Pichitchai Sangnak

[post-views]

Pichitchai Sangnak
Pichitchai Sangnak
สรุป PDPA ปี 2568
     ตลอดปี 2568 หลายองค์กรไทยเริ่มรู้สึกชัดว่า PDPA ไม่ได้เป็นแค่ “งานเอกสาร” อีกต่อไป แต่เป็นเรื่องที่กระทบทั้งองค์กร ตั้งแต่ความเชื่อมั่นของลูกค้า การตรวจประเมินจากคู่ค้า ไปจนถึงความเสี่ยงใหม่จากระบบ Cloud และ AI ที่สำคัญคือ ภาพการบังคับใช้กฎหมายเริ่มชัดขึ้นเรื่อย ๆ ในเชิง “บรรทัดฐาน” และ “บทเรียนราคาแพง” ทำให้ปี 2569 เป็นปีที่องค์กรควรวางระบบให้จริงจังมากขึ้น ไม่ใช่แค่ทำให้ผ่านแบบครั้งคราว

PDPA ไม่ใช่งานที่ “ทำครั้งเดียวแล้วจบ” แต่เป็นระบบบริหารความเสี่ยงที่ต้องทำต่อเนื่อง

    กล่าวโดยสรุปแบบรวบรัด “PDPA คือการบริหารความเสี่ยงขององค์กรผ่านมุมสิทธิและความเป็นส่วนตัวของคน” เพราะเมื่อเกิดเหตุข้อมูลรั่วไหลหรือการใช้ข้อมูลผิดวัตถุประสงค์ สิ่งที่ตามมาไม่ใช่แค่ค่าปรับ แต่คือความเสียหายด้านความเชื่อมั่น (Trust) ที่แก้ยากกว่ามาก
แนวคิดสำคัญที่องค์กรควรยึดไว้คือ “ธรรมาภิบาลข้อมูล (Data Governance) ที่ดี” จะพาไปสู่ “ความโปร่งใส (Transparency)” และสุดท้ายคือ “ความเชื่อมั่น (Trust)” ซึ่งเป็นต้นทุนสำคัญของธุรกิจยุคนี้

บทเรียนปี 2568: 3 สัญญาณที่บอกว่าเกมเปลี่ยนแล้ว

1) ภาครัฐก็ถูกปรับได้ – ไม่ใช่ข้อยกเว้น
     หนึ่งในสัญญาณที่ทำให้หลายองค์กรสะดุ้ง คือ “หน่วยงานรัฐถูกลงโทษปรับจริง” ซึ่งสะท้อนว่า PDPA ไม่ได้อยู่แค่กับเอกชนหรือบริษัทเทคฯ เท่านั้น แต่เป็นมาตรฐานขั้นต่ำของทุกองค์กรที่เกี่ยวข้องกับข้อมูลส่วนบุคคล
2) การส่งไฟล์/ใช้ช่องทางสื่อสารที่คนคุ้นเคย อาจกลายเป็นความเสี่ยงใหญ่
     กรณีที่ถูกพูดถึงมากคือ กกต. ถูกสั่งปรับ 335,000 บาท จากเหตุข้อมูลผู้สมัคร สว. รั่วไหล โดยมีรายละเอียดสำคัญว่าเกิดจากการส่งไฟล์ข้อมูลผ่านแอปที่ใช้งานทั่วไปอย่าง LINE โดยไม่มีมาตรการความปลอดภัยที่เหมาะสม และยังมีประเด็นเรื่องการจัดการ/แจ้งเหตุที่ล่าช้า
บทเรียนที่องค์กรเอาไปใช้ได้ทันที: “เครื่องมือที่ใช้ง่าย” ไม่ได้แปลว่า “เหมาะกับข้อมูลอ่อนไหว/ข้อมูลเสี่ยง”
องค์กรต้องกำหนดกติกาชัดเจนว่า “ข้อมูลแบบไหนส่งได้/ส่งไม่ได้” และต้องมีมาตรการรองรับ
3) “เอกสารกระดาษ” ก็ทำให้โดนปรับได้ ไม่แพ้ระบบ IT
     หลายคนเผลอคิดว่า PDPA เป็นเรื่องดิจิทัล แต่เคสจริงในไทยชี้ว่า กระบวนการทำลายเอกสารแบบกระดาษ ถ้าคุมไม่ดี อาจกลายเป็นเหตุละเมิดได้รุนแรง เช่น กรณีโรงพยาบาลเอกชนถูกปรับ 1.2 ล้านบาท เมื่อเอกสารเวชระเบียนหลุดไปอยู่ในถุงกระดาษรียูส บทเรียนสำหรับองค์กร: ถ้าจ้าง “ผู้รับจ้างทำลายเอกสาร/outsourcing” แล้วคิดว่าจบ อาจเป็นความเสี่ยงที่สุด เพราะในโลกซัพพลายเชน จุดอ่อนมักอยู่ที่ “คน/ผู้ให้บริการที่อ่อนที่สุด”

ทำไมหลายองค์กร “ทำ PDPA แล้วไม่จบ”: ปัญหาจริงที่เจอบ่อย

แปลงหลักการให้เป็นการปฏิบัติยังยาก
PDPA พูดถึงหลักการสำคัญ เช่น ความจำเป็น ความได้สัดส่วน และความรับผิดชอบ (Accountability) ซึ่งในชีวิตจริงต้องแปลออกมาเป็นคำตอบที่ตรวจสอบได้ เช่น
  • ข้อมูลนี้ “จำเป็น” แค่ไหนต่อการให้บริการ?
  • ถ้าไม่เก็บ จะกระทบงานจริงหรือแค่ “เผื่อไว้ก่อน”?
  • ใครอนุมัติให้เก็บ/ใครรับผิดชอบถ้าเกิดปัญหา?
หลายองค์กรพลาดตรงที่ทำเป็น “เอกสารครบ” แต่ตอบคำถามเชิงบริหารความเสี่ยงไม่ได้
จุดตั้งต้นที่สำคัญคือ Risk Assessment และ DPIA
สิ่งที่ทำให้ Privacy Program แข็งแรง ไม่ใช่การเริ่มจากฟอร์มเอกสาร แต่คือ “เริ่มจากการประเมินความเสี่ยงให้ถูกชนิด”
  • ความเสี่ยงขององค์กร: มองผลกระทบต่อธุรกิจ (ชื่อเสียง รายได้ ระบบล่ม)
  • ความเสี่ยงต่อเจ้าของข้อมูล: มองผลกระทบต่อ “สิทธิและเสรีภาพของคน” (ถูกหลอก ถูกเปิดเผย ถูกติดตาม ถูกเลือกปฏิบัติ ฯลฯ)
และเครื่องมือที่ใช้กับกิจกรรมเสี่ยงสูงต่อเจ้าของข้อมูล คือ DPIA (Data Protection Impact Assessment) ซึ่งช่วยให้องค์กร “คิดให้จบก่อนเริ่ม” และลดโอกาสโดนตรวจย้อนหลังเมื่อเกิดเหตุ
HR คือด่านหน้าที่หลายองค์กรยังมองข้าม
     HR ไม่ได้เกี่ยวแค่ข้อมูลลูกค้า แต่เกี่ยวกับ “ข้อมูลพนักงาน” โดยตรง และยังเป็นหัวใจของการสร้าง Awareness ให้พนักงานทั้งองค์กร เพราะความเสียหายจำนวนมากมักเกิดจาก Human Error ถ้า HR ทำหน้าที่ 2 ส่วนนี้ได้จริง (ดูแลข้อมูลพนักงาน + ปลูกฝังวัฒนธรรมการใช้ข้อมูลที่ถูกต้อง) องค์กรจะลดความเสี่ยงได้มากแบบเห็นผล

กลยุทธ์ปี 2569: เปลี่ยน PDPA ให้เป็น “ระบบองค์กร” ไม่ใช่ “โปรเจกต์ครั้งคราว”

1) เปลี่ยนมุมมองต่อข้อมูล: จาก New Oil → Liability
     ประโยคที่ควรใช้คุยกับผู้บริหารคือ “ข้อมูลที่ไม่จำเป็น คือหนี้สินในอนาคต” เพราะยิ่งเก็บมาก โอกาสรั่วไหลยิ่งมาก และต้นทุนดูแลยิ่งสูงขึ้น หลักคิดที่ใช้ได้จริงคือ Data Minimization และแนวทาง “Collect less, Protect more” คือเก็บเท่าที่จำเป็น แต่ป้องกันให้เต็มที่
สิ่งที่องค์กรควรตอบให้ได้เป็นรูปธรรมในปี 2569 คือ
  • เก็บไปเพื่ออะไร (Purpose)
  • เก็บนานแค่ไหน (Retention)
  • ลบ/ทำลายอย่างไรให้ปลอดภัย (Secure Disposal)

2) รับมือความเสี่ยงซัพพลายเชน + AI: สัญญาอย่างเดียวไม่พอ
    ยุคนี้การมี NDA/DPA เป็นพื้นฐาน แต่ไม่พอถ้าไม่มีการตรวจจริง (Third-party Due Diligence) และไม่มีการซ้อมรับมือเหตุ (Incident Response) ร่วมกับผู้ให้บริการ และเมื่อ AI เข้ามา ภัยคุกคามจะ “แนบเนียนขึ้น” (เช่นการปลอมแปลง/หลอกลวง) ทำให้องค์กรต้องยกระดับทั้งกระบวนการคนและมาตรการเทคนิคไปพร้อมกัน

3) ใช้มาตรฐานช่วยทำให้ยั่งยืน: ทำเป็นวงจร ไม่ใช่ทำเป็นครั้ง
     เพราะกฎหมายไม่ได้บอกวิธีทำละเอียดทุกขั้น องค์กรที่อยากทำให้ “อยู่ได้ยาว” มักใช้มาตรฐาน/กรอบคิดช่วยวางระบบ เช่น ISO/IEC 27701 ซึ่งเป็นส่วนขยายจาก ISO/IEC 27001 และ 27002 สำหรับระบบบริหารจัดการข้อมูลส่วนบุคคล (PIMS) และมักดำเนินงานแบบวงจร PDCA (Plan–Do–Check–Act) เพื่อทบทวนและปรับปรุงต่อเนื่อง
อีกแนวทางหนึ่งคือ “เครื่องหมายรับรอง/Trust Mark” ที่ภาครัฐเคยสื่อสารทิศทางการดำเนินการเพื่อสร้างความเชื่อมั่นในระดับมาตรฐาน

4) เตรียมรับมือการใช้สิทธิของเจ้าของข้อมูลที่เพิ่มขึ้น
     ปี 2569 แนวโน้มการใช้สิทธิ (เช่น ขอเข้าถึง ขอคัดค้าน ขอให้ลบ ฯลฯ) มีโอกาสเพิ่มขึ้น ซึ่งถ้าองค์กรไม่มีระบบรับคำขอ ไม่มีผู้รับผิดชอบ ไม่มี SLA ก็เสี่ยงทั้งต้นทุนและข้อร้องเรียน สิ่งสำคัญคือทำให้การใช้สิทธิ “เป็นกระบวนการมาตรฐาน” ไม่ใช่ให้คนหนึ่งคนวิ่งแก้เฉพาะหน้า

Checklist 10 ข้อ (ทำให้เป็น “แผนเริ่มต้น” ที่ลงมือได้ทันที)

1. ทบทวนมาตรการความปลอดภัยแบบครบมิติ
 อย่าดูแค่ IT แต่ให้ดูทั้งกายภาพ (เอกสาร/พื้นที่), เทคนิค (ระบบ/สิทธิ์/บันทึก log) และองค์กร (นโยบาย/กระบวนการ/ผู้รับผิดชอบ)
2. แยก “ความเสี่ยงธุรกิจ” ออกจาก “ความเสี่ยงต่อเจ้าของข้อมูล”
 แล้วเลือกกิจกรรมที่เสี่ยงสูงมาทำ DPIA ก่อน เช่น งานที่ใช้ข้อมูลจำนวนมาก งานที่มีข้อมูลอ่อนไหว งานที่ใช้ AI ช่วยตัดสินใจ
3. กำหนด Data Retention ให้ชัด
 ข้อมูลแต่ละประเภทต้องมีเหตุผลในการเก็บ มีระยะเวลา และมีวิธีทำลายที่ตรวจสอบได้ (รวมทั้งข้อมูลกระดาษ)
4. ทำ Vendor Due Diligence ก่อนเซ็นสัญญา
 อย่าพึ่ง DPA อย่างเดียว ให้ตรวจมาตรการจริง เช่น การเข้ารหัส การควบคุมสิทธิ การจัดการเหตุรั่วไหล การทำลายข้อมูล
5. ซ้อม Incident Response ร่วมกับคู่ค้า/ผู้ให้บริการ
 เพราะหลายเหตุเกิดที่ “ปลายทาง” ถ้าซ้อมเฉพาะในองค์กร แต่คู่ค้าไม่พร้อม วันเกิดเหตุจริงจะช้าและวุ่น
6. ล็อกกติกาการใช้งานเครื่องมือสื่อสารในองค์กร
 เช่น ไฟล์ประเภทไหนส่งผ่านแชทได้/ไม่ได้ ต้องใช้ช่องทางองค์กรแบบใดแทน (บทเรียนนี้เห็นชัดจากเคสที่เป็นข่าว)
7. ตรวจ HR Mandatory ให้ครบและอัปเดต
 มองให้เป็นระบบ: มีเอกสาร/ประกาศที่เกี่ยวกับพนักงานครบไหม และเมื่อกระบวนการทำงานเปลี่ยน ต้องอัปเดตทันที
8. ทำ Awareness แบบวัดผลได้
 ไม่ใช่แค่อบรมแล้วจบ ให้มีแบบทดสอบ/สถานการณ์จำลอง/เกณฑ์ผ่าน และสื่อสารซ้ำเป็นรอบ ๆ
9. ตั้ง “Data Minimization” เป็น KPI เชิงบริหาร
 ลดการเก็บข้อมูลที่ไม่จำเป็น ลดการเข้าถึงที่เกินหน้าที่ และลดการกระจายข้อมูลไปหลายที่
10. เตรียมระบบรองรับ Data Subject Rights
 กำหนดช่องทางรับคำขอ ผู้รับผิดชอบ ระยะเวลาตอบ และหลักฐานการดำเนินการ เพื่อไม่ให้ทุกคำขอกลายเป็นไฟลนก้น

สรุป

     ปี 2569 องค์กรที่ทำ PDPA ได้ดี จะไม่ได้แค่ “ลดความเสี่ยงโดนปรับ” แต่จะได้ความเชื่อมั่นจากลูกค้า คู่ค้า และพนักงานกลับมาเป็นแต้มต่อธุรกิจ หัวใจไม่ใช่เอกสารสวย ๆ แต่คือการทำให้ PDPA เป็น “ระบบบริหารความเสี่ยงขององค์กร” และเป็น “Mindset ของคนทั้งองค์กร” ตั้งแต่ผู้บริหารลงมาจนถึงหน้างาน
     หากองค์กรของท่านต้องการคำปรึกษา การตรวจประเมินระบบ การจัดทำ PDPA หรือหลักสูตรอบรม DPO/บุคลากร เพื่อยกระดับการทำ PDPA ให้ยั่งยืน สามารถติดต่อทีม PDPA Thailand ได้ผ่าน Line Official Account >> คลิก
dpo in action อบรม pdpa dpo
DPOinActionรุ่น19 1200x300