Skip to main content
PDPA & Privacy

Data Subject Request (DSR) มาแล้ว ทำอะไรบ้างใน 30 วัน — Step by Step

คู่มือจัดการคำขอใช้สิทธิ DSR ตาม PDPA แบบ step-by-step ครอบคลุมทั้ง 6 สิทธิ พร้อม timeline 30 วันที่ต้องดำเนินการ

25 Feb 20267 min
DSRPDPAสิทธิเจ้าของข้อมูล

วันหนึ่งฝ่าย HR ได้รับอีเมลจากอดีตพนักงานขอให้ลบข้อมูลส่วนบุคคลทั้งหมด อีกวัน ลูกค้ารายหนึ่งโทรมาถามว่าบริษัทเก็บข้อมูลอะไรของเขาบ้าง สถานการณ์เหล่านี้คือ Data Subject Request (DSR) หรือ "คำขอใช้สิทธิของเจ้าของข้อมูล" ตาม PDPA และองค์กรของคุณมีเวลาเพียง 30 วัน ในการดำเนินการ

บทความนี้จะพาคุณเดินทางผ่านทุกขั้นตอนของการรับมือ DSR ตั้งแต่วินาทีที่ได้รับคำขอ จนถึงการปิดเคส

สิทธิ 6 ประเภทที่ต้องรู้

PDPA มาตรา 30-36 ให้สิทธิเจ้าของข้อมูลส่วนบุคคล 6 ประเภท แต่ละประเภทมีรายละเอียดและเงื่อนไขที่แตกต่างกัน

สิทธิในการเข้าถึง (Right of Access)

สิทธิที่ถูกใช้บ่อยที่สุด เจ้าของข้อมูลขอเข้าถึงข้อมูลส่วนบุคคลของตนที่องค์กรเก็บรวบรวมไว้ รวมถึงขอสำเนาข้อมูลได้ องค์กรต้องจัดเตรียมข้อมูลในรูปแบบที่อ่านได้และเข้าใจง่าย

สิทธิในการแก้ไข (Right to Rectification)

ข้อมูลไม่ถูกต้อง ไม่สมบูรณ์ หรือทำให้เข้าใจผิด? เจ้าของข้อมูลมีสิทธิขอให้แก้ไข องค์กรต้องตรวจสอบและดำเนินการ

สิทธิในการลบ (Right to Erasure)

เจ้าของข้อมูลขอให้ลบหรือทำลายข้อมูลได้ เมื่อข้อมูลไม่จำเป็นสำหรับวัตถุประสงค์เดิมอีกต่อไป หรือเมื่อถอนความยินยอม แต่ข้อนี้มีข้อยกเว้นสำคัญ — หากองค์กรมีฐานกฎหมายอื่นในการเก็บรักษา ก็ไม่จำเป็นต้องลบ

สิทธิในการระงับ (Right to Restriction)

สิทธินี้ใช้เฉพาะกรณี เช่น ระหว่างที่องค์กรตรวจสอบความถูกต้องของข้อมูล หรือระหว่างพิจารณาคำคัดค้าน เจ้าของข้อมูลขอให้หยุดประมวลผลชั่วคราวได้

สิทธิในการโอนย้าย (Data Portability)

เจ้าของข้อมูลขอรับข้อมูลของตนในรูปแบบ machine-readable format ได้ และยังมีสิทธิขอให้ส่งข้อมูลนั้นไปยังผู้ควบคุมข้อมูลรายอื่นโดยตรง สิทธินี้เริ่มมีการใช้มากขึ้นเรื่อย ๆ

สิทธิในการคัดค้าน (Right to Object)

เจ้าของข้อมูลคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลของตนได้ โดยเฉพาะกรณีที่ใช้ฐาน Legitimate Interest หรือการตลาดทางตรง สิทธินี้หากเป็นเรื่อง Direct Marketing องค์กรต้องหยุดทันทีไม่มีข้อยกเว้น

Process Flow: ขั้นตอนรับมือ DSR ใน 30 วัน

วันที่ 1-3: รับคำขอและบันทึก

ผู้รับผิดชอบ: ฝ่ายรับคำขอ (อาจเป็น Customer Service, HR, หรือ DPO Office)

  • รับคำขอผ่านช่องทางที่จัดไว้ (เว็บฟอร์ม อีเมล จดหมาย)
  • บันทึกเข้าระบบติดตาม ระบุวันที่รับ เลขอ้างอิง และประเภทสิทธิ
  • ส่งอีเมลตอบรับอัตโนมัติเพื่อยืนยันว่าได้รับคำขอแล้ว
  • เริ่มนับระยะเวลา 30 วัน

สิ่งสำคัญ: ต้องบันทึกทุกคำขอ แม้จะมาจากช่องทางที่ไม่เป็นทางการ เช่น โทรศัพท์หรือข้อความ

วันที่ 3-7: ยืนยันตัวตนผู้ร้องขอ

ผู้รับผิดชอบ: ฝ่ายรับคำขอ + ฝ่ายที่เกี่ยวข้อง

  • ตรวจสอบตัวตนของผู้ร้องขอว่าเป็นเจ้าของข้อมูลจริง
  • ใช้วิธีการที่เหมาะสม เช่น ตรวจสอบบัตรประชาชน ส่ง OTP หรือยืนยันผ่านข้อมูลที่มีอยู่
  • หากข้อมูลในคำขอไม่เพียงพอ ให้ขอข้อมูลเพิ่มเติมจากผู้ร้องขอ (ระยะเวลา 30 วันจะหยุดนับชั่วคราวจนกว่าจะได้รับข้อมูล)

ข้อควรระวัง: อย่าขอข้อมูลมากเกินจำเป็นเพื่อยืนยันตัวตน เพราะอาจเป็นการเก็บรวบรวมข้อมูลเกินวัตถุประสงค์

วันที่ 7-10: ประเมินคำขอ

ผู้รับผิดชอบ: DPO หรือฝ่ายกฎหมาย

  • ระบุประเภทสิทธิที่ร้องขอ (บางครั้งคำขอหนึ่งอาจครอบคลุมหลายสิทธิ)
  • ประเมินว่าสามารถดำเนินการได้หรือมีเหตุปฏิเสธตามกฎหมาย
  • ตรวจสอบว่ามีข้อยกเว้นที่ใช้บังคับหรือไม่ เช่น ข้อมูลที่ต้องเก็บตามกฎหมายอื่น
  • หากต้องปฏิเสธ เตรียมเหตุผลและอ้างอิงมาตราที่เกี่ยวข้อง

วันที่ 10-20: ดำเนินการตามคำขอ

ผู้รับผิดชอบ: ฝ่าย IT + ฝ่ายที่ครอบครองข้อมูล + DPO

นี่คือขั้นตอนที่ใช้เวลามากที่สุด เพราะต้องระบุว่าข้อมูลอยู่ที่ระบบใดบ้าง

  • สิทธิเข้าถึง/โอนย้าย: ค้นหาและรวบรวมข้อมูลจากทุกระบบ จัดทำรายงานในรูปแบบที่เหมาะสม
  • สิทธิแก้ไข: แก้ไขข้อมูลในทุกระบบที่เกี่ยวข้อง ตรวจสอบว่าแก้ไขครบถ้วน
  • สิทธิลบ: ลบข้อมูลจากทุกระบบ รวมถึงสำเนาสำรอง (backup) ยกเว้นที่มีฐานกฎหมายอื่นรองรับ
  • สิทธิระงับ: ติดแท็กข้อมูลว่าถูกระงับ ป้องกันการใช้งานจนกว่าจะมีการเปลี่ยนแปลง
  • สิทธิคัดค้าน: หยุดการประมวลผลที่ถูกคัดค้าน ลบออกจากรายการการตลาดทางตรง (ถ้าเกี่ยวข้อง)

จุดสำคัญ: อย่าลืมแจ้งผู้ประมวลผลข้อมูลภายนอก (Data Processors) ที่ได้รับข้อมูลไปด้วย

วันที่ 20-25: ตรวจสอบและอนุมัติ

ผู้รับผิดชอบ: DPO + ฝ่ายกฎหมาย

  • ตรวจสอบว่าดำเนินการครบถ้วนทุกระบบ
  • ทบทวนเอกสารตอบกลับว่าถูกต้องและครบถ้วน
  • อนุมัติการตอบกลับ

วันที่ 25-30: ตอบกลับเจ้าของข้อมูล

ผู้รับผิดชอบ: ฝ่ายรับคำขอ

  • ส่งผลการดำเนินการให้เจ้าของข้อมูลผ่านช่องทางที่ปลอดภัย
  • หากปฏิเสธ ต้องแจ้งเหตุผลและสิทธิในการร้องเรียนต่อ สคส.
  • บันทึกผลการดำเนินการในระบบติดตาม
  • ปิดเคส

ใครทำอะไร: ตาราง RACI แบบย่อ

  • DPO/Privacy Office: รับผิดชอบหลัก (Accountable) ทุกขั้นตอน
  • ฝ่ายรับคำขอ: รับผิดชอบดำเนินการ (Responsible) ขั้นรับคำขอและตอบกลับ
  • ฝ่าย IT: รับผิดชอบดำเนินการ (Responsible) ขั้นค้นหาและดำเนินการกับข้อมูล
  • ฝ่ายกฎหมาย: ให้คำปรึกษา (Consulted) ขั้นประเมินและอนุมัติ
  • ฝ่ายบริหาร: รับทราบ (Informed) ในกรณีที่มีความเสี่ยงสูง

7 ข้อผิดพลาดที่พบบ่อย

1. ไม่มีช่องทางรับ DSR ที่ชัดเจน — ลูกค้าหาทางยื่นคำขอไม่เจอ จึงร้องเรียนต่อ สคส. แทน

2. เริ่มนับระยะเวลาผิด — ระยะเวลา 30 วันเริ่มนับตั้งแต่วันที่ได้รับคำขอ ไม่ใช่วันที่ยืนยันตัวตนเสร็จ (ยกเว้นกรณีที่ต้องขอข้อมูลเพิ่มเติม)

  1. ไม่รู้ว่าข้อมูลอยู่ที่ไหน เพราะไม่มี Data Inventory ค้นหาข้อมูลไม่ครบทุกระบบ ส่งผลให้ตอบกลับเจ้าของข้อมูลได้ไม่สมบูรณ์

  2. ปฏิเสธคำขอโดยไม่อ้างอิงข้อยกเว้นตามกฎหมาย ซึ่งทำไม่ได้ การปฏิเสธ DSR ต้องมีฐานทางกฎหมายรองรับเสมอ

5. ลืมแจ้งผู้ประมวลผลภายนอก — ลบข้อมูลในระบบตัวเองแล้ว แต่ไม่แจ้ง vendor ที่ได้รับข้อมูลไป

  1. ไม่เก็บหลักฐานการดำเนินการ พอ สคส. เข้ามาตรวจสอบก็ไม่มีบันทึกให้ดู ไม่สามารถพิสูจน์ได้ว่าทำอะไรไปบ้าง

7. ตอบกลับช้าเกิน 30 วัน เพราะไม่มีระบบติดตามที่ดี คำขอหลุดหายไปในอีเมลหรือ spreadsheet

จัดการ DSR อย่างเป็นระบบด้วย PrivacyHub

การจัดการ DSR ด้วย spreadsheet หรืออีเมลอาจพอทำได้เมื่อมีคำขอไม่กี่รายการ แต่เมื่อปริมาณเพิ่มขึ้น ความเสี่ยงที่จะตกหล่นหรือเกินกำหนดเวลาจะสูงขึ้นตามไปด้วย

PrivacyHub มีโมดูล DSR Management ที่ออกแบบมาเพื่อรองรับกระบวนการ DSR ตั้งแต่ต้นจนจบ ตั้งแต่การรับคำขอผ่านเว็บฟอร์ม การยืนยันตัวตน การกำหนดเส้นทางคำขอไปยังผู้รับผิดชอบอัตโนมัติ การติดตามสถานะแบบ real-time ไปจนถึงการสร้างรายงานตอบกลับ ทุกขั้นตอนถูกบันทึกเป็น Audit Trail ที่แก้ไขไม่ได้

นอกจากนี้ Genesis AI ยังช่วยจำแนกประเภทคำขออัตโนมัติ ลดภาระงานของทีม DPO และเตือนล่วงหน้าเมื่อคำขอใกล้ครบกำหนด เพื่อให้มั่นใจว่าองค์กรของคุณจะไม่พลาดกรอบเวลา 30 วันตาม PDPA

เรียนรู้เพิ่มเติมเกี่ยวกับ PrivacyHub ได้ที่ enersys.co.th/th/products/privacyhub

ลิงก์ที่เกี่ยวข้อง

PrivacyHub

Privacy Governance Platform สำหรับองค์กรไทย

PDPA Compliance Assessment

ประเมิน PDPA Compliance Score ฟรี

ติดต่อปรึกษา PDPA

พูดคุยกับผู้เชี่ยวชาญ

Back to Insights

Related Articles

Colorado AI Act — กฎหมาย AI ฉบับแรกของสหรัฐฯ ที่บังคับตรวจสอบ Algorithmic Discrimination มีผล มิ.ย. 2026

Colorado เป็นรัฐแรกของสหรัฐฯ ที่ออกกฎหมาย AI ครอบคลุม บังคับให้ผู้พัฒนาและผู้ใช้ AI ประเมินความเสี่ยงด้าน algorithmic discrimination — มีผลบังคับใช้ 30 มิถุนายน 2026

PDPA กับข้อมูลพนักงาน — สิ่งที่ HR ต้องรู้ตั้งแต่รับสมัครจนถึงลาออก

คู่มือปฏิบัติสำหรับ HR ในการจัดการข้อมูลส่วนบุคคลของพนักงานตาม PDPA ครอบคลุมทุกขั้นตอนตั้งแต่การรับสมัคร การจ้างงาน จนถึงการลาออกและการเก็บรักษาข้อมูลหลังสิ้นสุดสัญญา

Data Governance 101 — วางรากฐานข้อมูลให้พร้อมสำหรับทั้ง PDPA และ AI

แนวทางวาง Data Governance สำหรับองค์กรไทย ที่ตอบโจทย์ทั้งการปฏิบัติตาม PDPA และการเตรียมข้อมูลให้พร้อมสำหรับ AI — เพราะข้อมูลที่ดีคือรากฐานของทั้งสองอย่าง

"Empowering Innovation,
Transforming Futures."

Contact us to make your project a reality.