# PDPA Cookie Consent 2026: คู่มือ Banner & Compliance สำหรับ SME ไทย
ปี 2026 หน่วยงานคุ้มครองข้อมูลส่วนบุคคล (สคส. หรือ PDPC) เริ่มเข้มงวดกับการบังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) มากขึ้น โดยเฉพาะการเก็บ Cookie จากผู้เยี่ยมชมเว็บไซต์ของธุรกิจไทย ซึ่งหลายบริษัทยังเข้าใจผิดว่าแค่ติด Banner "ยอมรับทั้งหมด" ก็ปลอดภัยแล้ว
ความจริง — Cookie Consent ที่ถูกต้องตามกฎหมาย ต้องให้ผู้ใช้ "เลือกได้" ไม่ใช่ "บังคับยอมรับ" และต้องเก็บหลักฐาน (Audit Log) ไว้พิสูจน์ได้เมื่อมีการตรวจสอบ ที่ผ่านมาเราเห็นค่าปรับสูงสุดถึง 5 ล้านบาทสำหรับเว็บที่ไม่ปฏิบัติตาม
บทความนี้จะอธิบายให้ทีม PM, Dev และเจ้าของ SME ของไทย เข้าใจว่า Cookie Consent ที่ถูกต้องประกอบด้วยอะไรบ้าง, มี CMP (Consent Management Platform) ตัวไหนน่าใช้, และสามารถ Implement บนเว็บ Laravel หรือ Next.js ของคุณได้อย่างไร
องค์ประกอบของ Cookie Consent ที่ตรง PDPA
หลักการสำคัญตามมาตรา 19 ของ PDPA คือ "ความยินยอมต้องเป็นการแสดงออกอย่างชัดแจ้ง" ซึ่งหมายความว่า Cookie Consent Banner ต้องมีองค์ประกอบครบดังนี้
เปรียบเทียบ CMP ยอดนิยมสำหรับ SME ไทย
| CMP | ราคา | ภาษาไทย | Self-host | จุดเด่น |
|---|---|---|---|---|
| Cookiebot | จาก $14/เดือน | รองรับ | ไม่ | สแกน Cookie อัตโนมัติ |
| OneTrust | Custom Quote | รองรับ | ทั้ง 2 | Enterprise-grade |
| Osano | จาก $99/เดือน | รองรับ | ไม่ | Free tier มี |
| Klaro! | ฟรี (Open-Source) | กำหนดเอง | ใช่ | คุมข้อมูลเอง |
| CookieYes | จาก $10/เดือน | รองรับ | ไม่ | UI ใช้ง่าย |
| ปลื้ม Consent | ฟรี/Pro | รองรับ | ใช่ | Made in Thailand |
สำหรับ SME ที่งบจำกัด Klaro! กับ ปลื้ม Consent เป็นทางเลือกที่ดี เพราะ Open-Source และเก็บ Audit Log ใน Database ของเราเองได้
ขั้นตอน Implement บน Laravel / Next.js
ขั้นตอน 1 — จัด Cookie Inventory สแกนเว็บด้วยเครื่องมือฟรีอย่าง CookieMetrix หรือ CookieServe เพื่อเก็บรายการ Cookie ทั้งหมด แยกประเภท Necessary / Functional / Analytics / Marketing
ขั้นตอน 2 — เขียน Privacy Policy & Cookie Policy ภาษาไทยและอังกฤษ ให้สอดคล้องกับ Cookie ที่สแกนได้ พร้อมระบุระยะเวลาเก็บข้อมูล และ Third-party ที่ส่งข้อมูลไป
ขั้นตอน 3 — ติดตั้ง CMP บนเว็บ ตัวอย่างใน Next.js ใช้ Klaro
```ts
// app/layout.tsx
import Script from "next/script";
export default function RootLayout({ children }) {
return (
<html lang="th">
<head>
<Script src="/klaro.js" strategy="beforeInteractive" />
<Script id="klaro-config" strategy="beforeInteractive">{`
var klaroConfig = {
version: 2,
elementID: 'klaro',
cookieName: 'adsfit_consent',
translations: {
th: { consentNotice: { title: 'เราใช้คุกกี้' } }
}
};
`}</Script>
</head>
<body>{children}</body>
</html>
);
}
```
ขั้นตอน 4 — บน Laravel ใช้ Middleware ตรวจ Consent ก่อน Inject Tracking Script
```php
// app/Http/Middleware/ConsentGate.php
public function handle(Request $request, Closure $next) {
$consent = json_decode($request->cookie('adsfit_consent'), true);
view()->share('analyticsConsent', $consent['analytics'] ?? false);
return $next($request);
}
```
ขั้นตอน 5 — เก็บ Consent Audit Log ลง Database ทุกครั้งที่ User กด ยอมรับ/ปฏิเสธ พร้อม IP (Hashed), User-Agent, Timestamp, และ Version ของ Policy
Mistake ที่พบบ่อยและวิธีแก้
จากประสบการณ์ทำเว็บให้ลูกค้า SME ไทย ปัญหา Compliance ที่เห็นซ้ำ ๆ ได้แก่
Checklist สำหรับทีม SME ก่อน Go-Live
ก่อนปล่อยเว็บใหม่หรือ Refresh เว็บเก่า ทีม PM ควรเช็กรายการต่อไปนี้
สรุปและก้าวต่อไป
PDPA Cookie Consent ไม่ใช่แค่ "Banner สวย ๆ" แต่คือกระบวนการที่เริ่มตั้งแต่ Cookie Inventory ไปจนถึง Audit Log การทำให้ถูกต้องช่วยลดความเสี่ยงค่าปรับ และเพิ่มความน่าเชื่อถือของแบรนด์ ในยุคที่ผู้บริโภคไทยตื่นตัวเรื่อง Privacy มากขึ้น การทำ Compliance อย่างจริงใจคือ Competitive Advantage
Key Takeaways
หากต้องการให้ ADS FIT ช่วย Audit เว็บปัจจุบัน, ติดตั้ง CMP, หรือออกแบบ Consent Architecture ให้ตรง PDPA ติดต่อทีมงานได้ทันที หรืออ่านบทความ Compliance อื่น ๆ ในบล็อกของเรา