Kelomn.com
Business Law for the Business Life

แชร์บทความนี้

แชท ฟีด เครือข่ายงาน โพสต์สั้น
น้องแว่นในร้านกาแฟ อธิบายขั้นตอนการใช้สิทธิ PDPA ทีละขั้น

น้องแว่น — Kelomn Legal Café · คุ้มครองข้อมูลส่วนบุคคล (PDPA)

ใช้สิทธิ PDPA จริงต้องทำยังไง — คู่มือยื่นคำขอทีละขั้น

น้องแว่น Kelomn
น้องแว่น (Kelomn AI)
รหัสบทความ sbl_pdpa-data_use-your-rights_011_20260603
Kelomn Legal Research · พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒
อัปเดต 3 มิถุนายน 2569  ·  อ่าน 7 นาที

ชื่อในบทความนี้เป็นชื่อสมมติ ไม่มีตัวตนจริง เป็นเพียงการเล่าเรื่องทางวิชาการ ไม่ได้ตั้งใจจะพาดพิงบุคคลใดนะคะ

หลายคนรู้ว่า PDPA ให้สิทธิเยอะ แต่พอจะใช้จริงกลับ “งงว่าต้องเริ่มจากตรงไหน ยื่นที่ใคร แล้วถ้าเขาไม่ทำตามจะทำยังไง?”

พี่เออยากจัดการข้อมูลของตัวเองที่กระจายอยู่ตามธุรกิจต่าง ๆ — บทความนี้เลยสรุปเป็นขั้นตอนใช้สิทธิ PDPA แบบทำตามได้จริง ตั้งแต่หาช่องทาง ยื่นคำขอ ไปจนถึงร้องเรียน ที่ Kelomn เราสรุปให้ครบทุกมาตรา

ใช้สิทธิ PDPA 4 ขั้น  ·  หาช่องทาง · ขอเข้าถึง · ขอจัดการ · ร้องเรียน

1

ขั้นที่ 1 — หาช่องทางใช้สิทธิจากประกาศความเป็นส่วนตัว (ม.๒๓)

ก่อนยื่นคำขอ ต้องรู้ก่อนว่า จะยื่นที่ไหน — คำตอบมักอยู่ในประกาศความเป็นส่วนตัวของธุรกิจค่ะ

ตามมาตรา ๒๓ ก่อนหรือขณะเก็บข้อมูล ผู้ควบคุมข้อมูลต้องแจ้งให้เจ้าของข้อมูลทราบถึงวัตถุประสงค์ ข้อมูลที่เก็บ ระยะเวลา บุคคลที่อาจเปิดเผยให้ สิทธิของเจ้าของข้อมูล และข้อมูล/ช่องทางติดต่อของผู้ควบคุมข้อมูล — รายละเอียดเหล่านี้คือสิ่งที่เราเห็นใน “ประกาศความเป็นส่วนตัว (Privacy Notice)” และเป็นจุดเริ่มต้นในการหาช่องทางยื่นคำขอใช้สิทธิ

เริ่มจากอ่าน Privacy Noticeหาอะไร
สิทธิที่เรามี + เงื่อนไขม.๒๓ กำหนดให้ต้องแจ้ง
ช่องทาง/ผู้ติดต่อของผู้ควบคุมข้อมูลม.๒๓ กำหนดให้ต้องแจ้ง
วัตถุประสงค์ + ระยะเวลาเก็บใช้ประเมินว่าจะใช้สิทธิใด

(อ้างอิงจากพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ มาตรา ๒๓)

💡 Privacy Notice = แผนที่ใช้สิทธิ: ธุรกิจที่ทำตาม ม.๒๓ จะระบุช่องทางติดต่อไว้ ถ้าหาไม่เจอเลย นั่นเองก็เป็นสัญญาณว่าเขาอาจไม่ปฏิบัติตามกฎหมายค่ะ
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ บัญญัติไว้ว่า
มาตรา ๒๓ ในการเก็บรวบรวมข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคลถึงรายละเอียด ดังต่อไปนี้ เว้นแต่เจ้าของข้อมูลส่วนบุคคลได้ทราบถึงรายละเอียดนั้นอยู่แล้ว
(๑) วัตถุประสงค์ของการเก็บรวบรวมเพื่อการนำข้อมูลส่วนบุคคลไปใช้หรือเปิดเผยซึ่งรวมถึงวัตถุประสงค์ตามที่มาตรา ๒๔ ให้อำนาจในการเก็บรวบรวมได้โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล
(๒) แจ้งให้ทราบถึงกรณีที่เจ้าของข้อมูลส่วนบุคคลต้องให้ข้อมูลส่วนบุคคลเพื่อปฏิบัติตามกฎหมายหรือสัญญาหรือมีความจำเป็นต้องให้ข้อมูลส่วนบุคคลเพื่อเข้าทำสัญญา รวมทั้งแจ้งถึงผลกระทบที่เป็นไปได้จากการไม่ให้ข้อมูลส่วนบุคคล
(๓) ข้อมูลส่วนบุคคลที่จะมีการเก็บรวบรวมและระยะเวลาในการเก็บรวบรวมไว้ ทั้งนี้ ในกรณีที่ไม่สามารถกำหนดระยะเวลาดังกล่าวได้ชัดเจน ให้กำหนดระยะเวลาที่อาจคาดหมายได้ตามมาตรฐานของการเก็บรวบรวม
(๔) ประเภทของบุคคลหรือหน่วยงานซึ่งข้อมูลส่วนบุคคลที่เก็บรวบรวมอาจจะถูกเปิดเผย
(๕) ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล สถานที่ติดต่อ และวิธีการติดต่อในกรณีที่มีตัวแทนหรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ให้แจ้งข้อมูล สถานที่ติดต่อ และวิธีการติดต่อของตัวแทนหรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลด้วย
(๖) สิทธิของเจ้าของข้อมูลส่วนบุคคลตามมาตรา ๑๙ วรรคห้า มาตรา ๓๐ วรรคหนึ่ง มาตรา ๓๑ วรรคหนึ่ง มาตรา ๓๒ วรรคหนึ่ง มาตรา ๓๓ วรรคหนึ่ง มาตรา ๓๔ วรรคหนึ่ง มาตรา ๓๖ วรรคหนึ่ง และมาตรา ๗๓ วรรคหนึ่ง
ที่มา: พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ มาตรา ๒๓
น้องแว่น Kelomn

น้องแว่นสรุปค่ะ

ขั้น 1 — หาช่องทางจาก Privacy Notice
  1. ม.๒๓ บังคับให้ธุรกิจแจ้งสิทธิ + ช่องทางติดต่อ
  2. ช่องทางยื่นคำขอมักอยู่ในประกาศความเป็นส่วนตัว
  3. ใช้ข้อมูลนี้ประเมินว่าจะใช้สิทธิใด
2

ขั้นที่ 2 — ยื่นคำขอเข้าถึงและขอสำเนาข้อมูล (ม.๓๐)

คำขอที่ใช้บ่อยและเริ่มง่ายที่สุดคือ “ขอดูว่าธุรกิจเก็บอะไรของเราไว้บ้าง”ค่ะ

เจ้าของข้อมูลมีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตน รวมถึงขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลที่ตนไม่ได้ให้ความยินยอม ตามมาตรา ๓๐ เมื่อยื่นคำขอ ควรระบุตัวตน ข้อมูลที่ต้องการ และช่องทางรับผล ผู้ควบคุมข้อมูลต้องดำเนินการตามคำขอ เว้นแต่มีเหตุปฏิเสธได้ตามกฎหมายหรือคำสั่งศาล

ยื่นคำขอเข้าถึง (ม.๓๐)ทำได้
ขอดู + ขอสำเนาข้อมูลของตนได้
ขอให้เปิดเผยที่มาของข้อมูลที่ไม่ได้ยินยอมได้
ระบุตัวตน + ข้อมูลที่ต้องการในคำขอช่วยให้ดำเนินการเร็วขึ้น

(อ้างอิงจากพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ มาตรา ๓๐)

💡 ขอเข้าถึงคือก้าวแรก: เมื่อเห็นว่าธุรกิจเก็บอะไรไว้บ้างและได้มาอย่างไร เราจึงตัดสินใจต่อได้ว่าจะขอแก้ไข ขอลบ หรือคัดค้านค่ะ
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ บัญญัติไว้ว่า
มาตรา ๓๐ เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตนซึ่งอยู่ในความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล หรือขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลดังกล่าวที่ตนไม่ได้ให้ความยินยอม ผู้ควบคุมข้อมูลส่วนบุคคลต้องปฏิบัติตามคำขอตามวรรคหนึ่ง จะปฏิเสธคำขอได้เฉพาะในกรณีที่เป็นการปฏิเสธตามกฎหมายหรือคำสั่งศาล และการเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลนั้นจะส่งผลกระทบที่อาจก่อให้เกิดความเสียหายต่อสิทธิและเสรีภาพของบุคคลอื่น ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลปฏิเสธคำขอตามวรรคหนึ่ง ให้ผู้ควบคุมข้อมูลส่วนบุคคลบันทึกการปฏิเสธคำขอดังกล่าวพร้อมด้วยเหตุผลไว้ในรายการตามมาตรา ๓๙ เมื่อเจ้าของข้อมูลส่วนบุคคลมีคำขอตามวรรคหนึ่งและเป็นกรณีที่ไม่อาจปฏิเสธคำขอได้ตามวรรคสอง ให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการตามคำขอโดยไม่ชักช้า แต่ต้องไม่เกินสามสิบวันนับแต่วันที่ได้รับคำขอ คณะกรรมการอาจกำหนดหลักเกณฑ์เกี่ยวกับการเข้าถึงและการขอรับสำเนาตามวรรคหนึ่ง รวมทั้งการขยายระยะเวลาตามวรรคสี่หรือหลักเกณฑ์อื่นตามความเหมาะสมก็ได้
ที่มา: พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ มาตรา ๓๐
น้องแว่น Kelomn

น้องแว่นสรุปค่ะ

ขั้น 2 — ยื่นคำขอเข้าถึง
  1. ยื่นคำขอเข้าถึง/ขอสำเนาข้อมูลของตนได้ (ม.๓๐)
  2. ขอให้เปิดเผยที่มาของข้อมูลที่เราไม่ได้ยินยอม
  3. ระบุตัวตน + ข้อมูลที่ต้องการ ช่วยให้ดำเนินการเร็วขึ้น
3

ขั้นที่ 3 — ยื่นคำขอจัดการข้อมูล เช่น ขอลบ (ม.๓๓)

พอรู้ว่าธุรกิจมีข้อมูลอะไร ขั้นต่อไปคือ สั่งให้เขาจัดการ เช่น ขอให้ลบค่ะ

เจ้าของข้อมูลมีสิทธิขอให้ผู้ควบคุมข้อมูลลบ ทำลาย หรือทำให้ข้อมูลไม่สามารถระบุตัวบุคคลได้ ในกรณีที่กฎหมายกำหนด เช่น หมดความจำเป็นตามวัตถุประสงค์ หรือถอนความยินยอมและไม่มีฐานอื่น ตามมาตรา ๓๓ การยื่นคำขอควรอ้างเหตุที่ใช้สิทธิให้ชัด เพื่อให้ผู้ควบคุมข้อมูลพิจารณาดำเนินการได้

ยื่นคำขอลบข้อมูล (ม.๓๓)เงื่อนไข
หมดความจำเป็นตามวัตถุประสงค์ขอลบได้
ถอนความยินยอมและไม่มีฐานอื่นขอลบได้
ระบุเหตุที่ใช้สิทธิในคำขอช่วยให้พิจารณาได้เร็ว

(อ้างอิงจากพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ มาตรา ๓๓)

💡 อ้างเหตุให้ชัดในคำขอ: สิทธิขอลบใช้ได้ “ตามกรณีที่กฎหมายกำหนด” การระบุเหตุ เช่น หมดความจำเป็นหรือถอนความยินยอม จะช่วยให้คำขอหนักแน่นขึ้นค่ะ
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ บัญญัติไว้ว่า
มาตรา ๓๓ เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ ในกรณีดังต่อไปนี้
(๑) เมื่อข้อมูลส่วนบุคคลหมดความจำเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
(๒) เมื่อเจ้าของข้อมูลส่วนบุคคลถอนความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลและผู้ควบคุมข้อมูลส่วนบุคคลไม่มีอำนาจตามกฎหมายที่จะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้นได้ต่อไป
(๓) เมื่อเจ้าของข้อมูลส่วนบุคคลคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามมาตรา ๓๒ (๑) และผู้ควบคุมข้อมูลส่วนบุคคลไม่อาจปฏิเสธคำขอตามมาตรา ๓๒ (๑) (ก) หรือ (ข) ได้ หรือเป็นการคัดค้านตามมาตรา ๓๒ (๒)
(๔) เมื่อข้อมูลส่วนบุคคลได้ถูกเก็บรวบรวม ใช้ หรือเปิดเผยโดยไม่ชอบด้วยกฎหมายตามที่กำหนดไว้ในหมวดนี้ ความในวรรคหนึ่งมิให้นำมาใช้บังคับกับการเก็บรักษาไว้เพื่อวัตถุประสงค์ในการใช้เสรีภาพในการแสดงความคิดเห็น การเก็บรักษาไว้เพื่อวัตถุประสงค์ตามมาตรา ๒๔ (๑) หรือ (๔) หรือ มาตรา ๒๖
(๕) (ก) หรือ (ข) การใช้เพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย หรือเพื่อการปฏิบัติตามกฎหมาย ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลได้ทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่เปิดเผยต่อสาธารณะและผู้ควบคุมข้อมูลส่วนบุคคลถูกขอให้ลบหรือทำลายหรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ตามวรรคหนึ่ง ผู้ควบคุมข้อมูลส่วนบุคคลต้องเป็นผู้รับผิดชอบดำเนินการทั้งในทางเทคโนโลยีและค่าใช้จ่ายเพื่อให้เป็นไปตามคำขอนั้น โดยแจ้งผู้ควบคุมข้อมูลส่วนบุคคลอื่น ๆ เพื่อให้ได้รับคำตอบในการดำเนินการให้เป็นไปตามคำขอ กรณีผู้ควบคุมข้อมูลส่วนบุคคลไม่ดำเนินการตามวรรคหนึ่งหรือวรรคสาม เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญเพื่อสั่งให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการได้ คณะกรรมการอาจประกาศกำหนดหลักเกณฑ์ในการลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลตามวรรคหนึ่งก็ได้
ที่มา: พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ มาตรา ๓๓
น้องแว่น Kelomn

น้องแว่นสรุปค่ะ

ขั้น 3 — ยื่นคำขอจัดการข้อมูล
  1. ยื่นคำขอลบ/ทำลายข้อมูลได้ตามกรณีที่กฎหมายกำหนด (ม.๓๓)
  2. เหตุที่ใช้บ่อย: หมดความจำเป็น / ถอนความยินยอม
  3. ระบุเหตุที่ใช้สิทธิให้ชัดในคำขอ
4

ขั้นที่ 4 — ธุรกิจต้องทำตาม และเราร้องเรียนได้ (ม.๓๗ / ม.๓๙)

ถ้าธุรกิจเงียบหรือปฏิเสธแบบไม่มีเหตุผล — เรายังมีทางไปต่อค่ะ

ผู้ควบคุมข้อมูลมีหน้าที่จัดให้มีมาตรการที่เหมาะสมและช่องทางในการดำเนินการตามคำขอใช้สิทธิตามมาตรา ๓๗ และต้องบันทึกรายการการประมวลผลข้อมูล (เช่น ข้อมูลที่เก็บ วัตถุประสงค์ ผู้ที่อาจเปิดเผยให้) เพื่อให้เจ้าของข้อมูลและสำนักงานตรวจสอบได้ตามมาตรา ๓๙ ดังนั้นหากธุรกิจไม่ดำเนินการตามคำขอโดยไม่มีเหตุอันชอบ เจ้าของข้อมูลสามารถร้องเรียนต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้

เมื่อธุรกิจไม่ทำตามทำได้
ธุรกิจต้องมีช่องทาง/มาตรการรองรับคำขอหน้าที่ตาม ม.๓๗
ธุรกิจต้องเก็บบันทึกรายการให้ตรวจสอบได้ม.๓๙ (RoPA)
ไม่ทำตามโดยไม่มีเหตุอันชอบร้องเรียนต่อสำนักงาน PDPC

(อ้างอิงจากพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ มาตรา ๓๗, ๓๙)

💡 บันทึกของธุรกิจคือหลักฐาน: ม.๓๙ บังคับให้ธุรกิจเก็บบันทึกการประมวลผลให้เจ้าของข้อมูลและสำนักงานตรวจสอบได้ จึงเป็นเครื่องมือสำคัญเวลาเราร้องเรียนค่ะ
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ บัญญัติไว้ว่า
มาตรา ๓๗ ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ ดังต่อไปนี้
(๑) จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ และต้องทบทวนมาตรการดังกล่าวเมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม ทั้งนี้ ให้เป็นไปตามมาตรฐานขั้นต่ำที่คณะกรรมการประกาศกำหนด
(๒) ในกรณีที่ต้องให้ข้อมูลส่วนบุคคลแก่บุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคลต้องดำเนินการเพื่อป้องกันมิให้ผู้นั้นใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ
(๓) จัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนดระยะเวลาการเก็บรักษา หรือที่ไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลนั้น หรือตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอ หรือที่เจ้าของข้อมูลส่วนบุคคลได้ถอนความยินยอม เว้นแต่เก็บรักษาไว้เพื่อวัตถุประสงค์ในการใช้เสรีภาพในการแสดงความคิดเห็น การเก็บรักษาไว้เพื่อวัตถุประสงค์ตามมาตรา ๒๔ (๑) หรือ
(๔) หรือมาตรา ๒๖
(๕) (ก) หรือ (ข) การใช้เพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมายหรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย หรือเพื่อการปฏิบัติตามกฎหมาย ทั้งนี้ ให้นำความในมาตรา ๓๓ วรรคห้า มาใช้บังคับกับการลบหรือทำลายข้อมูลส่วนบุคคลโดยอนุโลม (๔) แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สำนักงานโดยไม่ชักช้าภายในเจ็ดสิบสองชั่วโมงนับแต่ทราบเหตุเท่าที่จะสามารถกระทำได้ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ในกรณีที่การละเมิดมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ให้แจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อมกับแนวทางการเยียวยาโดยไม่ชักช้าด้วย ทั้งนี้ การแจ้งดังกล่าวและข้อยกเว้นให้เป็นไปตามหลักเกณฑ์และวิธีการที่คณะกรรมการประกาศกำหนด (๕) ในกรณีที่เป็นผู้ควบคุมข้อมูลส่วนบุคคลตามมาตรา ๕ วรรคสอง ต้องแต่งตั้งตัวแทนของผู้ควบคุมข้อมูลส่วนบุคคลเป็นหนังสือซึ่งตัวแทนต้องอยู่ในราชอาณาจักรและตัวแทนต้องได้รับมอบอำนาจให้กระทำการแทนผู้ควบคุมข้อมูลส่วนบุคคลโดยไม่มีข้อจำกัดความรับผิดใด ๆ ที่เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ของผู้ควบคุมข้อมูลส่วนบุคคล

มาตรา ๓๙ ให้ผู้ควบคุมข้อมูลส่วนบุคคลบันทึกรายการ อย่างน้อยดังต่อไปนี้ เพื่อให้เจ้าของข้อมูลส่วนบุคคลและสำนักงานสามารถตรวจสอบได้ โดยจะบันทึกเป็นหนังสือหรือระบบอิเล็กทรอนิกส์ก็ได้
(๑) ข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม
(๒) วัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคลแต่ละประเภท
(๓) ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล
(๔) ระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล
(๕) สิทธิและวิธีการเข้าถึงข้อมูลส่วนบุคคล รวมทั้งเงื่อนไขเกี่ยวกับบุคคลที่มีสิทธิเข้าถึงข้อมูลส่วนบุคคลและเงื่อนไขในการเข้าถึงข้อมูลส่วนบุคคลนั้น
(๖) การใช้หรือเปิดเผยตามมาตรา ๒๗ วรรคสาม
(๗) การปฏิเสธคำขอหรือการคัดค้านตามมาตรา ๓๐ วรรคสาม มาตรา ๓๑ วรรคสาม มาตรา ๓๒ วรรคสาม และมาตรา ๓๖ วรรคหนึ่ง
(๘) คำอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัยตามมาตรา ๓๗ (๑) ความในวรรคหนึ่งให้นำมาใช้บังคับกับตัวแทนของผู้ควบคุมข้อมูลส่วนบุคคลตามมาตรา ๕ วรรคสอง โดยอนุโลม ความใน (๑) (๒) (๓) (๔) (๕) (๖) และ (๘) อาจยกเว้นมิให้นำมาใช้บังคับกับผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นกิจการขนาดเล็กตามหลักเกณฑ์ที่คณะกรรมการประกาศกำหนด เว้นแต่มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล หรือมิใช่กิจการที่เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเป็นครั้งคราว หรือมีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามมาตรา ๒๖
ที่มา: พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ มาตรา ๓๗, ๓๙
น้องแว่น Kelomn

น้องแว่นสรุปค่ะ

ขั้น 4 — ธุรกิจต้องทำตาม + ร้องเรียนได้
  1. ธุรกิจต้องมีช่องทาง/มาตรการรองรับคำขอ (ม.๓๗)
  2. ธุรกิจต้องเก็บบันทึกรายการให้ตรวจสอบได้ (ม.๓๙)
  3. ไม่ทำตามโดยไม่มีเหตุอันชอบ ร้องเรียนต่อสำนักงาน PDPC ได้

หัวใจของการใช้สิทธิ PDPA คือ — สิทธิมีค่าเมื่อลงมือใช้ เริ่มจากหาช่องทางในประกาศความเป็นส่วนตัว ยื่นคำขอเป็นลายลักษณ์อักษร และถ้าธุรกิจไม่ดูแล เรายังร้องเรียนต่อสำนักงาน PDPC ได้

  1. หาช่องทาง ดู Privacy Notice ตาม ม.๒๓ เพื่อหาช่องทางยื่น  ดูข้อ 1
  2. ขอเข้าถึง ยื่นคำขอดู/ขอสำเนาข้อมูล (ม.๓๐)  ดูข้อ 2
  3. ขอจัดการ ยื่นคำขอลบหรือสิทธิอื่น พร้อมเหตุ (ม.๓๓)  ดูข้อ 3
  4. ร้องเรียนได้ ธุรกิจมีหน้าที่ ม.๓๗/๓๙ — ไม่ทำ ร้องเรียน PDPC  ดูข้อ 4

เคล็ดลับคือเก็บหลักฐานการยื่นคำขอไว้เสมอ (วันที่ ช่องทาง ข้อความ) เพราะธุรกิจมีหน้าที่บันทึกรายการตาม ม.๓๙ อยู่แล้ว หลักฐานของเราจึงช่วยให้การร้องเรียนหนักแน่นขึ้นนะคะ

อ้างอิง  ·  ① ม.๒๓ (แจ้งสิทธิ/ช่องทาง)  ·  ② ม.๓๐ (ขอเข้าถึง/สำเนา)  ·  ③ ม.๓๓ (ขอลบ)  ·  ④ ม.๓๗ (หน้าที่ผู้ควบคุม) · ม.๓๙ (บันทึกรายการ)

ถ้าข้อมูลนี้เป็นประโยชน์ ให้ส่ง กาแฟและขนมปัง ให้เป็นกำลังใจ

กดให้กาแฟ หรือ ขนมปัง สัก 1 อย่างไหมคะ?

ทานกาแฟ ไปแล้ว 14 แก้ว · ทานขนมปัง ไปแล้ว 1 แผ่น

อ่านต่อในหมวดข้อมูลส่วนบุคคล

ทำไมเขารู้ชื่อ-เบอร์เรา? สิทธิ PDPA สั่ง "ลบ" ได้sbl_pdpa-data_spam-erasure_007_20260602 โดนแอบเก็บข้อมูล? PDPA คุ้มครองคุณมากกว่าที่คิดsbl_pdpa-data_rights-intro_006_20260602 PDPA ปรับสูงสุด 5 ล้าน/กระทง กรรมการก็โดนsbl_pdpa-data_penalties-5m_005_20260602 บริษัทไม่ทำ PDPA ทำไม "กรรมการ" ต้องรับผิดเอง?sbl_pdpa-data_director-liability_004_20260602 เจ้าของกิจการต้องทำอะไร? คู่มือเริ่ม PDPAsbl_pdpa-data_biz-todo_003_20260602 ข้อมูลลูกค้ารั่ว = กรรมการติดคุกไหม? ความจริง PDPAsbl_pdpa-data_biz-data-leak_002_20260602 ดูบทความหมวดข้อมูลส่วนบุคคลทั้งหมดหมวด ข้อมูลส่วนบุคคล
น้องแว่นที่เคาน์เตอร์ร้านกาแฟ Kelomn

อ่านต่อในชุด PDPA และข้อมูลส่วนบุคคล

กลับหน้าหลัก PDPA และข้อมูลส่วนบุคคล ข้อมูลลูกค้ารั่ว กรรมการรับผิด PDPA แค่ไหน ข้อมูลลูกค้ารั่ว ธุรกิจต้องทำอะไรตาม PDPA โดนสแปม SMS อีเมลขายของไม่หยุด ใช้ PDPA สั่งหยุดได้ ทำผิด PDPA โทษหนักแค่ไหน ปรับสูงสุด 5 ล้าน

💛 หมายเหตุจาก Kelomn: บทความนี้จัดทำขึ้นเพื่อเป็นข้อมูลความรู้ทั่วไปด้านกฎหมายครอบครัวและมรดก อ้างอิงจากประมวลกฎหมายแพ่งและพาณิชย์ ซึ่งอาจมีการแก้ไขเพิ่มเติมในอนาคต ข้อมูลในบทความนี้ไม่ใช่คำปรึกษาทางกฎหมายและไม่สามารถใช้แทนการปรึกษาทนายความได้ หากมีประเด็นทางกฎหมายที่ต้องการความชัดเจน สามารถค้นหาตัวบทกฎหมายฉบับเป็นทางการเพิ่มเติมได้ที่ สำนักงานคณะกรรมการกฤษฎีกา (OCS) — Kelomn · AI Legal Research Project · Business Law for the Business Life

คำถามที่พบบ่อย

บทความนี้เหมาะกับใคร?
เหมาะกับผู้อ่านที่ต้องการทำความเข้าใจPDPA และข้อมูลส่วนบุคคลในประเด็น ใช้สิทธิ PDPA จริงต้องทำยังไง ทีละขั้น เพื่อใช้ตั้งคำถาม ตรวจความเสี่ยงเบื้องต้น และเตรียมข้อมูลก่อนตัดสินใจ
อ่านแล้วควรทำอะไรต่อ?
ควรแยกข้อเท็จจริงของตนเองออกจากตัวอย่างในบทความ รวบรวมเอกสารหรือหลักฐานที่เกี่ยวข้อง และตรวจข้อกฎหมายปัจจุบันก่อนนำไปใช้จริง
บทความนี้ใช้แทนคำปรึกษาทนายได้ไหม?
ไม่ได้ บทความนี้เป็นข้อมูลทั่วไปเพื่อการศึกษาและการวางกรอบประเด็น ไม่ใช่คำปรึกษากฎหมายเฉพาะคดีหรือเฉพาะธุรกิจ

รับอัปเดตกฎหมายธุรกิจจาก Kelomn

ติดตามบทความใหม่ เครื่องมือ KKB และสรุปประเด็นกฎหมายธุรกิจที่ควรรู้จากหน้านี้ได้ต่อใน KKB Fans

สมัครรับข่าว ติดต่อทีม Kelomn