July 1, 2025
GDPR vs PDPA: สิ่งที่ร้านค้าออนไลน์ไทยต้องรู้
GDPR (EU) และ PDPA (ไทย) มีหลักการคล้ายกัน — ขอความยินยอมก่อนเก็บข้อมูล, แจ้งวัตถุประสงค์ให้ชัด, ให้สิทธิ์ลบ/แก้ไข แต่ GDPR เข้มกว่าเรื่อง DPO บังคับ และค่าปรับสูงถึง 4% ของรายได้ทั่วโลก สำหรับร้านค้าออนไลน์ไทยที่ขายให้ลูกค้า EU ต้องทำตามทั้งสองกฎหมาย
GDPR กับ PDPA คืออะไร
GDPR (General Data Protection Regulation) คือกฎหมายคุ้มครองข้อมูลส่วนบุคคลของ EU บังคับใช้ตั้งแต่ 2018 PDPA (พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล) คือกฎหมายของไทย บังคับใช้เต็มรูปแบบตั้งแต่ 2022 ทั้งสองมีเป้าหมายเดียวกัน คือให้เจ้าของข้อมูลมีสิทธิ์ควบคุมข้อมูลของตัวเอง
สำหรับร้านค้าออนไลน์ไทยที่ขายให้ลูกค้าในประเทศ ทำตาม PDPA ก็เพียงพอ แต่ถ้ามีลูกค้าใน EU หรือเก็บข้อมูลคนใน EU ต้องทำตาม GDPR ด้วย
เปรียบเทียบ GDPR vs PDPA
| หัวข้อ | GDPR (EU) | PDPA (ไทย) |
|---|---|---|
| ขอบเขตบังคับใช้ | ทุกองค์กรที่ประมวลผลข้อมูลคนใน EU ไม่ว่าจะตั้งอยู่ที่ไหน | ทุกองค์กรที่เก็บ/ใช้ข้อมูลคนในไทย ไม่ว่าจะตั้งอยู่ที่ไหน |
| ฐานทางกฎหมาย | ความยินยอม สัญญา ประโยชน์โดยชอบ กฎหมาย ฯลฯ (6 ฐาน) | ความยินยอม สัญญา ประโยชน์โดยชอบ กฎหมาย ฯลฯ (คล้ายกัน) |
| DPO (Data Protection Officer) | บังคับในบางกรณี (เก็บข้อมูลจำนวนมาก/ข้อมูลอ่อนไหว) | ไม่บังคับ แต่ต้องมีผู้รับผิดชอบ |
| สิทธิ์เจ้าของข้อมูล | เข้าถึง แก้ไข ลบ จำกัด คัดค้าน โอนย้าย | เข้าถึง แก้ไข ลบ จำกัด คัดค้าน โอนย้าย (คล้ายกัน) |
| ค่าปรับสูงสุด | 20 ล้านยูโร หรือ 4% ของรายได้ทั่วโลก | 5 ล้านบาท + โทษทางอาญา |
| การโอนข้อมูลข้ามประเทศ | ต้องมี Adequacy decision หรือ Standard Contractual Clauses | ต้องมีมาตรการคุ้มครองที่เพียงพอ |
| Cookie Consent | ต้องขอ consent ก่อนติด cookie (ยกเว้น strictly necessary) | ต้องขอ consent ก่อน (แนวปฏิบัติคล้ายกัน) |
สิ่งที่ร้านค้าออนไลน์ต้องทำ
- Cookie Consent Banner: ติดตั้ง consent banner ที่ให้เลือก accept/reject แต่ละประเภท cookie ไม่ใช่แค่ปุ่ม "ยอมรับ" อันเดียว
- Privacy Policy: เขียนนโยบายความเป็นส่วนตัวที่ชัดเจน ระบุว่าเก็บข้อมูลอะไร เพื่ออะไร เก็บนานแค่ไหน ใครเข้าถึงได้
- Consent Management: ก่อนเก็บ email, เบอร์โทร, ที่อยู่ ต้องได้ consent ที่ชัดเจน เก็บหลักฐาน consent ไว้ด้วย
- Data Subject Rights: มีช่องทางให้ลูกค้าขอดู แก้ไข หรือลบข้อมูลของตัวเอง พร้อมกระบวนการตอบกลับภายใน 30 วัน
- Data Security: เข้ารหัสข้อมูล, 2FA สำหรับ admin, สำรองข้อมูล, จำกัดสิทธิ์การเข้าถึง
- Third-party Review: ตรวจสอบว่า vendor/plugin ที่ใช้ (payment gateway, analytics, email marketing) ปฏิบัติตามกฎหมายด้วย
ข้อผิดพลาดที่พบบ่อย
- Pre-checked consent: ช่อง checkbox ที่ติ๊กไว้แล้วถือว่าไม่ใช่ consent ที่ถูกต้อง ลูกค้าต้องเลือกเอง
- เก็บข้อมูลเกินจำเป็น: ถ้าแค่จะส่ง newsletter ไม่จำเป็นต้องขอที่อยู่และเบอร์โทร
- ไม่มี data retention policy: ต้องกำหนดว่าเก็บข้อมูลนานแค่ไหน แล้วลบเมื่อหมดความจำเป็น
- ลืม third-party tracking: Google Analytics, Meta Pixel, Hotjar ล้วนเก็บข้อมูล ต้องแจ้งและขอ consent ด้วย
คำถามที่พบบ่อย
ร้านค้าออนไลน์เล็กๆ ต้องทำตาม PDPA ด้วยไหม
ต้อง PDPA บังคับใช้กับทุกองค์กรไม่ว่าจะเล็กหรือใหญ่ ถ้าเก็บข้อมูลลูกค้า (ชื่อ ที่อยู่ เบอร์ อีเมล) ก็อยู่ในข่าย สิ่งที่ควรทำอย่างน้อยคือ Privacy Policy, Cookie consent, และช่องทางให้ลูกค้าขอลบข้อมูล
ถ้าขายให้ลูกค้า EU ต้องทำ GDPR เต็มรูปแบบไหม
ถ้า "ตั้งใจ" ขายให้คน EU (เช่น มีเว็บภาษาอังกฤษ รับ payment สกุล EUR รองรับที่อยู่ EU) ต้องทำตาม GDPR ถ้าแค่มีคน EU เข้ามาซื้อเป็นครั้งคราวโดยไม่ได้ target ยังเป็นเรื่อง grey area แต่ปลอดภัยที่สุดคือทำตาม GDPR ไว้เลย เพราะมาตรฐานสูงกว่าครอบคลุม PDPA อยู่แล้ว
ค่าปรับ PDPA สูงสุดเท่าไหร่
ค่าปรับทางปกครองสูงสุด 5 ล้านบาท นอกจากนั้นยังมีโทษทางอาญา (จำคุกไม่เกิน 1 ปี) และต้องชดใช้ค่าเสียหายให้เจ้าของข้อมูลด้วย ดังนั้นต้นทุนจริงอาจสูงกว่าค่าปรับมาก
บทความแนะนำ
ลูกค้าตัดสินใจเร็วขึ้นในไม่กี่วินาที — แค่เปลี่ยน UX ให้ถูกจุด
ก่อนปรับ UX คนเข้าเว็บแล้วออกเลยค่ะ แต่พอรีดีไซน์ใหม่ กลายเป็นจุดที่ปิดการขายได้ดีที่สุดแทน!
คุณสุภาวดี
Marketing Executive, Digital Business
ลูกค้าบอกเลยว่าเว็บใหม่ ทำให้น่าเชื่อถือขึ้นแบบก้าวกระโดด
หลังรีแบรนด์กับ Vision X Brain ยอดขายพุ่ง x3 ภายใน 2 เดือน!
คุณพลอย
Brand Owner | Beauty Industry
210% คืออัตราผู้ใช้ใหม่ที่เพิ่มขึ้นหลังรีดีไซน์ในเดือนแรก
เปลี่ยนเว็บกับ Vision X Brain แค่ไม่กี่วัน ลูกค้าใหม่เริ่มเข้าใจธุรกิจเราทันที
คุณศุภัสรา
Marketing Executive, B2B Tech
ลูกค้าใหม่เพิ่มขึ้น 3X ภาพลักษณ์ดูโปรขึ้นทันที
หลังรีดีไซน์กับ Vision X Brain ลูกค้าระดับองค์กรเริ่มเข้ามาจองงานผ่านเว็บไซต์เอง — ไม่ต้องพึ่งคอนเนคชั่นเหมือนก่อน
คุณณิชาภัทร
Brand Manager | Hospitality & Service
ผู้ใช้งานทดลองเพิ่มขึ้น 210% ภายใน 30 วันแรก
หลังจากเปลี่ยนเว็บไซต์กับ Vision X Brain ผู้ใช้งานกล้ากดทดลองระบบตั้งแต่หน้าแรก — ไม่ต้องตาม โทร หรืออธิบายซ้ำอีก
คุณอลิษา
Business Founder | Tech & Innovation
Recent Blog
ทำไมการปรับปรุงเว็บไซต์ E-commerce ถึงช่วยเพิ่มยอดขายได้ทันที
เว็บของคุณไม่สามารถสร้างยอดขาย? ปรับปรุงเว็บไซต์เพื่อแก้ปัญหานี้ และเรียนรู้วิธีที่ช่วยเพิ่มประสิทธิภาพทันที...
5 เทคนิคออกแบบเว็บไซต์ Startup ที่เพิ่มยอดขาย 2026
เคยรู้สึกไหมว่าเว็บไซต์ของคุณไม่สามารถดึงดูดลูกค้าได้? ลองศึกษา 5 เทคนิคที่ช่วยให้คุณสามารถปรับปรุงเว็บไซต์ให้ดียิ่งขึ้นและเพิ่มอัตราการแปลงลูกค้าได้อย่างแท้จริง อ่านต่อ...
ทำไมเลือก Webflow Design Development เพื่อเว็บไซต์ที่ใช้งานง่าย?
เคยรู้สึกหงุดหงิดเมื่อเว็บไซต์โหลดช้าใช่ไหม? ปัญหานี้สามารถแก้ไขได้ด้วยการออกแบบที่ถูกต้อง อ่านต่อเพื่อค้นหาวิธีที่คุณจะเปลี่ยนประสบการณ์ผู้ใช้!