โครงสร้างของ PDPA ในปี 2026

PDPA เป็นกฎหมายคุ้มครองข้อมูลหลักของไทย และโครงสร้างของกฎหมายนี้ใกล้เคียงกับ GDPR มาก กฎระเบียบรองในปี 2567 และ 2568 ได้เพิ่มรายละเอียดด้านปฏิบัติการที่ขาดหายไปก่อนหน้านี้จากกฎหมายหลัก

สิ่งที่กฎระเบียบรองเพิ่มเติม

ตลอดปี 2567 และ 2568 PDPC ได้ออกกฎระเบียบรองครอบคลุม: กลไกการโอนข้อมูลข้ามพรมแดน การแต่งตั้งและหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูล ขั้นตอนการแจ้งเหตุละเมิดข้อมูล ข้อกำหนดการบันทึกการประมวลผล กรอบเวลาดำเนินการสิทธิของเจ้าของข้อมูล และมาตรฐานความยินยอมเฉพาะสำหรับข้อมูลส่วนบุคคลที่อ่อนไหว กฎระเบียบเหล่านี้โดยรวมได้เปลี่ยน PDPA จากกรอบการทำงานทั่วไปสู่ระบบปฏิบัติการที่เทียบเคียงได้กับ GDPR ในด้านความเฉพาะเจาะจง

ใครได้รับการควบคุม

PDPA ใช้บังคับกับผู้ควบคุมและผู้ประมวลผลข้อมูลส่วนใหญ่ โดยมีการบังคับใช้นอกอาณาเขตสำหรับองค์กรต่างประเทศที่ประมวลผลข้อมูลส่วนบุคคลของบุคคลในไทยในส่วนที่เกี่ยวกับการเสนอสินค้าหรือบริการหรือการติดตามพฤติกรรม ผู้เผยแพร่ต่างประเทศที่ให้บริการผู้ใช้ชาวไทยผ่านเว็บไซต์ที่ปรับให้เป็นภาษาท้องถิ่นหรือสินค้าคงคลังแบบโปรแกรมเมติกที่ซื้อต่อ IP ของไทยมักอยู่ในขอบเขต และ PDPC ได้อ้างบทบัญญัตินอกอาณาเขตในหนังสือบังคับใช้ระยะแรก

บทลงโทษทางปกครองและทางอาญา

PDPA กำหนดโทษปรับทางปกครองสูงสุด THB 5 ล้านบาท ต่อการละเมิดหนึ่งครั้ง พร้อมกับโทษทางอาญาสำหรับการละเมิดร้ายแรงที่สุด รวมถึงโทษจำคุกสำหรับกรรมการในสถานการณ์เฉพาะ เพดานโทษปรับทางปกครองต่ำกว่า GDPR ในแง่สัมบูรณ์ แต่แนวทางการบังคับใช้ที่เพิ่มขึ้นของ PDPC และความเป็นไปได้ของความรับผิดทางอาญาทำให้ความเสี่ยงที่แท้จริงมีนัยสำคัญ

อะไรนับเป็นข้อมูลส่วนบุคคลภายใต้ PDPA

นิยามข้อมูลส่วนบุคคลของ PDPA ติดตาม GDPR อย่างใกล้ชิด ข้อมูลส่วนบุคคลคือข้อมูลที่เกี่ยวข้องกับบุคคลที่ระบุตัวตนได้หรืออาจระบุตัวตนได้ และ PDPC ได้ถือปฏิบัติต่อคุกกี้ ตัวระบุโฆษณา ที่อยู่ IP ลายนิ้วมืออุปกรณ์ และโปรไฟล์พฤติกรรมว่าเป็นข้อมูลส่วนบุคคลอย่างสม่ำเสมอเมื่อสามารถเชื่อมโยงกับบุคคลโดยตรงหรือโดยการรวมกับข้อมูลอื่น

ข้อมูลส่วนบุคคลที่อ่อนไหว

PDPA กำหนดหมวดหมู่ข้อมูลอ่อนไหวที่กว้างขวาง ได้แก่ เชื้อชาติหรือชาติพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อทางศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ การเป็นสมาชิกสหภาพแรงงาน ข้อมูลพันธุกรรม และข้อมูลชีวมิติ การประมวลผลข้อมูลส่วนบุคคลที่อ่อนไหวต้องการความยินยอมอย่างชัดแจ้งและกระตุ้นภาระหน้าที่เพิ่มเติมของผู้ควบคุม

เหตุใดจึงสำคัญสำหรับคุกกี้

คุกกี้ที่เก็บตัวระบุทั่วไปคือข้อมูลส่วนบุคคลธรรมดา คุกกี้ที่ป้อนกลุ่มผู้ชมที่แตะรายการข้อมูลอ่อนไหวของ PDPA เช่น ความสนใจด้านสุขภาพ สังกัดทางศาสนา แนวโน้มทางการเมือง ถือเป็นการประมวลผลข้อมูลส่วนบุคคลที่อ่อนไหวและต้องการความยินยอมอย่างชัดแจ้งแทนความยินยอมโฆษณาทั่วไป การกำหนดเป้าหมายผู้ชมที่ใช้ภาษาไทยซึ่งทับซ้อนกับรายการอ่อนไหวควรตรวจสอบโดยเฉพาะตามขอบเขตนี้

การยินยอมใช้คุกกี้ภายใต้ PDPA ในปี 2026

PDPA อนุญาตให้มีฐานทางกฎหมายหลายประการสำหรับการประมวลผล แต่สำหรับคุกกี้และเทคโนโลยีที่คล้ายกันซึ่งไม่จำเป็นอย่างเคร่งครัดสำหรับการให้บริการ แนวทางของ PDPC และการบังคับใช้ในระยะแรกได้รวมกันที่ความยินยอมเป็นฐานในทางปฏิบัติ

องค์ประกอบของความยินยอมที่ถูกต้อง

ความยินยอมภายใต้ PDPA ต้องเป็น:

• ให้โดยเสรี — โดยปราศจากการบังคับหรือการผูกมัดกับการให้บริการที่จำเป็น
• ได้รับทราบ — เจ้าของข้อมูลเข้าใจว่าข้อมูลอะไรได้รับการประมวลผล โดยใคร และเพื่อวัตถุประสงค์อะไร
• เจาะจง — ผูกกับวัตถุประสงค์ที่ระบุชัดเจนแทนที่จะเป็นความยินยอมแบบครอบคลุม
• ชัดเจนไม่คลุมเครือ — แสดงออกผ่านการกระทำเชิงบวกที่ชัดเจน ไม่ใช่การสรุปจากความเฉื่อย
• ชัดแจ้ง ในกรณีที่เกี่ยวข้องกับข้อมูลส่วนบุคคลที่อ่อนไหว โดยมีความยินยอมแยกต่างหากและเฉพาะเจาะจงสำหรับการประมวลผลที่อ่อนไหว

CMP ที่สอดคล้องกฎระเบียบควรเป็นอย่างไร

CMP ที่กำหนดค่าสำหรับทราฟฟิกไทยในปี 2569 ควรนำเสนอ:

• แบนเนอร์ที่มองเห็นได้ก่อนที่คุกกี้หรือตัวติดตามที่ไม่จำเป็นใดจะทำงาน โดยแสดงเป็นภาษาไทยโดยค่าเริ่มต้นสำหรับผู้ใช้ชาวไทย
• ความโดดเด่นทางสายตาที่เท่าเทียมกันสำหรับปุ่ม ยอมรับ ปฏิเสธ และ ตั้งค่า โดย PDPC ได้วิจารณ์การออกแบบแบนเนอร์ที่การกระทำปฏิเสธถูกลดความโดดเด่นทางสายตา
• สวิตช์แบบละเอียดตามวัตถุประสงค์ ได้แก่ การวิเคราะห์ โฆษณา การปรับแต่งส่วนบุคคล การโอนข้ามพรมแดน และการประมวลผลหมวดหมู่อ่อนไหวใดๆ
• กระบวนการแยกต่างหากที่มีป้ายกำกับชัดเจนสำหรับการประมวลผลข้อมูลส่วนบุคคลที่อ่อนไหว โดยต้องผ่านการกระทำของตัวเอง
• กลไกถาวรที่หาได้ง่ายในการเพิกถอนความยินยอมหลังจากตัวเลือกเริ่มต้น
• นโยบายความเป็นส่วนตัวเป็นภาษาไทยพร้อมการเปิดเผยครบถ้วนเกี่ยวกับผู้ควบคุม ผู้ประมวลผล วัตถุประสงค์ ผู้รับ การเก็บรักษา และสิทธิ

บันทึกความยินยอม

ผู้ควบคุมต้องเก็บหลักฐานความยินยอม ได้แก่ ใครยินยอม เมื่อไหร่ เพื่อวัตถุประสงค์อะไร และผ่านอินเทอร์เฟซไหน บันทึกความยินยอมที่ไม่เพียงพอถูกอ้างถึงในหนังสือบังคับใช้หลายฉบับของ PDPC ในปี 2568 และบันทึกที่ส่งออกได้พร้อมการประทับเวลาเป็นความคาดหวังพื้นฐาน

การโอนข้อมูลข้ามพรมแดนหลังกฎระเบียบปี 2025

กฎระเบียบการโอนข้อมูลปี 2568 เป็นพัฒนาการล่าสุดที่สำคัญที่สุดสำหรับผู้เผยแพร่ต่างประเทศ โดยชี้แจงกลไกที่มีให้สำหรับการไหลของข้อมูลข้ามพรมแดน

กลไกการโอนข้อมูลที่ได้รับการรับรอง

กฎระเบียบปี 2568 มีสี่เส้นทางหลัก:

• การกำหนดการคุ้มครองที่เพียงพอ ซึ่ง PDPC ได้ประเมินประเทศปลายทางว่ามีการคุ้มครองที่เพียงพอ
• มาตรการคุ้มครองที่เหมาะสม ผ่านกลไกสัญญารวมถึงข้อกำหนดสัญญามาตรฐานที่ได้รับอนุมัติจาก PDPC และกฎเกณฑ์ขององค์กรที่มีผลผูกพัน
• การยกเว้นเฉพาะ รวมถึงความยินยอมอย่างชัดแจ้งจากเจ้าของข้อมูลพร้อมการเปิดเผยที่เพียงพอ ความจำเป็นตามสัญญา ผลประโยชน์สำคัญ และผลประโยชน์สาธารณะที่สำคัญ
• แผนการรับรอง ที่ PDPC รับรองสำหรับภาคส่วนหรือกิจกรรมเฉพาะ

รายการความเพียงพอ

PDPC ออกการตัดสินใจด้านความเพียงพอสำหรับเขตอำนาจศาลจำนวนน้อยจนถึงต้นปี 2569 สหรัฐอเมริกาไม่อยู่ในรายการ ซึ่งหมายความว่าการโอนข้อมูลไปยังผู้ให้บริการ ad-tech และการวิเคราะห์ที่ตั้งอยู่ในสหรัฐอเมริกาต้องใช้ข้อกำหนดสัญญา การรับรอง หรือการยกเว้นตามความยินยอม

แนวทางปฏิบัติสำหรับปี 2026

สำหรับผู้เผยแพร่ต่างประเทศส่วนใหญ่ แนวทางการทำงานคือการดำเนินการข้อกำหนดสัญญามาตรฐานที่ได้รับอนุมัติจาก PDPC กับผู้ประมวลผลระหว่างประเทศ จัดทำเอกสารกลไกการโอนข้อมูลในนโยบายความเป็นส่วนตัวภาษาไทย และเสริมด้วยการอนุญาตตามความยินยอมเฉพาะในกรณีที่กลไกมาตรฐานไม่เหมาะสมอย่างชัดเจน

สิทธิของเจ้าของข้อมูลภายใต้ PDPA

PDPA ให้สิทธิหลายประการที่ติดตาม GDPR อย่างใกล้ชิด:

• สิทธิในการเข้าถึงข้อมูลส่วนบุคคลที่ผู้ควบคุมถือครอง
• สิทธิในการแก้ไขข้อมูลที่ไม่ถูกต้องหรือไม่สมบูรณ์
• สิทธิในการลบ
• สิทธิในการจำกัดการประมวลผล
• สิทธิในการโอนย้ายข้อมูล
• สิทธิในการคัดค้านการประมวลผล
• สิทธิในการเพิกถอนความยินยอม
• สิทธิที่จะไม่ตกเป็นเป้าหมายของการตัดสินใจอัตโนมัติที่ก่อให้เกิดผลกระทบสำคัญ
• สิทธิในการยื่นเรื่องร้องเรียนต่อ PDPC

กรอบเวลาการตอบสนอง

ผู้ควบคุมต้องตอบสนองต่อคำขอของเจ้าของข้อมูลภายใน 30 วันภายใต้กรอบการทำงานทั่วไป โดยมีกรอบเวลาสั้นกว่าสำหรับประเภทคำขอเฉพาะ ความพร้อมด้านปฏิบัติการสำหรับกรอบเวลานี้ ซึ่งรวมถึงเครื่องมือและขั้นตอนการทำงานเป็นภาษาไทย เป็นช่องว่างที่พบบ่อยสำหรับผู้เผยแพร่ต่างประเทศที่ปรับตัวให้เข้ากับจังหวะยุโรป

ข้อกำหนด DPO

กฎระเบียบรองปี 2567 ชี้แจงเมื่อต้องการ DPO ผู้ควบคุมที่ประมวลผลข้อมูลส่วนบุคคลในปริมาณมาก ดำเนินการติดตามเจ้าของข้อมูลอย่างเป็นระบบ หรือประมวลผลข้อมูลส่วนบุคคลที่อ่อนไหวในระดับใหญ่ต้องแต่งตั้ง DPO ผู้ควบคุมต่างประเทศที่ถึงเกณฑ์ปริมาณผ่านผู้ใช้ชาวไทยอยู่ในขอบเขต ข้อมูลการติดต่อของ DPO ต้องสามารถเข้าถึงได้ในนโยบายความเป็นส่วนตัวภาษาไทย

บทลงโทษและแนวทางการบังคับใช้ในปี 2026

กิจกรรมการบังคับใช้ของ PDPC เพิ่มขึ้นอย่างมีนัยสำคัญตลอดปี 2567 และ 2568 และปี 2569 อยู่ในแนวโน้มที่คล้ายคลึงกัน

โครงสร้างโทษปรับทางปกครอง

โทษปรับทางปกครองเพิ่มขึ้นตามประเภทการละเมิด โดยมีสูงสุด THB 5 ล้านบาทต่อการละเมิดสำหรับกรณีที่ร้ายแรงที่สุด การละเมิดทั่วไป เช่น แบนเนอร์ความยินยอมที่ไม่เพียงพอ นโยบายความเป็นส่วนตัวที่ขาดหายไป การไม่ตอบสนองต่อคำขอของเจ้าของข้อมูล มักถูกปรับในช่วงหลักแสนบาท แต่สามารถเพิ่มขึ้นอย่างรวดเร็วสำหรับการละเมิดซ้ำหรือกรณีที่มีเหตุรุนแรง

ความรับผิดทางอาญาเป็นมาตรการสุดท้าย

ต่างจาก GDPR PDPA กำหนดความรับผิดทางอาญาสำหรับการละเมิดที่ร้ายแรงที่สุด รวมถึงโทษจำคุกสำหรับกรรมการในสถานการณ์เฉพาะ กฎระเบียบรองปี 2567 ชี้แจงขอบเขตของความรับผิดทางอาญา และแม้ว่าจะยังไม่มีการบังคับใช้กับผู้เผยแพร่ต่างประเทศในปี 2569 จนถึงปัจจุบัน แต่ความเป็นไปได้นี้กำหนดรูปแบบการวิเคราะห์ความเสี่ยงสำหรับองค์กรใดก็ตามที่ประมวลผลข้อมูลไทยในระดับใหญ่

หัวข้อการบังคับใช้

การดำเนินการของ PDPC ในปี 2568 และต้นปี 2569 มุ่งเน้นที่ แบนเนอร์ความยินยอมที่คลุมเครือหรือขาดหายไป การขาดนโยบายความเป็นส่วนตัวภาษาไทย การโอนข้อมูลข้ามพรมแดนโดยไม่มีกลไกที่ถูกต้องตามกฎระเบียบปี 2568 การไม่ตอบสนองต่อคำขอของเจ้าของข้อมูลภายในกรอบ 30 วัน และการแต่งตั้ง DPO ที่ขาดหายไปสำหรับผู้ควบคุมในขอบเขต ผู้เผยแพร่ต่างประเทศถูกอ้างถึงในทั้งห้าหมวดหมู่

รายการตรวจสอบการตรวจสอบสำหรับทราฟฟิกไทยในปี 2026

• แบนเนอร์ CMP แสดงเป็นภาษาไทยพร้อมปุ่ม ยอมรับ ปฏิเสธ และ ตั้งค่า ที่มีความโดดเด่นทางสายตาเท่าเทียมกัน
• วัตถุประสงค์ความยินยอมมีความละเอียดและแยกการประมวลผลหมวดหมู่อ่อนไหวไว้หลังกระบวนการความยินยอมของตัวเอง
• นโยบายความเป็นส่วนตัวมีให้บริการเป็นภาษาไทยพร้อมการเปิดเผยครบถ้วนเกี่ยวกับผู้ควบคุม ผู้ประมวลผล วัตถุประสงค์ การเก็บรักษา สิทธิ และข้อมูลการติดต่อ DPO
• การโอนข้อมูลข้ามพรมแดนอาศัยข้อกำหนดสัญญามาตรฐานที่ได้รับอนุมัติจาก PDPC การกำหนดความเพียงพอ BCRs การรับรอง หรือการยกเว้นที่จัดทำเอกสาร
• บันทึกความยินยอมมีการประทับเวลา ส่งออกได้ และเก็บรักษาไว้ตลอดระยะเวลาที่บังคับใช้
• ขั้นตอนการทำงานคำขอเจ้าของข้อมูลสามารถตอบสนองภายใน 30 วันตั้งแต่ต้นจนจบเป็นภาษาไทย
• แต่งตั้ง DPO ในกรณีที่จำเป็นและเผยแพร่ข้อมูลการติดต่อในนโยบายความเป็นส่วนตัว
• รายการผู้ให้บริการถูกตรวจสอบเพื่อความจำเป็น โดยลบผู้ให้บริการที่ไม่ได้ใช้หรือซ้ำซ้อนออกเพื่อลดพื้นที่การโอนข้อมูลข้ามพรมแดน
• กลุ่มผู้ชมหมวดหมู่อ่อนไหวถูกล็อคไว้หลังความยินยอมอย่างชัดแจ้งที่รวบรวมแยกต่างหาก
• คู่มือการแจ้งเหตุละเมิดถูกปรับให้เข้ากับกรอบเวลาการแจ้งเหตุละเมิดของ PDPA

แนวโน้มปี 2026

ระบบความเป็นส่วนตัวของไทยเติบโตจากกฎหมายหลักที่มีความเฉพาะเจาะจงด้านปฏิบัติการจำกัดสู่ระบบที่มีกฎระเบียบรอง ขีดความสามารถการบังคับใช้ และเจตจำนงทางการเมืองที่จะบังคับใช้อย่างมีความหมาย กฎระเบียบการโอนข้อมูลข้ามพรมแดนปี 2568 ปิดช่องว่างเชิงโครงสร้างที่สำคัญที่สุด และแนวทางการบังคับใช้ในระยะแรกของ PDPC สอดคล้องกับหน่วยงานกำกับดูแลที่จริงจังที่อยู่ระหว่างการขยายตัวมากกว่าที่จะเงียบ สำหรับผู้เผยแพร่ที่ใช้ระบบความยินยอมระดับ GDPR อยู่แล้ว ช่องว่างสู่การปฏิบัติตาม PDPA เป็นเรื่องของการปฏิบัติการมากกว่าสถาปัตยกรรม ได้แก่ CMP และนโยบายความเป็นส่วนตัวภาษาไทย กลไกการโอนข้อมูลที่ได้รับอนุมัติจาก PDPC จังหวะการตอบสนอง 30 วัน การแต่งตั้ง DPO ในกรณีที่จำเป็น และความระมัดระวังกับรายการข้อมูลอ่อนไหวที่กว้างขึ้นของ PDPA ช่องว่างสามารถปิดได้ภายในสองสามสัปดาห์หากให้ความสำคัญ และไทยเป็นตลาดเอเชียตะวันออกเฉียงใต้ที่สำคัญ ผู้เผยแพร่ที่มองว่าไทยเป็นตลาดที่เบากว่าตลอดปี 2567 พบว่าปี 2569 มีความต้องการมากกว่าอย่างมีนัยสำคัญ และแนวโน้มชัดเจน