เช็กลิสต์ทำตาม PDPA สำหรับธุรกิจไทย (ปี 2026)

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) ของไทยบังคับใช้มาตั้งแต่ปี 2565 และปัจจุบันมีการบังคับใช้อย่างจริงจัง การไม่ปฏิบัติตามอาจนำไปสู่โทษปรับทางปกครอง รวมถึงความรับผิดทางแพ่งและอาญาในบางกรณี แต่ธุรกิจไทยจำนวนมากยังมอง PDPA เป็นเอกสารกฎหมายครั้งเดียวจบ ไม่ใช่วินัยทางเทคนิคที่ต้องทำต่อเนื่อง เช็กลิสต์นี้จึงเน้นด้าน IT ซึ่งเป็นสิ่งที่ผู้ตรวจสอบและหน่วยงานกำกับดูจริง

รู้ว่ามีข้อมูลส่วนบุคคลอะไรบ้าง

คุณปกป้องข้อมูลที่ยังไม่เคยทำแผนที่ไม่ได้ เริ่มจากการทำ Data Inventory ว่าเก็บข้อมูลส่วนบุคคลอะไร เก็บไว้ที่ไหน (เซิร์ฟเวอร์ เครื่องมือ SaaS ไฟล์ Excel ข้อมูลสำรอง) ใครเข้าถึงได้ และเก็บนานแค่ไหน ขั้นตอนเดียวนี้มักเผยให้เห็นฐานข้อมูลที่ลืมไปและสิทธิ์เข้าถึงที่กว้างเกินไป ซึ่งเป็นความเสี่ยงส่วนใหญ่

ฐานทางกฎหมายและความยินยอม

ทุกกิจกรรมการประมวลผลต้องมีฐานทางกฎหมาย หากอาศัยความยินยอม ต้องเป็นความยินยอมที่ให้โดยอิสระ เฉพาะเจาะจง และมีการบันทึกไว้ การติ๊กช่องไว้ล่วงหน้าไม่ถือเป็นความยินยอมตาม PDPA ควรออกแบบการเก็บและการถอนความยินยอมไว้ในฟอร์มและ CRM เพื่อพิสูจน์ได้ภายหลัง

มาตรการเชิงเทคนิคและองค์กร

PDPA กำหนดให้มี “มาตรการรักษาความปลอดภัยที่เหมาะสม” ในทางปฏิบัติหมายถึงการควบคุมการเข้าถึงและให้สิทธิ์เท่าที่จำเป็น การเข้ารหัสข้อมูลทั้งระหว่างส่งและขณะจัดเก็บ การทำ Logging และ Monitoring การสำรองข้อมูลที่ทดสอบแล้ว และแผนรับมือเหตุการณ์ที่เป็นลายลักษณ์อักษร การจับคู่ PDPA กับกรอบแบบ ISO 27001 ช่วยให้มาตรการเหล่านี้ตรวจสอบได้และทำซ้ำได้

ด้วยความคาดหวังเรื่องการแจ้งเหตุภายใน 72 ชั่วโมง คุณจำเป็นต้องมีระบบตรวจจับและคู่มือรับมือ "ก่อน" เกิดเหตุ ไม่ใช่หลังเกิด หากตอนนี้ยังบอกไม่ได้ว่ามีการเข้าถึงข้อมูลโดยมิชอบหรือไม่ นั่นคือช่องว่างแรกที่ต้องปิด

จุดที่บริษัทส่วนใหญ่มักพลาด

ความผิดพลาดที่พบบ่อยไม่ได้ซับซ้อน เช่น การใช้บัญชีผู้ดูแลร่วมกัน ไม่มี Audit Log ข้อมูลสำรองไม่ได้เข้ารหัส ผู้ให้บริการภายนอกมีสิทธิ์เข้าถึงที่ไม่ได้จัดการ และไม่มีวิธีตอบสนองคำขอของเจ้าของข้อมูลภายในกรอบเวลาตามกฎหมาย ทั้งหมดนี้แก้ได้ด้วยการควบคุมด้าน IT มาตรฐาน