รู้หรือไม่เราก็มีสิทธิในฐานะเจ้าของข้อมูลส่วนบุคคล ตามกฎหมาย PDPA นะ

ข้อมูลส่วนบุคคล และสิทธิส่วนตัวของเรา เป็นสิ่งที่ทุกคนให้ความสำคัญเป็นอันดับแรกๆ และชัวร์ว่าข้อมูลบุคคลของเราจะต้องปลอดภัย และเป็นไปตามระเบียบข้อกฎหมายต่างๆ แน่นอนว่า เราในฐานะผู้เป็นเจ้าของข้อมูลส่วนบุคคลจำเป็นต้องทราบสิทธิ  ที่จะได้รับความคุ้มครอง ได้รับการปกป้องข้อมูลให้ปลอดภัย มีสิทธิที่จะให้ความยินยอม มีสิทธิที่จะยกเลิกเมื่อใดก็ได้ รวมถึงสามารถเข้าไปแก้ไข หรือขอให้แก้ข้อมูลของตนได้ ซึ่งในวันนี้เราจะพาทุกคนไปทำความรู้จักกับ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล  หรือ PDPA เรื่องของข้อมูลส่วนบุคคล และสิทธิในข้อมูลส่วนบุคคล เพื่อให้ผู้อ่านเข้าใจและเตรียมความพร้อมในการใช้สิทธิของตัวเอง

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล 2562 หรือ PDPA เป็นกฏหมายที่มีต้นแบบมาจาก กฏหมายคุ้มครองสิทธิส่วนบุคคลสหภาพยุโรป ที่มีชื่อว่า GDPR โดย พ.ร.บ.นี้จัดตั้งเพื่อคุ้มครองข้อมูลส่วนบุคคลให้ปลอดภัย ไม่ให้เกิดการละเมิดสิทธิ โดยหากมีการรั่วไหล ถูกดัดแปลง หรือถูกนำไม่ใช้โดยไม่ได้รับการยินยอม ผู้เสียหายสามารถร้องเรียนเพื่อเอาผิดได้ โดยมีผลบังคับใช้ในไทยวันที่ 1 มิถุนายน 2565

อะไรคือข้อมูลส่วนบุคคล หรือ Personal Data ?

ตามมาตรา 6 ใน พระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นข้อมูลที่เกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลของเจ้าของข้อมูลได้ ไม่ว่าจะทางตรง หรือทางอ้อม

• ข้อมูลส่วนบุคคลทางตรง เช่น ชื่อ สกุล อายุ เลขบัตรประชาชนสิบสามหลัก ที่อยู่ เบอร์โทรศัพท์ ฯลฯ
• ข้อมูลส่วนบุคคลทางอ้อม คือข้อมูลที่จะนำไปแยกแยะได้ว่าเราคือใคร และเอาไปใช้ติดตาม หรือข้อมูลนั้นมีความสามารถในการเชื่อมโยงกับข้อมูลอื่นๆ  แล้วบอกได้ว่าใครเป็นใคร เช่น บัตรเติมน้ำมันที่ปั๊มใด ละแวกใด หรือการตรวจสอบการขึ้นลงไฟ การเดินทางไปสถานีใดบ้าง ใช้บัตรเป็นรายวัน หรือรายเดือน

การที่ ผู้ควบคุมข้อมูลหรือ Data Controller จะนำข้อมูลไปใช้ได้นั้น จะต้องได้รับความยินยอม หรือมีฐานทางกฎหมายที่เหมาะสม 7 ข้อ เมื่อ ผู้ควบคุมข้อมูลเอาข้อมูลเอาไปใช้แล้ว เราในฐานะเจ้าของข้อมูลมีสิทธิในข้อมูลดังนี้

1. สิทธิได้รับการแจ้งให้ทราบ (มาตรา 23)

• เจ้าของข้อมูลมีสิทธิได้รับแจ้งเกี่ยวกับรายละเอียดการเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคล โดยผู้ควบคุมข้อมูล (data controller) จำเป็นต้องแจ้งถึงวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคลที่เก็บรวบรวม ระยะเวลาในการเก็บรวบรวม ช่องทางในการติดต่อผู้ควบคุมข้อมูลส่วนบุคคล เป็นต้น

2. สิทธิในการถอนความยินยอม (มาตรา 19)

• เจ้าของข้อมูลจะมีสิทธิในการถอนความยินยอมได้เมื่อมีการประมวลผลข้อมูลโดยใช้ฐานความยินยอมเท่านั้น โดยเจ้าของข้อมูลจะถอนความยินยอมเมื่อใดก็ได้ไม่มีข้อจำกัดสิทธิ และวิธีการถอนความยินยอมต้องง่ายในระดับเดียวกับวิธีการขอความยินยอม

3. สิทธิขอเข้าถึงข้อมูลส่วนบุคคล (มาตรา 30)

• เจ้าของข้อมูลมีสิทธิที่จะเข้าถึง และขอสำเนาข้อมูลส่วนบุคคลของตนเองได้เท่าที่ต้องการ ซึ่งจะอยู่ในการรับผิดชอบของผู้ควบคุมข้อมูล (Data controller)

4. สิทธิในการขอให้โอนข้อมูลส่วนบุคคล (มาตรา 31)

• เจ้าของข้อมูลมีสิทธิในการถ่ายโอนข้อมูลส่วนบุคคลไปยังผู้ควบคุมข้อมูลแผนกอื่นได้ แต่จะใช้ไม่ได้ก็ต่อเมื่อ การโอนถ่ายข้อมูลนั้นเป็นการละเมิดสิทธิส่วนบุคคลของคนอื่น
• เว้นเสียแต่ข้อมูลนั้นอยู่ในฐานที่กฎหมายบังคับเก็บ หรือข้อมูลนั้นเป็นประโยชน์ต่อสาธารณะ

5. สิทธิขอให้ลบ หรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคล (มาตรา 33)

• เจ้าของข้อมูลมีสิทธิร้องขอให้ผู้ควบคุมข้อมลูลให้ลบ หรือทำลายข้อมูลฯ ได้ในกรณีต่อไปนี้
• ข้อมูลส่วนบุคคลนั้นไม่มีความจำเป็นในการประมวลผลตามวัตถุประสงค์
• เจ้าของข้อมูลมีความประสงค์ขอถอนความยินยอม และผู้ควบคุมข้อมูลไม่มีฐานอื่นในการประมวลผลต่อไป
• เจ้าของข้อมูลใช้สิทธิคัดค้านการประมวลผลข้อมูลส่วนบุคคล และผู้ควบคุมข้อมูลไม่มีฐานอื่นในการประมวลผลต่อไป

6. สิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคล (มาตรา 34)

• สิทธิในการระงับการประมวลผลข้อมูลส่วนบุคคลเป็นสิทธิของเจ้าของข้อมูลที่จะแจ้งให้ผู้ควบคุมข้อมูลระงับการประมวลผลได้ เช่น กรณีที่เจ้าของข้อมูลมีความประสงค์ใช้สิทธิในการแก้ไขข้อมูลให้ถูกต้อง และระหว่างที่ผู้ควบคุมข้อมูลตรวจสอบความถูกต้องของข้อมูล เจ้าของข้อมูลสามารถใช้สิทธิในการระงับการประมวลผลได้

7. สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล (มาตรา 35,36)

• เจ้าของข้อมูลมีสิทธิแก้ไข เพิ่มเติม หรือลบข้อมูลเดิมออกได้ตามแต่สมควรขึ้นอยู่กับโดยผู้ควบคุมข้อมูลไม่มีสิทธิคัดค้าน เว้นแต่ข้อมูลนั้นมีการทำข้อตกลงแต่แรกแล้ว

8. สิทธิในการคัดค้านการประมวลผลข้อมูล

• การใช้สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคลเป็นกรณีที่ผู้ควบคุมข้อมูลอธิบายว่าตนเองมีฐานการประมวลผลหนึ่ง แต่เจ้าของข้อมูลไม่เห็นด้วย จึงสามารถใช้สิทธิคัดค้านการประมวลผลนั้นได้

ในกรณีที่มีความเสียหายเกิดขึ้น เราในฐานะเจ้าของข้อมูลส่วนบุคคล มีสิทธิเรียกร้อง ฟ้องร้องค่าเสียหาย ผ่านคณะกรรมการผู้เชี่ยวชาญ หรือเจ้าหน้าที่ๆรับผิดชอบ เพื่อการพิจารณาข้อเท็จจริง และบังคับตามหน้าที่กฏหมายกำหนด ทั้งนี้โทษทางกฏหมายที่ทำให้ผู้เป็นเจ้าของข้อมูลเสียหาย หรือเสียสิทธิเกี่ยวกับข้อมูลส่วนบุคคล มีดังนี้

1. โทษทางแพ่ง รับผิดชอบตามค่าเสียหายที่เกิดขึ้นจริง และอาจะต้องมีการชดใช้สินไหมทดแทน สูงสุดไม่เกิน 2 เท่าของค่าเสียหายที่แท้จริง
2. โทษทางอาญา ผู้มีอำนาจสูงสุดในองค์กรที่มีความผิดด้านการคุ้มครองข้อมูลส่วนบุคคล อาจได้รับโทษจำคุกไม่เกิน 1 ปี ปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ
3. โทษทางปกครอง ปรับสูงสุดไม่เกิน 5 ล้านบาท โทษปรับนี้เป็นคนละส่วนต่างหากจากการชดใช้ค่าเสียหายทางแพ่งและโทษปรับทางอาญา โดยกรณีที่มีการปรับสูงสุด คือมีการฝ่าฝืนข้อกำหนดที่เกี่ยวกับการใช้ หรือเปิดเผยข้อมูล หรือส่งโอนข้อมูลไปต่างประเทศในส่วนที่เป็น Sensitive Data (ข้อมูลอ่อนไหว ที่ก่อให้เกิดการกลั่นแกล้ง หรือความไม่เท่าเทียม)

เราทุกคนในฐานะเจ้าของข้อมูลส่วนบุคคล จำเป็นต้องรู้ เกี่ยวกับสิทธิของตัวเอง เพื่อที่จะได้รู้ทันว่า เราสามารถขอใช้สิทธิตามข้อกฎหมายได้อย่างไรบ้าง หรือเพื่อรับมือหากเกิดการละเมิดที่เราสามารถเรียกร้อง ฟ้องร้อง ขอชดเชยค่าเสียหายที่เกิดขึ้นได้ นอกจากนั้นยังเป็นแรงกดดัน ขับเคลื่อนองค์กรต่างๆ ให้มีการคุ้มครองข้อมูลส่วนบุคคลให้เป็นไปตามหลักสากล

ชมคลิป – สิทธิของเจ้าของข้อมูลส่วนบุคคลตาม PDPA

หากท่านใดมีความสงสัยว่าข้อมูลส่วนบุคคลของท่าน ถูกประมวลผลอย่างถูกต้องตามระเบียบข้อบังคับกฎหมายหรือไม่ PDPA Thailand  เป็นช่องทางหนึ่งที่จะช่วยให้คำแนะนำด้านการคุ้มครองข้อมูลส่วนบุคคลโดยผู้เชี่ยวชาญด้าน PDPA โดยเฉพาะ >> คลิก!