Skip to Content

กฎหมาย PDPA กับ Cookie Consent


อัปเดตกฎหมายคุกกี้ภายใต้ PDPA ปี 2025: สิ่งที่เว็บไซต์ต้องรู้

เนื่องจากพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) มีหลักการที่สอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (GDPR) อย่างมาก การขอความยินยอม (Consent) ก่อนการเก็บรวบรวมข้อมูลส่วนบุคคล จึงเป็นหัวใจสำคัญ รวมถึงการใช้งานคุกกี้บนเว็บไซต์ด้วย การเก็บ ใช้ เปิดเผย และโอนข้อมูลส่วนบุคคล รวมถึงข้อมูลที่ได้จากคุกกี้ จะต้องได้รับความยินยอมจากเจ้าของข้อมูล เว้นแต่จะมีฐานทางกฎหมายอื่น ๆ ที่ PDPA อนุญาต

สาระสำคัญของ PDPA เกี่ยวกับการใช้คุกกี้

  1. วัตถุประสงค์ที่ชัดเจนและการขอความยินยอม:
    • เว็บไซต์ต้องแจ้ง วัตถุประสงค์ของการเก็บรวบรวมคุกกี้ อย่างชัดเจน เข้าใจง่าย และใช้ภาษาที่ไม่กำกวม
    • การขอความยินยอมต้อง ไม่มีเงื่อนไขบังคับ ให้ผู้ใช้งานต้องยินยอมเพื่อเข้าใช้งานเว็บไซต์
    • ผู้ใช้งานต้องมี อิสระในการเลือก ว่าจะอนุญาตให้เว็บไซต์ใช้คุกกี้ประเภทใดบ้าง (เช่น คุกกี้ที่จำเป็น คุกกี้เพื่อการวิเคราะห์ คุกกี้เพื่อการตลาด)
    • การบันทึกการขอความยินยอมถือเป็น หลักฐานสำคัญ ในการปฏิบัติตาม PDPA
  2. การถอนความยินยอม:
    • เจ้าของข้อมูลมีสิทธิ ถอนความยินยอม ได้ทุกเมื่อ
    • เจ้าของเว็บไซต์ต้องมี กระบวนการที่ง่ายและไม่ซับซ้อน สำหรับผู้ใช้งานในการยื่นคำร้องขอถอนความยินยอม เช่น ผ่านแบบฟอร์มออนไลน์ ช่องแชท หรืออีเมล
    • ห้ามกำหนดเงื่อนไขที่เป็นอุปสรรค ต่อการถอนความยินยอม
  3. ความสำคัญของความเป็นส่วนตัว:
    • PDPA ให้ความสำคัญอย่างยิ่งกับ ความเป็นส่วนตัวของข้อมูล การใช้งานคุกกี้และการจัดการข้อมูลที่ได้จากคุกกี้จึงต้องดำเนินการด้วยความระมัดระวัง
    • การละเมิดข้อมูลส่วนบุคคล เช่น ข้อมูลสุขภาพ ประวัติการรักษา ข้อมูลการจอง หรือพฤติกรรมการออนไลน์ อาจก่อให้เกิดความเสียหายต่อเจ้าของข้อมูลได้
    • แบรนด์และนักการตลาดจึงต้องตระหนักถึงความรับผิดชอบในการ เคารพกฎหมายและปกป้องข้อมูลส่วนตัวของลูกค้า

ใครบ้างที่ต้องปฏิบัติตามกฎหมาย PDPA ในบริบทของเว็บไซต์

  1. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller): เจ้าของเว็บไซต์หรือองค์กรที่ เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ผ่านคุกกี้ เช่น บริษัทอีคอมเมิร์ซ บริษัทที่ทำการตลาดออนไลน์
  2. ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor): บุคคลหรือนิติบุคคลที่ได้รับการว่าจ้างจากผู้ควบคุมข้อมูลส่วนบุคคลให้ ประมวลผลข้อมูลส่วนบุคคล ตามคำสั่ง เช่น ผู้ให้บริการวิเคราะห์เว็บไซต์ ผู้ให้บริการแพลตฟอร์มโฆษณา
  3. องค์กรนอกราชอาณาจักร: แม้จะตั้งอยู่นอกประเทศไทย แต่หากมีการ เสนอขายสินค้าหรือบริการแก่ลูกค้าในประเทศไทย และมีการเก็บรวบรวมข้อมูลพฤติกรรมของผู้บริโภคชาวไทยผ่านคุกกี้ (เช่น การกำหนดเป้าหมายโฆษณาออนไลน์ การรับจองโรงแรม) ก็ต้องปฏิบัติตาม PDPA

บทลงโทษสำหรับผู้ฝ่าฝืน PDPA เกี่ยวกับคุกกี้

การไม่ปฏิบัติตาม PDPA ในเรื่องการขอความยินยอมและการจัดการคุกกี้ อาจนำไปสู่บทลงโทษที่รุนแรง ดังนี้:

  • โทษทางอาญา: จำคุกสูงสุด 1 ปี หรือปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ (ขึ้นอยู่กับลักษณะความผิด)
  • โทษทางแพ่ง: ชดใช้ค่าสินไหมทดแทน ไม่เกิน 2 เท่า ของความเสียหายที่เกิดขึ้นจริง
  • โทษทางปกครอง: ปรับสูงสุด 5 ล้านบาท

ข้อควรจำสำหรับเจ้าของเว็บไซต์ในปี 2025

  • ตรวจสอบและปรับปรุง นโยบายคุกกี้ (Cookie Policy) ให้สอดคล้องกับ PDPA ล่าสุด
  • ติดตั้ง กลไกการขอความยินยอมคุกกี้ (Cookie Consent Banner) ที่ชัดเจนและใช้งานง่าย
  • ให้ผู้ใช้งานสามารถ เลือกประเภทของคุกกี้ ที่ต้องการอนุญาตได้
  • มี กระบวนการที่ชัดเจน สำหรับการถอนความยินยอม
  • ให้ความรู้แก่ทีมงานที่เกี่ยวข้องเกี่ยวกับการปฏิบัติตาม PDPA ในเรื่องคุกกี้

การทำความเข้าใจและปฏิบัติตามกฎหมาย PDPA ในเรื่องคุกกี้อย่างเคร่งครัด ไม่เพียงแต่จะช่วยให้เว็บไซต์ของคุณหลีกเลี่ยงบทลงโทษทางกฎหมายเท่านั้น แต่ยังเป็นการสร้างความไว้วางใจและความโปร่งใสให้กับผู้ใช้งานอีกด้วย


เขียนโดย พชร อ้นพันธ์ | Cloud Engineer