PDPA ใช้กับ SME ไทยขนาดเล็กด้วยไหม?

ใช่ — PDPA ใช้กับทุกองค์กรที่ประมวลผลข้อมูลส่วนบุคคลของคนในประเทศไทย ไม่จำกัดขนาดบริษัทหรือที่ตั้งของบริษัท ไม่มีข้อยกเว้นสำหรับ SME

ต้องมี DPO ไหม?

Data Protection Officer จำเป็นถ้าประมวลผลข้อมูลส่วนบุคคลที่อ่อนไหวในระดับใหญ่ หรือถ้ากิจกรรมหลักของบริษัทต้องมีการ monitor data subjects อย่างสม่ำเสมอ ธุรกิจ B2C ที่มี marketing operation อยู่ส่วนใหญ่จะเข้าเกณฑ์นี้

PDPA ต่างจาก GDPR อย่างไร?

PDPA ได้แบบจาก GDPR แต่มีความแตกต่างสำคัญ: ระยะเวลาแจ้ง breach 72 ชั่วโมง, ต้องมีเอกสารภาษาไทย, ค่าปรับเริ่มต้นต่ำกว่าแต่ civil liability ไม่จำกัด และ rules สำหรับ cross-border transfer ที่ชัดเจน

Beginnerอ่าน 2 นาที

ตรวจสอบ PDPA ด้วย AI: คู่มือฉบับสมบูรณ์สำหรับธุรกิจไทย

วิธีตรวจสอบ Privacy Policy, consent flow และ Record of Processing Activities ของคุณตาม PDPA ของไทยด้วย AI พร้อมเช็คลิสต์ 7 ขั้นตอนและเทมเพลตสำหรับ DPO

อัปเดตล่าสุด: 27 พฤษภาคม 2569เขียนโดย Piyawat Sritavong

คำตอบสั้นๆ

PDPA audit คือการตรวจสอบว่า privacy notice, consent flow, Record of Processing Activities และมาตรการความปลอดภัยของคุณตอบโจทย์ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือไม่^[2] ด้วย AI การ audit นี้ใช้เวลาประมาณ 10 นาทีต่อ session และให้รายงานที่จัดกลุ่มตามหมวดของ PDPA พร้อม risk score

PDPA ใช้กับใคร?

PDPA ใช้กับทุกบริษัทที่ประมวลผลข้อมูลส่วนบุคคลของคนในประเทศไทย — ไม่ว่าบริษัทจะจดทะเบียนที่ไหน ไม่มีข้อยกเว้นสำหรับ SME

ถ้าคุณเก็บชื่อ อีเมล เบอร์โทร หรือ identifier ใดๆ จากลูกค้าไทย — PDPA ใช้ ถ้าคุณรัน analytics กับผู้เยี่ยมชมเว็บจากไทย — PDPA ใช้ ถ้าคุณ outsource customer service ไป vendor ต่างประเทศ — PDPA ใช้ และต้องมั่นใจว่า cross-border transfer มี safeguard เพียงพอ

AI ตรวจอะไรบ้าง

PDPA Auditor ของ EvidProof ประเมินเอกสารของคุณตาม 7 มิติ:

ฐานทางกฎหมาย วัตถุประสงค์การประมวลผลแต่ละข้อมีฐานทางกฎหมายของ PDPA รองรับหรือไม่? (consent, สัญญา, หน้าที่ตามกฎหมาย, ประโยชน์สำคัญ, ประโยชน์สาธารณะ, ประโยชน์ที่ชอบด้วยกฎหมาย)
จำกัดวัตถุประสงค์ privacy notice บอกชัดเจนหรือไม่ว่าเก็บข้อมูลแต่ละประเภทไปทำอะไร?
สิทธิเจ้าของข้อมูล มีกระบวนการที่เป็นเอกสารสำหรับการเข้าถึง การแก้ไข การลบ การถ่ายโอน และการคัดค้านหรือไม่?
มาตรการความปลอดภัย มาตรการทางเทคนิคและองค์กรถูกระบุไว้พร้อม roles และ cadences หรือไม่?
การแจ้งเหตุละเมิด มี workflow แจ้งเหตุละเมิดภายใน 72 ชั่วโมงหรือไม่?
Cross-border transfer การโอนข้อมูลไปต่างประเทศมี adequacy หรือ safeguard รองรับหรือไม่?
DPO และ accountability กำหนด DPO หรือไม่? มีระบบบันทึก?

ขั้นตอนทีละสเต็ป

1. รวบรวมเอกสาร privacy

อย่างน้อยต้องมี:

Privacy Policy (อันที่อยู่บนเว็บ public)
Cookie Notice
Internal Record of Processing Activities (ROPA)
Consent forms ทั้งหมด (signup, marketing, sensitive data)
Data Processing Agreements กับ vendors

ถ้ายังไม่มี ROPA — เป็น PDPA finding ในตัวเลย ทำ list ตอนนี้และอัปโหลดเป็น draft EvidProof จะ flag ฟิลด์ที่ขาด

2. อัปโหลดไปที่ EvidProof

ลากทุกไฟล์เข้า session เดียว เลือก PDPA Auditor (Thailand) จาก role selector ถ้าธุรกิจให้บริการลูกค้า EU ด้วย เพิ่ม GDPR Reviewer role เพื่อ findings cross-jurisdiction^[3]

3. ระบุ processing context

อธิบายในหนึ่งย่อหน้า:

ประเภทข้อมูลส่วนบุคคลที่เก็บ (ชื่อ อีเมล location behavioral ฯลฯ)
เก็บไปทำอะไร (signup, billing, analytics, marketing)
แชร์กับใคร (payment processor, email service, analytics)

AI ใช้ข้อมูลนี้ประเมิน purpose limitation และ necessity — สองจุดอ่อนที่ PDPC พูดถึงบ่อยที่สุดในการบังคับใช้

4. ตรวจ findings ตามหมวด PDPA

Findings จัดกลุ่มตามหมวด:

หมวด 2 — การคุ้มครองข้อมูลส่วนบุคคล (ฐานทางกฎหมาย, consent)
หมวด 3 — สิทธิของเจ้าของข้อมูลส่วนบุคคล
หมวด 4 — การร้องเรียนและข้อพิพาท
หมวด 7 — บทกำหนดโทษ (ความปลอดภัยและการแจ้ง breach)

Findings ระดับ 5 (วิกฤต) มักจะอยู่ที่:

ไม่มีฐานทางกฎหมายเอกสารสำหรับ marketing
ไม่มีกระบวนการแจ้ง breach
Cross-border transfer ไม่มี safeguard
ไม่มี DPO ตามที่กฎหมายกำหนด

5. แก้ critical gaps ก่อน

PDPA finding ระดับ 5 เป็น liability จริง — ค่าปรับ PDPA สูงถึง 5 ล้านบาทต่อกรณี บวก civil damages อีก ลำดับความสำคัญ:

แก้ฐานทางกฎหมายที่ขาดหายไป (บ่อยครั้งเป็นแค่ย่อหน้าเดียวใน privacy notice)
สร้าง breach notification runbook (เทมเพลตอยู่ใน EvidProof knowledge base)
ใส่ Standard Contractual Clauses หรือ safeguard เทียบเท่ากับ cross-border transfer

6. แปลเป็นภาษาไทย

Consent forms และ privacy notices สำหรับเจ้าของข้อมูลในไทยต้องมีภาษาไทย EvidProof จะ flag consent หรือ notice ใดๆ ที่มีแต่ภาษาอังกฤษ ภาษาไทยไม่ต้องเป็นการแปลโฆษณา แต่ต้องถูกต้อง

7. ตั้ง re-audit ทุกไตรมาส

PDPC เข้มงวดขึ้นตั้งแต่ปี 2023 กิจกรรมประมวลผลเปลี่ยนได้เมื่อธุรกิจเปลี่ยน Audit รายไตรมาสจับ drift ก่อนกลายเป็น finding

ข้อผิดพลาดที่พบบ่อย

Consent stacking Checkbox "ฉันยอมรับ privacy policy" เดียวไม่เพียงพอสำหรับ marketing — marketing consent ต้องเฉพาะเจาะจงและบันทึกแยกได้
Pre-checked boxes Consent ที่ check ไว้ก่อนถือเป็นโมฆะตาม PDPA Audit signup flow ดู
ไม่มี retention schedule ต้องระบุว่าเก็บข้อมูลแต่ละประเภทไว้นานเท่าใดและกระบวนการลบ "ตลอดไป" ไม่ใช่คำตอบ

ขั้นต่อไป

เมื่อ gap report เป็นสีเขียวแล้ว ทำเอกสาร internal PDPA review รายปี และพิจารณาให้สำนักงานกฎหมายไทยทำ formal opinion ก่อนการเปลี่ยนแปลง processing ที่สำคัญ การ audit ของ EvidProof เป็น pre-audit ที่แข็งแรง แต่ทนายความที่มีใบอนุญาตในไทยคือพาร์ทเนอร์ที่เหมาะกับการตัดสินใจที่มีความเสี่ยงสูง

คำถามที่พบบ่อย

Sources

[2]Royal Thai Government. Personal Data Protection Act B.E. 2562 (2019). Ministry of Digital Economy and Society, Thailand, 2019. https://www.pdpc.or.th
[2]Royal Thai Government. Personal Data Protection Act B.E. 2562 (2019). Ministry of Digital Economy and Society, Thailand, 2019. https://www.pdpc.or.th
[3]European Parliament, Council of the European Union. General Data Protection Regulation (EU) 2016/679. European Union, 2016. https://eur-lex.europa.eu/eli/reg/2016/679/oj

คำถามที่พบบ่อย

Sources

บทความที่เกี่ยวข้อง