9 สิทธิที่เจ้าของข้อมูลส่วนบุคคลไม่ควรมองข้าม เมื่อ PDPA บังคับใช้

PDPA 9 สิทธิความเป็นเจ้าของข้อมูลส่วนบุคคล ที่ทุกองค์กรไม่ควรมองข้าม 1

PDPA (Personal Data Protection Act) หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่ได้ประกาศในราชกิจจานุเบกษาไปเมื่อ วันที่ 27 พฤษภาคม 2562 โดยได้มีการระบุให้องค์กรหรือหน่วยงานที่เกี่ยวข้องในการเก็บข้อมูลส่วนบุคคลของประชาชน ไม่ว่าจะเป็นธุรกิจภาคเอกชน หรือหน่วยงานภาครัฐ (บุคคลหรือนิติบุคคล) จะต้องได้รับการยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อนนำไปใช้ทำกิจกรรมใดๆ 

นอกจากสิทธิ์ในการยินยอมให้ข้อมูลส่วนบุคคลที่ทุกองค์กรหรือหน่วยงานต้องคำนึงถึงแล้ว สิทธิของเจ้าของข้อมูลส่วนบุคคลก็เป็นอีกหนึ่งสิ่งสำคัญที่ทุกหน่วยงานควรทราบเช่นกัน เพื่อให้ทุกหน่วยงานได้ปรับเปลี่ยนวิธีการดำเนินงานให้มีความสอดคล้องกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล มากที่สุด

วันนี้เราจะพามาทำความรู้จัก พร้อมอธิบายเพื่อให้เข้าใจง่ายมากขึ้นเกี่ยวกับ “9 สิทธิของเจ้าของข้อมูลส่วนบุคคลที่ทุกหน่วยงานไม่ควรมองข้าม” ตามหลักบัญญัติของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ว่ามีอะไรบ้าง

PDPA Right สิทธิในการได้รับแจ้งให้ทราบ
PDPA Right สิทธิในการขอแก้ไขข้อมูล
PDPA Right สิทธิในการถอนความยินยอม
PDPA Right สิทธิในการขอระงับใช้ข้อมูล
PDPA 9 สิทธิความเป็นเจ้าของข้อมูลส่วนบุคคล ที่ทุกองค์กรไม่ควรมองข้าม 3
PDPA Right สิทธิในการขอรับและโอนย้ายข้อมูล
PDPA Right สิทธิในการคัดค้านการเก็บข้อมูล
PDPA Right สิทธิในการขอให้ลบหรือทำลายข้อมูล
PDPA Right สิทธิในการร้องเรียน

1.สิทธิในการได้รับแจ้งให้ทราบ (Right to be Informed) 

คือ การที่เจ้าของข้อมูลส่วนบุคคลมีสิทธิที่จะได้ทราบว่าจะมีการจัดเก็บข้อมูลอะไรบ้าง วัตถุประสงค์ของการเก็บข้อมูลคืออะไร มีระยะเวลาในการจัดเก็บนานเท่าไหร่ จะมีการส่งต่อข้อมูลให้หน่วยงานใดบ้าง และช่องทางการติดต่อกับผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งหากหน่วยงานมีการแก้ไขวัตถุประสงค์ในการเก็บข้อมูลภายหลังที่แตกต่างไปจากเดิม จะต้องมีการแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบอีกครั้ง หรือหากมีการเก็บรวบรวมข้อมูลจากแหล่งอื่นก็ต้องแจ้งให้เจ้าของข้อมูลทราบด้วยเช่นกัน

2.สิทธิในการแก้ไขข้อมูล (Right to Rectification) 

คือ การที่เจ้าของข้อมูลส่วนบุคคลมีสิทธิที่จะขอแก้ไขข้อมูลส่วนบุคคลของตนเองให้มีความถูกต้อง เป็นปัจจุบันและไม่ก่อให้เกิดความเข้าใจผิดได้ โดยการแก้ไขนั้นจะต้องไม่ขัดต่อหลักกฎหมาย ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลปฏิเสธคำร้องขอแก้ไขข้อมูลจะต้องมีการบันทึกรายการและเหตุผลของการปฏิเสธและเมื่อเจ้าของข้อมูลถูกปฏิเสธการแก้ไข เจ้าของข้อมูลมีสิทธิร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญเพื่อส่งให้ผู้เชี่ยวชาญดำเนินการต่อได้ 

3.สิทธิในการเพิกถอนความยินยอม (Right to Withdraw Consent) 

คือ การที่เจ้าของข้อมูลส่วนบุคคลได้มีการให้ความยินยอมในการใช้ข้อมูลแล้วและต้องการขอเพิกถอนความยินยอม เนื่องจากความกังวลหรือปัจจัยอื่นๆ เจ้าของข้อมูลมีสิทธิที่จะขอเพิกถอนได้ตลอดเวลา โดยการยกเลิกจะต้องไม่ขัดต่อข้อจำกัดสิทธิในการถอนความยินยอมทางกฎหมายหรือสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคลที่ได้ให้ความยินยอมไปก่อนหน้านี้ นอกจากนี้ขั้นตอนจะต้องมีความเข้าใจง่าย ไม่ซับซ้อนและไม่มีการเสียค่าใช้จ่ายเพิ่มเติม เมื่อผู้ควบคุมข้อมูลส่วนบุคคลได้รับคำขอการเพิกถอนจากเจ้าของข้อมูลแล้วจะต้องแจ้งถึงผลกระทบจากการถอนความยินยอมและหยุดการประมวลผล

4.สิทธิในการขอระงับการใช้ข้อมูล (Right to Restrict processing)

คือ การที่เจ้าของข้อมูลมีสิทธิในการร้องขอให้ผู้ควบคุมข้อมูลส่วนบุคคลระงับการใช้ข้อมูลส่วนตัว ไม่ว่าจะในกรณีที่เกิดการเปลี่ยนใจ ไม่ต้องการให้ข้อมูลแล้วหรือเปลี่ยนใจระงับการทำลายข้อมูลเมื่อครบกำหนดที่ต้องทำลายและนอกจากนี้เจ้าของข้อมูลส่วนบุคคลยังมีสิทธิขอให้ผู้ควบคุมข้อมูลระงับการใช้ข้อมูลได้ในกรณที่มีความจำเป็นต้องนำข้อมูลไปใช้ในทางกฎหมายหรือการใช้สิทธิเรียกร้อง ก็สามารถทำได้

5.สิทธิในการข้อเข้าถึงข้อมูล (Right of Access) 

คือ การที่เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตนเอง จากผู้ควบคุมข้อมูลส่วนบุคคลหรือการขอให้เปิดเผยถึงการได้มาของข้อมูลส่วนบุคคลที่เจ้าของข้อมูลไม่แน่ใจว่าได้ให้ความยินยอมไปหรือไม่ 

อย่างไรก็ตาม ผู้ควบคุมข้อมูลสามารถปฏิเสธคำขอได้ในกรณีดังต่อไปนี้

  • เป็นการปฏิเสธตามกฎหมายหรือคำสั่งศาล
  • คำขอจากเจ้าของข้อมูลส่วนบุคคลนั้นส่งผลกระทบต่อสิทธิและเสรีภาพของบุคคลอื่น

ซึ่งหากมีการปฎิเสธคำขอ ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องทำบันทึกรายการเกี่ยวกับการปฎิเสธด้วย

6.สิทธิในการขอรับและให้โอนย้ายข้อมูลส่วนบุคคล (Right of Data Portability) 

คือ การที่เจ้าของข้อมูลส่วนบุคคลต้องการที่จะย้ายข้อมูลส่วนตัวไปยังผู้ควบคุมข้อมูลส่วนบุคคลรายอื่น โดยที่หน่วยงานหรือองค์กรจะต้องอำนวยความสะดวกในการถ่ายโอนข้อมูลดังกล่าวและมีการจัดทำให้ข้อมูลนั้นสามารถอ่านได้ง่าย หรือเข้าถึงได้ง่าย ซึ่งการใช้วิธีการนี้จะต้องไม่ขัดต่อกฎหมาย สัญญาหรือละเมิดสิทธิเสรีภาพของผู้อื่น

7.สิทธิในการขอคัดค้านการเก็บรวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Right to Object) 

คือ การที่เจ้าของข้อมูลส่วนบุคคลสามารถคัดค้านการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลได้ โดยสามารถร้องขอต่อผู้ควบคุมข้อมูลเมื่อไรก็ได้ แต่มีบางกรณีที่เจ้าของข้อมูลไม่สามารถคัดค้านได้ ดังต่อไปนี้

  • ข้อมูลส่วนบุคคลที่ประมวลผลเพื่อวัตถุประสงค์ในการวิจัยทางวิทยาศาสตร์หรือในอดีตหรือวัตถุประสงค์ทางสถิติ
  • เหตุผลอันชอบธรรมที่น่าสนใจสำหรับข้อมูลที่จำเป็นต้องได้รับการประมวลผลซึ่งแทนที่ผลประโยชน์สิทธิและเสรีภาพของแต่ละบุคคลไม่ว่าจะเป็น การเกิดอุบัติเหตุหรือสิทธิประโยชน์ที่จะได้รับจากภาครัฐ

8.สิทธิในการขอให้ลบหรือทำลายข้อมูลส่วนบุคคล (Right to Erasure / Right to be Forgotten) 

คือ การที่เจ้าของข้อมูลส่วนบุคคลยื่นคำร้องขอลบ ทำลายข้อมูลหรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวตนได้ ในกรณีที่ข้อมูลส่วนบุคคลนั้นหมดความจำเป็นในการประมวลผลตามวัตถุประสงค์ ข้อมูลถูกใช้ในทางที่ผิดกฎหมาย ผู้ควบคุมนำข้อมูลไปเผยแพร่ในที่สาธารณะหรือข้อมูลนั้นสามารถเข้าถึงได้ง่าย โดยผู้ควบคุมข้อมูลต้องเป็นผู้รับผิดชอบค่าใช้จ่ายและการดำเนินการนั้น

นอกจากนี้ยังมีข้อยกเว้นในการใช้สิทธิการขอให้ลบ หรือทำลายข้อมูลส่วนบุคคลได้ในบางกรณี เช่น 

  • เป็นข้อมูลที่เกี่ยวกับเสรีภาพในการแสดงความคิดเห็น
  • เป็นข้อมูลที่เกี่ยวกับการทำวิจัย สถิติหรือเพื่อสาธารณะประโยชน์
  • เป็นข้อมูลที่กฎหมายระบุให้เก็บ

9.สิทธิในการร้องเรียน (Right to Complain)

คือ การที่เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องเรียนต่อเจ้าหน้าที่และคณะกรรมการ PDPA ได้ หากผู้ควบคุมข้อมูล ผู้ประมวลผลข้อมูล ฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมาย รวมถึงมีสิทธิในการเรียกค่าสินไหมทดแทนทางศาลได้อีกด้วย

หากเมื่อมีการแจ้งความประสงค์ในสิทธิต่างๆจากเจ้าของข้อมูลส่วนบุคคลแล้ว องค์กรหรือหน่วยงานจะต้องทำตามคำร้องขอให้แล้วเสร็จภายใน 30 วัน นับตั้งแต่วันที่ได้รับคำขอ เพื่อให้เป็นไปตามสิทธิของเจ้าของข้อมูลตามกฎหมายได้อย่างเหมาะสม โดยผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ดูแลระบบจะต้องจัดทำระบบยื่นคำขอรูปแบบต่างๆให้เจ้าของข้อมูลสามารถยื่นคำขอได้ เช่น ให้ติดต่อทางอีเมล เว็บไซต์ โทรศัพท์หรือผ่านการกรอกแบบฟอร์มคำขอ ซึ่งก็ควรออกแบบระบบการยื่นคำร้องให้ง่ายและสะดวกกับเจ้าของข้อมูลที่สุด

ที่มา: PDPA Pro

อ่านเพิ่มเติมเกี่ยวกับหฎหมาย PDPA ที่นี่

Certificate of Data Destruction Standard
PDPA Right of the Data Subject
ทำลายกระดาษ ทำลายเอกสารมีประโยชน์ต่อธุรกิจอย่างไร
ย้ายข้อมูล-windows-mac-คอมเก่า-คอมใหม่
old devices วิธีจัดการคอมพิวเตอร์เก่า
carbon footprint for organization
PDPA พรบ.คุ้มครองข้อมูลส่วนบุคคล บทลงโทษ
data erasure software
Certificate of Data Destruction Standard