PDPA & Privacy

PDPC ปรับ 8 กรณี 21.5 ล้านบาทในวันเดียว และคำสั่งลบข้อมูล Iris Scan 1.2 ล้านราย: สัญญาณว่ายุค 'ตักเตือน' จบแล้ว

ปี 2025 PDPC เปลี่ยนโหมดจากการตักเตือนเป็นการลงโทษจริงจัง 1 สิงหาคม 2025 ออกคำสั่งปรับ 8 รายการใน 5 กรณี รวม 21.5 ล้านบาท พฤศจิกายน 2025 สั่ง TIDC Worldverse หยุดเก็บ iris scan และลบข้อมูล biometric 1.2 ล้านราย พร้อมพระราชกำหนดความผิดทางเทคโนโลยีฉบับใหม่ที่บัญญัติโทษอาญาสำหรับการขายข้อมูลส่วนบุคคล สรุปการเปลี่ยนแปลง สิ่งที่ธุรกิจไทยต้องเตรียมรับในปี 2026

7 มิ.ย. 202612 นาที

PDPAPDPCEnforcementBiometricIris ScanWorldcoinData BreachThailand

สรุปสั้น

ครึ่งหลังของปี 2025 PDPC (Personal Data Protection Committee) เปลี่ยนโหมดการบังคับใช้ PDPA อย่างชัดเจน จากการตักเตือนสู่การลงโทษ และจากการลงโทษทางปกครองสู่การประสานกับโทษอาญา

มีสามเหตุการณ์ที่บอกทิศทางในชัดเจน

1 สิงหาคม 2025 PDPC ออกคำสั่งปรับ 8 รายการใน 5 กรณี รวม 21.5 ล้านบาท ภายในวันเดียว นี่เป็นจำนวนรายและจำนวนเงินสูงที่สุดในประวัติศาสตร์การบังคับใช้ PDPA

13 เมษายน 2025 พระราชกำหนดมาตรการป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยี ฉบับที่ 2 พ.ศ. 2568 เริ่มมีผลบังคับใช้ บัญญัติโทษอาญาสำหรับการขายข้อมูลส่วนบุคคล สูงสุดจำคุก 5 ปี ปรับ 500,000 บาท

ปลายเดือนพฤศจิกายน 2025 PDPC สั่ง TIDC Worldverse บริษัทตัวแทนของโครงการ World (เดิมชื่อ Worldcoin) ของ Sam Altman หยุดให้บริการเก็บ iris scan ในประเทศไทย และให้ลบข้อมูล biometric ที่เก็บไว้แล้วของผู้ใช้ 1.2 ล้านราย

สำหรับธุรกิจไทยที่จัดเก็บข้อมูลส่วนบุคคล ภาพรวมในปี 2026 เปลี่ยนแล้ว บทความนี้สรุปข้อเท็จจริง สาเหตุของแต่ละการบังคับใช้ และสิ่งที่ผู้ดูแลข้อมูลควรทบทวน

1 สิงหาคม 2025 ปรับ 8 รายการ 21.5 ล้านบาท

PDPC ออกคำสั่งปรับ 8 รายการใน 5 กรณีในวันเดียวกัน เป็นรอบที่จำนวนกรณีและมูลค่ารวมสูงที่สุดในรอบ 6 ปีของการบังคับใช้ PDPA

ตารางสรุปคดีและมูลค่าค่าปรับ ตัวเลขเป็นบาท

หน่วยงานรัฐและผู้พัฒนาซอฟต์แวร์ที่ทำงานกับหน่วยงาน รวม 306,240
โรงพยาบาลเอกชนและผู้รับเหมาที่จัดการข้อมูลผู้ป่วยให้ รวม 1,226,940
ผู้ค้าปลีกสินค้าคอมพิวเตอร์ ที่เกิด data breach จนนำไปสู่การโทรหลอกลวงผู้เสียหายกว่า 100 ราย รวม 7,000,000
บริษัทเครื่องสำอาง รวม 2,500,000
ผู้ค้าปลีกของเล่นและ processor ที่ดูแลข้อมูลให้ รวม 3,500,000

ข้อกล่าวหาหลักที่พบในทั้ง 5 กรณี

มาตรการความปลอดภัยไม่เพียงพอ
ไม่แจ้ง data breach ภายใน 72 ชั่วโมง
ไม่แต่งตั้ง Data Protection Officer ตามที่กฎหมายกำหนด
ขาดการดูแลผู้รับจ้างที่จัดการข้อมูลแทน

คดีของผู้ค้าปลีกคอมพิวเตอร์เป็นกรณีค่าปรับสูงที่สุด เพราะหลังเกิด breach ผู้เสียหายถูกโทรหลอกลวงจริง สะท้อนว่า downstream harm ที่เกิดจาก breach กลายเป็นน้ำหนักในการกำหนดโทษ ไม่ใช่ดูแค่ตัวเหตุการณ์

จากมุมของบริษัทไทย ข้อสรุปที่จับต้องได้

หนึ่ง การไม่แต่งตั้ง DPO เป็นต้นทุนที่สูงพอจะเริ่มกระทบเงินตัวจริง ไม่ใช่แค่ความเสี่ยงทางทฤษฎี

สอง ผู้รับจ้างที่จัดการข้อมูลแทน เป็นแหล่งความเสี่ยงที่ผู้ควบคุมข้อมูลต้องดูแลเอง การโยนความรับผิดให้ vendor ในสัญญาไม่ได้แปลว่าผู้ควบคุมหลุดความรับผิดในสายตา PDPC

สาม การไม่แจ้ง breach ภายใน 72 ชั่วโมงเป็นข้อหาที่ปรากฏแทบทุกคดี การเตรียม incident response runbook ที่กดได้ทันคืออันที่ผู้บริหารต้องตรวจให้พร้อมก่อนจะมีเหตุการณ์จริง

13 เมษายน 2025 พระราชกำหนดเทคโนโลยี ฉบับที่ 2

หกเดือนก่อนหน้ารอบปรับใหญ่ เกิดการเปลี่ยนแปลงสำคัญในด้านโทษทางอาญา

พระราชกำหนดมาตรการป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยี ฉบับที่ 2 พ.ศ. 2568 มีผลบังคับใช้ตั้งแต่ 13 เมษายน 2025

บัญญัติโทษทางอาญาในสองระดับ

ระดับทั่วไป จำคุกไม่เกิน 1 ปี หรือปรับไม่เกิน 100,000 บาท หรือทั้งจำทั้งปรับ

ระดับเชิงพาณิชย์ สำหรับการซื้อหรือขายข้อมูลส่วนบุคคล จำคุกไม่เกิน 5 ปี หรือปรับไม่เกิน 500,000 บาท หรือทั้งจำทั้งปรับ

ความหมายของบทบัญญัตินี้ในทางปฏิบัติ ผู้ที่อยู่ในห่วงโซ่ของการขายฐานข้อมูลส่วนบุคคล ไม่ว่าจะเป็นคนรวบรวม คนซื้อ หรือคนต่อข้อมูล มีโอกาสเข้าข่ายอาญา ไม่ใช่แค่ปรับทางปกครองอย่างที่เคยเป็น

สำหรับธุรกิจที่ทำ data enrichment, lead generation หรือซื้อ third-party data list การ due diligence แหล่งที่มาของข้อมูล กลายเป็นเรื่องที่ไม่สามารถเก็บไว้ใน checklist ของ vendor management อย่างเดียวได้ มันเป็นเรื่อง personal liability ของคนตัดสินใจจัดซื้อด้วย

พฤศจิกายน 2025 คำสั่งหยุด Iris Scan และลบข้อมูล 1.2 ล้านราย

ปลายเดือนพฤศจิกายน 2025 PDPC ออกคำสั่งสั่ง TIDC Worldverse บริษัทตัวแทนของโครงการ World หรือชื่อเดิม Worldcoin หยุดให้บริการเก็บ iris scan ในประเทศไทย และให้ลบข้อมูล biometric ของผู้ใช้ที่เก็บไว้แล้ว 1.2 ล้านราย

โครงการ World ก่อตั้งโดย Sam Altman ในชื่อ Tools for Humanity เป็นระบบยืนยันตัวตนผ่านการสแกนม่านตาด้วยอุปกรณ์ที่เรียกว่า Orb โดยผู้ที่ยอม scan ม่านตาให้จะได้รับ WLD token เป็นค่าตอบแทน

ฝั่ง PDPC วิเคราะห์ว่ามีปัญหาหลายชั้น

หนึ่ง ความยินยอม (consent) ไม่ถูกให้โดยอิสระ การให้ token เป็นสิ่งจูงใจ ทำให้ consent ไม่ถือว่าได้รับโดยเสรีตามที่ PDPA กำหนดให้สำหรับข้อมูล sensitive

สอง ความโปร่งใสไม่เพียงพอ ผู้ใช้ไม่ได้รับการอธิบายชัดเจนว่าข้อมูล biometric ของตัวเองจะถูกใช้ทำอะไร เก็บไว้นานเท่าไร และจะถูกแบ่งปันกับใคร

สาม การส่งข้อมูลข้ามพรมแดน และการเก็บข้อมูลในระยะยาว ไม่ตรงตามข้อกำหนดที่ PDPA วางไว้สำหรับข้อมูลประเภทนี้

ประเทศที่ดำเนินคำสั่งคล้ายกันกับ World ได้แก่ เยอรมนี สเปน เกาหลีใต้ อินโดนีเซีย และบราซิล PDPC อ้างถึงท่าทีของหน่วยงานเหล่านี้ในการประกอบการตัดสินใจ

สำหรับธุรกิจที่จัดเก็บข้อมูล biometric ไม่ว่าจะเป็น fingerprint, face recognition หรือ iris scan ข้อสังเกตที่ควรนำกลับไปคิด

ความยินยอมที่แลกกับสิ่งจูงใจที่มี monetary value มีโอกาสถูกตีความว่าไม่ได้ให้โดยอิสระ
ความโปร่งใสในการเปิดเผยวัตถุประสงค์การใช้ ระยะเวลาเก็บ และ third party ที่อาจเข้าถึง ต้องอยู่ในระดับที่ผู้ใช้ทั่วไปเข้าใจได้ ไม่ใช่ที่ปลายของ legalese ใน privacy policy
การส่งข้อมูล biometric ออกนอกประเทศ ต้องมี basis ทางกฎหมายชัด

ภาพรวม ยุคของ PDPC ในปี 2026

รวมสามเหตุการณ์ข้างบน ภาพรวมของ enforcement ในประเทศไทยเปลี่ยนชัดเจน

จากปี 2022 ที่ PDPA เริ่มบังคับใช้เต็มรูปแบบ ผู้ดูแลข้อมูลส่วนใหญ่อยู่ในโหมด wait-and-see PDPC ในระยะแรกเน้นการให้ความรู้และการตักเตือนมากกว่าลงโทษ ปี 2025 นี่คือจุดที่โหมดเปลี่ยน

การบังคับใช้ในปี 2025-2026 มีสามคุณลักษณะ

หนึ่ง batch enforcement การประกาศปรับครั้งละหลายรายในวันเดียวเพื่อสร้างสัญญาณตลาดที่ชัด ไม่ใช่ปรับทีละรายเงียบ ๆ

สอง downstream harm นำมาคำนวณ คดีที่ผู้เสียหายปลายทางได้รับผลกระทบจริง โทษหนักกว่าคดีที่มี breach แต่ไม่มี downstream

สาม sensitive data ได้ความสนใจพิเศษ ข้อมูลสุขภาพ ข้อมูล biometric และข้อมูลทางการเงิน อยู่ในจุดสนใจสูง

สิ่งที่ผู้ดูแลข้อมูลควรทบทวนในปี 2026

ห้าจุดที่ผู้ควบคุมข้อมูลส่วนบุคคลในไทยควรเปิดดู ก่อนที่จะเป็นกรณีถัดไป

หนึ่ง การแต่งตั้ง DPO ตามที่กฎหมายกำหนด หลายธุรกิจคิดว่าตัวเองไม่เข้าข่าย ต้องมี DPO ขอแนะนำให้กลับไปอ่านมาตรา 41 อย่างละเอียด หรือปรึกษาที่ปรึกษากฎหมายข้อมูลส่วนบุคคล

สอง Incident response runbook ที่กดได้ภายใน 72 ชั่วโมง runbook ไม่ใช่เอกสารที่เขียนแล้วเก็บไว้ มันคือ playbook ที่ทีมต้องซ้อมเพื่อให้กดได้ทันเวลา ทดสอบ alert chain, ทดสอบช่องทางส่งหนังสือถึง PDPC

สาม Vendor security review ก่อน integrate ผู้รับจ้างที่จัดการข้อมูลแทน เป็นต้นเหตุของ breach ในหลายคดีของ PDPC ผู้ควบคุมหลักยังต้องรับผิด

สี่ Consent flow ที่ผ่านสายตา UX designer ที่เคารพ user ไม่ใช่ที่ออกแบบให้ user คลิก yes อย่างเดียว Consent ที่ใช้ได้ในศาลคือ consent ที่ user เข้าใจจริง

ห้า Sensitive data audit ถ้าระบบเก็บข้อมูล biometric, health หรือ financial ทำ DPIA (Data Protection Impact Assessment) อย่างจริงจัง และทบทวนทุก 12 เดือน

ปิดท้าย

ยุคของการตักเตือนจบแล้ว ตั้งแต่ปี 2025 PDPC เริ่มลงโทษเป็นกลุ่ม ใช้ batch enforcement ผูกกับโทษอาญาผ่านพระราชกำหนดเทคโนโลยี และแสดงท่าทีชัดเจนต่อ sensitive data ที่ใหม่ในตลาด อย่าง iris scan

สำหรับธุรกิจไทย คำถามไม่ใช่ "เราเสี่ยงไหม" คำถามคือ "เราพร้อมตอบ PDPC ใน 72 ชั่วโมงไหม"

Enersys ทำงานด้าน Data Privacy / PDPA สำหรับองค์กรไทยมาตั้งแต่ปี 2021 และนำประสบการณ์นั้นมาสร้าง PrivacyHub แพลตฟอร์ม Privacy Governance ครบวงจร สำหรับองค์กรที่ต้องการระบบจัดการ consent, vendor review, breach response และ DPIA ในที่เดียว สามารถติดต่อทีมเราเพื่อพูดคุยถึงสถานะปัจจุบันขององค์กรของท่านได้

แหล่งข้อมูล

Saeree ERP — Thailand PDPA Crackdown 2026, PDPC Issues 8 Fines + Emergency Decree สรุปคดีปรับ 8 รายในวันเดียว และพระราชกำหนดเทคโนโลยีฉบับที่ 2
Chambers and Partners — Data Protection & Privacy 2026: Thailand Trends and Developments คู่มือสถานะการบังคับใช้ PDPA ในไทย
Hogan Lovells — Thailand Ramps Up Data Protection Enforcement มุมของสำนักกฎหมายระดับสากลต่อการเปลี่ยนแปลงของ PDPC
Biometric Update — Thailand shuts down World iris scanning operation, orders deletion of biometrics รายงานคำสั่งหยุด iris scan และลบข้อมูล 1.2 ล้านราย
Nation Thailand — Thailand orders halt to iris-scan crypto scheme, deletes 1.2m biometric records over PDPA breaches รายงานเหตุการณ์ World ในไทย พร้อมท่าทีของ PDPC
Bangkok Post — PDPC tells firm to halt iris scan service คำสั่งทางการของ PDPC ในรายละเอียด
IAPP — Thailand's PDPC clarifies data breach notification requirements แนวทางการแจ้ง breach ภายใน 72 ชั่วโมง

ลิงก์ที่เกี่ยวข้อง

PrivacyHub

Privacy Governance Platform สำหรับองค์กรไทย

PDPA Compliance Assessment

ประเมิน PDPA Compliance Score ฟรี

ติดต่อปรึกษา PDPA

พูดคุยกับผู้เชี่ยวชาญ

กลับไปหน้า Insights

บทความที่เกี่ยวข้อง

Cybersecurity ธุรกิจไทย 2026: ภัยคุกคามและวิธีป้องกัน

รู้เท่าทันภัยคุกคามไซเบอร์ที่ธุรกิจไทยต้องเผชิญในปี 2026 พร้อมแนวทางป้องกันที่ผู้บริหารต้องรู้

PDPA Enforcement เข้มข้นขึ้น 2,672 เรื่องร้องเรียน — บทเรียนสำหรับองค์กรไทย

สคส. เปิดตัวเลข 2,672 เรื่องร้องเรียน PDPA ณ มกราคม 2569 พร้อมสั่ง Worldcoin ลบข้อมูลชีวภาพ 1.2 ล้านคน ค่าปรับรวมกว่า 21.5 ล้านบาท — สรุปบทเรียนและแนวทางป้องกันที่องค์กรไทยต้องรู้

PDPA ไทยเข้าโหมดปรับจริง — ถอดบทเรียน 5 คดีแรกที่โดน 21.5 ล้านบาท ก่อนถึงคิวคุณ

วันที่ 1 สิงหาคม 2025 PDPC ประกาศค่าปรับ 8 รายการจาก 5 คดี รวมประมาณ 21.5 ล้านบาท — ปิดฉากยุค "ตักเตือน" และเปิดยุค "ปรับจริง" อย่างเป็นทางการ นี่คือสิ่งที่เกิดขึ้นในแต่ละคดี รูปแบบของความผิดพลาดที่ซ้ำกัน และสิ่งที่ธุรกิจไทยทุกขนาดต้องทำภายในปี 2026

"Empowering Innovation,
Transforming Futures."

ติดต่อเราเพื่อทำให้โปรเจกต์ของคุณเป็นจริง