ISO / GMP / อย.

GDPR vs PDPA 2026: เปรียบเทียบกฎหมายคุ้มครองข้อมูล EU-ไทย สำหรับ SME

เปรียบเทียบ GDPR และ PDPA 2026 พร้อมตารางความแตกต่าง Checklist 8 ขั้นตอน และ Tooling สำหรับ SME ไทยที่ต้อง Compliance ทั้งสองฉบับพร้อมกัน

AF
ADS FIT Team
·7 นาที
Share:
GDPR vs PDPA 2026: เปรียบเทียบกฎหมายคุ้มครองข้อมูล EU-ไทย สำหรับ SME

# GDPR vs PDPA 2026: คู่มือเปรียบเทียบกฎหมายคุ้มครองข้อมูล EU-ไทย สำหรับ SME

ปี 2026 เป็นปีที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลทั้งฝั่งยุโรป (GDPR) และไทย (PDPA) มีการบังคับใช้เข้มงวดขึ้น พร้อมค่าปรับสูงสุดที่ทำให้ SME ไทยที่ทำธุรกิจส่งออกหรือมีลูกค้าใน EU ต้องตื่นตัว — บทเรียนล่าสุดคือบริษัทไทยถูกปรับกว่า 50 ล้านบาทเพราะส่งข้อมูลลูกค้าไป Server นอกประเทศโดยไม่มี Standard Contractual Clauses

หลายบริษัท SME คิดว่าตัวเองไม่เข้าข่าย เพราะ "ไม่ใช่บริษัทยักษ์ใหญ่" หรือ "ไม่ได้ขายให้ EU" แต่แค่มีลูกค้า EU เข้ามาดูเว็บไซต์และเก็บ Cookie ก็เข้าข่าย GDPR แล้ว

บทความนี้จะเปรียบเทียบ GDPR และ PDPA แบบเชิงปฏิบัติ พร้อมตัวอย่างจริง รายการตรวจสอบที่ SME ใช้ได้ทันที และคำแนะนำสำหรับธุรกิจที่ต้องปฏิบัติตามทั้งสองฉบับพร้อมกัน

ภาพรวม GDPR และ PDPA

GDPR (General Data Protection Regulation) บังคับใช้ทั่ว EU ตั้งแต่ พ.ศ. 2561 มีขอบเขตครอบคลุมองค์กรทั่วโลกที่ประมวลผลข้อมูลของพลเมือง EU — ค่าปรับสูงสุด 20 ล้านยูโร หรือ 4% ของรายได้ทั่วโลก แล้วแต่จำนวนใดจะมากกว่า

PDPA (Personal Data Protection Act พ.ศ. 2562) ของไทย บังคับใช้เต็มรูปแบบเมื่อมิถุนายน 2565 มีค่าปรับสูงสุด 5 ล้านบาทต่อกรณี และมีบทลงโทษทางอาญาสูงสุด 1 ปี — ใช้กับองค์กรที่มี Data Subject ในไทย

ตารางเปรียบเทียบที่ SME ต้องรู้

| หัวข้อ | GDPR | PDPA |

|--------|------|------|

| ขอบเขตทางภูมิศาสตร์ | ทั่วโลก หากมี Data Subject EU | ในไทย และข้อมูลของคนไทย |

| ค่าปรับสูงสุด | 20M EUR หรือ 4% รายได้ | 5M THB ต่อกรณี + อาญา |

| Data Protection Officer | บังคับเฉพาะกรณีจัดการ Sensitive | บังคับเฉพาะกรณี Sensitive |

| Data Breach Notification | 72 ชม. | โดยไม่ชักช้า (ไม่ระบุชั่วโมง) |

| Right to be Forgotten | ระบุชัดเจน | ขอลบได้ในบางเงื่อนไข |

| Cross-border Transfer | ต้องมี SCC/Adequacy | ต้องมี Standard เทียบเท่า |

| Consent | ชัดเจน specific เพิกถอนง่าย | ชัดเจน เพิกถอนง่าย |

| อายุ Minor | 16 ปี (แต่ละประเทศปรับได้) | ต่ำกว่า 20 ปี ต้องผู้ปกครองยินยอม |

หลักการพื้นฐานที่เหมือนกัน

แม้รายละเอียดต่างกัน แต่หลักการสำคัญทั้งสองฉบับเหมือนกัน ได้แก่:

  • **Lawful Basis**: ต้องมีฐานทางกฎหมายในการประมวลผล เช่น Consent, Contract, Legal Obligation, Legitimate Interest
  • **Data Minimization**: เก็บเฉพาะข้อมูลที่จำเป็น
  • **Purpose Limitation**: ใช้เฉพาะวัตถุประสงค์ที่แจ้งไว้
  • **Storage Limitation**: ลบเมื่อหมดความจำเป็น
  • **Accuracy**: ข้อมูลต้องถูกต้องเป็นปัจจุบัน
  • **Integrity & Confidentiality**: มีมาตรการรักษาความปลอดภัยที่เพียงพอ
  • **Accountability**: พิสูจน์ได้ว่าปฏิบัติตาม

    • ความแตกต่างที่ต้องระวังเป็นพิเศษ

  • **Data Subject Rights**: GDPR มี 8 สิทธิที่เขียนชัดเจน ขณะที่ PDPA สรุปคล้ายกันแต่ Right to Data Portability ของ PDPA ยังไม่ระบุ Format มาตรฐาน
  • **Lawful Basis "Legitimate Interest"**: GDPR อนุญาตชัดเจน ส่วน PDPA ใช้คำว่า "ประโยชน์โดยชอบด้วยกฎหมาย" ที่ตีความได้แคบกว่า
  • **Cross-border Transfer**: GDPR ต้องการ Adequacy Decision หรือ SCC/BCR, PDPA ต้องส่งไปประเทศที่มีมาตรฐาน "เพียงพอ" ตามที่ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) กำหนด — ปัจจุบันรายชื่อยังจำกัด
  • **Sensitive Data**: PDPA ระบุ "ข้อมูลความเชื่อทางศาสนา" และ "ประวัติอาชญากรรม" เป็นกลุ่มพิเศษ ต้องขอ Explicit Consent

    • Checklist สำหรับ SME ไทยที่ต้องปฏิบัติทั้ง GDPR + PDPA

  • Step 1: จัดทำ Data Inventory — ลงทะเบียนทุก Personal Data ที่เก็บ พร้อมแหล่งที่มา วัตถุประสงค์ ระยะเวลาเก็บ
  • Step 2: ทบทวน Privacy Notice — ต้องมีฉบับภาษาไทยและอังกฤษ ระบุ Lawful Basis แต่ละกิจกรรม
  • Step 3: ตรวจ Consent Mechanism — ใช้ Opt-in ไม่ใช่ Pre-checked มีปุ่มเพิกถอนชัดเจน
  • Step 4: ทำสัญญา DPA กับ Vendor ทุกราย — เน้น Cloud Provider ที่ Server อยู่ EU/Thailand
  • Step 5: เตรียม DSAR (Data Subject Access Request) Process — ตอบกลับภายใน 30 วัน
  • Step 6: ฝึกอบรมพนักงาน — ปีละ 1 ครั้งเป็นอย่างน้อย
  • Step 7: ทำ DPIA สำหรับกิจกรรมเสี่ยงสูง — เช่น Profiling, Automated Decision
  • Step 8: เตรียม Incident Response Plan — Breach Notification 72 ชม. (GDPR) และโดยไม่ชักช้า (PDPA)

    • Tooling แนะนำสำหรับ SME

    | เครื่องมือ | License | ราคา | ใช้สำหรับ |

    |-----------|---------|------|-----------|

    | OneTrust | Commercial | สูง | Enterprise full suite |

    | Iubenda | Freemium | $9+ | Privacy Notice + Consent |

    | Cookiebot | Freemium | ฟรี-$15 | Cookie Consent |

    | Klaro | Open-Source | ฟรี | Cookie Consent self-host |

    | OpenDSR | Open-Source | ฟรี | DSAR ในรูปแบบ JSON |

    Summary + CTA

    GDPR และ PDPA มีหลักการพื้นฐานคล้ายกัน — SME ไทยที่จัดทำ Compliance ระดับ GDPR จะครอบคลุม PDPA เกือบทั้งหมด แต่ต้องระวังเรื่อง Cross-border Transfer และคำจำกัดความของ Sensitive Data ที่แตกต่าง

    Key Takeaways: (1) ทำ Data Inventory ครบถ้วน (2) ใช้ Consent Mechanism แบบ Opt-in (3) เซ็น DPA กับทุก Vendor (4) เตรียม DSAR + Breach Notification Process

    ทีม ADSFIT ช่วยลูกค้าหลายราย Audit ระบบ Laravel/Next.js เพื่อเตรียมความพร้อม PDPA และ GDPR — ติดต่อเรารับ Compliance Audit ฟรี 1 ชม. หรืออ่านบทความ Compliance อื่นๆ ของเราในหน้า Blog

    Tags

    #GDPR#PDPA#Data Protection#Compliance#Privacy#SME

    สนใจโซลูชันนี้?

    ปรึกษาทีม ADS FIT ฟรี เราพร้อมออกแบบระบบที่ฟิตกับธุรกิจของคุณ

    ติดต่อเรา →

    บทความที่เกี่ยวข้อง

    🛡️

    PDPA DPA 2026: คู่มือ Data Processing Agreement สัญญาประมวลผลข้อมูลส่วนบุคคล SME ไทย

    7 พฤษภาคม 2569 · 8 นาที
    🛡️

    ISO 37001 คืออะไร? คู่มือ Anti-Bribery Management ธุรกิจไทย 2026

    7 พฤษภาคม 2569 · 8 นาที
    🛡️

    ISO 14001 Environmental Management System (EMS): คู่มือมาตรฐานสิ่งแวดล้อมสำหรับ SME ไทย 2026

    7 พฤษภาคม 2569 · 9 นาที