- 09
- พฤษภาคม
วันที่ 1 สิงหาคม 2568 — คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ประกาศคำสั่งปรับ 8 รายการ ใน 5 เคส ภายในวันเดียว ค่าปรับสูงสุด 7 ล้านบาท สำหรับร้านคอมพิวเตอร์ที่ไม่มีเจ้าหน้าที่คุ้มครองข้อมูล (DPO) + ไม่รายงาน data breach นี่คือการ เปลี่ยนยุคจาก "เตือน" สู่ "ปรับจริง" ของ PDPA ไทย — บวกกับ Emergency Decree on Tech Crimes ที่บังคับใช้ตั้งแต่ 13 เม.ย. 2568 เพิ่มโทษอาญา จำคุกสูงสุด 5 ปี + ปรับ 5 แสนบาท สำหรับการเปิดเผยข้อมูลส่วนบุคคลโดยมิชอบ
สรุปสั้นๆ: PDPA Crackdown 2569 มีอะไรเปลี่ยน?
- 1 ส.ค. 2568: PDPC สั่งปรับ 8 ราย ใน 5 เคส รวมประมาณ 21.5 ล้านบาท — ครั้งแรกที่ออกคำสั่งปรับขนาดนี้ในวันเดียว
- ค่าปรับสูงสุด: 7 ล้านบาท (ร้านคอมพิวเตอร์ — ไม่มี DPO + ไม่รายงาน breach)
- เคสใหญ่อื่น: โรงพยาบาลเอกชน 1.21 ล้าน, บริษัทเครื่องสำอาง 2.5 ล้าน, บริษัทของเล่น 3.5 ล้าน (ผู้ควบคุม + ผู้ประมวลผลรวม)
- 13 เม.ย. 2568: Emergency Decree on Tech Crimes (ฉบับ 2) บังคับใช้ — เพิ่มโทษอาญา
- โทษอาญา (ใหม่): จำคุก 1 ปี + ปรับ 1 แสนบาท (ทั่วไป) | จำคุก 5 ปี + ปรับ 5 แสนบาท (เชิงพาณิชย์)
- กลุ่มเป้าหมายปี 2569: e-commerce, healthcare, telecom, public services
1. 5 เคสที่ PDPC ปรับ — ตัวอย่างจริงที่ต้องรู้
การปรับครั้งนี้ ไม่ได้กระจายตามสาขา แต่เลือกเคสที่มีรูปแบบความผิดซ้ำๆ เพื่อส่งสัญญาณว่า PDPC จะเอาจริงกับช่องว่างเหล่านี้:
| เคส | รายละเอียดข้อมูลที่รั่ว | ความผิดหลัก | ค่าปรับ (บาท) |
|---|---|---|---|
| หน่วยงานรัฐ + ผู้พัฒนาซอฟต์แวร์ | ข้อมูล 200,000 ราย รั่วขึ้น dark web | Password อ่อน + ไม่ทำ risk assessment + ไม่มี DPA กับ processor | 153,120 × 2 = 306,240 |
| โรงพยาบาลเอกชน + ผู้รับเหมา | ประวัติคนไข้ 1,000+ ราย ถูกทำลาย/นำกลับมาใช้ผิด | มาตรการรักษาความปลอดภัยไม่เพียงพอ + ไม่รายงาน breach | 1,210,000 + 16,940 = 1,226,940 |
| ร้านคอมพิวเตอร์ + อุปกรณ์ | ข้อมูลผู้บริโภค 100+ ราย ตกเป็นเหยื่อ call center scam | ไม่มี DPO + ไม่รายงาน breach + security ไม่เพียงพอ | 7,000,000 |
| บริษัทเครื่องสำอาง | ข้อมูลลูกค้า ตกถึงมือ scam operators | มาตรการรักษาความปลอดภัยไม่เพียงพอ + ไม่แจ้ง PDPC | 2,500,000 |
| ร้านของเล่นสะสม + ผู้ประมวลผล | ข้อมูล ~200,000 ราย ถูกแก้ไขโดยไม่ได้รับอนุญาต | Service provider ไม่มี security control เพียงพอ + ไม่รายงาน | 500,000 + 3,000,000 = 3,500,000 |
สังเกต — ทั้ง 5 เคส มี 4 รูปแบบความผิดซ้ำกัน ที่ PDPC ใช้เป็น "ตัววัด" ว่าองค์กรจริงจังกับ PDPA แค่ไหน — ลองดูใน PDPA + ERP เพื่อเข้าใจว่าระบบ ERP ต้องรองรับอะไรบ้าง
2. 4 ช่องว่างที่ PDPC ปรับซ้ำๆ — ใช้เป็น checklist
วิเคราะห์จากเคสทั้งหมด — รูปแบบความผิดที่ PDPC สนใจคือ:
| ช่องว่าง | รายละเอียดที่ PDPC ตรวจ | ตัวอย่างใน ERP |
|---|---|---|
| 1. มาตรการรักษาความปลอดภัย | Password อ่อน, ไม่มี 2FA, ไม่ encryption, ไม่ patch | 2FA + role-based access + audit log |
| 2. การรายงาน data breach | ต้องแจ้ง PDPC ภายใน 72 ชั่วโมง — ทุกเคสที่ปรับล้วน "ไม่รายงาน" | Alert system + incident log ใน ERP |
| 3. เจ้าหน้าที่คุ้มครองข้อมูล (DPO) | บางองค์กรต้องแต่งตั้งโดยกฎหมาย — ไม่มี = ปรับ | DPO รับผิดชอบ governance ของระบบ ERP ที่เก็บข้อมูลส่วนบุคคล |
| 4. กำกับดูแลผู้ประมวลผล (Processor) | ต้องมี Data Processing Agreement (DPA) + ตรวจ security ของ vendor | ระบบ ERP ที่เก็บไว้บน cloud หรือใช้ third-party vendor ต้องมี DPA ครบ |
ที่น่าสังเกต — ทั้ง 5 เคส ปรับเพราะ "ไม่รายงาน breach" ทุกเคส นี่คือสัญญาณชัดที่สุดว่า PDPC จะเอาจริงกับ มาตรา 37(4) ของ PDPA ที่กำหนดให้แจ้ง PDPC ภายใน 72 ชั่วโมงเมื่อเกิดเหตุละเมิด
3. Emergency Decree on Tech Crimes — โทษอาญาที่เพิ่มเข้ามา
นอกจากค่าปรับ administrative ของ PDPC แล้ว — รัฐบาลออก Emergency Decree on Measures for the Prevention and Suppression of Technology Crimes (No. 2) B.E. 2568 บังคับใช้ตั้งแต่ 13 เมษายน 2568 เพิ่มโทษอาญาเฉพาะสำหรับการเปิดเผยข้อมูลส่วนบุคคลที่นำไปสู่อาชญากรรมดิจิทัล:
| ลักษณะการกระทำ | โทษจำคุก | โทษปรับ |
|---|---|---|
| เก็บ/ครอบครอง/เปิดเผย ข้อมูลส่วนบุคคล โดยตั้งใจให้นำไปสู่อาชญากรรม | สูงสุด 1 ปี | สูงสุด 100,000 บาท |
| ทำในเชิงพาณิชย์ (ซื้อ/ขาย/แลก/แสวงหากำไร) | สูงสุด 5 ปี | สูงสุด 500,000 บาท |
ความหมายในทางปฏิบัติ — นอกจาก PDPC จะปรับองค์กร แล้ว ผู้บริหาร/พนักงาน/vendor ที่เกี่ยวข้องอาจถูกดำเนินคดีอาญาแยกต่างหาก โดยเฉพาะกรณีที่มีการนำข้อมูลไปขาย/แลก ซึ่งเป็นรูปแบบที่พบเห็นบ่อยใน data leak ที่นำไปสู่ call center scam
4. ระบบ ERP กับการ comply PDPA — ฟีเจอร์ที่ต้องมี
ERP ที่จัดเก็บข้อมูลพนักงาน + ลูกค้า + คู่ค้า เป็น "จุดความเสี่ยงอันดับ 1" ตามที่ PDPC สนใจ ระบบควรมีฟีเจอร์เหล่านี้เพื่อ comply:
| ฟีเจอร์ | มาตราที่เกี่ยวข้อง | ทำไมสำคัญ |
|---|---|---|
| 2FA + Strong Password Policy | ม.37 (มาตรการ security) | เคส 1 (หน่วยงานรัฐ) ปรับเพราะ password อ่อน |
| Role-Based Access Control (RBAC) | ม.37 + หลักการ least privilege | จำกัดว่าใครเห็นข้อมูลอะไร |
| Audit Log แก้ไขไม่ได้ | ม.40 (พิสูจน์ความสามารถในการปฏิบัติตาม) | เคส 5 (ของเล่นสะสม) — ข้อมูลถูกแก้ไขโดยไม่ได้รับอนุญาต |
| Data Encryption (at-rest + in-transit) | ม.37 | ลด impact ถ้าเซิร์ฟเวอร์ถูกแฮก |
| Breach Detection + Alert | ม.37(4) — แจ้งภายใน 72 ชม. | ทุกเคสปรับเพราะ "ไม่รู้ว่ามี breach" |
| Data Retention + Erasure | ม.39 (สิทธิในการลบ) | ผู้ใช้ขอลบข้อมูลได้ |
| Vendor / Processor Audit Trail | ม.40 + DPA requirement | ตรวจได้ว่า vendor เข้าถึงข้อมูลเมื่อไหร่ |
เพิ่มเติม — สำหรับ การจัดเก็บไฟล์ใน ERP เช่น สำเนาบัตร ปชช. ของลูกค้า/พนักงาน จำเป็นต้องเข้ารหัสและจำกัดการเข้าถึง
5. Checklist 7 ข้อ — เตรียมตัวก่อนถูกตรวจ
ภายในปี 2569 PDPC ประกาศชัดว่าจะเน้นตรวจ 4 ภาคที่มีข้อมูลส่วนบุคคลเยอะ — e-commerce, healthcare, telecom, public services ถ้าองค์กรอยู่ใน 4 ภาคนี้ ความเสี่ยงสูงเป็นพิเศษ
Checklist 7 ข้อสำหรับองค์กรไทย:
- แต่งตั้ง DPO + ขึ้นทะเบียนกับ PDPC — ตรวจสอบว่าองค์กรเข้าเกณฑ์บังคับหรือไม่ (ดู ศูนย์ความรู้)
- Audit ระบบ ERP + ระบบบัญชี — ดูว่าฟีเจอร์ 7 ข้อข้างบนมีครบหรือไม่
- เปิด 2FA สำหรับทุกผู้ใช้ — โดยเฉพาะ admin + finance + HR (ดู 2FA Guide)
- ทำ Data Processing Agreement กับ vendor ทุกราย — รวมถึง cloud, hosting, accounting outsource
- วาง Incident Response Plan — ใครรายงาน, รายงานยังไง, ภายใน 72 ชม.
- จัดอบรมพนักงาน — โดยเฉพาะคนที่ดูแลข้อมูลลูกค้า/HR
- ทบทวน Privacy Notice + Consent — เป็นปัจจุบันและตรงกับการใช้งานจริง
6. คำถามที่ผู้บริหารต้องถามทีม IT/HR
ใช้คำถามเหล่านี้เป็นจุดเริ่มต้นการประเมินความเสี่ยง:
| คำถาม | เกณฑ์ที่ "ผ่าน" |
|---|---|
| 1. เรามี DPO หรือยัง — และเขาทำอะไรจริง? | มีคน + มีอำนาจ + รายงานตรงผู้บริหาร |
| 2. ถ้าเกิด data breach วันนี้ — เรารายงานได้ภายใน 72 ชม. ไหม? | มี playbook + ทดสอบจริงอย่างน้อย 1 ครั้ง/ปี |
| 3. Vendor ของเราทุกราย มี DPA ครบไหม? | มีรายการครบ + signed + review ทุกปี |
| 4. Audit log ของระบบ ERP/บัญชี — แก้ไขได้ไหม? | แก้ไขไม่ได้ + เก็บอย่างน้อย 1 ปี |
| 5. Password policy ของเรา — ผ่าน NIST/PDPC guideline ไหม? | ความยาว ≥ 12 ตัว + ห้ามใช้รหัสซ้ำ + 2FA |
7. ทำไม PDPC เลือกประกาศ 8 เคสในวันเดียว?
การประกาศ 8 รายการในวันเดียวไม่ใช่บังเอิญ — เป็น "signal moment" ที่ PDPC ส่งสัญญาณ 3 อย่าง:
- 1. ยุค "เตือน" จบแล้ว — 6 ปีตั้งแต่ PDPA บังคับใช้ (1 มิ.ย. 2565) — ไม่มีข้ออ้างว่า "ไม่รู้กฎหมาย"
- 2. ปรับทั้งภาครัฐและเอกชน — เคส 1 เป็นหน่วยงานรัฐ — ไม่มี exemption
- 3. ปรับทั้ง Controller + Processor — vendor + outsource ไม่ใช่ที่หลบ
นอกจากนี้ cybersecurity trend ปี 2569 ก็ชี้ว่า ภัยคุกคามไซเบอร์ยังเพิ่มขึ้น — การ comply PDPA จึงไม่ใช่แค่ "หลบ ปรับ" แต่เป็นการป้องกันธุรกิจจาก data breach ที่กระทบลูกค้าจริง
สรุป
| ประเด็น | สิ่งที่ต้องทำ |
|---|---|
| ค่าปรับ administrative | สูงสุด 5 ล้านบาท/ครั้ง — ปรับซ้ำได้ + ปรับทั้ง controller + processor |
| โทษอาญา (ใหม่ เม.ย. 2568) | จำคุก 5 ปี + ปรับ 5 แสนบาท ถ้าทำเชิงพาณิชย์ |
| 4 ช่องว่างที่ต้องปิด | Security ไม่พอ, ไม่รายงาน breach, ไม่มี DPO, ไม่กำกับ processor |
| ภาคที่ PDPC จะตรวจหนัก | e-commerce, healthcare, telecom, public services |
| ระบบ ERP ที่ comply | 2FA, RBAC, audit log, encryption, breach detection ครบ |
"การปรับ 8 รายการในวันเดียวของ PDPC ไม่ใช่จุดสิ้นสุด — แต่เป็นจุดเริ่มต้นของ ยุค enforcement ของ PDPA ไทย ค่าปรับ 7 ล้านบาทสำหรับร้านคอมพิวเตอร์ที่ ไม่ได้ใหญ่กว่า SME ทั่วไป ส่งสัญญาณว่า — ไม่ว่าธุรกิจขนาดไหน ถ้าเก็บข้อมูลส่วนบุคคล ก็ต้องจริงจังกับมาตรการ security + รายงาน breach + DPO + DPA — ครบทั้ง 4 ข้อ ไม่ใช่เลือกข้อเดียว"
แหล่งอ้างอิง
- DLA Piper Privacy Matters — Thailand PDPA Crackdown 2025 (ก.ย. 2568)
- Tilleke & Gibbins — Eight Serious Fines Imposed
- Chambers Practice Guides 2026 — Thailand Data Protection & Privacy
- Hogan Lovells — Thailand Ramps Up Data Protection Enforcement
- PDPC — สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
ระบบ ERP ของคุณพร้อมรับการตรวจ PDPC แล้วหรือยัง?
Saeree ERP มีฟีเจอร์ครบสำหรับการ comply PDPA — 2FA, role-based access, audit log แก้ไขไม่ได้, encryption, breach detection — ปรึกษาฟรีว่าระบบของคุณตอนนี้มีช่องว่างอะไรบ้าง
ปรึกษาฟรีโทร 02-347-7730 | sale@grandlinux.com
