กฎหมายคุ้มครองข้อมูลส่วนบุคคล ( PDPA ) ไทย – ความรู้พื้นฐานและการบังคับใช้

📋 สรุปสำหรับผู้บริหาร

คู่มือฉบับสมบูรณ์เกี่ยวกับ กฎหมาย PDPA ไทย โดย คุณ เอกสยาม ชัยศร Founder & Managing Director, Principal Legal Advisor ของ Eksiam Tax & Legal Consultancy Co., Ltd. ครอบคลุมตั้งแต่หลักการพื้นฐาน การบังคับใช้จริง จนถึงกรณีศึกษา JIB Computer Group ที่ถูกปรับ 7 ล้านบาท

📄 ดาวน์โหลดเอกสารฉบับเต็ม

📥

คู่มือ PDPA ฉบับเต็ม โดย คุณ เอกสยาม ชัยศร PDF • 2.5 MB • 45 หน้า

🎯 บทนำ: ความสำคัญของ PDPA ในยุคดิจิทัล

ความเห็นจาก คุณ เอกสยาม ชัยศร Founder & Managing Director, Principal Legal Advisor Eksiam Tax & Legal Consultancy Co., Ltd.

“การบังคับใช้ PDPA ในปี 2025 นี้เข้าสู่ระยะที่เข้มงวดมากขึ้น กรณี JIB Computer Group เป็นสัญญาณชัดเจนว่าองค์กรต้องเตรียมพร้อมอย่างจริงจัง การปฏิบัติตามกฎหมายไม่ใช่แค่การป้องกันความเสี่ยง แต่เป็นการสร้างความได้เปรียบทางการแข่งขัน”

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) เริ่มมีผลบังคับใช้เต็มรูปแบบตั้งแต่ 1 มิถุนายน 2565 โดยมีวัตถุประสงค์หลักเพื่อให้การคุ้มครองข้อมูลส่วนบุคคลมีประสิทธิภาพและสร้างมาตรการเยียวยาให้เจ้าของข้อมูลจากการถูกละเมิดสิทธิ

🔍 สถิติการบังคับใช้ล่าสุด โดย คุณ เอกสยาม ชัยศร
                        390+
                        เรื่องร้องเรียน
                    
                        380+
                        การแจ้งเหตุละเมิด
                    
                        91+
                        คำสั่งทางปกครอง
                    
                        7 ล้าน
                        บาทค่าปรับ JIB

📚 ความรู้พื้นฐานเกี่ยวกับ PDPA ไทย

นิยามตาม คุณ เอกสยาม ชัยศร

PDPA หรือ Personal Data Protection Act B.E. 2562 เป็นกฎหมายที่ให้สิทธิแก่เจ้าของข้อมูลส่วนบุคคล สร้างมาตรฐานการรักษาข้อมูลให้ปลอดภัย และการนำไปใช้ให้ถูกวัตถุประสงค์ตามคำยินยอมที่เจ้าของข้อมูลอนุญาต

⏰ ไทม์ไลน์การบังคับใช้

27 พ.ค. 2562

ประกาศในราชกิจจานุเบกษา

28 พ.ค. 2562

มีผลใช้บังคับบางส่วน

1 มิ.ย. 2565

บังคับใช้เต็มรูปแบบ

ส.ค. 2567

กรณี JIB ปรับ 7 ล้านบาท

🎯 ขอบเขตการใช้บังคับ

กฎหมายใช้บังคับกับผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูลทั้งในและนอกประเทศไทย หากมีกิจกรรม:

เสนอขายสินค้าหรือบริการให้เจ้าของข้อมูลในไทย
เฝ้าติดตามเจ้าของข้อมูลที่เกิดขึ้นในประเทศไทย

📝 บันทึกจาก คุณ เอกสยาม ชัยศร, Founder & Managing Director:

“ข้อยกเว้นสำคัญได้แก่ การเก็บข้อมูลเพื่อประโยชน์ส่วนตัวหรือกิจกรรมในครอบครัว การดำเนินการของหน่วยงานรัฐที่รักษาความมั่นคงแห่งชาติ และการใช้ข้อมูลเพื่อกิจการสื่อมวลชน งานศิลปกรรม หรืองานวรรณกรรม”

⚖️ สิทธิของเจ้าของข้อมูลส่วนบุคคล 8 ประการ

กฎหมาย PDPA ให้สิทธิแก่เจ้าของข้อมูลส่วนบุคคล 8 ประการ ที่สำคัญ ได้แก่:

สิทธิได้รับการแจ้งให้ทราบ โดยไม่ต้องร้องขอ เกี่ยวกับวัตถุประสงค์ของการเก็บข้อมูล ผู้ควบคุมข้อมูล ระยะเวลาเก็บรักษา และบุคคลที่อาจได้รับข้อมูล

สิทธิการขอเข้าถึงข้อมูล เพื่อขอดูข้อมูลส่วนบุคคลของตนเองและการได้มาซึ่งข้อมูลนั้น

สิทธิในการโอนข้อมูล ใช้ได้เมื่อการประมวลผลเป็นไปโดยอัตโนมัติและมีฐานการประมวลผลเป็นความยินยอมหรือสัญญา

สิทธิการคัดค้าน การประมวลผลข้อมูลเมื่อมีเหตุผลอันสมควรเกี่ยวกับสถานการณ์เฉพาะตัว

สิทธิขอให้ลบหรือทำลายข้อมูล หรือทำให้เป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้เมื่อข้อมูลไม่จำเป็นต่อวัตถุประสงค์เดิม

สิทธิขอให้ระงับการใช้ข้อมูล ชั่วคราวในกรณีที่มีข้อโต้แย้งเกี่ยวกับความถูกต้อง

สิทธิในการแก้ไขข้อมูล ให้ถูกต้อง เป็นปัจจุบัน และสมบูรณ์

สิทธิขอเพิกถอนความยินยอม ได้ตลอดเวลา โดยการถอนความยินยอมไม่ส่งผลกระทบต่อการประมวลผลที่ได้ให้ความยินยอมไปแล้ว

📊 กรณีศึกษา: JIB Computer Group

การวิเคราะห์จาก คุณ เอกสยาม ชัยศร Principal Legal Advisor

“กรณี JIB Computer Group เป็นจุดเปลี่ยนสำคัญที่แสดงให้เห็นว่า PDPC จริงจังในการบังคับใช้กฎหมาย การปรับ 7 ล้านบาทครั้งนี้เป็นสัญญาณเตือนให้องค์กรต่างๆ ปรับปรุงระบบความปลอดภัยข้อมูลอย่างจริงจัง”

กรณี JIB Computer Group เป็นกรณีการบังคับใช้ที่สำคัญที่สุดเมื่อสิงหาคม 2024 บริษัทผู้จำหน่ายอุปกรณ์ IT รายใหญ่ที่มีรายได้กว่า 6,000 ล้านบาท ถูกปรับรวม 7 ล้านบาท จากการละเมิด 3 ข้อหา:

💰 รายละเอียดการปรับ JIB Computer Group
                       1 ล้าน
                       ไม่แต่งตั้ง DPO
                   
                       3 ล้าน
                       มาตรการรักษาความปลอดภัยไม่เพียงพอ
                   
                       3 ล้าน
                       ไม่แจ้งเหตุละเมิดทันเวลา
                   
                       100,000+
                       ข้อมูลลูกค้าที่รั่วไหล

📝 บทเรียนจาก คุณ เอกสยาม ชัยศร:

“ผลกระทบจากกรณี JIB ส่งผลให้ข้อมูลลูกค้ากว่า 100,000 รายรั่วไหลไปยังกลุ่มคอลเซนเตอร์ นี่แสดงให้เห็นถึงความสำคัญของการมีระบบรักษาความปลอดภัยที่เหมาะสม การแต่งตั้ง DPO และการแจ้งเหตุละเมิดทันเวลา”

⚖️ การบังคับใช้และบทลงโทษ

🔍 สถิติการร้องเรียนและการดำเนินการ

ตั้งแต่มิถุนายน 2022 ถึงมกราคม 2024 มีการดำเนินการดังนี้:

390+ การร้องเรียน (ส่วนใหญ่เกี่ยวกับกิจกรรมออนไลน์)

380+ การแจ้งเหตุละเมิดข้อมูล

91+ คำสั่งทางปกครอง

5,869 กรณีการแชร์ข้อมูลผิดกฎหมายที่ตรวจพบ

💼 บทลงโทษตาม PDPA

🏛️ โทษทางปกครอง

ค่าปรับสูงสุด 5 ล้านบาท ต่อการกระทำผิด 1 ครั้ง โดยแบ่งระดับการปรับตามความร้ายแรงของการละเมิด

⚖️ โทษทางอาญา

จำคุกสูงสุด 1 ปี และค่าปรับสูงสุด 1 ล้านบาท สำหรับการละเมิดที่ร้ายแรง

💰 โทษทางแพ่ง

ค่าเสียหายตามความเสียหายจริง และค่าเสียหายลงโทษสูงสุด 2 เท่า ของความเสียหายจริง

💡 คำแนะนำจาก คุณ เอกสยาม ชัยศร

คุณ เอกสยาม ชัยศร ในฐานะ Founder & Managing Director และ Principal Legal Advisor ของ Eksiam Tax & Legal Consultancy Co., Ltd. ให้คำแนะนำดังนี้:

🏢 สำหรับองค์กรและธุรกิจ

📊 การเตรียมความพร้อม

จัดทำ Data Mapping เพื่อสำรวจข้อมูลส่วนบุคคล
ประเมิน Legal Basis สำหรับการประมวลผลแต่ละประเภท
ทบทวนสัญญาและนโยบาย
แต่งตั้ง DPO หากจำเป็น

⚖️ การดำเนินการปฏิบัติ

ขอความยินยอมที่ชัดเจนและเป็น FRIC
แจ้งข้อมูลให้เจ้าของข้อมูลก่อนหรือขณะเก็บข้อมูล
จัดทำระบบรักษาความปลอดภัยตามมาตรฐาน
จัดทำขั้นตอนการตอบสนองสิทธิภายใน 30 วัน

🔑 หลัก FRIC ตาม คุณ เอกสยาม ชัยศร

“ในฐานะ Principal Legal Advisor ผมเน้นย้ำว่าความยินยอมต้องเป็น FRIC”

Freely given
ให้อย่างอิสระ

Reversible
ถอนได้

Informed
รู้เท่าทัน

Clear
ชัดเจน

👥 สำหรับประชาชน

คุณ เอกสยาม ชัยศร แนะนำให้ประชาชนใช้สิทธิ 8 ประการอย่างเหมาะสม:

อ่านนโยบายความเป็นส่วนตัวก่อนให้ข้อมูล
ให้ความยินยอมเฉพาะที่จำเป็น
ตรวจสอบการตั้งค่าความเป็นส่วนตัวในแอปและเว็บไซต์
รายงานการละเมิดข้อมูลไปยัง PDPC หากพบการใช้ข้อมูลผิดวัตถุประสงค์

🌟 ตัวอย่างการใช้งานในชีวิตประจำวัน

📝 กรณีศึกษาจาก คุณ เอกสยาม ชัยศร:

กรณีบริษัทประกันชีวิต ในปี 2023 เจ้าหน้าที่แจกแบบสำรวจให้นักเรียนและผู้ปกครอง เก็บข้อมูลส่วนบุคคลโดยไม่แจ้งวัตถุประสงค์และไม่ได้รับความยินยอม จากนั้นใช้ข้อมูลโทรเสนอขายประกัน ซึ่ง PDPC ได้เปิดการสอบสวนและอาจปรับสูงสุด 3-5 ล้านบาท

📈 การใช้สิทธิของประชาชน

การใช้สิทธิของประชาชนเริ่มเพิ่มขึ้นอย่างต่อเนื่อง โดยเฉพาะการขอเข้าถึงข้อมูลและการขอลบข้อมูล PDPC ได้ออกหลักเกณฑ์ในมิถุนายน 2024 กำหนดให้องค์กรต้องดำเนินการตามคำขอภายใน 60 วัน และต้องมีขั้นตอนชัดเจนในการลบ ทำลาย หรือทำให้ข้อมูลเป็นนิรนาม