รู้หรือไม่? แต่ละบทบาทของผู้ที่เกี่ยวข้องกับ PDPA ต้องทำอะไรบ้าง

    เหนื่อยไหมกับการค้นหาข้อมูลด้วยตัวเองว่า หลักการคุ้มครองจาก PDPA คืออะไร และมีลิสต์อะไรบ้างที่เราจะต้องทำความเข้าใจ รวมถึงมีข้อมูลส่วนไหนบ้างที่ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลจะสามารถนำมาใช้ได้ และเจ้าของข้อมูลจะได้รับสิทธิในเรื่องใดบ้าง มาเรียนรู้ไปพร้อมๆ กัน

PDPA คืออะไร?

PDPA ย่อมาจาก Personal Data Protection Act เป็น พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งให้ความคุ้มครองเกี่ยวกับข้อมูลส่วนบุคคลของแต่ละบุคคล โดยมีการกำหนดรายละเอียด สิทธิ และหน้าที่ของบุคคลที่เกี่ยวข้องเอาไว้อย่างชัดเจน ไม่ว่าจะเป็นสิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject) หน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) และผู้ควบคุมข้อมูลส่วนบุคคล (Data Collector) โดยเราจะพาทุกคนไปรู้ถึงบทบาทและหน้าที่ของผู้เกี่ยวข้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้กัน

ใครเกี่ยวข้องใน PDPA บ้าง

• เจ้าของข้อมูลส่วนบุคคล (Data Subject) คือ บุคคลต่างๆ ที่ข้อมูลเหล่านั้นระบุถึง ไม่ว่าจะเป็นผู้ให้ข้อมูล ผู้ใช้งานเว็บไซต์ รวมไปถึงผู้มีอำนาจกระทำแทนบุคคลต่างๆ ทั้งผู้ปกครอง ผู้อนุบาล และผู้พิทักษ์

• ผู้ควบคุมข้อมูลส่วนบุคคล (Data Collector) คือ บุคคลหรือนิติบุคคลที่มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเผยแพร่ข้อมูลส่วนบุคคล

• ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ บุคคลหรือนิติบุคคลที่ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล

บทบาท หน้าที่ และสิทธิตามที่ได้กำหนดไว้ใน PDPA

ข้อมูลส่วนบุคคล

• บริษัทมีรายละเอียดในการเก็บข้อมูลส่วนบุคคลทุกประเภทที่เก็บรวบรวมเอาไว้ ทั้งแหล่งที่มาของข้อมูล มีการเปิดเผยข้อมูลกับใครบ้าง และระยะเวลาในการเก็บข้อมูลส่วนบุคคลเหล่านั้น

  • ผู้ประมวลผลข้อมูลส่วนบุคคล
  • ผู้ควบคุมข้อมูลส่วนบุคคล

• บริษัทมี Privacy Policy (นโยบายข้อมูลส่วนบุคคล) ที่สามารถเข้าถึงข้อมูลเหล่านั้นได้จากพื้นที่สาธารณะ และมีรายละเอียดเกี่ยวกับการเก็บข้อมูลส่วนบุคคลเอาไว้ทั้งหมด

  • ผู้ประมวลผลข้อมูลส่วนบุคคล
  • ผู้ควบคุมข้อมูลส่วนบุคคล

• Privacy Policy ต้องมีการแจ้งให้ทราบเกี่ยวกับการเก็บข้อมูลว่าเก็บข้อมูลไปเพื่ออะไร และทำไมถึงมีการเก็บข้อมูลเหล่านั้นไป

  • ผู้ควบคุมข้อมูลส่วนบุคคล

ความรับผิดชอบและการจัดการ

• มีการแต่งตั้งผู้คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO)

  • ผู้ประมวลผลข้อมูลส่วนบุคคล
  • ผู้ควบคุมข้อมูลส่วนบุคคล

• จัดให้มีมาตรการในการรักษาความปลอดภัยของข้อมูลที่เหมาะสม เพื่อป้องกันความสูญหาย การเข้าถึง เปลี่ยนแปลง แก้ไขข้อมูลจากบุคคลภายนอก

  • ผู้ประมวลผลข้อมูลส่วนบุคคล
  • ผู้ควบคุมข้อมูลส่วนบุคคล

• มีการตรวจสอบว่ามีระบบรักษาความปลอดภัยของข้อมูลเหล่านั้น

  • ผู้ประมวลผลข้อมูลส่วนบุคคล
  • ผู้ควบคุมข้อมูลส่วนบุคคล

• มีการแจ้งรายงานการละเมิดข้อมูลส่วนบุคคลจากบุคคลภายนอกไปยังหน่วยงานที่เกี่ยวข้องและเจ้าของข้อมูลให้รับทราบ

  • ผู้ประมวลผลข้อมูลส่วนบุคคล
  • ผู้ควบคุมข้อมูลส่วนบุคคล

• มีการทำสัญญากับผู้ประมวลผลข้อมูลส่วนบุคคลในการเปิดเผยข้อมูลระหว่างกัน

  • ผู้ควบคุมข้อมูลส่วนบุคคล

สิทธิในการปฏิบัติตาม

• เจ้าของข้อมูลสามารถขอเข้าถึงข้อมูลส่วนบุคคลของตนได้อย่างง่ายดาย

  • ผู้ประมวลผลข้อมูลส่วนบุคคล
  • ผู้ควบคุมข้อมูลส่วนบุคคล

• เจ้าของข้อมูลสามารถขอแก้ไขข้อมูลส่วนบุคคลได้อย่างง่ายดายเพื่อให้เกิดความถูกต้อง

  • ผู้ประมวลผลข้อมูลส่วนบุคคล
  • ผู้ควบคุมข้อมูลส่วนบุคคล

• สามารถลบข้อมูลธุรกิจที่ไม่ได้ใช้แล้วหรือครบกำหนดระยะเวลาในการเก็บข้อมูลส่วนบุคคลเหล่านั้น

  • ผู้ประมวลผลข้อมูลส่วนบุคคล
  • ผู้ควบคุมข้อมูลส่วนบุคคล

• เจ้าของข้อมูลสามารถขอให้ลบข้อมูลส่วนบุคคลได้อย่างง่ายดาย

  • ผู้ประมวลผลข้อมูลส่วนบุคคล
  • ผู้ควบคุมข้อมูลส่วนบุคคล

• เจ้าของข้อมูลสามารถขอให้ระงับการประมวลผลข้อมูลส่วนบุคคลได้อย่างง่ายดาย

  • ผู้ประมวลผลข้อมูลส่วนบุคคล
  • ผู้ควบคุมข้อมูลส่วนบุคคล

• เจ้าของข้อมูลสามารถขอเข้าถึงและขอรับสำเนาเกี่ยวกับข้อมูลส่วนบุคคลทั้งสำหรับตนเองหรือสำหรับบุคคลที่สามได้อย่างง่ายดาย

  • ผู้ประมวลผลข้อมูลส่วนบุคคล
  • ผู้ควบคุมข้อมูลส่วนบุคคล

• เจ้าของข้อมูลสามารถคัดค้านในการเก็บ รวบรวม ใช้ข้อมูลส่วนบุคคลจากผู้ให้บริการที่อาจจะส่งผลกระทบต่อตัวของเจ้าของข้อมูลได้อย่างง่ายดาย

  • ผู้ควบคุมข้อมูลส่วนบุคคล

การให้ความยินยอม

• การให้ความยินยอมจะต้องตั้งอยู่บนพื้นฐานของเสรีภาพในการให้ความยินยอมและการเพิกถอนการให้ความยินยอม

  • ผู้ควบคุมข้อมูลส่วนบุคคล

• แจ้งรายละเอียดเกี่ยวกับการเก็บข้อมูลส่วนบุคคลไม่ว่าจะเป็นการเก็บข้อมูลทางตรงหรือข้อมูลทางอ้อมก็ตาม

  • ผู้ควบคุมข้อมูลส่วนบุคคล

• Privacy Policy จะต้องมีรายละเอียดและเงื่อนไขที่ชัดเจน สามารถเข้าใจได้อย่างง่ายดาย

  • ผู้ควบคุมข้อมูลส่วนบุคคล

• เจ้าของข้อมูลจะต้องสามารถเพิกถอนการให้ความยินยอมได้อย่างง่ายดาย

  • ผู้ควบคุมข้อมูลส่วนบุคคล

• หากมีการเก็บข้อมูลและประมวลผลข้อมูลส่วนบุคคลของผู้เยาว์ จำเป็นที่จะต้องได้รับความยินยอมจากผู้ใช้อำนาจปกครอง

  • ผู้ควบคุมข้อมูลส่วนบุคคล

• เมื่อมีการอัปเดต Privacy Policy จะต้องมีการแจ้งให้เจ้าของข้อมูลทราบในทุกครั้ง

  • ผู้ควบคุมข้อมูลส่วนบุคคล

กรณีพิเศษ

• มีการขอความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลก่อนที่จะมีการเก็บข้อมูลที่มีความละเอียดอ่อน

  • ผู้ควบคุมข้อมูลส่วนบุคคล

• กรณีที่มีการโอนย้ายหรือส่งข้อมูลส่วนบุคคลไปยังต่างประเทศ จะต้องมีการคุ้มครองข้อมูลเหล่านั้นอย่างเพียงพอ

  • ผู้ประมวลผลข้อมูลส่วนบุคคล
  • ผู้ควบคุมข้อมูลส่วนบุคคล

สิทธิของผู้ใช้

สิทธิที่จะได้รับการแจ้งให้ทราบ:

เกี่ยวกับการเก็บข้อมูลส่วนบุคคล ทั้งเป็นการเก็บข้อมูลที่รวบรวมมาจากผู้ใช้โดยตรงหรือทางอ้อมก็ตาม

• เจ้าของข้อมูลส่วนบุคคล

สิทธิในการขอเข้าถึงข้อมูลส่วนบุคคล:

มีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตนเอง รวมถึงการขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลดังกล่าว

• เจ้าของข้อมูลส่วนบุคคล

สิทธิในการได้รับและโอนถ่ายข้อมูล:

สิทธิ์ในการขอให้ผู้ควบคุมข้อมูลส่วนบุคคลส่งหรือโอนข้อมูลส่วนบุคคลของตนให้กับผู้ควบคุมข้อมูลส่วนบุคคลบุคคลอื่น

• เจ้าของข้อมูลส่วนบุคคล

สิทธิในการคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล:

สามารถทำการคัดค้านเมื่อไหร่ก็ได้ และสามารถทำให้ข้อมูลส่วนบุคคลเหล่านั้นเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้

• เจ้าของข้อมูลส่วนบุคคล

สิทธิในการขอให้ลบ หรือทำลายข้อมูลส่วนบุคคล:

ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลนำข้อมูลส่วนบุคคลไปเผยแพร่ในที่สาธารณะหรือเข้าถึงได้ง่าย สามารถขอให้ผู้ควบคุมข้อมูลส่วนบุคคลส่วนบุคคลทำการลบหรือทำลายข้อมูลนั้นหรือทำให้ข้อมูลนั้นไม่สามารถระบุตัวตนได้

• เจ้าของข้อมูลส่วนบุคคล

สิทธิในการเพิกถอนความยินยอม:

ในกรณีที่เคยให้ความยินยอมในการใช้ข้อมูลส่วนบุคคล แต่ต่อมาเปลี่ยนใจ จะสามารถยกเลิกความยินยอมนั้นเมื่อไหร่ก็ได้

• เจ้าของข้อมูลส่วนบุคคล

สิทธิในการขอระงับการใช้ข้อมูล:

มีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลระงับการใช้ ข้อมูลส่วนบุคคล ไม่ว่าจะในกรณีที่เกิดการเปลี่ยนใจไม่ต้องการให้ข้อมูลแล้ว หรือเปลี่ยนใจระงับการทำลายข้อมูลเมื่อครบกำหนดที่ต้องทำลาย

• เจ้าของข้อมูลส่วนบุคคล

สิทธิขอให้แก้ไขข้อมูล:

มีสิทธิที่จะขอแก้ไขข้อมูลส่วนบุคคลของตนเองให้มีความถูกต้อง เป็นปัจจุบัน และไม่ก่อให้เกิดความเข้าใจผิดได้

• เจ้าของข้อมูลส่วนบุคคล

จากลิสต์ข้างต้นเราสามารถทำความเข้าใจได้คร่าวๆ ว่า ผู้ที่มีส่วนเกี่ยวข้องตาม PDPA คืออะไรและมีบทบาท สิทธิ และหน้าที่อย่างไรบ้าง เพื่อปฏิบัติตามกฎหมายที่บังคับใช้ โดยเฉพาะในเรื่องของการเก็บรักษาข้อมูลส่วนบุคคลให้มีความปลอดภัยและป้องกันไม่ให้เกิดปัญหาตามมาภายหลัง การสร้าง Privacy Policy ที่มีความเหมาะสมในการใช้งาน จะช่วยตอบโจทย์ในการทำงานได้อย่างดี

PDPA Pro ผู้ช่วยที่จะเข้ามาทำให้การสร้าง Privacy Policy กลายเป็นเรื่องง่าย เพียงแค่กรอกรายละเอียดผ่านแบบฟอร์มของเรา แล้วรอรับ Privacy Policy ที่ตรงกับความต้องการของคุณได้เลย รวมไปถึงการสร้างแบบฟอร์มรับคำขอสิทธิต่างๆ จากเจ้าของข้อมูลอย่างง่ายดายได้ที่ PDPAForm และการสร้างแบนเนอร์คุกกี้ยินยอมบนหน้าเว็บไซต์ของคุณได้ที่ Cookie Wow