PDPA คืออะไร ทำไมแอปพลิเคชันต้องสนใจ?

พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA — Personal Data Protection Act) บังคับใช้เต็มรูปแบบในไทยตั้งแต่ปี 2022 มีบทลงโทษสูงสุด ปรับไม่เกิน 5 ล้านบาทต่อครั้ง และอาจมีโทษจำคุกหากเกิดความเสียหายร้ายแรง

แอปพลิเคชันเป็นจุดรวมข้อมูลส่วนบุคคล (Email, เบอร์โทร, GPS, รูปภาพ) จึงเป็นเป้าหมายแรกของการตรวจสอบโดย สำนักงาน PDPA หากลูกค้าร้องเรียน

7 ข้อที่แอปพลิเคชันต้องทำเพื่อ PDPA Compliance

1. Privacy Policy ที่ผู้ใช้อ่านเข้าใจ

ต้องเขียน ภาษาไทยที่คนทั่วไปเข้าใจ ไม่ใช่ภาษากฎหมาย

ระบุชัดเจน: เก็บข้อมูลอะไร, ใช้ทำอะไร, เก็บนานแค่ไหน, ส่งให้ใครบ้าง

มีลิงก์เข้าถึงได้จาก Settings และตอนสมัครสมาชิก

2. Consent UI ที่ถูกต้อง

ผิด: Checkbox "ยอมรับเงื่อนไขทั้งหมด" ติ๊กไว้แล้ว (Pre-ticked)

ถูก: แยก Checkbox ตามวัตถุประสงค์

[ ] ยินยอมให้ใช้ข้อมูลเพื่อใช้บริการแอป (จำเป็น — ไม่ยอมก็ใช้ไม่ได้)

[ ] ยินยอมให้ส่งข่าวสารการตลาด (ไม่จำเป็น — ยกเลิกได้)

[ ] ยินยอมให้วิเคราะห์พฤติกรรมเพื่อแนะนำสินค้า (ไม่จำเป็น)

3. Data Minimization

เก็บเฉพาะข้อมูลที่จำเป็นจริง ๆ ต่อการใช้บริการ:

ผิด: แอปอ่านข่าว ขอสิทธิ์ Contact, SMS, Location

ถูก: แอปอ่านข่าว ขอแค่ Email สำหรับสมัครสมาชิก

4. การเข้ารหัสข้อมูล (Encryption)

In Transit: TLS 1.3 (HTTPS) ทุก API Call

At Rest: AES-256 สำหรับ Password, Personal ID

Password Hashing: bcrypt, Argon2 (ไม่ใช่ MD5/SHA1)

5. Data Subject Rights (สิทธิ์ของเจ้าของข้อมูล)

แอปต้องมี UI ให้ผู้ใช้ทำได้:

ดูข้อมูลของตัวเอง (Right to Access)

แก้ไขข้อมูล (Right to Rectification)

ลบข้อมูล (Right to Erasure / "Right to be Forgotten")

Export ข้อมูล เป็น JSON/CSV (Right to Portability)

ถอนความยินยอม ที่เคยให้ไว้

6. Data Breach Notification

ถ้าข้อมูลรั่วไหล (Hack, Leak) ต้อง:

แจ้ง สำนักงาน PDPA ภายใน 72 ชั่วโมง

แจ้งเจ้าของข้อมูลที่ได้รับผลกระทบโดยตรง

ต้องมี Incident Response Plan ที่เขียนเป็นเอกสาร

7. Data Processing Agreement (DPA)

ถ้าใช้ Third-party Service (Firebase, AWS, Stripe) ต้องมี สัญญา DPA ระบุว่า Service Provider จะปกป้องข้อมูลอย่างไร

Consent Log: สิ่งที่ทีมเทคนิคต้องทำ

ทุกครั้งที่ผู้ใช้กดยอมรับ/ปฏิเสธ ต้องบันทึก:

User ID

Consent Version (V1, V2 ตาม Policy ที่ update)

Timestamp (เวลา ณ จุด consent)

Channel (App iOS / Android / Web)

IP Address (สำหรับ Audit)

เก็บ Log อย่างน้อย 10 ปี เพื่อตรวจสอบย้อนหลัง

การจัดการ Cookie บนเว็บ + Tracking SDK บนแอป

เว็บ: Cookie Consent Banner

แสดงก่อนโหลด Tracking (Google Analytics, Meta Pixel, TikTok Pixel)

แยก Category: Essential / Analytics / Marketing

แอป: ATT (App Tracking Transparency)

iOS: ใช้ AppTrackingTransparency Framework ขอ permission ก่อนใช้ IDFA

Android: Google Play Policy ระบุว่าต้องขอ consent สำหรับ Advertising ID

Checklist สรุปก่อน Launch

✅ Privacy Policy + Terms of Service อัพเดทและเข้าถึงได้จากแอป

✅ Consent UI แยก purpose ชัดเจน ไม่ pre-tick

✅ ข้อมูลทุก API เข้ารหัส TLS + ข้อมูลใน DB เข้ารหัส

✅ Password ใช้ bcrypt หรือ Argon2

✅ มีหน้า "จัดการข้อมูลส่วนตัว" ใน Profile ให้ลบ/export ได้

✅ มี Incident Response Plan เป็นลายลักษณ์อักษร

✅ Consent Log เก็บครบ

✅ DPA กับ Vendor ทุกราย

✅ แต่งตั้ง DPO (Data Protection Officer) ถ้าองค์กรใหญ่

คำถามที่พบบ่อย (FAQ)

บริษัทเล็กต้องทำตาม PDPA ไหม?

ต้อง — ไม่มีข้อยกเว้นเรื่องขนาดบริษัท ถ้าเก็บข้อมูลส่วนบุคคลของคนไทยต้องทำตามทั้งหมด

แอปที่ทำก่อน PDPA บังคับใช้ ต้องแก้ไขไหม?

ต้อง — ทุกแอปที่ยังให้บริการต้อง update ให้ compliant

ถ้าใช้ Firebase / Supabase ข้อมูลอยู่ต่างประเทศ ผิด PDPA ไหม?

ไม่ผิด แต่ต้อง:

ระบุใน Privacy Policy ว่าข้อมูลอยู่ประเทศไหน

มี DPA ที่ให้การคุ้มครองเทียบเท่า PDPA

ผู้ใช้ยินยอมรับทราบ

โทษหนักแค่ไหนถ้าไม่ทำตาม PDPA?

ปรับสูงสุด 5 ล้านบาท/กรณี

ถูกเรียกร้องค่าเสียหายจากเจ้าของข้อมูล

เสีย reputation (คนรู้ผ่านข่าวก็ไม่กล้าใช้แอป)

สรุป

PDPA Compliance ไม่ใช่เรื่อง "ทำก็ได้ ไม่ทำก็ได้" แต่เป็น การคุ้มครองธุรกิจจากความเสี่ยงทางกฎหมายและ Reputation

DOSX พัฒนาแอปให้ลูกค้า Enterprise โดยคำนึง PDPA, ISO 27001, และ OWASP Top 10 ตั้งแต่เริ่มต้น พร้อมส่งมอบเอกสาร Compliance ครบชุด

PDPA สำหรับแอปพลิเคชัน: Compliance Checklist ที่ทุกแอปต้องทำ