June 22, 2025
Checklist ข้อกฎหมาย PDPA ที่ต้องมีบนเว็บไซต์บริษัท (อัปเดตล่าสุด)
PDPA สำหรับเว็บไซต์: ทำ Privacy Notice ชัดเจน, ใช้ cookie banner แบบ opt-in (ไม่ติ๊กไว้ล่วงหน้า), เก็บบันทึกการยินยอม, ให้ช่องทางขอใช้สิทธิ (DSAR), คุมสคริปต์บุคคลที่สาม, เตรียมแผนแจ้งเหตุข้อมูลรั่วภายใน 72 ชั่วโมง และพิจารณา Consent Mode v2/TCF v2.2 เมื่อมีผู้ใช้ EEA/UK.
PDPA Website Checklist (อัปเดต 2025): ทำเว็บไทยให้ “พร้อมตรวจ” อย่างเป็นระบบ
สำหรับเจ้าของเว็บ/มาร์เก็ตติ้ง/ไอที เช็กลิสต์นี้สรุปสิ่งที่เว็บไซต์ไทยต้องมีเพื่อสอดคล้อง PDPA: ตั้งแต่การยินยอมคุกกี้, เอกสารแจ้ง, บันทึกการยินยอม, ช่องทาง DSAR, ไปจนถึงการแจ้งเหตุรั่วไหลและการโอนข้อมูลข้ามประเทศ พร้อมลิงก์อ้างอิงมาตรฐาน/หน่วยงานรัฐ
PDPA Website Checklist (ลงมือทำได้ทันที)
| รายการ | ต้องทำอะไร | หลักฐาน/มาตรฐานอ้างอิง |
|---|---|---|
| Privacy Notice | อัปเดตวัตถุประสงค์/ฐานกฎหมาย/การเก็บระยะเวลา/สิทธิของเจ้าของข้อมูล และช่องทางติดต่อ | ดูแนวทาง PDPA & คู่มือรัฐไทย (DGA). :contentReference[oaicite:0]{index=0} |
| Cookie Banner (Opt-in) | บล็อกคุกกี้ที่ไม่จำเป็นจนกว่าจะยินยอม, ปุ่มยอมรับ/ปฏิเสธ/ปรับแต่ง, อธิบายวัตถุประสงค์ชัด | แนวทางการยินยอมภายใต้ PDPA (หน่วยงานรัฐ/สรุปกฎหมาย). :contentReference[oaicite:1]{index=1} |
| Consent Log | บันทึกวันเวลา/แหล่งที่มา/เวอร์ชันข้อความยินยอม/ตัวเลือกของผู้ใช้ สามารถพิสูจน์ย้อนหลังได้ | แนวทางขอยินยอม (เอกสารทางการในประเทศ). :contentReference[oaicite:2]{index=2} |
| DSAR (ขอใช้สิทธิ) | ฟอร์ม/อีเมลสำหรับเข้าถึง/ลบ/คัดค้าน/ถอนได้ พร้อมกระบวนการยืนยันตัวตน | สิทธิของเจ้าของข้อมูลตาม PDPA. :contentReference[oaicite:3]{index=3} |
| Data Breach Plan | คู่มือ/เพลย์บุ๊กตรวจจับ–ประเมิน–แจ้ง PDPC ภายใน 72 ชม. เมื่อเข้าข่าย | คำชี้แจงช่วงเวลาแจ้งเหตุ 72 ชม. โดย PDPC (ก.พ. 2025). :contentReference[oaicite:4]{index=4} |
| 3rd-party Scripts Inventory | สำรวจสคริปต์/พิกเซลทั้งหมด, ปิดจนกว่าจะยินยอม, จัดหมวดตามวัตถุประสงค์ | แนวปฏิบัติ CMP/Consent Mode v2. :contentReference[oaicite:5]{index=5} |
| Cross-border Transfer | ตรวจว่ามีการส่งข้อมูลออกนอกไทยหรือไม่; ทำมาตรการ/สัญญาตามประกาศ PDPC ล่าสุด | ประกาศ PDPC เรื่องโอนข้อมูลข้ามพรมแดน (ลงราชกิจจาฯ 25 ธ.ค. 2023). :contentReference[oaicite:6]{index=6} |
| EEA/UK ผู้ใช้ | ใช้ CMP ที่รองรับ TCF v2.2 + เชื่อม Consent Mode v2 | IAB Europe TCF v2.2 & Google Consent Mode. :contentReference[oaicite:7]{index=7} |
| บันทึกกิจกรรม (ROPA) | เก็บบันทึกรายการประมวลผลข้อมูลส่วนบุคคลของเว็บ/มาร์เก็ตติ้ง | แม่แบบบันทึก/สิทธิของเจ้าของข้อมูล (ภาครัฐ). :contentReference[oaicite:8]{index=8} |
อาการที่พบบ่อย → สัญญาณไม่สอดคล้อง → วิธีแก้
| อาการ | สัญญาณ | วิธีแก้ |
|---|---|---|
