สคส. ไม่ได้แค่รอรับเรื่องร้องเรียนอีกต่อไป
ถ้าคุณยังคิดว่า PDPA enforcement ในไทยแค่รับเรื่องร้องเรียนแล้วค่อยทำ ข่าวนี้อาจทำให้ต้องกลับไปทบทวนใหม่ — สคส. มีเครื่องมือที่เรียกว่า Eagle Eye Crawler ซึ่งเป็นระบบ ตรวจจับการละเมิด PDPA แบบอัตโนมัติ ผ่านการ crawl เว็บไซต์และช่องทางดิจิทัลขององค์กรต่างๆ
พูดง่ายๆ คือ สคส. สามารถ เข้ามาตรวจสอบเว็บไซต์คุณได้โดยที่คุณไม่รู้ตัว ดูว่า consent banner ถูกต้องไหม เก็บข้อมูลอะไรบ้าง มี privacy policy ครบถ้วนหรือเปล่า
ตัวเลขค่าปรับที่เริ่มจริงจัง
ในช่วงสิงหาคม 2025 สคส. ออกคำสั่งปรับ 8 รายการ ใน 5 เคส ทั้งหน่วยงานรัฐและเอกชน รวมเป็นเงิน ประมาณ 21.5 ล้านบาท
ฟังดูอาจไม่มากเมื่อเทียบกับ GDPR แต่สิ่งที่ต้องเข้าใจคือ:
- นี่คือจุดเริ่มต้น — สคส. เพิ่งเริ่มบังคับใช้จริงจัง ค่าปรับจะเพิ่มขึ้นเรื่อยๆ
- ชื่อเสียงเสียหายมากกว่าค่าปรับ — องค์กรที่ถูกลงโทษจะเป็นข่าว ซึ่งส่งผลกระทบต่อความไว้วางใจของลูกค้ามากกว่าเงินค่าปรับ
- ผู้บริหารมีความรับผิดส่วนตัว — PDPA ไม่ได้ลงโทษแค่บริษัท แต่ผู้บริหารที่รับผิดชอบอาจถูกลงโทษเป็นการส่วนตัวด้วย
อุตสาหกรรมที่ถูกจับตาเป็นพิเศษ
จากแนวโน้มการบังคับใช้ สคส. ให้ความสนใจกับอุตสาหกรรมเหล่านี้เป็นพิเศษ:
- E-commerce — การเก็บข้อมูลลูกค้า การตลาดแบบ personalization
- สาธารณสุข — ข้อมูลสุขภาพเป็นข้อมูลอ่อนไหว มีโทษสูงกว่าปกติ
- โทรคมนาคม — ฐานข้อมูลลูกค้าขนาดใหญ่ มีความเสี่ยงสูง
- หน่วยงานรัฐ — เก็บข้อมูลพลเมืองจำนวนมหาศาล ถูกตรวจสอบเข้มงวดขึ้น
แต่จริงๆ แล้ว ทุกองค์กรที่เก็บข้อมูลส่วนบุคคลล้วนอยู่ในข่ายทั้งนั้น ไม่ว่าจะเล็กหรือใหญ่
