PDPA กับการเลือก Hosting ในไทย เก็บข้อมูลลูกค้าต้องรู้อะไรบ้าง?

สรุปสั้น

PDPA (พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล) กำหนดให้ต้องรับผิดชอบข้อมูลที่เก็บ ไม่ว่า Server จะอยู่ที่ไหน แต่การใช้ Server ในไทย (Data Residency) ช่วยลดความซับซ้อน และลดความเสี่ยงด้านกฎหมายได้มากที่สุดค่ะ

หลายธุรกิจยังสับสนว่า ใช้ Hosting ต่างประเทศได้ไหม? PDPA บังคับให้เก็บข้อมูลในไทยหรือเปล่า? และถ้าเว็บโดน hack ข้อมูลลูกค้ารั่วไหล ต้องทำอะไรบ้างค่ะ

IC-MyHost ให้บริการ Server ในไทยมากว่า 22 ปี และมีลูกค้าที่ต้องการ PDPA Compliance จำนวนมากค่ะ บทความนี้สรุปให้ตัดสินใจได้เลยค่ะ

1. PDPA คืออะไร เกี่ยวกับ Hosting อย่างไร?

PDPA (Personal Data Protection Act) หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 บังคับใช้เต็มรูปแบบตั้งแต่ 1 มิถุนายน 2565 ครอบคลุมทุกองค์กรที่ เก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ของบุคคลที่อยู่ในประเทศไทย ไม่ว่าองค์กรนั้นจะตั้งอยู่ในหรือนอกประเทศก็ตามค่ะ

ข้อมูลที่ PDPA ครอบคลุม เช่น: ชื่อ-นามสกุล, อีเมล, เบอร์โทร, IP Address, ข้อมูลการชำระเงิน, ประวัติการสั่งซื้อ

🚀 Scale Your Business Faster

Experience the best Cloud Server Thailand with NVMe SSD & High Availability.

Explore Cloud Plans »

2. ใช้ Hosting ต่างประเทศได้ไหม? (AWS, GCP, Alibaba Cloud)

PDPA ไม่ได้ห้าม ใช้ Server ต่างประเทศโดยตรง แต่กำหนดว่า หากต้องการโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ ประเทศปลายทางต้อง มีมาตรฐานการคุ้มครองข้อมูลที่เพียงพอ หรือต้องได้รับ ความยินยอมจากเจ้าของข้อมูลอย่างชัดแจ้ง

สถานการณ์	Server ไทย (CAT-IDC)	Server ต่างประเทศ
Data Residency	✅ ข้อมูลอยู่ในไทย 100%	⚠️ ต้องแจ้งลูกค้า + ขอ consent
Cross-border Transfer	✅ ไม่เกิดขึ้น	❌ ต้องมี SCCs หรือ consent
Data Breach แจ้ง PDPC	✅ ง่ายกว่า ทีม on-site อยู่ไทย	⚠️ ซับซ้อนกว่า ต้องประสาน
Audit โดยหน่วยงานไทย	✅ เข้าถึงได้ง่าย	⚠️ อาจต้องขอผ่านกระบวนการ
ค่าใช้จ่าย PDPA Compliance	✅ ต่ำกว่า	❌ สูงกว่า (ต้องการ DPA/Legal)

3. Data Residency คืออะไร ทำไมธุรกิจไทยควรใส่ใจ?

Data Residency หมายถึง การกำหนดว่าข้อมูลต้องเก็บอยู่ในประเทศใด สำหรับไทย แม้กฎหมายยังไม่บังคับ 100% แต่ธุรกิจใน Sector เหล่านี้ ควรมาก หรือบางกรณีต้อง เก็บข้อมูลในไทย:

ธนาคาร / FinTech — ธปท. กำหนดชัดเจนว่าข้อมูลลูกค้าต้องอยู่ในไทย
โรงพยาบาล / Clinic — ข้อมูลสุขภาพเป็น Sensitive Data ตาม PDPA
E-commerce ที่มีข้อมูลบัตรเครดิต — PCI DSS + PDPA
หน่วยงานราชการ — พ.ร.บ. ความมั่นคงไซเบอร์กำหนด Critical Information Infrastructure

4. เมื่อเกิด Data Breach — ต้องทำอะไรบ้าง?

⚠️ ตาม PDPA ต้องแจ้ง PDPC ภายใน 72 ชั่วโมง:

ตรวจสอบว่าข้อมูลใดรั่วไหล และจำนวนเท่าไหร่
แจ้งสำนักงาน PDPC ภายใน 72 ชั่วโมงหลังรับรู้เหตุการณ์
ถ้าส่งผลต่อสิทธิ์เจ้าของข้อมูล ต้องแจ้งเจ้าของข้อมูลด้วย
จัดทำรายงาน Incident Response

หาก Server อยู่ที่ CAT-IDC ไทย ทีม IC-MyHost สามารถช่วย Forensics เบื้องต้นได้ทันที ไม่ต้องรอประสานกับ Data Center ต่างประเทศค่ะ

5. Security ที่ควรมีบน Hosting สำหรับ PDPA

☑ SSL/TLS Certificate — บังคับ ห้าม HTTP สำหรับหน้าที่รับข้อมูล
☑ Database Encryption — เข้ารหัส Sensitive fields เช่น รหัสผ่าน, เลข ID Card
☑ Daily Backup + Off-site — Backup อยู่ที่อื่น ไม่ใช่แค่ Server เดียวกัน
☑ WAF (Web Application Firewall) — ป้องกัน SQL Injection, XSS
☑ Access Log — เก็บ Log ว่าใคร access ข้อมูลอะไร เมื่อไหร่
☑ 2FA บน Control Panel — ป้องกัน unauthorized access

คำถามที่พบบ่อย (FAQ)

Q: ถ้าใช้ AWS ap-southeast-1 (สิงคโปร์) ผิด PDPA ไหม?

ไม่ได้ผิดโดยตรง แต่ต้องดำเนินการเพิ่มเติม ได้แก่ ระบุใน Privacy Policy ว่าข้อมูลถูกโอนไปสิงคโปร์ ทำ Data Processing Agreement กับ AWS และในบางกรณีต้องขอ consent จากเจ้าของข้อมูลค่ะ การใช้ Server ในไทยตัดขั้นตอนเหล่านี้ออกได้ทั้งหมดค่ะ

Q: SME ขนาดเล็ก เว็บไซต์ง่ายๆ ต้องกังวลเรื่อง PDPA ไหม?

ถ้าเว็บมีฟอร์มรับชื่อ, อีเมล, หรือเบอร์โทร ถือว่าเก็บข้อมูลส่วนบุคคลแล้วค่ะ ต้องมี Privacy Policy, ขอ Consent ก่อนเก็บข้อมูล และมีระบบรักษาความปลอดภัยเบื้องต้น ค่าปรับสูงสุดทางแพ่งคือ 5 ล้านบาทค่ะ

Q: IC-MyHost ช่วย PDPA Compliance ได้ไหม?

IC-MyHost ให้บริการ Server ในไทย (CAT-IDC) ครบทุกประเภท พร้อม Daily Backup, SSL Certificate, และ Firewall ที่ช่วย PDPA ด้าน Technical Safeguards ได้ค่ะ สำหรับด้าน Legal เช่น การร่าง Privacy Policy แนะนำให้ปรึกษานักกฎหมายเฉพาะทางค่ะ

PDPA กับการเลือก Hosting ในไทย — เก็บข้อมูลลูกค้าต้องรู้อะไรบ้าง?