PDPA Core
ให้คำปรึกษา พร้อมจัดทำ PDPA ครบวงจร โดยทีมนักกฎหมายเชี่ยวชาญ พร้อมเทคโนโลยีครบครัน
27/02/2026
ทีมงาน PDPA Core ได้มีโอกาสเข้าร่วมการประชุมรับฟังความคิดเห็นร่างแนวปฏิบัติด้านการคุ้มครองข้อมูลส่วนบุคคลที่เกี่ยวกับการพัฒนาและใช้งานเทคโนโลยีปัญญาประดิษฐ์ โดย สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล - สคส ในวันที่ 19 กุมภาพันธ์ 2569 ณ โรงแรม ดิ เอมเมอรัลด์ ที่ผ่านมา
เพื่อนำเกณฑ์มาตรฐานใหม่นี้มายกระดับการบริการของเรา ให้ตอบโจทย์ทั้งด้านการรักษาความปลอดภัยของข้อมูลลูกค้า และบริการที่ก้าวทันเทคโนโลยียิ่งขึ้น เราจึงขอสรุปประเด็นสำคัญที่น่าสนใจจากที่ประชุมมาฝากทุกคน
📌📌 ทำไมต้องมีแนวปฏิบัติเรื่อง กับ
เพราะวันนี้ AI เข้ามาอยู่ในชีวิตประจำวันเราทุกส่วน ตั้งแต่กระแสนิยมสายมูในไทยที่หลายคนใช้ ChatGPT ช่วยดูลายมือหรือวิเคราะห์ดวงชะตา ไปจนถึงการใช้ AI ช่วยสรุปงานหรือเขียนอีเมลในที่ทำงาน
แต่สิ่งที่หลายคนมองข้ามคือ ในขณะที่เรากำลังพิมพ์ถามดวงชะตา หรือส่งไฟล์งานให้ AI ช่วยสรุป เรากำลังส่งข้อมูลส่วนบุคคลอะไรให้ AI บ้าง? เพราะ AI จะเรียนรู้และปรับตัวตามคำสั่ง (Prompt) หรือข้อมูลที่เราป้อนให้ (Input) เสมอ
#ร่างแนวปฏิบัติฉบับนี้จึงถูกจัดทำขึ้น เพื่อเป็น ‘คู่มือการปฏิบัติงาน’ (Operational Guidance) เพื่อให้องค์กรใช้งาน AI ได้อย่างโปร่งใส สอดคล้องกับกฎหมาย PDPA และที่สำคัญที่สุดคือการสร้าง ความเชื่อมั่นทางดิจิทัล (Digital Trust) ให้เกิดขึ้นในประเทศไทย
📌📌 สรุปประเด็นสำคัญที่น่าสนใจจากที่ประชุม
ซึ่งแนวปฏิบัติถูกแบ่งออกเป็น 5 ส่วนหลัก ดังนี้
1️⃣ ส่วนที่ 1: #บทนำและการกำกับดูแล
สคส. เน้นย้ำว่าหากเราใช้ AI เพื่อประโยชน์ส่วนตัว เช่น ใช้ช่วยร่างอีเมลหรือหาข้อมูลเพื่อการศึกษา กฎหมาย PDPA จะไม่บังคับใช้ แต่ถ้าเป็นการใช้ในนามองค์กรเพื่อธุรกิจหรือแสวงหากำไร องค์กรต้องปฏิบัติตามกฎหมายอย่างเคร่งครัด
โดยหัวใจสำคัญคือ Stakeholder ต้องระบุสถานะทางกฎหมายของผู้เกี่ยวข้องใน AI Value Chain ให้ชัดเจนว่าใครคือ ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) และใครคือ ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)
▪️Data Controller (ผู้ควบคุมข้อมูล) : องค์กรที่ตัดสินใจนำ AI มาใช้และกำหนดวัตถุประสงค์การป้อนข้อมูล
▪️Data Processor (ผู้ประมวลผลข้อมูล) : ผู้ให้บริการโมเดล AI หรือระบบ Cloud ที่ทำงานตามคำสั่ง
การระบุบทบาทที่ชัดเจนจะช่วยให้องค์กรวางรากฐาน Data Protection by Design และจัดทำข้อตกลงการประมวลผล (DPA) ได้อย่างถูกต้องตามหลักความรับผิดชอบ (Accountability)
2️⃣ ส่วนที่ 2: #การปฏิบัติตาม PDPA ตลอดวงจรชีวิต AI
ข้อมูลในโลก AI ไม่ได้มีแค่ชื่อ-นามสกุล แต่ยังรวมถึงข้อมูลทางเทคนิค เช่น Prompt, Embedding หรือ Vector Data ที่สามารถระบุตัวตนทางอ้อมได้ หากข้อมูลมาจากแหล่งอื่น (3rd-party) องค์กรต้องตรวจสอบแหล่งที่มา (Data Provenance) ว่าได้มาโดยชอบด้วยกฎหมายหรือไม่
นอกจากนี้ยังมีประเด็นเรื่อง ‘สิทธิที่จะถูกลืม’ หรือ Machine Unlearning เพราะเมื่อ AI เรียนรู้ข้อมูลไปจนเป็นส่วนหนึ่งของพารามิเตอร์แล้ว การสั่งให้มันลืมทำได้ยากมาก องค์กรจึงต้องมีมาตรการป้องกันไม่ให้ข้อมูลรั่วไหล
3️⃣ ส่วนที่ 3: #การรักษาความมั่นคงปลอดภัย
เน้นการประเมินความเสี่ยงเชิงรุกผ่านการทำ DPIA (Data Protection Impact Assessment) สำหรับโครงการ AI ที่มีความเสี่ยงสูงต่อสิทธิเจ้าของข้อมูล องค์กรต้องมีมาตรการป้องกันการโจมตีใหม่ ๆ เช่น การหลอกล่อคำสั่ง (Prompt Injection) หรือการพยายามกู้คืนข้อมูลส่วนบุคคลจากโมเดล (Model Inversion)
4️⃣ ส่วนที่ 4: #การบริหารจัดการสิทธิและเหตุละเมิด
เจ้าของข้อมูลยังคงมีสิทธิตามกฎหมาย เช่น สิทธิขอเข้าถึงข้อมูล หรือสิทธิคัดค้านการตัดสินใจอัตโนมัติ (Automated Decision-Making) เช่น การอนุมัติสินเชื่อโดย AI องค์กรควรมีกลไกให้มนุษย์ตรวจสอบ (Human-in-the-loop) เพื่อความเป็นธรรม และหากเกิดเหตุละเมิดข้อมูล ต้องแจ้ง สคส. ภายใน 72 ชั่วโมง
5️⃣ ส่วนที่ 5: #ภาคผนวกและเครื่องมือช่วยปฏิบัติ
ส่วนนี้คือ Toolkit สำคัญที่มีทั้งรายการตรวจสอบ (Checklist) และคำถามที่พบบ่อย (FAQ) เพื่อให้ทั้งผู้พัฒนาและผู้ใช้งาน AI นำไปเช็กความสอดคล้องกับกฎหมายได้จริง
สิ่งที่เราเห็นชัดจากการเข้าร่วมประชุมครั้งนี้คือ การกำกับดูแล AI ในประเทศไทยกำลังมุ่งสู่ความโปร่งใสและความรับผิดชอบที่มากขึ้น องค์กรที่ใช้ AI จึงจำเป็นต้องเข้าใจ PDPA มากขึ้นกว่าเดิม
PDPA Core ไม่ได้ทำแค่เอกสารให้ครบตามกฎหมาย แต่เราพัฒนากระบวนการทำงานให้สอดรับกับเทคโนโลยี เพื่อพัฒนาแนวทางการทำ PDPA ให้เติบโตไปพร้อมกับ AI เพราะการคุ้มครองข้อมูลที่ดีต้องก้าวไปพร้อมกับเทคโนโลยีเสมอ
⸻
PDPA Core ให้คำปรึกษา พร้อมจัดทำ PDPA ครบวงจร ติดต่อเราได้ที่
🔸Website: https://go.wow.th/pdpacore-home
🔸Call: 02-024-5560
#ข้อมูลส่วนบุคคล #กฎหมายคุ้มครองข้อมูลส่วนบุคคล
02/10/2025
ทีมของคุณพร้อมแค่ไหน? กับการจัดการข้อมูลส่วนบุคคลในทุกๆ วัน
ตั้งแต่ฝ่าย HR, การตลาด, Sales, ไปจนถึง IT ทุกแผนกล้วนเกี่ยวข้องกับข้อมูลส่วนบุคคลทั้งสิ้น ความผิดพลาดเพียงเล็กน้อยของพนักงาน อาจส่งผลกระทบต่อทั้งองค์กรได้
การอบรม PDPA คือการมอบ "เครื่องมือ" และ "ความมั่นใจ" ให้ทีมงานทุกคน
และสร้าง “ความน่าเชื่อถือ” และ “ความโปร่งใส” ขององค์กร
✅ รู้ว่าอะไรทำได้ อะไรทำไม่ได้
✅ มีแนวทางปฏิบัติที่ชัดเจน
✅ ลดความกังวลในการทำงาน
ลงทุนในความรู้ของทีม คือการลงทุนที่คุ้มค่าที่สุด! จัดอบรม PDPA เพื่อสร้างความพร้อมและความมั่นใจให้ทุกคนในองค์กร
22/09/2025
‼️PDPA บังคับใช้มาหลายปี... แต่ทำไมเรื่องข้อมูลรั่วไหลยังเกิดขึ้นไม่หยุด?
เพราะการมีแค่ "นโยบาย" ในกระดาษมันไม่พอ!
ถึงเวลาแล้วที่ต้องยกระดับจากการ "รับรู้" ไปสู่การ "ลงมือทำ" ให้เป็นนิสัยทั่วทั้งองค์กร การสร้างวัฒนธรรม PDPA ไม่ใช่เรื่องไกลตัว แต่คือมาตรฐานใหม่ของการทำธุรกิจที่ประสบความสำเร็จในยุคนี้
องค์กรของคุณไปถึงขั้นไหนแล้ว? มาอัปเดตและอุดรอยรั่วก่อนจะสายเกินแก้!
คลิกที่นี่เพื่อเป็นสมาชิก?
ประเภท
ติดต่อ ธุรกิจของเรา
เบอร์โทรศัพท์
เว็บไซต์
ที่อยู่
7 Summer Point, 2nd Fl. Soi Sukhumvit 69, Phra Khanong Nua, Wattana
Bangkok
10110