# Data Breach Notification คืออะไร? คู่มือการแจ้งเหตุข้อมูลรั่วไหลตาม PDPA สำหรับ SME ไทย 2026
ข้อมูลรั่วไหลไม่ใช่เรื่องไกลตัว SME ไทยอีกต่อไป ในปี 2025-2026 มีรายงานเหตุการณ์ข้อมูลลูกค้ารั่วผ่านคลาวด์ผิดตั้งค่า, Ransomware และ Phishing กว่า 500 กรณี คำถามคือ เมื่อเกิดเหตุแล้ว คุณต้องแจ้งใครบ้าง? ภายในกี่ชั่วโมง? ต้องมีเอกสารอะไร?
พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) มาตรา 37(4) กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ต้องแจ้งเหตุการรั่วไหลต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ภายใน 72 ชั่วโมง หากไม่แจ้งหรือแจ้งล่าช้าไร้เหตุผล โทษปรับสูงสุดถึง 3 ล้านบาท และเสียชื่อเสียงอย่างหลีกเลี่ยงไม่ได้
บทความนี้จะอธิบาย Data Breach Notification ตามกฎหมายไทย เปรียบเทียบกับ GDPR เทมเพลตเอกสารแจ้งเหตุ และแผน Incident Response ที่ SME ควรเตรียมไว้ก่อนเกิดเหตุจริง
Data Breach Notification คืออะไร
Data Breach Notification คือกระบวนการที่องค์กรต้องแจ้งหน่วยงานกำกับและเจ้าของข้อมูล เมื่อเกิดเหตุข้อมูลส่วนบุคคลถูกเข้าถึง แก้ไข ลบ หรือเปิดเผยโดยไม่ได้รับอนุญาต การแจ้งต้องทันเวลาเพื่อให้เจ้าของข้อมูลป้องกันตัวเองได้ เช่น เปลี่ยนรหัสผ่าน ยกเลิกบัตรเครดิต หรือแจ้งความ
เหตุการณ์ที่เข้าข่ายต้องแจ้งมีหลายรูปแบบ:
กรอบเวลาและเงื่อนไขตาม PDPA ไทย vs GDPR EU
| เกณฑ์ | PDPA ไทย (ม.37(4)) | GDPR (Art. 33-34) |
|------|--------------------|--------------------|
| แจ้ง DPA ภายใน | 72 ชม. หลังทราบเหตุ | 72 ชม. หลังทราบเหตุ |
| หน่วยงานรับแจ้ง | PDPC | DPA ประเทศที่เกี่ยวข้อง |
| แจ้งเจ้าของข้อมูล | หากกระทบสิทธิ/เสรีภาพ "สูง" | หากกระทบสิทธิ "สูง" |
| โทษสูงสุด | 3,000,000 บาท | 4% Global Revenue หรือ €20M |
| เอกสารบันทึก | ต้องเก็บ Breach Log | ต้องเก็บ Breach Register |
| เกณฑ์ยกเว้น | ไม่มีผลกระทบเจ้าของข้อมูล | ข้อมูลที่เข้ารหัสสูง |
ทั้งสองกฎหมายมีกรอบ 72 ชั่วโมงเหมือนกัน แต่เกณฑ์ "กระทบสูง" ตีความต่างกัน SME ไทยที่มีลูกค้าต่างชาติควรเตรียมรองรับทั้ง PDPA และ GDPR พร้อมกัน
อะไรคือ "กระทบสิทธิและเสรีภาพสูง" ที่ต้องแจ้งลูกค้าด้วย
ตาม PDPC Guideline 2023 ข้อมูลที่เมื่อรั่วถือว่ามีความเสี่ยงสูง:
หากเข้าเกณฑ์เหล่านี้ SME ต้องแจ้งทั้ง PDPC และลูกค้าที่ได้รับผลกระทบ ทุกคน โดยไม่ล่าช้า
แผน Incident Response 6 ขั้นตอนสำหรับ SME
ขั้นที่ 1: Detect — ตรวจพบเหตุการณ์
ใช้ SIEM, EDR หรือ Log Monitoring พื้นฐาน (Wazuh, Graylog) ตั้ง Alert สำหรับ Login ผิดปกติ, File Change จำนวนมาก, DB Query ผิดปกติ
ขั้นที่ 2: Contain — จำกัดความเสียหาย
ขั้นที่ 3: Assess — ประเมินขอบเขต
ภายใน 24 ชม. ต้องตอบให้ได้ว่า:
ขั้นที่ 4: Notify — แจ้งเหตุ
ขั้นที่ 5: Remediate — แก้ไขและเยียวยา
ขั้นที่ 6: Review — ทบทวนและปรับปรุง
จัด Post-Incident Review ภายใน 2 สัปดาห์ บันทึกลง Breach Register พร้อม Lesson Learned และปรับ Policy/Training
เทมเพลตหนังสือแจ้ง PDPC ที่ควรมี
| หัวข้อ | เนื้อหาที่ต้องระบุ |
|-------|-------------------|
| ข้อมูลองค์กร | ชื่อ/เลขนิติบุคคล/ที่อยู่/DPO |
| วันเวลาที่เกิดเหตุ | ครั้งแรกพบ และระยะเวลาของเหตุ |
| ลักษณะเหตุการณ์ | ประเภท Breach (C/I/A) + สาเหตุ |
| ประเภทข้อมูลและจำนวน | ชื่อ/อีเมล/เบอร์/ฯลฯ + จำนวนราย |
| ผลกระทบที่คาดการณ์ | ด้านการเงิน/สิทธิส่วนบุคคล/อื่น ๆ |
| มาตรการที่ดำเนินการ | Containment + Remediation + Prevention |
| ช่องทางติดต่อ | DPO Email/Phone/ทะเบียน DPO |
ข้อควรระวังและ Best Practices
สรุปและขั้นตอนต่อไป
Data Breach Notification ไม่ใช่แค่ข้อกำหนดทางกฎหมาย แต่เป็นสัญลักษณ์ว่าองค์กรของคุณมี Governance ที่โปร่งใสและรับผิดชอบต่อลูกค้า SME ที่เตรียมแผน Incident Response ล่วงหน้าจะประหยัดเงินและชื่อเสียงได้มหาศาลเมื่อเหตุเกิดจริง
Takeaways สำคัญ:
1. แจ้ง PDPC ภายใน 72 ชั่วโมงหลังทราบเหตุ
2. แจ้งลูกค้าด้วยหากเป็น High Risk (Sensitive Data, Identity)
3. ทำ Breach Log สำหรับทุกเหตุ แม้ไม่ต้องแจ้ง PDPC
4. มี Playbook ที่ซ้อมจริง ไม่ใช่แค่เอกสาร
5. เตรียม DPO และ Cyber Insurance ไว้ก่อน
ต้องการให้ทีม ADS FIT ช่วยทำ PDPA Gap Assessment และออกแบบ Incident Response Playbook ให้ SME ของคุณ ติดต่อเราเพื่อรับคำปรึกษาฟรี 30 นาที หรืออ่านบทความเพิ่มเติมในหมวด ISO/GMP/อย. ของเรา