เมื่อกฎหมาย PDPA หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล เริ่มเข้ามามีบทบาทต่อธุรกิจหลายประเภทมากขึ้น โดยเฉพาะธุรกิจที่ต้องการเก็บข้อมูลส่วนบุคคล ของลูกค้า เพื่อนำไปใช้ทางการตลาดหรือพัฒนาสินค้าในอนาคต นักการตลาดหรือผู้ที่ต้องการเก็บข้อมูลของลูกค้าจะต้องทำความเข้าใจเกี่ยวกับ กฎหมาย PDPA และศึกษาสิทธิที่ของเจ้าของข้อมูลส่วนบุคคลที่พึงมีด้วย ก็จะช่วยให้เราเก็บข้อมูลของลูกค้าได้อย่างถูกต้อง ไม่เป็นการละเมิดสิทธิข้อมูลส่วนบุคคลนั่นเอง
สิทธิของเจ้าของข้อมูลส่วนบุคคล คืออะไร?
กฎหมาย PDPA ไม่เพียงแต่ให้การคุ้มครองข้อมูลส่วนบุคคลให้มีความโปร่งใสและปลอดภัยเท่านั้น แต่ยังให้สิทธิแก่เจ้าของข้อมูลส่วนบุคคลในการควบคุมการประมวลผลข้อมูลส่วนบุคคล ที่ผู้ควบคุมข้อมูลส่วนบุคคลจะดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลของตนได้อีกด้วย ซึ่งในกฎหมายได้ระบุไว้ว่า เจ้าของข้อมูลส่วนบุคคล (Data Subject) สามารถขอใช้สิทธิต่างๆได้นั่นเอง
เจ้าของข้อมูลมีสิทธิอะไรบ้างตามกฎหมาย PDPA บ้าง?
เมื่อเรารู้จักกับสิทธิของเจ้าของข้อมูลส่วนบุคคลแบบเบื้องต้นแล้ว ทีนี้เราก็มาดูกันต่อว่า เจ้าของข้อมูลจะมีสิทธิอะไรบ้าง ตามกฎหมาย PDPA บ้าง?
เพื่อที่เราในฐานะเจ้าของข้อมูลจะได้ใช้ถูกต้อง และเราในฐานะผู้ควบคุมข้อมูลส่วนบุคคล จะได้รับมือและปฎิบัติตามสิทธิของเจ้าของข้อมูลได้อย่างถูกวิธี เพื่อลดความเสี่ยงในการรับโทษภายใต้ PDPA ของเราด้วย
สิทธิของเจ้าของข้อมูลส่วนบุคคลภายใต้ PDPA มีทั้งหมด 7 ข้อดังนี้
1. สิทธิในการถอนความยินยอม (right to withdraw consent)
เจ้าของข้อมูลมีสิทธิที่จะถอนความยินยอมที่เคยให้บริษัทจัดเก็บ รวบรวม หรือใช้ข้อมูลส่วนบุคคลของตนเอง เมื่อไหร่ก็ได้ โดยผู้ควบคุมข้อมูลต้องรับประกันให้การขอถอนความยินยอม ง่ายเหมือนกับวิธีที่ได้รับความยินยอมด้วย
ยกตัวอย่าง ถ้าบริษัทขอความยินยอมในการส่งข่าวสารทางอีเมล ผ่านการกดปุ่ม Subscribe เมื่อเจ้าของข้อมูลต้องการขอถอนความยินยอม ก็ต้องสามารถกดปุ่ม Unsubscribe ได้ทันทีเช่นกัน เป็นต้น
2. สิทธิในการขอเข้าถึงและขอสำเนาข้อมูลส่วนบุคคล (right of access and copy)
เจ้าของข้อมูลมีสิทธิในการขอเข้าถึงข้อมูลและขอรับสำเนาข้อมูลส่วนบุคคลของตัวเองจากบริษัท รวมถึงขอให้บริษัทชี้แจงรายละเอียดและเปิดเผยที่มาของแหล่งข้อมูลชุดนี้ได้เช่นกัน
สำหรับการขอใช้สิทธินี้บริษัทจะมีหน้าที่ในการพิจารณาและดำเนินการตามคำร้องขอ ภายใน 30 วัน นับตั้งแต่วันที่เจ้าของข้อมูลแจ้งมา ไม่เช่นนั้นจะมีโทษปกครองสูงสุด 1 ล้านบาท
3. สิทธิในการขอแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง (right to rectification)
เจ้าของข้อมูลมีสิทธิที่จะขอแก้ไข หรือขอเพิ่มเติมข้อมูลส่วนบุคคลของตนเอง เพื่อให้ถูกต้องและครบถ้วน ซึ่งกรณีดังกล่าวโดยหลักบริษัทต้องดำเนินการตามคำขอได้
4. สิทธิขอให้ลบ หรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ (right to erasure)
หากเจ้าของข้อมูลเห็นว่าข้อมูลที่บริษัทจัดเก็บนั้น ไม่มีความเป็นจำเป็นหรือเป็นข้อมูลที่ประมวลผลโดยไม่ถูกต้อง เจ้าของข้อมูลมีสิทธิที่จะขอให้บริษัททำลายข้อมูลส่วนบุคคลนั้นทั้งหมด หรือลบบางชุดข้อมูลให้ไม่สามารถระบุถึงตัวตนของเจ้าของข้อมูลได้ ในกรณีการขอใช้สิทธินี้ ถ้าบริษัทมีความจำเป็นที่อธิบายได้ว่า บริษัทมีความจำเป็นด้วยฐานใดหนึ่งในการประมวลผลข้อมูลส่วนบุคคลนั้นอยู่ บริษัทก็สามารถแจ้งปฏิเสธการใช้สิทธิเจ้าของข้อมูลได้เช่นกัน
5. สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล (right to object)
กรณีที่บริษัทประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลด้วยฐานประโยชน์อันชอบด้วยกฎหมาย เจ้าของข้อมูลมีสิทธิในการคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของตนเองนั้นเมื่อไหร่ก็ได้ ถ้าหากการเก็บ รวบรวม หรือใช้ข้อมูลนั้น ส่งผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลมากเกินควร
6. สิทธิในการระงับการใช้ข้อมูลส่วนบุคคล (right to restriction of processing)
กรณีอยู่ระหว่างการตรวจสอบเพื่อแก้ไขข้อมูลที่ถูกต้อง หรือหากเป็นข้อมูลส่วนบุคคลที่บริษัทจะต้องลบ หรือทำลายเพราะหมดความจำเป็นแล้ว เจ้าของข้อมูลมีสิทธิในการขอให้บริษัทระงับการใช้ข้อมูลส่วนบุคคลนั้นเป็นการชั่วคราวได้
7. สิทธิในการขอโอนย้ายข้อมูลส่วนบุคคลที่เก็บในรูปแบบอัตโนมัติ (right to data portability)
กรณีข้อมูลส่วนบุคคลเก็บอยู่ในรูปแบบที่สามารถโอนได้โดยอัตโนมัติ เจ้าของข้อมูลสามารถแจ้งขอให้บริษัททำการส่งต่อข้อมูลไปยังบริษัทอีกแห่งได้
บริษัทมีหน้าที่ในการดำเนินการตามคำร้องขอ อย่างไร?
หลักการแรก บริษัทต้องแจ้งสิทธิให้เจ้าของข้อมูลทราบผ่าน Privacy Policy และในกรณีเจ้าของข้อมูลต้องการใช้สิทธิ เจ้าของข้อมูลย่อมสามารถส่งคำร้องขอใช้สิทธิผ่านช่องทางการติดต่อของบริษัทตามที่ระบุไว้ใน Privacy Policy ได้เลย และเมื่อบริษัทได้รับคำร้องขอแล้ว บริษัทก็จะต้องพิจารณาและดำเนินการตามคำร้องอย่างเหมาะสมตามกฎหมาย
ขั้นตอนการดำเนินการตามคำร้องขอข้อมูล (Data Subject Request)
1. กำหนดช่องทางในการแจ้งสิทธิของเจ้าของข้อมูล
ใน เอกสาร Privacy Policy บริษัทจะต้องระบุข้อมูลของบริษัทและเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของบริษัท เพื่อให้เจ้าของข้อมูลส่วนบุคคลสามารถติดต่อและแจ้งคำร้องขอได้ เช่น ที่อยู่บริษัท อีเมล เบอร์โทรศัพท์ เป็นต้น
2. จัดทำแบบฟอร์มคําขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล
เพื่อความชัดเจนและสะดวกในการพิจารณาคำขอใช้สิทธิของเจ้าของข้อมูล บริษัทควรจัดทำแบบฟอร์มคำร้องของให้เจ้าของข้อมูล เพื่อให้เจ้าของข้อมูลสามารถติดต่อและยื่นคำร้องขอได้อย่างถูกต้อง และเพื่อให้ง่ายต่อการส่งต่อเรื่องให้แก่หน่วยงานที่รับผิดชอบ เพื่อดำเนินการกับคำร้องขอข้อมูลนี้ทันที
3. ตรวจสอบตัวตนของเจ้าของข้อมูล
หลังจากที่บริษัทได้รับรายละเอียดเกี่ยวกับคำร้องขอจากเจ้าของข้อมูลเรียบร้อยแล้ว บริษัทต้องตรวจสอบตัวตนของเจ้าของข้อมูลว่า เป็นบุคคลเดียวกันที่เป็นเจ้าของข้อมูลที่ขอใช้สิทธิหรือไม่ โดยสามารถแจ้งให้เจ้าของข้อมูลส่งรายละเอียดเพิ่มเติม เพื่อยืนยันตัวตนได้เช่นกัน
4. พิจารณาว่าบริษัทมีเหุตที่จะปฏิเสธคำร้องขอหรือไม่?
เมื่อได้รับข้อมูลการขอใช้สิทธิจากเจ้าของข้อมูล บริษัทต้องพิจารณาคำร้องขอ เพื่อดูว่า บริษัทมีเหตุตามกฎหมายในการ ปฏิเสธคำร้องขอของเจ้าของข้อมูลได้อย่างไรบ้าง หรือบริษัทต้องดำเนินการ ก่อนที่จะประสานงานภายในเพื่อดำเนินการตามคำขอ
หากพิจารณาแล้วเห็นว่าเราสามารถดำเนินการตามคำร้องได้ บริษัทก็สามารถดำเนินการได้ทันที รวมถึงบริษัทอาจคิดค่าใช้จ่ายในการดำเนินการก็ได้ (หากค่าใช้จ่ายไม่สูงจนเป็นการขัดขวางคำร้องขอนั้น)
5. แจ้งผลการพิจารณาดำเนินการตามสิทธิที่ร้องขอ
เมื่อบริษัทพิจารณาตามข้อมูลที่ได้รับทั้งหมด แล้วไม่ว่าจะตอบรับหรือปฏิเสธ บริษัทจะต้องติดต่อแจ้งเจ้าของข้อมูลทราบ พร้อมด้วยเหตุผลการปฏิเสธ หรือการดำเนินการใดที่ได้ดำเนินการตามคำขอดังกล่าว
6. บันทึกการขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล
ขั้นตอนสุดท้าย หากบริษัทได้ทำการตรวจสอบตัวตนของผู้ยื่นคำร้องขอแล้ว บริษัทจะต้องบันทึกข้อมูลการขอใช้สิทธิ พร้อมทั้งรายละเอียดของผู้ขอใช้สิทธิ เพื่อเก็บเป็นหลักฐานสำหรับการพิสูจน์การตอบรับสิทธิที่บริษัทได้ดำเนินการ โดยเฉพาะเป็นหลักฐานสำคัญในกรณีการโต้แย้งปกป้องสิทธิของบริษัทกรณีมีการฟ้องร้องคดีในอนาคตอีกด้วย
จบไปแล้วกับสาระน่ารู้เกี่ยวกับสิทธิของเจ้าของข้อมูลส่วนบุคคล ที่บริษัทหรือผู้ประกอบการจำเป็นต้องรู้ และรับมือ เพื่อให้เราสามารถวางแผนและจัดการกับข้อมูลส่วนบุคคลได้อย่างถูกต้อง และไม่ผิดหลักของกฎหมาย PDPA อีกด้วย
อ่านบทความที่น่าสนใจเกี่ยวกับกฎหมาย PDPA ได้ที่
PDPA คืออะไร? – สรุป PDPA เกี่ยวกับธุรกิจที่คุณควรรู้! ฉบับเข้าใจง่าย
Privacy Policy คืออะไร แล้วทำไมถึงต้องมี?
คู่มือนายจ้างยุค PDPA: เก็บข้อมูลพนักงาน อย่างไรให้ถูกกฎหมาย PDPA?
หากองค์กรของท่านต้องการปรึกษาเกี่ยวกับการจัดทำ เอกสารนโยบายส่วนบุคคล (Policy Policy) สามารถสร้างเอกสาร Privacy Policy ได้ง่าย ๆ ภายใน 2 นาทีได้ที่แพ็กเกจนี้ ซึ่งรวมเอกสาร PDPA ทุกด้าน สำหรับบริษัทหรือองค์กรที่ต้องการเก็บข้อมูลส่วนบุคคล เริ่มต้นเพียง 1,599 บาท เท่านั้น!
หรือขอคำปรึกษากับทีมกฎหมายผู้เชี่ยวชาญด้านกฎหมาย ชั้นนำของประเทศ!!
ติดต่อทีมกฎหมาย EasyPDPA
Website: https://www.easypdpa.com/pdpa-consultation/
Facebook Page: https://www.facebook.com/EasyPDPA
Email: EasyPDPA@easycompany.asia
อ้างอิงข้อมูลจาก :
Thailand Data Protection Guidelines 3.0