พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) มีผลบังคับใช้เต็มรูปแบบมาตั้งแต่ปี 2565 แต่หลายองค์กรยังคงมีช่องโหว่ในการปฏิบัติตามกฎหมาย จาก audit ที่ทีมเราดำเนินการในปี 2568 พบว่า กว่า 60% ขององค์กรขนาดกลาง ยังขาด documentation และมาตรการทางเทคนิคที่จำเป็น

⚠️ บทลงโทษ PDPA

โทษปรับสูงสุดทางปกครอง 5 ล้านบาท + โทษอาญาจำคุกไม่เกิน 1 ปี และปรับไม่เกิน 1 ล้านบาท สำหรับการละเมิดที่เจตนา — ยังไม่รวมความเสียหายทางชื่อเสียง

หมวด 1: Governance และโครงสร้างองค์กร (6 ข้อ)

📋 Governance Checklist
  • แต่งตั้ง DPO (Data Protection Officer) อย่างเป็นทางการ และกำหนดขอบเขตหน้าที่ชัดเจน
  • มีนโยบายคุ้มครองข้อมูลส่วนบุคคลที่ผ่านการอนุมัติจากผู้บริหารระดับสูง
  • จัดทำ Records of Processing Activities (ROPA) ครบทุก process ที่เกี่ยวข้องกับข้อมูลส่วนบุคคล
  • มีกระบวนการ review และ update นโยบายอย่างน้อยปีละ 1 ครั้ง
  • ผู้บริหารระดับสูงรับทราบและเข้าใจความรับผิดชอบภายใต้ PDPA
  • มีงบประมาณที่จัดสรรสำหรับการปฏิบัติตาม PDPA
✅ Consent & Lawful Basis Checklist
  • ระบุ lawful basis สำหรับทุก processing activity (consent, contract, legal obligation, vital interest, public task, legitimate interest)
  • กลไกการขอ consent ชัดเจน — แยกออกจาก T&C, ไม่มี pre-ticked box
  • มีระบบบันทึกว่าใครให้ consent เมื่อใด และสำหรับวัตถุประสงค์ใด
  • กระบวนการ withdraw consent ง่าย เท่าๆ กับการให้ consent
  • Privacy Notice ที่ชัดเจน ครบถ้วน และเข้าถึงได้ง่าย
  • ถ้าใช้ Legitimate Interest — มี Legitimate Interest Assessment (LIA) ที่บันทึกไว้

หมวด 3: สิทธิของเจ้าของข้อมูล (6 ข้อ)

👤 Data Subject Rights Checklist
  • มีช่องทางและกระบวนการรับคำขอ DSR (Data Subject Request) ที่ชัดเจน
  • สามารถตอบสนอง DSR ได้ภายใน 30 วันตามที่กฎหมายกำหนด
  • มีกระบวนการยืนยันตัวตนของผู้ยื่นคำขอก่อนให้ข้อมูล
  • รองรับสิทธิขอลบข้อมูล (Right to Erasure) และมีกระบวนการดำเนินการจริง
  • รองรับสิทธิขอรับข้อมูล (Data Portability) ในรูปแบบที่เครื่องอ่านได้
  • มีบันทึก log ของ DSR ที่ได้รับและดำเนินการ

หมวด 4: มาตรการความปลอดภัย (6 ข้อ)

🔒 Security Measures Checklist
  • มีการเข้ารหัสข้อมูลส่วนบุคคลทั้ง at-rest และ in-transit
  • Access control ตามหลัก least privilege — ใครเข้าถึงได้เฉพาะที่จำเป็น
  • มี Multi-Factor Authentication สำหรับระบบที่เก็บข้อมูลส่วนบุคคล
  • มี audit log บันทึกว่าใคร access ข้อมูลส่วนบุคคล เมื่อใด
  • มีกระบวนการ Data Breach Response ที่ซ้อมแล้ว
  • มี Data Retention Policy และกระบวนการลบข้อมูลเมื่อครบกำหนด

หมวด 5: Third Party และ Vendor Management (6 ข้อ)

🤝 Third Party Checklist
  • มี Data Processing Agreement (DPA) กับทุก processor ที่เกี่ยวข้อง
  • ประเมิน PDPA compliance ของ vendor ก่อนใช้งาน
  • ถ้าส่งข้อมูลออกนอกประเทศ — มีมาตรการป้องกันที่เหมาะสม (adequacy decision หรือ SCCs)
  • มีการ audit vendor เป็นระยะ หรืออย่างน้อยขอ evidence ประจำปี
  • มีกระบวนการรับมือถ้า vendor เกิด data breach
  • สัญญากับ vendor ระบุการคืนหรือลบข้อมูลเมื่อสิ้นสุดสัญญา
💡 เคล็ดลับจาก DPO มืออาชีพ

อย่าเริ่ม PDPA audit ด้วยการ implement เทคโนโลยี — เริ่มจาก data mapping ก่อนเสมอ รู้ว่าข้อมูลอยู่ที่ไหน ใครมีสิทธิ์เข้าถึง ก่อนจะรู้ว่าต้องปกป้องอะไร

ต้องการ PDPA Gap Assessment?

ทีมของเรามีผู้เชี่ยวชาญด้าน PDPA compliance และ cybersecurity พร้อมช่วยประเมินและปิดช่องโหว่ให้องค์กรของคุณ

ขอรับการประเมินฟรี → ดู Bundle Solutions