พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) ของไทยมีผลบังคับใช้เต็มรูปแบบตั้งแต่มิถุนายน 2565 และการบังคับใช้ได้เพิ่มความเข้มข้นขึ้นอย่างมากตั้งแต่ปี 2567 PDPC ได้ออกโทษปรับทางปกครองในหลายกรณี และในเดือนกุมภาพันธ์ 2569 ได้เผยแพร่แนวปฏิบัติฉบับร่างเกี่ยวกับ AI และการประมวลผลข้อมูลส่วนบุคคล บทความนี้จะอธิบายโครงสร้างของ PDPA และตรวจสอบสามประเด็นปฏิบัติที่สำคัญ
← ตอนที่ 1: แผนที่กฎหมายดิจิทัลไทย
โครงสร้างของ PDPA — 95 มาตราในภาพเดียว
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ประกอบด้วย 95 มาตรา จัดเป็นหมวดดังนี้:
| หมวด | เนื้อหาหลัก |
|---|---|
| หมวด 1 (บททั่วไป) | วัตถุประสงค์ คำนิยาม ขอบเขตการบังคับใช้ |
| หมวด 2 (การเก็บรวบรวม ใช้ เปิดเผย) | ฐานทางกฎหมาย สิทธิของเจ้าของข้อมูล กฎพิเศษสำหรับข้อมูลอ่อนไหว |
| หมวด 3 (สิทธิของเจ้าของข้อมูลส่วนบุคคล) | สิทธิเข้าถึง แก้ไข ลบ คัดค้าน โอนย้ายข้อมูล |
| หมวด 4 (หน้าที่ของผู้ควบคุมข้อมูล) | นโยบายความเป็นส่วนตัว DPO การแจ้งเหตุละเมิด การจัดการผู้ประมวลผล |
| หมวด 5 (การโอนข้อมูลข้ามพรมแดน) | การรับรองความเพียงพอ มาตรการคุ้มครองที่เหมาะสม |
| หมวด 9 (บทลงโทษ) | โทษปรับทางปกครอง โทษอาญา ความรับผิดทางแพ่ง |
ขอบเขตและการบังคับใช้นอกอาณาเขต
มาตรา 5 กำหนดขอบเขตการบังคับใช้ PDPA ครอบคลุมการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เกิดขึ้นในประเทศไทย รวมถึงผู้ควบคุมข้อมูลหรือผู้ประมวลผลที่อยู่นอกประเทศไทย หากให้บริการแก่เจ้าของข้อมูลในไทย หรือติดตามพฤติกรรมของบุคคลในไทย
ฐานทางกฎหมาย 6 ประการ — กรอบตามมาตรา 24–26
ฐานทางกฎหมาย 6 ประการ (มาตรา 24)
| ฐาน | ตัวอย่าง |
|---|---|
| ① ความยินยอม | อีเมลการตลาด การวางคุกกี้ |
| ② การปฏิบัติตามสัญญา | การคำนวณเงินเดือนตามสัญญาจ้างงาน การจัดส่งตามสัญญาซื้อขาย |
| ③ การปฏิบัติตามกฎหมาย | การรายงานภาษีตามที่กฎหมายกำหนด |
| ④ การป้องกันอันตรายต่อชีวิต | การแบ่งปันข้อมูลในกรณีฉุกเฉินทางการแพทย์ |
| ⑤ ประโยชน์สาธารณะ | การสำรวจสถิติของหน่วยงานรัฐ |
| ⑥ ผลประโยชน์อันชอบด้วยกฎหมาย | การบันทึกล็อกเพื่อป้องกันการฉ้อโกง |
ข้อมูลอ่อนไหว (มาตรา 26)
เชื้อชาติ ความคิดเห็นทางการเมือง ศาสนา รสนิยมทางเพศ ข้อมูลสุขภาพ ประวัติอาชญากรรม และข้อมูลชีวภาพ (ลายนิ้วมือ ใบหน้า) ถือเป็น “ข้อมูลอ่อนไหว” ต้องได้รับ ความยินยอมโดยชัดแจ้ง โดยปกติ โทษปรับทางปกครองสูงสุดถึง 5 ล้านบาท
ภาระหน้าที่ของ DPO (มาตรา 41–42)
3 เงื่อนไขที่ทำให้ต้องแต่งตั้ง DPO:
① ผู้ควบคุมหรือผู้ประมวลผลที่ดำเนินการประมวลผลข้อมูลในวงกว้าง ② องค์กรที่ประมวลผลข้อมูลอ่อนไหวเป็นกิจกรรมหลัก ③ หน่วยงานของรัฐ (ยกเว้นศาล)
ภาระหน้าที่แจ้งเหตุละเมิดข้อมูล (มาตรา 37(4)) — กฎ 72 ชั่วโมง
มาตรา 37(4) กำหนดให้ผู้ควบคุมข้อมูลแจ้ง PDPC ภายใน 72 ชั่วโมง นับแต่ทราบเหตุละเมิดข้อมูลส่วนบุคคล ซึ่งสอดคล้องกับกฎ 72 ชั่วโมงของ GDPR
ในกรณีที่การละเมิดน่าจะก่อให้เกิด ความเสี่ยงสูงต่อสิทธิและเสรีภาพของเจ้าของข้อมูล ผู้ควบคุมต้องแจ้งเจ้าของข้อมูลที่ได้รับผลกระทบโดยไม่ชักช้าด้วย
โครงสร้างบทลงโทษ
① โทษปรับทางปกครอง (มาตรา 90–91)
| ประเภทการละเมิด | โทษปรับทางปกครองสูงสุด |
|---|---|
| เก็บรวบรวม/ใช้/เปิดเผยข้อมูลส่วนบุคคลโดยไม่มีฐานทางกฎหมาย | 3 ล้านบาท |
| ประมวลผลข้อมูลอ่อนไหวโดยไม่ได้รับอนุญาต | 5 ล้านบาท |
| ขัดขวางการใช้สิทธิของเจ้าของข้อมูล | 3 ล้านบาท |
| การละเมิดเชิงขั้นตอน (ไม่มี DPO ไม่แจ้งเหตุละเมิด) | 1 ล้านบาท |
② โทษอาญา (มาตรา 79–80)
มาตรา 79: เก็บรวบรวม/ใช้/เปิดเผยข้อมูลอ่อนไหวเพื่อประโยชน์โดยมิชอบ → จำคุกสูงสุด 1 ปี + ปรับสูงสุด 1 ล้านบาท มาตรา 80: เก็บรวบรวม/ใช้/เปิดเผยข้อมูลส่วนบุคคลเพื่อประโยชน์โดยมิชอบ → จำคุกสูงสุด 6 เดือน + ปรับสูงสุด 5 แสนบาท
③ ความรับผิดทางแพ่ง (มาตรา 77–78)
ศาลอาจกำหนดค่าเสียหายเชิงลงโทษ สูงสุดสองเท่าของค่าเสียหายจริง สำหรับการละเมิดโดยเจตนาหรือประมาทเลินเล่ออย่างร้ายแรง
กรณีการบังคับใช้และ Eagle Eye Crawler
PDPC ดำเนินการสอบสวนหลายกรณีระหว่างปี 2566–2568 แนวโน้มที่สังเกตได้จากกรณีที่เปิดเผยต่อสาธารณะ:
- ภาคการแพทย์: แบ่งปันข้อมูลสุขภาพผู้ป่วยกับบุคคลภายนอกโดยไม่มีฐานทางกฎหมายที่เพียงพอ
- ค้าปลีก / อีคอมเมิร์ซ: แบนเนอร์ยินยอมคุกกี้ที่ไม่ทำงาน ขณะที่ตัวติดตามการตลาดยังคงทำงานอยู่
- ภาคการเงิน: การให้คะแนนเครดิตอัตโนมัติโดยไม่มีคำอธิบายที่เพียงพอต่อเจ้าของข้อมูล
PDPC Eagle Eye Crawler
PDPC ได้นำเครื่องมือตรวจสอบอัตโนมัติที่เรียกว่า “Eagle Eye Crawler” มาใช้ เพื่อสแกนเว็บไซต์ไทยว่ามีการปฏิบัติตาม PDPA หรือไม่ โดยเฉพาะการเผยแพร่นโยบายความเป็นส่วนตัวและการใช้งานกลไกยินยอมคุกกี้
แนวปฏิบัติ AI × PDPA ฉบับร่าง (เผยแพร่ 17 กุมภาพันธ์ 2569)
PDPC เผยแพร่แนวปฏิบัติฉบับร่างเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลในระบบ AI เมื่อวันที่ 17 กุมภาพันธ์ 2569
การตัดสินใจอัตโนมัติ (เชื่อมโยงกับมาตรา 39–40)
มาตรา 39: เจ้าของข้อมูลมีสิทธิ คัดค้านการตัดสินใจอัตโนมัติ (รวมถึงการสร้างโปรไฟล์) ที่ส่งผลกระทบต่อตนอย่างมีนัยสำคัญ มาตรา 40: ในบางกรณี ผู้ควบคุมข้อมูลมีภาระหน้าที่อธิบายตรรกะและเกณฑ์ที่ใช้ในการตัดสินใจอัตโนมัติ
แนวปฏิบัติฉบับร่างกำหนดให้องค์กรที่ใช้งานระบบ AI:
- รวมการเปิดเผยข้อมูลที่เกี่ยวกับ AI ไว้ในนโยบายความเป็นส่วนตัว
- แจ้งเจ้าของข้อมูลเมื่อมีการใช้การตัดสินใจอัตโนมัติ
- ทำ สัญญาการประมวลผลข้อมูล (DPA) กับผู้ให้บริการ AI
- ปฏิบัติตามหลักการลดข้อมูลให้เหลือน้อยที่สุดและจำกัดวัตถุประสงค์
การโอนข้อมูลข้ามพรมแดน (มาตรา 28–29) — BCR และ SCC
เช่นเดียวกับ GDPR PDPA จำกัดการโอนข้อมูลส่วนบุคคลไปยังประเทศที่ไม่มีมาตรฐานการคุ้มครองข้อมูลที่เพียงพอ
มาตรการคุ้มครองที่ได้รับการอนุมัติ:
- BCR (กฎการดำเนินธุรกิจที่มีผลผูกพัน): เหมาะสำหรับการโอนข้อมูลภายในกลุ่มบริษัท ต้องลงทะเบียนกับ PDPC
- SCC (ข้อสัญญามาตรฐาน): การใช้ข้อสัญญามาตรฐานที่ได้รับการอนุมัติจาก PDPC ช่วยให้โอนข้อมูลได้
- ความยินยอมโดยชัดแจ้ง: ใช้ได้สำหรับการโอนรายบุคคล แต่ไม่เหมาะสำหรับการโอนจำนวนมาก
บทความที่เกี่ยวข้อง
- ข้อควรระวังสำหรับบริษัทที่ใช้ AI ในไทย 2569
- คู่มือปฏิบัติ PDPA ไทย 2569
- ← ตอนที่ 1: แผนที่กฎหมายดิจิทัลไทย
- ตอนที่ 3: อ่านร่างกฎหมาย AI ไทย →
ตอนถัดไป
ตอนที่ 3 (24 มีนาคม 2569): เราจะวิเคราะห์ร่างกฎหมาย AI ของไทย โครงสร้างการจัดประเภทความเสี่ยง ภาระหน้าที่ของผู้ให้บริการกับผู้ใช้งาน และการเปรียบเทียบกับ EU AI Act
บทความนี้มีวัตถุประสงค์เพื่อให้ข้อมูลทั่วไปเกี่ยวกับระบบกฎหมายของประเทศไทย และไม่ถือเป็นคำแนะนำทางกฎหมายภายใต้กฎหมายไทย สำหรับกรณีเฉพาะ กรุณาปรึกษาผู้เชี่ยวชาญที่มีใบอนุญาตทนายความไทย สำนักงานของเราทำงานร่วมกับทนายความไทยของ JTJB International Lawyers