โดน SMS โฆษณาไม่หยุด ใช้ PDPA หยุดได้ไหม?

ได้ เจ้าของข้อมูลมีสิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลเพื่อวัตถุประสงค์การตลาดแบบตรงตามมาตรา 32 เมื่อคัดค้านแล้วผู้ควบคุมข้อมูลต้องหยุด และยังถอนความยินยอมตามมาตรา 19 หรือขอลบข้อมูลตามมาตรา 33 ได้ แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

ทำไมธุรกิจถึงมีข้อมูลเราทั้งที่ไม่เคยให้?

ธุรกิจอาจเก็บใช้ข้อมูลภายใต้ความยินยอมที่เราเคยกดให้ หรืออ้างฐานทางกฎหมายที่ทำได้โดยไม่ต้องขอความยินยอมตามมาตรา 24 แต่ไม่ว่าจะอ้างฐานใด เราก็ยังมีสิทธิคัดค้านและขอลบข้อมูลได้ตามมาตรา 32 และมาตรา 33 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

ถอนความยินยอมรับข่าวสารการตลาดได้ไหม?

ได้ ถ้าเราเคยให้ความยินยอมรับข่าวสาร เราจะถอนความยินยอมเมื่อใดก็ได้ และต้องถอนได้ง่ายเช่นเดียวกับตอนให้ความยินยอม ตามมาตรา 19 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

ขอให้ลบข้อมูลออกจากระบบของธุรกิจได้ไหม?

ได้ เจ้าของข้อมูลมีสิทธิขอให้ลบ ทำลาย หรือทำให้ข้อมูลไม่สามารถระบุตัวบุคคลได้ ในกรณีที่กฎหมายกำหนด เช่น หมดความจำเป็นหรือถอนความยินยอม ตามมาตรา 33 และผู้ควบคุมข้อมูลมีหน้าที่จัดมาตรการความปลอดภัยตามมาตรา 37 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

น้องแว่นในร้านกาแฟ คุยเรื่องการใช้ PDPA หยุดสแปม SMS และอีเมลขายของ

น้องแว่น — Kelomn Legal Café · คุ้มครองข้อมูลส่วนบุคคล (PDPA)

โดนสแปม SMS อีเมลขายของไม่หยุด ใช้ PDPA สั่งหยุดและสั่งลบได้

น้องแว่น (Kelomn AI)

รหัสบทความ sbl_pdpa-data_spam-erasure_010_20260603

Kelomn Legal Research · พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒

อัปเดต 3 มิถุนายน 2569 · อ่าน 7 นาที

ชื่อในบทความนี้เป็นชื่อสมมติ ไม่มีตัวตนจริง เป็นเพียงการเล่าเรื่องทางวิชาการ ไม่ได้ตั้งใจจะพาดพิงบุคคลใดนะคะ

พี่เอเปิดมือถือมาเจอ SMS โฆษณาเงินกู้ อีเมลขายคอร์สเรียน แล้วก็สายโทรเข้าเสนอประกัน วนไปทุกวัน ทั้งที่จำไม่ได้เลยว่าเคยให้เบอร์ใครไว้

ข่าวดีคือ PDPA ให้ “สิทธิ” ที่ใช้สั่งหยุดสแปมได้จริง — ตั้งแต่คัดค้านการตลาดแบบตรง ถอนความยินยอม ไปจนถึงขอลบข้อมูลออกจากระบบ มาดูวิธีใช้ทีละขั้นกันค่ะ ที่ Kelomn เราสรุปให้ครบทุกมาตรา

4 ขั้นใช้ PDPA หยุดสแปม · เข้าใจฐาน · คัดค้าน · ถอนยินยอม · ขอลบ

ทำไมเราถึงโดนสแปม — ฐานที่ธุรกิจใช้เก็บข้อมูล (ม.๒๔)

ก่อนจะหยุดสแปม ต้องเข้าใจก่อนว่า ทำไมธุรกิจถึงมีข้อมูลเรา ทั้งที่บางทีเราไม่เคยให้เบอร์ตรง ๆ

โดยหลัก ผู้ควบคุมข้อมูลจะเก็บข้อมูลโดยไม่ได้รับความยินยอมไม่ได้ เว้นแต่เข้าข้อยกเว้นตามมาตรา ๒๔ เช่น เพื่อการศึกษาวิจัย เพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูล หรือเพื่อปฏิบัติตามสัญญา — ส่วนการขอความยินยอมตามปกติเป็นไปตามมาตรา ๑๙ ดังนั้นธุรกิจที่ส่งโฆษณาหาเรา มักอ้างว่าได้ความยินยอมตอนเราสมัครบริการ หรืออ้างฐานประโยชน์โดยชอบด้วยกฎหมาย

ธุรกิจมีข้อมูลเราได้ยังไง	ฐานทางกฎหมาย
เราเคยกดยินยอมตอนสมัครบริการ	ฐานความยินยอม (ม.๑๙)
อ้างประโยชน์โดยชอบด้วยกฎหมาย/ตามสัญญา	ฐานไม่ต้องขอยินยอม (ม.๒๔)
ไม่ว่าจะอ้างฐานใด เรายังมีสิทธิคัดค้าน/ขอลบ	ใช้สิทธิได้เสมอ

(อ้างอิงจากพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ มาตรา ๒๔)

💡 ฐานทางกฎหมาย ≠ สิทธิถาวร: แม้ธุรกิจจะอ้างฐานที่เก็บข้อมูลได้ เราก็ยังคัดค้านการตลาดแบบตรงและขอลบข้อมูลได้เสมอ — ดูข้อถัด ๆ ไปค่ะ

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ บัญญัติไว้ว่า

มาตรา ๒๔ ห้ามมิให้ผู้ควบคุมข้อมูลส่วนบุคคลทำการเก็บรวบรวมข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่
(๑) เพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ หรือที่เกี่ยวกับการศึกษาวิจัยหรือสถิติซึ่งได้จัดให้มีมาตรการปกป้องที่เหมาะสมเพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ทั้งนี้ ตามที่คณะกรรมการประกาศกำหนด
(๒) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
(๓) เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาหรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้น
(๔) เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคล หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่ผู้ควบคุมข้อมูลส่วนบุคคล
(๕) เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลหรือของบุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล เว้นแต่ประโยชน์ดังกล่าวมีความสำคัญน้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล
(๖) เป็นการปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล

ที่มา: พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ มาตรา ๒๔

น้องแว่นสรุปค่ะ

ข้อ 1 — ทำไมเราถึงโดนสแปม

ธุรกิจเก็บข้อมูลโดยไม่ขอยินยอมได้เฉพาะตามฐาน ม.๒๔
การขอความยินยอมตามปกติเป็นไปตาม ม.๑๙
ไม่ว่าจะอ้างฐานใด เรายังมีสิทธิคัดค้าน/ขอลบ

คัดค้านการตลาดแบบตรง — เครื่องมือหยุดสแปมที่แรงที่สุด (ม.๓๒)

ถ้าอยากให้ “หยุดส่ง” เร็วที่สุด สิทธิที่ตรงจุดที่สุดคือ การคัดค้านการตลาดแบบตรงค่ะ

เจ้าของข้อมูลมีสิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในกรณีที่กฎหมายกำหนด รวมถึงเมื่อเป็นการประมวลผลเพื่อวัตถุประสงค์เกี่ยวกับการตลาดแบบตรง เมื่อเจ้าของข้อมูลคัดค้าน ผู้ควบคุมข้อมูลจะประมวลผลข้อมูลเพื่อการนั้นต่อไปไม่ได้

คัดค้านการตลาดแบบตรง (ม.๓๒)	ผล
คัดค้านการใช้ข้อมูลเพื่อการตลาดแบบตรง	ธุรกิจต้องหยุด
ต้องแสดงเหตุผลในการคัดค้านไหม	ไม่ต้อง สำหรับการตลาดแบบตรง
ผลเมื่อคัดค้าน	ห้ามประมวลผลเพื่อการนั้นต่อ

(อ้างอิงจากพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ มาตรา ๓๒)

💡 การตลาดแบบตรงคัดค้านได้เด็ดขาด: ต่างจากฐานอื่นที่ธุรกิจอาจโต้แย้งด้วยเหตุสำคัญยิ่งกว่า การคัดค้านเพื่อการตลาดแบบตรง เมื่อคัดค้านแล้วต้องหยุดทันทีค่ะ

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ บัญญัติไว้ว่า

มาตรา ๓๒ เจ้าของข้อมูลส่วนบุคคลมีสิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับตนเมื่อใดก็ได้ ดังต่อไปนี้
(๑) กรณีที่เป็นข้อมูลส่วนบุคคลที่เก็บรวบรวมได้โดยได้รับยกเว้นไม่ต้องขอความยินยอมตามมาตรา ๒๔ (๔) หรือ (๕) เว้นแต่ผู้ควบคุมข้อมูลส่วนบุคคลพิสูจน์ได้ว่า (ก) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้น ผู้ควบคุมข้อมูลส่วนบุคคลได้แสดงให้เห็นถึงเหตุอันชอบด้วยกฎหมายที่สำคัญยิ่งกว่า (ข) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้นเป็นไปเพื่อก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
(๒) กรณีที่เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์เกี่ยวกับการตลาดแบบตรง
(๓) กรณีที่เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์เกี่ยวกับการศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ เว้นแต่เป็นการจำเป็นเพื่อการดำเนินภารกิจเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคล ในกรณีที่เจ้าของข้อมูลส่วนบุคคลใช้สิทธิคัดค้านตามวรรคหนึ่ง ผู้ควบคุมข้อมูลส่วนบุคคลไม่สามารถเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้นต่อไปได้ ทั้งนี้ ผู้ควบคุมข้อมูลส่วนบุคคลต้องปฏิบัติโดยแยกส่วนออกจากข้อมูลอื่นอย่างชัดเจนในทันทีเมื่อเจ้าของข้อมูลส่วนบุคคลได้แจ้งการคัดค้านให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบ ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลปฏิเสธการคัดด้านด้วยเหตุผลตาม (๑) (ก) หรือ (ข) หรือ (๓) ให้ผู้ควบคุมข้อมูลส่วนบุคคลบันทึกการปฏิเสธการคัดค้านพร้อมด้วยเหตุผลไว้ในรายการตามมาตรา ๓๙

ที่มา: พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ มาตรา ๓๒

น้องแว่นสรุปค่ะ

ข้อ 2 — คัดค้านการตลาดแบบตรง

คัดค้านการใช้ข้อมูลเพื่อการตลาดแบบตรงได้ (ม.๓๒)
เมื่อคัดค้านแล้วธุรกิจต้องหยุดประมวลผลเพื่อการนั้น
เป็นเครื่องมือหยุดสแปมที่ตรงจุดที่สุด

ถอนความยินยอม — ถ้าเคยกด “ยอมรับ” ไว้ (ม.๑๙)

หลายครั้งสแปมมาจากการที่เราเคย กด “ยินยอมรับข่าวสาร” ตอนสมัครบริการโดยไม่ทันสังเกตค่ะ

การขอความยินยอมต้องทำโดยชัดแจ้ง และเจ้าของข้อมูลจะถอนความยินยอมเมื่อใดก็ได้ โดยการถอนความยินยอมต้องทำได้ง่ายเช่นเดียวกับการให้ความยินยอม เว้นแต่มีข้อจำกัดสิทธิในการถอนความยินยอมตามกฎหมายหรือสัญญาที่เป็นประโยชน์แก่เจ้าของข้อมูล

ถอนความยินยอม (ม.๑๙)	หลักการ
ถอนได้เมื่อใดก็ได้	เป็นสิทธิของเจ้าของข้อมูล
ต้องถอนได้ง่ายเหมือนตอนให้	ห้ามทำให้ถอนยาก
ช่องทางถอน	มักอยู่ในอีเมล/ประกาศความเป็นส่วนตัว (unsubscribe)

(อ้างอิงจากพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ มาตรา ๑๙)

💡 ถอนแล้วต้องหยุดฐานความยินยอม: เมื่อถอนความยินยอมและไม่มีฐานอื่นรองรับ ธุรกิจก็ไม่มีอำนาจใช้ข้อมูลเพื่อส่งข่าวสารต่อ — ใช้คู่กับการคัดค้านและขอลบได้ค่ะ

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ บัญญัติไว้ว่า

มาตรา ๑๙ ผู้ควบคุมข้อมูลส่วนบุคคลจะกระทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไม่ได้หากเจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมไว้ก่อนหรือในขณะนั้น เว้นแต่บทบัญญัติแห่งพระราชบัญญัตินี้หรือกฎหมายอื่นบัญญัติให้กระทำได้ การขอความยินยอมต้องทำโดยชัดแจ้ง เป็นหนังสือหรือทำโดยผ่านระบบอิเล็กทรอนิกส์ เว้นแต่โดยสภาพไม่อาจขอความยินยอมด้วยวิธีการดังกล่าวได้ ในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไปด้วย และการขอความยินยอมนั้นต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน มีแบบหรือข้อความที่เข้าถึงได้ง่ายและเข้าใจได้ รวมทั้งใช้ภาษาที่อ่านง่าย และไม่เป็นการหลอกลวงหรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์ดังกล่าว ทั้งนี้ คณะกรรมการจะให้ผู้ควบคุมข้อมูลส่วนบุคคลขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลตามแบบและข้อความที่คณะกรรมการประกาศกำหนดก็ได้ ในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลต้องคำนึงอย่างถึงที่สุดในความเป็นอิสระของเจ้าของข้อมูลส่วนบุคคลในการให้ความยินยอม ทั้งนี้ ในการเข้าทำสัญญาซึ่งรวมถึงการให้บริการใด ๆ ต้องไม่มีเงื่อนไขในการให้ความยินยอมเพื่อเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ไม่มีความจำเป็นหรือเกี่ยวข้องสำหรับการเข้าทำสัญญาซึ่งรวมถึงการให้บริการนั้น ๆ เจ้าของข้อมูลส่วนบุคคลจะถอนความยินยอมเสียเมื่อใดก็ได้โดยจะต้องถอนความยินยอมได้ง่ายเช่นเดียวกับการให้ความยินยอม เว้นแต่มีข้อจำกัดสิทธิในการถอนความยินยอมโดยกฎหมายหรือสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคล ทั้งนี้ การถอนความยินยอมย่อมไม่ส่งผลกระทบต่อการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมไปแล้วโดยชอบตามที่กำหนดไว้ในหมวดนี้ ในกรณีที่การถอนความยินยอมส่งผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลในเรื่องใด ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงผลกระทบจากการถอนความยินยอมนั้น การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลที่ไม่เป็นไปตามที่กำหนดไว้ในหมวดนี้ ไม่มีผลผูกพันเจ้าของข้อมูลส่วนบุคคล และไม่ทำให้ผู้ควบคุมข้อมูลส่วนบุคคลสามารถทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้

ที่มา: พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ มาตรา ๑๙

น้องแว่นสรุปค่ะ

ข้อ 3 — ถอนความยินยอม

ถอนความยินยอมเมื่อใดก็ได้ และต้องถอนได้ง่าย (ม.๑๙)
มักมีช่องทาง unsubscribe ในอีเมล/ประกาศความเป็นส่วนตัว
ถอนแล้วไม่มีฐานอื่น = ธุรกิจใช้ข้อมูลต่อไม่ได้

ขอลบข้อมูลออกจากระบบ + หน้าที่ของธุรกิจ (ม.๓๓ / ม.๓๗)

อยากตัดให้ขาด ไม่ให้เหลือข้อมูลในระบบเขาเลย — ใช้ สิทธิขอลบข้อมูลค่ะ

เจ้าของข้อมูลมีสิทธิขอให้ผู้ควบคุมข้อมูลลบ ทำลาย หรือทำให้ข้อมูลไม่สามารถระบุตัวบุคคลได้ ในกรณีที่กฎหมายกำหนด เช่น หมดความจำเป็นตามวัตถุประสงค์ หรือถอนความยินยอมและไม่มีฐานอื่น ตามมาตรา ๓๓ ทั้งนี้ ผู้ควบคุมข้อมูลยังมีหน้าที่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมและจัดให้มีช่องทางดำเนินการตามคำขอ ตามมาตรา ๓๗

ขอลบข้อมูล (ม.๓๓/๓๗)	ผล
หมดความจำเป็น/ถอนความยินยอม	ขอลบได้ (ม.๓๓)
ผู้ควบคุมข้อมูลต้องมีมาตรการ/ช่องทางรองรับ	เป็นหน้าที่ตาม ม.๓๗
ถ้าธุรกิจเพิกเฉย	ร้องเรียนต่อสำนักงาน PDPC ได้

(อ้างอิงจากพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ มาตรา ๓๓, ๓๗)

💡 ลบ = ตัดให้ขาด: การคัดค้านและถอนความยินยอมหยุด “การใช้” ข้อมูล ส่วนการขอลบ (ม.๓๓) คือการเอาข้อมูลออกจากระบบ ใช้สามอย่างประกอบกันจะได้ผลที่สุดค่ะ

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ บัญญัติไว้ว่า

มาตรา ๓๓ เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ ในกรณีดังต่อไปนี้
(๑) เมื่อข้อมูลส่วนบุคคลหมดความจำเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
(๒) เมื่อเจ้าของข้อมูลส่วนบุคคลถอนความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลและผู้ควบคุมข้อมูลส่วนบุคคลไม่มีอำนาจตามกฎหมายที่จะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้นได้ต่อไป
(๓) เมื่อเจ้าของข้อมูลส่วนบุคคลคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามมาตรา ๓๒ (๑) และผู้ควบคุมข้อมูลส่วนบุคคลไม่อาจปฏิเสธคำขอตามมาตรา ๓๒ (๑) (ก) หรือ (ข) ได้ หรือเป็นการคัดค้านตามมาตรา ๓๒ (๒)
(๔) เมื่อข้อมูลส่วนบุคคลได้ถูกเก็บรวบรวม ใช้ หรือเปิดเผยโดยไม่ชอบด้วยกฎหมายตามที่กำหนดไว้ในหมวดนี้ ความในวรรคหนึ่งมิให้นำมาใช้บังคับกับการเก็บรักษาไว้เพื่อวัตถุประสงค์ในการใช้เสรีภาพในการแสดงความคิดเห็น การเก็บรักษาไว้เพื่อวัตถุประสงค์ตามมาตรา ๒๔ (๑) หรือ (๔) หรือ มาตรา ๒๖
(๕) (ก) หรือ (ข) การใช้เพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย หรือเพื่อการปฏิบัติตามกฎหมาย ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลได้ทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่เปิดเผยต่อสาธารณะและผู้ควบคุมข้อมูลส่วนบุคคลถูกขอให้ลบหรือทำลายหรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ตามวรรคหนึ่ง ผู้ควบคุมข้อมูลส่วนบุคคลต้องเป็นผู้รับผิดชอบดำเนินการทั้งในทางเทคโนโลยีและค่าใช้จ่ายเพื่อให้เป็นไปตามคำขอนั้น โดยแจ้งผู้ควบคุมข้อมูลส่วนบุคคลอื่น ๆ เพื่อให้ได้รับคำตอบในการดำเนินการให้เป็นไปตามคำขอ กรณีผู้ควบคุมข้อมูลส่วนบุคคลไม่ดำเนินการตามวรรคหนึ่งหรือวรรคสาม เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญเพื่อสั่งให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการได้ คณะกรรมการอาจประกาศกำหนดหลักเกณฑ์ในการลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลตามวรรคหนึ่งก็ได้

มาตรา ๓๗ ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ ดังต่อไปนี้
(๑) จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ และต้องทบทวนมาตรการดังกล่าวเมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม ทั้งนี้ ให้เป็นไปตามมาตรฐานขั้นต่ำที่คณะกรรมการประกาศกำหนด
(๒) ในกรณีที่ต้องให้ข้อมูลส่วนบุคคลแก่บุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคลต้องดำเนินการเพื่อป้องกันมิให้ผู้นั้นใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ
(๓) จัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนดระยะเวลาการเก็บรักษา หรือที่ไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลนั้น หรือตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอ หรือที่เจ้าของข้อมูลส่วนบุคคลได้ถอนความยินยอม เว้นแต่เก็บรักษาไว้เพื่อวัตถุประสงค์ในการใช้เสรีภาพในการแสดงความคิดเห็น การเก็บรักษาไว้เพื่อวัตถุประสงค์ตามมาตรา ๒๔ (๑) หรือ
(๔) หรือมาตรา ๒๖
(๕) (ก) หรือ (ข) การใช้เพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมายหรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย หรือเพื่อการปฏิบัติตามกฎหมาย ทั้งนี้ ให้นำความในมาตรา ๓๓ วรรคห้า มาใช้บังคับกับการลบหรือทำลายข้อมูลส่วนบุคคลโดยอนุโลม (๔) แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สำนักงานโดยไม่ชักช้าภายในเจ็ดสิบสองชั่วโมงนับแต่ทราบเหตุเท่าที่จะสามารถกระทำได้ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ในกรณีที่การละเมิดมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ให้แจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อมกับแนวทางการเยียวยาโดยไม่ชักช้าด้วย ทั้งนี้ การแจ้งดังกล่าวและข้อยกเว้นให้เป็นไปตามหลักเกณฑ์และวิธีการที่คณะกรรมการประกาศกำหนด (๕) ในกรณีที่เป็นผู้ควบคุมข้อมูลส่วนบุคคลตามมาตรา ๕ วรรคสอง ต้องแต่งตั้งตัวแทนของผู้ควบคุมข้อมูลส่วนบุคคลเป็นหนังสือซึ่งตัวแทนต้องอยู่ในราชอาณาจักรและตัวแทนต้องได้รับมอบอำนาจให้กระทำการแทนผู้ควบคุมข้อมูลส่วนบุคคลโดยไม่มีข้อจำกัดความรับผิดใด ๆ ที่เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ของผู้ควบคุมข้อมูลส่วนบุคคล

ที่มา: พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ มาตรา ๓๓, ๓๗

น้องแว่นสรุปค่ะ

ข้อ 4 — ขอลบข้อมูล

ขอให้ลบ/ทำลายข้อมูลได้เมื่อหมดความจำเป็นหรือถอนความยินยอม (ม.๓๓)
ผู้ควบคุมข้อมูลต้องมีมาตรการและช่องทางรองรับ (ม.๓๗)
ถ้าธุรกิจเพิกเฉย ร้องเรียนต่อสำนักงาน PDPC ได้

หัวใจของการหยุดสแปมด้วย PDPA คือ — ข้อมูลของเราเป็นของเรา แม้ธุรกิจจะอ้างฐานในการเก็บข้อมูล เราก็ยัง คัดค้านการตลาดแบบตรง ถอนความยินยอม และขอลบข้อมูล ได้ตามกฎหมาย

ทำไมโดนสแปม ธุรกิจอ้างฐานยินยอม (ม.๑๙) หรือ ม.๒๔ ดูข้อ 1
คัดค้านการตลาด ม.๓๒ คัดค้านแล้วต้องหยุดทันที ดูข้อ 2
ถอนความยินยอม ม.๑๙ ถอนเมื่อใดก็ได้ ต้องถอนง่าย ดูข้อ 3
ขอลบข้อมูล ม.๓๓ ตัดข้อมูลออกจากระบบ + ร้องเรียนได้ ดูข้อ 4

วิธีที่ได้ผลคือใช้สามสิทธินี้ประกอบกัน — คัดค้านเพื่อให้หยุดส่ง ถอนความยินยอมเพื่อตัดฐานทางกฎหมาย และขอลบเพื่อเอาข้อมูลออกจากระบบ และถ้าธุรกิจยังเพิกเฉย สามารถร้องเรียนต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้นะคะ

อ้างอิง · ① ม.๒๔ (ฐานไม่ต้องขอยินยอม) · ม.๑๙ (ความยินยอม) · ② ม.๓๒ (คัดค้าน) · ③ ม.๑๙ (ถอนความยินยอม) · ④ ม.๓๓ (ขอลบ) · ม.๓๗ (หน้าที่ผู้ควบคุม)

ถ้าข้อมูลนี้เป็นประโยชน์ ให้ส่ง กาแฟและขนมปัง ให้เป็นกำลังใจ

กดให้กาแฟ หรือ ขนมปัง สัก 1 อย่างไหมคะ?

ทานกาแฟ ไปแล้ว 12 แก้ว · ทานขนมปัง ไปแล้ว 0 แผ่น

💛 หมายเหตุจาก Kelomn: บทความนี้จัดทำขึ้นเพื่อเป็นข้อมูลความรู้ทั่วไปด้านกฎหมายครอบครัวและมรดก อ้างอิงจากประมวลกฎหมายแพ่งและพาณิชย์ ซึ่งอาจมีการแก้ไขเพิ่มเติมในอนาคต ข้อมูลในบทความนี้ไม่ใช่คำปรึกษาทางกฎหมายและไม่สามารถใช้แทนการปรึกษาทนายความได้ หากมีประเด็นทางกฎหมายที่ต้องการความชัดเจน สามารถค้นหาตัวบทกฎหมายฉบับเป็นทางการเพิ่มเติมได้ที่ สำนักงานคณะกรรมการกฤษฎีกา (OCS) — Kelomn · AI Legal Research Project · Business Law for the Business Life

โดนสแปม SMS อีเมลขายของไม่หยุด ใช้ PDPA สั่งหยุดและสั่งลบได้

4 ขั้นใช้ PDPA หยุดสแปม · เข้าใจฐาน · คัดค้าน · ถอนยินยอม · ขอลบ

ทำไมเราถึงโดนสแปม — ฐานที่ธุรกิจใช้เก็บข้อมูล (ม.๒๔)

น้องแว่นสรุปค่ะ

คัดค้านการตลาดแบบตรง — เครื่องมือหยุดสแปมที่แรงที่สุด (ม.๓๒)

น้องแว่นสรุปค่ะ

ถอนความยินยอม — ถ้าเคยกด “ยอมรับ” ไว้ (ม.๑๙)

น้องแว่นสรุปค่ะ

ขอลบข้อมูลออกจากระบบ + หน้าที่ของธุรกิจ (ม.๓๓ / ม.๓๗)

น้องแว่นสรุปค่ะ

อ่านต่อในชุด PDPA และข้อมูลส่วนบุคคล

คำถามที่พบบ่อย

รับอัปเดตกฎหมายธุรกิจจาก Kelomn

โดนสแปม SMS อีเมลขายของไม่หยุด ใช้ PDPA สั่งหยุดและสั่งลบได้

4 ขั้นใช้ PDPA หยุดสแปม · เข้าใจฐาน · คัดค้าน · ถอนยินยอม · ขอลบ

ทำไมเราถึงโดนสแปม — ฐานที่ธุรกิจใช้เก็บข้อมูล (ม.๒๔)

น้องแว่นสรุปค่ะ

คัดค้านการตลาดแบบตรง — เครื่องมือหยุดสแปมที่แรงที่สุด (ม.๓๒)

น้องแว่นสรุปค่ะ

ถอนความยินยอม — ถ้าเคยกด “ยอมรับ” ไว้ (ม.๑๙)

น้องแว่นสรุปค่ะ

ขอลบข้อมูลออกจากระบบ + หน้าที่ของธุรกิจ (ม.๓๓ / ม.๓๗)

น้องแว่นสรุปค่ะ

อ่านต่อในหมวดข้อมูลส่วนบุคคล

อ่านต่อในชุด PDPA และข้อมูลส่วนบุคคล

คำถามที่พบบ่อย

รับอัปเดตกฎหมายธุรกิจจาก Kelomn