7 สิทธิของเจ้าของข้อมูล และ 5 หน้าที่ที่องค์กรต้องทำเมื่อ PDPA บังคับใช้

เนื้อหาในบทความ

ตาม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ PDPA (Personal Data Protection Act) มีข้อกำหนดที่ให้สิทธิแก่เจ้าของข้อมูลในการร้องขอให้ผู้ควบคุมข้อมูลดำเนินการตามสิทธิที่ร้องขอ หนึ่งข้อในนี้รวมถึง “สิทธิในการเข้าถึงข้อมูล” (Data Subject Access Right)  ที่ได้ระบุไว้ในมาตรา 30 โดยมีข้อความดังนี้

          “เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวข้องกับตนซึ่งอยู่ในความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล หรือ ขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลดังกล่าว ที่ตนไม่ได้ให้ความยินยอม”

จากข้อความนี้สรุปได้ว่า PDPA ได้ให้ความสำคัญต่อตัวเจ้าของข้อมูลส่วนบุคคลมากขึ้น  ไม่ว่าจะเป็นการให้สิทธิร้องขอให้บริษัทอนุญาตให้เข้าถึง, จัดทำสำเนา หรือเปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลของเจ้าของข้อมูล เพราะฉะนั้นแล้ว การจัดทำขั้นตอนและช่องทางการใช้สิทธิเจ้าของข้อมูลจะทำบริษัทผ่านกฎหมายฉบับนี้ได้อย่างสะดวกขึ้นแน่นอน

หากพูดถึง “สิทธิของเจ้าของข้อมูล” (Data Subject Right) แล้ว อาจพูดได้ว่าสิทธินี้เป็นของประชาชนไทยทุกคนมีอยู่กับตนเอง และหาก พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลบังคับใช้จริงแล้วบริษัทหรือห้างร้านต่างๆ ไม่ให้สิทธิเหล่านี้กับคุณ คุณสามารถฟ้องร้องได้ทันที

สิทธิของเจ้าของข้อมูลมีอะไรบ้าง?

• สิทธิในการเพิกถอนความยินยอม

  ในกรณีที่ทางองค์กรมีการขอความยินยอมจากเจ้าของข้อมูล ตัวเจ้าของข้อมูลจะมีสิทธิในการเพิกถอนความยินยอมได้ และทางองค์กรจะต้องปฏิบัติตามสิ่งที่เจ้าของข้อมูลร้องขอมา เพราะฉะนั้นการอ้างอิงฐานการขอความยินยอม จึงควรจะป็นฐานอ้างอิงสุดท้ายที่นำมาใช้ ในกรณีที่ไม่สามารถอ้างอิงฐานตามกฎหมายอื่นๆ ได้

• สิทธิในการขอเข้าถึงข้อมูลส่วนบุคคล

  เจ้าของข้อมูลมีสิทธิขอเข้าถึงข้อมูลที่เกี่ยวกับตนเองหรือขอให้เปิดเผยถึงการได้มาของข้อมูล ซึ่งทางองค์กรจะต้องปฏิบัติตาม แต่ก็สามารถที่จะปฏิเสธได้ เมื่อการปฏิเสธนั้นเป็นการปฏิบัติตามคำสั่งศาลหรือกฎหมายหรือเป็นการขอที่เข้าข่ายอาจก่อให้เกิดความเสียหายต่อสิทธิและเสรีภาพผู้อื่น

• สิทธิในการขอแก้ไขข้อมูลส่วนบุคคล

  เจ้าของข้อมูลสามารถใช้สิทธิในการร้องขอให้แก้ไขข้อมูลให้ ถูกต้อง เป็นปัจจุบัน สมบูรณ์ และเพื่อไม่ให้ก่อให้เกิดความเข้าใจผิด ซึ่งการแก้ไขข้อมูลเพื่อเหตุผลดังกล่าวสามารถทำได้แม้เจ้าของข้อมูลจะไม่ได้ร้องขอ

• สิทธิในการขอให้ลบหรือทำลายข้อมูล

  เจ้าของข้อมูลสามารถใช้สิทธิในการร้องขอให้ลบหรือทำลายข้อมูลของตน เมื่อมีการร้องขอมาทางองค์กรจะต้องปฏิบัติตามโดยการลบข้อมูลหรือทำลายข้อมูลของเจ้าของบุคคลนั้น แต่ทางองค์กร ก็สามารถปฏิเสธที่จะปฏิบัติตามการร้องขอ ถ้าเกิดว่าการร้องขอดังกล่าวขัดกับข้อกฎหมาย หรือ ฐานกฎหมายที่ใช้อ้างอิง เช่น ฐานเพื่อการดำเนินภารกิจของรัฐ หรือเป็นข้อมูลอ่อนไหวที่ ใช้ฐานเพื่อประโยชน์ทางการแพทย์หรือการสาธารณสุข

• สิทธิในการขอโอนย้ายข้อมูลส่วนบุคคล

  เจ้าของข้อมูลสามารถใช้สิทธิในการขอโอนย้ายข้อมูลส่วนบุคคลของตนเองไปยังหน่วยงาน
หรือองค์กรอื่นแต่มีเงื่อนไขว่า จะต้องเป็นข้อมูลที่ได้รับจากเจ้าของข้อมูลโดยตรง และเป็นข้อมูลที่ได้รับความยินยอมจากเจ้าของข้อมูล หรือเป็นไปตามสัญญาระหว่างเจ้าของข้อมูลกับผู้ควบคุมข้อมูลเท่านั้น

• สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล

  เจ้าของข้อมูลสามารถใช้สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคลของตนเองได้ก็ต่อเมื่อข้อมูลนั้นเป็นการเก็บรวบรวมจากฐานภารกิจของรัฐ หรือฐานการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมาย หรือฐานการเก็บรวบรวมเพื่อการตลาด หรือเพื่อการศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติเท่านั้น แต่หากทางองค์กรปฏิเสธที่จะปฏิบัติตามคำร้องขอของเจ้าของข้อมูล จำเป็นจะต้องทำการบันทึกเหตุผลที่ปฏิเสธเพื่อจัดเก็บเป็นหลักฐานเอาไว้ด้วย

• สิทธิในการขอระงับการประมวลผลข้อมูลส่วนบุคคล

  เจ้าของข้อมูลสามารถใช้สิทธิในการระงับการประมวลผลข้อมูลส่วนบุคคลเอาไว้เป็นระยะเวลาชั่วคราว โดยส่วนมากแล้วเหตุผลของการระงับการประมวลผลจะมาจากความถูกต้องของข้อมูลส่วนบุคคล หรืออยู่ในระหว่างรอการตรวจสอบความถูกต้องหรือการประมวลผลข้อมูลส่วนบุคคลนั้นเป็นไปโดยมิชอบด้วยกฎหมายในกรณีที่ทางองค์กรปฏิเสธที่จะปฏิบัติตามคำร้องจำเป็นจะต้องมีการแจ้งถึงเหตุผลในการปฏิเสธที่จะปฏิบัติตามคำร้องของเจ้าของข้อมูล

เมื่อคุณรู้สิทธิของเจ้าของข้อมูลตามที่เราอธิบายแล้ว จะพบว่าเจ้าของข้อมูลส่วนบุคคล (Data Subject) มีสิทธิ์ที่จะให้ให้บริษัทแก้ไข โอนย้าย ระงับ ฯลฯ การใช้ข้อมูลส่วนบุคคลของผู้ใช้บริการในอนาคตแน่นอน ดังนั้นความสำคัญจะอยู่ที่ การจัดระบบเพื่อรองรับคำขอของทุกคำร้อง เพื่อให้ทุกคำร้องดำเนินได้แบบไม่ติดขัด ในเบื้องต้นสำหรับบริษัทอาจทำขั้นตอนได้แบบนี้

ขั้นตอนในการปฏิบัติตาม PDPA ในหัวข้อการใช้สิทธิของเจ้าของข้อมูล มีดังนี้

• จัดทำช่องทางสำหรับเจ้าของข้อมูลในการใช้สิทธิตามที่กฎหมายกำหนด

  ทางองค์กรจะต้องจัดทำช่องทางสำหรับเจ้าของข้อมูลในการใช้สิทธิ ไม่ว่าจะเป็นช่องทางอิเล็กทรอนิกส์ เช่น อีเมล หรือ เว็บไซต์ หรือ ช่องทางที่เป็นลายลักษณ์อักษร เช่น จดหมาย หรือ เอกสารต่างๆ หรือช่องทางที่เป็นคำพูด ไม่ว่าจะเป็น ทางโทรศัพท์ หรือ ต่อหน้าบุคคล ซึ่งทางองค์กรจะต้องดำเนินการตามคำร้องให้แล้วเสร็จโดยไม่เกิน 30 วันนับตั้งแต่วันที่ได้รับคำร้อง

• ตรวจสอบยืนยันตัวตนของผู้ที่ยื่นคำร้อง

  ทางองค์กรจะต้องมีช่องทางในการตรวจสอบยืนยันตัวตนของผู้ที่ยื่นคำร้อง ซึ่งในกรณีที่ผู้ยื่นคำร้องเป็นบุคคลอื่น ทางองค์กรอาจจะต้องมีการขอหลักฐาน เช่น หนังสือมอบอำนาจ หรือ ผู้ปกครอง ในกรณีที่เจ้าของข้อมูลเป็นเด็ก

• ตรวจสอบความถูกต้องของคำขอ

  โดยหลักการแล้วเมื่อเจ้าของข้อมูลร้องขอมาทางองค์กรจะต้องดำเนินการตามที่เจ้าของข้อมูลนั้นร้องขอแต่ในกรณีที่คำร้องขอนั้นไม่ถูกต้องสมบูรณ์ หรือขัดต่อข้อกฎหมาย หรือเป็นคำขอที่ฟุ่มเฟือยเกินความจำเป็น หรือไม่สมเหตุผล ทางองค์กรสามารถปฏิเสธที่จะปฏิบัติตามคำร้องขอดังกล่าว

• ดำเนินการตามสิทธิที่เจ้าของข้อมูลส่วนบุคคลร้องขอ

  เมื่อทางองค์กรตรวจสอบแล้วว่า คำร้องขอที่เข้ามานั้นมีความถูกต้องครบถ้วนสมบูรณ์แล้ว ให้ทางองค์กรตรวจสอบข้อมูลส่วนบุคคลที่ได้จัดเก็บหรือมีการประมวลผลทั้งหมดที่เกี่ยวข้องและดำเนินการแก้ไขตามที่ได้มีการร้องขอเข้ามา

• การแจ้งผลการดำเนินการ

  เมื่อทางองค์กรได้ดำเนินการตามที่เจ้าของข้อมูลนั้นได้เขียนคำร้องขอเข้ามาเสร็จสิ้น ทางองค์กรจะต้องดำเนินการแจ้งข้อมูลการดำเนินการให้กับเจ้าของข้อมูลรวมถึงสาเหตุในกรณีที่ การปฏิบัติตามคำร้องนั้นดำเนินการไม่สำเร็จ

          สำหรับบริษัทหรือองค์กรที่มีผู้ใช้บริการจำนวนมาก ขั้นตอนเหล่านี้จะช่วยท่านได้ในด้านความเป็นระเบียบเรียบร้อยและการเตรียมรับมือจัดการกับข้อมูลอีกมหาศาลในอนาคต และยังสะดวกต่อการตรวจสอบหากมีข้อบกพร่องใดๆ เกิดขึ้นเช่นกัน