PDPA ไทยเข้าโหมดปรับจริง — ถอดบทเรียน 5 คดีแรกที่โดน 21.5 ล้านบาท ก่อนถึงคิวคุณ

1. Third-party failures — 3 ใน 5 คดี

คดีที่ 1, 2, 5 ทั้งหมดเริ่มต้นจาก ผู้ให้บริการภายนอก — ไม่ว่าจะเป็นผู้ให้บริการทำลายเอกสาร ผู้ให้บริการ IT หรือ vendor ระบบจอง

ข้อความของ PDPC ชัดเจน: การ outsource ไม่ได้โอนความรับผิด คุณต้อง due diligence ผู้ให้บริการ มีสัญญาประมวลผลที่ใช้ได้จริง และตรวจสอบการปฏิบัติจริงของเขา

2. Breach reporting failures — 2 ใน 5 คดี

คดีที่ 3 และ 4 มีค่าปรับรวม 9.5 ล้านบาท และทั้งคู่มี common factor คือ ไม่แจ้ง PDPC ภายในเวลาที่กำหนด

PDPA กำหนดให้ data controller ต้องแจ้ง breach ที่เสี่ยงต่อสิทธิและเสรีภาพของเจ้าของข้อมูลภายใน 72 ชั่วโมง — นี่เป็นกฎเหล็กที่ PDPC ตรวจง่ายและปรับเจ็บ

3. "Documentation alone is not sufficient"

วลีนี้มาจากการวิเคราะห์คดีโดยสำนักกฎหมายระดับ international — และมันสรุปทุกอย่างในประโยคเดียว

PDPC ไม่ได้ถามว่า "คุณมี privacy policy ไหม" — PDPC ถามว่า "คุณมี technical, organizational, administrative safeguards ที่ทำงานจริงไหม"

ช่องว่างระหว่าง "เรามีนโยบาย" กับ "เราทำตามนโยบาย" คือที่ที่ค่าปรับอาศัยอยู่

---

แผนปฏิบัติ 5 ขั้นตอนสำหรับธุรกิจไทย (ต้องทำในไตรมาสนี้)

1. Map ข้อมูลส่วนบุคคลทั้งหมดที่คุณเก็บ — อย่างจริงจัง

ไม่ใช่แค่ "ข้อมูลลูกค้าในฐานข้อมูลหลัก" — รวมทั้ง Excel ในเครื่อง, log files, backup tapes, เอกสารกระดาษ, Line group ที่มี ID card, Google Drive ของพนักงาน

ถ้าคุณไม่รู้ว่าข้อมูลอยู่ไหน คุณไม่สามารถป้องกันมันได้ — และคุณไม่สามารถรายงาน breach ได้ทันภายใน 72 ชั่วโมง

2. ตรวจสัญญากับ vendor ทุกราย — จริงๆ

สำหรับทุก vendor ที่แตะข้อมูลส่วนบุคคลของคุณ (รวมถึง CRM, email marketing, payroll, cloud backup, ระบบจอง):

• มี Data Processing Agreement (DPA) ที่ลงนามแล้วไหม?
• DPA นั้นครอบคลุมความรับผิดชอบในการรายงาน breach ไหม?
• คุณได้ทำ due diligence ความสามารถด้านความปลอดภัยของเขาไหม?
• คุณมีสิทธิ audit ไหม?

3 ใน 5 คดีเริ่มต้นจากตรงนี้ — ขั้นตอนนี้คือ ROI สูงสุด

3. แต่งตั้ง DPO (หรือ DPO as a Service)

ถ้าคุณประมวลผลข้อมูลจำนวนมาก หรือประมวลผล sensitive data เป็น core business — คุณต้องมี DPO ตามกฎหมาย

คดีที่ 3 (ปรับ 7 ล้านบาท) โดนหนักที่สุดส่วนหนึ่งเพราะไม่มี DPO ค่าปรับนั้นใหญ่กว่าเงินเดือน DPO หลายปีมาก

4. สร้าง incident response playbook ที่ซ้อมจริง

ตอนเกิด breach จริง คุณไม่มีเวลาคิด — คุณมีเวลาแค่ ทำตามที่ซ้อมไว้

Playbook ต้องตอบ:

• ใครเป็น incident commander?
• ช่องทางสื่อสารภายในคืออะไร?
• ใครอนุมัติการแจ้ง PDPC?
• template การแจ้งมีอยู่ที่ไหน?
• timeline 72 ชั่วโมงเริ่มนับเมื่อไหร่?

ซ้อมอย่างน้อยปีละ 2 ครั้ง

5. เริ่ม gap assessment ทันที — อย่ารอให้มีคนมาตรวจ

การรู้ว่าคุณมีช่องโหว่อะไรก่อน PDPC เป็นเรื่องที่ถูกกว่าการรู้หลังจากโดนปรับ หลายสิบเท่า

gap assessment ที่ดีไม่ใช่แค่ checklist — มันคือการถามว่า "ถ้าวันนี้มี breach เกิดขึ้น เราจะเอาตัวรอดได้ไหม?"

---

สำหรับทีม Enersys — เราเตรียมอะไรไว้บ้าง

ขอออกตัวก่อนว่า Enersys เป็น Software House ที่เชี่ยวชาญ Odoo ERP, Enterprise AI และ Data Privacy (PDPA) — เรื่อง PDPA ไม่ใช่ add-on ที่เราเพิ่มมาตามกระแส มันเป็นหนึ่งในสามเสาหลักของทีมตั้งแต่แรก

เราไม่ได้เล่า methodology เต็มๆ ในที่นี้ (เพราะเป็นความลับของทีม) แต่สามารถบอกได้ว่า:

• เราคิดว่า PDPA ไม่ใช่เรื่องเอกสาร — เราคิดว่ามันเป็นเรื่อง data architecture ถ้า ERP ของคุณออกแบบมาดี data minimization, retention, consent tracking จะเป็นเรื่องที่เกิดขึ้นโดยอัตโนมัติ ไม่ใช่งานเพิ่ม
• ทุกโปรเจกต์ Odoo ของเรา มีการ map PII ตั้งแต่ discovery phase — เราไม่รอให้ compliance team มาตามหลังแล้วค่อยแก้
• กับลูกค้าที่มี vendor เยอะ เราช่วยวาง framework การประเมิน third-party risk ที่ align กับทั้ง PDPA และ ISO 27001 — เพราะ 3 ใน 5 คดีที่โดนปรับมาจากตรงนี้
• กับงาน AI / analytics เราคิดเรื่อง privacy-by-design ตั้งแต่วัน 1 ไม่ใช่ retrofit หลัง deploy — การเอา data ออกจากระบบ production ไปเทรน model โดยไม่มี safeguard เป็น anti-pattern ที่เราปฏิเสธจะทำ
• Incident readiness เราช่วยลูกค้าเซ็ตอัป playbook และซ้อม — เพราะ playbook ที่ไม่ซ้อมไม่ต่างจากไม่มี

เรามองว่า PDPA เป็น competitive advantage ไม่ใช่ cost center — ลูกค้าที่ compliance แข็งกว่าคู่แข่ง ได้ดีลใหญ่กว่า ได้ความไว้ใจจาก enterprise customer มากกว่า และไม่ต้องนอนไม่หลับรอ notification จาก PDPC

---

สรุป

1. ยุค "ตักเตือน" จบแล้ว — ปี 2025 PDPC เริ่มปรับจริง รวม 21.5 ล้านบาท ใน 5 คดี
2. 3 ใน 5 คดี มาจาก third-party — outsource ไม่โอนความรับผิด
3. 2 ใน 5 คดี โดนหนักเพราะไม่รายงาน breach ภายใน 72 ชั่วโมง
4. คดีที่แพงที่สุด (7 ล้านบาท) โดนเพราะ ไม่มี DPO + ไม่แจ้ง breach — ไม่ใช่เพราะ breach เอง
5. SME ไม่ได้รับการยกเว้น — เครื่องสำอางและของเล่นก็โดนหนักเหมือนกัน
6. กรณี Worldcoin พิสูจน์ว่า PDPC พร้อมใช้อำนาจสั่งหยุดบริการ ไม่ใช่แค่ปรับ

สิ่งที่ต้องทำ ภายในไตรมาสนี้: map ข้อมูล, ตรวจ vendor contract, แต่งตั้ง DPO, สร้าง incident playbook, gap assessment

สิ่งที่ ไม่ควรทำ: รอดูว่าใครโดนก่อน — เพราะนั่นคือสิ่งที่ 5 บริษัทข้างบนทำ

ถ้าคุณอยากคุยเรื่องว่า ERP และ workflow ของคุณจะออกแบบให้ compliance เป็นเรื่องที่เกิดขึ้นโดยอัตโนมัติได้ยังไง — ทีมเรายินดีคุย

---

แหล่งข้อมูล

• Thailand PDPA Crackdown 2025: Are You Next? Major Fines and Lessons from Thailand's Latest Enforcement — DLA Piper Privacy Matters — แหล่งข้อมูลหลักที่สรุปทั้ง 5 คดี พร้อมตัวเลขค่าปรับและการวิเคราะห์ทางกฎหมาย
• Thailand Ramps Up Data Protection Enforcement — Hogan Lovells — การวิเคราะห์จากสำนักกฎหมายระดับ international เกี่ยวกับรูปแบบของการบังคับใช้
• Thailand's PDPC Clarifies Data Breach Notification Requirements — IAPP — รายละเอียดเรื่อง 72-hour breach notification rule จาก IAPP
• PDPA Enforcement in Thailand: What Every Business Must Know in 2026 — PIM Legal — มุมมอง 2026 outlook จากทีมกฎหมายในไทย
• PDPA Fines and Firsts: A 6-Year Timeline of Thailand's Data Privacy Enforcement — HSF Kramer — timeline การบังคับใช้ 6 ปีตั้งแต่ PDPA เริ่มใช้

บทความนี้เป็นการวิเคราะห์ผลกระทบของการบังคับใช้ PDPA ต่อธุรกิจไทยโดยทีม Enersys — ตัวเลขและข้อเท็จจริงทั้งหมดอ้างอิงจากแหล่งข้อมูลต้นทางด้านบน ไม่ใช่คำปรึกษาทางกฎหมาย