The Problems of Data Security Measures under The Framework of the Personal Data Protection Act
Keywords:
Data Security Measures, Personal Data Protection Act, PrivacyAbstract
In the digital age, personal data is regarded as a valuable asset at both individual and organizational levels. This data is collected, processed, and utilized in various forms, including personal information, contact information, financial details, and health records, all of which play a critical role in business activities and public service delivery. However, breaches of personal data have emerged as significant threats in the digital era. Cybercriminals may employ tactics such as malware, phishing, and data theft to gain unauthorized access to confidential information, causing substantial harm to individuals and organizations alike. This often results in financial losses, reputational damage, and heightened security risks. While Thailand’s Personal Data Protection Act B.E. 2562 (PDPA) was enacted to protect the rights of data owners and promote the management of personal data in alignment with international standards, challenges remain. When compared to the European Union’s General Data Protection Regulation (GDPR), limitations in the enforcement of the PDPA in Thailand become evident, particularly regarding the clarity of its application and the absence of modern security measures capable of responding to rapidly evolving threats.
This study aims to analyze and compare the enforcement of Thailand's Personal Data Protection Act (PDPA) with the European Union’s General Data Protection Regulation (GDPR) and Singapore’s personal data protection laws. Using a qualitative research methodology, including in-depth interviews and secondary data analysis, the findings suggest that aligning PDPA implementation with international standards—such as intensifying personnel training, developing clear and accessible guidelines, and strengthening security measures in accordance with ISO 27001—would enhance PDPA compliance in Thailand. This research recommends that Thailand improve its enforcement mechanisms and augment its capacity to protect personal data, thereby addressing current cyber threats and fostering trust in data security within the digital age.
References
กิตติพงศ์ กมลธรรมวงศ์, ‘ประสบการณ์ของกฎหมายคุ้มครองข้อมูลส่วนบุคคลในประเทศสาธารณรัฐสิงคโปร์ : บทเรียนสาหรับประเทศไทย’ (2563) 2 วารสารสังคมวิจัยและพัฒนา, 7-29.
คณาธิป ทองรวีวงศ์, คำอธิบายหลักกฎหมายคุ้มครองข้อมูลส่วนบุคคล (พิมพ์ครั้งที่ 3, สำนักพิมพ์นิติธรรม 2565)
คมปทิต คงศักดิ์ศรีสกุลม, ‘British Airways ถูกสั่งปรับเงินเป็นสถิติกว่า 7 พันล้านบาท จากกรณีข้อมูลลูกค้ารั่วไหลในปี 2018 ?’ (THE STANDARD, 8 กรกฎาคม 2562) <https://thestandard.co/british-airways-fine-over-passenger-data-breach/> สืบค้นวันที่ 22 กรกฎาคม 2567
ชนิดา เกิดกรรณ์, "ปัญหากฎหมายคุ้มครองข้อมูลส่วนบุคคลต่อระบบฐานข้อมูลการประกันภัยในธุรกิจประกันวินาศภัย", (2564) 6(1) วารสารนิติศาสตร์ รัฐศาสตร์ และสังคมศาสตร์ มหาวิทยาลัยราชภัฏเชียงราย, 287–309.
ณัชธนัท จุโฬทก, ‘สรุปหลัง TrueMove H ชี้แจงกับ กสทช. เรื่องข้อมูลหลุด ความจริงคืออะไร?’ (Beaetai, 18 เมษายน 2561) https://www.beartai.com/tech/local-news/233905> สืบค้นวันที่ 22 กรกฎาคม 2567
ถนัดกิจ จันกิเสน, ‘CP Freshmart ยอมรับข้อมูลลูกค้าถูก ‘แฮ็ก’ จริง แต่ย้ำไม่มีข้อมูลบัตรเครดิตหรือข้อมูลด้านการเงิน และไม่กระทบต่อธุรกิจ’ (The Standard, 8 กันยายน 2564) <https://thestandard.co/cp-freshmart-admit-customer-account-hacked/> สืบค้นวันที่ 22 กรกฎาคม 2567
ทศพร โคตะมะ, ‘ปัญหาการใช้ฐานความจำเป็นเพื่อประโยชน์โดยชอบของธนาคารพาณิชย์ในการประมวลผลข้อมูลส่วนบุคคล’ (วิทยานิพนธ์นิติศาสตรมหาบัณฑิต, จุฬาลงกรณ์มหาวิทยาลัย 2564)
ไทยพีบีเอส (Thai PBS), ‘รพ.แจ้งความถูกเจาะระบบ ข้อมูลคนไข้เสียหาย 40,000 คน’ (8 กันยายน 2564) <https://www.thaipbs.or.th/news/content/307720> สืบค้นวันที่ 17 เมษายน 2568
ไทยพีบีเอส(Thai PBS), ‘คปภ.เพิกถอนใบอนุญาต “ตัวแทนประกัน” ลอบขายข้อมูลลูกค้า’ (8 พฤศจิกายน 2566) <https://www.thaipbs.or.th/news/content/333644> สืบค้นวันที่ 22 กรกฎาคม 2567
ไทยรัฐออนไลน์, ‘รพ.สระบุรี แจงโดนมัลแวร์โจมตี แต่ยังให้บริการได้ กู้คืนข้อมูลได้บางส่วน’ (9 กันยายน 2563) <https://www.thairath.co.th/news/local/central/1926969> สืบค้นวันที่ 17 เมษายน 2568
ไทยรัฐออนไลน์, ‘Bangkok Airways แจงกรณี ถูกโจมตีความปลอดภัยทางไซเบอร์’ (26 สิงหาคม 2564) <https://www.thairath.co.th/money/business_marketing/marketing/2177868> สืบค้นวันที่ 22 กรกฎาคม 2567
ไทยรัฐออนไลน์, ‘META ยื่นฟ้อง Meta บริษัทแม่ Facebook ฐานละเมิดเครื่องหมายการค้า’ (27 กรกฎาคม 2565) <https://www.thairath.co.th/news/tech/2456934> สืบค้นวันที่ 22 กรกฎาคม 2567
ปิยธิดา ดวดขุนทด, อดิศักดิ์ วรพิวุฒิ และ ธัญญาทิพ พิชิตการค้า, ‘แนวทางการคุ้มครองข้อมูลส่วนบุคคลของพนักงานบริษัท กรณีศึกษา : บริษัท เฮเฟเล่ (ประเทศไทย) จำกัด’ (2566) 2 วารสารพัฒนาธุรกิจและอุตสาหกรรม, 29 - 42.
ปิยะบุตร บุญอร่ามเรือง, พัฒนาพร โกวพัฒนกิจ, ชวิน อุ่นภัทร, โมกข์พิศุทธิ์ รตารุณ และคณะ, Thailand data protection guidelines 3.0 : แนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล (พิมพ์ครั้งที่ 1, โรงพิมพ์แห่งจุฬาลงกรณ์มหาวิทยาลัย 2563)
มติชนออนไลน์, ‘JIB รับข้อมูลลูกค้ารั่วจริง ดำเนินคดีอดีตพนักงาน เร่งเยียวยา 4 ผู้เสียหาย’ (28 มีนาคม 2567) <https://www.matichon.co.th/economy/news_4498411> สืบค้นวันที่ 22 กรกฎาคม 2567
รติมา สุระรัตน์ชัย, ‘แนวทางการคุ้มครองข้อมูลส่วนบุคคลในชั้นสืบสวนและสอบสวนคดีอาญา’ (วิทยานิพนธ์นิติศาสตรมหาบัณฑิต, จุฬาลงกรณ์มหาวิทยาลัย 2565).
วันพิชิต ชินตระกูลชัย, ‘ข้อมูลส่วนบุคคล ข้อมูลอ่อนไหว คืออะไร มีกี่ประเภท มีอะไรบ้าง ?’ (Openpdpa, 20 กันยายน 2564) <https://openpdpa.org/personal-data-type/>
สภาองค์กรผู้บริโภค, ‘ประกาศเว็บไซต์ LY Corporation (LINE) ชี้แจงเหตุข้อมูลรั่วไหลกว่า 400,000 บัญชี’ (28 พฤศจิกายน 2566) <https://www.tcc.or.th/tcc_media/28112566_lineannouncement/> สืบค้นวันที่ 22 กรกฎาคม 2567
สุวคนธ์ ภมรสุวรรณ, ‘ปัญหาการบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 : ศึกษา กรณีธุรกิจ’ (เอกัตศึกษานิติศาสตรมหาบัณฑิต, จุฬาลงกรณ์มหาวิทยาลัย 2562)
อริยะ ตังสวานิช,"ปัญหาการปฏิบัติหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลในสถาบันการเงินภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562", (2564) Chulalongkorn University Theses and Dissertations (Chula ETD). 52-57. https://digital.car.chula.ac.th/chulaetd/5257
International Organization for Standardization, ‘ISO/IEC 27001:2022 – Information security management systems – Requirements’ (October,2022) <https://www.iso.org/standard/27001> accessed 22 July 2024
Downloads
Published
How to Cite
Issue
Section
License
Copyright (c) 2025 Nitipat NIDA Law Journal
This work is licensed under a Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International License.
