ทำความรู้จักกฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA) ฉบับเข้าใจง่าย

Student blog — 24/09/2025

#คณะนิติศาสตร์ มหาวิทยาลัยหอการค้าไทย #PDPA #คุ้มครองข้อมูลส่วนบุคคล #กฎหมาย AI #เรียนกฎหมาย AI ที่ไหนดี #กฎหมายยุคดิจิทัล #AI กับความรับผิดทางกฎหมาย #นิติศาสตร์ยุคใหม่ #นักกฎหมายเทคโนโลยี #เรียนกฎหมายธุรกิจดิจิทัล

ในยุคดิจิทัลที่ข้อมูลส่วนบุคคลกลายเป็นทรัพย์สินล้ำค่า การรักษาความเป็นส่วนตัวจึงเป็นเรื่องสำคัญ กฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือ PDPA (Personal Data Protection Act) จึงถูกตราขึ้นเพื่อปกป้องสิทธิของประชาชนในเรื่องข้อมูลส่วนบุคคล ไม่เพียงเพื่อคุ้มครองความเป็นส่วนตัวของปัจเจกบุคคล แต่ยังยกระดับการบริหารจัดการข้อมูลในประเทศให้เป็นไปตามมาตรฐานสากลอีกด้วย

บทความนี้จะพาคุณเข้าใจสาระสำคัญของ PDPA อย่างง่ายๆ ใน 7 หัวข้อ พร้อมตารางสรุปให้เข้าใจทันที

1. PDPA คืออะไร และทำไมต้องมีกฎหมายนี้?

PDPA คือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (บังคับใช้เมื่อวันที่ 1 มิถุนายน 2565) เป็นกฎหมายที่ออกมาเพื่อคุ้มครองข้อมูลส่วนบุคคลของประชาชน และกำกับดูแลการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ให้เป็นไปตามหลักเกณฑ์การคุ้มครองข้อมูลส่วนบุคคล ไม่ว่าจะในภาคธุรกิจหรือภาครัฐ โดยมีหลักการพื้นฐานคือให้ความสำคัญกับสิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject) เพื่อป้องกันการละเมิดข้อมูลส่วนบุคคลและสร้างความเชื่อมั่นแก่ประชาชนในโลกยุคดิจิทัล
การบังคับใช้กฎหมาย PDPA ทำให้ทุกองค์กรที่มีการประมวลผลข้อมูลส่วนบุคคลจำเป็นต้องปฏิบัติตามกรอบกฎหมายอย่างเคร่งครัด ไม่ว่าจะเป็นการแจ้งวัตถุประสงค์การประมวลผลข้อมูลส่วนบุคคล (Privacy Notice) การดำเนินการให้เกิดความชอบธรรมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (lawful basis of processing) การจัดให้มีมาตรการรักษาความมั่นคงปลอดภัย (Security) และการตอบสนองต่อคำร้องของเจ้าของข้อมูลส่วนบุคคลส่วนบุคคล เป็นต้น

📌 วัตถุประสงค์สำคัญของ PDPA

วัตถุประสงค์	รายละเอียด
1. สร้างความเชื่อมั่น (Building Trust)	ให้เจ้าของข้อมูลส่วนบุคคลมั่นใจว่าข้อมูลของตนจะไม่ถูกละเมิด
2. ยกระดับธรรมาภิบาล (Better Data Governance)	หน่วยงานต้องมีมาตรการบริหารข้อมูลอย่างเป็นระบบและโปร่งใส
3. ก้าวสู่มาตรฐานสากล (Global Standards)	รองรับการค้าการลงทุนกับต่างประเทศได้ง่ายขึ้นและลดความเสี่ยงทางกฎหมาย

2. ข้อมูลแบบไหนถือว่า “ข้อมูลส่วนบุคคล”?

“ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลใด ๆ ที่สามารถระบุตัวบุคคลได้ ไม่ว่าจะโดยตรงหรือโดยอ้อม ซึ่งรวมถึงข้อมูลที่เกี่ยวข้องกับชีวิตประจำวัน เช่น ชื่อ-นามสกุล เบอร์โทร อีเมล รวมถึงข้อมูลส่วนบุคคลประเภทพิเศษที่มีความละเอียดอ่อน เช่น ความเชื่อทางศาสนา สุขภาพ หรือชีวภาพ
กฎหมาย PDPA แบ่งข้อมูลออกเป็น 2 ประเภทหลัก ได้แก่:

📌 ประเภทข้อมูลที่กฎหมายให้ความสำคัญ

ประเภทของข้อมูลส่วนบุคคล	ตัวอย่าง
ข้อมูลส่วนบุคคลแบบทั่วไป	ชื่อ เบอร์โทร ที่อยู่ เลขบัตรประชาชน
ข้อมูลส่วนบุคคลประเภทพิเศษ หรืออาจเรียกว่า “ข้อมูลส่วนบุคคลที่อ่อนไหว” (Sensitive Personal Data)	ข้อมูลความเชื่อในศาสนา ข้อมูลสุขภาพ ความพิการ ความคิดเห็นทางการเมือง ข้อมูลชีวภาพ

องค์กรต้องจัดให้มีมาตรการเพื่อให้เกิดความระมัดระวังในการใช้ข้อมูลส่วนบุคคลที่อ่อนไหว เนื่องจากการละเมิดข้อมูลส่วนบุคคลที่อ่อนไหวจะเกิดผลกระทบที่สูงต่อเจ้าของข้อมูลส่วนบุคคล

3. ใครต้องปฏิบัติตาม PDPA และต้องทำอะไรบ้าง?

PDPA กำหนดบทบาทหน้าที่ของบุคคลที่เกี่ยวข้องกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลอย่างชัดเจน ได้แก่:

📌 บทบาทสำคัญภายใต้ PDPA

บทบาท	คำอธิบาย
ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)	บุคคลหรือนิติบุคคลที่มีอำนาจตัดสินใจเรื่องการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)	บุคคลหรือนิติบุคคลที่ดำเนินการตามคำสั่งของผู้ควบคุมข้อมูลส่วนบุคคล หรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)	บุคคลที่ให้คำปรึกษา ตรวจสอบ และประสานงานกับหน่วยงานกำกับดูแล

นอกจากนี้ยังมีหน่วยงานที่ทำหน้าที่กำกับดูแลข้อมูลส่วนบุคคลโดยตรง ได้แก่ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ที่ทำหน้าที่กำกับดูแล ส่งเสริม และเผยแพร่ความรู้เกี่ยวกับ PDPA

4. หลักการคุ้มครองข้อมูลส่วนบุคคลตามกฎหมาย PDPA

4.1 ขอบเขตการบังคับใช้
กฎหมาย PDPA มีผลบังคับใช้กับ Data Controller และ Data Processor ที่มีสถานที่ตั้งอยู่ในประเทศไทย แต่ถ้าหาก Data Controller หรือ Data Processor นั้นอยู่ต่างประเทศ กฎหมาย PDPA จะบังคับใช้หากกิจกรรมของ Data Controller หรือ Data Processor ที่อยู่ต่างประเทศดังกล่าวมีวัตถุประสงค์ในการเสนอขายสินค้า บริการ หรือการติดตามพฤติกรรมของเจ้าของข้อมูลส่วนบุคคลที่อยู่ในประเทศไทย ซึ่งเรียกว่าหลัก “การบังคับใช้นอกราชอาณาจักร (extraterritorial effect)”

4.2 เก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคลอย่างไรให้ถูกต้อง
การประมวลผลข้อมูลส่วนบุคคลต้องมี “ฐานทางกฎหมาย (Lawful basis)” เช่น ความยินยอมจากเจ้าของข้อมูลส่วนบุคคล หรือเหตุผลตามกฎหมาย เช่น การปฏิบัติตามสัญญา ภารกิจสาธารณะ ฯลฯ

หลัก “ความยินยอม (Consent)” เป็นกลไกสำคัญ โดยการขอความยินยอมต้องมีลักษณะ:

ชัดแจ้ง เป็นลายลักษณ์อักษรหรืออิเล็กทรอนิกส์
ไม่ซับซ้อน เข้าใจง่าย ไม่มีการบังคับให้เจ้าของข้อมูลส่วนบุคคลต้องยินยอม
เจ้าของข้อมูลส่วนบุคคลสามารถถอนความยินยอมเมื่อใดก็ได้

กรณีข้อมูลส่วนบุคคลที่อ่อนไหว เช่น ข้อมูลสุขภาพ ความคิดเห็นทางการเมือง ต้องได้รับความยินยอมโดยชัดแจ้ง เว้นแต่เข้าข้อยกเว้นตามกฎหมาย

เจ้าของข้อมูลส่วนบุคคลยังมีสิทธิได้รับการแจ้ง (Notice) และการให้ทางเลือก (Choice) เช่น:

ต้องแยกระหว่างข้อมูลส่วนบุคคลที่จำเป็นและไม่จำเป็นต้องเก็บรวบรวม
แจ้งวัตถุประสงค์ ระยะเวลาเก็บข้อมูล ผู้รับข้อมูล และสิทธิของเจ้าของข้อมูลส่วนบุคคล

การโอนข้อมูลส่วนบุคคลไปยังต่างประเทศทำได้เมื่อ:

ประเทศปลายทางมีมาตรฐานที่เพียงพอ
ใช้นโยบาย BCRs (Binding Corporate Rules) ที่คุ้มครองข้อมูลส่วนบุคคลสำหรับกิจการในเครือ โดยได้รับการรับรองจาก สคส. แล้ว
มีมาตรการที่เหมาะสม เช่น สัญญาที่มีข้อกำหนดตามประกาศคณะกรรมการฯ (กฎหมายลำดับรอง) เรื่องการโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ หรือใช้ข้อสัญญาต้นแบบของอาเซียน (ASEAN Model Contractual Clauses: MCC) เป็นต้น

องค์กรต้องจัดให้มีมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคล (Security) การตรวจสอบ การลบข้อมูลเมื่อหมดอายุ และการแจ้งเหตุละเมิดภายในระยะเวลาที่กฎหมายกำหนด รวมถึงอาจต้องแต่งตั้ง DPO (Data Protection Officer) หากมีการประมวลผลข้อมูลจำนวนมาก หรือเป็นหน่วยงานของรัฐตามประกาศคณะกรรมการฯ กำหนด

หลักการ 7 ประการในการเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคล

5. สิทธิของเจ้าของข้อมูลส่วนบุคคลมีอะไรบ้าง?

PDPA รับรองสิทธิขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคล เพื่อให้สามารถควบคุมข้อมูลของตนเองได้ และมีช่องทางเรียกร้องเมื่อถูกละเมิดสิทธิ

📌 สิทธิพื้นฐานของเจ้าของข้อมูลส่วนบุคคล

สิทธิของเจ้าของข้อมูลส่วนบุคคล	คำอธิบาย
ถอนความยินยอม (Withdraw Consent)	สามารถถอนความยินยอมในการใช้ข้อมูลได้ตลอดเวลา
เข้าถึงและตรวจสอบข้อมูล (Right of Access)	ขอรับข้อมูลหรือสำเนาข้อมูลที่เก็บเกี่ยวกับตน
แก้ไขข้อมูล (Right to Rectification)	ขอให้แก้ไขข้อมูลที่ผิดหรือไม่เป็นปัจจุบัน
ลบ/ทำลายข้อมูล (Right to Erasure)	ขอให้ลบข้อมูลเมื่อไม่มีความจำเป็นในการเก็บรวบรวมอีกต่อไปแล้ว
ระงับการประมวลผล (Right to Restriction)	ขอให้หยุดการใช้ข้อมูลชั่วคราวในบางกรณี
โอนย้ายข้อมูล (Right to Data Portability)	ขอโอนข้อมูลในรูปแบบอิเล็กทรอนิกส์ไปยังผู้ให้บริการรายอื่นผ่านวิธีการอัตโนมัติ
คัดค้านการประมวลผล (Right to Object)	ขอปฏิเสธการใช้ข้อมูลในบางกรณี เช่น การตลาดตรง

6. ถ้าถูกละเมิดข้อมูลส่วนบุคคล ต้องทำอย่างไร?

เมื่อคุณพบว่าข้อมูลของคุณถูกนำไปใช้โดยไม่ได้รับอนุญาต หรือถูกละเมิดสิทธิ คุณสามารถร้องเรียนต่อ “คณะกรรมการผู้เชี่ยวชาญ” โดยร้องเรียนผ่านช่องทางของสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) สามารถร้องเรียนได้ทางเว็บไซต์ของ สคส.

📌 แนวทางการร้องเรียน

รวบรวมหลักฐานและยื่นคำร้องต่อคณะกรรมการผู้เชี่ยวชาญ
หลังจากมีการรับเรื่องร้องเรียนแล้ว จะเข้าสู่ขั้นตอนการตรวจสอบ พิจารณา และถ้าหากองค์กรที่ถูกกล่าวหามีความผิดจริง ก็จะมรการออกคำสั่งขอให้แก้ไข เยียวยา หรือสั่งระงับการกระทำนั้น
อาจมีการไกล่เกลี่ยเพื่อหาข้อยุติก่อนเข้าสู่กระบวนการฟ้องร้อง

7. บทลงโทษสำหรับผู้ฝ่าฝืน PDPA

PDPA มีบทลงโทษหลากหลายเพื่อให้ผู้ที่เกี่ยวข้องปฏิบัติตามกฎหมายอย่างจริงจัง โดยแบ่งออกเป็น 3 ประเภท ได้แก่:

📌 ประเภทบทลงโทษตาม PDPA

ประเภทของบทลงโทษ	รายละเอียด
โทษแพ่ง	ผู้เสียหายสามารถฟ้องเรียกค่าสินไหมทดแทนได้ และศาลอาจพิจารณาเพิ่มค่าเสียหายสูงสุด 2 เท่า
โทษอาญา	ความผิดบางอย่างมีโทษจำคุก 6 เดือน – 1 ปี และ/หรือ ปรับไม่เกิน 1 ล้านบาท เช่น การเผยแพร่ข้อมูลอ่อนไหวโดยมิชอบ
โทษปกครอง	คณะกรรมการผู้เชี่ยวชาญสามารถออกคำสั่งปรับไม่เกิน 5 ล้านบาท

🎓 สนใจเรียนรู้กฎหมายเพิ่มเติม มาเรียนที่คณะนิติศาสตร์ มหาวิทยาลัยหอการค้าไทย
เปิดโลกการเรียนรู้เรื่อง “PDPA”, “AI Governance” และ “สิทธิเสรีภาพในยุคดิจิทัล”
อยากเป็นคนรุ่นใหม่ที่เข้าใจ PDPA และ AI อย่างมีจริยธรรมและกฎหมาย มาร่วมเรียนรู้กับเรา!

สำหรับผู้จบการศึกษา ม.6 กศน. ปวช. ปวส. หรือเทียบโอน ใช้กองทุน กยศ. หรือผ่อนชำระค่าเทอมได้

📌ข้อดี

🖌️ จบแล้วได้ skill Certificate เฉพาะทาง
🖌️ เรียนจบภายใน 3 ปีครึ่ง
🖌️ มีสหกิจศึกษา พร้อมฝึกปฏิบัติงาน ก่อนทำงานจริง
🖌️ เรียนต่อเนติบัณฑิตยสภาได้
🖌️ สอบตั๋วทนายความได้
🖌️ เรียนวิชาเฉพาะด้านที่ทันสมัยกับตัวจริง Guru
🖌️ ได้รับการรับรองจาก ก.พ. และ อ.ว.

📌สอบถามข้อมูลเพิ่มเติม ได้ที่ ศูนย์รับสมัครนักศึกษาใหม่ ระดับบัณฑิตศึกษา

โทร: 0953675508/02-697-6000
📥 สอบถามเพิ่มเติม หลักสูตรนิติศาสตรบัณฑิต
📌 ID Line : 0953675508
📌 IG : law_utcc
📌Facebook: UtccLawSchool

มาเป็นครอบครัวหอการค้าด้วยกัน

📌สมัครเรียนง่ายได้ 3 ช่องทาง

สมัครเรียนออนไลน์ Line : @utcccare (อย่าลืม @) https://lin.ee/x53Mxlf
หรือ https://admissions.utcc.ac.th/ *สมัครแล้วอย่าลืมทักไลน์นะ
สมัครด้วยตนเองที่ ศูนย์รับสมัครนักศึกษาใหม่ ม.หอการค้าไทย อาคาร 24 (อาคารสัญลักษณ์) ชั้น 2
ตั้งแต่เวลา 08.30 – 17.00 น. 📌พิกัดการเดินทาง: https://goo.gl/maps/JEY6UvPL8Qh8NyyM9

สอบถามเพิ่มเติม ศูนย์รับสมัครนักศึกษาใหม่ ม.หอการค้าไทย โทร 02-697-6969

บทความโดย: ผศ.ดร.ประพันธ์พงษ์ ขำอ่อน
คณบดีคณะนิติศาสตร์
Email: [email protected]