PDPA พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ร้านออนไลน์ต้องรู้อะไรบ้าง

"PDPA" ได้ยินกันจนหูชา แต่หลายคนยังงง ๆ อยู่ว่าตัวเองต้องทำอะไร บางคนคิดว่าเรื่องนี้แค่บริษัทใหญ่ ๆ เขาทำกัน ร้านเล็ก ๆ ไม่เกี่ยว

พูดตรง ๆ เลยนะ ถ้าเก็บเบอร์โทร อีเมล ที่อยู่ลูกค้า หรือแม้แต่ประวัติสั่งซื้อ — PDPA เกี่ยวกับร้านคุณแน่นอน ไม่มีข้อยกเว้นสำหรับขนาดธุรกิจ

PDPA คืออะไร?

PDPA ย่อมาจาก Personal Data Protection Act หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

กฎหมายตัวนี้วางกฎเกณฑ์เรื่อง:

• ลูกค้ามีสิทธิ์ควบคุมข้อมูลของตัวเอง
• ธุรกิจที่เก็บข้อมูลต้องรับผิดชอบยังไง
• วิธีขอความยินยอมก่อนเก็บข้อมูล
• บทลงโทษสำหรับคนที่ฝ่าฝืน

PDPA บังคับใช้เต็มรูปแบบในไทยตั้งแต่ 1 มิถุนายน 2565 แล้วนะ และ PDPC (สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล) เริ่มบังคับใช้จริงจังมากขึ้นทุกปี ไม่มีช่วงผ่อนปรนอีกต่อไปแล้ว

ธุรกิจไหนโดนตรวจก่อน?

PDPC ประกาศชัดว่าจะเข้มงวดเป็นพิเศษกับ 3 กลุ่มนี้:

• ร้านค้าออนไลน์และ e-commerce — เก็บข้อมูลจำนวนมาก ทั้งที่อยู่ เบอร์โทร ประวัติซื้อ
• ธุรกิจด้านสุขภาพและความงาม — ข้อมูลสุขภาพเป็น sensitive data โทษหนักเป็นพิเศษ
• ธุรกิจการเงินและสินเชื่อ — ข้อมูลทางการเงินอยู่ในหมวดคุ้มครองสูงสุด

ถ้าร้านคุณอยู่ใน 3 กลุ่มนี้ ยิ่งต้องทำให้ถูกต้องก่อน ไม่ใช่รอให้โดนก่อนแล้วค่อยแก้

ข้อมูลส่วนบุคคลครอบคลุมอะไรบ้าง?

ข้อมูลส่วนบุคคล คือข้อมูลอะไรก็ตามที่ระบุตัวตนคนได้ ทั้งตรงและอ้อม

ข้อมูลพื้นฐาน:

• ชื่อ-นามสกุล
• เบอร์โทรศัพท์
• ที่อยู่ อีเมล
• วันเกิด เลขบัตรประชาชน

ข้อมูลที่ร้านออนไลน์มักเก็บ:

• ที่อยู่จัดส่ง
• ประวัติการสั่งซื้อ
• ข้อมูลการชำระเงิน
• IP address, Cookies, พฤติกรรมบนเว็บไซต์

ข้อมูล sensitive (โทษหนักเป็นพิเศษ):

• ข้อมูลสุขภาพ ศาสนา เชื้อชาติ
• ข้อมูลการเงินที่ละเอียด
• ข้อมูลชีวมิติ เช่น ลายนิ้วมือ ใบหน้า

ข้อมูล sensitive นี้ถ้าละเมิด โทษสูงกว่าข้อมูลทั่วไปหลายเท่า

PDPA กระทบร้านค้าออนไลน์ยังไง?

ในฐานะร้านค้าออนไลน์ คุณถูกจัดเป็น "ผู้ควบคุมข้อมูลส่วนบุคคล" (Data Controller) ซึ่งแปลว่า:

1. ต้องแจ้งลูกค้า ว่าเก็บข้อมูลอะไร เอาไปทำอะไร
2. ต้องขอความยินยอม (Consent) ก่อนเก็บ หรือมีเหตุผลทางกฎหมายรองรับ
3. เก็บข้อมูลเท่าที่จำเป็น ไม่เก็บเกินกว่าที่ใช้จริง
4. รักษาความปลอดภัย ข้อมูลลูกค้าให้ดี
5. ให้สิทธิ์ลูกค้า ขอดู แก้ไข หรือลบข้อมูลตัวเองได้

6 สิทธิ์ที่ลูกค้ามีตาม PDPA

ลูกค้ามีสิทธิ์พวกนี้ และร้านค้าต้องพร้อมรองรับ:

1. สิทธิ์ได้รับแจ้ง — รู้ว่าเก็บอะไร ทำไม
2. สิทธิ์เข้าถึง — ขอดูข้อมูลตัวเองได้
3. สิทธิ์แก้ไข — ข้อมูลผิดก็ขอแก้ได้
4. สิทธิ์ลบ — ขอลบข้อมูล ("Right to be Forgotten")
5. สิทธิ์คัดค้าน — ค้านการเอาข้อมูลไปใช้บางอย่าง
6. สิทธิ์โอนย้ายข้อมูล — ขอให้ส่งข้อมูลไปให้ผู้ประกอบการอื่น

ร้านออนไลน์ต้องทำอะไรบ้างให้ PDPA compliant?

1. ทำ Privacy Policy

เขียนนโยบายความเป็นส่วนตัวที่บอกชัด ๆ ว่า:

• เก็บข้อมูลอะไร เพื่ออะไร
• เก็บนานแค่ไหน ใครเข้าถึงได้
• ลูกค้าใช้สิทธิ์ได้ยังไง

ใส่ลิงก์ไว้ที่ footer เว็บไซต์ หรือก่อนขั้นตอน checkout ก็ได้

2. ขอ Consent ก่อนเก็บข้อมูล

กรณีที่ต้องขอ Consent ชัดเจน:

• ส่ง newsletter หรือ marketing emails
• เก็บข้อมูลทำ remarketing
• แชร์ข้อมูลลูกค้าให้คนอื่น

วิธีง่ายสุดคือมี checkbox ให้ลูกค้า tick เอง โดย default ต้องไม่ tick ไว้ให้

3. เก็บแค่ที่จำเป็น

ขายของออนไลน์ต้องการแค่ชื่อ ที่อยู่ เบอร์โทร ก็เก็บแค่นั้น ไม่ต้องขอวันเกิดหรือข้อมูลอื่นที่ไม่ได้ใช้

4. ดูแลความปลอดภัยข้อมูล

• ไม่เก็บรหัสผ่านแบบ plain text
• ใช้ HTTPS
• ไม่ส่งข้อมูลลูกค้าผ่าน LINE หรือ Facebook แบบไม่เข้ารหัส

5. เปิดช่องทางให้ลูกค้าใช้สิทธิ์

เตรียมอีเมลหรือฟอร์มออนไลน์ให้ลูกค้าติดต่อขอดู แก้ไข หรือลบข้อมูลได้

PDPA กับ LINE OA และ Social Media

ร้านที่รับออเดอร์ผ่าน LINE หรือ Facebook ต้องระวังเหมือนกัน:

• ข้อมูล chat กับลูกค้า เป็นข้อมูลส่วนบุคคล ห้ามเอาไปแชร์นอกวัตถุประสงค์การขาย
• รายชื่อลูกค้าใน LINE OA ต้องจัดการอย่างระวัง ไม่ขายหรือแชร์กับคนอื่น
• ยิงแอด Facebook โดยใช้ข้อมูลลูกค้า ต้องได้ consent ก่อน

บทลงโทษถ้าไม่ทำตาม PDPA

PDPA ลงโทษทั้งทางแพ่งและอาญา และไม่มีการผ่อนผันสำหรับธุรกิจขนาดเล็ก:

ทางแพ่ง:

• ค่าเสียหายจากการละเมิดสิทธิ์ลูกค้า
• ปรับสูงสุด 5 ล้านบาท (ที่มา: LINE Thailand, Official Report 2568)

ทางอาญา:

• จำคุก 1-6 เดือน กรณีเอาข้อมูลไปหาประโยชน์โดยมิชอบ
• ปรับ 1-5 ล้านบาท (ที่มา: LINE Thailand, Official Report 2568)

ความเสียหายทางธุรกิจ (มักหนักกว่าค่าปรับ):

• ลูกค้าหายไป เพราะไม่ไว้ใจเรื่องความเป็นส่วนตัว
• ชื่อเสียงเสียหาย กู้คืนยาก โดยเฉพาะในยุคที่ข่าวแพร่เร็วบน social media

FAQ เรื่อง PDPA ที่ร้านออนไลน์ถามบ่อย

Q: ร้านเล็ก ๆ ขายผ่าน Facebook ต้องทำ Privacy Policy ด้วยเหรอ?
A: ถ้าเก็บชื่อ ที่อยู่ เบอร์ลูกค้า ก็ควรทำ โพสต์เป็น Note ใน Facebook Page ก็ได้ ไม่จำเป็นต้องมีเว็บไซต์

Q: ลูกค้าขอลบข้อมูล ต้องลบจริง ๆ เหรอ?
A: ใช่ แต่มีข้อยกเว้นบางกรณี เช่น ข้อมูลที่ต้องเก็บเพื่อวัตถุประสงค์ทางกฎหมาย อย่างบันทึกธุรกรรมสำหรับภาษี

Q: LINE/Shopee เก็บข้อมูลลูกค้าเอง เราต้องรับผิดชอบด้วยเหรอ?
A: รับผิดชอบในส่วนที่คุณเก็บและเอาไปใช้เอง ส่วน platform อย่าง Shopee มี Privacy Policy แยกต่างหาก

Q: ส่งข้อมูลลูกค้าให้บริษัทขนส่งได้ไหม?
A: ได้ ถือเป็นความจำเป็นสำหรับการจัดส่ง แต่ต้องแจ้งใน Privacy Policy ว่าแชร์ข้อมูลกับขนส่งเพื่ออะไร

Q: ขายสินค้าสุขภาพหรือความงาม ต้องระวังอะไรเพิ่มพิเศษ?
A: ข้อมูลสุขภาพเป็น sensitive data ตาม PDPA โทษหนักกว่าข้อมูลทั่วไป ถ้าลูกค้าบอก concern สุขภาพมาในแชท หรือกรอกฟอร์มสุขภาพ ต้องขอ consent ชัดเจนและเก็บอย่างระวังเป็นพิเศษ

จริง ๆ แล้ว PDPA ไม่ได้ออกแบบมาทำให้ธุรกิจยุ่งยากหรอกนะ แต่มันสร้างมาตรฐานการดูแลข้อมูลที่ทุกคนควรได้รับ แล้วร้านที่ทำตาม PDPA ยังช่วยให้ลูกค้าเชื่อมั่นมากขึ้นด้วย ในตลาดที่ลูกค้าระวังเรื่องความปลอดภัยข้อมูลมากขึ้นทุกปี ร้านที่โปร่งใสเรื่องนี้มีโอกาสได้เปรียบจริง ๆ