ISO / GMP / อย.

PDPA DPA 2026: คู่มือ Data Processing Agreement สัญญาประมวลผลข้อมูลส่วนบุคคล SME ไทย

คู่มือฉบับสมบูรณ์เรื่อง Data Processing Agreement (DPA) ตาม PDPA ไทย พร้อมเทมเพลต Subprocessor Management และ Checklist ใช้งานจริงสำหรับ SME ปี 2026

AF
ADS FIT Team
·8 นาที
Share:
PDPA DPA 2026: คู่มือ Data Processing Agreement สัญญาประมวลผลข้อมูลส่วนบุคคล SME ไทย

# PDPA DPA 2026: คู่มือ Data Processing Agreement สัญญาประมวลผลข้อมูลส่วนบุคคล SME ไทย

นับตั้งแต่ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) มีผลบังคับใช้เต็มรูปแบบ องค์กรทุกขนาดต่างเริ่มตื่นตัวกับ Data Processing Agreement (DPA) หรือ "สัญญาประมวลผลข้อมูลส่วนบุคคล" สัญญาฉบับนี้คือเอกสารทางกฎหมายที่ผูกพันระหว่าง Data Controller (ผู้ควบคุมข้อมูล) กับ Data Processor (ผู้ประมวลผลข้อมูล) เพื่อกำหนดขอบเขต ความรับผิด และมาตรการป้องกันข้อมูลส่วนบุคคลของลูกค้า

หาก SME ของคุณใช้บริการ Cloud, SaaS, Outsourced Marketing หรือ Vendor ที่ต้องเข้าถึงข้อมูลลูกค้าโดยไม่มี DPA นั่นคือความเสี่ยงทางกฎหมายที่อาจถูก สคส. (PDPC) ปรับสูงสุด 5 ล้านบาท บทความนี้จะพาคุณรู้จักโครงสร้าง DPA ขั้นตอนการจัดทำ พร้อมเทมเพลตและ Checklist ที่ใช้ได้จริงในปี 2026

DPA คืออะไร และทำไมต้องมีในปี 2026

DPA เป็นสัญญาที่กฎหมาย PDPA มาตรา 40 และ GDPR มาตรา 28 กำหนดให้ Controller ต้องทำกับ Processor ทุกราย เพื่อให้มั่นใจว่าผู้ที่เข้าถึงข้อมูลส่วนบุคคลแทนเรามีมาตรการปกป้องที่เพียงพอ ปี 2026 เทรนด์สำคัญคือ Vendor Risk Management ที่เข้มข้นขึ้น ลูกค้าระดับองค์กรเริ่มขอ DPA เป็นเงื่อนไขก่อนเซ็นสัญญา ทำให้ SME ต้องมี DPA Template มาตรฐานพร้อมตอบ

| องค์ประกอบ | คำอธิบาย |

|------------|-----------|

| Subject Matter | วัตถุประสงค์การประมวลผล |

| Duration | ระยะเวลาที่อนุญาต |

| Categories of Data | ประเภทข้อมูลที่เกี่ยวข้อง |

| Obligations | ความรับผิดและสิทธิทั้งสองฝ่าย |

| Security Measures | มาตรการความปลอดภัย |

| Subprocessor | การจ้างช่วงต่อ |

| Audit Rights | สิทธิตรวจสอบ |

| Breach Notification | การแจ้งเหตุข้อมูลรั่วไหล |

องค์ประกอบหลักของ DPA ฉบับสมบูรณ์

DPA ที่ดีต้องครอบคลุม 8 ส่วนต่อไปนี้

  • **Definitions** — นิยามคำสำคัญเช่น Personal Data, Processing, Controller, Processor, Subprocessor
  • **Scope of Processing** — ประเภทข้อมูล กลุ่มเจ้าของข้อมูล วัตถุประสงค์ ระยะเวลา
  • **Roles & Responsibilities** — สิ่งที่ Controller ต้องทำเทียบกับสิ่งที่ Processor ต้องทำ
  • **Technical & Organizational Measures (TOMs)** — มาตรการความปลอดภัยตาม ISO/IEC 27001 หรือ NIST CSF
  • **Subprocessor Management** — การแจ้งล่วงหน้า สิทธิคัดค้าน และข้อกำหนด Flow-down
  • **Data Subject Rights** — กระบวนการตอบสนองคำขอจากเจ้าของข้อมูล (Access, Rectify, Erase)
  • **Data Breach Notification** — เวลาตอบสนอง (ภายใน 72 ชั่วโมงต่อ Controller)
  • **Termination & Data Return** — การคืนหรือทำลายข้อมูลเมื่อสิ้นสุดสัญญา

    • ทุกหัวข้อต้องเขียนชัดเจนพร้อมตัวอย่างเชิงปฏิบัติ ไม่ใช่แค่กล่าวลอย ๆ

    How-to: 7 ขั้นตอนจัดทำ DPA สำหรับ SME

  • **ขั้นตอนที่ 1 — สร้าง Vendor Inventory** บันทึกรายชื่อ Vendor ทั้งหมดที่เข้าถึงข้อมูลส่วนบุคคล รวมถึง Cloud Provider เช่น AWS, GCP, Microsoft 365 และ SaaS อื่น ๆ
  • **ขั้นตอนที่ 2 — จัดประเภทตามความเสี่ยง** ใช้เกณฑ์เช่น ปริมาณข้อมูล ประเภทข้อมูลอ่อนไหว และอำนาจการเข้าถึง เพื่อจัดเป็น High/Medium/Low Risk
  • **ขั้นตอนที่ 3 — ใช้ DPA Template มาตรฐาน** เริ่มจากแม่แบบ EU SCC หรือของ PDPC แล้วปรับให้สอดคล้อง PDPA ไทย
  • **ขั้นตอนที่ 4 — เจรจาเงื่อนไขสำคัญ** เน้น 4 จุด: Subprocessor List, Audit Rights, Liability Cap และ Breach Timeline
  • **ขั้นตอนที่ 5 — เซ็นและจัดเก็บ** ใช้ระบบ Contract Management หรือ DocuSign พร้อมจัดทำเลขทะเบียนสัญญา
  • **ขั้นตอนที่ 6 — ติดตามและทบทวน** อย่างน้อยปีละครั้ง หรือเมื่อ Vendor มีการเปลี่ยนแปลงสำคัญ
  • **ขั้นตอนที่ 7 — ตรวจสอบ Subprocessor** ส่งแบบสอบถามและตรวจ Certifications เป็นระยะ

    • ทำขั้นตอนเหล่านี้ภายในไตรมาสแรก จะช่วยลดความเสี่ยงและเสริมภาพลักษณ์องค์กรในระยะยาว

    Subprocessor Management ที่ต้องไม่มองข้าม

    Subprocessor หมายถึง Processor ที่ Vendor หลักว่าจ้างต่อให้ทำงานบางส่วน ตัวอย่างเช่น Vendor SaaS ใช้ AWS เก็บข้อมูล AWS ก็คือ Subprocessor มาตรา 40 ของ PDPA กำหนดว่า Processor ต้องไม่จ้างช่วงโดยไม่ได้รับอนุญาตจาก Controller ก่อน DPA ที่ดีจึงควรกำหนดสามเรื่อง

  • รายชื่อ Subprocessor ที่ได้รับอนุญาต (Authorized List)
  • ขั้นตอนแจ้งล่วงหน้าก่อนเพิ่มหรือเปลี่ยน Subprocessor (อย่างน้อย 30 วัน)
  • Flow-down Obligation ให้ Subprocessor ต้องทำตามมาตรฐานเดียวกับ DPA หลัก

    • ในทางปฏิบัติ ควรขอ Subprocessor List ทุก 6 เดือน และเก็บไว้ในระบบเป็นหลักฐาน

    เปรียบเทียบ DPA Template: PDPC vs EU SCC vs Custom

    | หัวข้อ | PDPC Template | EU SCC | Custom (ทำเอง) |

    |--------|----------------|---------|-----------------|

    | ภาษา | ไทย | อังกฤษ | ปรับได้ |

    | ขอบเขต | PDPA ไทย | ครอบคลุม Cross-border EU | ตามต้องการ |

    | ความครบถ้วน | ปานกลาง | สูงมาก | ขึ้นอยู่กับทีมกฎหมาย |

    | เหมาะกับใคร | SME ไทยที่ลูกค้าอยู่ในประเทศ | บริษัทที่มี Vendor ในยุโรป | บริษัทใหญ่ที่ต้องการความยืดหยุ่น |

    | ค่าใช้จ่าย | ฟรี | ฟรี | สูง (ต้องจ้างที่ปรึกษา) |

    แนะนำสำหรับ SME ไทยปี 2026: ใช้ PDPC Template เป็นพื้นฐาน เพิ่มข้อกำหนดเฉพาะ Subprocessor และ Audit ตาม EU SCC แล้วให้ที่ปรึกษากฎหมายตรวจสอบครั้งสุดท้าย

    ข้อผิดพลาดที่ SME มักเจอ

  • ใช้สัญญา NDA ปกติแทน DPA ทำให้ขาดข้อกำหนดสำคัญ
  • ไม่กำหนด Audit Rights ทำให้ตรวจสอบไม่ได้เมื่อเกิดเหตุ
  • ไม่มี Subprocessor List ทำให้ไม่รู้ว่าใครเข้าถึงข้อมูลบ้าง
  • ไม่ระบุ Data Return / Destruction หลังสิ้นสุดสัญญา
  • ใช้ DPA ฉบับเดียวกับทุก Vendor โดยไม่ปรับตามความเสี่ยง

    • หลีกเลี่ยงข้อผิดพลาดเหล่านี้ตั้งแต่เริ่ม จะประหยัดทั้งเวลาและค่าใช้จ่ายในระยะยาว

    Checklist DPA Compliance 2026

    ก่อนเซ็น DPA ทุกครั้ง ตรวจสอบ 10 ข้อนี้

  • กำหนดขอบเขตและประเภทข้อมูลชัดเจน
  • ระบุระยะเวลาประมวลผล
  • ระบุ TOMs ตามมาตรฐานสากล
  • มี Subprocessor List พร้อมขั้นตอนแจ้งเปลี่ยน
  • มี Audit Rights และความถี่
  • กำหนด Breach Notification Timeline ≤72 ชม.
  • กำหนด Liability และ Indemnification
  • ระบุ Data Return / Destruction
  • รองรับสิทธิเจ้าของข้อมูล (DSAR)
  • มีลายเซ็นถูกต้องและเก็บในระบบกลาง

    • นำ Checklist นี้ไปเป็นเครื่องมือทบทวนทุก DPA ที่ทำกับ Vendor ใหม่

    สรุปและขั้นตอนต่อไป

    DPA ไม่ใช่แค่เอกสารทางกฎหมาย แต่เป็นเครื่องมือบริหารความเสี่ยงและสร้างความเชื่อมั่นกับลูกค้า SME ที่จัดทำ DPA อย่างเป็นระบบจะได้เปรียบเมื่อต้องประมูลงานกับองค์กรใหญ่หรือลูกค้าต่างประเทศ

    ขั้นตอนแรกที่แนะนำ: ทำ Vendor Inventory ภายในสัปดาห์นี้ จัดประเภทตามความเสี่ยง แล้วเริ่มทำ DPA จาก Vendor High-risk ก่อน

    ต้องการที่ปรึกษาด้าน PDPA ระบบจัดการสัญญา หรือ Compliance Tool ที่ครบจบในที่เดียว ติดต่อทีม ADS FIT เพื่อรับคำแนะนำฟรี หรือเลือกอ่านบทความเพิ่มเติมเกี่ยวกับ Risk Appetite, ISO 27001 และ Privacy by Design

    Tags

    #PDPA#DPA#Data Processing Agreement#Compliance#Privacy#SME Thailand

    สนใจโซลูชันนี้?

    ปรึกษาทีม ADS FIT ฟรี เราพร้อมออกแบบระบบที่ฟิตกับธุรกิจของคุณ

    ติดต่อเรา →

    บทความที่เกี่ยวข้อง

    🛡️

    ISO 37001 คืออะไร? คู่มือ Anti-Bribery Management ธุรกิจไทย 2026

    7 พฤษภาคม 2569 · 8 นาที
    🛡️

    ISO 14001 Environmental Management System (EMS): คู่มือมาตรฐานสิ่งแวดล้อมสำหรับ SME ไทย 2026

    7 พฤษภาคม 2569 · 9 นาที
    🛡️

    ISO 22000 คืออะไร? คู่มือ Food Safety Management SME ไทย 2026

    7 พฤษภาคม 2569 · 9 นาที