PDPA คืออะไร?

PDPA (พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562) คือกฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทย มีผลบังคับใช้เต็มรูปแบบตั้งแต่ 1 มิถุนายน 2565 ครอบคลุมการเก็บ ใช้ และเปิดเผยข้อมูลส่วนบุคคล ผู้ฝ่าฝืนมีโทษปรับสูงสุด 5 ล้านบาท

เว็บไซต์ต้องทำอะไรบ้างให้สอดคล้องกับ PDPA?

เว็บไซต์ต้องมี 5 สิ่งหลัก: 1) Cookie Consent Banner ที่มีปุ่มยอมรับและปฏิเสธ 2) นโยบายความเป็นส่วนตัวครบ 8 องค์ประกอบตามมาตรา 23 3) Consent Checkbox ในแบบฟอร์มเก็บข้อมูล 4) แจ้ง Third-Party Trackers ในนโยบายและขอความยินยอม 5) SSL Certificate และมาตรการรักษาความปลอดภัย

ค่าปรับ PDPA สูงสุดเท่าไหร่?

ค่าปรับ PDPA สูงสุด 5 ล้านบาทต่อครั้ง ณ ปัจจุบัน สคส. ได้เรียกเก็บค่าปรับรวมแล้วกว่า 21.5 ล้านบาท โดยกรณีที่ถูกปรับสูงสุดคือสมาคมโรงพยาบาลเอกชน 5.5 ล้านบาท จากการเปิดเผยข้อมูลผู้ป่วยโดยไม่ได้รับความยินยอม

CheckPDPA ตรวจอะไรบ้าง?

CheckPDPA ตรวจสอบ 5 หมวดหลัก: Cookie Consent Banner (มาตรา 19), นโยบายความเป็นส่วนตัว (มาตรา 23), แบบฟอร์มเก็บข้อมูล (มาตรา 19), Third-Party Trackers (มาตรา 26), และ SSL/Security (มาตรา 37) โดยใช้ AI วิเคราะห์และให้เกรด A-F พร้อมคำแนะนำ

ใช้ CheckPDPA ฟรีได้จริงหรือ?

ใช่ สแกนฟรีไม่จำกัดจำนวนครั้ง ดูเกรด A-F และ 3 ปัญหาหลักได้ฟรี สำหรับรายงานเต็มพร้อมวิธีแก้ไข ค่าปรับแต่ละข้อ และเครื่องมือ compliance อื่นๆ สามารถอัปเกรดเป็น Pro ที่ ฿990/เดือน

ผลสแกนฟรีกับ Pro ต่างกันอย่างไร?

สแกนฟรีให้เกรด A-F และแสดง 3 ปัญหาหลัก Pro เพิ่มรายงานเต็มทุกหมวด วิธีแก้ไขทีละขั้นตอน ค่าปรับจริงแต่ละข้อ Deep Scan สำหรับเว็บ SPA (React/Vue) Full-site scan ทุกหน้า Privacy Policy Generator Cookie Banner Builder และ PDF Export

ค่าปรับ PDPA จริง — รวมกว่า ฿21.5 ล้าน — กรณีศึกษาจริงที่ธุรกิจไทยต้องรู้

สรุป: สคส. เริ่มลงดาบจริงแล้ว — ค่าปรับรวมกว่า ฿21.5 ล้าน และยังมีโทษอาญาอีก ธุรกิจที่ยังไม่ทำ PDPA ต้องรีบเช็คด่วน

ค่าปรับ PDPA ไม่ใช่แค่ขู่ — มีจ่ายจริงแล้ว

หลายเจ้าของธุรกิจยังคิดว่า "PDPA ไม่เคยปรับใคร" หรือ "เดี๋ยวค่อยทำ" แต่ความจริงคือ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) เริ่มบังคับใช้จริงจัง ตั้งแต่ปี 2567 เป็นต้นมา มีคดีที่ถูกลงโทษปรับจริงแล้วหลายราย

กรณีศึกษาค่าปรับ PDPA ในไทย

🔴 บริษัทอีคอมเมิร์ซไอที — ปรับ ฿7,000,000

เหตุการณ์: ข้อมูลลูกค้าออนไลน์รั่วไหลจำนวนมาก
ความผิด: ไม่มีมาตรการรักษาความปลอดภัยข้อมูลส่วนบุคคลที่เพียงพอ
บทเรียน: แม้เป็นบริษัทใหญ่ ก็โดนปรับได้ — ขนาดไหนก็ไม่ยกเว้น

🔴 สมาคมโรงพยาบาลเอกชน — ปรับ ฿5,500,000

ความผิด: เปิดเผยข้อมูลผู้ป่วย (Sensitive Data) โดยไม่ได้รับความยินยอม
บทเรียน: ข้อมูลสุขภาพเป็น "ข้อมูลอ่อนไหว" มีโทษหนักเป็นพิเศษ

🔴 บริษัทอีคอมเมิร์ซ — ปรับ ฿4,000,000

ความผิด: เก็บข้อมูลบัตรเครดิตโดยไม่มีมาตรการป้องกัน
บทเรียน: เว็บขายของออนไลน์ที่เก็บข้อมูลการเงิน ต้องระวังเป็นพิเศษ

🔴 ธนาคาร — ปรับ ฿3,200,000

ความผิด: ส่งข้อมูลลูกค้าให้พันธมิตรทางธุรกิจโดยไม่แจ้ง
บทเรียน: แม้ส่งให้ "พันธมิตร" ก็ต้องแจ้งและขอความยินยอมก่อน

🔴 บริษัทโทรคมนาคม — ปรับ ฿2,800,000

ความผิด: Cookie tracking โดยไม่ขอความยินยอม
บทเรียน: แค่มี Cookie Tracker บนเว็บไซต์โดยไม่ขอ consent ก็ผิด PDPA แล้ว

โทษตาม PDPA มีอะไรบ้าง?

โทษทางปกครอง (ค่าปรับ)

สูงสุด ฿5,000,000 ต่อครั้ง
คณะกรรมการผู้เชี่ยวชาญเป็นผู้สั่งปรับ

โทษทางแพ่ง (ค่าเสียหาย)

ค่าปรับจริง + 2 เท่าของค่าปรับ = เงินค่าสินไหมทดแทนที่ต้องจ่าย
ตัวอย่าง: ปรับ ฿5 ล้าน → อาจต้องจ่ายรวม ฿15 ล้าน

โทษทางอาญา

จำคุกสูงสุด 1 ปี หรือ ปรับสูงสุด ฿1,000,000 หรือทั้งจำทั้งปรับ
ใช้กับกรณีร้ายแรง เช่น เปิดเผยข้อมูลอ่อนไหวโดยเจตนา

5 จุดเสี่ยงที่เว็บไซต์ SME มักพลาด

ไม่มี Cookie Consent Banner — โหลด GA, Facebook Pixel โดยไม่ขอ consent
ไม่มี Privacy Policy — หรือมีแต่ไม่ครบ 8 องค์ประกอบตามมาตรา 23
แบบฟอร์มไม่มี Consent Checkbox — เก็บชื่อ เบอร์ อีเมล โดยไม่ขอ consent
Third-party Tracker โหลดก่อนขอ consent — GA, Pixel ต้องรอ consent ก่อน
ไม่มี SSL/HTTPS — ข้อมูลส่งแบบไม่เข้ารหัส = ผิดมาตรา 37

เช็คเว็บไซต์คุณฟรี — ก่อนโดนปรับจริง

ไม่แน่ใจว่าเว็บไซต์ของคุณเสี่ยงหรือเปล่า? เช็คฟรีใน 30 วินาที ที่ CheckPDPA.com — AI จะสแกนเว็บไซต์คุณใน 5 ด้านและให้เกรด A-F พร้อมคำแนะนำการแก้ไข

⚠️ บทความนี้เป็นข้อมูลเบื้องต้นเท่านั้น ไม่ใช่คำปรึกษาทางกฎหมาย ควรปรึกษาผู้เชี่ยวชาญ PDPA หรือ DPO สำหรับการประเมินที่สมบูรณ์

บทความนี้เป็นข้อมูลเบื้องต้นเท่านั้น ไม่ใช่คำปรึกษาทางกฎหมาย ควรปรึกษาผู้เชี่ยวชาญ PDPA หรือ DPO สำหรับการประเมินที่สมบูรณ์