Skip to main content
PDPA & Privacy

PDPA 2026 — บังคับใช้จริงจัง ค่าปรับจริง กรณีจริง ธุรกิจไทยต้องปรับตัวอย่างไร

สิ้นสุดยุคเตือนแล้วปล่อย — PDPC สั่งปรับรวมกว่า 21.5 ล้านบาทใน 5 คดีแรก ตั้งแต่บริษัทไอที ธุรกิจเครื่องสำอาง ไปจนถึงหน่วยงานรัฐ พร้อมกฎ Cross-Border Transfer ที่เข้มขึ้น

20 มี.ค. 202610 นาที
PDPAData PrivacyPDPCComplianceCross-Border DataGDPRDPOERP

PDPA 2026 — บังคับใช้จริงจัง ค่าปรับจริง กรณีจริง ธุรกิจไทยต้องปรับตัวอย่างไร

1 สิงหาคม 2568 ถือเป็นจุดเปลี่ยนสำคัญของ landscape การคุ้มครองข้อมูลส่วนบุคคลในประเทศไทย เมื่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ประกาศคำสั่งปรับทางปกครองครั้งใหญ่ — รวมค่าปรับกว่า 21.5 ล้านบาท ใน 5 คดี 8 บทลงโทษ ครอบคลุมทั้งหน่วยงานภาครัฐและเอกชน

ยุคของการ "เตือน" และ "ให้เวลาปรับตัว" สิ้นสุดลงแล้ว ตอนนี้ PDPC พร้อมบังคับใช้กฎหมายอย่างจริงจัง และธุรกิจไทยที่ยังไม่พร้อมกำลังเผชิญความเสี่ยงที่จับต้องได้

สถานการณ์ปัจจุบัน: จากกฎหมายบนกระดาษสู่การบังคับใช้จริง

พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) มีผลบังคับใช้เต็มรูปแบบตั้งแต่เดือนมิถุนายน 2565 แต่ในช่วง 2-3 ปีแรก PDPC เน้นการสร้างความรู้ความเข้าใจมากกว่าการลงโทษ ทำให้หลายองค์กรยังอยู่ในโหมด "รอดู" ว่าจะเข้มจริงหรือไม่

คำตอบมาแล้ว — เข้มจริง

การประกาศคำสั่งปรับในเดือนสิงหาคม 2568 ส่งสัญญาณชัดเจนว่า PDPC กำลังเปลี่ยนจาก "ผู้ให้ความรู้" เป็น "ผู้บังคับใช้กฎหมาย" อย่างเต็มตัว และไม่มีองค์กรไหนจะได้รับการยกเว้น ไม่ว่าจะเป็นภาครัฐหรือเอกชน

กรณีจริง: 5 คดีที่ธุรกิจไทยต้องเรียนรู้

คดีที่ 1: หน่วยงานรัฐ — ข้อมูลรั่ว 200,000 รายการ

เว็บแอปพลิเคชันของหน่วยงานรัฐถูกโจมตีทางไซเบอร์ ทำให้ข้อมูลส่วนบุคคล 200,000 รายการรั่วไหล ทั้งหน่วยงานเจ้าของข้อมูลและผู้พัฒนาระบบถูกปรับรวม 153,120 บาท สาเหตุหลักคือ:

  • ไม่มีมาตรการ Privacy-by-Design ในการพัฒนาระบบ
  • ขาดโปรโตคอลป้องกันและตอบสนองเหตุละเมิด
  • ไม่แจ้ง PDPC และเจ้าของข้อมูลภายในเวลาที่กำหนด

บทเรียน: แม้จะเป็นหน่วยงานรัฐก็ไม่ได้รับการยกเว้น และ ผู้พัฒนาระบบในฐานะ Data Processor ก็ถูกปรับด้วย

คดีที่ 2: บริษัทขายสินค้าไอที — ปรับ 7 ล้านบาท

บริษัทค้าปลีกสินค้าไอทีถูกปรับ 7 ล้านบาท หลังข้อมูลลูกค้ารั่วไหลและถูกนำไปใช้ในขบวนการคอลเซ็นเตอร์หลอกลวง ความผิดพลาดที่สำคัญ:

  • ไม่แต่งตั้ง Data Protection Officer (DPO) ทั้งที่มีข้อมูลจำนวนมาก
  • ไม่รายงานเหตุละเมิดข้อมูล
  • มาตรการรักษาความปลอดภัยไม่เพียงพอ

บทเรียน: การไม่แต่งตั้ง DPO เมื่อกฎหมายกำหนดถือเป็นความผิดร้ายแรง และค่าปรับสูงถึงหลักล้าน

คดีที่ 3: บริษัทเครื่องสำอาง — ปรับ 2.5 ล้านบาท

บริษัทเครื่องสำอางถูกปรับ 2.5 ล้านบาท จากการไม่ดำเนินมาตรการรักษาความปลอดภัยที่เหมาะสม และไม่แจ้ง PDPC เมื่อเกิดเหตุข้อมูลรั่วไหล

บทเรียน: ไม่ว่าจะเป็นธุรกิจขนาดใดก็ตาม หากจัดการข้อมูลส่วนบุคคลของลูกค้าจำนวนมาก ต้องมีมาตรการรักษาความปลอดภัยที่ได้มาตรฐาน

คดีที่ 4: บริษัทของเล่นและ Data Processor — ปรับรวม 3.5 ล้านบาท

บริษัทของเล่นและผู้ประมวลผลข้อมูล (Data Processor) ถูกปรับ 500,000 บาท และ 3 ล้านบาท ตามลำดับ หลังระบบจองออนไลน์ถูกเจาะ ส่งผลกระทบต่อข้อมูลกว่า 200,000 รายการ

ที่น่าสนใจคือ Data Processor ถูกปรับหนักกว่า Data Controller เพราะ:

  • ไม่แจ้ง Controller เมื่อพบเหตุละเมิด
  • ไม่ดำเนินมาตรการแก้ไขอย่างทันท่วงที
  • ขาดความรับผิดชอบในฐานะผู้ประมวลผลข้อมูล

บทเรียน: Vendor และ outsourced partner ที่เป็น Data Processor มีความรับผิดชอบทางกฎหมายโดยตรง

กฎ Cross-Border Data Transfer: เข้มขึ้นอย่างมีนัยสำคัญ

สิ่งที่เปลี่ยนไป

ในปี 2568 PDPC ได้ออกกฎระเบียบใหม่เกี่ยวกับการถ่ายโอนข้อมูลข้ามพรมแดนที่สำคัญหลายฉบับ:

1. กรอบ Binding Corporate Rules (BCRs)

PDPC ประกาศระเบียบว่าด้วยการตรวจสอบและรับรอง BCRs (พ.ศ. 2568) เมื่อ 29 กันยายน 2568 โดยมีบริษัท 2 แห่งแรกที่ได้รับการอนุมัติ BCRs ในวันถัดมา ถือเป็นก้าวสำคัญจากทฤษฎีสู่การปฏิบัติจริง

2. ช่องทางการส่งข้อมูลที่ถูกกฎหมาย

  • Adequacy Route (มาตรา 28): ส่งข้อมูลไปยังประเทศที่ PDPC รับรองว่ามีมาตรฐานเพียงพอ — แต่ ยังไม่มีรายชื่อประเทศที่ได้รับการรับรอง ณ ปัจจุบัน
  • Appropriate Safeguards (มาตรา 29): ใช้ BCRs หรือ Standard Contractual Clauses (SCCs) ตามแบบ ASEAN หรือ EU

3. ผลกระทบต่อธุรกิจ

เนื่องจาก PDPC ยังไม่ประกาศรายชื่อประเทศที่มีมาตรฐานเพียงพอ หมายความว่า การส่งข้อมูลไปต่างประเทศทุกครั้งต้องถือว่าส่งไปยังประเทศที่ไม่ผ่านเกณฑ์ จึงต้องมีมาตรการคุ้มครองที่เหมาะสมทุกกรณี

สิ่งที่ธุรกิจต้องทำ

  • ทบทวนการใช้ Cloud Services ที่มี server อยู่ต่างประเทศ
  • จัดทำ Data Flow Mapping ว่าข้อมูลไหลไปที่ไหนบ้าง
  • เตรียม SCCs หรือสมัคร BCRs สำหรับ intra-group transfers
  • ตรวจสอบ vendor agreements ว่ามีเงื่อนไข data protection เพียงพอ

PDPA vs GDPR: เปรียบเทียบอัปเดต 2026

ธุรกิจที่ดำเนินงานข้ามพรมแดนจำเป็นต้องเข้าใจความแตกต่างระหว่าง PDPA กับ GDPR เพื่อวางแผนการปฏิบัติตามกฎหมายอย่างครอบคลุม

ความแตกต่างสำคัญ

หัวข้อ PDPA (ไทย) GDPR (EU)
ค่าปรับสูงสุด 5 ล้านบาท (~€130,000) ต่อกรณี €20 ล้าน หรือ 4% ของรายได้ทั่วโลก
โทษอาญา มี — จำคุกสูงสุด 1 ปี ไม่มีในระดับ EU
Consent อนุญาต Implied Consent บางกรณี ต้อง Explicit Consent เสมอ
Right to Data Portability มีในกฎหมาย แต่ยังไม่มีแนวปฏิบัติชัด มีและบังคับใช้เข้มงวด
DPO Requirement ตามเงื่อนไข PDPC กำหนด ตามลักษณะการประมวลผล
Breach Notification 72 ชั่วโมง (ต่อ PDPC) 72 ชั่วโมง (ต่อ Supervisory Authority)
Cross-Border Transfer กำลังพัฒนา ยังไม่มี Adequacy List มี Adequacy Decisions หลายประเทศ

จุดที่ต้องระวัง

  • PDPA มี โทษทางอาญา ซึ่ง GDPR ไม่มี — ผู้บริหารอาจต้องรับผิดเป็นการส่วนตัว
  • ค่าปรับ PDPA อาจดูน้อยกว่า GDPR แต่ PDPC สามารถสั่งลงโทษเพิ่มเติมได้ทั้ง ค่าเสียหายทางแพ่ง และ สั่งระงับการประมวลผล ซึ่งอาจส่งผลกระทบต่อธุรกิจมากกว่าค่าปรับ
  • PDPC กำลังพัฒนากรอบการบังคับใช้อย่างรวดเร็ว และคาดว่าจะเข้มงวดขึ้นอีกในปี 2569

ผลกระทบต่อระบบ ERP และระบบองค์กร

ระบบ ERP เป็นหัวใจของการจัดเก็บและประมวลผลข้อมูลส่วนบุคคลในองค์กร ตั้งแต่ข้อมูลพนักงาน ลูกค้า คู่ค้า ไปจนถึงข้อมูลทางการเงิน PDPA กำลังบังคับให้องค์กรต้องปรับปรุงระบบ ERP ในหลายด้าน:

1. Data Retention — เก็บข้อมูลได้นานแค่ไหน?

PDPA กำหนดให้เก็บข้อมูลส่วนบุคคลได้เฉพาะเท่าที่จำเป็นตามวัตถุประสงค์ ระบบ ERP ต้องสามารถ:

  • กำหนด retention period ที่ชัดเจนสำหรับข้อมูลแต่ละประเภท
  • แจ้งเตือนเมื่อข้อมูลถึงกำหนดลบ
  • ลบหรือ anonymize ข้อมูลที่หมดอายุอัตโนมัติ

2. Consent Management — จัดการความยินยอมอย่างเป็นระบบ

ระบบต้องบันทึกและติดตามความยินยอมของเจ้าของข้อมูลได้ครบถ้วน:

  • บันทึกว่าใครให้ความยินยอมอะไร เมื่อไหร่ ผ่านช่องทางไหน
  • รองรับการถอนความยินยอมและดำเนินการตามสิทธิ
  • แสดง audit trail ได้ครบถ้วนเมื่อ PDPC ตรวจสอบ

3. Right to Be Forgotten — สิทธิในการลบข้อมูล

เจ้าของข้อมูลมีสิทธิขอให้ลบข้อมูลส่วนบุคคลของตนได้ แต่ในระบบ ERP ข้อมูลมักเชื่อมโยงกันหลายโมดูล:

  • ต้องออกแบบระบบให้สามารถลบหรือ anonymize ข้อมูลโดยไม่กระทบ data integrity
  • ต้องมีกระบวนการตรวจสอบว่าข้อมูลถูกลบครบทุกที่ที่เก็บ
  • ต้องจัดการกับ backup และ archive ด้วย

4. Data Breach Detection — ตรวจจับและแจ้งเหตุละเมิด

ระบบต้องมีความสามารถในการ:

  • ตรวจจับการเข้าถึงข้อมูลที่ผิดปกติ
  • แจ้งเตือนทีม DPO ทันทีเมื่อพบเหตุละเมิด
  • จัดทำรายงานสำหรับ PDPC ภายใน 72 ชั่วโมง

สิ่งที่ธุรกิจไทยต้องทำวันนี้ — Compliance Checklist

ระดับองค์กร

  • แต่งตั้ง DPO หากยังไม่มี — ดูเงื่อนไขตามประกาศ PDPC
  • จัดทำ Data Inventory รู้ว่าเก็บข้อมูลอะไรบ้าง จำนวนเท่าไหร่ อยู่ที่ไหน
  • ประเมิน Data Flow ข้อมูลไหลไปที่ไหน ทั้งในและนอกประเทศ
  • ทบทวน Privacy Policy ให้ครอบคลุมและเป็นปัจจุบัน
  • จัดทำ Data Breach Response Plan มีขั้นตอนชัดเจนเมื่อเกิดเหตุ

ระดับเทคโนโลยี

  • ตรวจสอบ Security Controls ของระบบทุกระบบที่เก็บข้อมูลส่วนบุคคล
  • ทบทวน Vendor Contracts ให้มีเงื่อนไข Data Processing Agreement
  • ตั้งค่า Retention Policy ในระบบ ERP และฐานข้อมูล
  • ทดสอบ Incident Response ด้วยการซ้อมแผนอย่างน้อยปีละครั้ง

ระดับบุคลากร

  • อบรมพนักงานทุกระดับ เรื่อง PDPA และการจัดการข้อมูลส่วนบุคคล
  • สร้าง Data Protection Culture ไม่ใช่แค่ compliance แต่เป็น mindset
  • กำหนดบทบาทและความรับผิดชอบ ด้าน data protection ให้ชัดเจน

แนวโน้มที่ต้องจับตาในปี 2569

1. ค่าปรับจะสูงขึ้น

PDPC กำลังสร้างบรรทัดฐานการลงโทษ คาดว่าค่าปรับจะทวีความรุนแรงขึ้น โดยเฉพาะกรณีที่พบว่าองค์กร "รู้แต่ไม่ทำ"

2. Adequacy List จะประกาศ

PDPC คาดว่าจะเริ่มประกาศรายชื่อประเทศที่มีมาตรฐานเพียงพอ ซึ่งจะช่วยให้การโอนข้อมูลข้ามพรมแดนทำได้ง่ายขึ้น

3. Sector-Specific Guidelines

คาดว่าจะมีแนวปฏิบัติเฉพาะอุตสาหกรรมเพิ่มเติม เช่น สาธารณสุข การเงิน ค้าปลีก

4. AI และ Automated Decision-Making

การใช้ AI ในการตัดสินใจที่มีผลกระทบต่อบุคคลจะถูกตรวจสอบอย่างเข้มงวดขึ้น

ทำไมธุรกิจไทยต้องลงมือวันนี้

ค่าปรับ 21.5 ล้านบาทอาจฟังดูไม่สูงเทียบกับ GDPR แต่ผลกระทบที่แท้จริงมากกว่าตัวเลข:

  • ชื่อเสียง — เมื่อ PDPC ประกาศคำสั่งปรับ ชื่อองค์กรถูกเผยแพร่ต่อสาธารณะ ความเสียหายด้านภาพลักษณ์ประเมินค่าไม่ได้
  • ความไว้วางใจของลูกค้า — ลูกค้ายุคใหม่ตระหนักเรื่องข้อมูลส่วนบุคคลมากขึ้น
  • ความเสี่ยงทางอาญา — ผู้บริหารอาจต้องรับผิดเป็นการส่วนตัว
  • Business Continuity — PDPC สามารถสั่งระงับการประมวลผลข้อมูลได้ ซึ่งอาจทำให้ธุรกิจหยุดชะงัก

การลงทุนด้าน data protection ไม่ใช่ต้นทุน แต่เป็นการสร้างความได้เปรียบทางการแข่งขัน องค์กรที่มีระบบจัดการข้อมูลที่ดีจะได้รับความไว้วางใจจากลูกค้าและคู่ค้ามากกว่า

Enersys ช่วยคุณเรื่อง PDPA ได้อย่างไร

Enersys มีประสบการณ์ช่วยองค์กรไทยทั้งขนาดเล็กและขนาดใหญ่วางระบบ data protection ที่สอดคล้องกับ PDPA:

  • PDPA Gap Assessment — ประเมินสถานะปัจจุบันและระบุจุดที่ต้องปรับปรุง
  • Data Protection Framework Design — ออกแบบกรอบการคุ้มครองข้อมูลที่เหมาะกับลักษณะธุรกิจ
  • ERP Data Compliance — ปรับแต่งระบบ ERP ให้รองรับ PDPA ทั้ง retention, consent management, และ right to be forgotten
  • Cross-Border Transfer Advisory — ให้คำปรึกษาเรื่องการโอนข้อมูลข้ามพรมแดน SCCs และ BCRs
  • Training & Awareness — จัดอบรม PDPA สำหรับทุกระดับในองค์กร

ปรึกษาผู้เชี่ยวชาญ Enersys วันนี้ — อย่ารอจนถูกปรับ เตรียมพร้อมก่อนเพื่อปกป้องธุรกิจของคุณ

แหล่งข้อมูล

ลิงก์ที่เกี่ยวข้อง

PrivacyHub

Privacy Governance Platform สำหรับองค์กรไทย

PDPA Compliance Assessment

ประเมิน PDPA Compliance Score ฟรี

ติดต่อปรึกษา PDPA

พูดคุยกับผู้เชี่ยวชาญ

กลับไปหน้า Insights

บทความที่เกี่ยวข้อง

Cybersecurity ธุรกิจไทย 2026: ภัยคุกคามและวิธีป้องกัน

รู้เท่าทันภัยคุกคามไซเบอร์ที่ธุรกิจไทยต้องเผชิญในปี 2026 พร้อมแนวทางป้องกันที่ผู้บริหารต้องรู้

Colorado AI Act — กฎหมาย AI ฉบับแรกของสหรัฐฯ ที่บังคับตรวจสอบ Algorithmic Discrimination มีผล มิ.ย. 2026

Colorado เป็นรัฐแรกของสหรัฐฯ ที่ออกกฎหมาย AI ครอบคลุม บังคับให้ผู้พัฒนาและผู้ใช้ AI ประเมินความเสี่ยงด้าน algorithmic discrimination — มีผลบังคับใช้ 30 มิถุนายน 2026

PDPA กับข้อมูลพนักงาน — สิ่งที่ HR ต้องรู้ตั้งแต่รับสมัครจนถึงลาออก

คู่มือปฏิบัติสำหรับ HR ในการจัดการข้อมูลส่วนบุคคลของพนักงานตาม PDPA ครอบคลุมทุกขั้นตอนตั้งแต่การรับสมัคร การจ้างงาน จนถึงการลาออกและการเก็บรักษาข้อมูลหลังสิ้นสุดสัญญา

"Empowering Innovation,
Transforming Futures."

ติดต่อเราเพื่อทำให้โปรเจกต์ของคุณเป็นจริง