Skip to main content
PDPA & Privacy

PDPA Enforcement เข้มข้นขึ้น 2,672 เรื่องร้องเรียน — บทเรียนสำหรับองค์กรไทย

สคส. เปิดตัวเลข 2,672 เรื่องร้องเรียน PDPA ณ มกราคม 2569 พร้อมสั่ง Worldcoin ลบข้อมูลชีวภาพ 1.2 ล้านคน ค่าปรับรวมกว่า 21.5 ล้านบาท — สรุปบทเรียนและแนวทางป้องกันที่องค์กรไทยต้องรู้

23 มี.ค. 202612 นาที
PDPAPrivacyComplianceThailandData ProtectionDPO

ตัวเลขที่ต้องรู้: PDPA ไม่ใช่แค่กฎบนกระดาษอีกต่อไป

ณ เดือนมกราคม 2569 สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส. หรือ PDPC) รายงานว่ามีเรื่องร้องเรียนเข้ามาแล้วทั้งสิ้น 2,672 เรื่อง — ตัวเลขนี้สะท้อนว่าประชาชนไทยตระหนักถึงสิทธิของตนมากขึ้น และ สคส. กำลังทำหน้าที่บังคับใช้กฎหมายอย่างจริงจัง

ในด้านการลงโทษ สคส. ได้ออกคำสั่งปรับทางปกครองไปแล้ว 8 คำสั่ง ใน 5 คดี รวมมูลค่าค่าปรับมากกว่า 21.5 ล้านบาท โดยเฉพาะในเดือนสิงหาคม 2568 เพียงเดือนเดียวมีค่าปรับรวมถึง 14.5 ล้านบาท ทำให้ยอดรวมทะลุ 21 ล้านบาท

ตัวเลขเหล่านี้บอกเราว่า — ยุคของ "เตือนก่อน" จบลงแล้ว PDPA enforcement กำลังเข้าสู่โหมดเต็มรูปแบบ

กรณี Worldcoin — บทเรียนราคาแพงที่สุด

หนึ่งในคดีที่สร้างแรงสั่นสะเทือนมากที่สุดในวงการ Data Protection ของไทย คือคำสั่งของ สคส. ต่อบริษัท Worldcoin (ปัจจุบันใช้ชื่อ World) ที่ให้บริการสแกนม่านตา (Iris Scan) แลกกับสกุลเงินดิจิทัล

สคส. สั่งให้ Worldcoin หยุดให้บริการสแกนม่านตาในประเทศไทย และลบข้อมูลชีวภาพ (Biometric Data) ของผู้ใช้ชาวไทยกว่า 1.2 ล้านคน โดย สคส. ชี้ว่าการเก็บข้อมูลชีวภาพเพื่อแลกกับ Cryptocurrency ถือเป็นการละเมิด PDPA เนื่องจาก:

  • ข้อมูลชีวภาพเป็นข้อมูลอ่อนไหว (Sensitive Data) ที่ต้องได้รับความยินยอมโดยชัดแจ้ง
  • การแลกข้อมูลกับผลประโยชน์ทางการเงิน ทำให้ความยินยอมไม่เป็นอิสระ เพราะผู้ให้ข้อมูลถูกจูงใจด้วยผลตอบแทน
  • ไม่มีมาตรการคุ้มครองที่เพียงพอ สำหรับข้อมูลที่มีความอ่อนไหวสูงระดับนี้

กรณีนี้ส่งสัญญาณชัดเจนว่า สคส. พร้อมดำเนินการกับบริษัทเทคโนโลยีระดับโลก ไม่ใช่แค่องค์กรไทยขนาดเล็ก และข้อมูลชีวภาพเป็นเส้นแดงที่ไม่ควรข้าม

8 คำสั่งปรับ 5 คดี — ประเภทการละเมิดที่พบบ่อย

จากคำสั่งปรับทั้ง 8 รายการที่ สคส. ออกมาจนถึงปัจจุบัน เราสามารถจำแนกประเภทการละเมิดที่พบบ่อยได้ดังนี้:

1. ข้อมูลลูกค้ารั่วไหลสู่แก๊งคอลเซ็นเตอร์

คดีที่มีค่าปรับสูงที่สุดรายเดียวคือ 7 ล้านบาท เกิดจากกรณีข้อมูลลูกค้ารั่วไหลและถูกนำไปใช้โดยแก๊งคอลเซ็นเตอร์ในการหลอกลวง กรณีนี้แสดงให้เห็นว่า สคส. ให้น้ำหนักกับผลกระทบที่เกิดขึ้นจริงต่อเจ้าของข้อมูล — เมื่อข้อมูลที่รั่วไหลถูกนำไปใช้ก่ออาชญากรรม ค่าปรับจะสูงตามความเสียหาย

2. หน่วยงานรัฐและผู้พัฒนาซอฟต์แวร์ถูกปรับพร้อมกัน

อีกกรณีที่น่าสนใจคือเหตุ Cyberattack ที่ทำให้ข้อมูลส่วนบุคคลของประชาชนกว่า 200,000 ราย ถูกเปิดเผย ทั้งหน่วยงานรัฐ (ในฐานะผู้ควบคุมข้อมูล) และผู้พัฒนาซอฟต์แวร์ (ในฐานะผู้ประมวลผลข้อมูล) ถูกปรับคนละมากกว่า 150,000 บาท

บทเรียนสำคัญคือ — ทั้ง Data Controller และ Data Processor มีความรับผิดชอบร่วมกัน การ Outsource งานไม่ได้หมายความว่า Outsource ความรับผิดชอบไปด้วย

3. รูปแบบการละเมิดที่ควรระวัง

จากทั้ง 5 คดี สรุปรูปแบบการละเมิดที่พบบ่อยได้ดังนี้:

  • มาตรการรักษาความปลอดภัยไม่เพียงพอ — ไม่มีการเข้ารหัส ไม่มีการจำกัดสิทธิ์การเข้าถึง
  • ไม่แจ้งเหตุละเมิดภายใน 72 ชั่วโมง — PDPA กำหนดให้แจ้ง สคส. โดยไม่ชักช้า
  • ไม่มี Data Protection Officer (DPO) หรือผู้รับผิดชอบที่ชัดเจน
  • เก็บข้อมูลเกินความจำเป็น — เก็บข้อมูลที่ไม่เกี่ยวข้องกับวัตถุประสงค์ที่แจ้งไว้

ภาคธุรกิจที่ถูกจับตา

เข้าสู่ปี 2569 สคส. ส่งสัญญาณชัดว่าจะเพิ่มความเข้มข้นในการตรวจสอบหลายภาคส่วน:

อีคอมเมิร์ซ (E-Commerce)

แพลตฟอร์มอีคอมเมิร์ซเก็บข้อมูลลูกค้าจำนวนมาก ทั้งชื่อ ที่อยู่ เบอร์โทร ข้อมูลการชำระเงิน และพฤติกรรมการซื้อ ยิ่งมีการใช้ AI ในการวิเคราะห์พฤติกรรมลูกค้า ยิ่งต้องระวังเรื่องความยินยอมและขอบเขตการใช้ข้อมูล

สาธารณสุข (Healthcare)

ข้อมูลสุขภาพเป็นข้อมูลอ่อนไหวตาม PDPA โรงพยาบาลและคลินิกหลายแห่งยังมีระบบ IT เก่าที่ไม่ได้ออกแบบมาเพื่อรองรับการคุ้มครองข้อมูลตามมาตรฐานใหม่ ทำให้เป็นเป้าหมายทั้งจาก Cyberattack และการตรวจสอบของ สคส.

โทรคมนาคม (Telecom)

ผู้ให้บริการโทรคมนาคมถือครองข้อมูลส่วนบุคคลระดับ National Scale ทั้งข้อมูลตำแหน่งที่ตั้ง ประวัติการโทร และข้อมูลการใช้งานอินเทอร์เน็ต การรั่วไหลของข้อมูลในภาคนี้ส่งผลกระทบวงกว้าง

หน่วยงานภาครัฐ (Public Services)

จากกรณีที่เกิดขึ้นแล้ว หน่วยงานรัฐไม่ได้รับการยกเว้นจาก PDPA ระบบฐานข้อมูลของหน่วยงานรัฐหลายแห่งยังต้องการการยกระดับด้านความปลอดภัย โดยเฉพาะเมื่อมีการเชื่อมต่อข้อมูลข้ามหน่วยงาน

แนวทางป้องกัน — สิ่งที่องค์กรควรทำตอนนี้

จากบทเรียนของ 5 คดีที่ถูกปรับ และแนวโน้มการบังคับใช้ที่เข้มข้นขึ้น ต่อไปนี้คือสิ่งที่องค์กรไทยควรดำเนินการทันที:

1. ทบทวน Data Inventory อย่างจริงจัง

รู้ว่าองค์กรเก็บข้อมูลอะไรบ้าง เก็บไว้ที่ไหน ใครเข้าถึงได้ และเก็บไว้นานเท่าไร องค์กรที่ไม่รู้ว่าตัวเองมีข้อมูลอะไรอยู่ จะไม่สามารถปกป้องข้อมูลนั้นได้

2. แต่งตั้ง DPO หรือทีมรับผิดชอบ

ไม่ว่าจะเป็นการแต่งตั้ง Data Protection Officer อย่างเป็นทางการ หรือมอบหมายทีมที่รับผิดชอบเรื่องนี้โดยเฉพาะ สิ่งสำคัญคือต้องมี "เจ้าภาพ" ที่ชัดเจน ไม่ใช่ให้เป็นงานฝากของฝ่าย IT หรือฝ่ายกฎหมาย

3. เตรียมแผน Data Breach Response

เมื่อเกิดเหตุรั่วไหล องค์กรต้องพร้อมแจ้ง สคส. ภายใน 72 ชั่วโมง ต้องมีกระบวนการที่ชัดเจนว่าใครทำอะไร แจ้งใคร และสื่อสารกับเจ้าของข้อมูลอย่างไร การไม่แจ้งเหตุละเมิดตามกำหนดเวลาเป็นหนึ่งในเหตุที่ทำให้ค่าปรับสูงขึ้น

4. ตรวจสอบสัญญากับ Vendor และ Data Processor

จากกรณีที่ทั้ง Data Controller และ Data Processor ถูกปรับพร้อมกัน องค์กรต้องมั่นใจว่าสัญญากับผู้ให้บริการภายนอกมีข้อกำหนดเรื่อง Data Protection ที่ชัดเจน รวมถึงสิทธิในการตรวจสอบ (Audit Right)

5. ทำ Privacy Impact Assessment (PIA)

ก่อนเริ่มโครงการใหม่ที่เกี่ยวข้องกับข้อมูลส่วนบุคคล โดยเฉพาะข้อมูลอ่อนไหวอย่างข้อมูลชีวภาพหรือข้อมูลสุขภาพ ต้องประเมินผลกระทบด้านความเป็นส่วนตัวก่อนเสมอ กรณี Worldcoin เป็นตัวอย่างที่ชัดเจนว่าการข้ามขั้นตอนนี้อาจนำไปสู่ผลลัพธ์ที่ร้ายแรง

6. ฝึกอบรมพนักงานอย่างต่อเนื่อง

การรั่วไหลของข้อมูลส่วนใหญ่เกิดจากคน ไม่ใช่ระบบ การฝึกอบรม PDPA Awareness ให้พนักงานทุกระดับต้องทำอย่างสม่ำเสมอ ไม่ใช่แค่ครั้งเดียวตอนเข้าทำงาน

สรุป

ตัวเลข 2,672 เรื่องร้องเรียน ค่าปรับรวมกว่า 21.5 ล้านบาท และคำสั่งให้ลบข้อมูลชีวภาพ 1.2 ล้านคน — ทั้งหมดนี้ยืนยันว่า PDPA ไม่ใช่กฎหมายที่มีไว้ประดับอีกต่อไป

ในปี 2569 สคส. ส่งสัญญาณชัดเจนว่าจะเพิ่มความเข้มข้นในการบังคับใช้กฎหมาย โดยเฉพาะในภาคอีคอมเมิร์ซ สาธารณสุข โทรคมนาคม และภาครัฐ องค์กรที่ยังไม่ได้เตรียมความพร้อมไม่ใช่แค่เสี่ยงถูกปรับ — แต่เสี่ยงสูญเสียความไว้วางใจจากลูกค้าที่สร้างมาอย่างยากลำบาก

การเริ่มต้นไม่ต้องรอให้ทุกอย่างสมบูรณ์แบบ เริ่มจากการรู้ว่าองค์กรมีข้อมูลอะไร เก็บไว้ที่ไหน และมีมาตรการป้องกันอะไรบ้าง จากนั้นค่อยยกระดับไปทีละขั้น

ต้องการที่ปรึกษาเรื่อง PDPA Compliance? ติดต่อทีม Enersys เพื่อประเมินความพร้อมด้านการคุ้มครองข้อมูลส่วนบุคคลขององค์กรคุณ

แหล่งข้อมูล

ลิงก์ที่เกี่ยวข้อง

PrivacyHub

Privacy Governance Platform สำหรับองค์กรไทย

PDPA Compliance Assessment

ประเมิน PDPA Compliance Score ฟรี

ติดต่อปรึกษา PDPA

พูดคุยกับผู้เชี่ยวชาญ

กลับไปหน้า Insights

บทความที่เกี่ยวข้อง

Cybersecurity ธุรกิจไทย 2026: ภัยคุกคามและวิธีป้องกัน

รู้เท่าทันภัยคุกคามไซเบอร์ที่ธุรกิจไทยต้องเผชิญในปี 2026 พร้อมแนวทางป้องกันที่ผู้บริหารต้องรู้

PDPA ไทยเข้าโหมดปรับจริง — ถอดบทเรียน 5 คดีแรกที่โดน 21.5 ล้านบาท ก่อนถึงคิวคุณ

วันที่ 1 สิงหาคม 2025 PDPC ประกาศค่าปรับ 8 รายการจาก 5 คดี รวมประมาณ 21.5 ล้านบาท — ปิดฉากยุค "ตักเตือน" และเปิดยุค "ปรับจริง" อย่างเป็นทางการ นี่คือสิ่งที่เกิดขึ้นในแต่ละคดี รูปแบบของความผิดพลาดที่ซ้ำกัน และสิ่งที่ธุรกิจไทยทุกขนาดต้องทำภายในปี 2026

PDPA Checklist 2026 — 15 ข้อที่ทุกองค์กรต้องตรวจสอบ

เช็กลิสต์ PDPA ฉบับสมบูรณ์ 15 ข้อ ครอบคลุมทุกด้านที่ สคส. ตรวจสอบ พร้อมวิธีอุดช่องโหว่ที่พบบ่อยที่สุดในองค์กรไทย

"Empowering Innovation,
Transforming Futures."

ติดต่อเราเพื่อทำให้โปรเจกต์ของคุณเป็นจริง