PDPA สำหรับเว็บไซต์: ทำ Privacy Notice ชัดเจน, ใช้ cookie banner แบบ opt-in (ไม่ติ๊กไว้ล่วงหน้า), เก็บบันทึกการยินยอม, ให้ช่องทางขอใช้สิทธิ (DSAR), คุมสคริปต์บุคคลที่สาม, เตรียมแผนแจ้งเหตุข้อมูลรั่วภายใน 72 ชั่วโมง และพิจารณา Consent Mode v2/TCF v2.2 เมื่อมีผู้ใช้ EEA/UK.
PDPA Website Checklist (อัปเดต 2025): ทำเว็บไทยให้ “พร้อมตรวจ” อย่างเป็นระบบ
สำหรับเจ้าของเว็บ/มาร์เก็ตติ้ง/ไอที เช็กลิสต์นี้สรุปสิ่งที่เว็บไซต์ไทยต้องมีเพื่อสอดคล้อง PDPA: ตั้งแต่การยินยอมคุกกี้, เอกสารแจ้ง, บันทึกการยินยอม, ช่องทาง DSAR, ไปจนถึงการแจ้งเหตุรั่วไหลและการโอนข้อมูลข้ามประเทศ พร้อมลิงก์อ้างอิงมาตรฐาน/หน่วยงานรัฐ
PDPA Website Checklist (ลงมือทำได้ทันที)
| รายการ |
ต้องทำอะไร |
หลักฐาน/มาตรฐานอ้างอิง |
| Privacy Notice |
อัปเดตวัตถุประสงค์/ฐานกฎหมาย/การเก็บระยะเวลา/สิทธิของเจ้าของข้อมูล และช่องทางติดต่อ |
ดูแนวทาง PDPA & คู่มือรัฐไทย (DGA). :contentReference[oaicite:0]{index=0} |
| Cookie Banner (Opt-in) |
บล็อกคุกกี้ที่ไม่จำเป็นจนกว่าจะยินยอม, ปุ่มยอมรับ/ปฏิเสธ/ปรับแต่ง, อธิบายวัตถุประสงค์ชัด |
แนวทางการยินยอมภายใต้ PDPA (หน่วยงานรัฐ/สรุปกฎหมาย). :contentReference[oaicite:1]{index=1} |
| Consent Log |
บันทึกวันเวลา/แหล่งที่มา/เวอร์ชันข้อความยินยอม/ตัวเลือกของผู้ใช้ สามารถพิสูจน์ย้อนหลังได้ |
แนวทางขอยินยอม (เอกสารทางการในประเทศ). :contentReference[oaicite:2]{index=2} |
| DSAR (ขอใช้สิทธิ) |
ฟอร์ม/อีเมลสำหรับเข้าถึง/ลบ/คัดค้าน/ถอนได้ พร้อมกระบวนการยืนยันตัวตน |
สิทธิของเจ้าของข้อมูลตาม PDPA. :contentReference[oaicite:3]{index=3} |
| Data Breach Plan |
คู่มือ/เพลย์บุ๊กตรวจจับ–ประเมิน–แจ้ง PDPC ภายใน 72 ชม. เมื่อเข้าข่าย |
คำชี้แจงช่วงเวลาแจ้งเหตุ 72 ชม. โดย PDPC (ก.พ. 2025). :contentReference[oaicite:4]{index=4} |
| 3rd-party Scripts Inventory |
สำรวจสคริปต์/พิกเซลทั้งหมด, ปิดจนกว่าจะยินยอม, จัดหมวดตามวัตถุประสงค์ |
แนวปฏิบัติ CMP/Consent Mode v2. :contentReference[oaicite:5]{index=5} |
| Cross-border Transfer |
ตรวจว่ามีการส่งข้อมูลออกนอกไทยหรือไม่; ทำมาตรการ/สัญญาตามประกาศ PDPC ล่าสุด |
ประกาศ PDPC เรื่องโอนข้อมูลข้ามพรมแดน (ลงราชกิจจาฯ 25 ธ.ค. 2023). :contentReference[oaicite:6]{index=6} |
| EEA/UK ผู้ใช้ |
ใช้ CMP ที่รองรับ TCF v2.2 + เชื่อม Consent Mode v2 |
IAB Europe TCF v2.2 & Google Consent Mode. :contentReference[oaicite:7]{index=7} |
| บันทึกกิจกรรม (ROPA) |
เก็บบันทึกรายการประมวลผลข้อมูลส่วนบุคคลของเว็บ/มาร์เก็ตติ้ง |
แม่แบบบันทึก/สิทธิของเจ้าของข้อมูล (ภาครัฐ). :contentReference[oaicite:8]{index=8} |
อาการที่พบบ่อย → สัญญาณไม่สอดคล้อง → วิธีแก้
| อาการ | สัญญาณ | วิธีแก้ |
| แบนเนอร์มีแต่ปุ่ม “ยอมรับทั้งหมด” |
ไม่มี “ปฏิเสธ/ปรับแต่ง” และยิงแท็กก่อนยินยอม |
เพิ่มปุ่มปฏิเสธ/จัดการ และบล็อกสคริปต์ที่ไม่จำเป็นจนกว่าจะยินยอม. :contentReference[oaicite:9]{index=9} |
| หาหลักฐานการยินยอมไม่เจอ |
ไม่มี consent log/เวอร์ชันข้อความ |
บันทึกเวลา/ที่มา/ตัวเลือก/เวอร์ชัน ขณะผู้ใช้ให้ยินยอม. :contentReference[oaicite:10]{index=10} |
| มีผู้ใช้ EEA แต่วัดผลไม่ได้ |
ไม่มี CMP/ไม่เชื่อม Consent Mode |
ใช้ CMP ที่รับรอง TCF v2.2 แล้วเชื่อม Consent Mode v2. :contentReference[oaicite:11]{index=11} |
โค้ดตัวอย่าง: ตั้งค่า Consent Mode v2 ขั้นพื้นฐาน
<script>
// ตั้งค่าเริ่มต้น (ยังไม่ยินยอม)
gtag('consent','default',{
ad_storage:'denied',
analytics_storage:'denied',
ad_user_data:'denied',
ad_personalization:'denied'
});
// เมื่อผู้ใช้ให้ยินยอมผ่าน CMP ให้ "อัปเดต"
window.addEventListener('consent_update', (e) => {
const s = e.detail; // {analytics:true/false, ads:true/false,...}
gtag('consent','update',{
analytics_storage: s.analytics ? 'granted' : 'denied',
ad_storage: s.ads ? 'granted' : 'denied',
ad_user_data: s.ads ? 'granted' : 'denied',
ad_personalization: s.ads ? 'granted' : 'denied'
});
});
</script>
หมายเหตุ: Consent Mode ไม่ใช่แบนเนอร์ แต่เป็นวิธีให้แท็กของ Google “ปรับพฤติกรรม” ตามสถานะยินยอมของผู้ใช้. :contentReference[oaicite:12]{index=12}
ตัวอย่างฟอร์ม DSAR (ย่อ) + บันทึกหลักฐาน
<form id="dsar">
<label>อีเมล<input type="email" name="email" required></label>
<label>คำขอ<select name="type">
<option value="access">ขอเข้าถึงข้อมูล</option>
<option value="erasure">ขอลบข้อมูล</option>
<option value="withdraw">ถอนความยินยอม</option>
</select></label>
<button type="submit">ส่งคำขอ</button>
</form>
<script>
document.getElementById('dsar').addEventListener('submit', async (e)=>{
e.preventDefault();
const payload = Object.fromEntries(new FormData(e.target));
payload.ts = new Date().toISOString();
// ส่งไปยังระบบรับคำขอ + ตรวจยืนยันตัวตนฝั่งเซิร์ฟเวอร์
await fetch('/api/dsar',{method:'POST',headers:{'Content-Type':'application/json'},body:JSON.stringify(payload)});
gtag?.('event','dsar_submit',{type:payload.type});
});
</script>
บริการที่เกี่ยวข้อง (Internal Links)
อ้างอิงภายนอก (E-E-A-T)
FAQ (คำถามที่พบบ่อย)
ต้องมี cookie banner เสมอไหม?
หากมีคุกกี้/แท็กที่ไม่จำเป็นต่อการให้บริการ (เช่น analytics/ads) ต้องขอ “ยินยอมก่อน” (opt-in) และห้ามติ๊กไว้ล่วงหน้า โดยชี้แจงวัตถุประสงค์และเปิดให้ปฏิเสธ/ปรับแต่งได้. :contentReference[oaicite:20]{index=20}
หากเกิดข้อมูลรั่ว ต้องแจ้งภายในกี่ชั่วโมง?
เมื่อประเมินแล้วเข้าข่าย “เสี่ยงกระทบสิทธิของเจ้าของข้อมูล” ให้แจ้ง PDPC ภายใน 72 ชั่วโมงนับจากเชื่อว่ามีเหตุเกิดขึ้น พร้อมรายละเอียดตามแนวทางที่ประกาศ. :contentReference[oaicite:21]{index=21}
ถ้ามีผู้ใช้จาก EEA/UK ด้วย ควรทำอะไรเพิ่ม?
ใช้ CMP ที่รองรับ IAB TCF v2.2 และเชื่อม Consent Mode v2 เพื่อให้แท็กของ Google เคารพการตัดสินใจเรื่องคุกกี้/ตัวระบุ และยังวัดผลได้อย่างถูกต้อง. :contentReference[oaicite:22]{index=22}
อัปเดตล่าสุด: 12 Aug 2025
เกี่ยวกับทีมผู้เขียน
Vision X Brain — ทีม Website/SEO/CRO & Webflow สำหรับธุรกิจไทย เราออกแบบเว็บ “เร็ว คอนเวิร์ต และ PDPA-ready” ตั้งแต่แบนเนอร์/Consent Mode v2, DSAR, ไปจนถึง ROPA/การโอนข้อมูลข้ามพรมแดน ดู บริการทั้งหมด
