PDPA 2026: สิ่งที่ SME ต้องรู้
และต้องทำทันที
คุณเคยได้รับอีเมลจากลูกค้าว่า "ฉันต้องการให้คุณลบข้อมูลของฉันออกจากระบบ" แล้วไม่รู้ว่าต้องทำอะไรบ้างไหม? หรือถ้าข้อมูลลูกค้ารั่วไหลออกไป คุณต้องแจ้งใคร? ภายในกี่วัน? โทษคืออะไร? — ถ้ายังไม่มีคำตอบที่ชัดเจน บทความนี้คือสิ่งที่คุณต้องอ่าน
PDPA คืออะไร? (สรุปใน 2 นาที)
PDPA ย่อมาจาก Personal Data Protection Act หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 — มีผลบังคับใช้เต็มรูปแบบตั้งแต่ปี 2565 และปัจจุบันในปี 2026 มีการบังคับใช้จริงและเริ่มมีการร้องเรียนแล้ว
กฎหมายนี้กำหนดว่า: ทุกองค์กรที่เก็บ ใช้ หรือเผยแพร่ข้อมูลส่วนบุคคล ต้องได้รับความยินยอมและปกป้องข้อมูลนั้นอย่างเหมาะสม
ข้อมูลส่วนบุคคล (Personal Data) คืออะไร?
ข้อมูลใดก็ตามที่ระบุตัวตนบุคคลได้ — ทั้งทางตรงและทางอ้อม:
| ประเภท | ตัวอย่าง |
|---|---|
| ข้อมูลพื้นฐาน | ชื่อ-นามสกุล, อีเมล, เบอร์โทร, ที่อยู่ |
| ข้อมูลดิจิทัล | IP Address, Cookie, ประวัติการเข้าเว็บ |
| ข้อมูลทางการเงิน | เลขบัตรเครดิต, ประวัติการซื้อ |
| ข้อมูลพนักงาน | CV, ประวัติเงินเดือน, บัตรประชาชน |
| ⚠️ ข้อมูลอ่อนไหว (Sensitive Data) | สุขภาพ, ศาสนา, พันธุกรรม, ประวัติอาชญากรรม |
⚠️ ข้อมูลอ่อนไหว ต้องได้รับการดูแลเป็นพิเศษ — ต้องขอ "ความยินยอมโดยชัดแจ้ง" (Explicit Consent) เท่านั้น ห้ามเก็บโดยไม่ได้รับอนุญาตอย่างเด็ดขาด
ใครต้องปฏิบัติตาม PDPA บ้าง?
ทุกธุรกิจที่อยู่ในไทย หรือให้บริการแก่คนในไทย — ไม่ว่าจะเป็นบริษัท, ร้านค้า, คลินิก, โรงเรียน หรือ Freelancer ถ้าคุณเก็บข้อมูลใคร คุณต้องปฏิบัติตาม PDPA
ตัวอย่าง SME ที่ได้รับผลกระทบ:
- ร้านอาหารที่มีระบบสมาชิกหรือสั่งอาหารออนไลน์
- คลินิก, สปา, หรือธุรกิจสุขภาพที่เก็บข้อมูลลูกค้า
- บริษัท E-commerce ขายสินค้าออนไลน์
- ธุรกิจที่ส่งอีเมล Newsletter หรือ SMS Marketing
- โรงเรียนกวดวิชาที่เก็บข้อมูลนักเรียนและผู้ปกครอง
- บริษัทใดก็ตามที่มีพนักงาน — ข้อมูล HR ก็อยู่ภายใต้ PDPA
บทบาทหลักใน PDPA ที่ต้องรู้จัก
| บทบาท | คือใคร | หน้าที่หลัก |
|---|---|---|
| Data Controller (ผู้ควบคุมข้อมูล) |
บริษัท / เจ้าของธุรกิจ | กำหนดวัตถุประสงค์การใช้ข้อมูล, รับผิดชอบหลัก |
| Data Processor (ผู้ประมวลผลข้อมูล) |
Vendor, Cloud Provider, บริษัท IT | ประมวลผลตามคำสั่ง Controller |
| Data Subject (เจ้าของข้อมูล) |
ลูกค้า, พนักงาน, ผู้ใช้บริการ | มีสิทธิ์ตามกฎหมาย 7 ประการ |
| DPO (Data Protection Officer) |
เจ้าหน้าที่คุ้มครองข้อมูล | กำกับดูแล Compliance (บางกรณีต้องมี) |
💡 SME ส่วนใหญ่เป็นทั้ง Data Controller และอาจจ้าง Data Processor เช่น Google, Mailchimp, หรือบริษัท Cloud Storage — ต้องมีสัญญา Data Processing Agreement (DPA) กับ Vendor เหล่านั้นด้วย
สิทธิ์ของเจ้าของข้อมูล ที่ SME ต้องตอบได้
ลูกค้าและพนักงานมีสิทธิ์ 7 ประการ — และคุณต้องสามารถตอบสนองได้ภายในกำหนด:
| สิทธิ์ | ความหมาย | กำหนดตอบ |
|---|---|---|
| Right to Access | ขอดูข้อมูลที่เก็บเกี่ยวกับตัวเขา | 30 วัน |
| Right to Rectification | ขอแก้ไขข้อมูลที่ไม่ถูกต้อง | 30 วัน |
| Right to Erasure Right to be Forgotten | ขอลบข้อมูลออกจากระบบ | 30 วัน |
| Right to Restriction | ขอหยุดการใช้งานข้อมูลชั่วคราว | 30 วัน |
| Right to Portability | ขอให้ส่งออกข้อมูลในรูปแบบที่ใช้ได้ | 30 วัน |
| Right to Object | คัดค้านการใช้ข้อมูลเพื่อ Marketing | ทันที |
| Right to Withdraw Consent | ถอนความยินยอมเมื่อไรก็ได้ | ทันที |
⚠️ ถ้าตอบไม่ทันใน 30 วัน ถือว่าละเมิด PDPA และเจ้าของข้อมูลสามารถร้องเรียนต่อ PDPC ได้ทันที
โทษของการละเมิด PDPA (2026)
อย่าคิดว่าโทษเบา — PDPA มีบทลงโทษทั้งแบบแพ่ง, อาญา และปกครอง:
โทษปกครอง
ปรับทางปกครอง สูงสุด 5,000,000 บาท ต่อกรณี
โทษแพ่ง
ค่าเสียหายตามจริง บวกเพิ่มอีก 2 เท่า — ไม่มีเพดาน
โทษอาญา
กรณีเปิดเผยข้อมูลอ่อนไหวโดยเจตนา — จำคุกสูงสุด 1 ปี หรือปรับ 1,000,000 บาท หรือทั้งจำทั้งปรับ
🔴 ข่าวจริง: ในปี 2566–2567 เริ่มมีการร้องเรียนและสอบสวนบริษัทไทยจริงๆ แล้ว PDPA ไม่ใช่แค่กฎหมายบนกระดาษอีกต่อไป
PDPA กับ Cybersecurity: เชื่อมกันอย่างไร?
สิ่งที่ SME หลายรายมองข้าม — Data Breach (ข้อมูลรั่วไหล) = ละเมิด PDPA โดยอัตโนมัติ ไม่ว่าจะตั้งใจหรือไม่
ถ้าเกิด Data Breach คุณต้องทำอะไร?
1
ภายใน 72 ชั่วโมง
แจ้ง PDPC (สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล) — ถ้าช้ากว่านี้ถือว่าละเมิด
2
โดยไม่ชักช้า
แจ้งเจ้าของข้อมูลที่ได้รับผลกระทบ (ถ้าความเสี่ยงสูงต่อสิทธิ์และเสรีภาพ)
3
บันทึกเหตุการณ์
เก็บรายละเอียดว่าเกิดอะไร, กระทบใคร, และทำอะไรไปแล้วบ้าง
ภัยไซเบอร์ที่นำไปสู่ PDPA Violation:
| ภัยไซเบอร์ | ผลกระทบ PDPA |
|---|---|
| 🦠 Ransomware | ข้อมูลลูกค้าถูกขโมย → ต้องแจ้ง PDPC ภายใน 72 ชม. |
| 🎣 Phishing | พนักงานหลงกลให้รหัสผ่าน → ข้อมูลลูกค้ารั่ว → ละเมิด PDPA |
| 🔓 ไม่มี MFA | บัญชี Email ถูกแฮก → เห็นข้อมูลลูกค้า → ผิด PDPA |
| 💾 Backup ไม่ดี | ข้อมูลหาย recover ไม่ได้ → ผิดหลัก Data Integrity ของ PDPA |
✅ สรุป: Cybersecurity ที่ดี = PDPA Compliance ที่ดีด้วย — ทั้งสองเรื่องแยกกันไม่ออก
10 สิ่งที่ SME ต้องทำทันที: PDPA Checklist
📋 ส่วนที่ 1: รู้จักข้อมูลตัวเอง
- Audit ข้อมูลที่มีรู้ว่าเก็บข้อมูลอะไรบ้าง, อยู่ที่ไหน, ใครเข้าถึงได้
- ทำ Data Inventory (RoPA)ทะเบียน Records of Processing Activities — บันทึกว่าเก็บข้อมูลอะไร เพื่ออะไร และเก็บนานแค่ไหน
- ระบุ Data Flowsข้อมูลไหลจากไหนไปไหน เช่น Web Form → CRM → Email Marketing Tool
📝 ส่วนที่ 2: ขอ Consent ให้ถูกต้อง
- Privacy Notice / Privacy Policyมีประกาศนโยบายความเป็นส่วนตัวบนเว็บไซต์และแอป — ระบุชัดว่าเก็บอะไร ใช้ยังไง แชร์กับใคร
- Cookie Consent Bannerมี Banner ขอ Consent ก่อนติดตาม Cookie ที่ไม่จำเป็น (Analytics, Marketing) — Default ต้องเป็น "ปฏิเสธ"
- Consent Form ที่ถูกต้องฟอร์มสมัครสมาชิก/ซื้อสินค้า ต้องแยก Consent ชัดเจน ห้าม Pre-tick ห้ามรวมกับ Terms of Service
🔒 ส่วนที่ 3: ปกป้องข้อมูล
- เข้ารหัส (Encryption)ข้อมูลสำคัญต้องเข้ารหัสทั้งระหว่างส่ง (HTTPS/TLS) และจัดเก็บ (at-rest)
- Access Controlจำกัดสิทธิ์เข้าถึงข้อมูลตามหลัก "Need to Know" — ไม่ใช่ทุกคนต้องเห็นข้อมูลทั้งหมด
- เปิด MFA ทุกบัญชีบัญชีที่เก็บข้อมูลลูกค้าต้องเปิด Multi-Factor Authentication ทุกบัญชี
- Backup สม่ำเสมอสำรองข้อมูลตามกฎ 3-2-1 เพื่อให้ recover ได้เมื่อเกิดเหตุ
🚨 ส่วนที่ 4: เตรียมรับมือ
- Data Breach Response Planมีแผนรับมือเหตุการณ์ข้อมูลรั่ว พร้อมรายชื่อผู้รับผิดชอบและขั้นตอนแจ้ง PDPC ภายใน 72 ชม.
- ช่องทางรับคำขอสิทธิ์มีอีเมลหรือฟอร์มให้ลูกค้า/พนักงานขอสิทธิ์ต่างๆ ได้ และตอบได้ภายใน 30 วัน
- Training พนักงานพนักงานทุกคนต้องรู้ว่า PDPA คืออะไร ทำอะไรได้/ไม่ได้ โดยเฉพาะเรื่องการแชร์ข้อมูลลูกค้า
ตัวอย่างจริง: SME ทำอะไรผิดบ้าง?
❌ ส่ง Email Marketing โดยไม่ขอ Consent
ซื้อ Email List มาแล้วยิงโปรโมชั่น — นี่คือละเมิด PDPA อย่างชัดเจน ต่อให้เป็นลูกค้าเก่าก็ต้องมี Consent ที่บันทึกไว้
ซื้อ Email List มาแล้วยิงโปรโมชั่น — นี่คือละเมิด PDPA อย่างชัดเจน ต่อให้เป็นลูกค้าเก่าก็ต้องมี Consent ที่บันทึกไว้
❌ เก็บข้อมูลเกินความจำเป็น (Data Minimization)
ฟอร์มสมัครสมาชิกถามเลขบัตรประชาชน ทั้งที่ไม่ต้องใช้ — ผิดหลัก Data Minimization
ฟอร์มสมัครสมาชิกถามเลขบัตรประชาชน ทั้งที่ไม่ต้องใช้ — ผิดหลัก Data Minimization
❌ ให้ Vendor เข้าถึงข้อมูลโดยไม่มีสัญญา
จ้างบริษัท IT ภายนอกมาดูแลระบบ แต่ไม่ได้ทำ Data Processing Agreement (DPA) — ถือว่า Controller ประมาท
จ้างบริษัท IT ภายนอกมาดูแลระบบ แต่ไม่ได้ทำ Data Processing Agreement (DPA) — ถือว่า Controller ประมาท
❌ ไม่มี Privacy Policy บนเว็บ
ยังมี SME จำนวนมากที่เปิดเว็บรับออเดอร์ แต่ไม่มี Privacy Policy เลย — ผิด PDPA ตั้งแต่ข้อแรก
ยังมี SME จำนวนมากที่เปิดเว็บรับออเดอร์ แต่ไม่มี Privacy Policy เลย — ผิด PDPA ตั้งแต่ข้อแรก
เอกสารที่ SME ต้องมี (PDPA Minimum Documents)
| เอกสาร | ใช้ทำอะไร | ระดับ |
|---|---|---|
| Privacy Policy / Notice | แจ้งว่าเก็บข้อมูลอะไร ใช้ยังไง | 🔴 บังคับ |
| Consent Form / Record | หลักฐานการขอ Consent | 🔴 บังคับ |
| Records of Processing Activities (RoPA) | ทะเบียนการประมวลผลข้อมูล | 🔴 บังคับ |
| Data Processing Agreement (DPA) | สัญญากับ Vendor / Cloud Provider | 🔴 บังคับ |
| Data Breach Response Plan | แผนรับมือข้อมูลรั่ว | 🟠 แนะนำ |
| Cookie Policy | นโยบาย Cookie บนเว็บไซต์ | 🟠 แนะนำ |
| Data Retention Policy | กำหนดระยะเวลาเก็บข้อมูล | 🟡 ควรมี |
คำถามที่ SME ถามบ่อย (FAQ)
ธุรกิจเล็กๆ ต้องมี DPO ไหม?
ไม่บังคับสำหรับ SME ทั่วไป — DPO จำเป็นเฉพาะองค์กรที่ประมวลผลข้อมูลขนาดใหญ่, ข้อมูลอ่อนไหวเป็นหลัก, หรือเป็นหน่วยงานรัฐ อย่างไรก็ตาม การมีคนรับผิดชอบด้าน PDPA ภายในองค์กร 1 คนถือเป็นเรื่องฉลาด
Cookie Banner ต้องทำยังไงถึงถูกต้อง?
ต้องแยก Cookie เป็น 3 ประเภท: Necessary (ไม่ต้องขอ Consent), Functional/Analytics, Marketing (ต้องขอ) — ผู้ใช้ต้องเลือกได้แต่ละประเภท และ Default ต้องเป็น "ไม่ยินยอม" ห้าม Pre-tick เด็ดขาด
ถ้าใช้ Google Forms เก็บข้อมูลลูกค้า ต้องทำอะไรเพิ่ม?
Google เป็น Data Processor — ต้องยอมรับ Google's Data Processing Agreement (อยู่ใน Terms of Service) และต้องระบุใน Privacy Notice ของคุณว่าใช้ Google ในการประมวลผลข้อมูล
ถ้าเกิด Data Breach เล็กๆ ต้องแจ้งทุกครั้งไหม?
ขึ้นอยู่กับระดับความเสี่ยง: ถ้าไม่มีความเสี่ยงต่อสิทธิ์และเสรีภาพของเจ้าของข้อมูล ไม่ต้องแจ้ง PDPC แต่ต้องบันทึกเหตุการณ์ไว้ ถ้ามีความเสี่ยง → แจ้งภายใน 72 ชั่วโมง
เก็บข้อมูลลูกค้าไว้ได้นานแค่ไหน?
ตามความจำเป็นของวัตถุประสงค์เดิมที่ขอ Consent — ไม่มีตัวเลขตายตัว แต่ต้องกำหนด Retention Period ไว้ใน Data Retention Policy และลบข้อมูลเมื่อไม่จำเป็นแล้ว
สรุป: PDPA ไม่ใช่แค่เรื่องกฎหมาย แต่คือการสร้างความไว้วางใจ
การปฏิบัติตาม PDPA ไม่ได้หมายความว่าต้องจ้างทนายหรือลงทุนมหาศาล SME ส่วนใหญ่สามารถเริ่มต้นได้ด้วย 4 ขั้นตอน:
- รู้ว่าเก็บข้อมูลอะไรบ้าง — ทำ Data Inventory ก่อนเลย
- ขอ Consent ให้ถูกต้อง — Privacy Policy + Consent Form ที่ชัดเจน
- ปกป้องข้อมูลด้วย Cybersecurity — MFA, Encryption, Access Control, Backup
- มีแผนรับมือเมื่อเกิดปัญหา — Data Breach Response Plan พร้อมแจ้ง 72 ชม.
✅ ข้อมูลที่ปลอดภัย = ลูกค้าที่ไว้ใจคุณมากขึ้น — PDPA Compliance ไม่ใช่ภาระ แต่คือจุดขายที่แข็งแกร่ง
ต้องการตรวจสอบ Cybersecurity ของธุรกิจคุณ?
CyberAlpha ให้บริการประเมินความเสี่ยงและวางระบบ Security ที่ช่วยให้ธุรกิจของคุณสอดคล้องกับ PDPA ตั้งแต่ MFA, Encryption ไปจนถึง Incident Response