สิทธิของเจ้าของข้อมูลตาม PDPA ที่ผู้ประกอบการควรรู้
ผู้ประกอบการไม่ว่าจะอยู่ในฐานะเจ้าของข้อมูลส่วนบุคคล (Data Subject) หรือ ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) จำเป็นต้องปฏิบัติดังนี้ศึกษาข้อมูลและทำความเข้าใจบทบาทหน้าที่ต่างๆตามกฎหมายกำหนดระเบียบและหลักเกณฑ์ต่าง ๆ ที่ใช้ในองค์กร เพื่อให้สอดคล้องกับกฎหมาย ตลอดจนกำหนดมาตรการในการแก้ปัญหา เพื่อรองรับกรณีที่มีการล่วงละเมิดข้อมูลส่วนบุคคลจัดเตรียมเทคโนโลยี ระบบ หรือโปรแกรมต่างๆที่จะเข้ามาช่วยให้การจัดเก็บข้อมูลส่วนบุคคลสะดวก ง่ายและปลอดภัยมากยิ่งขึ้นให้ความรู้กับบุคลากรภายในองค์กรที่มีส่วนเกี่ยวข้องกับข้อมูลส่วนบุคคลของบุคคลทั้งภายในและภายนอกองค์กร ให้เข้าใจหลักการ จะได้นำไปประยุกต์ใช้การทำงานได้อย่างราบรื่น
ในฐานะเจ้าของข้อมูลส่วนบุคคล มีสิทธิต่างๆ ดังนี้
1. สิทธิที่จะได้รับการแจ้งให้ทราบ (มาตรา 23)
การเก็บรวบรวมข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งรายละเอียดในการเก็บข้อมูล ตลอดจนการนำไปใช้ หรือเผยแพร่ให้เจ้าของข้อมูลทราบก่อนหรือขณะเก็บรวบรวมข้อมูล (ยกเว้นกรณีที่เจ้าของข้อมูลทราบรายละเอียดนั้นอยู่แล้ว เช่น เพื่อนำไปเปิดบัญชี หรือสมัครใช้ผลิตภัณฑ์และบริการต่างๆ) โดยเจ้าของข้อมูลมีสิทธิที่จะทราบวัตถุประสงค์ของการเก็บข้อมูล, การนำไปใช้ หรือเผยแพร่, สิ่งที่ต้องการจัดเก็บ, ระยะเวลาในการเก็บข้อมูล ตลอดจนรายละเอียดของผู้ควบคุมข้อมูลส่วนบุคคล เช่น สถานที่ติดต่อ และวิธีการติดต่อ รวมถึงผลกระทบที่อาจเกิดขึ้นจากการไม่ให้ข้อมูล
2. สิทธิในการขอเข้าถึงข้อมูลส่วนบุคคล (มาตรา 30)
เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตนเองจากผู้ควบคุมข้อมูลส่วนบุคคล รวมถึงสามารถขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลดังกล่าวในกรณีเกิดความไม่แน่ใจว่าตนเองได้ให้ความยินยอมไปหรือไม่ โดยสิทธิการเข้าถึงข้อมูลนั้นต้องไม่ขัดต่อกฎหมายหรือคำสั่งศาล และการใช้สิทธินั้นต้องไม่ละเมิดสิทธิหรือเสรีภาพของบุคคลอื่น
3. สิทธิในการได้รับและโอนถ่ายข้อมูลส่วนบุคคล (มาตรา 28, 31)
ในกรณีที่เจ้าของข้อมูลต้องการนำข้อมูลที่เคยให้ไว้กับผู้ควบคุมข้อมูลรายหนึ่ง ไปใช้กับผู้ควบคุมข้อมูลอีกราย เช่น ผู้ควบคุมข้อมูลส่วนบุคคลรายแรกได้นำข้อมูลส่วนบุคคลของเราไปจัดทำให้อยู่ในรูปแบบต่างๆ ที่เข้าถึงได้ด้วยวิธีการอัตโนมัติ เจ้าของข้อมูลสามารถขอให้ผู้ควบคุมข้อมูลส่วนบุคคลที่จัดทำข้อมูลนั้น ทำการส่งหรือโอนข้อมูลดังกล่าวให้ได้ หรือจะขอให้ส่งไปยังผู้ควบคุมข้อมูลส่วนบุคคลรายอื่นโดยตรงก็สามารถทำได้ หากไม่ติดขัดทางวิธีการและเทคนิค โดยการใช้สิทธินั้นต้องไม่ขัดต่อกฎหมาย สัญญา หรือละเมิดสิทธิเสรีภาพของบุคคลอื่น
4. สิทธิในการคัดค้านการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคล (มาตรา 32)
เจ้าของข้อมูลสามารถคัดค้านการเก็บรวบรวม การใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เมื่อไหร่ก็ได้ รวมถึงสามารถทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ ยกเว้นมีเหตุอันควรทางกฎหมายที่สำคัญจริงๆ เท่านั้น
5. สิทธิในการขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคล (มาตรา 33)
หากผู้ควบคุมข้อมูลส่วนบุคคล นำข้อมูลส่วนบุคคลไปเผยแพร่ในที่สาธารณะ หรือสามารถเข้าถึงได้ง่าย เจ้าของข้อมูลมีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลทำการลบหรือทำลายข้อมูลนั้น หรือทำให้ข้อมูลนั้นไม่สามารถระบุตัวตนได้ โดยผู้ควบคุมข้อมูลต้องเป็นผู้รับผิดชอบดำเนินการทั้งในทางเทคโนโลยีและค่าใช้จ่าย เพื่อให้เป็นไปตามคำขอนั้น
6. สิทธิในการเพิกถอนความยินยอม (มาตรา 19)
กรณีเจ้าของข้อมูลเคยให้ความยินยอมในการใช้ข้อมูลไป ต่อมาเกิดเปลี่ยนใจ ก็สามารถยกเลิกความยินยอมนั้นเมื่อไหร่ก็ได้ โดยการยกเลิกจะต้องไม่ขัดต่อข้อจำกัดสิทธิในการถอนความยินยอมทางกฎหมาย หรือสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคลที่ได้ให้ความยินยอมไปก่อนหน้านี้
7. สิทธิในการขอระงับการใช้ข้อมูลส่วนบุคคล (มาตรา 34)
เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลระงับการใช้ข้อมูลส่วนบุคคล ไม่ว่าจะในกรณีที่เกิดการเปลี่ยนใจไม่ต้องการให้ข้อมูลแล้ว หรือเปลี่ยนใจระงับการทำลายข้อมูลเมื่อครบกำหนดที่ต้องทำลาย เพราะมีความจำเป็นต้องนำข้อมูลไปใช้ในทางกฎหมาย หรือการเรียกร้องสิทธิ ก็สามารถทำได้
8. สิทธิขอให้แก้ไขข้อมูลส่วนบุคคล (มาตรา 35)
เจ้าของข้อมูลมีสิทธิที่จะขอแก้ไขข้อมูลส่วนบุคคลของตนเองให้มีความถูกต้อง เป็นปัจจุบัน และไม่ก่อให้เกิดความเข้าใจผิดได้ โดยการแก้ไขนั้นจะต้องเป็นไปด้วยความสุจริต และไม่ขัดต่อหลักกฎหมาย
ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) มีหน้าที่ดังนี้
ผู้ควบคุมข้อมูลส่วนบุคคล คือ บุคคลหรือนิติบุคคลที่มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเผยแพร่ข้อมูลส่วนบุคคล โดยจะมีหน้าที่ในการดำเนินการดังต่อไปนี้
1. จัดให้มีมาตรการในการรักษาความปลอดภัยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลให้ดี
2. ดำเนินการป้องกันไม่ให้มีการใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอม
3. จัดให้มีการลบหรือทำลายข้อมูลส่วนบุคคลหลังจากพ้นระยะเวลาในการเก็บข้อมูล
4. ในกรณีที่มีการละเมิดข้อมูลส่วนบุคคล ให้ผู้ควบคุมข้อมูลนั้นแจ้งต่อสำนักงานคุ้มครองข้อมูลส่วนบุคคลภายใน 72 ชั่วโมง นับตั้งแต่ทราบเรื่อง
สำหรับผู้ประกอบการที่อยู่ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลจำเป็นต้องจัดจ้างหรือแต่งตั้งบุคคลทำหน้าที่เป็นเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือตำแหน่ง DPO
ในฐานะเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) มีหน้าที่ดังนี้
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล คือ บุคคลที่จะต้องมีความรู้และความเข้าใจเกี่ยวกับกฎหมายข้อมูลส่วนบุคคลและประมวลผลข้อมูลองค์กร โดยจะมีหน้าที่ดังนี้
1. ให้คำแนะนำแก่ผู้ควบคุมข้อมูลหรือผู้ประมวลผลข้อมูลส่วนบุคคล
2. ตรวจสอบและการดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลของผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูล
3. รักษาความลับข้อมูลส่วนบุคคล
4. กรณีมีปัญหาการเก็บรวบรวม ใช้ เปิดเผยข้อมูล เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลจะประสานงานและให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลในการจัดการปัญหาต่างๆ
ในฐานะผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) มีหน้าที่ดังนี้
ผู้ประมวลผลข้อมูลส่วนบุคคล คือ บุคคลหรือนิติบุคคลที่ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล “ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล” โดยที่ผู้ประมวลผลข้อมูลส่วนบุคคลต้องไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล และมีหน้าที่ดังต่อไปนี้
1. ดำเนินการตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น
2. จัดมาตรการรักษาความปลอดภัยของข้อมูลที่เหมาะสม
3. จัดทำ บันทึก และประมวลผลของข้อมูลส่วนบุคคลให้เหมาะสม
ผู้ประกอบการที่องค์กรของท่านมีความเกี่ยวข้องกับข้อมูลส่วนบุคคลยังพอมีเวลาให้เตรียมตัว และวางระบบขององค์กรให้พร้อมสำหรับการทำตามเงื่อนไข เนื่องจาก พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลนี้มีจะมีผลบังคับใช้ตามกฎหมายทั้งฉบับในวันที่ 27 พฤษภาคม 2564
แหล่งที่มา
https://www.scb.co.th/th/personal-banking/stories/tips-for-you/pdpa-rights.html
https://pdpa.pro/blogs/what-are-the-rights-in-pdpa