Blog
GDPR vs PDPA
GDPR vs PDPA: สิ่งที่เว็บไทยต้องรู้เมื่อขายของให้ลูกค้าในยุโรป
🔥 แค่ 5 นาที เปลี่ยนมุมมองได้เลย

GDPR vs PDPA: สิ่งที่เว็บไทยต้องรู้เมื่อขายของให้ลูกค้าในยุโรป

By Tanakit Chaithip
July 1, 2025
ยาวไป อยากเลือกอ่าน?
GDPR vs PDPA

GDPR (สหภาพยุโรป) และ PDPA (ไทย) มีหลักการคล้ายกัน: ต้องมีฐานกฎหมายชัดเจน, เคารพสิทธิของเจ้าของข้อมูล, แจ้งเหตุข้อมูลรั่วไหลต่อหน่วยงาน “ภายใน ~72 ชั่วโมง” เมื่อมีความเสี่ยง และระวังการโอนข้อมูลข้ามแดน โดย eCommerce ควรใช้คุกกี้แบบขอความยินยอมและจัดทำบันทึกการประมวลผล

GDPR vs PDPA สำหรับ eCommerce: เทียบข้อกำหนด & เช็กลิสต์ทำจริง (อัปเดต 2025)

สำหรับผู้บริหาร eCommerce, Legal/Privacy, Marketing, Tech บทความนี้สรุปความเหมือน–ต่างของ GDPR กับ PDPA ที่กระทบร้านค้าออนไลน์โดยตรง ทั้งเรื่องฐานกฎหมาย, คุกกี้และการตลาด, cross-border transfer, และการแจ้งเหตุข้อมูลรั่วไหล “ภายใน 72 ชั่วโมง” พร้อมแผนลงมือ 10 ขั้น

สรุปเร็ว: อะไร “เหมือน–ต่าง” และใครต้องทำอะไร

ประเด็น GDPR (EU) PDPA (TH) สิ่งที่ eCommerce ควรทำ
ฐานกฎหมาย (Lawful basis) กำหนดในมาตรา 6 เช่น สัญญา, ความยินยอม, ประโยชน์โดยชอบฯ โครงใกล้เคียง (สัญญา/ยินยอม/ประโยชน์โดยชอบฯ) ตาม PDPA แยกกิจกรรม: ซื้อขาย/ชำระเงิน → สัญญา, การตลาด/คุกกี้ไม่จำเป็น → ความยินยอม
คุกกี้ & การตลาด อาศัย GDPR+ePrivacy: คุกกี้ไม่จำเป็นต้องขอ opt-in; หลีกเลี่ยง “cookie wall” ยังไม่มีกฎหมายคุกกี้เฉพาะ แต่ PDPA บังคับใช้เรื่อง “ยินยอมอย่างชัดเจน” สำหรับการติดตามที่ไม่จำเป็น ทำแบนเนอร์แบบ opt-in จริง (Reject/Accept เท่าเทียม), บันทึกหลักฐานการยินยอม
แจ้งเหตุข้อมูลรั่วไหล แจ้งหน่วยงานกำกับ “โดยไม่ชักช้า และเมื่อทำได้ ภายใน 72 ชม.” แจ้ง PDPC “โดยไม่ชักช้า และเมื่อทำได้ ภายใน 72 ชม.” (หากเสี่ยง) มีแนวทาง/แบบฟอร์มทางการ เตรียม Breach Runbook + ช่องทางแจ้งลูกค้าเมื่อเสี่ยงสูง, เก็บ log & หลักฐานสืบสวน
โอนข้อมูลข้ามแดน ใช้ Adequacy/SCCs/BCRs + มาตรการเพิ่มเติมตามกฎหมาย/คำแนะนำ PDPC ออกเกณฑ์พิจารณา “adequacy (whitelist)” ปี 2024; กรณียังไม่ผ่าน ใช้เงื่อนไขตาม PDPA ที่อนุญาต สำรวจผู้ประมวลผล (CDP/Email/Payment/Shop Platform) → ทำ Transfer Impact Assessment + ข้อสัญญา
สิทธิของเจ้าของข้อมูล เข้าถึง, ลบ, คัดค้าน, พกพาข้อมูล ฯลฯ สิทธิใกล้เคียง (ขอเข้าถึง/ลบ/ระงับ/พกพา/คัดค้านการตลาดตรง) ตั้งระบบรับคำขอ (DSAR) มี SLA ชัดเจน และยืนยันตัวตนก่อนเปิดเผยข้อมูล

ตาราง: ความเสี่ยงที่พบบ่อยในร้านค้าออนไลน์ → วิธีแก้

อาการผลกระทบวิธีแก้ (แนะนำ)
แบนเนอร์คุกกี้ “ยอมอย่างเดียว” หรือซ่อนปุ่มปฏิเสธ ความยินยอมไม่ถูกต้อง, เสี่ยงปรับ/คำสั่งแก้ไข ทำ granular consent + ปุ่ม Reject/Accept เท่าเทียม + เก็บบันทึกการยินยอม
ใช้เครื่องมือการตลาดที่โอนข้อมูลไปต่างประเทศ โดยไม่มีเอกสารรองรับ ผิดข้อกำหนดโอนข้อมูลข้ามแดน ทำ vendor mapping, ตรวจ adequacy, ใส่ข้อสัญญา/มาตรการเสริม และทบทวนประจำปี
ไม่มี Runbook รับมือข้อมูลรั่วไหล แจ้งล่าช้าเกิน 72 ชม., เสี่ยงค่าปรับ เตรียม Incident/Breach SOP + ช่องทางแจ้ง PDPC/ลูกค้า + บทเรียนหลังเหตุ
นโยบายความเป็นส่วนตัวไม่สอดคล้องของจริง ขาดความโปร่งใส/ความเชื่อมั่น, เสี่ยงร้องเรียน อัปเดตนโยบายให้ตรงการใช้งานจริง (คุกกี้, โอนข้ามแดน, ระยะเก็บข้อมูล, DSAR)

HowTo: แผน 10 ขั้นทำให้ “พร้อมตรวจ” (GDPR & PDPA) สำหรับ eCommerce

  1. ทำ Data Map: แหล่งข้อมูล → จุดเก็บ → จุดโอน (รวมเครื่องมือโฆษณา/วิเคราะห์)
  2. กำหนดฐานกฎหมาย: แยกสัญญา/ความยินยอม/LI และบันทึกเหตุผล
  3. ยกระดับคุกกี้คอนเซนต์: แยกหมวด (จำเป็น/สถิติ/การตลาด), ปุ่ม Reject/Accept, เก็บหลักฐาน
  4. ทบทวนผู้ประมวลผล (Vendors): ใส่ข้อสัญญา, ประเมินโอนข้ามแดน, ตรวจ adequacy
  5. เตรียม Breach Runbook: เส้นเวลา 72 ชม., แบบฟอร์มแจ้ง PDPC/ลูกค้า, ช่องทางสื่อสาร
  6. นโยบาย &ประกาศความเป็นส่วนตัว: โปร่งใส เข้าใจง่าย และสอดคล้องของจริง
  7. DSAR Workflow: ฟอร์มคำขอ, การยืนยันตัวตน, SLA, บันทึกการดำเนินการ
  8. ฝึกทีม: การตลาด/คอนเทนต์/CS/Dev เข้าใจคอนเซนต์และ do/don’t
  9. บันทึกการประมวลผล (RoPA/Record): เก็บหลักฐานพร้อมตรวจ
  10. ทบทวนรายปี: Audit คุกกี้, Vendors, Cross-border, เปลี่ยนแปลงเครื่องมือ

อ้างอิงภายนอก (กฎหมาย/แนวทาง)

  • GDPR – ข้อกฎหมายฉบับเต็ม (EUR-Lex): eur-lex.europa.eu
  • GDPR Art.6 ฐานกฎหมาย: gdpr-info.eu
  • EDPB – แนวปฏิบัติเรื่อง “Consent” และการตีความ Cookie/Wall: edpb.europa.eu
  • GDPR – แจ้งเหตุข้อมูลรั่วไหลภายใน 72 ชม.: Art.33 / EDPB Guidelines
  • PDPA TH – ประกาศ กคส. เรื่อง “การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล 2565”: ราชกิจจานุเบกษา (แหล่งรวม: DGA)
  • PDPC ชี้แจง/แนวปฏิบัติแจ้งเหตุภายใน 72 ชม. + ยกเว้นเมื่อ “ไม่มีความเสี่ยง”: IAPP, DLA Piper (2025)
  • PDPA – เกณฑ์พิจารณา “Adequacy/Whitelist” สำหรับโอนข้อมูลข้ามแดน (2024): Baker McKenzie

บริการที่เกี่ยวข้อง (Internal Links)

อ่านต่อ (บทความที่เกี่ยวข้อง)

FAQ (People Also Ask)

ต้องใช้คุกกี้วอลล์ไหมเพื่อเก็บคอนเวอร์ชัน?
ไม่ควร: ภายใต้แนวปฏิบัติ EDPB การยินยอมต้อง “สมัครใจจริง” การบังคับยินยอมผ่าน cookie wall ไม่ถือว่าได้ความยินยอมที่ถูกต้อง ควรมีปุ่ม Reject/Accept เท่าเทียมและตั้งค่าตามหมวด

ร้านค้าโฮสต์นอกประเทศ (เช่น EU/US) จะโอนข้อมูลข้ามแดนอย่างไร?
เริ่มจากประเมิน adequacy ของปลายทางตามประกาศ PDPC 2024; หากไม่ผ่านให้ใช้เงื่อนไขที่กฎหมายอนุญาต (เช่น สัญญา/ความยินยอมที่ชัดเจน) พร้อมมาตรการเสริมและเฝ้าระวังความเสี่ยง

แจ้งเหตุข้อมูลรั่วไหล “72 ชั่วโมง” นับจากเมื่อไร?
โดยหลักให้นับ “นับแต่ทราบเหตุ” และต้องดำเนินการโดยไม่ชักช้า หากเกินกำหนดต้องชี้แจงเหตุผล และในไทยมีกรอบเวลาชี้แจงการล่าช้าเพิ่มเติมตามแนวปฏิบัติ

จำเป็นต้องใช้ความยินยอมทุกกรณีไหม?
ไม่จำเป็น: การชำระเงิน/ส่งของอาจใช้ฐาน “สัญญา”; ส่วนการตลาด/การติดตามเชิงพฤติกรรมมักต้องขอ “ความยินยอม” แบบชัดเจนและเพิกถอนได้

อัปเดตล่าสุด: 24 Aug 2025

เกี่ยวกับผู้เขียน

Vision X Brain Team — ทีม Website/SEO/CRO & Webflow สำหรับธุรกิจที่ต้องการความเร็ว ความน่าเชื่อถือ และความสอดคล้องตามกฎหมายข้อมูลส่วนบุคคล เราช่วยออกแบบโครง Privacy-by-Design และตั้งค่าคุกกี้คอนเซนต์ที่ตรวจสอบได้จริง

แชร์

Recent Blog

ข้อดีของ responsive web design ที่ธุรกิจยุคใหม่ต้องรู้ ปี 2025

ค้นพบข้อดีของ responsive web design พร้อมเคล็ดลับเพิ่มยอดขายและสร้างประสบการณ์เว็บที่ดีกับลูกค้า เหมาะสำหรับธุรกิจออนไลน์ยุคใหม่ปี 2025

ดูเพิ่มเติม
ข้อดีของ responsive web design ที่ธุรกิจยุคใหม่ต้องรู้ ปี 2025

ค้นพบข้อดีของ responsive web design พร้อมเคล็ดลับเพิ่มยอดขายและสร้างประสบการณ์เว็บที่ดีกับลูกค้า เหมาะสำหรับธุรกิจออนไลน์ยุคใหม่ปี 2025

ดูเพิ่มเติม
การวิเคราะห์ UX/UI เบื้องต้น สำหรับเจ้าของธุรกิจและผู้ทำเว็บไซต์ 2025

ดูเพิ่มเติม