ปกป้ององค์กรของคุณอย่างไรให้ไม่ผิด PDPA ? รู้จัก 7 สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Right)

สิทธิของเจ้าของข้อมูลส่วนบุคคล

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ PDPA (Personal Data Protection Act) มีข้อกำหนดที่ให้ ‘สิทธิแก่เจ้าของข้อมูลส่วนบุคคล’ ในการร้องขอให้ผู้ควบคุมข้อมูลดำเนินการตามสิทธิที่ได้ระบุไว้ในมาตรา 30 โดยมีข้อความดังนี้

          “เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวข้องกับตนซึ่งอยู่ในความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล หรือ ขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลดังกล่าว ที่ตนไม่ได้ให้ความยินยอม”

ในยุคปัจจุบันที่เทคโนโลยีมีความก้าวหน้า การแข่งขันก็ค่อนข้างสูง เรียกได้ว่าองค์กรไหนที่มี “ข้อมูล” มากกว่า ก็จะมีความได้เปรียบในเรื่องของการพัฒนาสินค้าหรือบริการ ให้ตอบสนองต่อความต้องการของผู้บริโภคได้ดีกว่า ซึ่งในหลาย ๆ องค์กรก็ได้เล็งเห็นถึงผลประโยชน์และหันมาให้ความสำคัญกับการเก็บข้อมูลส่วนบุคคลลูกค้า เพื่อนำไปใช้ในการพัฒนาต่อยอดธุรกิจให้เติบโตยิ่งขึ้น แต่ช้าก่อนการที่องค์กรจะเก็บข้อมูลของใครก็ตามก็จำเป็นต้องคำนึงถึง  พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ ที่เราเรียกกันสั้น ๆ ว่า PDPA ก่อน 

ในฐานะหน่วยงาน หรือองค์กรที่ต้องมีการประมวลผลข้อมูลส่วนบุคคล ณ ที่นี้หมายถึงการ การเก็บรวบรวม ใช้ และเผยแพร่ข้อมูลต่อหน่วยงานที่เกี่ยวข้องต่าง ๆ ไม่เพียงแต่ต้องรู้ฐานทางกฎหมาย (lawful basis) แต่ยังต้องรู้ สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Right) ด้วย 

แล้ว…สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Right) มีอะไรบ้างหละ 

  • สิทธิในการเพิกถอนความยินยอม

กรณีองค์กรมีการขอความยินยอมจากเจ้าของข้อมูล เพื่อที่จะเก็บรวบรวม หรือเพื่อที่จะทำการตลาดต่าง ๆ  เจ้าของข้อมูลฯจะมีสิทธิในการเพิกถอนความยินยอมเมื่อใดก็ได้ (แต่ต้องไม่ขัดต่อสัญญา) และองค์กรจะต้องปฏิบัติตามสิ่งที่เจ้าของข้อมูลร้องขอมา เพราะฉะนั้นการอ้างอิงฐานการขอความยินยอม จึงควรจะเป็นฐานอ้างอิงสุดท้ายที่นำมาใช้ 

  • สิทธิในการขอเข้าถึงข้อมูลส่วนบุคคล

เจ้าของข้อมูลมีสิทธิขอเข้าถึงข้อมูลที่เกี่ยวกับตนเองหรือขอให้เปิดเผยถึงการได้มาของข้อมูล ซึ่งทางองค์กรจะต้องปฏิบัติตาม แต่ก็สามารถที่จะปฏิเสธได้กรณีมีคำสั่งศาลหรือกฎหมายหรือเป็นการขอที่เข้าข่ายอาจก่อให้เกิดความเสียหายต่อสิทธิและเสรีภาพผู้อื่น

  • สิทธิในการขอแก้ไขข้อมูลส่วนบุคคล

เจ้าของข้อมูลสามารถใช้สิทธิในการร้องขอให้แก้ไขข้อมูลให้ ถูกต้อง เป็นปัจจุบัน สมบูรณ์ และเพื่อไม่ให้ก่อให้เกิดความเข้าใจผิด 

  • สิทธิในการขอให้ลบหรือทำลายข้อมูล

เจ้าของข้อมูลสามารถใช้สิทธิในการร้องขอให้ลบหรือทำลายข้อมูลของตน กรณีมีการยื่นร้องทางองค์กรจะต้องปฏิบัติตามโดยการลบข้อมูลหรือทำลายข้อมูลของเจ้าของข้อมูลส่วนบุคคลนั้น แต่ทางองค์กร ก็สามารถปฏิเสธที่จะปฏิบัติตามการร้องขอ ถ้าเกิดว่าการร้องขอดังกล่าวขัดกับข้อกฎหมาย หรือ ฐานกฎหมายที่ใช้อ้างอิง

  • สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล

เจ้าของข้อมูลมีสิทธิที่จะคัดค้านการใช้ข้อมูลส่วนบุคคลของตนได้ในบางกรณี ซึ่งหากเป็นการใช้ข้อมูลส่วนบุคคลของตนเพื่อการตลาดเจ้าของข้อมูลสามารถคัดค้านได้เสมอ เว้นแต่มีกรณีที่เจ้าของข้อมูลไม่สามารถคัดค้านได้ดังต่อไปนี้

  • ประมวลผลเพื่อวัตถุประสงค์ในการวิจัยทางวิทยาศาสตร์ หรือวัตถุประสงค์ทางสถิติ
  • เหตุผลอันชอบธรรมสำหรับข้อมูลที่จำเป็นต้องได้รับการประมวลผลซึ่งแทนที่ผลประโยชน์สิทธิและเสรีภาพของแต่ละบุคคล เช่น สิทธิประโยชน์ที่จะได้รับจากภาครัฐ

  • สิทธิในการขอโอนย้ายข้อมูลส่วนบุคคล

เจ้าของข้อมูลสามารถขอโอนย้ายข้อมูลส่วนบุคคลของตนเองไปยังหน่วยงานหรือองค์กรอื่น  องค์กรต้นทางจะต้องอำนวยความสะดวกในการถ่ายโอนข้อมูลดังกล่าว แต่มีเงื่อนไขว่า ต้องเป็นไปตามความยินยอมของเจ้าของข้อมูล หรือ ทำสัญญากับเจ้าของข้อมูลไว้เท่านั้น

  • สิทธิในการขอระงับการประมวลผลข้อมูลส่วนบุคคล

เจ้าของข้อมูลสามารถใช้สิทธิในการระงับการประมวลผลข้อมูลส่วนบุคคลเอาไว้เป็นระยะเวลาชั่วคราว ได้ แต่หากองค์กรปฏิเสธที่จะปฏิบัติตามคำร้องจำเป็นจะต้องมีการแจ้งถึงเหตุผลในการปฏิเสธที่จะปฏิบัติตามคำร้องของเจ้าของข้อมูล

เห็นกันแล้วนะครับว่าหากองค์กรมีความรู้ความเข้าใจและดำเนินการตาม PDPA อย่างเคร่งครัด ความเสี่ยงในกรณีการละเมิดข้อมูลส่วนบุคคลก็จะลดลงเช่นกัน อย่างไรก็ตามหน่วยงานหรือองค์กรต้องไม่ลืมเคารพในหลักสิทธิของเจ้าของข้อมูลส่วนบุคคลตามกฎหมายด้วย ซึ่งเป็นการลดความเสี่ยงการถูกฟ้องร้อง อีกทั้งยังเพิ่มความน่าเชื่อถือให้แก่องค์กรในสายตาของบุคคลทั่วไปที่ติดต่อกับองค์กรของท่านได้เป็นอย่างดี