PDPA Thailand คืออะไร? สรุปกฎหมายคุ้มครองข้อมูลส่วนบุคคลไทย

PDPA Thailand คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กฎหมายที่กำหนดกรอบการเก็บ ใช้ และเปิดเผยข้อมูลส่วนบุคคลในประเทศไทยอย่างเป็นระบบครั้งแรก ใครก็ตามที่เก็บข้อมูลลูกค้า ผู้ใช้งาน หรือพนักงาน ล้วนอยู่ภายใต้กฎหมายนี้ทั้งสิ้น

บทความนี้จะพาไปทำความเข้าใจว่า PDPA Thailand คืออะไร ครอบคลุมอะไรบ้าง และธุรกิจต้องปฏิบัติอย่างไรถึงจะไม่เสี่ยงโทษ

PDPA Thailand คืออะไร?

PDPA ย่อมาจาก Personal Data Protection Act หรือในชื่อภาษาไทยว่า พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กฎหมายฉบับนี้ประกาศใช้เมื่อวันที่ 27 พฤษภาคม 2562 และเริ่มบังคับใช้อย่างเต็มรูปแบบตั้งแต่วันที่ 1 มิถุนายน 2565 เป็นต้นมา

หัวใจของกฎหมายนี้คือการให้สิทธิ์เจ้าของข้อมูล (Data Subject) มีอำนาจควบคุมข้อมูลส่วนตัวของตัวเอง และกำหนดให้ผู้ที่เก็บหรือประมวลผลข้อมูล ไม่ว่าจะเป็นองค์กรภาครัฐหรือเอกชน ต้องดำเนินการอย่างโปร่งใส ถูกต้องตามวัตถุประสงค์ และได้รับความยินยอมก่อนทุกครั้ง

พูดง่าย ๆ คือ PDPA Thailand ทำให้ “ข้อมูลส่วนบุคคลเป็นของเจ้าของข้อมูล” ไม่ใช่ของธุรกิจที่เก็บไว้

ข้อมูลส่วนบุคคลตาม PDPA หมายถึงอะไร?

หลายคนเข้าใจว่าข้อมูลส่วนบุคคลคือแค่ชื่อและเลขบัตรประชาชน แต่จริง ๆ แล้วกฎหมาย PDPA Thailand ให้นิยามกว้างกว่านั้นมาก โดยครอบคลุมข้อมูลทุกอย่างที่สามารถ “ระบุตัวตน” ของบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม

ข้อมูลทั่วไป

• ชื่อ-นามสกุล, วันเกิด, เพศ, สัญชาติ
• ที่อยู่, เบอร์โทรศัพท์, อีเมล
• เลขบัตรประชาชน, เลขหนังสือเดินทาง
• IP Address, Cookie ID, ข้อมูล Location
• ข้อมูลบัญชีธนาคาร, เลขบัตรเครดิต

ข้อมูลอ่อนไหวที่ต้องระวังเป็นพิเศษ

PDPA กำหนดหมวด “ข้อมูลอ่อนไหว” ที่ต้องได้รับการคุ้มครองในระดับสูงกว่าปกติ เพราะอาจนำไปสู่การเลือกปฏิบัติหรือสร้างความเสียหายได้ ได้แก่

• เชื้อชาติ ชาติพันธุ์ ความคิดเห็นทางการเมือง
• ความเชื่อทางศาสนาหรือปรัชญา
• พฤติกรรมทางเพศ
• ประวัติอาชญากรรม
• ข้อมูลสุขภาพ ความพิการ หรือข้อมูลพันธุกรรม
• ข้อมูลสหภาพแรงงาน
• ข้อมูลชีวภาพ เช่น ลายนิ้วมือ การสแกนใบหน้า (Biometric Data)

ใครบ้างที่อยู่ภายใต้ PDPA Thailand?

คำถามที่ธุรกิจถามบ่อยมากคือ “เราต้องทำตามกฎหมายนี้ด้วยไหม?” คำตอบสั้น ๆ คือ ถ้าคุณเก็บหรือใช้ข้อมูลส่วนบุคคลของบุคคลที่อยู่ในประเทศไทย คุณอยู่ภายใต้กฎหมายนี้ โดยแบ่งผู้ที่มีหน้าที่ตามกฎหมายออกเป็น 3 บทบาทหลักดังนี้

• ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) : ผู้ตัดสินใจว่าจะเก็บข้อมูลอะไร เพื่อวัตถุประสงค์ใด เช่น บริษัท E-Commerce ที่เก็บข้อมูลลูกค้า
• ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) : ผู้ที่ประมวลผลข้อมูลตามคำสั่งของ Data Controller เช่น บริษัท Cloud หรือบริษัทรับจ้างวิเคราะห์ข้อมูล
• เจ้าของข้อมูล (Data Subject) : บุคคลที่ข้อมูลนั้นเกี่ยวข้อง เช่น ลูกค้า พนักงาน ผู้ใช้งานแอป

นอกจากนี้ กฎหมายยังมีผลบังคับกับองค์กรต่างชาติที่ไม่ได้ตั้งอยู่ในไทย แต่เสนอสินค้าหรือบริการให้กับบุคคลในประเทศไทย หรือติดตามพฤติกรรมของบุคคลในไทยด้วย

สิทธิของเจ้าของข้อมูลตาม PDPA

หนึ่งในสาระสำคัญที่สุดของ PDPA Thailand คือการให้สิทธิแก่เจ้าของข้อมูลในการควบคุมข้อมูลของตัวเอง ธุรกิจต้องพร้อมรองรับสิทธิเหล่านี้

• สิทธิในการรับทราบ : ต้องแจ้งให้ทราบว่าเก็บข้อมูลอะไร เพื่อวัตถุประสงค์ใด ก่อนหรือในขณะเก็บข้อมูล
• สิทธิในการเข้าถึงข้อมูล : ขอดูข้อมูลที่ถูกเก็บไว้ได้ตลอดเวลา
• สิทธิในการแก้ไขข้อมูล : หากข้อมูลไม่ถูกต้อง สามารถร้องขอให้แก้ไขได้
• สิทธิในการลบข้อมูล : สามารถขอให้ลบข้อมูลออกจากระบบได้ ภายใต้เงื่อนไขที่กำหนด
• สิทธิในการระงับการใช้ข้อมูล : ขอให้หยุดใช้ข้อมูลชั่วคราวในระหว่างตรวจสอบหรือโต้แย้ง
• สิทธิในการโอนย้ายข้อมูล : ขอรับข้อมูลในรูปแบบที่ใช้งานได้ เพื่อนำไปใช้กับผู้ให้บริการรายอื่น
• สิทธิในการคัดค้าน : คัดค้านการเก็บหรือใช้ข้อมูลในบางกรณี เช่น การใช้เพื่อการตลาดตรง

ฐานทางกฎหมายในการประมวลผลข้อมูล

ก่อนที่จะเก็บหรือใช้ข้อมูลส่วนบุคคลใด ๆ ธุรกิจต้องมี “ฐานทางกฎหมาย” ที่ชอบด้วยกฎหมายรองรับ PDPA Thailand กำหนดฐานทางกฎหมายไว้ 6 ประการ

1. ความยินยอม (Consent)

ฐานที่หลายธุรกิจรู้จักมากที่สุด การได้รับความยินยอมต้องชัดเจน เฉพาะเจาะจง และสมัครใจ ห้ามบังคับหรือแอบซ่อนในข้อตกลงยาว ๆ และเจ้าของข้อมูลต้องถอนความยินยอมได้ตลอดเวลา

2. การปฏิบัติตามสัญญา (Contractual Necessity)

เก็บข้อมูลเพราะจำเป็นต่อการให้บริการที่ตกลงกันไว้ เช่น เก็บที่อยู่เพื่อจัดส่งสินค้า

3. ประโยชน์สาธารณะ (Public Interest)

ใช้สำหรับการดำเนินงานของหน่วยงานรัฐหรือภารกิจที่เกี่ยวกับประโยชน์สาธารณะ

4. ประโยชน์อันชอบธรรม (Legitimate Interest)

ฐานที่องค์กรเอกชนใช้บ่อย โดยต้องพิสูจน์ว่าประโยชน์ขององค์กรไม่ละเมิดสิทธิขั้นพื้นฐานของเจ้าของข้อมูล เช่น การป้องกันการฉ้อโกง

5. ป้องกันอันตรายต่อชีวิต (Vital Interest)

ใช้ในกรณีฉุกเฉินที่จำเป็นต้องเก็บข้อมูลเพื่อปกป้องชีวิต เช่น สถานการณ์ทางการแพทย์

6. ปฏิบัติตามกฎหมาย (Legal Obligation)

เมื่อกฎหมายอื่นบังคับให้ต้องเก็บข้อมูล เช่น กฎหมายแรงงาน หรือกฎหมายภาษี

5 หลักการสำคัญของกฎหมาย PDPA Thailand

นอกจากฐานทางกฎหมายแล้ว PDPA Thailand ยังวางหลักการกำกับพฤติกรรมการจัดการข้อมูลไว้ 5 ข้อ ซึ่งองค์กรต้องยึดถือตลอดวงจรชีวิตของข้อมูล ตั้งแต่วันแรกที่เก็บจนถึงวันที่ลบทิ้ง

• ความชอบด้วยกฎหมาย (Lawfulness) : ทุกการประมวลผลต้องมีฐานทางกฎหมายรองรับ ไม่มีฐาน = ผิดกฎหมายทันที
• จำกัดวัตถุประสงค์ (Purpose Limitation) : เก็บข้อมูลเพื่ออะไร ใช้ได้แค่นั้น จะนำไปใช้นอกวัตถุประสงค์ต้องขอความยินยอมใหม่
• ความโปร่งใส (Transparency) : เจ้าของข้อมูลต้องรู้ว่าใครเก็บ เก็บอะไร ทำไม และนานแค่ไหน ผ่าน Privacy Notice ที่อ่านเข้าใจง่าย
• ความมั่นคงปลอดภัย (Data Security) : ต้องมีมาตรการป้องกันทั้งด้านเทคนิคและองค์กร เช่น Encryption, Access Control, การสำรองข้อมูล
• ความรับผิดชอบที่พิสูจน์ได้ (Accountability) : ไม่ใช่แค่ทำถูก แต่ต้องพิสูจน์ได้ว่าทำถูก ผ่านเอกสาร บันทึก และ ROPA ที่อัปเดตสม่ำเสมอ

หน้าที่ขององค์กรภายใต้ PDPA Thailand

นอกจากต้องมีฐานทางกฎหมายแล้ว กฎหมายยังกำหนดหน้าที่เชิงปฏิบัติที่องค์กรต้องทำอย่างเป็นระบบ

จัดทำ Privacy Policy ที่ชัดเจน

ต้องมีเอกสารแจ้งเจ้าของข้อมูล (Privacy Notice) ที่ระบุว่า เก็บข้อมูลอะไร เพื่อวัตถุประสงค์ใด เก็บนานแค่ไหน และเปิดเผยให้ใครบ้าง ต้องเข้าใจง่าย ไม่ใช้ภาษากฎหมายที่สลับซับซ้อนเกินไป

ควบคุมดูแลผู้ประมวลผลข้อมูล

หากจ้างบุคคลภายนอกมาประมวลผลข้อมูล เช่น ระบบ CRM, Email Marketing หรือ Cloud Server ต้องมีสัญญา Data Processing Agreement (DPA) รองรับ

แต่งตั้ง DPO ในกรณีที่กำหนด

องค์กรที่ต้องแต่งตั้ง เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer : DPO) ได้แก่ หน่วยงานรัฐ องค์กรที่เก็บข้อมูลขนาดใหญ่ หรือองค์กรที่ประมวลผลข้อมูลอ่อนไหวเป็นหลัก

บันทึกกิจกรรมการประมวลผล (ROPA)

ต้องจดบันทึกทุกกิจกรรมที่เกี่ยวกับการประมวลผลข้อมูล เพื่อให้สามารถแสดงต่อหน่วยงานกำกับดูแลได้เมื่อถูกตรวจสอบ

แจ้งเหตุละเมิดข้อมูลภายใน 72 ชั่วโมง

หากเกิด Data Breach ต้องแจ้งต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ภายใน 72 ชั่วโมงหลังตรวจพบ และอาจต้องแจ้งเจ้าของข้อมูลด้วยหากเสี่ยงต่อความเสียหายสูง

บทลงโทษตาม PDPA Thailand มีอะไรบ้าง?

นี่คือส่วนที่ธุรกิจไม่ควรมองข้าม บทลงโทษแบ่งออกเป็น 3 ระดับ ดังนี้

โทษทางแพ่ง

จ่ายค่าเสียหายให้กับเจ้าของข้อมูลที่ได้รับผลกระทบ และหากเป็นการกระทำโดยจงใจ อาจต้องจ่ายค่าเสียหายเชิงลงโทษสูงสุด 2 เท่าของความเสียหายจริง

โทษทางปกครอง

• ฝ่าฝืนเก็บข้อมูลโดยไม่มีฐานทางกฎหมาย : ปรับสูงสุด 3 ล้านบาท
• ฝ่าฝืนเก็บข้อมูลอ่อนไหวโดยไม่ได้รับอนุญาต : ปรับสูงสุด 5 ล้านบาท
• ไม่แจ้งเหตุ Data Breach ภายในระยะเวลา : ปรับสูงสุด 3 ล้านบาท

โทษทางอาญา

กรณีที่ร้ายแรงที่สุด เช่น นำข้อมูลอ่อนไหวไปใช้โดยมิชอบเพื่อแสวงหาประโยชน์ส่วนตัว อาจมีโทษจำคุกสูงสุด 1 ปี และ/หรือปรับไม่เกิน 1 ล้านบาท

ตัวอย่างการละเมิด PDPA ที่ธุรกิจควรระวัง

เพื่อให้เห็นภาพชัดขึ้น ต่อไปนี้คือสถานการณ์จริงที่พบบ่อยในการดำเนินธุรกิจ

• ส่ง SMS หรืออีเมลโปรโมชั่นโดยไม่เคยขอความยินยอมจากลูกค้า
• ขายรายชื่อลูกค้าให้กับบุคคลที่สาม แม้ไม่มีเจตนาร้าย
• เก็บข้อมูลสุขภาพของพนักงานเพื่อใช้ประกอบการพิจารณาเลื่อนตำแหน่ง
• ใช้กล้อง CCTV ในที่ทำงานโดยไม่แจ้งให้พนักงานทราบ
• ฟอร์ม Consent ที่บังคับให้ติ๊กยอมรับทุกข้อก่อนสมัครสมาชิก
• เก็บสำเนาบัตรประชาชนไว้นานกว่าที่จำเป็น

กรณีศึกษา PDPA Thailand กระทบธุรกิจจริงอย่างไร?

เพื่อให้เห็นภาพว่า PDPA Thailand คือ กฎหมายที่ส่งผลต่อการดำเนินงานจริง ๆ ไม่ใช่แค่เรื่องบนกระดาษ ลองดูตัวอย่างจากหลายประเภทธุรกิจ

• คลินิก / โรงพยาบาล : ประวัติสุขภาพคือข้อมูลอ่อนไหว ต้องได้รับความยินยอมโดยชัดแจ้งก่อนเปิดเผยให้กับบุคคลภายนอก แม้แต่ญาติก็ตาม และต้องมีมาตรการรักษาความปลอดภัยระดับสูงกว่าข้อมูลทั่วไป
• หอพัก / อพาร์ตเมนต์ : การเก็บสำเนาบัตรประชาชนผู้เช่าเพื่อทำสัญญาเป็นเรื่องปกติ แต่ต้องแจ้งวัตถุประสงค์ให้ชัดและเก็บรักษาอย่างปลอดภัย ห้ามเก็บไว้นานกว่าที่จำเป็น
• ร้านค้าออนไลน์ / E-Commerce : ต้องมี Privacy Notice บนหน้าเว็บ ระบุการใช้ Cookie อย่างชัดเจน และขอความยินยอมก่อนส่งโปรโมชั่น
• ออฟฟิศที่ติดตั้งกล้อง CCTV : ต้องติดป้ายแจ้งในบริเวณที่มีกล้อง เพื่อให้ผู้ที่อยู่ในพื้นที่รับทราบว่ากำลังถูกบันทึกภาพ
• ฟรีแลนซ์ที่เก็บข้อมูลลูกค้า : แม้ทำงานคนเดียว หากมีชื่อ เบอร์โทร หรืออีเมลลูกค้าในระบบ ก็อยู่ภายใต้ PDPA เช่นกัน ต้องมีวัตถุประสงค์ชัดเจนและเก็บรักษาอย่างปลอดภัย

PDPA Thailand กับธุรกิจ E-Commerce และ Digital Marketing

สำหรับธุรกิจที่ทำ Digital Marketing หรือ E-Commerce กฎหมายนี้ส่งผลโดยตรงต่อกระบวนการหลายอย่าง โดยเฉพาะ

การเก็บ Cookie และ Tracking

เว็บไซต์ต้องมี Cookie Consent Banner ที่ให้ผู้ใช้เลือกได้ว่าจะยอมรับ Cookie ประเภทใดบ้าง ไม่สามารถ Pre-tick หรือบังคับให้ยอมรับทั้งหมดก่อนเข้าใช้งาน

Email Marketing และการทำ CRM

การส่งอีเมลการตลาดต้องมีหลักฐานว่าเจ้าของข้อมูลให้ความยินยอมไว้ และต้องมีลิงก์ Unsubscribe ที่ใช้งานได้จริงทุกครั้ง การวางกลยุทธ์ Digital Marketing ที่ดีตั้งแต่ต้นจะช่วยให้กระบวนการเหล่านี้เป็นธรรมชาติ ไม่ใช่แค่การทำตาม Compliance

การใช้ Facebook Pixel และ Google Analytics

การติดตั้ง Tracking Pixel หรือ Analytics บนเว็บไซต์ถือเป็นการเก็บข้อมูลส่วนบุคคลอย่างหนึ่ง ต้องแจ้งให้ผู้ใช้ทราบและได้รับความยินยอมก่อน

Influencer Marketing และการใช้รูปภาพลูกค้า

การนำรูปภาพหรือรีวิวของลูกค้าไปใช้ในการโฆษณา ถือเป็นการใช้ข้อมูลส่วนบุคคล ต้องได้รับอนุญาตก่อนเสมอ แม้แต่การทำ KOL Marketing ที่ใช้เนื้อหาจากผู้ใช้จริง (UGC) ก็ต้องระวังเรื่องนี้เช่นกัน

วิธีเตรียมความพร้อมให้ธุรกิจสอดคล้องกับ PDPA Thailand

ไม่ว่าธุรกิจจะเพิ่งเริ่มต้นหรือดำเนินมาสักพักแล้ว นี่คือแนวทางปฏิบัติที่ควรทำ

• Data Mapping : สำรวจว่าองค์กรเก็บข้อมูลอะไรบ้าง จากแหล่งไหน ใช้เพื่ออะไร และเก็บไว้ที่ใด
• จัดทำ Privacy Notice : เขียนนโยบายความเป็นส่วนตัวที่เข้าใจง่าย อัปเดตให้ตรงกับสิ่งที่ทำจริง
• ออกแบบกระบวนการขอ Consent : สร้าง Consent Form ที่ชัดเจน เฉพาะเจาะจง และถอนได้
• ตรวจสอบ Vendor และ Third Party : ทำ DPA กับทุก Vendor ที่รับข้อมูลไปประมวลผล
• ฝึกอบรมทีมงาน : พนักงานที่สัมผัสข้อมูลต้องเข้าใจหลักการ PDPA และรู้ว่าต้องทำอะไรเมื่อเกิดเหตุ
• วางระบบรับและตอบสนองต่อสิทธิของเจ้าของข้อมูล : ต้องสามารถตอบคำขอลบข้อมูล แก้ไข หรือส่งออกข้อมูลได้ภายใน 30 วัน

คำถามที่พบบ่อยเกี่ยวกับ PDPA Thailand

ถ้าข้อมูลส่วนบุคคลหลุดรั่ว องค์กรต้องทำอะไรบ้าง?

เมื่อเกิด Data Breach ผู้ควบคุมข้อมูลต้องแจ้งต่อ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ภายใน 72 ชั่วโมงหลังทราบเหตุ และหากการรั่วไหลนั้นมีความเสี่ยงสูงที่จะกระทบสิทธิและเสรีภาพของเจ้าของข้อมูล จะต้องแจ้งให้เจ้าของข้อมูลทราบด้วยพร้อมแนวทางการเยียวยา การปล่อยผ่านโดยไม่แจ้งมีโทษปรับสูงสุด 3 ล้านบาท

PDPA Thailand บังคับใช้กับ SME ด้วยไหม?

ใช่ กฎหมายบังคับทุกขนาดธุรกิจ แต่มีข้อยกเว้นบางส่วนสำหรับกิจการที่ไม่แสวงหากำไรขนาดเล็กหรือกิจกรรมส่วนตัว ธุรกิจ SME ที่มีเว็บไซต์ แอปพลิเคชัน หรือระบบฐานข้อมูลลูกค้า ล้วนต้องปฏิบัติตาม

Privacy Notice กับ Privacy Policy เหมือนกันไหม?

ไม่เหมือนกันทีเดียว Privacy Notice คือเอกสารที่แจ้งให้เจ้าของข้อมูลทราบในขณะเก็บข้อมูล ส่วน Privacy Policy คือนโยบายภายในองค์กรที่อธิบายวิธีปฏิบัติกับข้อมูลส่วนบุคคลในภาพรวม ธุรกิจต้องมีทั้งสองอย่าง

PDPA กับ PDPC ต่างกันอย่างไร?

PDPA คือ ตัวกฎหมาย (พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562) ส่วน PDPC คือ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นหน่วยงานของรัฐที่ทำหน้าที่กำกับดูแลและบังคับใช้กฎหมาย PDPA โดยตรง

ทั้งนี้ PDPA คือ “กฎหมายจราจร” ส่วน PDPC คือ “ตำรวจจราจร” ที่คอยดูแลว่าทุกคนปฏิบัติตามกฎหมายนั้นหรือเปล่า หากองค์กรถูกร้องเรียนหรือละเมิด PDPA ก็คือ PDPC ที่มีอำนาจสอบสวน ออกคำสั่ง และลงโทษ ดังนั้นเมื่อธุรกิจต้องการข้อมูล แนวปฏิบัติ หรือแบบฟอร์มที่เป็นทางการ ควรดูจากเว็บไซต์ PDPC โดยตรงที่ pdpc.or.th 

อย่างที่กล่าวไว้ข้างต้น PDPA Thailand คือ กฎหมายที่เปลี่ยนวิธีที่ธุรกิจไทยจัดการข้อมูลลูกค้าอย่างถาวร ไม่ใช่แค่ Checkbox Compliance แต่คือการสร้างความไว้วางใจกับลูกค้าในระยะยาว ธุรกิจที่เข้าใจและปฏิบัติตาม PDPA อย่างจริงจัง จะได้เปรียบในแง่ความน่าเชื่อถือ ลดความเสี่ยงทางกฎหมาย และสร้างฐานลูกค้าที่ยั่งยืนกว่า

หากคุณต้องการยกระดับธุรกิจออนไลน์ด้วยการวางระบบที่แม่นยำและล้ำสมัย Cotactic Media เป็น Digital Marketing Agency ที่พร้อมเป็นพาร์ตเนอร์ช่วยคุณวิเคราะห์และแก้ปัญหาทางการตลาดให้ตรงจุด เพื่อให้ธุรกิจของคุณเติบโตได้อย่างยั่งยืน

โทร. 065-095-9544

Inbox: m.me/cotactic 

Line: @cotactic