ISO / GMP / อย.

PDPA DSR คืออะไร? คู่มือสิทธิเจ้าของข้อมูลและการตอบสนองคำร้องสำหรับ SME ไทย 2026

PDPA Data Subject Rights (DSR) คืออะไร พร้อมขั้นตอนรับและตอบสนองคำร้องเจ้าของข้อมูลภายใน 30 วัน เทมเพลตและ Workflow สำหรับ SME ไทย 2026

AF
ADS FIT Team
·8 นาที
Share:
🛡️

# PDPA DSR คืออะไร? คู่มือสิทธิเจ้าของข้อมูลและการตอบสนองคำร้องสำหรับ SME ไทย 2026

ตั้งแต่ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) มีผลบังคับใช้เต็มรูปแบบ ผู้ประกอบการไทยจำนวนมากยังเข้าใจคลาดเคลื่อนว่า "PDPA = ขอ consent อย่างเดียว" ทั้งที่จริงหัวใจของกฎหมายอยู่ที่ "สิทธิของเจ้าของข้อมูล" (Data Subject Rights หรือ DSR) ซึ่งกำหนดว่าลูกค้า พนักงาน หรือผู้ให้ข้อมูลทุกคนสามารถส่งคำร้องบางประเภทมายังองค์กรของคุณได้ และคุณต้องตอบสนองภายในเวลาที่กฎหมายกำหนด

ปัญหาที่ SME ไทยเจอบ่อยที่สุดคือ "ไม่รู้ว่าต้องทำอะไร" เมื่อมีลูกค้าส่งอีเมลมาขอลบข้อมูล หรือขอสำเนาข้อมูลที่บริษัทเก็บไว้ บางองค์กรเงียบหายไปเฉย ๆ บางที่ตอบช้าเกิน 30 วัน ซึ่งเป็นความเสี่ยงทางกฎหมายโดยตรง โทษปรับทางปกครองสูงสุดถึง 5 ล้านบาท บวกค่าเสียหายทางแพ่งและค่าเสียหายเชิงลงโทษอีก 2 เท่า

บทความนี้จะอธิบายสิทธิทั้ง 8 ข้อตาม PDPA แบบเข้าใจง่าย พร้อมขั้นตอนการตั้ง Workflow รับ-ตรวจสอบ-ตอบกลับ DSR Request เทมเพลตอีเมลตอบกลับ และตารางเปรียบเทียบเครื่องมือที่ SME ใช้ได้จริง

DSR คืออะไร และทำไม SME ต้องสนใจ

DSR (Data Subject Rights) คือชุดสิทธิที่กฎหมายมอบให้ "เจ้าของข้อมูล" หรือบุคคลที่ข้อมูลส่วนบุคคลนั้นเป็นของเขา เช่น ลูกค้า ผู้สมัครงาน พนักงาน หรือผู้ติดต่อในเว็บไซต์ของคุณ องค์กรในฐานะ "ผู้ควบคุมข้อมูล (Data Controller)" มีหน้าที่ตอบสนองคำร้องเหล่านี้

| สิทธิ | มาตรา | ระยะเวลาตอบ | ความเสี่ยงหากไม่ทำ |

|---|---|---|---|

| สิทธิได้รับการแจ้งให้ทราบ | ม.23 | ก่อนเก็บข้อมูล | ปรับสูงสุด 1 ล้านบาท |

| สิทธิเข้าถึง/ขอสำเนา | ม.30 | 30 วัน | ปรับสูงสุด 3 ล้านบาท |

| สิทธิแก้ไข | ม.35-36 | โดยไม่ชักช้า | ฟ้องแพ่ง + ปรับ |

| สิทธิคัดค้าน | ม.32 | 30 วัน | ฟ้องแพ่ง + ปรับ |

| สิทธิลบ/ทำลาย | ม.33 | 30 วัน | ปรับสูงสุด 5 ล้านบาท |

| สิทธิระงับการใช้ | ม.34 | 30 วัน | ฟ้องแพ่ง + ปรับ |

| สิทธิโอนย้ายข้อมูล (Portability) | ม.31 | 30 วัน | ฟ้องแพ่ง + ปรับ |

| สิทธิเพิกถอน Consent | ม.19(5) | ทันที | ปรับสูงสุด 3 ล้านบาท |

จุดสำคัญที่หลายบริษัทพลาด: 30 วันเริ่มนับตั้งแต่ "วันที่ได้รับคำร้อง" ไม่ใช่วันที่ทีมเห็นอีเมล การไม่มีระบบรับเรื่องที่ชัดเจนจึงเปรียบได้กับ "ระเบิดเวลา" ทางกฎหมาย

สิทธิทั้ง 8 ข้อ อธิบายแบบเข้าใจง่าย

ในทางปฏิบัติ สิทธิ 8 ข้อตาม PDPA สามารถสรุปเป็นภาษาธุรกิจได้ดังนี้

  • **สิทธิรับทราบ (Right to be Informed)**: ลูกค้าต้องรู้ว่าคุณเก็บข้อมูลอะไร เพื่ออะไร นานแค่ไหน — ตอบโจทย์ด้วย Privacy Notice ที่อ่านง่าย ไม่ใช่ "ข้อตกลง 50 หน้า"
  • **สิทธิเข้าถึง (Right to Access)**: ขอดูว่าบริษัทเก็บข้อมูลของเขาอะไรบ้าง พร้อมสำเนา
  • **สิทธิแก้ไข (Right to Rectification)**: ขอให้แก้ข้อมูลที่ผิดหรือล้าสมัย เช่น ที่อยู่ เบอร์โทร
  • **สิทธิลบ (Right to Erasure / Right to be Forgotten)**: ขอให้ลบข้อมูลออกจากระบบทั้งหมด
  • **สิทธิระงับการใช้ (Right to Restrict Processing)**: ขอให้พักการใช้งานข้อมูลโดยไม่ต้องลบ เช่น ระหว่างรอข้อพิพาท
  • **สิทธิคัดค้าน (Right to Object)**: ปฏิเสธการประมวลผล โดยเฉพาะการตลาดทางตรง
  • **สิทธิโอนย้ายข้อมูล (Right to Data Portability)**: ขอข้อมูลในรูปแบบอ่านได้ (CSV/JSON) เพื่อนำไปใช้ที่อื่น
  • **สิทธิเพิกถอน Consent (Right to Withdraw Consent)**: ถอนความยินยอมที่เคยให้ไว้ และต้องทำได้ "ง่ายเหมือนตอนให้ Consent"

    • ข้อสังเกต: ไม่ใช่ทุกคำร้องที่องค์กรต้องทำตาม เช่น ถ้ามีฐานทางกฎหมาย (Legal Obligation) ในการเก็บข้อมูล เช่น ใบกำกับภาษีตามประมวลรัษฎากร ก็มีสิทธิปฏิเสธคำขอลบได้ แต่ต้องชี้แจงเหตุผลกลับเป็นลายลักษณ์อักษร

    วิธีตั้งระบบรับและตอบ DSR Request ใน 7 ขั้นตอน

    แม้บริษัทขนาดเล็กก็ตั้งกระบวนการนี้ได้โดยไม่ต้องลงทุนซอฟต์แวร์แพง ๆ ขั้นตอนที่แนะนำ:

  • **ขั้นตอนที่ 1 - สร้าง Single Channel**: เปิดอีเมลกลาง เช่น privacy@company.co.th และฟอร์มในหน้าเว็บ "ใช้สิทธิของท่าน" ห้ามรับเฉพาะทางโทรศัพท์ เพราะหาหลักฐานยาก
  • **ขั้นตอนที่ 2 - Verify ตัวตนผู้ร้อง**: ขอบัตรประชาชน (พร้อมเซ็นรับรองสำเนา) หรือ OTP ทาง email/SMS เพื่อป้องกันการถูกแอบอ้าง
  • **ขั้นตอนที่ 3 - ลงทะเบียนใน DSR Log**: บันทึกวันที่รับคำร้อง ประเภทสิทธิ ผู้ร้อง ผู้รับผิดชอบ และ Deadline (D+30) แนะนำใช้ Spreadsheet หรือ Notion Database
  • **ขั้นตอนที่ 4 - Data Mapping**: ค้นว่าข้อมูลของผู้ร้องอยู่ในระบบไหนบ้าง — CRM, Email Marketing Tool, ระบบบัญชี, Cloud Backup, ไฟล์ Excel ในเครื่องพนักงาน
  • **ขั้นตอนที่ 5 - ดำเนินการตามสิทธิ**: ขอสำเนา → Export ออกเป็น PDF/CSV; ลบ → ลบจริงทุกระบบรวม Backup; แก้ไข → ปรับให้ตรง
  • **ขั้นตอนที่ 6 - ตอบกลับเป็นลายลักษณ์อักษร**: ใช้เทมเพลตที่กฎหมายอนุมัติ ระบุการกระทำที่ทำ หรือเหตุผลที่ปฏิเสธ พร้อมช่องทางอุทธรณ์ต่อ DPO และ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC)
  • **ขั้นตอนที่ 7 - ปิดเคสและเก็บหลักฐาน**: เก็บหลักฐานการตอบกลับอย่างน้อย 1 ปี เพื่อพร้อมตรวจสอบ

    • เปรียบเทียบเครื่องมือจัดการ DSR สำหรับ SME

    | เครื่องมือ | ประเภท | ราคา/เดือน | เหมาะกับ |

    |---|---|---|---|

    | Google Forms + Sheets | Manual | ฟรี | บริษัท <50 คน, น้อยคำร้อง |

    | Notion DSR Database | Manual+Workflow | ~$10/user | Startup ที่ใช้ Notion อยู่แล้ว |

    | OneTrust DSAR | Enterprise | $$$$ | บริษัทใหญ่/Multi-region |

    | Osano | Mid-market | $$ | Mid-size, มีหลายเว็บไซต์ |

    | Self-built (Laravel/Next.js) | Custom | ค่าพัฒนาครั้งเดียว | ต้องการคุมข้อมูลภายในองค์กร |

    สำหรับ SME ที่เพิ่งเริ่มต้น แนะนำเริ่มจาก Google Forms + Sheets ก่อน แล้วค่อยอัปเกรดเมื่อปริมาณคำร้องเกิน 10 รายการ/เดือน หรือเมื่อต้องการ Audit Trail ที่แน่นหนาขึ้น

    เทมเพลตอีเมลตอบกลับ DSR

    ตัวอย่างโครงอีเมลตอบกลับสำหรับ "คำขอลบข้อมูล" ที่อนุมัติได้:

    > เรียน คุณ [ชื่อ]

    >

    > บริษัท [ชื่อบริษัท] ได้รับคำร้องของท่านลงวันที่ [วันที่] เพื่อใช้สิทธิลบข้อมูลส่วนบุคคลตามมาตรา 33 พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

    >

    > เราได้ตรวจสอบและดำเนินการลบข้อมูลของท่านในระบบดังต่อไปนี้: CRM, ระบบส่งอีเมลการตลาด และฐานข้อมูลผู้ใช้บนเว็บไซต์ ภายในวันที่ [วัน+30]

    >

    > หากท่านมีข้อสงสัยหรือไม่พึงพอใจการดำเนินการ สามารถติดต่อ DPO ของเราที่ dpo@company.co.th หรืออุทธรณ์ต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC)

    หากปฏิเสธ ต้องอ้างฐานทางกฎหมายเสมอ เช่น "บริษัทจำเป็นต้องเก็บข้อมูลใบกำกับภาษีตามประมวลรัษฎากรอย่างน้อย 5 ปี"

    สรุป + ขั้นตอนถัดไป

    DSR ไม่ใช่ภาระที่น่ากลัว หากคุณมีกระบวนการรับเรื่องที่เป็นระบบและ Data Map ที่ชัดเจน หัวใจสำคัญคือ (1) มีช่องทางรับเรื่องเดียว (2) ตอบทุกคำร้องภายใน 30 วัน (3) เก็บหลักฐานทุกขั้นตอน

    สิ่งที่ควรทำต่อภายใน 30 วันนี้: ตั้งอีเมล privacy@ และฟอร์มในเว็บไซต์, สร้าง DSR Log Spreadsheet, อบรมทีม Customer Service ให้รู้จักประเภทสิทธิ และซ้อมตอบ DSR Request จำลองอย่างน้อย 1 รอบ

    หากต้องการคำแนะนำเรื่องการตั้งระบบ PDPA Compliance ครบวงจร — Data Mapping, DPIA, Privacy Notice, DSR Workflow และระบบ Self-Service Portal — ทีม ADS FIT ช่วยออกแบบและพัฒนาระบบที่ตรงกับขนาดธุรกิจของคุณได้ ติดต่อเราได้ที่ contact@adsfit.co.th หรืออ่านบทความที่เกี่ยวข้องในหมวด Compliance ของเรา

    Tags

    #PDPA#DSR#Data Subject Rights#Privacy#Compliance#สิทธิเจ้าของข้อมูล

    สนใจโซลูชันนี้?

    ปรึกษาทีม ADS FIT ฟรี เราพร้อมออกแบบระบบที่ฟิตกับธุรกิจของคุณ

    ติดต่อเรา →

    บทความที่เกี่ยวข้อง

    🛡️

    PDPA DPA 2026: คู่มือ Data Processing Agreement สัญญาประมวลผลข้อมูลส่วนบุคคล SME ไทย

    7 พฤษภาคม 2569 · 8 นาที
    🛡️

    ISO 37001 คืออะไร? คู่มือ Anti-Bribery Management ธุรกิจไทย 2026

    7 พฤษภาคม 2569 · 8 นาที
    🛡️

    ISO 14001 Environmental Management System (EMS): คู่มือมาตรฐานสิ่งแวดล้อมสำหรับ SME ไทย 2026

    7 พฤษภาคม 2569 · 9 นาที