหรือไม่ก็ตาม การครอบครองฐานข้อมูลส่วนบุคคลโดยมีเจตนาทางอาญาถือเป็นความผิดในตัวเองภายใต้พระราชกำหนดฉบับนี้
ภาระหน้าที่ที่ขยายเพิ่มเติมสำหรับผู้ประกอบการ
พระราชกำหนดฉบับนี้กำหนดภาระหน้าที่ภาคบังคับแก่ ผู้ให้บริการชำระเงิน ผู้ประกอบธุรกิจสินทรัพย์ดิจิทัล และ ผู้ให้บริการโทรคมนาคม ผู้ประกอบการที่อยู่ภายใต้บังคับต้อง
- จัดให้มีกระบวนการตรวจจับและป้องกันอาชญากรรมทางเทคโนโลยี
- แบ่งปันข้อมูลกับหน่วยข่าวกรองทางการเงินและหน่วยงานกำกับดูแล
- ปฏิเสธ ระงับ หรือปิดบัญชีที่เชื่อมโยงกับกิจกรรมทางอาญาเมื่อได้รับคำสั่ง
- เฝ้าติดตามการสื่อสารเพื่อค้นหาตัวบ่งชี้ของอาชญากรรม (สำหรับผู้ให้บริการโทรคมนาคม)
ความรับผิดร่วมและการชดเชย
ผู้ประกอบธุรกิจและสถาบันการเงินมีความรับผิดร่วมกัน (joint liability) ในการชดเชยผู้เสียหายจากอาชญากรรมทางเทคโนโลยี เว้นแต่จะสามารถพิสูจน์ได้ว่าปฏิบัติตามมาตรฐานที่หน่วยงานกำกับดูแลที่เกี่ยวข้องกำหนดไว้อย่างครบถ้วน ซึ่งสร้างแรงจูงใจทางการเงินโดยตรงให้ผู้ประกอบการรักษามาตรการคุ้มครองข้อมูลและการตรวจจับการฉ้อโกงที่เข้มแข็ง
ศูนย์ปฏิบัติการป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยี (CPOT)
หน่วยงานบังคับใช้กฎหมายเฉพาะทาง ศูนย์ปฏิบัติการป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยี ได้จัดตั้งขึ้นภายใต้สำนักงานปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม CPOT ทำงานในลักษณะคณะทำงานร่วม ประกอบด้วยสำนักงานตำรวจแห่งชาติ กรมสอบสวนคดีพิเศษ และสำนักงานป้องกันและปราบปรามการฟอกเงิน CPOT สามารถแจ้งสถาบันการเงินและผู้ประกอบธุรกิจสินทรัพย์ดิจิทัลเกี่ยวกับบัญชีที่เชื่อมโยงกับกิจกรรมที่ต้องสงสัยว่าเป็นอาชญากรรมได้

ประวัติการบังคับใช้กฎหมายของ PDPC
ประวัติการบังคับใช้กฎหมายของประเทศไทยแสดงให้เห็นแนวโน้มที่ชัดเจนจากความยับยั้งชั่งใจในช่วงแรก ไปสู่บทลงโทษที่จริงจังและมีนัยสำคัญทางการเงิน
สิงหาคม 2567: ค่าปรับทางปกครองครั้งแรก
เมื่อวันที่ 21 สิงหาคม 2567 PDPC ได้ออกคำสั่งลงโทษทางปกครองครั้งแรกของประเทศไทย นับตั้งแต่ PDPA มีผลบังคับใช้เต็มรูปแบบ คณะกรรมการผู้เชี่ยวชาญกำหนดค่าปรับ 7 ล้านบาท แก่บริษัทค้าปลีกออนไลน์รายใหญ่แห่งหนึ่ง คดีนี้เกี่ยวข้องกับ
- เหตุการละเมิดข้อมูลที่กระทบต่อลูกค้ากว่า 100,000 ราย
- การไม่แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามที่กำหนด
- มาตรการรักษาความมั่นคงปลอดภัยทางเทคนิคและองค์กรที่ไม่เพียงพอ
- การไม่รายงานเหตุการละเมิดต่อ PDPC ภายใน 72 ชั่วโมง
ข้อมูลที่รั่วไหลถูกนำไปใช้ประโยชน์โดยเครือข่ายฉ้อโกงคอลเซ็นเตอร์ในเวลาต่อมา ซึ่ง PDPC ได้อ้างถึงเป็นหลักฐานของความเสียหายที่ตามมาจากความบกพร่องในการปฏิบัติตามกฎหมาย ค่าปรับ 7 ล้านบาทถือว่าใกล้เคียงกับเพดานโทษปรับทางปกครองสูงสุดที่กำหนดไว้ภายใต้ PDPA
สิงหาคม 2568: แปดคำสั่งปรับใน 5 คดี
เมื่อวันที่ 1 สิงหาคม 2568 PDPC ได้ประกาศคำสั่งลงโทษทางปกครองแปดคำสั่งใน 5 คดีแยกกัน รวมค่าปรับ ประมาณ 14.5 ล้านบาท คดีเหล่านี้ครอบคลุมทั้งภาครัฐและภาคเอกชน
คดีที่ 1 หน่วยงานรัฐและผู้พัฒนาซอฟต์แวร์: หน่วยงานรัฐและผู้พัฒนาซอฟต์แวร์ที่รับจ้างพัฒนาระบบให้ ต่างถูกปรับจากเหตุโจมตีทางไซเบอร์ที่เปิดเผยข้อมูลส่วนบุคคลของบุคคลประมาณ 200,000 ราย ค่าปรับรวมกันเกิน 306,000 บาท คณะผู้สอบสวนพบว่ามีการใช้รหัสผ่านที่อ่อนแอ ไม่มีกระบวนการประเมินความเสี่ยง และไม่มีข้อตกลงการประมวลผลข้อมูลระหว่างหน่วยงานกับผู้พัฒนา
คดีที่ 2 โรงพยาบาลเอกชน: โรงพยาบาลเอกชนแห่งหนึ่งและผู้รับจ้างถูกปรับรวมกัน 1.2 ล้านบาท จากมาตรการรักษาความปลอดภัยที่ไม่เพียงพอและการไม่แจ้ง PDPC เกี่ยวกับเหตุการละเมิดข้อมูลผู้ป่วย
คดีที่ 3 ผู้ประกอบธุรกิจค้าปลีกคอมพิวเตอร์และอุปกรณ์เสริม: ผู้ประกอบธุรกิจรายนี้ถูกปรับ 7 ล้านบาท ซึ่งใกล้เคียงกับเพดานโทษสูงสุดอีกครั้ง จากการไม่แต่งตั้ง DPO การไม่รายงานเหตุการละเมิดข้อมูล และมาตรการรักษาความปลอดภัยที่อ่อนแอ
คดีที่ 4 บริษัทเครื่องสำอาง: ถูกปรับ 2.5 ล้านบาท จากมาตรการป้องกันความปลอดภัยที่ไม่เพียงพอและการไม่แจ้ง PDPC เกี่ยวกับเหตุการละเมิดข้อมูลภายในระยะเวลาที่กำหนด
คดีที่ 5 ผู้ประกอบธุรกิจค้าปลีกของเล่นสะสมและผู้ประมวลผลข้อมูล: ถูกปรับรวมกันประมาณ 3.5 ล้านบาท จากความบกพร่องด้านความปลอดภัยของผู้ให้บริการ การไม่มีข้อตกลงการประมวลผลข้อมูล และการไม่รายงานเหตุการละเมิด
PDPC ระบุความบกพร่องในการปฏิบัติตามกฎหมายที่เกิดขึ้นซ้ำในทุกห้าคดี ได้แก่ มาตรการรักษาความปลอดภัยที่ไม่เพียงพอ ความบกพร่องในการแจ้งเหตุการละเมิด การขาด DPO และการกำกับดูแลผู้ประมวลผลข้อมูลที่ไม่เพียงพอ
พฤศจิกายน 2568: การปิดตัวโครงการสแกนม่านตา Worldcoin
ในเดือนพฤศจิกายน 2568 PDPC ได้มีคำสั่งให้ผู้ดำเนินโครงการสแกนม่านตา World (เดิมชื่อ Worldcoin) หยุดการลงทะเบียนข้อมูลชีวมิติทั้งหมดในประเทศไทย และลบข้อมูลม่านตาของผู้ใช้ประมาณ 1.2 ล้านราย โครงการดังกล่าวเสนอโทเคนสกุลเงินดิจิทัลเป็นสิ่งจูงใจให้บุคคลสแกนม่านตาของตน
การสอบสวนของ PDPC พบว่า
- ความยินยอมไม่ได้เป็นไปโดยสมัครใจอย่างแท้จริง เนื่องจากสิ่งจูงใจทางการเงินบั่นทอนข้อกำหนดเรื่องความสมัครใจภายใต้ PDPA
- ความโปร่งใสไม่เพียงพอเกี่ยวกับวัตถุประสงค์ที่จะนำข้อมูลชีวมิติไปใช้
- การไม่ปฏิบัติตามข้อกำหนดเรื่องการโอนข้อมูลข้ามพรมแดนและการจัดเก็บข้อมูลอ่อนไหวในระยะยาว
คดีนี้ยืนยันความพร้อมของ PDPC ในการใช้อำนาจทางปกครองเพื่อสั่งให้ลบข้อมูล มิใช่เพียงการกำหนดค่าปรับเท่านั้น มาตรการของประเทศไทยเกิดขึ้นตามหลังคำสั่งในลักษณะเดียวกันในประเทศเยอรมนี โปรตุเกส และฟิลิปปินส์
ยอดรวมค่าปรับสะสม
ณ เดือนพฤษภาคม 2569 PDPC ได้ออกคำสั่งลงโทษปรับทางปกครองรวมประมาณ 21.5 ล้านบาท (ประมาณ 660,000 ดอลลาร์สหรัฐ ตามอัตราแลกเปลี่ยนปัจจุบัน) จังหวะการบังคับใช้กฎหมายกำลังเร่งตัวขึ้น และ PDPC ได้ประกาศว่า อีคอมเมิร์ซ สาธารณสุข โทรคมนาคม และบริการสาธารณะ เป็นภาคส่วนที่ให้ความสำคัญในการสอบสวนสำหรับปี 2569
การโอนข้อมูลข้ามพรมแดน
PDPA จำกัดการโอนข้อมูลส่วนบุคคลออกนอกประเทศไทยภายใต้ มาตรา 28 และมาตรา 29 ประกาศหลักเกณฑ์การโอนข้อมูลเผยแพร่เมื่อปลาย พ.ศ. 2566 และมีผลบังคับใช้ตั้งแต่ วันที่ 24 มีนาคม 2567
คำวินิจฉัยความเพียงพอของมาตรฐาน (มาตรา 28)
ข้อมูลส่วนบุคคลอาจโอนไปยังประเทศปลายทางหรือองค์กรระหว่างประเทศที่ PDPC ได้วินิจฉัยว่ามีมาตรฐานการคุ้มครองข้อมูล ที่เพียงพอ ณ เดือนพฤษภาคม 2569 PDPC ยังไม่ได้เผยแพร่บัญชีรายชื่อประเทศที่มีมาตรฐานเพียงพอ (adequacy list) ซึ่งหมายความว่าองค์กรส่วนใหญ่ต้องพึ่งพากลไกทางเลือกอื่นสำหรับการโอนข้อมูลตามปกติ
หลักเกณฑ์การกำหนดนโยบายในเครือกิจการ (BCR) ที่ใช้งานได้จริงแล้ว
PDPC ได้เผยแพร่ ประกาศหลักเกณฑ์การตรวจสอบและรับรองหลักเกณฑ์การกำหนดนโยบายในเครือกิจการ (BCR) พ.ศ. 2568 เมื่อวันที่ 29 กันยายน 2568 ต่อมามีการเผยแพร่ฉบับปรับปรุงในราชกิจจานุเบกษาเมื่อวันที่ 17 กุมภาพันธ์ 2569 กรอบ BCR ครอบคลุมสองประเภท ได้แก่
- BCR-C: หลักเกณฑ์การกำหนดนโยบายในเครือกิจการสำหรับผู้ควบคุมข้อมูล
- BCR-P: หลักเกณฑ์การกำหนดนโยบายในเครือกิจการสำหรับผู้ประมวลผลข้อมูล
กระบวนการตรวจสอบใช้เวลาประมาณ 180 วัน นับแต่ยื่นคำขอที่ครบถ้วนสมบูรณ์ องค์กรที่ได้รับอนุมัติ BCR จากสหภาพยุโรปหรือสหราชอาณาจักรอยู่แล้ว สามารถใช้ กระบวนการตรวจสอบแบบเร่งด่วน โดยยื่นการอนุมัติที่มีอยู่พร้อมภาคผนวกเฉพาะสำหรับประเทศไทยที่กล่าวถึงข้อกำหนดของ PDPA PDPC ได้อนุมัติคำขอ BCR ชุดแรกสองรายเมื่อ วันที่ 30 กันยายน 2568 ทำให้กลไกนี้ใช้งานได้จริงในทางปฏิบัติแล้ว
ข้อสัญญามาตรฐาน
เมื่อทั้งคำวินิจฉัยความเพียงพอและ BCR ไม่สามารถใช้ได้ องค์กรอาจอาศัย ข้อสัญญามาตรฐาน (SCCs) ที่อ้างอิงจาก
- ข้อสัญญามาตรฐานของอาเซียน สำหรับการไหลเวียนข้อมูลข้ามพรมแดน
- ข้อสัญญามาตรฐานของสหภาพยุโรป สำหรับการโอนข้อมูลส่วนบุคคลไปยังประเทศที่สาม
- ข้อสัญญามาตรฐานอื่นใดที่ PDPC กำหนด
ข้อสัญญามาตรฐานต้องรวมภาระหน้าที่เฉพาะของประเทศไทยไว้ด้วย รวมถึงข้อกำหนดเรื่องการรายงานเหตุการละเมิดภายใน 72 ชั่วโมงโดยผู้นำเข้าข้อมูล
ข้อยกเว้น
การโอนข้อมูลข้ามพรมแดนอาจดำเนินการได้โดยไม่ต้องใช้กลไกข้างต้น เมื่อมีความจำเป็นเพื่อการปฏิบัติตามกฎหมาย เมื่อเจ้าของข้อมูลได้ให้ความยินยอมที่แจ้งให้ทราบแล้วเกี่ยวกับมาตรฐานการคุ้มครองของประเทศปลายทาง เพื่อการปฏิบัติตามสัญญา เพื่อประโยชน์สำคัญต่อชีวิต หรือเพื่อประโยชน์สาธารณะที่สำคัญ

ข้อกำหนดเกี่ยวกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)
นับตั้งแต่ประกาศ PDPC ภายใต้มาตรา 41(2) มีผลบังคับใช้เมื่อ เดือนธันวาคม 2566 องค์กรต้องแต่งตั้ง DPO ในสถานการณ์ที่กำหนดไว้เฉพาะ ประกาศเพิ่มเติมที่เผยแพร่ใน ราชกิจจานุเบกษาเมื่อเดือนตุลาคม 2568 ได้ขยายข้อกำหนดภาคบังคับเรื่อง DPO ไปยังหน่วยงานรัฐทั้งหมดที่ PDPC กำหนด
กรณีที่การแต่งตั้งเป็นภาคบังคับ
- ผู้ควบคุมข้อมูลหรือผู้ประมวลผลข้อมูลเป็น หน่วยงานรัฐ ที่ PDPC กำหนด
- กิจกรรมหลักเกี่ยวข้องกับ การเฝ้าติดตามข้อมูลส่วนบุคคลหรือระบบข้อมูลอย่างสม่ำเสมอ
- กิจกรรมหลักต้องมี การประมวลผลข้อมูลในระดับขนาดใหญ่ (นิยามว่าเป็นการประมวลผลข้อมูลของเจ้าของข้อมูลตั้งแต่ 100,000 รายขึ้นไป หรือกิจกรรมเช่นการโฆษณาตามพฤติกรรม ประกันภัย หรือโทรคมนาคม)
- กิจกรรมหลักเกี่ยวข้องกับการประมวลผล ข้อมูลส่วนบุคคลที่มีความอ่อนไหว ในระดับขนาดใหญ่
หน้าที่ของ DPO
DPO ต้อง
- รับผิดชอบให้เกิดการปฏิบัติตาม PDPA อย่างต่อเนื่องภายในองค์กร
- เฝ้าติดตามและตรวจสอบกิจกรรมด้านการคุ้มครองข้อมูล
- ให้คำแนะนำและข้อเสนอแนะเกี่ยวกับประเด็นการคุ้มครองข้อมูล
- เป็นจุดติดต่อสำหรับ PDPC และเจ้าของข้อมูล
- รักษาความลับเกี่ยวกับข้อร้องเรียนและรายงานการละเมิด
บทลงโทษกรณีไม่แต่งตั้ง DPO
องค์กรที่เข้าข่ายข้อกำหนดภาคบังคับเรื่อง DPO แต่ไม่แต่งตั้ง ต้องรับโทษปรับทางปกครอง สูงสุด 1 ล้านบาท ทั้งในการบังคับใช้กฎหมายรอบ พ.ศ. 2567 และ 2568 การไม่มี DPO ถูกระบุว่าเป็นปัจจัยเพิ่มโทษที่นำไปสู่ค่าปรับที่สูงขึ้น
พัฒนาการล่าสุด (2568 ถึง 2569)
ร่างพระราชบัญญัติแก้ไขเพิ่มเติม PDPA
ในช่วงปลาย พ.ศ. 2568 PDPC ได้เปิดรับฟังความคิดเห็นสาธารณะเกี่ยวกับร่างแก้ไขเพิ่มเติม PDPA กระบวนการแก้ไขนี้ถือเป็นการทบทวนกฎหมายฉบับสมบูรณ์ครั้งแรกนับตั้งแต่กฎหมายมีผลบังคับใช้ ข้อเสนอสำคัญที่อยู่ระหว่างการพิจารณารวมถึง
- การปรับสถานะ PDPA ให้เป็นกรอบกฎหมายหลัก มิใช่เพียงมาตรฐานขั้นต่ำ
- การชี้แจงคำนิยามของ "ผู้ควบคุมข้อมูล" และ "ผู้ประมวลผลข้อมูล" เพื่อแก้ไขความคลุมเครือที่เกิดขึ้นในการบังคับใช้กฎหมาย
- การทบทวนการจัดประเภทประวัติอาชญากรรมให้เป็นข้อมูลส่วนบุคคลที่มีความอ่อนไหว
- การปรับโครงสร้างลำดับชั้นของฐานทางกฎหมาย เพื่อลดการพึ่งพาความยินยอมมากเกินไป
- การชี้แจงว่าความยินยอมโดยชัดแจ้งต้องอาศัยการกระทำเชิงบวกอย่างชัดเจนหรือพฤติการณ์โดยปริยาย
การรับฟังความคิดเห็นสาธารณะรอบแรกเสร็จสิ้นแล้ว และร่างแก้ไขฉบับปรับปรุงกำลังอยู่ระหว่างกระบวนการทางนิติบัญญัติอย่างเป็นทางการ ยังไม่มีการประกาศใช้ร่างแก้ไขใด ๆ ณ เดือนพฤษภาคม 2569
ร่างแนวปฏิบัติด้าน AI ของ PDPC
เมื่อวันที่ 17 กุมภาพันธ์ 2569 PDPC ได้เผยแพร่ ร่างแนวปฏิบัติเรื่องการคุ้มครองข้อมูลส่วนบุคคลในการพัฒนาและใช้งานปัญญาประดิษฐ์ เพื่อรับฟังความคิดเห็นสาธารณะ แนวปฏิบัตินี้แปลงภาระหน้าที่ที่มีอยู่ภายใต้ PDPA ให้เป็นข้อคาดหวังเฉพาะสำหรับ AI ข้อคาดหวังสำคัญประกอบด้วย
- การออกแบบโดยคำนึงถึงความเป็นส่วนตัวและตั้งค่าเริ่มต้นให้เป็นส่วนตัว (privacy by design and by default) ผสานเข้ากับสถาปัตยกรรมระบบ AI
- ข้อกำหนดเรื่องฐานทางกฎหมายที่นำไปใช้กับการเก็บรวบรวมข้อมูลสำหรับฝึกโมเดล
- หลักการเก็บข้อมูลเท่าที่จำเป็นที่นำไปใช้กับข้อมูลนำเข้าของโมเดล
- ข้อจำกัดทางสัญญาในข้อตกลงการประมวลผลข้อมูล เพื่อป้องกันการนำข้อมูลส่วนบุคคลไปฝึกโมเดลโดยไม่ได้รับอนุญาต
- ภาระหน้าที่ด้านความโปร่งใสเกี่ยวกับการตัดสินใจอัตโนมัติ
แนวปฏิบัติด้าน AI นี้ยังไม่มีผลผูกพันทางกฎหมาย แต่เป็นสัญญาณที่บ่งบอกว่า PDPC จะตีความและปรับใช้ PDPA กับการประมวลผลข้อมูลที่ขับเคลื่อนด้วย AI ในการบังคับใช้กฎหมายในอนาคตอย่างไร
การรับฟังความคิดเห็นสาธารณะเกี่ยวกับแนวปฏิบัติ PDPA (เมษายน 2569)
PDPC จัดการรับฟังความคิดเห็นสาธารณะสองวันเมื่อวันที่ 1 ถึง 2 เมษายน 2569 ภายหลังการมีส่วนร่วมของผู้มีส่วนได้ส่วนเสียทางออนไลน์เมื่อเดือนมีนาคม 2569 มีหกด้านการปฏิบัติตามกฎหมายที่มีความสำคัญเป็นหัวข้อของความคิดเห็นจากผู้มีส่วนได้ส่วนเสีย ได้แก่
- ฐานทางกฎหมายในการประมวลผลข้อมูล
- มาตรการรักษาความปลอดภัยและการแจ้งเหตุการละเมิด
- ภาระหน้าที่ของ DPO
- การตลาดและการตลาดทางตรง
- บันทึกกิจกรรมการประมวลผล (ROPA)
- การเก็บรวบรวมข้อมูลผ่านกล้องวงจรปิดและการสแกนบัตรประจำตัวประชาชน
คาดว่าแนวปฏิบัติที่เป็นทางการครอบคลุมด้านเหล่านี้จะประกาศในช่วงปลาย พ.ศ. 2569
โครงการรับรอง Trust Mark
PDPC กำลังพัฒนา ตรารับรองด้านการคุ้มครองข้อมูล (Trust Mark) กรอบแบบสอบถามอยู่ระหว่างการจัดเตรียม ณ กลางปี 2569 โดยคาดว่าจะประกาศอย่างเป็นทางการในไตรมาสที่สองถึงสามของปี 2569 Trust Mark คาดว่าจะทำหน้าที่เป็นปัจจัยสร้างความแตกต่างด้านการปฏิบัติตามกฎหมายในบริบทของการจัดซื้อจัดจ้าง ความร่วมมือทางธุรกิจ และความเชื่อมั่นของผู้บริโภค
ลำดับความสำคัญด้านการปฏิบัติตามกฎหมายสำหรับภาคธุรกิจ
องค์กรที่ดำเนินกิจการในประเทศไทยหรือประมวลผลข้อมูลส่วนบุคคลของผู้พำนักในประเทศไทย ควรถือว่าสิ่งต่อไปนี้เป็นภาระหน้าที่การปฏิบัติตามกฎหมายที่ต้องดำเนินการจริง มิใช่เป้าหมายเชิงอุดมคติ
- จัดทำแผนผังกิจกรรมการประมวลผลข้อมูลทั้งหมด และจัดทำเอกสารระบุฐานทางกฎหมายสำหรับแต่ละกิจกรรม เมื่อใช้ความยินยอม ควรตรวจสอบว่าเป็นไปตามมาตรฐานความสมัครใจ ความเฉพาะเจาะจง การแจ้งให้ทราบ และความปราศจากความคลุมเครือ
- ปรับปรุงคำแจ้งเรื่องความเป็นส่วนตัว ให้เป็นไปตามข้อกำหนดการเปิดเผยของ PDPA รวมถึงระยะเวลาการเก็บรักษาข้อมูลและสิทธิของเจ้าของข้อมูล
- จัดให้มีมาตรการควบคุมทางเทคนิคด้านความปลอดภัย รวมถึงการจัดการสิทธิการเข้าถึง การยืนยันตัวตนแบบหลายปัจจัย การเข้ารหัสข้อมูลทั้งขณะจัดเก็บและขณะส่ง และการประเมินความเสี่ยงเป็นระยะ
- จัดตั้งกระบวนการตรวจจับและตอบสนองต่อการละเมิดข้อมูล พร้อมช่องทางการรายงานภายในที่ชัดเจน เพื่อให้ทันกรอบเวลาแจ้ง PDPC ภายใน 72 ชั่วโมง
- แต่งตั้ง DPO หากกิจกรรมการประมวลผลเข้าเกณฑ์ภาคบังคับ หน่วยงานรัฐปัจจุบันมีภาระหน้าที่ภาคบังคับแยกต่างหาก
- จัดทำข้อตกลงการประมวลผลข้อมูล กับผู้ประมวลผลข้อมูลบุคคลที่สามทุกราย การไม่มี DPA ถูกอ้างถึงในทุกคดีบังคับใช้กฎหมายปี 2568 ที่เกี่ยวข้องกับความสัมพันธ์กับผู้ประมวลผลข้อมูล
- ทบทวนการโอนข้อมูลข้ามพรมแดน และดำเนินการตาม BCR, SCC หรือข้อยกเว้นที่มีการจัดทำเอกสารรองรับ ช่องทาง BCR ใช้งานได้จริงแล้วในปัจจุบัน
- จัดทำบันทึกกิจกรรมการประมวลผล (ROPA) ครอบคลุมการดำเนินการประมวลผลทั้งหมดและฐานทางกฎหมายของแต่ละกิจกรรม
- จัดทำการประเมินผลกระทบด้านการคุ้มครองข้อมูล สำหรับกิจกรรมการประมวลผลที่มีความเสี่ยงสูง รวมถึงการทำโปรไฟล์ที่ขับเคลื่อนด้วย AI และการประมวลผลข้อมูลอ่อนไหวในระดับขนาดใหญ่
- ฝึกอบรมพนักงานทุกคน ที่จัดการข้อมูลส่วนบุคคลเกี่ยวกับภาระหน้าที่ตาม PDPA การรับรู้เหตุการละเมิด และกระบวนการรายงานภายใน
- ติดตามแนวปฏิบัติที่กำลังพัฒนาของ PDPC เกี่ยวกับ AI กล้องวงจรปิด การตลาดทางตรง และ ROPA เนื่องจากคาดว่าจะมีแนวปฏิบัติที่เป็นทางการในช่วงครึ่งหลังของปี 2569
สภาพแวดล้อมด้านการบังคับใช้กฎหมายของประเทศไทยใน พ.ศ. 2569 แตกต่างไปจาก พ.ศ. 2565 อย่างมีนัยสำคัญในเชิงคุณภาพ PDPC ได้แสดงให้เห็นแล้วว่าจะกำหนดค่าปรับใกล้เพดานสูงสุด สั่งให้ลบข้อมูล และสอบสวนเชิงรุกโดยไม่ต้องรอข้อร้องเรียน สำหรับธุรกิจที่ปฏิบัติต่อการปฏิบัติตาม PDPA เป็นเพียงงานเอกสาร ประวัติการบังคับใช้กฎหมายในช่วง พ.ศ. 2567 ถึง 2568 คือสัญญาณความเสี่ยงทางกฎหมายและการเงินที่มีนัยสำคัญ
สำหรับข้อมูลเกี่ยวกับกฎหมายว่าด้วยการบันทึกเสียงในประเทศไทย โปรดดูคู่มือกฎหมายการบันทึกเสียงในประเทศไทยของเรา
คำถามที่พบบ่อย
Frequently Asked Questions
PDPA ของประเทศไทยใช้บังคับกับบริษัทต่างชาติหรือไม่
ใช่ PDPA มีขอบเขตการบังคับใช้นอกประเทศ โดยใช้บังคับกับองค์กรใดก็ตาม ไม่ว่าจะตั้งอยู่ที่ใด ที่เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบุคคลในประเทศไทย ซึ่งรวมถึงธุรกิจต่างชาติที่เสนอสินค้าหรือบริการแก่บุคคลในประเทศไทย หรือเฝ้าติดตามพฤติกรรมของบุคคลที่อยู่ในประเทศ หากเว็บไซต์ของท่านมุ่งเป้าไปยังผู้บริโภคชาวไทยหรือท่านประมวลผลข้อมูลเกี่ยวกับผู้พำนักในประเทศไทย ท่านย่อมอยู่ภายใต้บังคับของ PDPA
บทลงโทษสูงสุดสำหรับการฝ่าฝืน PDPA ของประเทศไทยคืออะไร
PDPA กำหนดบทลงโทษสามระดับ โทษปรับทางปกครองสูงสุดถึง 5 ล้านบาทต่อการฝ่าฝืนหนึ่งครั้ง โทษทางอาญาภายใต้ PDPA รวมถึงจำคุกไม่เกินหนึ่งปีและปรับไม่เกิน 1 ล้านบาท สำหรับการใช้ข้อมูลส่วนบุคคลที่มีความอ่อนไหวโดยมิชอบ พระราชกำหนดมาตรการป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยี (เมษายน 2568) เพิ่มโทษทางอาญาสูงสุดถึงจำคุก 5 ปี สำหรับการแสวงหาประโยชน์ในเชิงพาณิชย์จากข้อมูลส่วนบุคคล ความรับผิดทางแพ่งเปิดโอกาสให้ศาลกำหนดค่าสินไหมทดแทนเพื่อการลงโทษสูงสุดถึงสองเท่าของความเสียหายที่แท้จริง โดยรวมแล้ว PDPC ได้กำหนดค่าปรับสะสมประมาณ 21.5 ล้านบาท จากมาตรการบังคับใช้กฎหมายจนถึงกลางปี 2569
ต้องรายงานเหตุการละเมิดข้อมูลภายใต้ PDPA เร็วเพียงใด
ผู้ควบคุมข้อมูลต้องแจ้ง PDPC ภายใน 72 ชั่วโมงนับแต่ทราบเหตุการละเมิดข้อมูลส่วนบุคคลที่ก่อให้เกิดความเสี่ยงต่อสิทธิและเสรีภาพของเจ้าของข้อมูล หากมีเหตุสุดวิสัยที่ทำให้ไม่สามารถแจ้งภายในกำหนดเวลาดังกล่าวได้ ผู้ควบคุมข้อมูลมีเวลาสูงสุด 15 วัน แต่ต้องชี้แจงเหตุผลของความล่าช้า เมื่อการละเมิดก่อให้เกิดความเสี่ยงสูงต่อบุคคล ผู้ควบคุมข้อมูลต้องแจ้งเจ้าของข้อมูลที่ได้รับผลกระทบโดยไม่ชักช้าเช่นกัน การไม่รายงานภายในกรอบเวลาที่กำหนดอาจส่งผลให้ถูกปรับทางปกครองสูงสุด 3 ล้านบาท ความบกพร่องในการแจ้งเหตุการละเมิดถูกอ้างถึงในทุกหนึ่งในห้าคดีบังคับใช้กฎหมายที่ประกาศเมื่อเดือนสิงหาคม 2568
สามารถโอนข้อมูลส่วนบุคคลออกนอกประเทศไทยภายใต้ PDPA ได้หรือไม่
ได้ แต่ในกรณีส่วนใหญ่ต้องใช้กลไกการโอนข้อมูลรองรับ องค์กรสามารถใช้หลักเกณฑ์การกำหนดนโยบายในเครือกิจการ (BCR) ซึ่งใช้งานได้จริงแล้วหลังจาก PDPC อนุมัติคำขอ BCR ชุดแรกในเดือนกันยายน 2568 ข้อสัญญามาตรฐานที่อ้างอิงจากแบบของอาเซียนหรือสหภาพยุโรป หรือความยินยอมที่แจ้งให้ทราบอย่างชัดเจน บัญชีรายชื่อประเทศที่มีมาตรฐานเพียงพอยังไม่ได้เผยแพร่ ประกาศหลักเกณฑ์การโอนข้อมูลข้ามพรมแดนฉบับใหม่มีผลบังคับใช้ตั้งแต่วันที่ 24 มีนาคม 2567
การแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลเป็นเรื่องภาคบังคับในประเทศไทยหรือไม่
ขึ้นอยู่กับกิจกรรมการประมวลผล นับตั้งแต่เดือนธันวาคม 2566 จำเป็นต้องมี DPO เมื่อองค์กรเป็นหน่วยงานรัฐที่กำหนด (ขยายไปยังหน่วยงานรัฐทั้งหมดในเดือนตุลาคม 2568) เมื่อกิจกรรมหลักเกี่ยวข้องกับการเฝ้าติดตามระบบข้อมูลส่วนบุคคลอย่างสม่ำเสมอ เมื่อมีการประมวลผลในระดับขนาดใหญ่ (ตั้งแต่ 100,000 รายขึ้นไป) หรือเมื่อกิจกรรมหลักเกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลที่มีความอ่อนไหวในระดับขนาดใหญ่ การไม่แต่งตั้ง DPO เมื่อจำเป็นมีโทษปรับทางปกครองสูงสุด 1 ล้านบาท และถือเป็นปัจจัยเพิ่มโทษในการคำนวณค่าปรับ
พระราชกำหนดปี 2568 เพิ่มเติมอะไรให้กับกรอบการคุ้มครองข้อมูลของประเทศไทย
พระราชกำหนดมาตรการป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยี (ฉบับที่ 2) (มีผลบังคับใช้ 13 เมษายน 2568) เพิ่มโทษทางอาญาสำหรับการนำข้อมูลส่วนบุคคลไปใช้ในทางที่ผิดที่เกี่ยวข้องกับอาชญากรรมโดยเฉพาะ การเก็บรวบรวม ครอบครอง หรือเปิดเผยข้อมูลส่วนบุคคลโดยมีเจตนาทางอาญามีโทษจำคุกไม่เกินหนึ่งปีและปรับไม่เกิน 100,000 บาท การซื้อ ขาย หรือแสวงหาผลกำไรจากข้อมูลส่วนบุคคลในเชิงพาณิชย์โดยมิชอบมีโทษจำคุกไม่เกินห้าปีและปรับไม่เกิน 500,000 บาท พระราชกำหนดฉบับนี้ยังจัดตั้งศูนย์บังคับใช้กฎหมายแห่งใหม่ (CPOT) และกำหนดภาระหน้าที่ภาคบังคับแก่ผู้ให้บริการชำระเงิน ผู้ประกอบธุรกิจสินทรัพย์ดิจิทัล และผู้ให้บริการโทรคมนาคม
สถานะปัจจุบันของกระบวนการแก้ไข PDPA ของประเทศไทยเป็นอย่างไร
ในช่วงปลาย พ.ศ. 2568 PDPC ได้เปิดรับฟังความคิดเห็นสาธารณะเกี่ยวกับร่างแก้ไขเพิ่มเติม PDPA การเปลี่ยนแปลงที่เสนอรวมถึงการชี้แจงคำนิยามผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูล การปรับโครงสร้างลำดับชั้นของฐานทางกฎหมายเพื่อลดการพึ่งพาความยินยอมมากเกินไป การทบทวนประเภทของข้อมูลส่วนบุคคลที่มีความอ่อนไหว และการปรับปรุงกรอบสำหรับการประมวลผลที่ขับเคลื่อนด้วย AI การรับฟังความคิดเห็นรอบแรกเสร็จสิ้นแล้ว และร่างแก้ไขฉบับปรับปรุงกำลังอยู่ระหว่างกระบวนการทางนิติบัญญัติ ยังไม่มีการประกาศใช้ร่างแก้ไขใด ๆ ณ เดือนพฤษภาคม 2569
Sources and References
- พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (ค.ศ. 2019) ฉบับเต็ม (ราชกิจจานุเบกษา)(pdpathailand.com).gov
- สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) เว็บไซต์ทางการ(pdpc.or.th).gov
- ประกาศ PDPC เรื่องหลักเกณฑ์และวิธีการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล(pdpathailand.com).gov
- ราชกิจจานุเบกษา สิ่งพิมพ์ทางการของรัฐบาลไทย(ratchakitcha.soc.go.th).gov
- ค่าปรับทางปกครองครั้งแรกของ PDPC ค่าปรับ 7 ล้านบาทสำหรับการไม่ปฏิบัติตามกฎหมาย - Nishimura & Asahi(nishimura.com)
- PDPC ของไทยอนุมัติ BCR สำหรับการโอนข้อมูลข้ามพรมแดน - Baker McKenzie(bakermckenzie.com)
- ประเทศไทย: หลักเกณฑ์การโอนข้อมูลข้ามพรมแดนฉบับใหม่ประกาศเป็นกฎหมายอย่างเป็นทางการ - Baker McKenzie(insightplus.bakermckenzie.com)
- การกวาดล้าง PDPA ของไทยปี 2025: ค่าปรับสำคัญและบทเรียน - DLA Piper(privacymatters.dlapiper.com)
- ค่าปรับและเหตุการณ์สำคัญของ PDPA: ไทม์ไลน์ 6 ปีแห่งการบังคับใช้กฎหมายคุ้มครองข้อมูลของไทย - Herbert Smith Freehills Kramer(hsfkramer.com)
- การคุ้มครองข้อมูลและความเป็นส่วนตัว 2026 ประเทศไทย: แนวโน้มและพัฒนาการ - Chambers and Partners(practiceguides.chambers.com)
- ประเทศไทยแก้ไขพระราชกำหนดว่าด้วยอาชญากรรมทางเทคโนโลยี - Tilleke & Gibbins(tilleke.com)
- ประเทศไทยจัดตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล - Tilleke & Gibbins(tilleke.com)
- ประเทศไทย: การนำ PDPA ไปปฏิบัติจริง ฐานทางกฎหมาย ข้อมูลส่วนบุคคลอ่อนไหว และมาตรการคุ้มครองการประมวลผลข้อมูล - Tilleke & Gibbins(tilleke.com)
- ประเทศไทยสั่งปิดโครงการสแกนม่านตา World สั่งลบข้อมูลชีวมิติ - Biometric Update(biometricupdate.com)
- PDPC ของไทยชี้แจงข้อกำหนดการแจ้งเหตุการละเมิดข้อมูล - IAPP(iapp.org)
- ประกาศ PDPC เรื่องข้อกำหนดการแต่งตั้ง DPO ภายใต้มาตรา 41(2) พ.ศ. 2566 - Lexology(lexology.com)
- PDPC ของไทยส่งสัญญาณเข้มงวดในการบังคับใช้กฎหมายด้วยค่าปรับหลายล้านบาท - GALA(blog.galalaw.com)
- การกวาดล้าง PDPA ของไทยปี 2026: PDPC ออกค่าปรับ 8 คำสั่งและพระราชกำหนดว่าด้วยอาชญากรรมทางเทคโนโลยี - Saeree ERP(grandlinux.com)
- PDPA ของไทยและข้อมูลชีวมิติ: การบังคับใช้กฎหมายและบทเรียนจากคดีสแกนม่านตา World - MPG(mahanakornpartners.com)
- ภาพรวมการโอนข้อมูลส่วนบุคคลข้ามพรมแดนของประเทศไทย - Securiti(securiti.ai)