PDPA Marketing — คู่มือสำหรับทีม Marketer ไทย ปี 2026

PDPA Marketing คืออะไร? คู่มือฉบับเข้าใจง่ายสำหรับทีม marketing ไทย — Consent, Lawful Basis, Cookie, Lead Form พร้อม checklist ปฏิบัติจริงปี 2026

PDPA Marketing — คู่มือสำหรับทีม Marketer ไทย ปี 2026

PDPA Marketing — สิ่งที่ทีม Marketing ต้องรู้ ปี 2026

Last updated: 2026-06-05 · By Brad K

ปี 2025 สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ออกคำสั่งปรับผู้ประกอบการในไทยรวมกันกว่า 47 ล้านบาท — และ 70% ของเคสมาจากฝั่ง marketing ทั้งการเก็บ lead ผิดวิธี การยิงโฆษณา retargeting โดยไม่ได้ consent และการส่งอีเมล cold outreach ที่ไม่มี lawful basis ที่ชัดเจน ปัญหาคือ ทีม marketing ส่วนใหญ่ยังคิดว่า pdpa marketing เป็นเรื่องของฝั่งกฎหมายหรือ DPO เท่านั้น ทั้งที่จริงทุก touchpoint ที่เก็บข้อมูลลูกค้า — landing page, lead form, Meta Pixel, GA4, CRM sync — ล้วนอยู่ภายใต้ PDPA ทั้งสิ้น บทความนี้จะสรุปว่า marketer ต้องรู้อะไรบ้าง เริ่มจาก lawful basis, consent design, cookie banner, ไปจนถึง workflow ในการรับมือ data subject rights และ checklist ที่นำไปใช้ได้จริงในไตรมาสนี้

Key Takeaways: PDPA ไม่ใช่แค่เรื่องของฝ่ายกฎหมาย — ทุก marketing touchpoint ที่เก็บข้อมูลส่วนบุคคลต้องมี lawful basis ที่ชัดเจน (Consent, Contract หรือ Legitimate Interest) การออกแบบ consent ต้องเป็น granular, opt-in เท่านั้น และแยกตามวัตถุประสงค์ Cookie banner ต้อง block tag ก่อน consent (ไม่ใช่หลัง) Marketer ที่ทำถูกตั้งแต่ต้นจะได้ first-party data คุณภาพสูงกว่าและพร้อมรับ cookie-less era ปี 2026 มากกว่าทีมที่มองเรื่องนี้เป็น “ภาระ compliance”

PDPA Marketing คืออะไร และทำไมต้องสนใจปี 2026

PDPA Marketing คือการนำหลักการของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาปรับใช้กับทุกกิจกรรมการตลาดที่มีการเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Personal Data) — ตั้งแต่การเก็บ email ใน lead form, การ track พฤติกรรมผ่าน cookie, การยิง custom audience บน Meta Ads ไปจนถึงการส่ง newsletter หรือ cold outreach ทุกขั้นตอนต้องมี lawful basis ที่ชัดเจน และต้องสามารถพิสูจน์ได้ว่าได้รับ consent หรือมีฐานทางกฎหมายอื่นรองรับ

องค์ประกอบหลัก 4 ส่วนของ PDPA สำหรับ Marketer

  1. Lawful Basis — เหตุผลทางกฎหมายในการประมวลผลข้อมูล (มี 7 ฐานตาม ม.24)
  2. Consent Management — การขอ เก็บ และจัดการ consent ให้ตรวจสอบได้
  3. Data Subject Rights — สิทธิของเจ้าของข้อมูล 8 ประการ (เข้าถึง แก้ไข ลบ ฯลฯ)
  4. Data Breach Notification — แจ้ง สคส. ภายใน 72 ชม. หากเกิดเหตุข้อมูลรั่ว

PDPA Marketing — คู่มือสำหรับทีม Marketer ไทย ปี 2026 — แผนภาพที่ 1

ในปี 2026 ความสำคัญเพิ่มขึ้นอีกระดับเพราะ Meta และ Google บังคับ Consent Mode v2 สำหรับโฆษณาที่ targeting ผู้ใช้ใน APAC ถ้า marketer ไม่ส่งสัญญาณ consent ที่ถูกต้อง ระบบจะลด conversion attribution และ audience size อัตโนมัติ — ดู GA4 + GTM + Conversion API Setup Guide สำหรับการตั้งค่าฝั่ง technical

Lawful Basis — เลือกฐานทางกฎหมายให้ถูกตั้งแต่ต้น

หลายทีมเข้าใจผิดว่า “ทุกอย่างต้องขอ consent” — จริงๆ แล้ว PDPA ม.24 ให้ฐานทางกฎหมาย 7 ฐาน และ marketer ควรเลือกฐานที่เหมาะสมกับ use case มากที่สุด เพราะ consent เป็นฐานที่ “เปราะที่สุด” (เจ้าของข้อมูลถอนได้ตลอดเวลา)

ฐานที่ Marketer ใช้บ่อยที่สุด

Use Case Lawful Basis ที่เหมาะสม เหตุผล
Newsletter signup Consent ผู้ใช้สมัครเอง ชัดเจน
Lead form B2B Legitimate Interest หรือ Consent ขึ้นกับ context
Retargeting cookie Consent (ตาม TCF v2.2) จำเป็นต้อง explicit
Order confirmation email Contract จำเป็นต่อสัญญาซื้อขาย
Cold B2B outreach Legitimate Interest + LIA ต้องมี balancing test
Customer support reply Contract หรือ Legal Obligation จำเป็นต่อการให้บริการ

Legitimate Interest Assessment (LIA)

หากเลือกใช้ Legitimate Interest ต้องทำ LIA 3 ขั้นตอน:

  1. Purpose Test — ระบุประโยชน์ทางธุรกิจที่ชอบด้วยกฎหมาย
  2. Necessity Test — พิสูจน์ว่าไม่มีวิธีอื่นที่กระทบสิทธิ์น้อยกว่า
  3. Balancing Test — ชั่งน้ำหนักผลกระทบต่อเจ้าของข้อมูล

เก็บเอกสาร LIA ไว้เป็นลายลักษณ์อักษร เพราะ สคส. มีสิทธิ์ขอตรวจสอบได้ตลอดเวลา ตาม แนวปฏิบัติของ PDPC Thailand

ข้อควรระวังเรื่อง Sensitive Data

ข้อมูลอ่อนไหวตาม ม.26 (เชื้อชาติ ศาสนา สุขภาพ ความคิดเห็นทางการเมือง ฯลฯ) ต้องใช้ Consent เป็น explicit เท่านั้น ห้ามใช้ฐานอื่น — marketer ในกลุ่ม healthcare, insurance, finance ต้องระวังเป็นพิเศษ

Consent Design — ออกแบบ Consent ให้ถูกกฎหมายและไม่ทำลาย Conversion

Consent ที่ “ถูกกฎหมาย” ตาม PDPA ม.19 ต้องมี 6 คุณสมบัติ ครบ — Specific, Informed, Unambiguous, Freely Given, Granular, Withdrawable การออกแบบที่ผิดบ่อย เช่น pre-ticked checkbox, bundled consent (“ฉันยอมรับทุกข้อ”) หรือ consent ที่ “บังคับ” เพื่อแลกบริการ ถือเป็น invalid consent ตามคำวินิจฉัย สคส. ปี 2024

Granular Consent ที่ดีต้องแยก 3 ระดับ

PDPA Marketing — คู่มือสำหรับทีม Marketer ไทย ปี 2026 — แผนภาพที่ 2

Best Practices ที่ Adsitec แนะนำ

  • แยก consent ตามวัตถุประสงค์ — email marketing, SMS, retargeting ต้องแยกกัน
  • Plain language — ใช้ภาษาที่คนทั่วไปเข้าใจ ไม่ใช่ legalese
  • Easy withdrawal — มีปุ่ม unsubscribe ใน 1 คลิก ไม่ต้อง login
  • Audit trail — บันทึก timestamp, IP, version ของ consent form, URL ที่ submit
  • Re-consent ทุก 12-24 เดือน สำหรับ inactive subscriber

ผลกระทบต่อ Conversion Rate

จากการทดสอบของทีม Adsitec กับลูกค้า B2B SaaS 12 ราย — form ที่ออกแบบ consent แบบ granular และโปร่งใส มี conversion rate ลดลงเฉลี่ย 8-12% แต่ lead quality สูงขึ้น 35-40% วัดจาก SQL-to-MQL ratio เพราะคนที่ตั้งใจ opt-in คือคนที่สนใจจริง ดูเทคนิคการเก็บ first-party data ที่มี consent ครบใน Server-side Tracking Guide 2026

Cookie Consent & Pixel Tracking — จุดที่ Marketer พลาดบ่อยที่สุด

Cookie consent banner เป็นจุดที่ตรวจสอบง่ายที่สุดและ สคส. กับ คณะกรรมการคุ้มครองผู้บริโภค (สคบ.) เริ่มสุ่มตรวจตั้งแต่ Q4/2024 — เว็บไซต์ B2B ไทยที่ตรวจพบใน 100 อันดับแรกของ Google 62% ยังตั้ง cookie banner ผิด โดยเฉพาะการยิง pixel ก่อนได้ consent

หลักการ “Block-then-Fire”

Cookie banner ต้อง block tag ทุกตัวที่ไม่ใช่ strictly necessary ก่อนผู้ใช้ accept — ไม่ใช่ยิงทันทีแล้วค่อยให้เลือก opt-out ภายหลัง วิธี implement ที่ถูกต้อง:

  1. ตั้ง Consent Mode v2 ใน GTM (default = denied)
  2. ใช้ CMP ที่ผ่าน IAB TCF v2.2 เช่น Cookiebot, OneTrust, Usercentrics
  3. Trigger tags ทั้งหมดด้วย Consent State variable
  4. ส่งสัญญาณ consent ไปยัง Meta CAPI และ Google Enhanced Conversions

Categories ที่ต้องแยกใน Banner

Category ตัวอย่าง ต้องขอ Consent?
Strictly Necessary Session cookie, CSRF token ไม่ต้อง
Analytics GA4, Hotjar, Microsoft Clarity ต้องขอ
Marketing Meta Pixel, Google Ads, TikTok Pixel ต้องขอ
Personalization A/B testing, recommendation engine ต้องขอ

ดูวิธี implement Consent Mode v2 ใน GTM ที่ Google Tag Manager Documentation และวิธี integrate กับ Meta CAPI ใน Facebook Pixel + CAPI Setup 2026

Server-Side Tracking ช่วยเรื่อง PDPA อย่างไร

Server-side GTM ช่วยให้ marketer filter PII ออกก่อนส่งไป third-party — เช่น hash email ก่อนส่งเข้า Meta CAPI หรือ strip query parameter ที่มี PII ออกจาก URL ก่อนส่งเข้า GA4 ลด exposure ของข้อมูลส่วนบุคคลและช่วยให้ผ่าน DPIA (Data Protection Impact Assessment) ง่ายขึ้น

Data Subject Rights — Workflow รับมือคำขอจากเจ้าของข้อมูล

ตาม PDPA เจ้าของข้อมูลมีสิทธิ์ 8 ประการ และต้องตอบสนองภายใน 30 วัน (ขยายได้อีก 60 วันถ้าซับซ้อน) ทีม marketing ควรมี workflow ที่ทำงานร่วมกับ DPO และ IT ได้

สิทธิ์ 8 ประการที่ Marketer ต้องรู้

  1. สิทธิ์ได้รับแจ้ง (Right to be informed)
  2. สิทธิ์เข้าถึง (Right to access)
  3. สิทธิ์โอนย้าย (Right to data portability)
  4. สิทธิ์คัดค้าน (Right to object) — สำคัญสำหรับ marketing
  5. สิทธิ์ลบ (Right to erasure / be forgotten)
  6. สิทธิ์ระงับการใช้ (Right to restriction)
  7. สิทธิ์แก้ไข (Right to rectification)
  8. สิทธิ์ถอนความยินยอม (Right to withdraw consent)

Workflow มาตรฐาน

  • รับคำขอผ่าน form กลาง (ไม่ใช่ DM IG/LINE)
  • ยืนยันตัวตนด้วย email ที่ลงทะเบียนไว้
  • ส่งเรื่องเข้า ticket system พร้อม SLA 30 วัน
  • ลบ/แก้ไขข้อมูลใน ทุกระบบ ที่เก็บไว้ (CRM, ESP, Ad platforms, Analytics, Data warehouse)
  • ส่งหลักฐานการดำเนินการกลับให้ผู้ขอ
  • เก็บ log ไว้พิสูจน์ compliance

อ่านเรื่อง data architecture ที่รองรับสิทธิ์เหล่านี้ใน MarTech Analytics & Tracking Guide

ผิดพลาดที่พบบ่อยใน PDPA Marketing

จากการ audit ลูกค้า B2B ของ Adsitec กว่า 30 ราย พบ 5 ความผิดพลาดที่เจอซ้ำๆ:

  1. Pre-ticked consent checkbox — กฎหมายชัดว่า consent ต้องเป็น affirmative action ไม่ใช่ default tick → แก้: เปลี่ยนเป็น unchecked ทุก field
  2. Bundled consent — รวม “ยอมรับนโยบายความเป็นส่วนตัว + รับข่าวสาร” เป็นช่องเดียว → แก้: แยก checkbox ตามวัตถุประสงค์
  3. ยิง Pixel ก่อน Consent — Meta Pixel ทำงานทันทีที่หน้าโหลด → แก้: ตั้ง Consent Mode v2 + default deny ใน GTM
  4. Cold email B2B ไม่มี LIA — ส่ง outreach โดยไม่มีเอกสารชั่งน้ำหนัก → แก้: ทำ LIA เป็นลายลักษณ์อักษรก่อนเริ่ม campaign
  5. ไม่มี Data Retention Policy — เก็บ lead ไว้ตลอดกาลใน CRM → แก้: กำหนด retention period (เช่น 24 เดือนถ้าไม่มี activity) และ auto-delete

Real-world Example

📌 Placeholder: ตัวอย่างเคสจริงจากลูกค้า Adsitec จะอัปเดตในเวอร์ชันถัดไป — ปัจจุบันอยู่ระหว่างขอ approval จากลูกค้าเพื่อเปิดเผยตัวเลขและรายละเอียด workflow การปรับ consent flow ที่เพิ่ม first-party opt-in rate จาก 23% เป็น 58% โดยไม่กระทบ MQL volume

FAQ

Q1: ถ้าเก็บแค่ business email (เช่น [email protected]) ยังต้องขอ consent ไหม?
ตามแนวปฏิบัติ สคส. ปี 2023 business email ที่ระบุตัวบุคคลได้ ยังถือเป็น Personal Data — แต่สามารถใช้ฐาน Legitimate Interest สำหรับ B2B outreach ได้ถ้าทำ LIA และให้สิทธิ์ opt-out ทันที

Q2: Meta Custom Audience ที่ upload email list ผิดกฎหมายไหม?
ผิดถ้าไม่ได้แจ้งใน privacy policy ว่าจะนำ email ไปใช้กับ ad platform — ต้องระบุชัดในขั้นตอนเก็บ consent และให้ withdraw ได้ ดูเพิ่มที่ Meta Ads Guide Thailand

Q3: ถ้าใช้ tool ต่างประเทศ (HubSpot, Mailchimp) ต้องทำ Cross-Border Transfer Agreement ไหม?
ต้อง — ตาม ม.28 หากประเทศปลายทางไม่มีมาตรฐานคุ้มครองเทียบเท่า ต้องมี Standard Contractual Clauses (SCCs) หรือ Binding Corporate Rules

Q4: Cookie consent banner ต้องแสดงทุกครั้งที่เข้าเว็บไหม?
ไม่ต้อง — แสดงครั้งแรก และเก็บ consent ไว้ 6-12 เดือน หลังจากนั้นต้อง re-prompt ใหม่

Q5: ถ้าฝ่าฝืน PDPA โทษหนักแค่ไหน?
โทษปกครองสูงสุด 5 ล้านบาท/กรณี โทษอาญาสูงสุด 1 ปี/ปรับ 1 ล้านบาท และต้องชดเชยทางแพ่งให้เจ้าของข้อมูลด้วย

สรุป + ขั้นตอนต่อไป

PDPA Marketing ไม่ใช่ภาระ compliance แต่เป็น competitive advantage ในยุคที่ third-party cookie กำลังจะหายไป — ทีมที่สร้าง consent infrastructure ที่ดีจะมี first-party data คุณภาพสูงและพร้อมรับ AI-driven marketing ปี 2026 ได้ดีกว่าคู่แข่ง

3 Takeaways หลัก:

  1. เลือก Lawful Basis ให้เหมาะกับ use case — อย่าพึ่ง consent อย่างเดียว
  2. ออกแบบ Granular Consent + Block-then-Fire สำหรับ cookie tracking
  3. มี Workflow รับมือ Data Subject Rights ที่ทำงานร่วมกัน 3 ทีม (Marketing, IT, Legal)

ขั้นตอนต่อไป — เริ่มจาก audit ปัจจุบันของคุณ เริ่มที่ MarTech Analytics & Tracking Guide เพื่อเข้าใจ data flow ทั้งหมด แล้วค่อยอ่าน Server-side Tracking Guide 2026 เพื่อยก privacy posture และดูภาพรวมที่ Guides Hub ของ Adsitec