PDPA ใช้กับเว็บไซต์อย่างไร?

PDPA ใช้กับเว็บไซต์ที่เก็บข้อมูลส่วนบุคคล ไม่ว่าจะเป็นชื่อ อีเมล เบอร์โทรศัพท์ คุกกี้ หรือ IP Address เว็บไซต์ต้องมี cookie consent banner, นโยบายความเป็นส่วนตัว, แจ้งสิทธิเจ้าของข้อมูล และระบุผู้ควบคุมข้อมูล หากใช้บริการบุคคลที่สามเช่น Google Analytics หรือ Facebook Pixel ก็ต้องแจ้งให้ผู้ใช้ทราบ

เว็บไซต์ WordPress ต้องทำอะไรให้ผ่าน PDPA?

เว็บไซต์ WordPress ต้อง: 1) ติดตั้ง Cookie Consent Plugin 2) สร้างหน้า Privacy Policy 3) เพิ่ม checkbox ในแบบฟอร์มติดต่อ 4) เปิดใช้งาน HTTPS 5) ตรวจสอบปลั๊กอินที่ใช้ — ปลั๊กอินที่ส่งข้อมูลออกนอกเซิร์ฟเวอร์อาจต้องขอความยินยอม 6) ตั้งค่า Google Analytics ให้ anonymize IP

เว็บไซต์ที่ไม่มีแบบฟอร์มต้องทำ PDPA ไหม?

ขึ้นอยู่กับว่าเว็บไซต์ใช้คุกกี้หรือไม่ หากเว็บไซต์ไม่มีแบบฟอร์มแต่ใช้ Google Analytics, Facebook Pixel, หรือคุกกี้ใดๆ ก็ตามที่เก็บข้อมูลผู้ใช้ ก็ต้องมี cookie consent banner และนโยบายความเป็นส่วนตัว การใช้ IP Address เพื่อวิเคราะห์ก็ถือเป็นการประมวลผลข้อมูลส่วนบุคคล

เว็บไซต์ที่ใช้บริการโฮสต์ต่างประเทศต้องทำ PDPA ไหม?

หากเว็บไซต์นั้นเก็บข้อมูลของบุคคลที่อยู่ในประเทศไทย ผู้ควบคุมข้อมูลต้องปฏิบัติตาม PDPA ไม่ว่าเซิร์ฟเวอร์จะอยู่ที่ใด การโอนข้อมูลไปต่างประเทศต้องมีมาตรการคุ้มครองที่เหมาะสมตามมาตรา 28-29 เช่น การทำสัญญากับผู้ให้บริการโฮสต์ต่างประเทศ

← กลับหน้าหลัก

PDPA กับเว็บไซต์ — คู่มือสำหรับ SME ไทย

Complete PDPA website compliance guide for Thai SMEs

ในยุคที่ SME ไทยมีเว็บไซต์เป็นของตัวเองมากขึ้น การทำความเข้าใจว่า พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) เกี่ยวข้องกับเว็บไซต์ของคุณอย่างไรเป็นสิ่งสำคัญ เว็บไซต์คือจุดสัมผัสแรกที่เก็บข้อมูลลูกค้า ตั้งแต่ชื่อ อีเมล เบอร์โทรศัพท์ ไปจนถึงข้อมูลทางเทคนิคอย่าง IP Address และคุกกี้

คู่มือนี้รวบรวมทุกสิ่งที่คุณต้องรู้เกี่ยวกับ PDPA ในบริบทของเว็บไซต์ ตั้งแต่คุกกี้ แบบฟอร์ม นโยบายความเป็นส่วนตัว ไปจนถึงการใช้บริการบุคคลที่สาม เพื่อให้คุณมั่นใจว่าเว็บไซต์ของคุณพร้อมรับมือกับการบังคับใช้กฎหมายอย่างเต็มรูปแบบ

หนึ่ง — คุกกี้กับ PDPA

Cookies and PDPA compliance

คุกกี้เป็นเทคโนโลยีพื้นฐานที่เกือบทุกเว็บไซต์ใช้ ไม่ว่าจะเป็นเว็บไซต์ที่สร้างด้วย WordPress, Shopify, หรือโค้ดเอง คุกกี้ที่ไม่จำเป็น (non-essential cookies) เช่น Google Analytics, Facebook Pixel, Hotjar หรือคุกกี้โฆษณาต่างๆ ถือเป็นการเก็บข้อมูลส่วนบุคคลตามมาตรา 19 และต้องได้รับความยินยอมจากผู้ใช้ก่อน

คุกกี้ที่ไม่ต้องขอความยินยอม

• Session cookie (ตะกร้าสินค้า)
• Authentication cookie (ล็อกอิน)
• Security cookie (ป้องกัน CSRF)
• Load balancing cookie

เหล่านี้ถือเป็น Strictly Necessary

คุกกี้ที่ต้องขอความยินยอม

• Google Analytics / GA4
• Facebook / Meta Pixel
• Google Ads / Remarketing
• Hotjar / Heatmap tools

ต้องหยุดทำงานจนกว่าผู้ใช้จะยอมรับ

วิธีตรวจสอบ: เปิด Chrome DevTools → Application → Cookies ดูว่ามีคุกกี้ใดบ้างที่ติดตั้งจาก Third-party Domain เช่น facebook.com, google.com คุกกี้เหล่านี้ต้องขอความยินยอมก่อน

สอง — แบบฟอร์มบนเว็บไซต์กับ PDPA

Website forms and PDPA

แบบฟอร์มเป็นช่องทางหลักที่เว็บไซต์ SME ใช้เก็บข้อมูลลูกค้า ไม่ว่าจะเป็นฟอร์มติดต่อ ฟอร์มสมัครรับข่าวสาร ฟอร์มลงทะเบียน หรือฟอร์มสั่งซื้อ ทุกฟอร์มต้องมีองค์ประกอบต่อไปนี้:

มีข้อความแจ้งวัตถุประสงค์

ก่อนหรือขณะเก็บข้อมูล ต้องบอกผู้ใช้ว่าจะนำข้อมูลไปใช้เพื่ออะไร เช่น "อีเมลของท่านจะใช้เพื่อส่งจดหมายข่าวและข้อเสนอพิเศษเท่านั้น"

Checkbox ขอความยินยอม

ต้องมี checkbox ที่ผู้ใช้ต้องติ๊กเอง (ไม่ใช้ pre-ticked) แยกวัตถุประสงค์เป็นรายการหากมีการใช้ข้อมูลหลายอย่าง

ลิงก์นโยบายความเป็นส่วนตัว

ทุกฟอร์มควรมีลิงก์ไปยังนโยบายความเป็นส่วนตัวใกล้ๆ กับปุ่มส่ง เพื่อให้ผู้ใช้อ่านรายละเอียดก่อนให้ข้อมูล

เก็บเฉพาะข้อมูลที่จำเป็น

อย่าเก็บข้อมูลที่ไม่จำเป็น — ถ้าคุณต้องการแค่ชื่อและอีเมล อย่าสร้างช่องกรอกเบอร์โทรศัพท์ ที่อยู่ และวันเกิด หากไม่มีเหตุผลทางธุรกิจที่ชัดเจน

สาม — นโยบายความเป็นส่วนตัว (Privacy Policy)

นโยบายความเป็นส่วนตัวคือเอกสารสำคัญที่สุดที่เว็บไซต์ของคุณต้องมี ตามมาตรา 23 ของ PDPA ผู้ควบคุมข้อมูลต้องแจ้งรายละเอียดต่อไปนี้ให้เจ้าของข้อมูลทราบ:

สิ่งที่ต้องระบุ	อ้างอิงมาตรา	ตัวอย่าง
วัตถุประสงค์การเก็บข้อมูล	ม.23(2)	"เพื่อดำเนินการตามคำสั่งซื้อและจัดส่งสินค้า"
ประเภทข้อมูลที่เก็บ	ม.23(3)	ชื่อ, อีเมล, เบอร์โทร, ที่อยู่จัดส่ง
ระยะเวลาเก็บรักษา	ม.23(4)	"5 ปีนับจากวันที่ทำรายการครั้งสุดท้าย"
สิทธิของเจ้าของข้อมูล	ม.23(5)	"ติดต่อ privacy@yourdomain.com"
ผู้ควบคุมข้อมูล	ม.23(1)	ชื่อบริษัท, ที่อยู่, อีเมล

สี่ — การเก็บรักษาข้อมูลบนเว็บไซต์

Data storage and retention for websites

ข้อมูลที่เก็บจากเว็บไซต์ไม่ว่าจะบนฐานข้อมูลของเว็บ (MySQL, PostgreSQL) หรือบน Cloud Storage ต้องมีมาตรการรักษาความปลอดภัยที่เหมาะสมตามมาตรา 37 และต้องกำหนดระยะเวลาเก็บรักษาที่ชัดเจน

✓

เปิดใช้งาน HTTPS — เป็นมาตรการขั้นต่ำสุดที่ทุกเว็บไซต์ต้องมี ใบรับรอง SSL/TLS ช่วยเข้ารหัสข้อมูลระหว่างผู้ใช้และเซิร์ฟเวอร์ ถ้าเว็บไซต์ SME ของคุณยังใช้ HTTP อยู่ ควรรีบแก้ไขทันที

✓

เข้ารหัสข้อมูลในฐานข้อมูล — ข้อมูลสำคัญเช่นรหัสผ่าน ต้องเก็บในรูปแบบแฮช (hash + salt) ห้ามเก็บเป็นข้อความธรรมดา

✓

ตั้งค่าระยะเวลาลบข้อมูลอัตโนมัติ — ข้อมูลแบบฟอร์มติดต่อที่ไม่ได้ใช้แล้ว ควรลบหลัง 90 วัน ข้อมูลลูกค้าที่ไม่ได้มีปฏิสัมพันธ์เกิน 5 ปีควรได้รับแจ้งเตือนก่อนลบ

✓

สำรองข้อมูลอย่างปลอดภัย — ข้อมูลสำรอง (Backup) ก็ต้องมีมาตรการป้องกันเช่นกัน ไม่ควรเก็บ Backup ไว้โดยไม่มีกำหนด ควรมีนโยบายการหมุนเวียน Backup

ห้า — บริการบุคคลที่สามบนเว็บไซต์

Third-party services and PDPA

เว็บไซต์ SME ส่วนใหญ่มักใช้บริการบุคคลที่สามมากมาย — Google Analytics, Facebook Pixel, LINE OA, ระบบแชทสด (ChatGPT, Tawk.to), CDN, Email Marketing, และ Payment Gateway แต่ละบริการเหล่านี้อาจเก็บข้อมูลส่วนบุคคลของผู้ใช้ และคุณมีหน้าที่ต้องแจ้งให้ผู้ใช้ทราบ

Google Analytics / GA4

เก็บข้อมูล: เก็บ IP, พฤติกรรมการใช้งาน, อุปกรณ์

→ เปิด IP Anonymization + ขอ consent ผ่าน cookie banner

Facebook / Meta Pixel

เก็บข้อมูล: ติดตามพฤติกรรมผู้ใช้เพื่อรีมาร์เก็ตติ้ง

→ หยุดทำงานจนกว่าผู้ใช้จะยอมรับคุกกี้การตลาด

LINE Official Account

เก็บข้อมูล: เก็บ LINE User ID, ข้อความแชท

→ แจ้งใน Privacy Policy + ขอ consent ก่อนส่งข้อความ

Chat Widget (Tawk.to)

เก็บข้อมูล: เก็บ IP, ข้อความสนทนา, ประวัติการเข้าชม

→ แจ้งใน Privacy Policy + มีนโยบายการลบข้อความหลังปิดการสนทนา

สรุป — เว็บไซต์ของคุณพร้อมหรือยัง?

Is your website PDPA-ready?

เช็กลิสต์ด่วน — ถ้าตอบ "ไม่" กับข้อใดข้อหนึ่ง เว็บไซต์ของคุณอาจยังไม่สอดคล้องกับ PDPA:

1.มี Cookie Consent Banner พร้อมปุ่มยอมรับ/ปฏิเสธที่เท่าเทียมกันหรือยัง?
2.มีหน้า Privacy Policy ภาษาไทยที่เข้าถึงง่ายหรือยัง?
3.ทุกแบบฟอร์มมี checkbox ขอความยินยอมที่ผู้ใช้ต้องเลือกเองหรือยัง?
4.ได้ระบุสิทธิทั้ง 8 ประการของเจ้าของข้อมูลแล้วหรือยัง?
5.ได้ระบุผู้ควบคุมข้อมูลและช่องทางติดต่อแล้วหรือยัง?
6.ได้ระบุระยะเวลาเก็บรักษาข้อมูลแต่ละประเภทแล้วหรือยัง?

ตรวจสอบเว็บไซต์ของคุณตามคู่มือนี้ฟรี

วาง URL เว็บไซต์ของคุณ รับเช็คลิสต์ PDPA 6 ข้อทันทีภายใน 60 วินาที ฟรี ไม่ต้องสมัครสมาชิก

ตรวจสอบฟรีเลย →