ข้อมูลส่วนบุคคล เป็นข้อมูลที่เลี่ยงได้ยากมากในยุคปัจจุบันนี้ ที่เทคโนโลยีมีความก้าวหน้า การแข่งขันก็ค่อนข้างสูง เรียกได้ว่าองค์กรไหนที่มี “ข้อมูล” มากกว่า ก็จะมีความได้เปรียบในเรื่องของการพัฒนาสินค้าหรือบริการ ให้ตอบสนองต่อความต้องการของผู้บริโภคได้ดีกว่า ซึ่งในหลาย ๆ องค์กรก็ได้เล็งเห็นถึงผลประโยชน์และหันมาให้ความสำคัญกับการเก็บข้อมูลผู้ใช้งาน เพื่อนำไปใช้ในการพัฒนาต่อยอดธุรกิจให้เติบโตยิ่งขึ้น แต่การที่องค์กรจะเก็บข้อมูลของผู้ใช้งานในตอนนี้ นั้นได้มีข้อกฎหมายมารองรับแล้ว นั่นก็คือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ ที่เราเรียกกันสั้น ๆ ว่า PDPA นั่นเอง
Personal Data Protection Act หรือ PDPA คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ เป็นกฎหมายว่าด้วยการให้ความคุ้มครองข้อมูลส่วนบุคคลที่สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าจะทางตรงหรือทางอ้อม เช่น ชื่อ-สกุล เลขบัตรประชาชน เบอร์ติดต่อ ฐานะการเงิน ประวัติสุขภาพ ประวัติอาชญากรรม ลายนิ้วมือ หรือข้อมูลการใช้งานเว็บไซต์ เป็นต้น ในการให้คุ้มครองข้อมูลส่วนบุคคลที่กล่าวถึงนี้ ไม่เพียงแต่เป็นการให้การคุ้มครองข้อมูลส่วนบุคคลของลูกค้าเพียงเท่านั้น แต่ยังรวมไปถึง บุคลากรภายในองค์กร ลูกจ้าง และ Partner อีกด้วย
กฎหมาย PDPA บังคับใช้เพื่อเป็นการกำกับดูแลเกี่ยวกับการให้ความคุ้มครองข้อมูลส่วนบุคคล ได้มีการให้สิทธิและการคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคล ซึ่งแน่นอนอยู่แล้วว่าทุก ๆ องค์กรจะต้องปฏิบัติตามสิทธิ ของเจ้าของข้อมูลส่วนบุคคล ดังต่อไปนี้
สิทธิได้รับการแจ้งให้ทราบ
เมื่อองค์กรมีการเก็บรวบรวมข้อมูลส่วนบุคคล ต้องแจ้งเจ้าของข้อมูลส่วนบุคคลให้ทราบถึงรายละเอียดต่าง ๆ รวมถึงวัตถุประสงค์ของการจัดเก็บข้อมูล ก่อนหรือในขณะที่จะมีการจัดเก็บข้อมูลส่วนบุคคล และเน้นย้ำให้เจ้าของข้อมูลส่วนบุคคลเกิดการรับรู้ที่ถูกต้อง ว่าองค์กรมีการเก็บข้อมูลในส่วนใดบ้าง มีเงื่อนไขในเรื่องของระยะเวลาในการเก็บรวบรวมข้อมมูลส่วนบุคคลอย่างไร และแจ้งสิทธิของเจ้าของข้อมูลให้ทราบ ว่าเจ้าของข้อมูลมีสิทธิในเรื่องใดบ้าง โดยต้องใช้ข้อความที่ไม่กำกวม อ่านแล้วเข้าใจง่าย ชัดเจน
สิทธิขอเข้าถึงข้อมูลส่วนบุคคล และ สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล
องค์กรต้องมีการจัดเตรียมช่องทางการติดต่อ เพื่อให้เจ้าของข้อมูลส่วนบุคคลสามารถส่งคำร้องขอ สิทธิขอเข้าถึงข้อมูลส่วนบุคคล เพื่อขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตนเองได้ หรือสามารถขอให้องค์กรเปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคล และเจ้าของข้อมูลสามารถส่งคำร้องขอ ขอแก้ไขข้อมูลส่วนบุคคลของตนเองเมื่อใดก็ได้ โดยองค์กรจะต้องจัดการแก้ไขข้อมูลส่วนบุคคลของเจ้าของข้อมูลให้มีความถูกต้อง เป็นปัจจุบัน และไม่ก่อให้เกิดความเข้าใจผิด ตามประสงค์ของเจ้าของข้อมมูล ด้วยความเต็มใจ และไม่มีเงื่อนไขใด ๆ ในการให้สิทธิดังกล่าว
สิทธิในการขอให้โอนข้อมูลส่วนบุคคล
องค์กรต้องมีการเตรียมพร้อมในเรื่องของเครื่องมืออุปกรณ์ หรือระบบปฏิบัติการที่สามารถทำการส่งหรือโอนข้อมูลส่วนบุคคลให้แก่เจ้าของข้อมูลส่วนบุคคล หรือสามารถส่งไปยังผู้ควบคุมข้อมูลส่วนบุคคลรายอื่นโดยตรงได้ ตามที่เจ้าของข้อมูลต้องการ
สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคล และ สิทธิขอให้ระงับการใช้ข้อมูล
องค์กรควรสร้างแบบฟอร์มที่เจ้าของข้อมูลสามารถระบุข้อมูลส่วนบุคคลเบื้องต้น เช่น ชื่อ-นามสกุล หรือข้อมูลที่สามารถระบุความสัมพันธ์กับองค์กรได้ ไปจนถึงให้ระบุสิทธิที่ต้องการใช้ และองค์กรต้องจัดเตรียมช่องทางให้สะดวกต่อการส่งคำร้องขอใช้สิทธิในเรื่องของการคัดค้าน ขอให้ลบหรือทำลาย และขอให้ระงับการใช้ข้อมูล ไว้สำหรับเจ้าของข้อมูลส่วนบุคคล โดยองค์กรต้องตรวจสอบว่าสามารถปฏิบัติตามคำร้องขอของเจ้าของข้อมูลได้หรือไม่ หากองค์กรปฏิเสธการคัดค้านจะต้องพิสูจน์ได้ว่า การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้น องค์กรได้แสดงให้เห็นถึงเหตุอันชอบด้วยกฎหมาย หรือเพื่อวัตถุประสงค์เกี่ยวกับการศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิต และเพื่อก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย ให้องค์กรซึ่งเป็นผู้ควบคุมข้อมูลส่วนบุคคลบันทึกการปฏิเสธการคัดค้านพร้อมด้วยเหตุผล และดำเนินการให้ถูกต้อง ตามคำร้องขอของเจ้าของข้อมูลอย่างไม่รอช้า
หากองค์กรมีความรู้ความเข้าใจและดำเนินการตาม PDPA อย่างเคร่งครัด ความเสี่ยงในกรณีการละเมิดข้อมูลส่วนบุคคลก็จะลดลง แต่ก็ต้องไม่ลืมเคารพในหลักสิทธิของเจ้าของข้อมูลส่วนบุคคลตามกฎหมายด้วย ซึ่งเป็นการเพิ่มความน่าเชื่อถือให้แก่องค์กรในสายตาของบุคคลทั่วไปที่ติดต่อกับองค์กรของท่านได้เป็นอย่างดี
