พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ให้สิทธิเจ้าของข้อมูลทำอะไรได้บ้าง

31 ม.ค. 2565 | 10:15 น.

พลิกกฎหมาย PDPA พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล มีผลบังคับใช้ 1 มิ.ย.65 ให้สิทธิเจ้าของข้อมูลทำอะไรได้บ้าง ดูเลย

ที่ผ่านมาเราได้ทำความรู้จักและทราบถึงสาระสำคัญของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562  หรือ กฎหมาย PDPA ที่จะมีผลบังคับใช้ในวันที่ 1 มิถุนายน 2565 กันไปแล้ว วันนี้จะพาไปดูกันว่า กฎหมายฉบับนี้มีการรับรองสิทธิของเรา ในฐานะที่เป็น "เจ้าของข้อมูลส่วนบุคคล" อย่างไรบ้าง

 

กฎหมาย PDPA กำหนดให้ เจ้าของผู้ข้อมูลส่วนบุคคลได้รับสิทธิตามกฎหมายฉบับนี้ ดังนี้

 

1.สิทธิการได้รับแจ้ง (Right to be Informed) มาตรา 23  *เป็นสิทธิที่ เจ้าของข้อมูลส่วนบุคคล ทุกคนได้รับโดยไม่ต้องมีการร้องขอ* ซึ่งตามกฎหมายแล้ว ผู้ควบคุมข้อมูลส่วนบุคคล จะต้องแจ้งวัตถุประสงค์และรายละเอียดของการประมวลผลข้อมูลส่วนบุคคล (หมายถึง การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล) ให้เจ้าของข้อมูลส่วนบุคคลนั้นทราบ ไม่ว่าจะด้วยวิธีการใดก็ตามเพื่อให้เจ้าของข้อมูลส่วนบุคคลรู้ว่า ข้อมูลของตนจะถูกนำไปใช้ทำอะไร โดยรายละเอียดการแจ้งให้ทราบนั้นอย่างน้อยต้องมี 4-5 ประการ ดังนี้

  • เก็บข้อมูลอะไรบ้าง
  • เก็บไปทำไม
  • เก็บนานแค่ไหน
  • ส่งต่อข้อมูลให้ใคร
  • ช่องทางติดต่อผู้ควบคุมข้อมูล

นอกจากนี้ในกฎหมายฉบับนี้ มาตรา 25 ยังกำหนดไว้ด้วยว่า *หากเก็บรวบรวมข้อมูลจากแหล่งอื่นก็ต้องแจ้งเจ้าของข้อมูลทราบด้วย และ*กรณีมีการแก้ไขวัตถุประสงค์ในภายหลังจะต้องแจ้งให้ทราบหากวัตถุประสงค์ที่แก้ไขนั้นมีความแตกต่างไปจากวัตถุประสงค์เดิม

หาก ผู้ควบคุมข้อมูลส่วนบุคคล ไม่ปฏิบัติตามกฎหมายแจ้งรายละเอียดให้เจ้าของข้อมูลทราบ ถือเป็นความผิดตามพระราชบัญญัติฉบับนี้ โดยมีบทลงโทษเป็นโทษปรับทางปกครองไม่เกิน 1,000,000 บาท (มาตรา 82)

 

2. สิทธิในการเพิกถอนความยินยอม (Right to Withdraw Consent) 

ตามกฎหมาย PDPA มาตรา 19 กำหนดให้ เจ้าของข้อมูลส่วนบุคคล มีสิทธิที่จะเพิกถอนความยินยอมเมื่อใดก็ได้ *ในกรณีที่เป็นการเก็บรวบรวมข้อมูลจากการให้ความยินยอม (Consent) โดยการเพิกถอนความยินยอมจะอยู่ในรูปแบบใดก็ได้ เช่น ทางอิเล็กทรอนิกส์ หรือทำเป็นเอกสารลายลักษณ์อักษร โดยการเพิกถอนจะต้อง มีความชัดเจน เข้าใจง่าย และไม่ยากไปกว่าการขอความยินยอม

และเมื่อ ผู้ควบคุมข้อมูลส่วนบุคคล ได้รับคำขอการเพิกถอนจากเจ้าของข้อมูลแล้วจะต้อง "แจ้งถึงผลกระทบ" จากการถอนความยินยอมและ "หยุดการประมวลผล"

*กรณีการขอถอนความยินยอมโดยผู้เยาว์ให้เป็นไปตามหลักเกณฑ์ในการขอความยินยอม และ การถอนความยินยอมไม่ส่งผลกระทบต่อการประมวลผล ที่ให้ความยินยอมไปแล้ว 

หาก ผู้ควบคุมข้อมูลส่วนบุคคล ไม่แจ้งถึงผลกระทบจากการถอนความยินยอม ต้องระวางโทษปรับทางปกครองไม่เกิน 1,000,000 บาท (มาตรา 82)

3.สิทธิในการเข้าถึงข้อมูลส่วนบุคคล (Right of Access) 

กฎหมาย PDPA มาตรา 30 กำหนดให้ เจ้าของข้อมูลส่วนบุคคล มีสิทธิที่จะขอเข้าถึงข้อมูลที่เกี่ยวกับตนได้ใน 2 กรณีด้วยกัน คือ 

  • ขอเข้าถึงและขอรับสำเนาข้อมูลที่เกี่ยวกับตน
  • ขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลที่ตนไม่ได้ให้ความยินยอม

เมื่อได้รับคำขอแล้ว ผู้ควบคุมข้อมูลส่วนบุคคล ต้องจัดเตรียมข้อมูลที่เกี่ยวข้องตามคำขอให้ เจ้าของข้อมูล โดยไม่ชักช้า (ไม่เกิน 30 วัน นับแต่ที่ได้รับคำขอ)

อย่างไรก็ดี กฎหมายกำหนดให้ ผู้ควบคุมข้อมูล สามารถปฏิเสธคำขอได้ใน 2 กรณี คือ

  • เป็นการปฏิเสธตามกฎหมายหรือคำสั่งศาล
  • คำขอจาก เจ้าของข้อมูลส่วนบุคคล นั้นส่งผลกระทบต่อสิทธิและเสรีภาพของบุคคลอื่น

*หากมีการปฏิเสธคำขอจะต้องทำบันทึกรายการเกี่ยวกับการปฏิเสธด้วย หากปรากฏว่า ผู้ควบคุมข้อมูลส่วนบุคคล ไม่ปฏิบัติตามคำขอต้องระวางโทษปรับทางปกครองไม่เกิน 1,000,000 บาท (มาตรา 82)

 

4.สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง (Right to Rectification)

ตามกฎหมาย เจ้าของข้อมูลส่วนบุคคล สามารถยื่นคำร้องขอแก้ไขข้อมูลส่วนบุคคลที่เกี่ยวกับตนได้ เมื่อเห็นว่า ข้อมูลส่วนบุคคลของตนไม่ถูกต้องหรือไม่สมบูรณ์ และเมื่อ ผู้ควบคุมข้อมูล ได้รับคำร้องขอแก้ไขข้อมูลส่วนบุคคลจะต้องดำเนินการแก้ไขให้ "ถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด"  

*ถึงแม้ว่าไม่มีการร้องขอจากเจ้าของข้อมูลก็ตามแต่การแก้ไขข้อมูลส่วนบุคคลก็เป็นหน้าที่ตามกฎหมายของ ผู้ควบคุมข้อมูล

หาก ผู้ควบคุมข้อมูล ปฏิเสธคำร้องขอแก้ไขข้อมูลจะต้องบันทึกรายการและเหตุผลการปฏิเสธไว้ด้วย ตามมาตรา 39 และเจ้าของข้อมูลมีสิทธิร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญเพื่อสั่งให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการได้ ตามมาตรา 34 วรรคสอง ได้

 

5.สิทธิในการลบข้อมูลส่วนบุคคล (Right to be Forgotten) 

กฎหมายกำหนดให้ เจ้าของข้อมูลส่วนบุคคล มีสิทธิยื่นคำร้องขอลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลไม่สามารถระบุถึงตนได้ ตามเงื่อนไขที่กฎหมายกำหนด โดยกรณีที่เจ้าของข้อมูลส่วนบุคคลขอใช้สิทธิได้ มีดังนี้

  • ข้อมูลหมดความจำเป็นในการประมวลผลตามวัตถุประสงค์
  • ถอนความยินยอมในการใช้ข้อมูล (กรณีนี้ต้องปรากฏว่า มีการเก็บข้อมูลตามฐานความยินยอม มาตรา 24)
  • ข้อมูลถูกใช้ประมวลผลโดยไม่ถูกกฎหมาย

กรณีที่กฎหมายยกเว้นการใช้สิทธิดังกล่าวได้ ดังนี้

  • เป็นข้อมูลที่เกี่ยวกับเสรีภาพในการแสดงความคิดเห็น
  • เป็นข้อมูลที่เกี่ยวกับการทำวิจัย หรือสถิติ หรือเพื่อสาธารณะประโยชน์
  • เป็นข้อมูลที่กฎหมายระบุให้เก็บ

ในกรณีที่มีการส่งต่อหรือเปิดเผยข้อมูลนั้นต่อสาธารณะแล้ว ผู้ควบคุมข้อมูลต้องดำเนินการแจ้งให้ลบข้อมูลดังกล่าวด้วย หากผู้ควบคุมข้อมูลไม่ดำเนินการตามคำร้องขอ เจ้าของข้อมูลมีสิทธิร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญเพื่อสั่งให้ผู้ควบคุมข้อมูลดำเนินการได้

 

นอกจากนี้กฎหมายยังให้ สิทธิกับผู้เป็นเจ้าของข้อมูล กรณีการห้ามมิให้ประมวลผลข้อมูลส่วนบุคคล (Right to Restrict of Processing), สิทธิในการให้โอนย้ายข้อมูลส่วนบุคคล (Right of Data Portability) และสิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล (Right to Object) ด้วย  

 

ที่มา : กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม