PDPA Hackathon 2026 — Demo Day Track 1 · Data Governance & ROPA
AI Privacy Operations Platform

Prixy.

A Living ROPA, grounded in evidence.

เปลี่ยน PDPA จากงานเอกสารที่ทำเป็นครั้งคราว ให้เป็นระบบปฏิบัติการด้าน Privacy ที่เชื่อมเอกสาร ระบบจริง และหลักฐาน ไว้ในโครงสร้างเดียว

Discover · Govern · Protect · Respond
สิงหาคม 2026
Prixy — สถานการณ์02 / 18
Why Now

PDPA พ้นช่วงให้ความรู้แล้ว — เข้าสู่ยุคบังคับใช้จริง

2024
7 ล้านบาท
ค่าปรับครั้งแรกของ สคส. — ไม่มี DPO และมาตรการรักษาความปลอดภัยไม่เพียงพอ ข้อมูลลูกค้ากว่า 100,000 ราย รั่วถึงแก๊งคอลเซ็นเตอร์
2025
21.5 ล้านบาท
8 คำสั่งปรับใน 5 คดี ทั้งรัฐและเอกชน — เหตุซ้ำ: ไม่แจ้งเหตุใน 72 ชั่วโมง และไม่กำกับดูแล Vendor
2026
2,672 เรื่อง
เรื่องร้องเรียนสะสมที่ สคส. — อันดับต้น: เก็บข้อมูลเกินจำเป็น และใช้โดยไม่มีฐานกฎหมาย
เป้าตรวจ 2026 E-commerce·Healthcare·Telecom·Public Services
ที่มา — สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.), 2024–2026; สรุปคดีโดย Tilleke & Gibbins, 2025
Prixy — ปัญหา03 / 18
The Problem

มีเอกสารครบ — แต่ตอบคำถามพื้นฐานไม่ได้

เอกสาร PDPA กระจัดกระจายไม่เชื่อมกับระบบจริง — SME ไทยได้คะแนน compliance เฉลี่ย 6.19/100 และองค์กรที่ขาดบุคลากรเพิ่มจาก 13% เป็น 48%
อ้างอิง — Chatsuwan et al., 2023, Heliyon (NECTEC); PwC Thailand PDPA Survey
Prixy — Insight04 / 18
The Gap

สิ่งที่เอกสารประกาศ ไม่ตรงกับ สิ่งที่ระบบทำจริง

Declared Processing
ROPA ระบุว่าส่งให้ Vendor
  • name
  • email
vs
Observed Processing
API จริงส่งออกไป
  • name
  • email
  • birth_date
  • national_id
~ครึ่งหนึ่งของแอปที่ส่ง personal data เข้าข่ายไม่สอดคล้องกฎหมาย จากการตรวจอัตโนมัติ 4,593 แอป — Guamán et al., 2023, Computers & Security มีเพียง 13.6% ของงานวิจัยที่วิศวกรและนักกฎหมายทำงานร่วมกัน — Kosenkov et al., 2025
Prixy — Solution05 / 18
The Solution

Prixy — AI Privacy Operations Platform

เอกสาร + Technical ArtifactsSOP · Privacy Notice · Database Schema · OpenAPI Spec
AI สกัด + Rules ตรวจ + คนอนุมัติ
Evidence-linked Living ROPAทุกช่องชี้กลับหลักฐานต้นทาง และมี version ทุกการแก้ไข
Privacy Graphโครงสร้างกลางที่ Vendor · Gateway · Drift · Incident ใช้ต่อร่วมกัน
Privacy Graph ออกแบบบนมาตรฐาน W3C Data Privacy Vocabulary (DPV 2.0) พร้อมชั้นข้อมูลกฎหมายไทย — สถาปัตยกรรมฉบับเต็ม: ภาคผนวก A1
Prixy — End-to-End06 / 18
How It Works

ครอบคลุมวงจร Privacy ตั้งแต่ต้นน้ำถึงปลายน้ำ

01

Discover

ค้นหา personal data จากเอกสาร Schema และ API

Live
02

Register

สร้าง Draft ROPA พร้อมหลักฐาน ให้คนตรวจและอนุมัติ

Live
03

Assess

คัดกรอง DPIA และประเมิน Vendor

Vision
04

Protect

ตรวจข้อมูลก่อนส่งออกถึง Vendor และ External AI

Vision
05

Monitor

ตรวจจับเมื่อ Schema เปลี่ยนไปจาก ROPA ผ่านการอัปโหลดซ้ำ

Prototype
06

Respond

วิเคราะห์ผลกระทบและบริหาร Incident

Vision
07

Prove

Evidence link และ Version history ของทุกการแก้ไข

Live
Live — เดโมสดบนเวทีวันนี้ Prototype — ทำงานจริงใน scope จำกัด Vision — ภาพการต่อยอดบน graph เดิม
Prixy — Living ROPA07 / 18
Core · Living ROPA

ROPA ที่พร้อมให้ตรวจได้ทันที ตามเจตนารมณ์มาตรา 39

  • ข้อมูลส่วนบุคคลที่เก็บรวบรวม
  • วัตถุประสงค์ของการเก็บแต่ละประเภท
  • ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูล
  • ระยะเวลาการเก็บรักษา
  • สิทธิและวิธีการเข้าถึง
  • การใช้หรือเปิดเผยตาม ม.27 วรรคสาม
  • การปฏิเสธคำขอหรือการคัดค้าน
Draft ROPA — ระบบสมาชิกสร้างโดย AI · รอ DPO อนุมัติ
ข้อมูลที่เก็บ ชื่อ, อีเมล, เบอร์โทร, วันเกิด หลักฐาน: members.sql · L42
วัตถุประสงค์ สมัครสมาชิกและสิทธิประโยชน์ หลักฐาน: Privacy Notice · §2
ระยะเวลาเก็บ 2 ปีหลังสิ้นสุดสมาชิกภาพ หลักฐาน: SOP-Retention · หน้า 3
ฐานกฎหมาย ยังไม่มีข้อมูลเพียงพอ — ส่งถาม Data Owner abstain
กฎหมายลูกกำหนดให้ ROPA "พร้อมให้ สคส. ตรวจสอบได้โดยง่ายและทันทีเมื่อร้องขอ" — ไฟล์ที่กระจายตามแผนกเพิ่มความเสี่ยงต่อความไม่ครบถ้วน ไม่เป็นปัจจุบัน และไม่พร้อมตรวจ
Prixy — Privacy Graph08 / 18
Core · Privacy Graph

กรอกครั้งเดียว — เชื่อมทุกความสัมพันธ์

ข้อมูลสุขภาพอยู่ระบบไหน · ส่งให้ Vendor รายใด · ออกนอกประเทศหรือไม่ · ใครรับผิดชอบ

คำถามแบบนี้ตอบได้ในไม่กี่วินาที เพราะทุกโมดูล — Vendor Assessment, Gateway, Drift Detection, Incident — อ่านจาก graph เดียวกัน ไม่ต้องรวบรวมข้อมูลใหม่ทุกครั้ง

Schema อิงมาตรฐาน W3C Data Privacy Vocabulary (DPV 2.0) — 2,394 concepts — เพิ่มชั้นกฎหมายไทย ทำให้ขยายไปกฎหมายประเทศอื่นได้โดยไม่รื้อโครงสร้าง

Prixy — Workflow09 / 18
Trust by Design

AI ไม่ตัดสินแทนใคร — แต่ละส่วนมีหน้าที่ชัด

Workflow: AI/LLM กลั่นและเสนอ → Rule Engine ตรวจตามเกณฑ์ ม.39 → Human อนุมัติและรับผิดชอบ → Audit Trail/Versioning โดยมี Privacy Graph อัปเดตต่อเนื่อง
Prixy — User Journey10 / 18
In Practice

บริษัทกำลังสร้างระบบสมาชิกใหม่

ทีมอัปโหลดเอกสาร

Requirement, Privacy Notice ฉบับร่าง, Database Schema, OpenAPI Spec — ของที่ทีมมีอยู่แล้ว

AI ค้นพบและจำแนก

ระบุ field ที่เป็น personal data พร้อมอ้างหลักฐานว่าเจอจากไฟล์ไหน บรรทัดใด

DPO ตรวจและอนุมัติ

Draft ROPA ถูกส่งเข้า workflow — แก้ไข มอบหมาย Data Owner และบันทึกทุก version

ระบบเปลี่ยน — Prixy ตรวจพบ

Developer เพิ่ม field ใหม่ → อัปโหลด Schema v2 → ระบบ diff พบ blood_type ยังไม่อยู่ใน ROPA เปิด Change Request แจ้ง DPO

AI พบใน Schema full_name · email · phone · birth_date · purchase_history  →  v2: + blood_type (อ่อนไหว ม.26)
Prixy — Gateway11 / 18
Vision Conceptต่อยอดบน Privacy Graph เดิม — ยังไม่ใช่ของที่สร้างแล้ว
Downstream · Protect

ตรวจข้อมูลก่อนออกจากองค์กร — ถึง Vendor และ External AI

Payload ที่แอปพยายามส่ง
{ "name": "Somchai", "email": "somchai@example.com", "national_id": "1234567890123", "message": "วิเคราะห์ลูกค้ารายนี้" }
Prixy Gateway
สิ่งที่จะถูกส่งออก
{ "name": "Somchai", "email": "somchai@example.com", "national_id": "[REDACTED]", "message": "วิเคราะห์ลูกค้ารายนี้" }
Policy — ห้ามส่งเลขบัตรประชาชนไปยัง External AI Action — ระบบจะ Redact และบันทึก Audit: ใครส่ง อะไร ไปที่ใด
คดีปี 2025 หลายคดีถูกปรับจากการไม่กำกับดูแลการส่งข้อมูลให้บุคคลที่สาม — Gateway คือมาตรการเชิงระบบของช่องว่างนี้
Prixy — Incident Response12 / 18
Vision Conceptต่อยอดบน Privacy Graph เดิม — ยังไม่ใช่ของที่สร้างแล้ว
Downstream · Respond

เมื่อเกิดเหตุ นาฬิกาเดินที่ 72 ชั่วโมง — Graph ตอบใน 3 คำถาม

  • i.

    ระบบใดได้รับผลกระทบ

    Graph ไล่จาก database ที่ถูกเข้าถึง ไปยังทุกระบบและ API ที่เชื่อมต่อ

  • ii.

    ข้อมูลของใคร ประเภทใด

    กลุ่มเจ้าของข้อมูล จำนวน และมีข้อมูลอ่อนไหวหรือไม่ — จาก inventory เดิม ไม่ต้องไล่ค้นใหม่

  • iii.

    ต้องประสานใคร แจ้งอะไร

    Vendor ที่เกี่ยวข้อง, Data Owner, ร่างเอกสารแจ้ง สคส. — ระบบจะเปิด case พร้อม task และ timeline ให้

สคส. ชี้แจง (ก.พ. 2025): นาฬิกา 72 ชม. เริ่มเมื่อผู้ควบคุม "เชื่อได้อย่างสมเหตุสมผล" ว่าเกิดเหตุ — คดีที่ผ่านมาหลายคดีถูกปรับเพราะแจ้งไม่ทัน
Prixy — MVP13 / 18
What We Built

แกนหลักทำงานจริงบนเวทีวันนี้

เดโมสด — ไม่ใช่ mockup

  • อัปโหลด SOP · Privacy Notice · Schema · OpenAPI
  • PII Detection + จำแนกข้อมูลอ่อนไหว ม.26 พร้อม confidence
  • Draft ROPA — ทุกช่องชี้กลับหลักฐานต้นทาง
  • Human Review + Version ทุกการแก้ไข
  • Drift diff เมื่ออัปโหลด Schema ใหม่ (Prototype)
หน้าจอ DPO Review Draft ROPA — ทุกช่องมี Linked Evidence พร้อม Confidence และปุ่ม Approve ที่มนุษย์เป็นผู้กด
ช่องที่ข้อมูลไม่พอ ระบบส่งถามคน — ไม่เดา
ตัดสินใจ scope ให้แกนหลักลึกจริง แทนการทำทุกโมดูลแบบผิวเผิน · Flow เต็มของ MVP: ภาคผนวก A3
Prixy — Differentiation14 / 18
Why Different

เทียบกับทางเลือกที่องค์กรใช้จริงวันนี้

ทางเลือกปัจจุบันจุดแข็งช่องว่างที่ Prixy เติม
Excel / Consultant ยืดหยุ่น เริ่มง่าย ต้นทุนแรกต่ำ Manual ล้าสมัยเร็ว ไม่เชื่อมระบบจริง หลักฐานกระจาย
Thai Workflow Platform Workflow และเอกสาร template ครบ ยังต้องกรอกข้อมูลเอง — ไม่อ่าน Schema/API ไม่ตรวจ drift
Global Privacy Platform Integration และ coverage กว้าง ราคาและการปรับใช้สูง ไม่เน้นบริบทกฎหมายไทย
Prixy Technical discovery + evidence-linked ROPA เริ่มจากเอกสารเดิมและระบบจริง อัปเดตเมื่อระบบเปลี่ยน อิง ม.39
จากการสำรวจของทีม ยังพบช่องว่างของผลิตภัณฑ์ที่สร้าง evidence-linked ROPA จาก technical artifacts โดยเน้นบริบทกฎหมายไทย
Prixy — Business15 / 18
Business Model

เริ่มจากโมดูลเดียว — โตตาม Privacy Graph ที่สะสม

Flywheel ธุรกิจ: AI ROPA Builder เริ่มง่าย → Privacy Graph สะสม → ขยายโมดูล → Recurring Revenue — First Market: Healthcare และตลาด ~USD 5–6B CAGR 20%+
First Market Healthcare Expansion E-commerce
Telecom
Public Services
งานวิจัยพบว่าการมีระบบคุ้มครองข้อมูลส่วนบุคคลสัมพันธ์กับมูลค่ากิจการที่สูงขึ้น — Wang, 2026, RIBAF
Prixy — Go-to-Market16 / 18
First Customer

เริ่มที่ Healthcare — ใครจ่าย จ่ายเท่าไร เริ่มอย่างไร

Ideal Customer

  • รพ.เอกชน / เครือคลินิก 200–2,000 คน
  • หลายระบบ (HIS, LIS, นัดหมาย) + Vendor แล็บ/ประกัน
  • มี DPO/Legal แต่ไม่มี Privacy Engineer
  • ข้อมูลอ่อนไหว ม.26 — ใช้ข้อยกเว้น ROPA ไม่ได้

Buyer

  • อนุมัติงบ — CIO / CISO / Head of Legal
  • ผู้ใช้หลัก — DPO / Compliance
  • ผู้ให้ข้อมูล — IT / Developer / Data Owner

Pricing (สมมติฐาน)

  • Pilot — 50,000–100,000 บาท / โครงการ
  • Starter — 15,000–30,000 บาท / เดือน
  • Enterprise — Custom + Private Deployment
  • ยืนยันราคากับ design partner ก่อนขายจริง
Pilot Offer 2–4 สัปดาห์ · 1 business process · ไม่เกิน 10 systems — ส่งมอบ Draft ROPA + Evidence Map + Gap Report
Healthcare เป็น 1 ใน 4 sector เป้าหมายตรวจของ สคส. ปี 2026 · ตลาด Privacy Software โลก ~USD 5–6B, CAGR 20%+ (Mordor Intelligence, 2025)
Prixy — Roadmap17 / 18
Milestones

18 เดือนแรก — วัดด้วยผลลัพธ์ ไม่ใช่จำนวนฟีเจอร์

0–3 เดือน

พิสูจน์คุณภาพ

MVP + ผล Evaluation (precision/recall/evidence) + Design Partner 2 รายในกลุ่ม Healthcare

3–6 เดือน

เชื่อมระบบจริง

Schema Drift แบบ integration จริง + Data Flow + Pilot แบบ Private Deployment

6–12 เดือน

รายได้จริง

Vendor Assessment + ลูกค้าจ่ายจริง 5 ราย + Retention/Review Workflow

12–18 เดือน

ขยายบนแกนเดิม

Singapore / Malaysia Rule Pack บนสถาปัตยกรรม DPV — core เดียว เปลี่ยนเฉพาะ rule รายประเทศ

AI Governance เป็น adjacent expansion บน graph เดิม ไม่ใช่แผนหลักระยะนี้ · สถาปัตยกรรมรองรับภูมิภาค: ภาคผนวก A2
Prixy — Demo18 / 18

ให้ Prixy. เปลี่ยน PDPA ขององค์กรไทย
จากเอกสารที่หยุดนิ่ง — เป็นระบบที่ทำงานทุกวัน

Demoอัปโหลดเอกสารจริง → ระบบชี้ gap ระหว่าง Notice กับ Schema พร้อมหลักฐาน ต่อจากนี้ทันที
โครงสร้าง ม.39รองรับทุกรายการตามกฎหมาย ตรวจความครบถ้วน และระบุช่องที่ยังขาดข้อมูลให้คนตัดสิน
Track 1Data Governance & ROPA — PDPA Hackathon 2026
Discover · Govern · Protect · Respond
สิงหาคม 2026
ภาคผนวก — สำหรับช่วงถาม-ตอบA1
Appendix

สถาปัตยกรรมฉบับเต็ม

สถาปัตยกรรมเต็ม: Evidence Sources → AI Extraction + Rule Engine → Living ROPA และ Privacy Graph → Downstream Modules
ภาคผนวก — สำหรับช่วงถาม-ตอบA2
Appendix

Shared Core + Country Rule Packs

สถาปัตยกรรมภูมิภาค: Shared Core (ontology, controls, evidence model) + Rule Pack รายประเทศ — Thai PDPA, GDPR, Singapore, Malaysia, Indonesia
ASEAN ยังไม่มี instrument กลางด้านคุ้มครองข้อมูล — Lim et al., 2025, Computer Law & Security Review
ภาคผนวก — สำหรับช่วงถาม-ตอบA3
Appendix

MVP Flow ฉบับเต็ม — Live vs Simulation

MVP flow เต็ม: Upload Evidence → AI Detects & Links Evidence → DPO Review Draft ROPA พร้อมแถบสถานะ Live/Simulation