พ.ร.บ. คุ้มครองข้อมูลฯ ได้กำหนดสิทธิของเจ้าของข้อมูลส่วนบุคคลไว้ 8 เรื่อง คือ 1. สิทธิการได้รับแจ้ง (Right to be Informed) 2. สิทธิในการเพิกถอนความยินยอม (Right to Withdraw Consent) 3. สิทธิในการเข้าถึงข้อมูลส่วนบุคคล (Right of Access) 4. สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง (Right to Rectification) 5. สิทธิในการลบข้อมูลส่วนบุคคล (Right to be Forgotten) 6. สิทธิในการห้ามมิให้ประมวลผลข้อมูลส่วนบุคคล (Right to Restrict of Processing) 7. สิทธิในการให้โอนย้ายข้อมูลส่วนบุคคล (Right of Data Portability) และ 8. สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล (Right to Object)
.
โดยวิธีการใช้สิทธิข้อ 2-8 เป็นไปตามกฎหมายกำหนด ขณะที่ สิทธิข้อ 1 หรือสิทธิการได้รับแจ้ง เป็นสิทธิที่เจ้าของข้อมูลส่วนบุคคล “ทุกคน” ได้รับโดยไม่ต้องมีการร้องขอ ตามที่ระบุอยู่ในมาตรา 23 ซึ่งตามกฎหมายแล้ว ผู้ควบคุมข้อมูล (Data Controller) ได้แก่ สถานประกอบการ หน่วยงานต่างๆ ต้องแจ้งวัตถุประสงค์และรายละเอียดของการประมวลผลข้อมูลส่วนบุคคลให้เจ้าของข้อมูลส่วนบุคคลทราบ เพื่อให้เจ้าของข้อมูลส่วนบุคคลรู้ว่าข้อมูลของตนจะถูกนำไปใช้ทำอะไรบ้าง
.
สำหรับรายละเอียดการแจ้งให้ทราบ ได้แก่ เก็บข้อมูลอะไรบ้าง เก็บไปทำไม เก็บนานแค่ไหน จะมีการส่งต่อข้อมูลให้ใคร/หน่วยงานใดบ้าง และช่องทางติดต่อผู้ควบคุมข้อมูล เป็นต้น และกรณีมีการเก็บรวบรวมข้อมูลจากแหล่งอื่นก็ต้องแจ้งเจ้าของข้อมูลทราบด้วย ทั้งนี้ หากผู้ประกอบการไม่ปฏิบัติตามถือเป็นความผิดตามพระราชบัญญัติฉบับนี้ อาจถูกลงโทษปรับทางปกครองไม่เกิน 5,000,000 บาท
.
“พ.ร.บ. ฉบับนี้กำหนด หลักเกณฑ์ กลไก หรือมาตรการกำกับดูแลเกี่ยวกับการให้ความคุ้มครองข้อมูลส่วนบุคคลเพื่อให้การคุ้มครองข้อมูลส่วนบุคคลมีประสิทธิภาพ และเพื่อให้มีมาตรการเยียวยาเจ้าของข้อมูลส่วนบุคคลจากการถูกละเมิดสิทธิมีประสิทธิภาพ”
“รู้เรื่องสิทธิ ง่ายนิดเดียว”
EP. 3.1 สิทธิการได้รับแจ้ง Right to be Informed - มาตรา 23
•
เจ้าของข้อมูลส่วนบุคคลมีสิทธิได้รับแจ้งรายละเอียดอะไรบ้าง?
และหากผู้ควบคุมข้อมูลส่วนบุคคลไม่ดำเนินการจะมีผลอย่างไร?
•
หลักสำคัญของสิทธินี้คือ เป็นสิทธิที่เจ้าของข้อมูลส่วนบุคคล ทุกคน ได้รับโดยไม่ต้องมีการร้องขอ
•
ตามกฎหมายแล้วผู้ควบคุมข้อมูลส่วนบุคคล จะต้อง แจ้งวัตถุประสงค์และรายละเอียดของการประมวลผลข้อมูลส่วนบุคคล
ให้เจ้าของข้อมูลส่วนบุคคลทราบ ไม่ว่าจะด้วยวิธีการใดก็ตาม
เพื่อให้เจ้าของข้อมูลส่วนบุคคลรู้ว่าข้อมูลของตนจะถูกนำไปใช้ทำอะไร?
*การประมวลผล หมายถึง การเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลส่วนบุคคล
•
รายละเอียดการแจ้งให้ทราบ ต้องมีอย่างน้อย
- เก็บข้อมูลอะไรบ้าง
- เก็บไปทำไม
- เก็บนานแค่ไหน
- ส่งต่อข้อมูลให้ใคร
- ช่องทางติดต่อผู้ควบคุมข้อมูล
•
* หากเก็บรวบรวมข้อมูลจากแหล่งอื่นก็ต้องแจ้งเจ้าของข้อมูลทราบด้วย (มาตรา 25)
•
*กรณีมีการแก้ไขวัตถุประสงค์ในภายหลัง
จะต้องแจ้งให้ทราบหากวัตถุประสงค์ที่แก้ไขนั้นมีความแตกต่างไปจากวัตถุประสงค์เดิม
•
หากผู้ควบคุมข้อมูลส่วนบุคคลไม่ปฏิบัติตามกฎหมายแจ้งรายละเอียดให้เจ้าของข้อมูลทราบ
ถือเป็นความผิดตามพระราชบัญญัติฉบับนี้ โดยมีบทลงโทษเป็นโทษปรับทางปกครองไม่เกิน 1,000,000 บาท
(มาตรา 82)
EP. 3.2 สิทธิในการเพิกถอนความยินยอม Right to Withdraw Consent - มาตรา 19
.
หากเราเคยตกลงยินยอมเกี่ยวกับบริการเสริม และกังวลว่าจะถูกเก็บข้อมูลส่วนบุคคลมากจนเกินไป
สามารถของเพิกถอนความยินยอมนั้นได้หรือไม่???
.
หลักการสำคัญคือ เจ้าของข้อมูลส่วนบุคคลมีสิทธิที่จะเพิกถอนความยินยอมเมื่อใดก็ได้ (มาตรา19)
* ในกรณีที่เป็นการเก็บรวบรวมข้อมูลจากการให้ความยินยอม (Consent)
.
การเพิกถอนความยินยอมจะอยู่ในรูปแบบใดก็ได้ เช่น ทางอิเล็กทรอนิกส์ หรือทำเป็นเอกสารที่เป็นลายลักษณ์อักษร โดยการเพิกถอนจะต้อง มีความชัดเจน เข้าใจง่าย และไม่ยากไปกว่าการขอความยินยอม
.
เมื่อผู้ควบคุมข้อมูลส่วนบุคคลส่วนบุคคลได้รับคำขอการเพิกถอนจากเจ้าของข้อมูลแล้ว
จะต้อง “แจ้งถึงผลกระทบ” จากการถอนความยินยอมและ “หยุดการประมวลผล”
*กรณีการขอถอนความยินยอมโดยผู้เยาว์ให้เป็นไปตามหลักเกณฑ์ในการขอความยินยอม
และ การถอนความยินยอมไม่ส่งผลกระทบต่อการประมวลผลที่ให้ความยินยอมไปแล้ว
.
* การประมวลผล หมายถึง การเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคล
.
หากผู้ควบคุมข้อมูลส่วนบุคคลไม่แจ้งถึงผลกระทบจากการถอนความยินยอม
ต้องระวางโทษปรับทางปกครองไม่เกิน 1,000,000 บาท (มาตรา 82)
EP. 3.3 สิทธิในการเข้าถึงข้อมูลส่วนบุคคล (Right of Access) - มาตรา 30
.
เจ้าของข้อมูลสามารถขอเข้าถึงข้อมูลของตนได้ทุกกรณีหรือไม่ ???
และเมื่อผู้ควบคุมข้อมูลได้รับคำขอเข้าถึงข้อมูลแล้วจะต้องดำเนินการตามคำขอนั้น ภายในกี่วัน???
.
หลักการสำคัญคือ เจ้าของข้อมูลมีสิทธิที่จะขอเข้าถึงข้อมูลที่เกี่ยวกับตนได้ดังนี้
1. ขอเข้าถึงและขอรับสำเนาข้อมูลที่เกี่ยวกับตน
2. ขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลที่ตนไม่ได้ให้ความยินยอม
.
เมื่อได้รับคำขอแล้ว ผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดเตรียมข้อมูลที่เกี่ยวข้องตามคำขอให้เจ้าของข้อมูลโดยไม่ชักช้า (ไม่เกิน 30 วัน นับแต่ที่ได้รับคำขอ)
.
อย่างไรก็ตาม ผู้ควบคุมข้อมูลสามารถปฏิเสธคำขอได้ในกรณีดังต่อไปนี้
1. เป็นการปฏิเสธตามกฎหมายหรือคำสั่งศาล
2. คำขอจากเจ้าของข้อมูลส่วนบุคคลนั้นส่งผลกระทบต่อสิทธิและเสรีภาพของบุคคลอื่น
*หากมีการปฏิเสธคำขอจะต้องทำบันทึกรายการเกี่ยวกับการปฏิเสธด้วย ซึ่งมีรายละเอียดตามมาตรา 39
.
หากปรากฏว่าผู้ควบคุมข้อมูลส่วนบุคคลไม่ปฏิบัติตามคำขอ ต้องระวางโทษปรับทางปกครองไม่เกิน 1,000,000 บาท (มาตรา 82)
EP. 3.4 สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง (Right to Rectification) - มาตรา 35 และมาตรา 36
.
การแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง สมบูรณ์ เป็นหน้าที่ของใคร???
เจ้าของข้อมูลส่วนบุคคลจะต้องเป็นผู้ร้องขอแก้ไขทุกกรณีหรือไม่???
รู้ไปพร้อมกัน...
.
หลักการสำคัญคือ เจ้าของข้อมูลส่วนบุคคลสามารถยื่นคำร้องขอแก้ไขข้อมูลส่วนบุคคลที่เกี่ยวกับตนได้ เมื่อเห็นว่าข้อมูลส่วนบุคคลของตนไม่ถูกต้องหรือไม่สมบูรณ์
.
เมื่อผู้ควบคุมข้อมูลได้รับคำร้องขอแก้ไขข้อมูลส่วนบุคคลจะต้องดำเนินการแก้ไขให้ ‘ถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด’
*ถึงแม้ว่าไม่มีการร้องขอจากเจ้าของข้อมูลก็ตาม
แต่การแก้ไขข้อมูลส่วนบุคคลก็เป็นหน้าที่ตามกฎหมายของผู้ควบคุมข้อมูล
.
หากผู้ควบคุมข้อมูลปฏิเสธคำร้องขอแก้ไขข้อมูลจะต้องบันทึกรายการและเหตุผลการปฏิเสธไว้ด้วย
ตามมาตรา 39
และเจ้าของข้อมูลมีสิทธิร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญเพื่อสั่งให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการได้ ตามมาตรา 34 วรรคสอง
.
EP. 3.5 สิทธิในการลบข้อมูลส่วนบุคคล (Right to be Forgotten) - มาตรา 33
.
เจ้าของข้อมูลสามารถยื่นคำร้องขอลบหรือทำลายข้อมูลได้ในกรณีใดบ้าง
และผู้ควบคุมข้อมูลจะต้องดำเนินการอย่างไร??
.
หลักการสำคัญ เจ้าของข้อมูลส่วนบุคคลมีสิทธิยื่นคำร้องขอลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลไม่สามารถระบุถึงตนได้ ตามเงื่อนไขที่กฎหมายกำหนด
.
กรณีที่เจ้าของข้อมูลส่วนบุคคลขอใช้สิทธิได้
1. ข้อมูลหมดความจำเป็นในการประมวลผลตามวัตถุประสงค์
2. ถอนความยินยอมในการใช้ข้อมูล (ในกรณีนี้ต้องปรากฏว่ามีการเก็บข้อมูลตามฐานความยินยอม มาตรา 24)
3. ข้อมูลถูกใช้ประมวลผลโดยไม่ถูกกฎหมาย
.
กรณีที่กฎหมายยกเว้นการใช้สิทธิ
1. เป็นข้อมูลที่เกี่ยวกับเสรีภาพในการแสดงความคิดเห็น
2. เป็นข้อมูลที่เกี่ยวกับการทำวิจัย หรือสถิติ (มาตรา 24(1)) หรือเพื่อสาธารณะประโยชน์ (มาตรา 24(4))
3. เป็นข้อมูลที่กฎหมายระบุให้เก็บ
.
ในกรณีที่มีการส่งต่อหรือเปิดเผยข้อมูลนั้นต่อสาธารณะแล้ว ผู้ควบคุมข้อมูลต้องดำเนินการแจ้งให้ลบข้อมูลดังกล่าวด้วย
.
หากผู้ควบคุมข้อมูลไม่ดำเนินการตามคำร้องขอ
เจ้าของข้อมูลมีสิทธิร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญเพื่อสั่งให้ผู้ควบคุมข้อมูลดำเนินการได้
Cr. กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม
.
สนใจหลักสูตรอบรมเชิงปฏิบัติการ ทุกหน่วยงาน คลิก🔻
.
สนใจหลักสูตรทำระบบ คลิก🔻
.
สนใจหลักสูตร PDPA for HR คลิก🔻
.
สนใจหลักสูตร PDPA for IT คลิก🔻
.
ติดต่อเรา
Line@ : https://lin.ee/ZvXLMFE (@hr.training.online)
.
#พรบคุ้มครองข้อมูลส่วนบุคคล #PDPA #PDPAforHR #Training #ฝึกอบรม #TrainingOnline #PDPATraining #ConsentForm #PDPAคืออะไร #PDPAสรุป #PDPAพรบ #PDPAย่อมาจาก #กฎหมายPDPA #PDPAบังคับใช้ #Consentคือ #พรบคุ้มครองข้อมูลส่วนบุคคล2565 #กฎหมาย #ROPA
Comments