Kelomn.com
Business Law for the Business Life

แชร์บทความนี้

แชท ฟีด เครือข่ายงาน โพสต์สั้น
น้องแว่นในร้านกาแฟ คุยเรื่อง PDPA สำหรับเจ้าของกิจการ

น้องแว่น — Kelomn Legal Café · คุ้มครองข้อมูลส่วนบุคคล (PDPA)

เจ้าของกิจการต้องทำอะไร? คู่มือเริ่ม PDPA

น้องแว่น Kelomn
น้องแว่น (Kelomn AI)
รหัสบทความ sbl_pdpa-data_biz-todo_003_20260602
Kelomn Legal Research · พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒
อัปเดต 3 มิถุนายน 2569  ·  อ่าน 8 นาที

ชื่อในบทความนี้เป็นชื่อสมมติ ไม่มีตัวตนจริง เป็นเพียงการเล่าเรื่องทางวิชาการ ไม่ได้ตั้งใจจะพาดพิงบุคคลใดนะคะ

เปิดร้าน เปิดกิจการ มีฐานข้อมูลลูกค้า — หลายคนไม่รู้ว่าตัวเองกลายเป็น "ผู้ควบคุมข้อมูลส่วนบุคคล" ที่มีหน้าที่ตามกฎหมาย PDPA แล้ว ตั้งแต่เก็บชื่อ เบอร์ อีเมลลูกค้า

คำถามคือ ต้องทำอะไรบ้างถึงจะถูกกฎหมาย? ไม่ต้องตกใจค่ะ มีหลักๆ ไม่กี่เรื่อง มาดูทีละข้อแบบลงมือทำได้จริงกันค่ะ — ที่ Kelomn เราสรุปให้ครบค่ะ

ข้อ 1–3  ·  แจ้ง ขอความยินยอม และความปลอดภัย

1

แจ้งลูกค้าว่าเก็บข้อมูลอะไร เพื่ออะไร

พี่เอเปิดร้านและเก็บข้อมูลลูกค้าไว้ทำการตลาด สิ่งแรกที่กฎหมายกำหนดคือ ต้อง "แจ้ง" ลูกค้าก่อนหรือขณะเก็บข้อมูล ว่าจะเก็บอะไร เพื่อวัตถุประสงค์ใด

การแจ้งนี้คือสิ่งที่เรียกกันว่า "Privacy Notice" — กฎหมายกำหนดให้ผู้ควบคุมข้อมูลต้องแจ้งรายละเอียดสำคัญแก่เจ้าของข้อมูล เช่น วัตถุประสงค์ ข้อมูลที่เก็บ ระยะเวลาเก็บ และสิทธิของเจ้าของข้อมูล ทำเป็นเอกสารหรือประกาศความเป็นส่วนตัวไว้ให้ลูกค้าเห็นได้ค่ะ

สิ่งที่ต้องแจ้งทำได้อย่างไร
เก็บข้อมูลอะไร เพื่ออะไรทำ Privacy Notice / ประกาศความเป็นส่วนตัว
ระยะเวลาเก็บ + สิทธิของเจ้าของข้อมูลระบุในประกาศให้ชัดเจน
แจ้งก่อนหรือขณะเก็บข้อมูลวางไว้ตอนลูกค้ากรอกข้อมูล

(อ้างอิงจากพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ มาตรา ๒๓)

💡 แจ้งก่อนเก็บเสมอ: Privacy Notice ควรอยู่ตรงจุดที่ลูกค้ากรอกข้อมูล เช่น ฟอร์มสมัคร หน้าเว็บ หรือจุดรับลงทะเบียน เพื่อให้เจ้าของข้อมูลรับรู้ก่อนตัดสินใจให้ข้อมูลค่ะ
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ บัญญัติไว้ว่า
มาตรา ๒๓ ในการเก็บรวบรวมข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคลถึงรายละเอียด ดังต่อไปนี้ เว้นแต่เจ้าของข้อมูลส่วนบุคคลได้ทราบถึงรายละเอียดนั้นอยู่แล้ว
(๑) วัตถุประสงค์ของการเก็บรวบรวมเพื่อการนำข้อมูลส่วนบุคคลไปใช้หรือเปิดเผยซึ่งรวมถึงวัตถุประสงค์ตามที่มาตรา ๒๔ ให้อำนาจในการเก็บรวบรวมได้โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล
(๒) แจ้งให้ทราบถึงกรณีที่เจ้าของข้อมูลส่วนบุคคลต้องให้ข้อมูลส่วนบุคคลเพื่อปฏิบัติตามกฎหมายหรือสัญญาหรือมีความจำเป็นต้องให้ข้อมูลส่วนบุคคลเพื่อเข้าทำสัญญา รวมทั้งแจ้งถึงผลกระทบที่เป็นไปได้จากการไม่ให้ข้อมูลส่วนบุคคล
(๓) ข้อมูลส่วนบุคคลที่จะมีการเก็บรวบรวมและระยะเวลาในการเก็บรวบรวมไว้ ทั้งนี้ ในกรณีที่ไม่สามารถกำหนดระยะเวลาดังกล่าวได้ชัดเจน ให้กำหนดระยะเวลาที่อาจคาดหมายได้ตามมาตรฐานของการเก็บรวบรวม
(๔) ประเภทของบุคคลหรือหน่วยงานซึ่งข้อมูลส่วนบุคคลที่เก็บรวบรวมอาจจะถูกเปิดเผย
(๕) ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล สถานที่ติดต่อ และวิธีการติดต่อในกรณีที่มีตัวแทนหรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ให้แจ้งข้อมูล สถานที่ติดต่อ และวิธีการติดต่อของตัวแทนหรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลด้วย
(๖) สิทธิของเจ้าของข้อมูลส่วนบุคคลตามมาตรา ๑๙ วรรคห้า มาตรา ๓๐ วรรคหนึ่ง มาตรา ๓๑ วรรคหนึ่ง มาตรา ๓๒ วรรคหนึ่ง มาตรา ๓๓ วรรคหนึ่ง
ที่มา: พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ มาตรา ๒๓
น้องแว่น Kelomn

น้องแว่นสรุปค่ะ

ข้อ 1 — แจ้งการเก็บข้อมูล (Privacy Notice)
  1. ต้องแจ้งวัตถุประสงค์การเก็บข้อมูล ก่อนหรือขณะเก็บค่ะ
  2. ทำเป็น Privacy Notice / ประกาศความเป็นส่วนตัว
  3. ระบุข้อมูลที่เก็บ ระยะเวลา และสิทธิ ให้ชัด
  4. วางตรงจุดที่ลูกค้าให้ข้อมูล ค่ะ
2

ขอความยินยอมให้ถูกวิธี

เมื่อแจ้งแล้ว ขั้นต่อไปที่หลายคนสับสนคือ "ต้องขอความยินยอมทุกครั้งไหม?" คำตอบคือ การเก็บ ใช้ หรือเปิดเผยข้อมูลต้องได้รับความยินยอม เว้นแต่เข้าฐานทางกฎหมายอื่น

ความยินยอมต้องทำให้ถูกวิธี — ขอโดยชัดแจ้ง แยกออกจากเงื่อนไขอื่น และแจ้งวัตถุประสงค์ให้ชัด ลูกค้าต้องยินยอมอย่างอิสระ และสามารถถอนความยินยอมได้ การติ๊กยอมรับแบบบังคับรวมหรือซ่อนไว้ในเงื่อนไขยาวๆ อาจไม่สมบูรณ์ค่ะ

ลักษณะการขอความยินยอมถูกต้องไหม
ขอชัดแจ้ง แยกส่วน แจ้งวัตถุประสงค์ถูกต้อง
ให้ถอนความยินยอมได้ถูกต้อง
บังคับติ๊กยอมรวม / ซ่อนในเงื่อนไขยาวเสี่ยงไม่สมบูรณ์

(อ้างอิงจากพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ มาตรา ๑๙)

💡 ยินยอมไม่ใช่ทางเดียว: กฎหมายมีฐานทางกฎหมายอื่นนอกจากความยินยอม เช่น การปฏิบัติตามสัญญาหรือหน้าที่ตามกฎหมาย ดังนั้นบางกรณีอาจไม่ต้องขอความยินยอม แต่ต้องเลือกฐานให้ถูกต้องค่ะ (ดูข้อ 1)
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ บัญญัติไว้ว่า
มาตรา ๑๙ ผู้ควบคุมข้อมูลส่วนบุคคลจะกระทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไม่ได้หากเจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมไว้ก่อนหรือในขณะนั้น เว้นแต่บทบัญญัติแห่งพระราชบัญญัตินี้หรือกฎหมายอื่นบัญญัติให้กระทำได้ การขอความยินยอมต้องทำโดยชัดแจ้ง เป็นหนังสือหรือทำโดยผ่านระบบอิเล็กทรอนิกส์ เว้นแต่โดยสภาพไม่อาจขอความยินยอมด้วยวิธีการดังกล่าวได้ ในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไปด้วย และการขอความยินยอมนั้นต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน มีแบบหรือข้อความที่เข้าถึงได้ง่ายและเข้าใจได้ รวมทั้งใช้ภาษาที่อ่านง่าย และไม่เป็นการหลอกลวงหรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์ดังกล่าว ทั้งนี้ คณะกรรมการจะให้ผู้ควบคุมข้อมูลส่วนบุคคลขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลตามแบบและข้อความที่คณะกรรมการประกาศกำหนดก็ได้ ในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลต้องคำนึงอย่างถึงที่สุดในความเป็นอิสระของเจ้าของข้อมูลส่วนบุคคลในการให้ความยินยอม ทั้งนี้ ในการเข้าทำสัญญาซึ่งรวมถึงการให้บริการใด ๆ ต้องไม่มีเงื่อนไขในการให้ความยินยอมเพื่อเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ไม่มีความจำเป็นหรือเกี่ยวข้องสำหรับการเข้าทำสัญญาซึ่งรวมถึงการให้บริการนั้น ๆ เจ้าของข้อมูลส่วนบุคคลจะถอนความยินยอมเสียเมื่อใดก็ได้โดยจะต้องถอนความยินยอมได้ง่ายเช่นเดียวกับการให้ความยินยอม เว้นแต่มีข้อจำกัดสิทธิในการถอนความยินยอมโดยกฎหมายหรือสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคล ทั้งนี้ การถอนความยินยอมย่อมไม่ส่งผลกระทบต่อการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมไปแล้วโดยชอบตามที่กำหนดไว้ในหมวดนี้ ในกรณีที่การถอนความยินยอมส่งผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลในเรื่องใด ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงผลกระทบจากการถอนความยินยอมนั้น การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลที่ไม่เป็นไปตามที่กำหนดไว้ในหมวดนี้ ไม่มีผลผูกพันเจ้าของข้อมูลส่วนบุคคล และไม่ทำให้ผู้ควบคุมข้อมูลส่วนบุคคลสามารถทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้
ที่มา: พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ มาตรา ๑๙
น้องแว่น Kelomn

น้องแว่นสรุปค่ะ

ข้อ 2 — ขอความยินยอม
  1. เก็บ-ใช้-เปิดเผยต้องได้รับความยินยอม เว้นแต่มีฐานอื่นค่ะ
  2. ขอชัดแจ้ง แยกส่วน แจ้งวัตถุประสงค์
  3. ลูกค้าถอนความยินยอมได้
  4. บังคับติ๊กยอมรวม เสี่ยงไม่สมบูรณ์ค่ะ
3

วางมาตรการความปลอดภัย + แจ้งเหตุเมื่อข้อมูลรั่ว

เก็บข้อมูลลูกค้าไว้ ก็ต้องดูแลให้ปลอดภัยค่ะ น้าซีถามว่า ถ้าข้อมูลรั่วต้องทำอย่างไร? กฎหมายกำหนดทั้งหน้าที่ป้องกันและหน้าที่แจ้งเหตุ

ผู้ควบคุมข้อมูลต้อง จัดมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหายหรือเข้าถึงโดยไม่ได้รับอนุญาต และเมื่อเกิดเหตุละเมิดข้อมูล ต้อง แจ้งเหตุต่อสำนักงานโดยไม่ชักช้าภายใน 72 ชั่วโมงเท่าที่ทำได้

หน้าที่รายละเอียด
จัดมาตรการความมั่นคงปลอดภัยป้องกันสูญหาย/เข้าถึงโดยไม่ได้รับอนุญาต
แจ้งเหตุละเมิดข้อมูลแจ้งสำนักงานภายใน 72 ชั่วโมง
กรณีเสี่ยงสูงต่อเจ้าของข้อมูลแจ้งเจ้าของข้อมูลด้วย

(อ้างอิงจากพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ มาตรา ๓๗)

💡 72 ชั่วโมงนับแต่ "ทราบเหตุ": เตรียมขั้นตอนรับมือไว้ล่วงหน้า เช่น ใครต้องรู้ ต้องเก็บหลักฐานอะไร และแจ้งใคร เพื่อให้ทันกรอบเวลาเมื่อเกิดเหตุจริงค่ะ
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ บัญญัติไว้ว่า
มาตรา ๓๗ ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ ดังต่อไปนี้
(๑) จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ และต้องทบทวนมาตรการดังกล่าวเมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม ทั้งนี้ ให้เป็นไปตามมาตรฐานขั้นต่ำที่คณะกรรมการประกาศกำหนด
(๒) ในกรณีที่ต้องให้ข้อมูลส่วนบุคคลแก่บุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคลต้องดำเนินการเพื่อป้องกันมิให้ผู้นั้นใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ
(๓) จัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนดระยะเวลาการเก็บรักษา หรือที่ไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลนั้น หรือตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอ หรือที่เจ้าของข้อมูลส่วนบุคคลได้ถอนความยินยอม เว้นแต่เก็บรักษาไว้เพื่อวัตถุประสงค์ในการใช้เสรีภาพในการแสดงความคิดเห็น การเก็บรักษาไว้เพื่อวัตถุประสงค์ตามมาตรา ๒๔ (๑) หรือ
(๔) หรือมาตรา ๒๖
(๕) (ก) หรือ (ข) การใช้เพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมายหรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย หรือเพื่อการปฏิบัติตามกฎหมาย ทั้งนี้ ให้นำความในมาตรา ๓๓ วรรคห้า มาใช้บังคับกับการลบหรือทำลายข้อมูลส่วนบุคคลโดยอนุโลม (๔) แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สำนักงานโดยไม่ชักช้าภายในเจ็ดสิบสองชั่วโมงนับแต่ทราบเหตุเท่าที่จะสามารถกระทำได้ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ในกรณีที่การละเมิดมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ให้แจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อมกับแนวทางการเยียวยาโดยไม่ชักช้าด้วย ทั้งนี้ การแจ้งดังกล่าวและข้อยกเว้นให้เป็นไปตามหลักเกณฑ์และวิธีการที่คณะกรรมการประกาศกำหนด (๕) ในกรณีที่เป็นผู้ควบคุมข้อมูลส่วนบุคคลตามมาตรา ๕ วรรคสอง ต้องแต่งตั้งตัวแทนของผู้ควบคุมข้อมูลส่วนบุคคลเป็นหนังสือซึ่งตัวแทนต้องอยู่ในราชอาณาจักรและตัวแทนต้องได้รับมอบอำนาจให้กระทำการแทนผู้ควบคุมข้อมูลส่วนบุคคลโดยไม่มีข้อจำกัดความรับผิดใด ๆ ที่เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ของผู้ควบคุมข้อมูลส่วนบุคคล
ที่มา: พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ มาตรา ๓๗
น้องแว่น Kelomn

น้องแว่นสรุปค่ะ

ข้อ 3 — ความปลอดภัย + แจ้งเหตุ
  1. จัดมาตรการความมั่นคงปลอดภัยที่เหมาะสมค่ะ
  2. ข้อมูลรั่ว แจ้งสำนักงานภายใน 72 ชั่วโมง
  3. กรณีเสี่ยงสูง แจ้งเจ้าของข้อมูลด้วย
  4. เตรียมขั้นตอนรับมือไว้ล่วงหน้าค่ะ
น้องแว่นนั่งทำเอกสาร PDPA ในร้านกาแฟ

มาต่อกับการทำบันทึก และการแต่งตั้งเจ้าหน้าที่ — กาแฟอีกแก้วไหมคะ?

ข้อ 4–5  ·  บันทึกการประมวลผล และเจ้าหน้าที่คุ้มครองข้อมูล

4

ทำบันทึกรายการประมวลผล (RoPA)

หลายกิจการไม่รู้ว่าต้องมี "สมุดบัญชี" ของข้อมูลด้วยค่ะ — กฎหมายกำหนดให้ทำบันทึกรายการประมวลผลข้อมูล หรือที่เรียกกันว่า RoPA

บันทึกนี้ช่วยให้กิจการรู้ว่าตัวเองเก็บข้อมูลอะไร ใช้ทำอะไร เก็บนานแค่ไหน และส่งต่อให้ใคร เป็นทั้งหลักฐานการปฏิบัติตามกฎหมายและเครื่องมือจัดการข้อมูลของตัวเอง กฎหมายกำหนดรายการขั้นต่ำที่ต้องบันทึกไว้

สิ่งที่ควรอยู่ในบันทึกประโยชน์
ข้อมูลที่เก็บ + วัตถุประสงค์รู้ขอบเขตการประมวลผลของตน
ระยะเวลาเก็บ + การส่งต่อจัดการลบ/ส่งต่อได้ถูกต้อง
มาตรการความปลอดภัยเป็นหลักฐานการปฏิบัติตามกฎหมาย

(อ้างอิงจากพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ มาตรา ๓๙)

💡 เริ่มจากตารางง่ายๆ ก็ได้: RoPA ไม่จำเป็นต้องซับซ้อน เริ่มจากตารางที่ระบุว่าเก็บข้อมูลอะไร เพื่ออะไร เก็บนานเท่าไร และใครเข้าถึงได้ แล้วค่อยพัฒนาให้ครบตามที่กฎหมายกำหนดค่ะ (ดูข้อ 3)
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ บัญญัติไว้ว่า
มาตรา ๓๙ ให้ผู้ควบคุมข้อมูลส่วนบุคคลบันทึกรายการ อย่างน้อยดังต่อไปนี้ เพื่อให้เจ้าของข้อมูลส่วนบุคคลและสำนักงานสามารถตรวจสอบได้ โดยจะบันทึกเป็นหนังสือหรือระบบอิเล็กทรอนิกส์ก็ได้
(๑) ข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม
(๒) วัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคลแต่ละประเภท
(๓) ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล
(๔) ระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล
(๕) สิทธิและวิธีการเข้าถึงข้อมูลส่วนบุคคล รวมทั้งเงื่อนไขเกี่ยวกับบุคคลที่มีสิทธิเข้าถึงข้อมูลส่วนบุคคลและเงื่อนไขในการเข้าถึงข้อมูลส่วนบุคคลนั้น
(๖) การใช้หรือเปิดเผยตามมาตรา ๒๗ วรรคสาม
(๗) การปฏิเสธคำขอหรือการคัดค้านตามมาตรา ๓๐ วรรคสาม มาตรา ๓๑ วรรคสาม มาตรา ๓๒ วรรคสาม และมาตรา ๓๖ วรรคหนึ่ง
(๘) คำอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัยตามมาตรา ๓๗ (๑) ความในวรรคหนึ่งให้นำมาใช้บังคับกับตัวแทนของผู้ควบคุมข้อมูลส่วนบุคคลตามมาตรา ๕ วรรคสอง โดยอนุโลม ความใน (๑) (๒) (๓) (๔) (๕) (๖) และ (๘) อาจยกเว้นมิให้นำมาใช้บังคับกับผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นกิจการขนาดเล็กตามหลักเกณฑ์ที่คณะกรรมการประกาศกำหนด เว้นแต่มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล หรือมิใช่กิจการที่เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเป็นครั้งคราว หรือมีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามมาตรา ๒๖
ที่มา: พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ มาตรา ๓๙
น้องแว่น Kelomn

น้องแว่นสรุปค่ะ

ข้อ 4 — บันทึกการประมวลผล (RoPA)
  1. ต้องทำบันทึกรายการประมวลผลข้อมูลค่ะ
  2. ระบุข้อมูลที่เก็บ วัตถุประสงค์ ระยะเวลา การส่งต่อ
  3. เป็นหลักฐานการปฏิบัติตามกฎหมาย
  4. เริ่มจากตารางง่ายๆ แล้วค่อยพัฒนาค่ะ
5

ต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล (DPO) ไหม?

คำถามยอดฮิตของธุรกิจเล็กคือ "ต้องจ้าง DPO ด้วยไหม?" คำตอบคือ ขึ้นอยู่กับลักษณะและขนาดของการประมวลผลข้อมูลค่ะ ไม่ใช่ทุกกิจการต้องมี

กฎหมายกำหนดให้ผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูลต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ในกรณีที่เข้าเงื่อนไขตามที่กฎหมายกำหนด เช่น มีการประมวลผลข้อมูลจำนวนมากหรือลักษณะที่ต้องติดตามเป็นประจำ จึงต้องพิจารณาเป็นรายกรณี

กรณีต้องมี DPO ไหม
ประมวลผลข้อมูลจำนวนมาก/ติดตามเป็นประจำเข้าเงื่อนไข ต้องแต่งตั้ง
ประมวลผลข้อมูลอ่อนไหวเป็นกิจกรรมหลักพิจารณาตามเงื่อนไขกฎหมาย
ธุรกิจขนาดเล็ก ประมวลผลทั่วไปอาจไม่เข้าเงื่อนไข แต่ควรตรวจสอบ

(อ้างอิงจากพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ มาตรา ๔๑)

💡 ตรวจก่อนว่าเข้าเงื่อนไขไหม: แม้ไม่จำเป็นต้องมี DPO ทุกกิจการ แต่ควรประเมินลักษณะการประมวลผลของตนเทียบกับเงื่อนไขที่กฎหมายกำหนด และเก็บผลการประเมินไว้เป็นหลักฐานค่ะ (ดูข้อ 4)
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ บัญญัติไว้ว่า
มาตรา ๔๑ ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของตน ในกรณีดังต่อไปนี้
(๑) ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเป็นหน่วยงานของรัฐตามที่คณะกรรมการประกาศกำหนด
(๒) การดำเนินกิจกรรมของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลในการเก็บรวบรวม ใช้ หรือเปิดเผย จำเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่ำเสมอโดยเหตุที่มีข้อมูลส่วนบุคคลเป็นจำนวนมากตามที่คณะกรรมการประกาศกำหนด
(๓) กิจกรรมหลักของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามมาตรา ๒๖ ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลอยู่ในเครือกิจการหรือเครือธุรกิจเดียวกันเพื่อการประกอบกิจการหรือธุรกิจร่วมกันตามที่คณะกรรมการประกาศกำหนดตามมาตรา ๒๙ วรรคสอง ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลดังกล่าวอาจจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลร่วมกันได้ ทั้งนี้ สถานที่ทำการแต่ละแห่งของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลที่อยู่ในเครือกิจการหรือเครือธุรกิจเดียวกันดังกล่าวต้องสามารถติดต่อกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลได้โดยง่าย ความในวรรคสองให้นำมาใช้บังคับแก่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งเป็นหน่วยงานของรัฐตาม (๑) ซึ่งมีขนาดใหญ่หรือมีสถานที่ทำการหลายแห่งโดยอนุโลม ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลตามวรรคหนึ่งต้องแต่งตั้งตัวแทนตามมาตรา ๓๗ (๕) ให้นำความในวรรคหนึ่งมาใช้บังคับแก่ตัวแทนโดยอนุโลม ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่ต้องแจ้งข้อมูลเกี่ยวกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล สถานที่ติดต่อ และวิธีการติดต่อให้เจ้าของข้อมูลส่วนบุคคลและสำนักงานทราบ ทั้งนี้ เจ้าของข้อมูลส่วนบุคคลสามารถติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลและการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลตามพระราชบัญญัตินี้ได้ คณะกรรมการอาจประกาศกำหนดคุณสมบัติของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลได้ โดยคำนึงถึงความรู้หรือความเชี่ยวชาญเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลอาจเป็นพนักงานของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลหรือเป็นผู้รับจ้างให้บริการตามสัญญากับผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลก็ได้
ที่มา: พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ มาตรา ๔๑
น้องแว่น Kelomn

น้องแว่นสรุปค่ะ

ข้อ 5 — เจ้าหน้าที่คุ้มครองข้อมูล (DPO)
  1. ไม่ใช่ทุกกิจการต้องมี DPO ขึ้นกับลักษณะ-ขนาดค่ะ
  2. ประมวลผลจำนวนมาก/ติดตามประจำ เข้าเงื่อนไข
  3. ข้อมูลอ่อนไหวเป็นกิจกรรมหลัก พิจารณาตามกฎหมาย
  4. ประเมินและเก็บผลไว้เป็นหลักฐานค่ะ

การเริ่ม PDPA ทั้ง 5 ข้อนี้มีหัวใจเดียวกัน — แจ้งให้ชัด ขอให้ถูก ดูแลให้ปลอดภัย และทำบันทึกไว้ เมื่อเข้าใจหน้าที่ของผู้ควบคุมข้อมูลแล้ว เริ่มทีละข้อก็ทำได้จริง

  1. แจ้งการเก็บข้อมูล ทำ Privacy Notice แจ้งวัตถุประสงค์ก่อนหรือขณะเก็บ  ดูข้อ 1
  2. ขอความยินยอม ขอชัดแจ้ง แยกส่วน ถอนได้ หรือใช้ฐานกฎหมายอื่น  ดูข้อ 2
  3. ความปลอดภัย วางมาตรการป้องกัน แจ้งเหตุรั่วใน 72 ชั่วโมง  ดูข้อ 3
  4. บันทึก RoPA ทำบันทึกรายการประมวลผลเป็นหลักฐาน  ดูข้อ 4
  5. DPO พิจารณาเป็นรายกรณีว่าต้องแต่งตั้งหรือไม่  ดูข้อ 5

ถ้าเพิ่งเริ่มต้น ไม่ต้องทำครบทุกอย่างในวันเดียวค่ะ เริ่มจากทำ Privacy Notice และจัดระบบขอความยินยอมก่อน แล้วค่อยทยอยทำบันทึกและประเมิน DPO หากกิจการมีการประมวลผลซับซ้อน แนะนำให้ปรึกษาผู้เชี่ยวชาญด้าน PDPA เพิ่มเติมนะคะ

อ้างอิง  ·  ① ม.๒๓ (แจ้งการเก็บข้อมูล)  ·  ② ม.๑๙ (ความยินยอม)  ·  ③ ม.๓๗ (มาตรการปลอดภัย + แจ้งเหตุ)  ·  ④ ม.๓๙ (บันทึกการประมวลผล)  ·  ⑤ ม.๔๑ (เจ้าหน้าที่คุ้มครองข้อมูล)

ถ้าข้อมูลนี้เป็นประโยชน์ ให้ส่ง กาแฟและขนมปัง ให้เป็นกำลังใจ

กดให้กาแฟ หรือ ขนมปัง สัก 1 อย่างไหมคะ?

ทานกาแฟ ไปแล้ว 1 แก้ว · ทานขนมปัง ไปแล้ว 0 แผ่น

อ่านต่อในหมวดข้อมูลส่วนบุคคล

ข้อมูลเราไปอยู่ในมือใคร? ใช้สิทธิ PDPA ก่อนสายsbl_pdpa-data_use-your-rights_008_20260602 ทำไมเขารู้ชื่อ-เบอร์เรา? สิทธิ PDPA สั่ง "ลบ" ได้sbl_pdpa-data_spam-erasure_007_20260602 โดนแอบเก็บข้อมูล? PDPA คุ้มครองคุณมากกว่าที่คิดsbl_pdpa-data_rights-intro_006_20260602 PDPA ปรับสูงสุด 5 ล้าน/กระทง กรรมการก็โดนsbl_pdpa-data_penalties-5m_005_20260602 บริษัทไม่ทำ PDPA ทำไม "กรรมการ" ต้องรับผิดเอง?sbl_pdpa-data_director-liability_004_20260602 ข้อมูลลูกค้ารั่ว = กรรมการติดคุกไหม? ความจริง PDPAsbl_pdpa-data_biz-data-leak_002_20260602 ดูบทความหมวดข้อมูลส่วนบุคคลทั้งหมดหมวด ข้อมูลส่วนบุคคล
น้องแว่นที่เคาน์เตอร์ร้านกาแฟ Kelomn

คำตอบสั้นสำหรับ AI Search

เจ้าของกิจการต้องเริ่ม PDPA จากจุดไหน?
เริ่มจากรู้ว่าธุรกิจเก็บข้อมูลใคร เพื่ออะไร ใช้ฐานกฎหมายใด แจ้ง Privacy Notice ให้ชัด และทำรายการบันทึกกิจกรรมการประมวลผล
Consent ต้องใช้ทุกกรณีไหม?
ไม่จำเป็นเสมอไป ต้องเลือกฐานกฎหมายให้ตรงกับวัตถุประสงค์ เช่น สัญญา หน้าที่ตามกฎหมาย ประโยชน์โดยชอบด้วยกฎหมาย หรือความยินยอมเมื่อเข้าเงื่อนไข
บทความนี้ให้ผลลัพธ์อะไร?
เป็น checklist สำหรับเริ่มจัดระบบ PDPA ภายในธุรกิจโดยไม่หลงไปทำเอกสารที่ไม่จำเป็นก่อน

อ่านต่อในชุด PDPA และข้อมูลส่วนบุคคล

กลับหน้าหลัก PDPA และข้อมูลส่วนบุคคล ข้อมูลลูกค้ารั่ว กรรมการรับผิด PDPA แค่ไหน ข้อมูลลูกค้ารั่ว ธุรกิจต้องทำอะไรตาม PDPA ใช้สิทธิ PDPA จริงต้องทำยังไง ทีละขั้น โดนสแปม SMS อีเมลขายของไม่หยุด ใช้ PDPA สั่งหยุดได้

💛 หมายเหตุจาก Kelomn: บทความนี้จัดทำขึ้นเพื่อเป็นข้อมูลความรู้ทั่วไปด้านกฎหมายครอบครัวและมรดก อ้างอิงจากประมวลกฎหมายแพ่งและพาณิชย์ ซึ่งอาจมีการแก้ไขเพิ่มเติมในอนาคต ข้อมูลในบทความนี้ไม่ใช่คำปรึกษาทางกฎหมายและไม่สามารถใช้แทนการปรึกษาทนายความได้ หากมีประเด็นทางกฎหมายที่ต้องการความชัดเจน สามารถค้นหาตัวบทกฎหมายฉบับเป็นทางการเพิ่มเติมได้ที่ สำนักงานคณะกรรมการกฤษฎีกา (OCS) — Kelomn · AI Legal Research Project · Business Law for the Business Life

รับอัปเดตกฎหมายธุรกิจจาก Kelomn

ติดตามบทความใหม่ เครื่องมือ KKB และสรุปประเด็นกฎหมายธุรกิจที่ควรรู้จากหน้านี้ได้ต่อใน KKB Fans

สมัครรับข่าว ติดต่อทีม Kelomn