ทำไม Data Processor ถึงสำคัญ? ภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) ไม่ได้มีเพียง ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller – DC) เท่านั้นที่ถูกกำหนดหน้าที่ แต่ ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor – DP) ก็มีความรับผิดชอบโดยตรงตามกฎหมายเช่นกัน โดยเฉพาะเมื่อองค์กรต่าง ๆ มักจ้างภายนอกให้มาดูแลข้อมูล ไม่ว่าจะเป็น Cloud, Call Center หรือ Digital Agency บทบาทและหน้าที่ของ Data Processor กฎหมายกำหนดชัดใน มาตรา 40 ว่า DP ต้อง: ทำงานตามคำสั่งของ DC เท่านั้น จัดให้มีมาตรการรักษาความปลอดภัย (เช่น Encryption, Access Control) จัดทำ RoPA ของกิจกรรมที่ทำแทน…

หลายท่านอาจเคยถูกละเมิดข้อมูลส่วนบุคคลในหลากหลายรูปแบบโดยไม่รู้ตัว ไม่ว่าจะเป็นการที่บุคคลแปลกหน้าโทรศัพท์เข้ามาขายของ, การที่ข้อมูลส่วนบุคคลถูกเก็บรวบรวมโดยไม่ได้รับการแจ้งล่วงหน้า หรือการที่บริษัทที่เราเป็นสมาชิกทำข้อมูลส่วนบุคคลรั่วไหลไปยังมือของมิชฉาชีพไม่ว่าจะตั้งใจหรือไม่ตั้งใจก็ดี หลายท่านเสียใจ ในขณะที่หลายท่านเลือกที่จะนิ่งเฉย ด้วยความ “ไม่รู้” กฎหมายว่าจะต้องดำเนินการหรือรับมืออย่างไรดี พวกเราทุกคนในฐานะของ “เจ้าของข้อมูลส่วนบุคคล” ต้องทราบและควรตระหนักว่า กฎหมาย PDPA ได้มอบสิทธิ หรืออำนาจในการ “ร้องเรียน” ให้แก่ท่านหากข้อมูลส่วนบุคคลของท่านถูกละเมิด หรือถูกนำไปใช้ในทางมิชอบPDPA Thailand ขอแนะนำคู่มือ PDPA ฉบับ “ภาคประชนชน” เพื่อเป็นวิธีร้องเรียน PDPA อย่างถูกต้องตามกฎหมาย พร้อมทั้งขั้นตอนที่ประชาชนทั่วไปอยางเราๆ ท่านๆ สามารถนำไปปฏิบัติตามได้ทันที PDPA คืออะไร? ทำไมประชาชนถึงมีสิทธิร้องเรียน      PDPA (พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562) คือกฎหมายที่คุ้มครอข้อมูลส่วนบุคคลของประเทศไทย หากองค์กรห้างร้าน บริษัทใดเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลของท่านโดยมิชอบด้วยกฎหมาย ท่านสามารถใช้สิทธิร้องเรียนตาม PDPA ได้ แต่ไม่ได้หมายความว่าทุกกรณีจะเข้าข่ายตามกฎหมาย PDPA และสามารถร้องเรียนได้…

นี่เป็นครั้งแรกที่หน่วยงานรัฐโดนปรับตาม PDPA แม้เล็กน้อยมาก แค่ 153,120 บาท ต่อ 200,000 รายชื่อที่ถูกละเมิด อ่านบทความนี้ประกอบ https://pdpathailand.info/casegovfine2025 ซึ่งไม่ว่าปรับน้อย ปรับมาก ก็เงินภาษีเรา เป็นการโยกเงินจากกระเป๋าซ้ายมากระเป๋าขวา คำถามคือ 1. หน่วยงานรัฐ ซึ่งหมายถึงผู้บริหารหน่วยงานระดับปลัดกระทรวง อธิบดี เลขาธิการ หรือผู้อำนวยการ หรือผู้จัดการ แล้วแต่ชื่อเรียก ได้ตระหนักกับเรื่องนี้หรือไม่ ซึ่งทาง สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล PDPC Thailand ควรเสนอ คุณประเสริฐ จันทรรวงทอง รองนายกรัฐมนตรีไทย และรัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ให้นำเรื่องนี้เข้าที่ประชุมคณะรัฐมนตรี เพื่อให้รับทราบและกำชับให้หน่วยงานต่าง ๆ ดำเนินการเรื่องการคุ้มครองข้อมูลส่วนบุคคลให้ถูกต้องและครบถ้วน 2. จริงๆมีหน่วยงานรัฐมากมายที่มีเหตุละเมิดข้อมูลส่วนบุคคลตั้งแต่ปี 2565 เป็นต้นมา หน่วยงานเหล่านั้น การแก้ไขปัญหาของหน่วยงานรัฐเหล่านี้ เป็นอย่างไร ไปถึงไหนแล้ว และมีอีกหลายๆหน่วยงานที่ยังไม่ได้ดำเนินการเรื่องการคุ้มครองข้อมูลส่วนบุคคล หรือดำเนินการผิดๆ หรือไม่เข้าใจ และ…

จากกรณีที่คณะกรรมการผู้เชี่ยวชาญภายใต้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ได้มีคำสั่งทางปกครองลงโทษปรับ 8 หน่วยงาน ทั้งภาครัฐและเอกชน รวมเป็นเงิน 21.5 ล้านบาท เมื่อวันที่ 1 สิงหาคม พ.ศ. 2568 ที่ผ่านมา (อ่านรายละเอียดจากข่าว PDPA ปรับจริง รวม 21.5 ล้านบาท “ภาครัฐ – เอกชน” เหตุไม่ทำตาม PDPA เร่งผลักดันสังคมไทยสู่มาตรฐานสากล)  นับเป็นกรณีศึกษาที่สำคัญยิ่งสำหรับผู้บริหารองค์กรทุกองค์กรและเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ทุกท่าน เพื่อสร้างความตระหนักและยกระดับการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ให้รัดกุมยิ่งขึ้น โดยสามารถสรุปบทเรียนสำคัญได้ 11 ประการ ดังนี้ 1. โทษปรับเกิดขึ้นได้แม้ไม่มีผู้ร้องเรียน คณะกรรมการผู้เชี่ยวชาญมีอำนาจในการตรวจสอบและสั่งลงโทษปรับทางปกครองได้ หากตรวจพบการกระทำที่ไม่สอดคล้องตาม พ.ร.บ.ฯ แม้ว่าจะยังไม่มีเจ้าของข้อมูลส่วนบุคคลรายใดร้องเรียนเข้ามาก็ตาม 2. หน่วยงานรัฐไม่อยู่ในข้อยกเว้นของการบังคับใช้และการลงโทษทางปกครองตาม PDPA คำสั่งทางปกครองนี้ยืนยันว่าหน่วยงานภาครัฐมีหน้าที่ต้องปฏิบัติตามกฎหมายและสามารถถูกลงโทษปรับได้เช่นกันหากเกิดการละเมิดข้อมูลส่วนบุคคลในโครงการที่รับผิดชอบ ดังนั้น การประเมินความเสี่ยงและการจัดทำข้อตกลงการประมวลผลข้อมูลส่วนบุคคลกับคู่สัญญาหรือผู้รับจ้างจึงเป็นสิ่งที่มีความจำเป็นอย่างยิ่งยวด…

เมื่อข้อมูลส่วนบุคคลถูกละเมิด ไม่ว่าจะด้วยการแฮก การจัดเก็บผิดพลาด หรือการเปิดเผยโดยไม่ได้ตั้งใจ องค์กรจะต้องตอบสนองอย่างรวดเร็ว รอบคอบ และมีระบบ PDPA Thailand สรุปมาให้แล้วจากงานเสวนาออนไลน์ PDPA GURU ถอดบทเรียน การประเมินความเสี่ยง (Risk Assessment) หลังเกิด Data Breach องค์กรต้องเตรียมตัวอย่างไร? โดย PDPA Thailand และ DBC Group ซึ่งมีผู้เชี่ยวชาญ 4 ท่านมาร่วมถ่ายทอดความรู้และประสบการณ์  ในการเสวนาเกิดอะไรขึ้นบ้าง? มาติดตามกันครับ.. ความหมายของ “การละเมิดข้อมูล” ไม่ได้แปลว่า “ถูกแฮก” เท่านั้น การละเมิดข้อมูลส่วนบุคคล (Data Breach) ตามกฎหมาย PDPA ไม่ได้จำกัดแค่การโดนเจาะระบบหรือข้อมูลรั่วไหลเท่านั้น แต่รวมถึงการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาตด้วย เช่น: พนักงานที่ไม่เกี่ยวข้องเปิดดูข้อมูลเวชระเบียน ข้อมูลถูกเปลี่ยนแปลงโดยไม่ได้รับอนุญาต ระบบล่ม ทำให้ไม่สามารถใช้งานข้อมูลได้ ประเภทการละเมิดแบ่งออกเป็น 3…

แม้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) จะถูกออกโดยรัฐ แต่ก็ไม่ได้หมายความว่าหน่วยงานของรัฐจะอยู่เหนือกฎหมายดังกล่าว ตรงกันข้าม การลงโทษหน่วยงานภาครัฐล่าสุดโดยสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) คือสัญญาณเตือนที่ชัดเจนว่า “ไม่มีใครอยู่เหนือ PDPA” หน่วยงานรัฐก็ผิดได้: รายละเอียดกรณีศึกษา จากรายงานการแถลงข่าวของ สคส. พบว่า มีหน่วยงานของรัฐแห่งหนึ่งถูกปรับ 153,120 บาท เนื่องจากการให้บริการประชาชนผ่านระบบออนไลน์ที่ขาดมาตรการความมั่นคงปลอดภัยที่เหมาะสม ถูกโจมตีทางไซเบอร์ และข้อมูลส่วนบุคคลรั่วไหลสู่ภายนอก ความผิดที่ตรวจพบ ได้แก่: ใช้รหัสผ่านอ่อนแอ ไม่มีการประเมินความเสี่ยงอย่างสม่ำเสมอ ไม่ทำข้อตกลงประมวลผลข้อมูล (DPA: Data Processing Agreement) กับผู้พัฒนาระบบ ขาดกระบวนการแจ้งเหตุละเมิดต่อ สคส. แม้ค่าปรับจะดูไม่สูงเมื่อเทียบกับภาคเอกชน (ที่บางแห่งถูกปรับถึง 7 ล้านบาท) แต่ ประเด็นหลักไม่ใช่จำนวนเงิน  แต่คือความล้มเหลวของหน่วยงานรัฐในการปฏิบัติตามกฎหมายที่ตนเองมีส่วนในการบังคับใช้   วิเคราะห์เชิงระบบ: ทำไมรัฐจึงละเมิด PDPA ได้? ความเข้าใจผิดเกี่ยวกับข้อยกเว้นทางกฎหมาย หลายหน่วยงานภาครัฐเข้าใจผิดว่า PDPA…