สรุปสิทธิพื้นฐานของเจ้าของข้อมูลส่วนบุคคล และหน้าที่ผู้ควบคุมข้อมูลตาม PDPA
สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Rights) ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) มีทั้งหมด 8 ประการหลัก เพื่อให้เจ้าของข้อมูลสามารถควบคุมการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของตนเองได้ โดยมีรายละเอียดดังนี้ :
1. สิทธิได้รับการแจ้งให้ทราบ (Right to be informed): สิทธิได้รับแจ้งรายละเอียดการเก็บรวบรวม การใช้ หรือการเปิดเผยข้อมูลส่วนบุคคลล่วงหน้าหรือขณะเก็บข้อมูล
2. สิทธิขอเข้าถึงข้อมูลส่วนบุคคล (Right of access): สิทธิขอเข้าถึงและรับสำเนาข้อมูลที่ตนเองให้ไว้ รวมถึงขอให้เปิดเผยที่มาของข้อมูล
3. สิทธิขอแก้ไขข้อมูลส่วนบุคคล (Right to rectification): สิทธิขอให้แก้ไขข้อมูลที่ไม่ถูกต้อง ไม่เป็นปัจจุบัน หรือไม่สมบูรณ์
4. สิทธิขอให้ลบหรือทำลายข้อมูล (Right to erasure/deletion): สิทธิขอให้ผู้ควบคุมข้อมูลลบ ทำลาย หรือทำให้ข้อมูลเป็นนิรนาม (Anonymized) เมื่อหมดความจำเป็นหรือถอนความยินยอม
5. สิทธิขอระงับการใช้ข้อมูล (Right to restrict processing): สิทธิขอให้ระงับการใช้ข้อมูลชั่วคราว หากอยู่ในระหว่างตรวจสอบหรือข้อมูลไม่จำเป็นต้องเก็บแล้ว
6. สิทธิขอให้โอนย้ายข้อมูล (Right to data portability): สิทธิขอรับข้อมูลของตนเองในรูปแบบที่อ่านได้ด้วยเครื่องอัตโนมัติ และส่ง/โอนข้อมูลไปยังผู้ควบคุมข้อมูลรายอื่น
7. สิทธิคัดค้านการประมวลผล (Right to object): สิทธิคัดค้านการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูล หากการประมวลผลทำเพื่อวัตถุประสงค์การตลาด หรือการศึกษาวิจัย
8. สิทธิเพิกถอนความยินยอม (Right to withdraw consent): สิทธิถอนความยินยอมที่เคยให้ไว้ได้ตลอดเวลา โดยผู้ควบคุมข้อมูลต้องทำได้ง่ายเหมือนตอนให้ความยินยอม
สิทธิหน้าที่ผู้ควบคุมข้อมูลตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ที่สรุปใจความสำคัญแบบง่าย ๆ มีทั้งหมด 8 ประการหลัก เพื่อควบคุมดูแลข้อมูลส่วนบุคคลของเจ้าของข้อมูล โดยมีรายละเอียดดังนี้ :
1. แจ้งวัตถุประสงค์ (Privacy Notice): แจ้งเจ้าของข้อมูลทราบถึงเหตุผลการเก็บข้อมูล วัตถุประสงค์ และสิทธิของเจ้าของข้อมูล
2. ขอความยินยอม (Consent): ต้องขอความยินยอมจากเจ้าของข้อมูลอย่างถูกต้องก่อนเก็บรวบรวม ยกเว้นกรณีมีข้อยกเว้นทางกฎหมาย
3. เก็บรวบรวมเท่าที่จำเป็น เก็บรวบรวมเพื่อวัตถุประสงค์ที่ระบุชัดเจนและถูกต้องตามกฎหมาย ในรูปแบบที่อนุญาตให้แสดงรายละเอียดของเจ้าของข้อมูลส่วนบุคคลโดยต้องไม่นานเกินความจำเป็น
4. รักษาความปลอดภัย: ดูแลข้อมูลส่วนบุคคลให้ปลอดภัย เพื่อป้องกันการสูญหาย การเข้าถึง หรือการใช้ข้อมูลโดยไม่ชอบ
5. บันทึกรายการประมวลผล จัดทำ บันทึก และประมวลผลของข้อมูลส่วนบุคคลให้เหมาะสม โดยผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)
6. แจ้งเหตุละเมิด (Data Breach Notification): กรณีข้อมูลรั่วไหล ต้องแจ้ง สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ภายใน 72 ชั่วโมง หากมีความเสี่ยงสูงต่อสิทธิเสรีภาพ
7. แต่งตั้ง DPO (ถ้าจำเป็น): แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) หากกิจกรรมหลักเป็นการประมวลผลข้อมูลปริมาณมากหรือข้อมูลอ่อนไหว
8. จัดทำนโยบายความเป็นส่วนตัว (privacy policy)
แหล่งที่มา pdpa.pro , pdpathailand.com