ISO / GMP / อย.

PDPA คืออะไร? คู่มือปฏิบัติตาม PDPA สำหรับธุรกิจ SME ปี 2026

เข้าใจ PDPA และวิธีปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลสำหรับธุรกิจ SME ไทย ครอบคลุมสิทธิเจ้าของข้อมูล นโยบายความเป็นส่วนตัว และขั้นตอนรับมือเมื่อเกิดเหตุข้อมูลรั่วไหล

AF
ADS FIT Team
·7 นาที
Share:
PDPA คืออะไร? คู่มือปฏิบัติตาม PDPA สำหรับธุรกิจ SME ปี 2026

PDPA คืออะไร? ทำไมธุรกิจ SME ต้องรู้จัก PDPA

PDPA (Personal Data Protection Act) หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 คือกฎหมายที่คุ้มครองสิทธิ์ของเจ้าของข้อมูลส่วนบุคคล และกำหนดหน้าที่ขององค์กรที่เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลเหล่านั้น

กฎหมายมีผลบังคับใช้เต็มรูปแบบตั้งแต่ 1 มิถุนายน 2565 โดยมีโทษปรับทางแพ่งสูงสุด 5 ล้านบาท และโทษอาญาจำคุกสูงสุด 1 ปี ทำให้ทุกธุรกิจที่จัดเก็บข้อมูลลูกค้าต้องปฏิบัติตามอย่างเคร่งครัด

ข้อมูลส่วนบุคคลหมายถึงอะไรบ้าง?

ข้อมูลส่วนบุคคลครอบคลุมข้อมูลทุกประเภทที่สามารถระบุตัวตนบุคคลได้ ไม่ว่าทางตรงหรือทางอ้อม เช่น ชื่อ-นามสกุล, เบอร์โทรศัพท์, อีเมล, ที่อยู่, เลขบัตรประชาชน, IP Address และข้อมูลพฤติกรรมการใช้งานเว็บไซต์

| ประเภทข้อมูล | ตัวอย่าง | ระดับความอ่อนไหว |

|-------------|---------|----------------|

| ข้อมูลทั่วไป | ชื่อ, อีเมล, เบอร์โทร | ปกติ |

| ข้อมูลออนไลน์ | IP, Cookie, พฤติกรรม | ปกติ |

| ข้อมูลอ่อนไหว | เชื้อชาติ, ศาสนา, สุขภาพ | สูงมาก |

| ข้อมูลทางการเงิน | บัญชีธนาคาร, บัตรเครดิต | สูง |

| ข้อมูลชีวมิติ | ลายนิ้วมือ, Face ID | สูงมาก |

---

ธุรกิจ SME ต้องทำอะไรบ้างภายใต้ PDPA?

1. กำหนดฐานทางกฎหมาย (Lawful Basis)

ก่อนเก็บข้อมูล ต้องมีฐานทางกฎหมายอย่างน้อย 1 ข้อ ได้แก่:

  • **Consent** – ได้รับความยินยอมจากเจ้าของข้อมูลอย่างชัดแจ้ง
  • **Contract** – จำเป็นสำหรับการทำสัญญา เช่น ข้อมูลสำหรับจัดส่งสินค้า
  • **Legal Obligation** – มีกฎหมายอื่นบังคับให้เก็บ
  • **Vital Interest** – เพื่อปกป้องชีวิต เช่น กรณีฉุกเฉิน
  • **Legitimate Interest** – ผลประโยชน์โดยชอบธรรมที่ไม่กระทบสิทธิ์เจ้าของข้อมูล

    • 2. จัดทำนโยบายความเป็นส่วนตัว (Privacy Policy)

    ทุกธุรกิจต้องมี Privacy Policy ที่ระบุ: ประเภทข้อมูลที่เก็บ, วัตถุประสงค์การใช้งาน, ระยะเวลาการเก็บรักษา, สิทธิ์ของเจ้าของข้อมูล และวิธีติดต่อเพื่อใช้สิทธิ์

    3. ขอ Consent ให้ถูกต้อง

    Consent ที่ถูกต้องตาม PDPA ต้องมีคุณสมบัติดังนี้:

  • **สมัครใจ** – ไม่บังคับหรือเป็นเงื่อนไขในการรับบริการ
  • **ชัดแจ้ง** – ระบุวัตถุประสงค์ให้ชัดเจน ไม่คลุมเครือ
  • **แยกส่วน** – ไม่รวมกับข้อกำหนดและเงื่อนไขอื่น
  • **ถอนได้** – เจ้าของข้อมูลสามารถถอน Consent ได้ทุกเวลา

    • > ⚠️ ข้อผิดพลาดที่พบบ่อย: การให้ติ๊กช่อง "ยอมรับข้อตกลง" เพียงครั้งเดียวโดยไม่ระบุวัตถุประสงค์ชัดเจน ถือว่าไม่ผ่าน PDPA

    ---

    สิทธิ์ของเจ้าของข้อมูลที่ธุรกิจต้องรองรับ

    | สิทธิ์ | ความหมาย | ระยะเวลาตอบสนอง |

    |-------|---------|----------------|

    | Right to Access | ขอดูข้อมูลของตนเอง | 30 วัน |

    | Right to Rectification | ขอแก้ไขข้อมูลที่ผิด | 30 วัน |

    | Right to Erasure | ขอลบข้อมูล (Right to be Forgotten) | 30 วัน |

    | Right to Restrict | ขอระงับการใช้ข้อมูล | 30 วัน |

    | Right to Portability | ขอรับข้อมูลในรูปแบบที่ใช้งานได้ | 30 วัน |

    | Right to Object | คัดค้านการประมวลผล | ทันที |

    ธุรกิจต้องมีช่องทางให้เจ้าของข้อมูลใช้สิทธิ์เหล่านี้ได้จริง ไม่ใช่แค่ระบุใน Policy

    ---

    Checklist: 10 ขั้นตอนปฏิบัติตาม PDPA สำหรับ SME

  • **ทำ Data Inventory** – สำรวจว่าเก็บข้อมูลอะไร จากใคร เพื่ออะไร
  • **กำหนด Data Controller และ Data Processor** – ระบุผู้รับผิดชอบให้ชัดเจน
  • **จัดทำ Privacy Policy** – ครอบคลุมทุกช่องทาง (เว็บ, LINE, เอกสาร)
  • **ปรับปรุงฟอร์ม Consent** – ให้ถูกต้องตามมาตรฐาน PDPA
  • **ฝึกอบรมพนักงาน** – ทุกคนที่เกี่ยวข้องกับข้อมูลต้องรู้หน้าที่
  • **ทำสัญญากับ Third Party** – ผู้ให้บริการที่เข้าถึงข้อมูลต้องเซ็น DPA (Data Processing Agreement)
  • **จัดทำระบบรับเรื่องจากเจ้าของข้อมูล** – ช่องทางใช้สิทธิ์ที่ใช้งานได้จริง
  • **วางแผน Data Breach Response** – หากข้อมูลรั่วไหล ต้องแจ้ง สคส. ภายใน 72 ชั่วโมง
  • **กำหนด Data Retention Policy** – ระบุว่าจะเก็บข้อมูลนานเท่าไรและลบเมื่อใด
  • **Review และ Update ประจำปี** – กฎหมายและแนวปฏิบัติอาจเปลี่ยนแปลงได้

    • ---

    โทษและบทลงโทษของ PDPA

    | ประเภทโทษ | ความรุนแรง | รายละเอียด |

    |----------|-----------|-----------|

    | โทษทางแพ่ง | สูงถึง 2 เท่าของความเสียหาย | บวกค่าเสียหายเชิงลงโทษอีก 2 เท่า |

    | โทษทางปกครอง | ปรับ 1–5 ล้านบาท | ออกโดย สคส. |

    | โทษทางอาญา | จำคุก 6 เดือน – 1 ปี | สำหรับความผิดร้ายแรง เช่น ขายข้อมูล |

    ---

    เครื่องมือที่ช่วยให้ปฏิบัติตาม PDPA ได้ง่ายขึ้น

  • **Consent Management Platform (CMP)** – เช่น CookieYes, Cookiebot สำหรับจัดการ Cookie Consent บนเว็บไซต์
  • **Privacy Policy Generator** – สร้าง Policy อัตโนมัติ (ต้องปรับให้ตรงกับธุรกิจ)
  • **เว็บไซต์ สคส.** – pdpc.or.th มีแนวปฏิบัติและแบบฟอร์มให้ดาวน์โหลดฟรี
  • **ระบบ CRM ที่รองรับ PDPA** – เช่น HubSpot, Salesforce มีฟีเจอร์ Consent Management ในตัว

    • ---

    สรุป: เริ่มต้น PDPA Compliance วันนี้ ก่อนโดนปรับพรุ่งนี้

    PDPA ไม่ใช่แค่ภาระทางกฎหมาย แต่เป็นโอกาสสร้างความไว้วางใจให้ลูกค้า ธุรกิจที่จัดการข้อมูลอย่างโปร่งใสและปลอดภัยจะได้เปรียบในระยะยาว

    3 สิ่งที่ควรทำทันทีหลังอ่านบทความนี้:

  • สำรวจว่าธุรกิจของคุณเก็บข้อมูลส่วนบุคคลอะไรบ้าง
  • ตรวจสอบว่ามี Privacy Policy และ Consent Form ที่ถูกต้องหรือยัง
  • ฝึกอบรมพนักงานที่เกี่ยวข้องกับข้อมูลลูกค้า

    • > 🛡️ ต้องการความช่วยเหลือจัดระบบ PDPA Compliance สำหรับธุรกิจ? ADS FIT มีบริการวางระบบ Digital Compliance ครบวงจร ตั้งแต่ Privacy Policy, Consent Management จนถึงระบบรับเรื่องร้องเรียน [ปรึกษาเราฟรี](/contact)

    Tags

    #PDPA#ข้อมูลส่วนบุคคล#กฎหมาย IT#Compliance#ธุรกิจ SME#ความปลอดภัยข้อมูล

    สนใจโซลูชันนี้?

    ปรึกษาทีม ADS FIT ฟรี เราพร้อมออกแบบระบบที่ฟิตกับธุรกิจของคุณ

    ติดต่อเรา →

    บทความที่เกี่ยวข้อง

    🛡️

    NIST Cybersecurity Framework คืออะไร? คู่มือความปลอดภัยไซเบอร์สำหรับองค์กรไทย 2026

    2 เมษายน 2569 · 9 นาที
    🛡️

    COBIT 2019 คืออะไร? คู่มือกรอบธรรมาภิบาล IT Governance สำหรับองค์กรไทย 2026

    2 เมษายน 2569 · 8 นาที
    🛡️

    SOC 2 คืออะไร? คู่มือมาตรฐานความปลอดภัยข้อมูลสำหรับธุรกิจเทคโนโลยีไทย 2026

    2 เมษายน 2569 · 8 นาที