องค์กรจำนวนมากยังคงมองพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ผ่านกรอบความคิดของการปฏิบัติตามกฎระเบียบในระยะแรก โดยให้ความสำคัญกับประกาศความเป็นส่วนตัว การจัดทำคำยินยอม ข้อสัญญามาตรฐาน และโครงการปรับปรุงเอกสารที่ดำเนินการในช่วงเริ่มต้นของการบังคับใช้กฎหมาย
อย่างไรก็ตาม กรอบความคิดดังกล่าวกำลังไม่เพียงพอมากขึ้นเรื่อย ๆ
การเปลี่ยนแปลงนี้สะท้อนให้เห็นจาก “คลื่นแรก” ของการบังคับใช้ทางปกครองโดยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเมื่อวันที่ 1 สิงหาคม 2568 ซึ่งมีคำสั่งปรับทางปกครองจำนวน 8 คำสั่งใน 5 คดี รวมถึงการประกาศใช้ระเบียบคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ว่าด้วยการตรวจสอบและรับรองข้อบังคับภายในของนิติบุคคล (Binding Corporate Rules) พ.ศ. 2568 ซึ่งมีผลใช้บังคับเมื่อวันที่ 17 กุมภาพันธ์ 2569 ตลอดจนพัฒนาการด้าน AI ล่าสุด เช่น การเปิดรับฟังความคิดเห็นของสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (ETDA) ต่อร่างหลักการกฎหมายว่าด้วยปัญญาประดิษฐ์ และการรับฟังความคิดเห็นครั้งที่สองของสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ต่อร่างแนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลในการพัฒนาและใช้ประโยชน์จากปัญญาประดิษฐ์ ระหว่างวันที่ 13–19 มีนาคม 2569
PDPA ของประเทศไทยกำลังเข้าสู่ระยะที่สอง ซึ่งมีลักษณะสำคัญคือ การบังคับใช้กฎหมาย การกำกับดูแลเชิงปฏิบัติการ การกำกับดูแลข้อมูลข้ามพรมแดนในระดับองค์กร และการประยุกต์ใช้กฎหมายกับเทคโนโลยีเกิดใหม่ เช่น AI องค์กรไม่เพียงแต่ต้องมีเอกสารการปฏิบัติตามกฎระเบียบ แต่ยังต้องแสดงให้เห็นว่าภาระหน้าที่ด้านการคุ้มครองข้อมูลส่วนบุคคลสามารถดำเนินการได้จริงในทางปฏิบัติ
คำถามสำคัญในปี 2569 จึงไม่ใช่อีกต่อไปว่าองค์กรมีเอกสารพื้นฐานด้าน PDPA ครบถ้วนหรือไม่ หากแต่เป็นว่าองค์กรสามารถดำเนินกรอบการกำกับดูแลข้อมูลส่วนบุคคลที่มีความน่าเชื่อถือได้จริงในทางปฏิบัติหรือไม่
ทิศทางดังกล่าวสอดคล้องกับพัฒนาการของกฎหมายคุ้มครองข้อมูลส่วนบุคคลในหลายเขตอำนาจศาล ซึ่งมักเริ่มต้นจากการปฏิบัติตามเชิงเอกสาร ก่อนพัฒนาไปสู่ความรับผิดชอบเชิงปฏิบัติการและการกำกับดูแลที่มีประสิทธิภาพ
สำหรับ General Counsel เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) และทีมกำกับดูแลการปฏิบัติตามในระดับภูมิภาค ประเด็นสำคัญจึงชัดเจนว่า โครงการที่ออกแบบมาเพื่อรองรับเพียงการจัดทำเอกสารแบบสถิต อาจยังคงมุ่งแก้ไขโจทย์ของการปฏิบัติตามกฎระเบียบในอดีต
สรุปประเด็นสำคัญ
พัฒนาการล่าสุดของการปฏิบัติตาม PDPA ในประเทศไทยสะท้อนให้เห็นถึงการเปลี่ยนแปลงเชิงโครงสร้าง 5 ประการ ได้แก่
- สิทธิของเจ้าของข้อมูลกำลังกลายเป็นกระบวนการเชิงปฏิบัติการ มากกว่าภาระหน้าที่ในทางทฤษฎี
- การถ่ายโอนข้อมูลข้ามพรมแดนภายใต้ PDPA กำลังพัฒนาไปสู่การกำกับดูแลในระดับองค์กร
- ข้อมูลของเด็กและการตรวจสอบอายุกำลังได้รับความสนใจจากหน่วยงานกำกับดูแลมากขึ้น
- กิจกรรมที่เกี่ยวข้องกับ AI มีแนวโน้มจะถูกกำกับดูแลผ่านทั้งนโยบายการกำกับดูแล AI ทั่วไป และหลักการของ PDPA ที่มีอยู่ โดยเฉพาะเมื่อ AI เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล (ดู: AI, Machine Learning and Big Data in Thailand: Legal and Regulatory Considerations 2025)
- หน่วยงานกำกับดูแลคาดหวัง “ความรับผิดชอบที่สามารถพิสูจน์ได้จริง” มากกว่าการปฏิบัติตามในเชิงเอกสารเพียงอย่างเดียว
I. จากการปฏิบัติตามบนกระดาษสู่การกำกับดูแลเชิงปฏิบัติการ
ระยะแรกของการนำ PDPA มาใช้ในประเทศไทยจำเป็นต้องขับเคลื่อนด้วยเอกสารองค์กรจำนวนมากจึงให้ความสำคัญกับสิ่งที่มองเห็นได้ เช่น ประกาศความเป็นส่วนตัวกลไกการขอความยินยอม แบบฟอร์มบันทึก ข้อตกลงกับผู้ประมวลผลข้อมูล และนโยบายภายใน ซึ่งยังคงเป็นองค์ประกอบพื้นฐานของการปฏิบัติตาม PDPA
อย่างไรก็ตาม เมื่อกฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศไทยพัฒนามากขึ้น จุดเน้นจึงเริ่มเปลี่ยนจาก “การมีเอกสาร” ไปสู่ “ความสามารถในการดำเนินการตามเอกสารดังกล่าวได้จริง”
ความสนใจที่เพิ่มขึ้นต่อคำร้องขอใช้สิทธิของเจ้าของข้อมูล (Data Subject Requests) เป็นตัวอย่างที่ชัดเจน สิทธิของเจ้าของข้อมูลอาจดูตรงไปตรงมาในทางหลักการ แต่มีความซับซ้อนสูงในทางปฏิบัติ การตอบสนองอย่างมีประสิทธิภาพจำเป็นต้องอาศัยการประสานงานระหว่างฝ่ายกฎหมาย ทรัพยากรบุคคล ไอที ความมั่นคงปลอดภัยไซเบอร์และหน่วยธุรกิจ
ประเด็นเรื่องการยืนยันตัวตน การกำหนดขอบเขต การปกปิดข้อมูล ระยะเวลา และความสม่ำเสมอในการตอบสนอง ล้วนกลายเป็นเรื่องของการดำเนินงาน มากกว่าปัญหาทางกฎหมายโดยตรง
สำหรับหลายองค์กร นี่คือจุดที่โปรแกรมด้านความเป็นส่วนตัวถูกทดสอบอย่างแท้จริงธุรกิจอาจมีนโยบายที่สอดคล้องกับกฎหมาย แต่กลับขาดความสามารถในการค้นหาตรวจสอบ และส่งมอบข้อมูลจากหลายระบบภายใต้เงื่อนไขจริง
ในทางปฏิบัติ ปัญหาที่พบมักเป็นปัญหาเชิงโครงสร้างมากกว่าประเด็นทางกฎหมายข้อมูลอาจกระจายอยู่ในระบบ HR อีเมล Shared Drive และระบบเดิม (Legacy Systems) โดยไม่มีผู้รับผิดชอบที่ชัดเจนในการรวบรวมข้อมูล ส่งผลให้ความสามารถในการตอบสนองขึ้นอยู่กับความพร้อมเชิงปฏิบัติการ มากกว่าตัวบทกฎหมายเพียงอย่างเดียว
II. จากการถ่ายโอนข้อมูลข้ามพรมแดนสู่การกำกับดูแลระดับองค์กร
การถ่ายโอนข้อมูลข้ามพรมแดนภายใต้ PDPA ยังคงเป็นหนึ่งในประเด็นที่มีความสำคัญเชิงพาณิชย์สูงที่สุด สำหรับกลุ่มบริษัทข้ามชาติ ข้อมูลส่วนบุคคลมักถูกถ่ายโอนผ่านระบบHR ระดับภูมิภาค แพลตฟอร์มคลาวด์ ฐานข้อมูลลูกค้า และโครงสร้างบริการร่วมกัน (ดู: Cloud Services and Telecommunication Licensing in Thailand)
ในอดีต หลายองค์กรให้ความสำคัญกับการจัดทำสัญญาเป็นหลัก โดยพิจารณาว่าข้อตกลงมีข้อความรองรับที่เพียงพอหรือไม่ อย่างไรก็ตาม แนวทางดังกล่าวกำลังไม่เพียงพออีกต่อไป
พัฒนาการอย่าง Binding Corporate Rules (BCRs) สะท้อนถึงการกำกับดูแลในระดับที่สูงขึ้น BCRs ไม่ใช่เพียงเครื่องมือทางสัญญา แต่เป็นกลไกที่สะท้อนความรับผิดชอบทั่วทั้งองค์กร รวมถึงนโยบายภายใน กลไกตรวจสอบ การฝึกอบรม การจัดการข้อร้องเรียนและการบังคับใช้ที่สอดคล้องกันทั่วทั้งกลุ่มบริษัทสำหรับการถ่ายโอนข้อมูลภายในกลุ่มทั้งนี้ภายใต้การรับรองหรืออนุมัติจาก PDPC
พัฒนาการดังกล่าวมีความสำคัญต่อประเทศไทย เนื่องจากข้อมูลส่วนบุคคลของไทยมักเป็นส่วนหนึ่งของโครงสร้างระดับภูมิภาคและระดับโลกอยู่แล้ว หากประเทศไทยไม่ได้ถูกผนวกรวมเข้าสู่ระบบการกำกับดูแลที่กว้างกว่า การปฏิบัติตามกฎระเบียบในระดับท้องถิ่นอาจต้องอาศัยแนวทางที่กระจัดกระจายหรือซ้ำซ้อน
ทิศทางจึงชัดเจนว่า การถ่ายโอนข้อมูลข้ามพรมแดนภายใต้ PDPA กำลังเปลี่ยนจาก“ความเพียงพอของเอกสาร” ไปสู่ “ความสอดคล้องของระบบการกำกับดูแล”
III. ข้อมูลของเด็กและการประมวลผลที่คำนึงถึงอายุ
ข้อมูลของเด็กกำลังได้รับความสนใจจากหน่วยงานกำกับดูแลมากขึ้นในหลายประเทศและประเทศไทยเองก็เริ่มแสดงแนวโน้มในทิศทางเดียวกัน โดยเฉพาะในบริบทของบริการดิจิทัลและความเสี่ยงที่เกี่ยวข้องกับ AI
ประเด็นดังกล่าวเกี่ยวข้องกับความสามารถทางกฎหมาย ความยินยอม ความเป็นธรรมและความเสี่ยงด้านชื่อเสียงภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทย
ภายใต้กฎหมายไทย การวิเคราะห์ไม่ได้ขึ้นอยู่กับเกณฑ์อายุเพียงอย่างเดียว แต่ยังเชื่อมโยงกับหลักความสามารถทางแพ่งและอำนาจปกครองของผู้ปกครอง ซึ่งต้องอาศัยการพิจารณาที่ละเอียดอ่อนมากขึ้น
ในระดับปฏิบัติการ องค์กรจำนวนมากอาจประเมินความเสี่ยงต่ำเกินไป บริการที่ไม่ได้ออกแบบมาสำหรับผู้เยาว์โดยเฉพาะ อาจยังดึงดูดผู้ใช้งานที่มีอายุน้อยผ่านแอปพลิเคชันเกม แพลตฟอร์มค้าปลีก หรือเนื้อหาดิจิทัล
การตรวจสอบอายุเพิ่มความซับซ้อนเพิ่มเติม วิธีการที่ล่วงล้ำเกินไปอาจนำไปสู่การเก็บรวบรวมข้อมูลอ่อนไหวโดยไม่จำเป็น ขณะที่มาตรการที่ผ่อนปรนเกินไปอาจไม่สามารถจัดการความเสี่ยงที่คาดการณ์ได้อย่างเหมาะสม
องค์กรจึงควรประเมินอย่างรอบคอบว่า ผู้เยาว์อาจเข้าถึงบริการของตนได้จริงหรือไม่ และมาตรการควบคุมที่มีอยู่มีความเหมาะสมกับความเสี่ยงดังกล่าวเพียงใด
IV. การกำกับดูแล AI ผ่านหลักการของPDPA ที่มีอยู่
ในขณะที่หลายประเทศกำลังพัฒนากฎหมายเฉพาะเกี่ยวกับ AI ประเทศไทยกำลังจัดการกิจกรรมที่เกี่ยวข้องกับ AI ผ่านสองแนวทางคู่ขนาน ได้แก่ การกำกับดูแล AI ในภาพรวมและแนวปฏิบัติด้านการคุ้มครองข้อมูลส่วนบุคคลสำหรับ AI ที่เกี่ยวข้องกับข้อมูลส่วนบุคคล
ในด้านการกำกับดูแล AI โดยทั่วไป กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ผ่านสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (ETDA) ได้เปิดรับฟังความคิดเห็นต่อร่างหลักการกฎหมายว่าด้วยปัญญาประดิษฐ์ ซึ่งครอบคลุมประเด็นเกี่ยวกับ AI ความเสี่ยงสูง การใช้ AI อย่างรับผิดชอบ การคุ้มครองสิทธิ ความรับผิดชอบ และการใช้ทั้ง soft law และhard law
ในอีกด้านหนึ่ง PDPC ได้เปิดรับฟังความคิดเห็นครั้งที่สองต่อร่างแนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลในการพัฒนาและใช้ประโยชน์จาก AI ซึ่งยังไม่มีผลผูกพันทางกฎหมายในปัจจุบัน
เมื่อระบบ AI มีการประมวลผลข้อมูลส่วนบุคคล ภาระหน้าที่ภายใต้ PDPA ยังคงมีผลใช้บังคับ ไม่ว่าจะเป็นเรื่องฐานทางกฎหมาย ความโปร่งใส การจำกัดวัตถุประสงค์ การลดปริมาณข้อมูล ความถูกต้อง ระยะเวลาการเก็บรักษา และความมั่นคงปลอดภัย
การสร้างโปรไฟล์และการตัดสินใจอัตโนมัติยังนำไปสู่ข้อพิจารณาเพิ่มเติมเกี่ยวกับความเป็นธรรมและความรับผิดชอบ
ในหลายองค์กร การใช้ AI ได้เกิดขึ้นแล้วโดยไม่มีการจำแนกหรือกำกับดูแลอย่างเป็นระบบ เครื่องมือภายใน ระบบบริการลูกค้าอัตโนมัติ และแพลตฟอร์มของบุคคลภายนอกอาจมีการประมวลผลข้อมูลส่วนบุคคลเป็นส่วนหนึ่งของการดำเนินงานประจำวันอยู่แล้ว
ประเด็นทางกฎหมายจึงไม่ใช่ “การใช้ AI ในอนาคต” แต่เป็น “การมองเห็นและควบคุมการใช้งาน AI ในปัจจุบัน”
แนวทางของหน่วยงานกำกับดูแลมีแนวโน้มจะเป็นไปอย่างค่อยเป็นค่อยไป มากกว่าการออกกฎหมายเฉพาะอย่างครอบคลุมในระยะสั้น โดยอาจอาศัยหลักการของ PDPA ที่มีอยู่ในการกำกับดูแล AI ที่เกี่ยวข้องกับข้อมูลส่วนบุคคล ขณะที่กรอบการกำกับดูแล AI โดยรวมยังคงพัฒนาต่อไปผ่าน ETDA และหน่วยงานที่เกี่ยวข้อง
องค์กรที่รอให้มีกฎหมาย AI เฉพาะก่อนเริ่มกำกับดูแลภายใน อาจเผชิญความเสี่ยงภายใต้กฎหมายที่มีอยู่แล้ว
V. ความรับผิดชอบในฐานะตัวชี้วัดการปฏิบัติตามที่แท้จริง
เส้นใยร่วมของพัฒนาการทั้งหมดคือ “ความรับผิดชอบ”
ในระยะแรก การปฏิบัติตามกฎระเบียบมักถูกประเมินจากการมีเอกสาร เมื่อเวลาผ่านไปจุดเน้นจะเปลี่ยนไปสู่ความสามารถขององค์กรในการแสดงให้เห็นถึงการกำกับดูแลอย่างรับผิดชอบในทางปฏิบัติ
ซึ่งรวมถึง:
- การกำหนดผู้รับผิดชอบด้านความเป็นส่วนตัวอย่างชัดเจน
- กระบวนการยกระดับประเด็นที่สามารถใช้งานได้จริง
- การจัดการคำร้องขอใช้สิทธิอย่างมีประสิทธิภาพ
- การบริหารจัดการการถ่ายโอนข้อมูลข้ามพรมแดนอย่างมีวินัย
- การกำกับดูแลผู้ประมวลผลและผู้ให้บริการภายนอก
- การกำกับดูแลการใช้เทคโนโลยี
- การบันทึกและอธิบายกระบวนการตัดสินใจ
ช่องว่างที่พบมักไม่ได้เกิดจากความเข้าใจผิดในหลักกฎหมาย แต่เกิดจากความไม่สอดคล้องระหว่างนโยบายกับการปฏิบัติจริง เอกสารอาจไม่สะท้อนการไหลของข้อมูลในปัจจุบัน ความสัมพันธ์กับผู้ให้บริการภายนอกอาจเปลี่ยนแปลงโดยไม่มีการปรับปรุงเอกสาร และความรับผิดชอบอาจกระจายตัวจนขาดความชัดเจน
ประเด็นสำคัญจึงเป็นเรื่องเชิงปฏิบัติ ระยะแรกของ PDPA ตั้งคำถามว่า “องค์กรมีนโยบายหรือไม่” ขณะที่ระยะที่สองตั้งคำถามว่า “นโยบายดังกล่าวสามารถใช้งานได้จริงหรือไม่”
สิ่งนี้หมายความว่าอย่างไรสำหรับ General Counsel และ DPOs
สำหรับผู้นำด้านกฎหมายและการกำกับดูแล ประเด็นสำคัญในปัจจุบันไม่ใช่การปรับโครงสร้างครั้งใหญ่ แต่เป็นการปรับเทียบระบบให้สอดคล้องกับความเป็นจริงในการดำเนินงาน
ประเด็นกดดันสำคัญมักประกอบด้วย:
- องค์กรสามารถดำเนินการตามสิทธิของเจ้าของข้อมูลได้จริงในระบบและหน่วยธุรกิจที่กระจัดกระจายหรือไม่
- ประเทศไทยถูกรวมอยู่ในกรอบการกำกับดูแลการถ่ายโอนข้อมูลข้ามพรมแดนระดับภูมิภาคอย่างแท้จริงหรือไม่
- บริการขององค์กรอาจเกี่ยวข้องกับผู้เยาว์ในทางปฏิบัติ แม้ไม่ได้ออกแบบไว้โดยตรงหรือไม่
- เครื่องมือ AI มีการประมวลผลข้อมูลส่วนบุคคลโดยไม่มีการกำกับดูแลอย่างเป็นทางการหรือไม่
- นโยบายที่มีอยู่ยังสะท้อนการไหลของข้อมูลและการดำเนินงานจริงในปัจจุบันหรือไม่
คำถามเหล่านี้ไม่ใช่ประเด็นทางทฤษฎี แต่เป็นประเด็นที่มักปรากฏขึ้นในช่วงที่องค์กรเผชิญแรงกดดัน เช่น การร้องขอใช้สิทธิ เหตุการณ์ข้อมูลรั่วไหล การตรวจสอบ หรือการสอบสวนภายใน
องค์กรที่สามารถจัดการประเด็นเหล่านี้ล่วงหน้าได้ ย่อมมีความพร้อมมากกว่าในการบริหารทั้งความเสี่ยงด้านกฎระเบียบและความเสี่ยงเชิงพาณิชย์
บทสรุป
PDPA ของประเทศไทยไม่ควรถูกมองว่าเป็นเพียงกฎหมายใหม่ที่ต้องการมาตรการพื้นฐานด้านการปฏิบัติตามอีกต่อไป แต่กำลังพัฒนาไปสู่กรอบการกำกับดูแลที่มีความคาดหวังสูงขึ้นในด้านการดำเนินงาน ความรับผิดชอบ และการกำกับดูแลเทคโนโลยี (ดู: Thailand Digital Communications Regulatory Framework 2025)
พัฒนาการล่าสุดเกี่ยวกับสิทธิการเข้าถึงข้อมูล การถ่ายโอนข้อมูลข้ามพรมแดน การประมวลผลข้อมูลที่คำนึงถึงอายุ และ AI ควรถูกพิจารณาร่วมกัน พัฒนาการดังกล่าวสะท้อนให้เห็นถึงการเปลี่ยนผ่านจาก “การปฏิบัติตามในเชิงเอกสาร” ไปสู่ “ความพร้อมเชิงปฏิบัติการและความรับผิดชอบในการกำกับดูแล”
สำหรับผู้เชี่ยวชาญที่มีประสบการณ์ นี่คือสัญญาณที่สำคัญที่สุด
องค์กรที่ยังคงมอง PDPA เป็นเพียงการจัดทำเอกสาร อาจยังคงมุ่งแก้ไขโจทย์ของการปฏิบัติตามกฎระเบียบในอดีต
เกี่ยวกับผู้เขียน
John Formichella เป็นหุ้นส่วนผู้ก่อตั้งของ Formichella & Sritawat และให้คำปรึกษาด้านเทคโนโลยี สื่อ โทรคมนาคม และกฎระเบียบข้ามพรมแดนในประเทศไทย
Naytiwut Jamallsawat เป็นหุ้นส่วนของ Formichella & Sritawat และดูแลการปฏิบัติด้านกฎหมายบริษัทและกฎระเบียบของบริษัท โดยมีประสบการณ์ในด้านการคุ้มครองข้อมูล การออกใบอนุญาต และกฎระเบียบดิจิทัล
Supitchaya Akeyati เป็นทนายความของ Formichella & Sritawat โดยเน้นการปฏิบัติด้านความเป็นส่วนตัวของข้อมูล บริการดิจิทัล และการปฏิบัติตามกฎระเบียบ
ข้อสงวนสิทธิ์
บทความนี้จัดทำขึ้นเพื่อวัตถุประสงค์ในการอภิปรายและให้ข้อมูลทั่วไปเท่านั้น และอาจไม่สะท้อนพัฒนาการทางกฎหมายล่าสุดทั้งหมด ข้อมูลในบทความนี้ไม่ควรถูกตีความหรือใช้แทนคำปรึกษาทางกฎหมาย
© 2569 Formichella & Sritawat Attorneys at Law