เช็คลิสต์ PDPA 6 ข้อ — ตรวจสอบเว็บไซต์ SME
PDPA compliance checklist for SME websites — 6 items to check today
หากคุณเป็นเจ้าของ SME และสงสัยว่าเว็บไซต์ของคุณต้องมีอะไรบ้างถึงจะสอดคล้องกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) เช็คลิสต์ 6 ข้อนี้คือคำตอบ ต่อไปนี้คือองค์ประกอบสำคัญที่เว็บไซต์ทุกแห่งที่เก็บข้อมูลส่วนบุคคลต้องมี พร้อมตัวอย่างสิ่งที่ "ผ่าน" และข้อผิดพลาดที่พบบ่อย
เราออกแบบเช็คลิสต์นี้จากข้อกำหนดในมาตรา 19 (หลักความยินยอม) มาตรา 23 (การแจ้งวัตถุประสงค์) และมาตรา 30-37 (สิทธิเจ้าของข้อมูลและหน้าที่ผู้ควบคุมข้อมูล) ซึ่งเป็นมาตราที่เกี่ยวข้องกับเว็บไซต์โดยตรง
ข้อควรรู้: เช็คลิสต์ 6 ข้อนี้ครอบคลุมเฉพาะสิ่งที่ต้อง "แสดงบนเว็บไซต์" เท่านั้น PDPA ยังมีข้อกำหนดอื่นที่เกี่ยวข้องกับการดำเนินงานภายใน เช่น การทำบันทึกรายการประมวลผล (ROPA) และการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล (DPO) ซึ่งอยู่นอกเหนือขอบเขตของเช็คลิสต์นี้
Cookie Consent Banner — แบนเนอร์ขอความยินยอมคุกกี้
Cookie Consent Banner
มาตรา 19 — หลักความยินยอม
✅ ลักษณะที่ "ผ่าน"
มีแบนเนอร์คุกกี้ที่เด่นชัด แสดงก่อนคุกกี้ทำงาน มีปุ่ม "ยอมรับทั้งหมด" และ "ปฏิเสธทั้งหมด" ที่มีขนาดและตำแหน่งเท่าเทียมกัน แสดงรายการคุกกี้แต่ละประเภท (จำเป็น, วิเคราะห์, การตลาด) มีลิงก์ไปยังนโยบายความเป็นส่วนตัว
❌ ลักษณะที่ "ไม่ผ่าน"
มีแบนเนอร์แต่มีแค่ปุ่ม "ยอมรับ" / "ตกลง" เพียงปุ่มเดียว ไม่มีปุ่มปฏิเสธที่ชัดเจน หรือแบนเนอร์ไม่มีข้อมูลเกี่ยวกับประเภทคุกกี้เลย
ข้อผิดพลาดที่พบบ่อย
Common mistakes
- ✗ใช้ popup แบบ simple alert ที่มีแค่ปุ่ม "ตกลง" โดยไม่มีตัวเลือกปฏิเสธ
- ✗ปุ่มปฏิเสธมีขนาดเล็กมากหรือซ่อนอยู่ในเมนู
- ✗ตั้งค่าให้คุกกี้ทำงานก่อนที่ผู้ใช้จะกดยอมรับ
- ✗ใช้ข้อความภาษาอังกฤษล้วนทั้งที่กลุ่มเป้าหมายเป็นคนไทย
วิธีแก้ไข
How to fix
- →เพิ่มแบนเนอร์ที่มีปุ่ม "ยอมรับทั้งหมด" และ "ปฏิเสธทั้งหมด" ที่มีขนาดเท่ากันและสีใกล้เคียงกัน
- →แสดงแบนเนอร์ก่อนที่จะมีการติดตั้งคุกกี้ใดๆ ยกเว้นคุกกี้ที่จำเป็นอย่างยิ่ง
- →ระบุประเภทคุกกี้ที่ใช้และวัตถุประสงค์ของแต่ละประเภทเป็นภาษาไทยที่เข้าใจง่าย
- →บันทึกการตั้งค่าความยินยอมของผู้ใช้เพื่อไม่ต้องถามซ้ำทุกครั้งที่เข้าชม
นโยบายความเป็นส่วนตัว — Privacy Policy
Privacy Policy
มาตรา 23 — การแจ้งวัตถุประสงค์
✅ ลักษณะที่ "ผ่าน"
มีหน้านโยบายความเป็นส่วนตัวที่เข้าถึงได้ง่าย (มีลิงก์ใน footer หรือเมนูหลัก) เขียนเป็นภาษาไทยที่อ่านเข้าใจง่าย ไม่ใช้ภาษากฎหมายที่ซับซ้อน บอกชัดเจนว่าเก็บข้อมูลอะไร เพื่อวัตถุประสงค์อะไร เก็บไว้นานเท่าใด และใครเป็นผู้ควบคุมข้อมูล
❌ ลักษณะที่ "ไม่ผ่าน"
ไม่มีหน้านโยบายความเป็นส่วนตัวเลย หรือมีแต่เป็นภาษาอังกฤษล้วน หรือมีแต่คัดลอกมาจากเว็บอื่นโดยไม่ได้ปรับให้ตรงกับการดำเนินงานจริง
ข้อผิดพลาดที่พบบ่อย
Common mistakes
- ✗คัดลอก Privacy Policy จากเว็บไซต์ต่างประเทศโดยไม่ปรับเนื้อหาให้ตรงกับธุรกิจ
- ✗ใช้ภาษากฎหมายที่ซับซ้อนอ่านยาก คนทั่วไปไม่เข้าใจ
- ✗ซ่อนลิงก์ Privacy Policy ไว้ในตำแหน่งที่หาได้ยากมาก
- ✗ไม่ได้ระบุชื่อและที่อยู่ของผู้ควบคุมข้อมูลตามที่กฎหมายกำหนด
วิธีแก้ไข
How to fix
- →เขียนนโยบายความเป็นส่วนตัวด้วยภาษาไทยที่เข้าใจง่าย ไม่ต้องใช้ศัพท์กฎหมายมากเกินไป
- →ระบุให้ครบ: ข้อมูลที่เก็บ วัตถุประสงค์ ฐานทางกฎหมาย ระยะเวลาเก็บ สิทธิของเจ้าของข้อมูล และช่องทางติดต่อ
- →วางลิงก์ไปยังหน้านโยบายใน footer และเมนูหลักของเว็บไซต์
- →ระบุวันที่ปรับปรุงล่าสุดและแจ้งผู้ใช้เมื่อมีการเปลี่ยนแปลงนโยบาย
แบบฟอร์มขอความยินยอม — Consent Form
Consent Form / Opt-in
มาตรา 19 — เงื่อนไขความยินยอม
✅ ลักษณะที่ "ผ่าน"
แบบฟอร์มขอความยินยอมแยกจากข้อความอื่นอย่างชัดเจน ไม่ใช้การติ๊กถูกไว้ล่วงหน้า (pre-ticked checkbox) แต่ละวัตถุประสงค์แยกให้เลือกทีละรายการ ผู้ใช้เข้าใจว่ากำลังยินยอมอะไร และสามารถถอนความยินยอมได้ง่าย
❌ ลักษณะที่ "ไม่ผ่าน"
ใช้การติ๊กถูกไว้ล่วงหน้า รวมความยินยอมหลายอย่างไว้ใน checkbox เดียว ซ่อนเงื่อนไขไว้ในข้อความยาว หรือไม่มีช่องทางให้ถอนความยินยอม
ข้อผิดพลาดที่พบบ่อย
Common mistakes
- ✗ใช้ checkbox ที่ถูกเลือกไว้ล่วงหน้า (pre-checked)
- ✗รวมความยินยอมทุกอย่างไว้ในข้อเดียว เช่น "ข้าพเจ้ายอมรับข้อตกลงและเงื่อนไขทั้งหมด"
- ✗ซ่อนรายละเอียดใน Terms & Conditions ที่ยาวมาก
- ✗ไม่มีช่องทางให้ผู้ใช้ถอนความยินยอมในภายหลัง
วิธีแก้ไข
How to fix
- →ใช้ checkbox เปล่าที่ผู้ใช้ต้องเลือกเอง (unchecked โดยค่าเริ่มต้น)
- →แยกวัตถุประสงค์การขอความยินยอมเป็นรายการ เช่น "รับข่าวสารทางอีเมล" แยกจาก "ใช้คุกกี้วิเคราะห์"
- →ใส่ลิงก์ไปยังนโยบายความเป็นส่วนตัวใกล้ๆ กับ checkbox
- →มีช่องทางให้ถอนความยินยอมที่สะดวก เช่น ลิงก์ unsubscribe ในอีเมล หรือปุ่มจัดการคุกกี้
สิทธิของเจ้าของข้อมูล — Data Subject Rights
Data Subject Rights
มาตรา 30-36 — สิทธิเจ้าของข้อมูล
✅ ลักษณะที่ "ผ่าน"
นโยบายความเป็นส่วนตัวระบุสิทธิ 8 ประการของเจ้าของข้อมูลครบถ้วน พร้อมวิธีใช้สิทธิที่ชัดเจน (เช่น อีเมล หรือแบบฟอร์มออนไลน์) ระบุระยะเวลาดำเนินการ (ไม่เกิน 30 วัน) และไม่มีค่าใช้จ่ายในการใช้สิทธิ
❌ ลักษณะที่ "ไม่ผ่าน"
ไม่กล่าวถึงสิทธิของเจ้าของข้อมูลเลย หรือกล่าวถึงแค่บางข้อ ไม่ระบุวิธีใช้สิทธิ หรือบอกว่าผู้ใช้ไม่มีสิทธิเหล่านี้
ข้อผิดพลาดที่พบบ่อย
Common mistakes
- ✗ไม่แจ้งสิทธิของเจ้าของข้อมูลใน Privacy Policy
- ✗ระบุแค่สิทธิเข้าถึงข้อมูลเท่านั้น ไม่กล่าวถึงสิทธิอื่นๆ
- ✗ไม่มีช่องทางให้ผู้ใช้ยื่นคำขอใช้สิทธิ (ไม่มีอีเมลหรือแบบฟอร์ม)
- ✗เรียกเก็บค่าธรรมเนียมในการใช้สิทธิโดยไม่จำเป็น
วิธีแก้ไข
How to fix
- →ระบุสิทธิทั้ง 8 ข้อในนโยบายความเป็นส่วนตัว: เข้าถึง, โอนย้าย, คัดค้าน, ลบ, ระงับ, แก้ไข, ถอนความยินยอม, ร้องเรียน
- →สร้างหน้าแบบฟอร์มหรือระบุอีเมลสำหรับยื่นคำขอใช้สิทธิโดยเฉพาะ
- →ระบุระยะเวลาดำเนินการที่ชัดเจน (กฎหมายกำหนด 30 วัน แต่ควรทำให้เร็วกว่านั้น)
- →แจ้งสิทธิในการร้องเรียนต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.)
ข้อมูลผู้ควบคุมข้อมูล — Data Controller
Data Controller Information
มาตรา 23 — หน้าที่ผู้ควบคุมข้อมูล
✅ ลักษณะที่ "ผ่าน"
เว็บไซต์ระบุชัดเจนว่าใครเป็นผู้ควบคุมข้อมูล (Data Controller) พร้อมชื่อนิติบุคคล ที่อยู่ตามทะเบียน อีเมลหรือเบอร์โทรศัพท์ที่ติดต่อได้ และระบุว่ามี DPO หรือไม่ หากแต่งตั้งแล้วต้องระบุชื่อและช่องทางติดต่อ DPO ด้วย
❌ ลักษณะที่ "ไม่ผ่าน"
ไม่ระบุว่าใครเป็นผู้ควบคุมข้อมูล หรือมีแค่ชื่อเว็บไซต์โดยไม่มีรายละเอียดติดต่อ หรือระบุเป็นชื่อบุคคลโดยไม่มีข้อมูลนิติบุคคล
ข้อผิดพลาดที่พบบ่อย
Common mistakes
- ✗ระบุแค่ชื่อเว็บไซต์หรือแบรนด์ โดยไม่มีชื่อบริษัทตามทะเบียน
- ✗ไม่มีข้อมูลติดต่อ เช่น อีเมลหรือที่อยู่
- ✗ข้อมูลผู้ควบคุมข้อมูลซ่อนอยู่ในหน้าที่ไม่เกี่ยวข้อง
- ✗ใช้ที่อยู่ส่วนตัวหรือข้อมูลที่ไม่เป็นทางการ
วิธีแก้ไข
How to fix
- →ระบุชื่อบริษัทตามหนังสือรับรองนิติบุคคล พร้อมเลขทะเบียนนิติบุคคล
- →ระบุที่อยู่ตามทะเบียนและช่องทางติดต่อ (อีเมลและ/หรือเบอร์โทรศัพท์) อย่างน้อย 1 ช่องทาง
- →วางข้อมูลผู้ควบคุมข้อมูลในหน้านโยบายความเป็นส่วนตัวและหน้าติดต่อ
- →หากแต่งตั้ง DPO ให้ระบุชื่อและอีเมลของ DPO แยกต่างหาก
ระยะเวลาเก็บรักษาข้อมูล — Data Retention
Data Retention Policy
มาตรา 37(1) — การเก็บรักษาข้อมูล
✅ ลักษณะที่ "ผ่าน"
นโยบายความเป็นส่วนตัวระบุระยะเวลาเก็บรักษาข้อมูลแต่ละประเภทอย่างชัดเจน เช่น ข้อมูลลูกค้าเก็บ 5 ปีหลังสิ้นสุดสัญญา ข้อมูลแบบฟอร์มติดต่อเก็บ 90 วัน เมื่อครบกำหนดจะมีกระบวนการลบหรือทำลายข้อมูล
❌ ลักษณะที่ "ไม่ผ่าน"
ไม่ระบุระยะเวลาเก็บรักษาเลย หรือใช้ข้อความกว้างๆ เช่น "เก็บข้อมูลเท่าที่จำเป็น" โดยไม่ระบุเวลาเป็นตัวเลขที่ชัดเจน
ข้อผิดพลาดที่พบบ่อย
Common mistakes
- ✗ใช้ข้อความกว้างๆ เช่น "เก็บข้อมูลตราบเท่าที่จำเป็น"
- ✗ไม่ระบุว่าจะลบหรือทำลายข้อมูลอย่างไรเมื่อครบกำหนด
- ✗ไม่แยกประเภทข้อมูล แต่ละประเภทอาจมีระยะเวลาเก็บต่างกัน
- ✗ระยะเวลาเก็บไม่สอดคล้องกับวัตถุประสงค์การเก็บที่แจ้งไว้
วิธีแก้ไข
How to fix
- →ระบุระยะเวลาเก็บเป็นวัน เดือน หรือปี สำหรับข้อมูลแต่ละประเภท
- →อธิบายเกณฑ์ที่ใช้กำหนดระยะเวลา (เช่น ตามกฎหมาย ตามสัญญา หรือตามความจำเป็นทางธุรกิจ)
- →ระบุกระบวนการลบหรือทำลายข้อมูลเมื่อครบกำหนด
- →ทบทวนระยะเวลาเก็บรักษาทุกปีเพื่อให้แน่ใจว่ายังเหมาะสม
สรุป — ใช้เช็คลิสต์นี้แล้วได้อะไร?
Summary — what you gain from this checklist
เช็คลิสต์ 6 ข้อนี้ช่วยให้คุณตรวจสอบองค์ประกอบสำคัญบนเว็บไซต์ได้ด้วยตัวเอง แต่หากคุณต้องการความสะดวกรวดเร็ว pdpascanner.com สแกนเว็บไซต์ของคุณอัตโนมัติ และแสดงผลเช็คลิสต์นี้ภายใน 60 วินาที พร้อมระบุจุดที่ต้องแก้ไขอย่างชัดเจน
เช็คลิสต์นี้เป็นเพียงข้อมูลเบื้องต้น ไม่ใช่คำปรึกษาทางกฎหมาย หากมีข้อสงสัยควรปรึกษาทนายความผู้เชี่ยวชาญด้าน PDPA
Informational only — not legal advice. Consult a PDPA-qualified lawyer for specific guidance.
ตรวจสอบเว็บไซต์ของคุณตามเช็คลิสต์นี้ฟรี
วาง URL เว็บไซต์ของคุณแล้วระบบจะตรวจสอบทั้ง 6 ข้อนี้ให้อัตโนมัติภายใน 60 วินาที ฟรี ไม่ต้องสมัครสมาชิก
สแกนฟรีเลย →