หลังจากที่เราได้ทำความเข้าใจภาพรวมกันไปแล้วว่า [PDPA คืออะไร] คำถามสำคัญลำดับถัดมาที่ผู้บริหาร ฝ่ายทรัพยากรบุคคล (HR) และทีมการตลาดมักจะถามกันมากที่สุดคือ “สรุปแล้ว PDPA คุ้มครองอะไรบ้าง?” และ “องค์กรของเราต้องทำอย่างไรเพื่อไม่ให้ผิดกฎหมาย?”
กฎหมายคุ้มครองข้อมูลส่วนบุคคลไม่ได้ถูกออกแบบมาเพื่อห้ามไม่ให้องค์กรทำธุรกิจ หรือห้ามเก็บข้อมูลลูกค้าโดยสิ้นเชิง แต่มุ่งเน้นไปที่การสร้างกติกาให้องค์กรจัดเก็บและใช้ข้อมูลอย่างโปร่งใส ปลอดภัย และเคารพสิทธิของเจ้าของข้อมูล บทความนี้จะพาคุณไปเจาะลึกขอบเขตการคุ้มครองของ PDPA พร้อมสรุปหน้าที่ที่องค์กรต้องเตรียมตัวให้พร้อม
เจาะลึกขอบเขต: กฎหมาย PDPA คุ้มครองข้อมูลประเภทใดบ้าง
กฎหมาย PDPA ให้ความคุ้มครองข้อมูลส่วนบุคคลของบุคคลธรรมดาที่ยังมีชีวิตอยู่เท่านั้น โดยไม่คุ้มครองข้อมูลของนิติบุคคลหรือผู้เสียชีวิต ในมุมมองของการบริหารจัดการภายในองค์กร เราสามารถแบ่งขอบเขตการคุ้มครองออกเป็น 2 ระดับ ดังนี้
การคุ้มครองข้อมูลส่วนบุคคลในบริบทการทำงาน
ในทุกๆ วัน องค์กรมีการประมวลผลข้อมูลส่วนบุคคลทั่วไปเป็นจำนวนมาก กฎหมายคุ้มครองข้อมูลเหล่านี้ไม่ให้ถูกนำไปใช้ผิดวัตถุประสงค์ ตัวอย่างเช่น:
-
ข้อมูลลูกค้า: ชื่อ-นามสกุล เบอร์โทรศัพท์ อีเมล ที่อยู่จัดส่งสินค้า ประวัติการสั่งซื้อ หรือพฤติกรรมการใช้งานบนเว็บไซต์ผ่านคุกกี้
-
ข้อมูลพนักงาน: ประวัติการทำงาน ฐานเงินเดือน เลขบัญชีธนาคาร สำเนาบัตรประชาชน หรือแม้กระทั่งภาพถ่ายที่ใช้ทำบัตรพนักงาน
การคุ้มครองข้อมูลส่วนบุคคลที่มีความอ่อนไหวเป็นพิเศษ
นี่คือจุดที่องค์กรต้องระวังมากที่สุด กฎหมาย PDPA ยกระดับการคุ้มครองข้อมูลกลุ่มนี้ให้เข้มงวดเป็นพิเศษ เพราะหากข้อมูลรั่วไหล อาจนำไปสู่การเลือกปฏิบัติ หรือสร้างความเสียหายร้ายแรงต่อเจ้าของข้อมูลได้ ข้อมูลเหล่านี้ได้แก่ เชื้อชาติ ศาสนา ข้อมูลสุขภาพ ประวัติอาชญากรรม ความพิการ ข้อมูลสหภาพแรงงาน และข้อมูลชีวภาพ เช่น ลายนิ้วมือสแกนเข้างาน หรือระบบสแกนใบหน้า
ตารางสรุประดับความเข้มงวดในการคุ้มครองข้อมูลแต่ละประเภท
| ประเภทข้อมูล | ตัวอย่างในองค์กร | ฐานกฎหมายที่รองรับการใช้งาน | ระดับการคุ้มครอง |
| ข้อมูลทั่วไป | ชื่อ อีเมลลูกค้า เบอร์พนักงาน | ใช้ฐานสัญญา ฐานประโยชน์ชอบด้วยกฎหมาย หรือขอความยินยอม | มาตรฐาน (ต้องมีระบบรักษาความปลอดภัยพื้นฐาน) |
| ข้อมูลอ่อนไหว | ลายนิ้วมือเข้างาน ใบรับรองแพทย์ | ต้องขอความยินยอมโดยชัดแจ้ง เท่านั้น (เว้นแต่เข้าข้อยกเว้น) | สูงสุด (ต้องมีมาตรการรักษาความปลอดภัยขั้นสูง) |
3 หลักการสำคัญในการประมวลผลข้อมูลที่ PDPA คุ้มครอง
เพื่อให้การทำงานขององค์กรสอดคล้องกับกฎหมาย การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล จะต้องตั้งอยู่บนหลักการสำคัญ 3 ประการ ได้แก่:
1. หลักความยินยอมและฐานความชอบด้วยกฎหมาย
กฎหมายคุ้มครองไม่ให้องค์กรนำข้อมูลไปใช้ตามอำเภอใจ การจะประมวลผลข้อมูลได้ต้องมีฐานความชอบด้วยกฎหมายรองรับ เช่น การใช้ฐานสัญญาเพื่อเก็บข้อมูลทำตามสัญญาจ้างงาน หรือใช้ฐานประโยชน์อันชอบด้วยกฎหมายในการติดกล้องวงจรปิดเพื่อรักษาความปลอดภัย หากกิจกรรมใดไม่เข้าข่ายฐานกฎหมายอื่นๆ เลย องค์กรต้องขอความยินยอมจากเจ้าของข้อมูลก่อนเสมอ
2. หลักการใช้ข้อมูลตามวัตถุประสงค์
PDPA คุ้มครองไม่ให้ข้อมูลถูกนำไปใช้นอกเหนือจากที่ตกลงกันไว้ องค์กรต้องแจ้งวัตถุประสงค์ที่ชัดเจนตั้งแต่แรก และห้ามนำข้อมูลไปใช้ผิดประเภทเด็ดขาด ตัวอย่างเช่น ลูกค้าให้เบอร์โทรศัพท์เพื่อใช้ในการจัดส่งพัสดุ องค์กรจะนำเบอร์นั้นไปส่ง SMS โฆษณาขายของไม่ได้ หากลูกค้ายังไม่ได้อนุญาต
3. หลักการจัดเก็บข้อมูลเท่าที่จำเป็น
กฎหมายคุ้มครองสิทธิความเป็นส่วนตัวโดยบังคับให้องค์กรเก็บข้อมูลให้น้อยที่สุดและเท่าที่จำเป็นต่อการใช้งานจริง องค์กรต้องเลิกพฤติกรรมการเก็บข้อมูลเผื่อไว้ก่อน เช่น แบบฟอร์มสมัครสมาชิกรับข่าวสารออนไลน์ ไม่มีความจำเป็นต้องขอช่องกรุ๊ปเลือดหรือศาสนา
8 สิทธิของเจ้าของข้อมูลที่องค์กรต้องรองรับ
หัวใจสำคัญของการคุ้มครองตาม PDPA คือการคืนอำนาจควบคุมข้อมูลกลับไปสู่ประชาชน กฎหมายจึงกำหนดสิทธิของเจ้าของข้อมูลไว้ 8 ประการ ซึ่งองค์กรมีหน้าที่ต้องเตรียมช่องทางและระบบเพื่อรองรับการใช้สิทธิเหล่านี้ โดยปกติต้องดำเนินการให้แล้วเสร็จภายใน 30 วัน สิทธิที่พบบ่อยได้แก่:
สิทธิในการขอเข้าถึงและขอรับสำเนาข้อมูล
เจ้าของข้อมูลมีสิทธิขอทราบว่าองค์กรเก็บข้อมูลอะไรของตนไว้บ้าง และสามารถขอสำเนาข้อมูลเหล่านั้นได้ เช่น พนักงานสามารถขอประวัติการประเมินผลงานของตนเองจากฝ่าย HR ได้
สิทธิในการขอให้ลบหรือทำลาย
หากข้อมูลหมดความจำเป็น หรือเจ้าของข้อมูลถอนความยินยอม องค์กรต้องลบ ทำลาย หรือทำให้ข้อมูลนั้นไม่สามารถระบุตัวตนได้อีกต่อไป เว้นแต่การเก็บรักษานั้นจะเป็นไปเพื่อทำตามกฎหมายอื่น เช่น กฎหมายบัญชีหรือภาษี
สิทธิในการคัดค้านและระงับการใช้ข้อมูล
เจ้าของข้อมูลสามารถสั่งระงับการใช้ข้อมูลได้ตลอดเวลา โดยเฉพาะอย่างยิ่งหากข้อมูลนั้นถูกนำไปใช้เพื่อการทำการตลาดแบบตรง องค์กรต้องหยุดนำข้อมูลนั้นไปทำการตลาดทันทีโดยไม่มีข้อแม้
หน้าที่ความรับผิดชอบขององค์กรเพื่อให้ความคุ้มครองตาม PDPA
เพื่อให้ความคุ้มครองเกิดขึ้นจริง กฎหมายจึงกำหนดให้องค์กรในฐานะผู้ควบคุมข้อมูลส่วนบุคคล ต้องปฏิบัติตามหน้าที่หลัก 3 ระยะ ดังนี้:
หน้าที่ในขั้นตอนการเก็บรวบรวมข้อมูล
ก่อนหรือขณะเก็บข้อมูล องค์กรต้องแจ้งรายละเอียดให้เจ้าของข้อมูลทราบผ่านเอกสารที่เรียกว่า ประกาศความเป็นส่วนตัว หรือ Privacy Notice โดยต้องระบุให้ชัดเจนว่า เก็บข้อมูลอะไรบ้าง เก็บไปทำไม จะส่งต่อให้ใครบ้าง เก็บไว้นานแค่ไหน และสามารถติดต่อองค์กรได้อย่างไร
หน้าที่ในการรักษาความมั่นคงปลอดภัยของข้อมูล
PDPA คุ้มครองข้อมูลไม่ให้สูญหายหรือถูกแฮก องค์กรจึงมีหน้าที่ต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม ทั้งในเชิงเทคนิคเช่นการเข้ารหัสข้อมูลและการตั้งรหัสผ่าน และเชิงบริหารจัดการเช่นการจำกัดสิทธิการเข้าถึงข้อมูลเฉพาะพนักงานที่เกี่ยวข้องเท่านั้น
หน้าที่ในการแจ้งเหตุละเมิดข้อมูลภายใน 72 ชั่วโมง
หากเกิดเหตุการณ์ข้อมูลรั่วไหล เช่น โดนไวรัสเรียกค่าไถ่โจมตีระบบ หรือพนักงานส่งไฟล์เงินเดือนผิดอีเมล องค์กรมีหน้าที่ต้องแจ้งเหตุแก่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายใน 72 ชั่วโมงนับตั้งแต่ทราบเหตุ และหากการรั่วไหลนั้นมีความเสี่ยงสูงต่อสิทธิและเสรีภาพของบุคคล ต้องแจ้งให้เจ้าของข้อมูลทราบพร้อมเสนอแนวทางเยียวยาทันที
เอกสารและนโยบายที่องค์กรต้องมีเพื่อคุ้มครองข้อมูลตามกฎหมาย
เพื่อให้มั่นใจว่าองค์กรได้ทำตามขอบเขตที่กฎหมายกำหนด นี่คือกลุ่มเอกสารสำคัญที่ทุกองค์กรควรจัดเตรียมไว้:
1. นโยบายความเป็นส่วนตัว
เป็นเอกสารชี้แจงสิทธิและเงื่อนไขการใช้ข้อมูล มักจะแยกตามกลุ่มเป้าหมาย เช่น นโยบายความเป็นส่วนตัวสำหรับลูกค้าที่มักแสดงบนหน้าเว็บไซต์ และนโยบายความเป็นส่วนตัวสำหรับพนักงานที่มักรวมไว้ในสัญญาจ้าง
2. แบบฟอร์มขอความยินยอม
ใช้สำหรับขอเก็บข้อมูลที่ไม่มีฐานกฎหมายอื่นรองรับ หรือการเก็บข้อมูลอ่อนไหว โดยแบบฟอร์มที่ดีต้องใช้ภาษาที่อ่านเข้าใจง่าย ไม่ซ่อนเงื่อนไข และให้สิทธิลูกค้าในการปฏิเสธได้โดยไม่กระทบต่อการให้บริการหลัก
3. บันทึกรายการกิจกรรมการประมวลผล หรือ RoPA
RoPA คือสมุดบันทึกหรือฐานข้อมูลที่องค์กรต้องทำขึ้นเพื่อแสดงว่า องค์กรมีการเก็บข้อมูลอะไร เก็บเพื่ออะไร ใครดูแล และส่งต่อให้ใครบ้าง ซึ่งเอกสารนี้หน่วยงานรัฐสามารถเรียกตรวจสอบได้ตลอดเวลาเพื่อดูความโปร่งใส
วิธีตรวจสอบและประเมินความเสี่ยงว่าองค์กรละเมิด PDPA หรือไม่
การเตรียมความพร้อมเรื่อง PDPA ไม่ใช่การแค่ดาวน์โหลดแบบฟอร์มจากอินเทอร์เน็ตมาใช้งาน แต่เป็นการวางระบบอย่างรอบด้าน องค์กรควรเริ่มต้นจากการทำแผนผังเส้นทางการไหลของข้อมูล ตั้งแต่ข้อมูลไหลเข้าองค์กรจนถึงวันที่ถูกทำลายทิ้ง เพื่อค้นหาช่องโหว่และจุดเสี่ยง
อย่างไรก็ตาม ความเสี่ยงที่น่ากลัวที่สุดมักไม่ได้มาจากระบบคอมพิวเตอร์ แต่มาจากความไม่รู้ของพนักงาน หรือ Human Error เช่น การทิ้งเอกสารเรซูเม่ลงถังขยะโดยไม่ทำลาย หรือการเอาเบอร์ลูกค้าไปโพสต์ลงในกลุ่มไลน์สาธารณะ
“การอุดรอยรั่วที่ดีที่สุดคือการสร้างความตระหนักรู้ให้กับคนทำงาน หากองค์กรของคุณต้องการตัวช่วยในการเตรียมความพร้อม หรือต้องการจัดอบรมภายในเพื่อปรับกระบวนการทำงาน สามารถดูรายละเอียดเพิ่มเติมได้ที่: [บริการให้คำปรึกษาและหลักสูตรอบรม PDPA สำหรับองค์กร]“
สรุปขอบเขตการคุ้มครองตาม PDPA ที่ทุกธุรกิจต้องตระหนัก
คำตอบของคำถามที่ว่า PDPA คุ้มครองอะไรบ้าง? สามารถสรุปได้สั้นๆ ว่ากฎหมายนี้คุ้มครองสิทธิความเป็นมนุษย์ในโลกยุคข้อมูลข่าวสาร สำหรับองค์กรและภาคธุรกิจ กฎหมาย PDPA ได้กำหนดกรอบการทำงานที่ชัดเจนขึ้น หน้าที่ของคุณคือการสำรวจข้อมูลที่ถือครองอยู่ จัดทำนโยบายที่โปร่งใส รักษาความปลอดภัยอย่างเข้มงวด และเคารพการตัดสินใจของเจ้าของข้อมูล
อย่ารอให้เกิดเหตุการณ์ข้อมูลรั่วไหลแล้วค่อยแก้ปัญหา เพราะนอกจากโทษปรับทางกฎหมายและโทษทางอาญาที่รุนแรงแล้ว สิ่งที่องค์กรจะสูญเสียมากที่สุดคือความไว้วางใจของลูกค้าและพนักงาน ซึ่งเป็นสิ่งที่ประเมินค่าไม่ได้และกู้คืนกลับมาได้ยากที่สุด
Last Updated on March 19, 2026
