ด้วยกฎหมาย PDPA เป็นกฎหมายที่ออกมาเพื่อคุ้มครองข้อมูลส่วนบุคคล และคุ้มครองสิทธิของเจ้าของข้อมูล ดังนั้นเมื่อองค์กรมีการปรับเปลี่ยนเพื่อปฏิบัติตามกฎหมายฉบับนี้ นอกจากการแจ้งวัตถุประสงค์ และขอความยินยอมในจัดเก็บข้อมูลแล้ว องค์กรยังต้องอำนวยความสะดวกให้กับเจ้าของข้อมูลส่วนบุคคล โดยมีช่องทางให้เจ้าของข้อมูลสามารถใช้สิทธิได้ อย่างเช่น DSAR Automation

ทั้งนี้ ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ระบุถึงสิทธิของเจ้าของข้อมูลส่วนบุคคลเอาไว้ในหลายมาตรา ดังนี้

มาตรา 19
“เจ้าของข้อมูลส่วนบุคคลจะถอนความยินยอมเสียเมื่อใดก็ได้โดยจะต้องถอนความยินยอมได้ง่าย เช่นเดียวกับการให้ความยินยอม เว้นแต่มีข้อจำกัดสิทธิในการถอนความยินยอมโดยกฎหมายหรือ สัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคล ทั้งนี้ การถอนความยินยอมย่อมไม่ส่งผลกระทบต่อ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมไปแล้ว โดยชอบตามที่กำหนดไว้ในหมวดนี้

ในกรณีที่การถอนความยินยอมส่งผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลในเรื่องใด ผู้ควบคุม ข้อมูลส่วนบุคคลต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงผลกระทบจากการถอนความยินยอมนั้น”

มาตรา 23
“ในการเก็บรวบรวมข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้ง ให้เจ้าของข้อมูลส่วนบุคคลทราบก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคลถึงรายละเอียด ดังต่อไปนี้ เว้นแต่เจ้าของข้อมูลส่วนบุคคลได้ทราบถึงรายละเอียดนั้นอยู่แล้ว”

มาตรา 30
“เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคล ที่เกี่ยวกับตนซึ่งอยู่ในความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล หรือขอให้เปิดเผยถึงการได้มา ซึ่งข้อมูลส่วนบุคคลดังกล่าวที่ตนไม่ได้ให้ความยินยอม

ผู้ควบคุมข้อมูลส่วนบุคคลต้องปฏิบัติตามคำขอตามวรรคหนึ่ง จะปฏิเสธคำขอได้เฉพาะในกรณี ที่เป็นการปฏิเสธตามกฎหมายหรือคำสั่งศาล และการเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลนั้น จะส่งผลกระทบที่อาจก่อให้เกิดความเสียหายต่อสิทธิและเสรีภาพของบุคคลอื่น

ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลปฏิเสธคำขอตามวรรคหนึ่ง ให้ผู้ควบคุมข้อมูลส่วนบุคคล บันทึกการปฏิเสธคำขอดังกล่าวพร้อมด้วยเหตุผลไว้ในรายการตามมาตรา 39

เมื่อเจ้าของข้อมูลส่วนบุคคลมีคำขอตามวรรคหนึ่งและเป็นกรณีที่ไม่อาจปฏิเสธคำขอได้ ตามวรรคสอง ให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการตามคำขอโดยไม่ชักช้า แต่ต้องไม่เกินสามสิบวัน นับแต่วันที่ได้รับคำขอ

คณะกรรมการอาจกำหนดหลักเกณฑ์เกี่ยวกับการเข้าถึงและการขอรับสำเนาตามวรรคหนึ่ง รวมทั้ง การขยายระยะเวลาตามวรรคสี่หรือหลักเกณฑ์อื่นตามความเหมาะสมก็ได้”

มาตรา 35-36
“ผู้ควบคุมข้อมูลส่วนบุคคลต้องดำเนินการให้ข้อมูลส่วนบุคคลนั้นถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด

ในกรณีที่เจ้าของข้อมูลส่วนบุคคลร้องขอให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการ ตามมาตรา 35 หากผู้ควบคุมข้อมูลส่วนบุคคลไม่ดำเนินการตามคำร้องขอ ผู้ควบคุมข้อมูลส่วนบุคคล ต้องบันทึกคำร้องขอของเจ้าของข้อมูลส่วนบุคคลพร้อมด้วยเหตุผลไว้ในรายการตามมาตรา 39”

มาตรา 31
“เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอรับข้อมูลส่วนบุคคลที่เกี่ยวกับตนจากผู้ควบคุม ข้อมูลส่วนบุคคลได้ ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลได้ทำให้ข้อมูลส่วนบุคคลนั้นอยู่ในรูปแบบ ที่สามารถอ่านหรือใช้งานโดยทั่วไปได้ด้วยเครื่องมือหรืออุปกรณ์ที่ทำงานได้โดยอัตโนมัติและสามารถใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้ด้วยวิธีการอัตโนมัติ”

มาตรา 32
“เจ้าของข้อมูลส่วนบุคคลมีสิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคลที่เกี่ยวกับตนเมื่อใดก็ได้”

มาตรา 33
“เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการลบ หรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูล ส่วนบุคคลได้” 

มาตรา 34
“เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลระงับการใช้ ข้อมูลส่วนบุคคลได้”

ดังนั้นจึงสามารถสรุปได้ว่า เจ้าของข้อมูลมีสิทธิดังต่อไปนี้

• สิทธิการได้รับการแจ้งให้ทราบถึงวัตถุประสงค์ 
• สิทธิขอเข้าถึงข้อมูลส่วนบุคคล
• สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล
• สิทธิขอให้ลบหรือทำลายข้อมูล
• สิทธิในการเพิกถอนความยินยอม
• สิทธิขอให้ระงับการใช้ข้อมูล
• สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล
• สิทธิในการขอให้โอนย้ายข้อมูลส่วนบุคคล

นอกจากการจัดให้มีช่องทางการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล ที่เข้าถึงได้ง่าย ช่องทางดังกล่าวยังต้องมีกระบวนการที่รัดกุม โดยมีการยืนยันตัวตน เพื่อป้องกันการสวมรอยของผู้ไม่ประสงค์ดี หรือมิจฉาชีพ 

ไม่มีช่องทางให้ใช้สิทธิ ผิด PDPA หรือไม่?

เนื่องด้วยกฎหมาย PDPA ได้เปิดโอกาสให้เจ้าของข้อมูลสามารถขอใช้สิทธิจัดการกับข้อมูลส่วนบุคคลได้ และผู้ควบคุมข้อมูลส่วนบุคคลจะต้องพิจารณาคำร้องและดำเนินการตามคำร้อง ภายใน 30 วัน นับตั้งแต่วันที่ได้รับคำขอ ดังนั้นการมีระบบรองรับจึงไม่เพียงตอบโจทย์การปฏิบัติงานขององค์กรให้สามารถดำเนินงานได้ทันภายในระยะเวลาที่กำหนด แต่ยังช่วยอำนวยความสะดวกให้กับเจ้าของข้อมลส่วนบุคคล เพื่อรองรับการเข้ามาขอใช้สิทธิตามกฎหมายของเจ้าของข้อมูล เพราะหากผู้ควบคุมข้อมูลส่วนบุคคลไม่สามารถดำเนินการได้ตามกำหนดเวลา และไม่มีเหตุผลเพียงพอ อาจทำให้องค์กรหรือหน่วยงานนั้น ๆ เข้าข่ายผิดกฏหมาย PDPA ตามมาตรา 82 ดังนี้

“ผู้ควบคุมข้อมูลส่วนบุคคลผู้ใดไม่ปฏิบัติตามมาตรา 23 มาตรา 30 วรรคสี่ มาตรา 39 วรรคหนึ่ง มาตรา 41 วรรคหนึ่ง หรือมาตรา 42 วรรคสองหรือวรรคสาม หรือไม่ขอ ความยินยอมตามแบบหรือข้อความที่คณะกรรมการประกาศกำหนดตามมาตรา 19 วรรคสาม หรือ ไม่แจ้งผลกระทบจากการถอนความยินยอมตามมาตรา 19 วรรคหก หรือไม่ปฏิบัติตามมาตรา 23 ซึ่งได้นำมาใช้บังคับโดยอนุโลมตามมาตรา 25 วรรคสอง ต้องระวางโทษปรับทางปกครองไม่เกิน หนึ่งล้านบาท”

ด้วยเหตุนี้ Security Pitch จึงขอเสนอ แพลตฟอร์ม OneFence ที่ช่วยบริหารจัดการความปลอดภัยแบบครบวงจร โดยมีโซลูชัน Privacy Management ช่วยบริหารจัดการช่องทางใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล ผ่านเครื่องมือ DSAR Automation ซึ่งเจ้าของข้อมูลสามารถเข้าถึงและจัดการสิทธิได้ตามที่ระบุไว้ในกฎหมาย PDPA โดยสามารถออกแบบกระบวนการจัดการคำขอได้อย่างเป็นระบบ สามารถมอบหมายงาน แจ้งเตือนให้กับผู้ที่มีหน้าที่รับผิดชอบได้โดยอัตโนมัติ พร้อมทั้งสร้างช่องทางสื่อสารระหว่างเจ้าของข้อมูลและผู้ดำเนินการได้โดยตรง จัดการขั้นตอนที่ยุ่งยากให้ง่ายขึ้นด้วยกระบวนการทำงานอย่างเป็นระบบ

สอบถามข้อมูลผลิตภัณฑ์ “OneFence”

Tel. : 081-972-2500
Line : @securitypitch
Email : [email protected]

บทความที่น่าสนใจ

• สิทธิและ “ความยินยอม” ของผู้ป่วย สำคัญอย่างไรกับสถานพยาบาล
• ความปลอดภัยในสถานพยาบาล กับ สิทธิในการปกปิดข้อมูลของผู้ป่วย
• DSAR กับการเข้ามาเป็นส่วนหนึ่งของกฎหมาย PDPA