ตั้งค่า WordPress ให้สอดคล้องกับ PDPA (Cookie Consent & Privacy Policy)

Categories

พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) มีผลบังคับใช้แล้วในประเทศไทย เว็บไซต์ WordPress ทุกเว็บที่เก็บข้อมูลผู้ใช้งานจำเป็นต้องปฏิบัติตามกฎหมายนี้ บทความนี้จะแนะนำวิธีตั้งค่า WordPress บน Cloud VPS ของ de.co.th ให้สอดคล้องกับ PDPA โดยตั้งค่า Cookie Consent Banner, Privacy Policy และการลบข้อมูลส่วนบุคคล

PDPA คืออะไร?

PDPA (Personal Data Protection Act) คือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ของประเทศไทย ซึ่งคล้ายกับ GDPR ของสหภาพยุโรป กฎหมายนี้มีผลบังคับใช้มากขึ้นเรื่อยๆ และจำเป็นต้องปฏิบัติตามเพื่อหลีกเลี่ยงการถูกลงโทษ PDPA กำหนดให้เว็บไซต์ต้องปฏิบัติตามหลายข้อ เช่น

  • แจ้งให้ผู้ใช้ทราบว่ามีการเก็บข้อมูลประเภทใด
  • ขอความยินยอมจากผู้ใช้ก่อนเก็บข้อมูลส่วนบุคคล
  • มีนโยบายความเป็นส่วนตัว (Privacy Policy) ที่ชัดเจน
  • ให้ผู้ใช้สามารถขอลบข้อมูลของตัวเองได้
  • ให้ผู้ใช้สามารถส่งออกข้อมูลของตนเองได้
  • จัดเก็บข้อมูลอย่างปลอดภัย

การไม่ปฏิบัติตาม PDPA อาจส่งผลให้ถูกกำหนดการบริหารข้อมูลส่วนบุคคล โดยอาจมีค่าปรับสูงถึงแม้แต่ลบบัญชีเว็บไซต์

ติดตั้ง Cookie Consent Banner ด้วย Complianz

ปลั๊กอินที่แนะนำมากที่สุดคือ Complianz หรือ CookieYes ซึ่งรองรับ PDPA โดยเฉพาะ ทำให้คุณสามารถจัดการการยินยอมของผู้ใช้งานได้อย่างมีประสิทธิภาพ ติดตั้งผ่าน WP-CLI:

wp plugin install complianz-gdpr --activate

หลังจากติดตั้งเสร็จแล้ว เข้าไปที่เมนู Complianz > Wizard เลือก Region เป็น Thailand จากนั้นทำตามขั้นตอนที่ระบบแนะนำ ระบบจะสร้าง Cookie Consent Banner ที่สอดคล้องกับ PDPA ให้อัตโนมัติ รวมถึงการจัดหมวดหมู่ Cookie ตามประเภท Necessary (ที่จำเป็น), Analytics (การวิเคราะห์), Marketing (การตลาด) และ Preferences (การตั้งค่า)

ตั้งค่า Cookie Banner ให้เหมาะสม:

  • ปิดใช้งาน Third-party Cookies โดยค่าเริ่มต้น และให้ผู้ใช้เลือกเก็บไว้หรือไม่
  • กำหนดเวลาการแสดง Cookie Banner ให้ปรากฏ ณ ครั้งแรกที่ผู้ใช้เยี่ยมชมเว็บ
  • เพิ่มข้อความให้ชัดเจนว่าเว็บใช้ Cookie เพื่อวัตถุประสงค์อะไร
  • ให้ลิงค์ไปยังหน้า Privacy Policy หรือ Cookie Policy ในแบนเนอร์

สร้างหน้า Privacy Policy อย่างถูกต้อง

WordPress มีฟีเจอร์สร้างหน้า Privacy Policy ในตัว เข้าไปที่ Settings > Privacy เลือก Create a Privacy Policy Page ระบบจะสร้างหน้าพร้อมเนื้อหาเริ่มต้นให้ ปรับแก้ให้ตรงกับเว็บไซต์ของคุณ โดยต้องระบุข้อมูลที่เก็บ วัตถุประสงค์ในการเก็บ ระยะเวลาจัดเก็บ สิทธิ์ของเจ้าของข้อมูล และวิธีการติดต่อ

เนื้อหา Privacy Policy ที่สำคัญจะต้องประกอบด้วย:

  • ชื่อและข้อมูลติดต่อของผู้ควบคุมข้อมูล (Data Controller)
  • ประเภทของข้อมูลที่เก็บ (เช่น ชื่อ, อีเมล, IP Address, Cookie)
  • วัตถุประสงค์ในการเก็บข้อมูล (วิเคราะห์ Traffic, ส่ง Newsletter, ฯลฯ)
  • พื้นฐานทางกฎหมายในการเก็บข้อมูล (Consent, Legitimate Interest)
  • ระยะเวลาจัดเก็บข้อมูล
  • สิทธิ์ของเจ้าของข้อมูล (สิทธิ์เข้าถึง, แก้ไข, ลบ, ค่ำขาด)
  • นโยบายเกี่ยวกับการจัดเก็บข้อมูลอย่างปลอดภัย

ตั้งค่า WordPress ให้รองรับการส่งออกและลบข้อมูล

WordPress 4.9.6+ มีฟีเจอร์ Data Export และ Data Erasure ในตัว ซึ่งช่วยให้คุณสามารถปฏิบัติตาม PDPA ได้อย่างง่ายดาย เข้าไปที่ Tools > Export Personal Data เพื่อส่งออกข้อมูลของผู้ใช้ตามคำขอ และ Tools > Erase Personal Data เพื่อลบข้อมูลตามคำขอ ฟีเจอร์เหล่านี้ช่วยให้คุณปฏิบัติตามสิทธิ์ของเจ้าของข้อมูลตาม PDPA อย่างเต็มที่

ขั้นตอนการใช้ฟีเจอร์ Data Export และ Data Erasure:

  • เข้าไปที่ wp-admin > Tools > Export Personal Data
  • ใส่ Email Address ของผู้ที่ต้องการส่งออกข้อมูล
  • ระบบจะส่ง Email ให้ผู้ใช้เพื่อยืนยันคำขอ
  • เมื่อผู้ใช้คลิก Confirm Email ระบบจะส่งออกข้อมูลในรูปแบบ XML
  • สำหรับการลบข้อมูล ใช้ Erase Personal Data ในเมนู Tools โดยใช้ขั้นตอนเดียวกัน

ตั้งค่าการกรองผู้ใช้ในฟอร์มติดต่อ

หากคุณใช้ Contact Form 7 หรือ WPForms ให้เพิ่ม Checkbox สำหรับยินยอมรับนโยบายความเป็นส่วนตัว (Consent Checkbox) ในทุกฟอร์ม สิ่งนี้บังคับให้ผู้ใช้ยินยอมก่อนส่งแบบฟอร์ม

สำหรับ Contact Form 7 เพิ่ม Checkbox ดังนี้:

[checkbox* acceptance "I agree to the Privacy Policy"]

สำหรับ WPForms สามารถเพิ่ม Checkbox Field และตั้งค่า Required ได้ง่ายผ่าน UI ตั้งค่าให้ลบข้อมูลฟอร์มอัตโนมัติหลังจากผ่านไประยะเวลาหนึ่ง (โดยทั่วไป 30 วันขึ้นไป) เพื่อไม่ให้เก็บข้อมูลส่วนบุคคลนานเกินไป

ตั้งค่า Comment Cookie Consent

WordPress มีฟีเจอร์เพื่อให้ผู้ใช้ยินยอม Cookie ก่อนแสดงความคิดเห็น เข้าไปที่ Settings > Discussion ติ๊ก “Show comments cookies opt-in checkbox” เพื่อให้ผู้แสดงความคิดเห็นยินยอมก่อนที่จะบันทึก Cookie ข้อมูลชื่อ อีเมล และเว็บไซต์ ระบบจะแสดง Checkbox ที่ว่า “Save my name, email, and website in this browser for the next time I comment”

วิธีการตั้งค่า:

  • เข้าไปที่ Settings > Discussion
  • ค้นหา “Show comment cookies opt-in checkbox”
  • ติ๊ก checkbox เพื่อเปิดใช้งาน
  • บันทึกการเปลี่ยนแปลง

ตั้งค่าความปลอดภัยของข้อมูล (Data Security)

PDPA ไม่เพียงแต่เกี่ยวกับการขอความยินยอมเท่านั้น แต่ยังเกี่ยวกับการจัดเก็บข้อมูลอย่างปลอดภัย บน Cloud VPS ของ de.co.th คุณควรปฏิบัติตามมาตรการความปลอดภัยต่อไปนี้:

  • ติดตั้ง SSL/TLS Certificate เพื่อเข้ารหัสการสื่อสาร (ใช้ HTTPS)
  • อัปเดต WordPress, Themes และ Plugins ให้เป็นเวอร์ชันล่าสุด
  • ตั้งค่า Database Password ให้แข็งแกร่ง
  • จำกัดการเข้าถึง Database ผ่านการใช้ Database Users ที่มี Privileges จำกัด
  • ทำการ Backup ข้อมูลอย่างสม่ำเสมอ
  • ใช้PluginWordPress Security เช่น Wordfence หรือ Sucuri
  • เปิดใช้งาน Two-Factor Authentication สำหรับ WordPress Admin

ทำความเข้าใจเกี่ยวกับ Third-party Services และ PDPA

หากเว็บไซต์ของคุณใช้ Third-party Services เช่น Google Analytics, Facebook Pixel หรือ Email Newsletter Services คุณต้องตรวจสอบว่าบริการเหล่านี้ปฏิบัติตาม PDPA หรือไม่ และต้องมี Terms of Service ที่สอดคล้อง นอกจากนี้ คุณจำเป็นต้องบันทึกหรือจัดทำ Data Processing Agreement (DPA) กับบริการเหล่านี้

การตรวจสอบ PDPA Compliance

หลังจากตั้งค่าทั้งหมดแล้ว ควรทำการตรวจสอบว่าเว็บไซต์ของคุณปฏิบัติตาม PDPA อย่างเต็มที่แล้วหรือไม่ คุณสามารถตรวจสอบได้ดังนี้:

  • เข้าชมเว็บไซต์ของคุณผ่าน Incognito/Private Mode และตรวจสอบว่ามี Cookie Consent Banner ปรากฏหรือไม่
  • คลิกสำรวจ Cookie และตรวจสอบรายการ Cookie ว่าปลอดภัยหรือไม่
  • ตรวจสอบหน้า Privacy Policy ว่ามีข้อมูลที่จำเป็นทั้งหมดหรือไม่
  • ทดสอบการขอส่งออกและลบข้อมูลผ่าน Data Export และ Data Erasure Features
  • ทดสอบการส่งแบบฟอร์ม และตรวจสอบว่าต้องยินยอม Privacy Policy หรือไม่

สรุป

การตั้งค่า WordPress ให้สอดคล้องกับ PDPA บน Cloud VPS ของ de.co.th ไม่ยากอย่างที่คิด เพียงติดตั้ง Cookie Consent Banner ด้วย Complianz สร้างหน้า Privacy Policy ที่ครบถ้วน ตั้งค่าการลบข้อมูล เพิ่ม Consent Checkbox ในฟอร์มต่างๆ และตรวจสอบความปลอดภัยของข้อมูล ก็ช่วยให้เว็บไซต์ของคุณปฏิบัติตามกฎหมายได้อย่างเต็มที่ การปฏิบัติตาม PDPA ไม่เพียงแต่ป้องกันการถูกลงโทษเท่านั้น แต่ยังสร้างความเชื่อใจให้ผู้ใช้งานของคุณอีกด้วย