개인정보·데이터

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA): คู่มือเชิงกฎหมายสำหรับองค์กร

2026-07-05 · 1분 읽기 · MeshLaw ห้องข่าว

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act หรือ PDPA) เป็นกฎหมายหลักของประเทศไทยในการกำกับดูแลการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล กฎหมายฉบับนี้มีผลบังคับใช้เต็มรูปแบบตั้งแต่วันที่ 1 มิถุนายน 2565 หลังจากถูกเลื่อนการบังคับใช้ในหมวดสำคัญมาหลายครั้ง โครงสร้างของ PDPA ได้รับอิทธิพลอย่างชัดเจนจาก General Data Protection Regulation (GDPR) ของสหภาพยุโรป ทำให้องค์กรที่คุ้นเคยกับกรอบ GDPR สามารถเทียบเคียงหลักการได้ แต่ก็มีรายละเอียดเฉพาะที่ทีมกฎหมายไทยต้องพิจารณาอย่างรอบคอบ

ขอบเขตการบังคับใช้

PDPA บังคับใช้กับ "ข้อมูลส่วนบุคคล" ซึ่งหมายถึงข้อมูลเกี่ยวกับบุคคลธรรมดาที่ทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมข้อมูลของผู้ถึงแก่กรรมและข้อมูลนิติบุคคล จุดที่ทีมกฎหมายต้องให้ความสำคัญคือขอบเขตนอกราชอาณาจักร (extraterritorial scope) กล่าวคือ กฎหมายบังคับใช้กับผู้ควบคุมหรือผู้ประมวลผลข้อมูลที่อยู่นอกประเทศไทยด้วย หากมีการดำเนินกิจกรรมดังต่อไปนี้

  • เสนอขายสินค้าหรือบริการให้แก่เจ้าของข้อมูลที่อยู่ในประเทศไทย ไม่ว่าจะมีการชำระเงินหรือไม่
  • เฝ้าติดตามพฤติกรรม (behavior monitoring) ของเจ้าของข้อมูลที่เกิดขึ้นในประเทศไทย

ผลก็คือ แพลตฟอร์มต่างประเทศที่มีลูกค้าไทยไม่อาจอ้างว่าอยู่นอกเขตอำนาจได้ นอกจากนี้ยังมีข้อยกเว้นบางประการ เช่น การเก็บข้อมูลเพื่อกิจการส่วนตัวหรือกิจกรรมในครอบครัว หน่วยงานที่ทำหน้าที่ด้านความมั่นคงของรัฐ และกิจการสื่อมวลชนภายใต้จริยธรรมวิชาชีพในบางกรณี

บทบาทของผู้ควบคุมและผู้ประมวลผลข้อมูล

PDPA แยกบทบาทออกเป็นสองประเภทหลักซึ่งมีภาระหน้าที่ต่างกัน

  • ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือผู้มีอำนาจตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล มีหน้าที่หลักในการกำหนดฐานทางกฎหมาย จัดทำมาตรการรักษาความมั่นคงปลอดภัย และรับผิดชอบต่อสิทธิของเจ้าของข้อมูล
  • ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือผู้ดำเนินการตามคำสั่งของผู้ควบคุมข้อมูล เช่น ผู้ให้บริการคลาวด์หรือผู้รับจ้างประมวลผลเงินเดือน

ความสัมพันธ์ระหว่างสองฝ่ายต้องจัดทำเป็นข้อตกลงประมวลผลข้อมูล (Data Processing Agreement) ที่ระบุขอบเขต วัตถุประสงค์ และมาตรการรักษาความปลอดภัย ในทางปฏิบัติ องค์กรจำนวนมากทำหน้าที่ทั้งสองบทบาทพร้อมกันในบริบทที่ต่างกัน ทีมกฎหมายจึงควรจัดทำแผนผังการไหลของข้อมูล (data flow mapping) เพื่อระบุสถานะของตนในแต่ละกิจกรรม

ฐานทางกฎหมายและความยินยอม

ความเข้าใจผิดที่พบบ่อยคือการคิดว่าทุกการประมวลผลข้อมูลต้องอาศัยความยินยอม แท้จริงแล้ว PDPA กำหนดฐานทางกฎหมายหลายฐานที่ใช้ได้โดยไม่ต้องขอความยินยอม ได้แก่

  • การปฏิบัติตามสัญญาที่เจ้าของข้อมูลเป็นคู่สัญญา
  • การปฏิบัติหน้าที่ตามกฎหมายของผู้ควบคุมข้อมูล
  • ประโยชน์โดยชอบด้วยกฎหมาย (legitimate interest) โดยต้องชั่งน้ำหนักกับสิทธิของเจ้าของข้อมูล
  • การป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพ
  • ภารกิจเพื่อประโยชน์สาธารณะหรือการใช้อำนาจรัฐ

เมื่อจำเป็นต้องใช้ความยินยอม กฎหมายกำหนดว่าความยินยอมต้องทำโดยชัดแจ้ง เป็นอิสระ แยกออกจากเงื่อนไขอื่น และเจ้าของข้อมูลต้องถอนความยินยอมได้โดยง่ายเทียบเท่ากับการให้ความยินยอม สำหรับ ข้อมูลอ่อนไหว (sensitive data) เช่น เชื้อชาติ ความเห็นทางการเมือง ศาสนา ข้อมูลสุขภาพ ข้อมูลชีวภาพ และประวัติอาชญากรรม กฎหมายกำหนดมาตรฐานเข้มงวดกว่า โดยหลักต้องได้รับความยินยอมโดยชัดแจ้ง เว้นแต่เข้าข้อยกเว้นเฉพาะ

สิทธิของเจ้าของข้อมูล

PDPA รับรองสิทธิของเจ้าของข้อมูลหลายประการที่องค์กรต้องมีกระบวนการรองรับภายในกรอบเวลาที่เหมาะสม โดยทั่วไปไม่เกิน 30 วัน

  • สิทธิในการเข้าถึงและขอรับสำเนาข้อมูล
  • สิทธิในการขอให้โอนย้ายข้อมูล (data portability)
  • สิทธิในการคัดค้านการประมวลผล
  • สิทธิในการขอให้ลบหรือทำลายข้อมูล (right to erasure)
  • สิทธิในการขอให้ระงับใช้ข้อมูล
  • สิทธิในการขอแก้ไขข้อมูลให้ถูกต้องเป็นปัจจุบัน

เจ้าหน้าที่คุ้มครองข้อมูล (DPO)

PDPA กำหนดให้ต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer) ในบางกรณี ได้แก่ เมื่อเป็นหน่วยงานรัฐ เมื่อกิจกรรมหลักเป็นการประมวลผลข้อมูลที่ต้องตรวจสอบอย่างสม่ำเสมอเนื่องจากมีข้อมูลจำนวนมาก หรือเมื่อกิจกรรมหลักเป็นการประมวลผลข้อมูลอ่อนไหว DPO ทำหน้าที่ให้คำแนะนำ ตรวจสอบการปฏิบัติตามกฎหมาย และประสานงานกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล องค์กรที่มีบริษัทในเครือหลายแห่งสามารถแต่งตั้ง DPO ร่วมกันได้หากเข้าถึงได้โดยสะดวก

การแจ้งเหตุละเมิดข้อมูล

เมื่อเกิดเหตุการละเมิดข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลมีหน้าที่แจ้งต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายใน 72 ชั่วโมงนับแต่ทราบเหตุ เว้นแต่การละเมิดนั้นไม่มีความเสี่ยงต่อสิทธิและเสรีภาพของบุคคล และหากการละเมิดมีความเสี่ยงสูง ต้องแจ้งเจ้าของข้อมูลพร้อมแนวทางเยียวยาด้วย องค์กรจึงควรจัดทำแผนตอบสนองเหตุการณ์ (incident response plan) ล่วงหน้า

บทลงโทษ

PDPA กำหนดความรับผิดสามชั้นซึ่งอาจเกิดขึ้นพร้อมกัน

  • โทษทางแพ่ง ผู้ควบคุมหรือผู้ประมวลผลต้องชดใช้ค่าสินไหมทดแทน และศาลอาจสั่งให้ชดใช้ค่าสินไหมเพื่อการลงโทษ (punitive damages) ได้ถึงสองเท่าของค่าเสียหายที่แท้จริง
  • โทษทางปกครอง ปรับได้สูงสุดถึง 5 ล้านบาทต่อกรณี ขึ้นอยู่กับลักษณะความผิด
  • โทษทางอาญา ในความผิดร้ายแรงบางประเภท โดยเฉพาะการใช้หรือเปิดเผยข้อมูลอ่อนไหวโดยมิชอบ มีทั้งโทษจำคุกและปรับ และกรรมการหรือผู้บริหารอาจต้องรับผิดเป็นการส่วนตัวหากการกระทำเกิดจากคำสั่งหรือการละเลยของตน

ข้อพิจารณาเชิงปฏิบัติสำหรับองค์กร

การปฏิบัติตาม PDPA ไม่ใช่โครงการที่ทำครั้งเดียวจบ แต่เป็นกระบวนการต่อเนื่อง ทีมกฎหมายและทีมปฏิบัติการควรร่วมกันจัดทำบันทึกรายการกิจกรรมการประมวลผล (Records of Processing Activities) ทบทวนนโยบายความเป็นส่วนตัวและแบบฟอร์มขอความยินยอมให้สอดคล้องกับฐานทางกฎหมายที่ใช้จริง ตรวจสอบสัญญากับผู้ประมวลผลภายนอก และประเมินการส่งข้อมูลข้ามพรมแดนซึ่ง PDPA กำหนดให้ประเทศปลายทางต้องมีมาตรฐานคุ้มครองที่เพียงพอหรือมีมาตรการคุ้มครองที่เหมาะสม การลงทุนในระบบธรรมาภิบาลข้อมูลตั้งแต่ต้นจะช่วยลดความเสี่ยงทั้งด้านกฎหมายและด้านชื่อเสียงขององค์กรได้อย่างมีนัยสำคัญ

법률 업무에 AI, 신중하게 도입하세요

MeshLaw는 변호사를 위한 AI 사건관리 도구입니다. 환각 없이, 검증 가능하게.

MeshLaw 살펴보기 →

← 전체 브리핑 보기

변호사를 위한 AI 사건관리 — MeshLaw 무료로 써보기 →