จาก "รู้" สู่ "ทำ" — สคส. ไม่รอแล้ว
ถ้าคุณคิดว่า PDPA ยังเป็นแค่กฎหมายบนกระดาษ ข่าวนี้อาจทำให้คุณต้องคิดใหม่
สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) จัดงาน Data Privacy Day 2026 ภายใต้ธีม "Privacy in Action" ซึ่งชื่อก็บอกอยู่แล้วว่า — ถึงเวลาลงมือทำจริง ไม่ใช่แค่ตระหนักรู้
2,672 เรื่องร้องเรียน — ตัวเลขที่ไม่ควรมองข้าม
สคส. เปิดเผยว่าจนถึงเดือนมกราคม 2026 มีเรื่องร้องเรียนเกี่ยวกับ PDPA แล้ว 2,672 เรื่อง โดยการละเมิดที่พบบ่อยที่สุดคือ:
- ไม่ปฏิบัติตามหลัก Data Minimization — เก็บข้อมูลเกินกว่าที่จำเป็น
- เก็บข้อมูลโดยไม่มีฐานกฎหมาย — ไม่ขอ consent หรือไม่มี legitimate interest
- ใช้/เปิดเผยข้อมูลโดยไม่มีฐานกฎหมาย — แชร์ข้อมูลลูกค้าโดยไม่ได้รับอนุญาต
2,672 เรื่อง อาจฟังดูไม่มากสำหรับประเทศที่มีธุรกิจหลายล้านราย แต่สิ่งที่น่ากลัวกว่าคือ แนวโน้มที่เพิ่มขึ้นทุกปี และ สคส. กำลังเพิ่มกำลังคนและเทคโนโลยีในการตรวจสอบ
AI Governance กำลังมา — และมาเร็วกว่าที่คิด
หนึ่งในประเด็นสำคัญที่สุดจากงาน Data Privacy Day คือ สคส. กำลังออกแนวปฏิบัติ (Guidance) เรื่อง AI Governance เพื่อให้มั่นใจว่าการใช้ AI จะสอดคล้องกับหลักการคุ้มครองข้อมูลส่วนบุคคล
นอกจากนี้ ประเทศไทยกำลัง ร่าง พ.ร.บ. AI ฉบับแยกต่างหาก ซึ่งจะเป็นกฎหมายเฉพาะที่กำกับดูแลการใช้ AI โดยเฉพาะ ทำงานคู่กับ PDPA
สิ่งสำคัญที่ต้องเข้าใจคือ: แม้ PDPA จะไม่ได้กำกับ AI โดยตรง แต่ข้อมูลส่วนบุคคลทุกชิ้นที่ใช้ใน AI ต้องอยู่ภายใต้ PDPA — องค์กร (ไม่ใช่ AI) เป็นผู้รับผิดชอบเต็ม
