สิทธิของเจ้าของข้อมูล (Data Subject) ตาม PDPA มีอะไรบ้าง และผู้ประกอบการควรเตรียมพร้อมอย่างไร

   

ด้วยพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลที่ประเทศไทยเราบังคับใช้มาตั้งแต่ปี 2562 ซึ่งเกี่ยวข้องกับเราทุกภาคส่วน หลายองค์กรจึงกระตือรือร้นที่จะจัดทำข้อมูลให้ถูกต้องตามกฎหมาย และสิ่งหนึ่งที่สำคัญที่เจ้าของข้อมูลส่วนบุคคล และผู้ประกอบการควรเตรียมพร้อมและทำความเข้าใจอย่างถูกต้อง นั่นคือ สิทธิของเจ้าของข้อมูล เราจะพาไปดูกันค่ะ

สิทธิของเจ้าของข้อมูล เจ้าของข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลหรือ PDPA จะต้องให้ความยินยอมแก่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประกอบการเพื่อรวบรวม ใช้ หรือเปิดเผยข้อมูล ซึ่งเจ้าของข้อมูลก็มีสิทธิในข้อมูลของตัวเองตามกฎหมาย และสามารถใช้สิทธินั้นได้โดยแบ่งออกได้ ดังนี้

   

1. สิทธิได้รับการแจ้งให้ทราบ

ผู้ควบคุมข้อมูลส่วนบุคคล จะต้องแจ้งรายละเอียดและวัตถุประสงค์ในการเก็บรวบรวมข้อมูล การใช้ หรือเปิดเผยข้อมูลส่วนบุคคลให้เจ้าของข้อมูลทราบก่อนหรือขณะเก็บรวบรวมข้อมูล โดยเจ้าของข้อมูลมีสิทธิที่จะทราบว่าจะจัดเก็บข้อมูลอะไรบ้าง รวมถึงระยะเวลาการจัดเก็บ สถานที่ และวิธีการติดต่อกับผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งเรามักจะเห็นการแจ้งข้อมูลเหล่านี้ตามข้อกำหนดและตามนโยบายความเป็นส่วนตัวก่อนที่ผู้ใช้งานเว็บไซต์จะสมัครสมาชิก หรือตามแบบฟอร์มก่อนเปิดบัญชีธนาคาร สร้าง Privacy Policy เพื่อแจ้งเจ้าของข้อมูลตั้งแต่วันนี้ที่ https://pdpa.pro

2. สิทธิในการแก้ไขข้อมูล

เจ้าของข้อมูลมีสิทธิที่จะขอแก้ไขข้อมูลส่วนบุคคลของตนเองให้มีความถูกต้อง เป็นปัจจุบัน และไม่ก่อให้เกิดความเข้าใจผิดได้ โดยการแก้ไขนั้นจะต้องเป็นไปด้วยความสุจริต และไม่ขัดต่อหลักกฎหมาย ซึ่งตามเว็บไซต์ส่วนใหญ่ เราจะสามารถเข้าไปแก้ไขข้อมูลส่วนตัว เช่น ที่อยู่ เบอร์โทรศัพท์ รหัสผ่าน ในหน้าบัญชีสมาชิกเองได้

3. สิทธิในการเพิกถอนความยินยอม

กรณีเจ้าของข้อมูลเคยให้ความยินยอมในการใช้ข้อมูลไป ต่อมาเกิดเปลี่ยนใจ ก็สามารถยกเลิกความยินยอมนั้นเมื่อไหร่ก็ได้ โดยการยกเลิกจะต้องไม่ขัดต่อข้อจำกัดสิทธิในการถอนความยินยอมทางกฎหมาย หรือสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคลที่ได้ให้ความยินยอมไปก่อนหน้านี้ เช่น เราสามารถขอยกเลิกติดตามข่าวสารทางอีเมลของเว็บไซต์ได้ โดยกดที่ปุ่ม unsubscribe ที่แนบมาในอีเมล โดยการยกเลิกนี้ไม่ควรยุ่งยากซับซ้อน หรือต้องเสียค่าใช้จ่าย

4. สิทธิในการขอระงับการใช้ข้อมูล

เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ผู้ควบคุมข้อมูลระงับการใช้ข้อมูลได้ ไม่ว่าจะในกรณีที่เกิดเปลี่ยนใจไม่ต้องการให้ข้อมูลแล้ว หรือเปลี่ยนใจระงับการทำลายข้อมูลเมื่อครบกำหนดที่ต้องทำลาย เพราะมีความจำเป็นต้องนำข้อมูลไปใช้ในทางกฎหมาย หรือการใช้สิทธิเรียกร้อง ก็สามารถทำได้

5. สิทธิในการเข้าถึง ขอสำเนา หรือให้เปิดเผยถึงการได้มาของข้อมูลส่วนบุคคล

เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตนเองจากผู้ควบคุมข้อมูลส่วนบุคคล หรือขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลที่ตัวเองอาจไม่แน่ใจว่าได้ให้ความยินยอมไปหรือไม่ โดยสิทธิการเข้าถึงข้อมูลนั้นต้องไม่ขัดต่อกฎหมายหรือคำสั่งศาล และการใช้สิทธินั้นต้องไม่ละเมิดสิทธิหรือเสรีภาพของบุคคลอื่น ซึ่งผู้ใช้งานเว็บไซต์อาจเข้าไปดูข้อมูลตนเองในบัญชีสมาชิกของตนเองได้ หรือร้องขอกับผู้ดูแลระบบได้

6. สิทธิในการขอรับและให้โอนย้ายข้อมูลส่วนบุคคล

ในกรณีที่เจ้าของข้อมูลต้องการให้ผู้ควบคุมข้อมูลส่วนบุคคลรายแรกโอนข้อมูลส่วนบุคคลไปยังผู้ควบคุมรายอื่น ก็สามารถขอให้ผู้ควบคุมรายแรกจัดทำข้อมูลที่อ่านได้ง่ายหรือจัดทำข้อมูลในรูปแบบที่เข้าถึงได้ด้วยวิธีการอัตโนมัติ และโอนไปยังผู้ควบคุมอีกรายได้ ซึ่งข้อมูลที่โอนไปนั้น เจ้าของข้อมูลก็ยังขอรับข้อมูลนั้นจากผู้ควบคุมข้อมูลรายแรกได้อีกด้วย แต่การใช้วิธีการนี้จะต้องไม่ขัดต่อกฎหมาย สัญญา หรือละเมิดสิทธิเสรีภาพของผู้อื่น เช่น การย้ายพนักงานจากบริษัทหนึ่งไปยังอีกบริษัทหนึ่ง ตัวพนักงานก็สามารถใช้สิทธิให้บริษัทแรกโอนย้ายข้อมูลส่วนบุคคลไปยังบริษัทที่กำลังจะย้ายไปได้ รวมถึงขอรับสำเนาข้อมูลของตนเองได้

7. สิทธิในการขอคัดค้านการเก็บรวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

เจ้าของข้อมูลส่วนบุคคลสามารถคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้ โดยร้องขอต่อผู้ควบคุมข้อมูลเมื่อไรก็ได้ โดยร้องขอผ่านแบบฟอร์มที่ผู้ให้บริการจัดไว้ หรือติดต่อกับผู้ดูแลระบบ

8. สิทธิในการขอให้ลบ หรือทำลายข้อมูลส่วนบุคคล

ในกรณีที่ข้อมูลส่วนบุคคลหมดความจำเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์ หรือผู้ควบคุมนำข้อมูลไปเผยแพร่ในที่สาธารณะ หรือข้อมูลนั้นสามารถเข้าถึงได้ง่าย เจ้าของข้อมูลมีสิทธิขอให้ผู้ควบคุมลบหรือทำลายข้อมูลส่วนบุคคล หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวตนได้ โดยผู้ควบคุมข้อมูลต้องเป็นผู้รับผิดชอบค่าใช้จ่ายและการดำเนินการนั้น

9. สิทธิในการร้องเรียน

เจ้าของข้อมูลมีสิทธิร้องเรียนต่อพนักงานเจ้าหน้าที่และคณะกรรมการตาม PDPA ได้ ถ้าผู้ควบคุม ผู้ประมวลผล รวมทั้งลูกจ้างหรือผู้รับจ้างของผู้ควบคุม ผู้ประมวลผล ฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมาย รวมถึงมีสิทธิในการเรียกค่าสินไหมทดแทนทางศาลด้วย

ผู้ประกอบการควรเตรียมพร้อมอย่างไร

เมื่อเจ้าของข้อมูลส่วนบุคคลได้ร้องขอตามสิทธิ PDPA แล้ว ผู้ควบคุมข้อมูลหรือผู้ประกอบการก็มีหน้าที่ต้องพิจารณาคำร้องและดำเนินการตามคำร้อง ภายใน 30 วัน นับตั้งแต่วันที่ได้รับคำขอ เพื่อให้เป็นไปตามสิทธิของเจ้าของข้อมูลตามกฎหมายได้อย่างเหมาะสม

ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ดูแลระบบจะต้องจัดทำระบบยื่นคำขอรูปแบบต่างๆ ให้เจ้าของข้อมูลยื่นคำขอได้ เช่น ให้ติดต่อทางอีเมล เว็บไซต์ โทรศัพท์ หรือผ่านการกรอกแบบฟอร์มคำขอ ซึ่งก็ควรออกแบบระบบการยื่นคำร้องให้ง่ายและสะดวกกับเจ้าของข้อมูล

หลังจากได้รับคำร้องของเจ้าของข้อมูลแล้วก็ตรวจสอบตัวตนของเจ้าของข้อมูลว่าเป็นผู้มีส่วนได้เสียตามสิทธิหรือไม่ หรือได้รับมอบอำนาจอย่างถูกต้องหรือไม่ รายละเอียดข้อมูลตามคำร้องครบถ้วนสมบูรณ์หรือไม่ ซึ่งขั้นตอนนี้ สามารถขอรายละเอียดจากเจ้าของข้อมูลเพิ่มเติมได้ ถ้าผู้ควบคุมข้อมูลเห็นว่าคำร้องนั้นไม่เป็นไปตามเงื่อนไขของ PDPA หรืออาจเป็นการละเมิดสิทธิของผู้อื่น ก็อาจปฏิเสธคำร้องได้ แต่ถ้าคำร้องเข้าเกณฑ์ก็ให้จัดทำบันทึกรายละเอียดคำร้อง และส่งให้ฝ่ายที่เกี่ยวข้องดำเนินการต่อ

เมื่อฝ่ายที่เกี่ยวข้องพิจารณาคำร้องแล้ว ก็ให้ดำเนินการตามสิทธิที่เจ้าของข้อมูลร้องขอโดยไม่เสียค่าใช้จ่ายด้วยความรวดเร็ว จากนั้นให้แจ้งผลกับเจ้าของข้อมูลตามที่ผู้ควบคุมข้อมูลได้ดำเนินการไป

หากคุณยังไม่รู้จะเริ่มอย่างไร เราขอแนะนำ PDPAForm ที่เป็นแพลตฟอร์ม One-Stop-Service ที่ช่วยสร้างแบบฟอร์ม พร้อมระบบจัดการและติดตามคำร้องขอใช้สิทธิจัดการข้อมูลจากเจ้าของข้อมูลตาม PDPA ภายในเวลาไม่กี่นาที พร้อมระบบแจ้งเตือนและนับถอยหลังให้สารมารถจัดการคำร้องทั้งหมดได้ทันเวลา ไม่พลาด ไม่โดนปรับ คลิกเลย PDPA Form