PDPA & Privacy

PDPA Enforcement เข้มข้นขึ้น 2,672 เรื่องร้องเรียน — บทเรียนสำหรับองค์กรไทย

สคส. เปิดตัวเลข 2,672 เรื่องร้องเรียน PDPA ณ มกราคม 2569 พร้อมสั่ง Worldcoin ลบข้อมูลชีวภาพ 1.2 ล้านคน ค่าปรับรวมกว่า 21.5 ล้านบาท — สรุปบทเรียนและแนวทางป้องกันที่องค์กรไทยต้องรู้

23 Mar 202612 min

PDPAPrivacyComplianceThailandData ProtectionDPO

เมื่อวันคุ้มครองข้อมูลส่วนบุคคลของประเทศไทย (Data Privacy Day 2026) สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส./PDPC) ได้เปิดเผยตัวเลขที่สะท้อนภาพรวมของการบังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) อย่างชัดเจน — มีเรื่องร้องเรียนสะสมถึง 2,672 เรื่อง ณ เดือนมกราคม 2569

ตัวเลขนี้ไม่ใช่แค่สถิติ แต่เป็นสัญญาณว่า PDPA ไม่ได้เป็นแค่กฎหมายบนกระดาษอีกต่อไป องค์กรที่ยังมองว่า "คงไม่โดน" อาจต้องคิดใหม่

ภาพรวมการบังคับใช้ PDPA ที่เปลี่ยนไป

ในช่วง 2-3 ปีแรกหลัง PDPA มีผลบังคับใช้เต็มรูปแบบเมื่อปี 2565 หลายองค์กรมองว่าการบังคับใช้ยังไม่เข้มข้น เน้นการตักเตือนมากกว่าการลงโทษ แต่ในปี 2568-2569 ภาพนี้เปลี่ยนไปอย่างสิ้นเชิง

สคส. ได้ประกาศโทษปรับทางปกครอง 8 กรณี ใน 5 คดี เมื่อวันที่ 1 สิงหาคม 2568 รวมมูลค่ากว่า 21.5 ล้านบาท ครอบคลุมทั้งภาครัฐและเอกชน ตั้งแต่หน่วยงานราชการ โรงพยาบาลเอกชน บริษัทค้าปลีก ไปจนถึงธุรกิจ SME และ e-Commerce

ที่สำคัญคือรูปแบบการละเมิดที่พบซ้ำ ๆ ล้วนเป็นเรื่องพื้นฐานที่องค์กรทุกขนาดสามารถป้องกันได้

4 การละเมิดที่พบบ่อยที่สุด

1. มาตรการรักษาความปลอดภัยไม่เพียงพอ

นี่คือสาเหตุอันดับหนึ่งของโทษปรับ ตัวอย่างที่ชัดเจน ได้แก่

หน่วยงานรัฐ ถูกโจมตีทางไซเบอร์ เปิดเผยข้อมูลเกือบ 200,000 รายการ เพราะใช้รหัสผ่านที่อ่อนแอและไม่มีการประเมินความเสี่ยงด้านความปลอดภัย — ปรับ 153,120 บาท
บริษัทเครื่องสำอาง มีมาตรการรักษาความปลอดภัยไม่เพียงพอจนเกิดเหตุข้อมูลรั่วไหล — ปรับ 2.5 ล้านบาท
บริษัทจำหน่ายคอมพิวเตอร์ ถูกมิจฉาชีพแอบอ้างเป็น Call Center โดยใช้ข้อมูลลูกค้าที่หลุดออกไป — ปรับ 7 ล้านบาท (สูงสุดจนถึงปัจจุบัน)

2. ไม่แต่งตั้ง DPO (Data Protection Officer)

หลายองค์กรยังไม่ได้แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ทั้งที่กฎหมายกำหนดให้ต้องมี สคส. ถือว่าการไม่มี DPO เป็น "ปัจจัยเพิ่มความรุนแรง" ของโทษ ไม่ใช่แค่ข้อแนะนำ (Best Practice) อีกต่อไป แต่เป็นข้อบังคับ (Core Compliance) ที่ต้องปฏิบัติ

3. ไม่แจ้งเหตุการณ์ข้อมูลรั่วไหลภายใน 72 ชั่วโมง

กฎหมายกำหนดให้ผู้ควบคุมข้อมูลต้องแจ้ง สคส. ภายใน 72 ชั่วโมง หลังทราบว่ามีเหตุข้อมูลรั่วไหลที่มีความเสี่ยงต่อสิทธิและเสรีภาพของบุคคล แต่ในหลายกรณีที่ถูกลงโทษ องค์กรไม่ได้แจ้งเหตุเลย หรือแจ้งล่าช้าจนเกินกำหนด

โรงพยาบาลเอกชน ปล่อยให้ผู้รับจ้างทำลายเอกสารผู้ป่วยกว่า 1,000 ชุดอย่างไม่เหมาะสม จนเอกสารรั่วไหล — ปรับ 1.21 ล้านบาท
บริษัทจำหน่ายของเล่นสะสม ผู้ให้บริการระบบจองไม่สามารถควบคุมเหตุการณ์ได้ — ปรับ 500,000 บาท (บริษัท) และ 3 ล้านบาท (ผู้ประมวลผลข้อมูล)

4. ไม่มีสัญญาประมวลผลข้อมูล (DPA) กับผู้ประมวลผล

จุดที่น่าสนใจคือ สคส. เริ่มลงโทษ ผู้ประมวลผลข้อมูล (Data Processor) ด้วย ไม่ใช่แค่ผู้ควบคุมข้อมูล (Data Controller) เพียงฝ่ายเดียว องค์กรที่จ้าง Vendor หรือ Outsource โดยไม่มีสัญญาประมวลผลข้อมูล (Data Processing Agreement) ที่ชัดเจน ถือว่ามีความเสี่ยงสูง

กรณี Worldcoin — บทเรียนด้านข้อมูลชีวภาพ

กรณีที่สร้างความสั่นสะเทือนมากที่สุดในปี 2568-2569 คือคำสั่งของ สคส. ต่อ World Network (เดิมชื่อ Worldcoin) ซึ่งเป็นโครงการที่ใช้การสแกนม่านตา (Iris Scan) เพื่อยืนยันตัวตนแลกกับโทเคนดิจิทัล

สิ่งที่เกิดขึ้น:

World Network เก็บข้อมูลชีวภาพ (Biometric Data) จากผู้ใช้ในไทยกว่า 1.2 ล้านคน
สคส. พบว่าโครงการนี้ละเมิด PDPA ในหลายประเด็น ได้แก่ การไม่ให้ข้อมูลที่เพียงพอแก่ผู้ใช้ (Transparency), ความยินยอมที่ได้มาไม่ถือว่า "ให้อย่างอิสระ" เพราะใช้โทเคนเป็นสิ่งจูงใจ, และไม่ปฏิบัติตามข้อกำหนดการส่งข้อมูลข้ามประเทศ
สคส. สั่งให้ ระงับการเก็บข้อมูลชีวภาพในไทย และ ลบข้อมูลม่านตาทั้งหมด ภายในระยะเวลาที่กำหนด

บทเรียนสำคัญ:

กรณีนี้ส่งสัญญาณชัดเจนว่า สคส. พร้อมใช้อำนาจกับบริษัทเทคโนโลยีระดับโลก ไม่ใช่แค่ธุรกิจท้องถิ่น และข้อมูลชีวภาพ (Biometric Data) ซึ่งเป็นข้อมูลอ่อนไหว (Sensitive Data) ตาม PDPA จะถูกตรวจสอบอย่างเข้มงวดเป็นพิเศษ

จาก "Policy on Paper" สู่ "Privacy in Action"

สิ่งที่ สคส. สื่อสารชัดเจนในงาน Data Privacy Day 2026 คือการเปลี่ยนจุดเน้นจาก การมีนโยบาย (Policy-Level Compliance) ไปสู่ การปฏิบัติจริง (Operational Readiness)

หมายความว่าการมีเอกสาร Privacy Policy บนเว็บไซต์ หรือมี Consent Form ให้ลูกค้ากดยินยอม ไม่เพียงพออีกต่อไป สคส. ต้องการเห็นว่าองค์กรมีกระบวนการทำงานจริงที่สอดคล้องกับ PDPA

เครื่องมือใหม่ที่ สคส. นำมาใช้

Eagle Eye Crawler — เครื่องมือตรวจสอบเชิงรุกที่ สคส. นำมาใช้สำรวจการปฏิบัติตาม PDPA ขององค์กรต่าง ๆ ทางออนไลน์ แทนที่จะรอให้มีผู้ร้องเรียน
Privacy Maturity Model — กรอบการประเมินระดับความพร้อมด้านความเป็นส่วนตัวขององค์กร เพื่อให้องค์กรประเมินตนเองได้
แนวทางด้าน AI — สคส. เริ่มพัฒนากรอบแนวทางสำหรับการใช้ AI ที่เกี่ยวข้องกับข้อมูลส่วนบุคคล สอดรับกับแนวโน้มทั่วโลก

5 สิ่งที่องค์กรไทยต้องทำตอนนี้

1. ตรวจสอบมาตรการรักษาความปลอดภัยอย่างจริงจัง

ไม่ใช่แค่มี Firewall หรือ Antivirus แต่ต้องมีการประเมินความเสี่ยงอย่างเป็นระบบ การจัดการรหัสผ่าน (Password Policy) ที่เข้มแข็ง การเข้ารหัสข้อมูล และการตรวจสอบความปลอดภัยเป็นระยะ จากกรณีที่ถูกลงโทษ จะเห็นว่าสาเหตุหลักล้วนเป็นเรื่องพื้นฐาน เช่น รหัสผ่านอ่อนแอ ไม่มีการประเมินความเสี่ยง

2. แต่งตั้ง DPO และให้อำนาจจริง

ถ้าองค์กรของคุณเข้าข่ายที่กฎหมายกำหนดให้ต้องมี DPO ต้องดำเนินการทันที การไม่มี DPO ไม่ใช่แค่ขาดเอกสาร แต่เป็นปัจจัยที่ สคส. ใช้เพิ่มโทษ DPO ต้องมีความรู้ มีอำนาจในการดำเนินงาน และรายงานตรงต่อผู้บริหารระดับสูง

3. วางแผนรับมือเหตุข้อมูลรั่วไหลล่วงหน้า

ทุกองค์กรต้องมี Incident Response Plan ที่ชัดเจน ระบุว่า เมื่อเกิดเหตุข้อมูลรั่วไหล ใครรับผิดชอบ ต้องทำอะไรบ้าง แจ้ง สคส. อย่างไร ภายในกี่ชั่วโมง และแจ้งเจ้าของข้อมูลอย่างไร การมี Playbook ที่ซ้อมแล้วจะช่วยให้องค์กรปฏิบัติได้ทันภายใน 72 ชั่วโมง

4. ทำสัญญาประมวลผลข้อมูล (DPA) กับทุก Vendor

ทบทวนสัญญากับผู้ให้บริการภายนอกทั้งหมดที่เข้าถึงข้อมูลส่วนบุคคล ต้องมี DPA ที่ระบุขอบเขตการประมวลผล มาตรการรักษาความปลอดภัย และข้อกำหนดการแจ้งเหตุอย่างชัดเจน เพราะตอนนี้ สคส. ลงโทษทั้ง Controller และ Processor

5. จัดทำ Record of Processing Activities (ROPA)

ROPA คือเอกสารบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคลทั้งหมดขององค์กร หลายองค์กรยังมองข้ามเรื่องนี้ แต่ สคส. ถือว่าเป็นส่วนหนึ่งของ Governance ที่ต้องมี

ตัวเลขสำคัญที่ผู้บริหารต้องจำ

ตัวเลข	ความหมาย
2,672	จำนวนเรื่องร้องเรียน PDPA สะสม ณ มกราคม 2569
21.5 ล้านบาท	ค่าปรับรวมจาก 8 กรณี ใน 5 คดี (สิงหาคม 2568)
7 ล้านบาท	ค่าปรับสูงสุดต่อกรณีเดียว
1.2 ล้านคน	จำนวนข้อมูลชีวภาพที่ สคส. สั่งให้ลบ (กรณี Worldcoin)
72 ชั่วโมง	ระยะเวลาที่ต้องแจ้งเหตุข้อมูลรั่วไหลต่อ สคส.

มุมมองจาก Enersys

ในฐานะทีมที่ทำงานด้านระบบดิจิทัลให้องค์กรไทยมาอย่างต่อเนื่อง เราเห็นว่าปัญหา PDPA ส่วนใหญ่ไม่ได้เกิดจากการขาดเจตนาดี แต่เกิดจาก ช่องว่างระหว่างนโยบายกับการปฏิบัติจริง

หลายองค์กรมีเอกสาร Privacy Policy ที่ดี แต่ระบบหลังบ้านยังจัดเก็บข้อมูลแบบกระจัดกระจาย ไม่มีกลไกติดตามว่าข้อมูลไหลไปที่ไหน ไม่มีระบบแจ้งเตือนเมื่อเกิดเหตุผิดปกติ และไม่มีกระบวนการลบข้อมูลเมื่อหมดความจำเป็น

การปิดช่องว่างเหล่านี้ต้องอาศัยทั้งความเข้าใจในกฎหมาย ความรู้ด้านเทคนิค และประสบการณ์ในการวางระบบที่ทำงานได้จริงในบริบทขององค์กรไทย

หากองค์กรของคุณต้องการคำปรึกษาเรื่อง PDPA Compliance หรือการวางระบบจัดการข้อมูลส่วนบุคคล ติดต่อทีม Enersys เพื่อพูดคุยกับผู้เชี่ยวชาญของเรา

แหล่งข้อมูล

ลิงก์ที่เกี่ยวข้อง

PrivacyHub

Privacy Governance Platform สำหรับองค์กรไทย

PDPA Compliance Assessment

ประเมิน PDPA Compliance Score ฟรี

ติดต่อปรึกษา PDPA

พูดคุยกับผู้เชี่ยวชาญ

Back to Insights

PDPA 2026 — บังคับใช้จริงจัง ค่าปรับจริง กรณีจริง ธุรกิจไทยต้องปรับตัวอย่างไร

สิ้นสุดยุคเตือนแล้วปล่อย — PDPC สั่งปรับรวมกว่า 21.5 ล้านบาทใน 5 คดีแรก ตั้งแต่บริษัทไอที ธุรกิจเครื่องสำอาง ไปจนถึงหน่วยงานรัฐ พร้อมกฎ Cross-Border Transfer ที่เข้มขึ้น

Cybersecurity ธุรกิจไทย 2026: ภัยคุกคามและวิธีป้องกัน

รู้เท่าทันภัยคุกคามไซเบอร์ที่ธุรกิจไทยต้องเผชิญในปี 2026 พร้อมแนวทางป้องกันที่ผู้บริหารต้องรู้

Colorado AI Act — กฎหมาย AI ฉบับแรกของสหรัฐฯ ที่บังคับตรวจสอบ Algorithmic Discrimination มีผล มิ.ย. 2026

Colorado เป็นรัฐแรกของสหรัฐฯ ที่ออกกฎหมาย AI ครอบคลุม บังคับให้ผู้พัฒนาและผู้ใช้ AI ประเมินความเสี่ยงด้าน algorithmic discrimination — มีผลบังคับใช้ 30 มิถุนายน 2026

"Empowering Innovation,
Transforming Futures."