PDPA (พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล) มีผลบังคับใช้เต็มรูปแบบแล้ว เว็บไซต์ที่ไม่ comply เสี่ยงโดนปรับสูงสุด 5 ล้านบาท แต่หลายบริษัทยังไม่รู้ว่าต้องทำอะไรบนเว็บไซต์ บทความนี้สรุป checklist ที่ต้องมี

PDPA คืออะไร

PDPA (Personal Data Protection Act) คือกฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทย คล้าย GDPR ของยุโรป ครอบคลุมการเก็บ ใช้ เปิดเผย ข้อมูลส่วนบุคคล เว็บไซต์ที่เก็บข้อมูลผู้ใช้ (ชื่อ email เบอร์โทร cookies) ต้อง comply

Checklist PDPA สำหรับเว็บไซต์

1. Cookie Consent Banner

สิ่งที่ต้องมีรายละเอียด
แจ้งให้ทราบบอกว่าเว็บใช้ cookies อะไรบ้าง เพื่ออะไร
ขอ consentต้องได้ consent ก่อน set cookies (ยกเว้น necessary cookies)
ให้เลือกได้ผู้ใช้ต้องเลือกได้ว่ายอมรับ cookies ประเภทไหน
ถอน consent ได้ต้องมีทางให้ผู้ใช้ถอน consent ทีหลัง
บันทึก consentเก็บหลักฐานว่าผู้ใช้ยอมรับเมื่อไหร่

2. Privacy Policy

  • เขียนเป็นภาษาไทย — เข้าใจง่าย ไม่ใช่ภาษากฎหมาย
  • ระบุข้อมูลที่เก็บ — ชื่อ email เบอร์โทร IP cookies อะไรบ้าง
  • วัตถุประสงค์ — เก็บไปทำอะไร ส่งข่าวสาร? วิเคราะห์พฤติกรรม? ปรับปรุงบริการ?
  • ระยะเวลาเก็บ — เก็บนานแค่ไหน ลบเมื่อไหร่
  • สิทธิของเจ้าของข้อมูล — ขอดู ขอลบ ขอแก้ไข ขอถอน consent
  • ข้อมูล DPO — ชื่อและช่องทางติดต่อ Data Protection Officer

3. Contact Forms

  • แจ้งวัตถุประสงค์ — บอกว่าข้อมูลที่กรอกจะใช้ทำอะไร
  • Checkbox consent — ไม่ pre-check ให้ ผู้ใช้ต้องเลือกเอง
  • เก็บเท่าที่จำเป็น — อย่าถามข้อมูลที่ไม่จำเป็น (เช่น วันเกิด ถ้าไม่ต้องใช้)

4. Third-party Scripts

  • Google Analytics — ต้องได้ consent ก่อน fire GA4 tag
  • Facebook Pixel — เช่นกัน ต้อง consent ก่อน
  • Chat widgets — ถ้าเก็บข้อมูลผู้ใช้ ต้องแจ้ง
  • Heatmap tools — Hotjar, Clarity ถ้าบันทึก session ต้อง consent

5. Data Security

  • SSL Certificate — HTTPS สำหรับทุกหน้า
  • Encrypt ข้อมูลสำคัญ — password, ข้อมูลส่วนตัว
  • Access control — จำกัดคนที่เข้าถึงข้อมูลได้
  • Backup — สำรองข้อมูลสม่ำเสมอ

บทลงโทษ

ความผิดโทษ
ไม่ขอ consent ก่อนเก็บข้อมูลปรับสูงสุด 5 ล้านบาท
ใช้ข้อมูลผิดวัตถุประสงค์ปรับสูงสุด 5 ล้านบาท
ข้อมูลรั่วไหลเพราะไม่มี securityปรับ + โทษทางแพ่ง
ไม่มี Privacy Policyปรับสูงสุด 1 ล้านบาท

คำถามที่พบบ่อย

เว็บเล็กๆ ต้อง comply PDPA ด้วยไหม

ต้อง ถ้าเว็บเก็บข้อมูลส่วนบุคคล (แม้แค่ contact form หรือ Google Analytics) ต้อง comply ไม่ว่าจะเป็นบริษัทขนาดไหน PDPA ไม่ยกเว้นตามขนาดธุรกิจ

ใช้ Webflow ต้องทำอะไรเพิ่ม

Webflow ไม่มี built-in cookie consent ต้องใช้ third-party เช่น Cookiebot, Termly หรือ Finsweet Cookie Consent เพิ่มเอง รวมถึงสร้างหน้า Privacy Policy ด้วย

ต้องจ้าง DPO ไหม

ไม่จำเป็นต้องจ้างคนเต็มเวลา แต่ต้องมีคนรับผิดชอบเรื่อง data protection สามารถมอบหมายให้พนักงานที่มีอยู่ หรือจ้าง outsource DPO ก็ได้

ทำเว็บให้ PDPA Compliant

PDPA compliance ไม่ใช่แค่ติด cookie banner แต่ต้องทำครบทั้ง policy, consent management, data security ถ้าต้องการทีมที่ช่วย ปรับปรุงเว็บ ให้ comply PDPA — คุยกับเรา

บทความแนะนำ