ความรู้เบื้องต้น PDPA

ความสำคัญของ PDPA  

​​​​​​​        คือ การทำให้เจ้าของข้อมูลมีสิทธิในข้อมูลส่วนตัวที่ถูกจัดเก็บไปแล้ว หรือกำลังจะถูกจัดเก็บมากขึ้น เพื่อสร้างความปลอดภัยและเป็นส่วนตัวให้แก่เจ้าของข้อมูล โดยมีสิทธิที่สำคัญคือ สิทธิการรับทราบและยินยอมให้มีการเก็บข้อมูลส่วนตัว และสิทธิในการขอเข้าถึงข้อมูลส่วนตัว คัดค้านและเพิกถอนการเก็บและนำข้อมูลไปใช้ และสิทธิขอให้ลบหรือทำลายข้อมูลส่วนตัว

        ตัวอย่างข้อมูลส่วนบุคคล (Personal Data) เช่น ชื่อ นามสกุล เลขบัตรประชาชน เลขหนังสือเดินทาง เลขใบอนุญาตขับขี่  เบอร์โทรศัพท์ อีเมลส่วนตัว ที่อยู่ปัจจุบัน น้ำหนักส่วนสูง วันเดือนปีเกิด รูปถ่าย ประวัติการทำงาน ข้อมูลการศึกษา ทะเบียนรถยนต์ โฉนดที่ดิน ทะเบียนบ้าน ข้อมูลบนอินเทอร์เน็ตที่ระบุตัวตนได้ เช่น Username - password, Cookies IP address, GPS Location

        สำหรับข้อมูลที่ไม่สามารถระบุตัวตนของเจ้าของบุคคลได้ เช่น ข้อมูลของบริษัท อีเมลบริษัท  ข้อมูลผู้ตาย เลขทะเบียนบริษัท เบอร์โทรศัพท์บริษัท ที่อยู่สำนักงาน จะไม่ถือว่าเป็นข้อมูลส่วนบุคคล

        นอกจากนี้ยังมี ข้อมูลที่มีความอ่อนไหว (Sensitive personal data) ที่ผู้ควบคุมข้อมูลส่วนบุคคลต้องระมัดระวังในการจัดเก็บรวบรวม  หรือเปิดเผยข้อมูล เพราะเป็นข้อมูลที่มีความละเอียดอ่อนและอาจส่งผลกระทบที่ร้ายแรงต่อเจ้าของข้อมูลได้ ทั้งในแง่ของการทำงาน สังคม และชีวิตความเป็นอยู่ โดยเฉพาะอาจนำไปสู่การเลือกปฏิบัติได้ ตัวอย่างเช่น เชื้อชาติ ศาสนา เผ่าพันธุ์ ความเห็นทางการเมือง พฤติกรรมทางเพศ ความเชื่อ ประวัติอาชญากรรม ข้อมูลด้านสุขภาพ ข้อมูลพันธุกรรม ข้อมูลชีวภาพ ข้อมูลทางการเงิน เป็นต้น

ขอยกตัวอย่างข้อมูลส่วนบุคคล
ถ้ามีคนพูดว่า  ชายสวมเสื้อสีน้ำเงินมีรูปร่างท้วม ผมบาง  อายุ 44 ปี ทำงานที่มูลนิธิแม่ฟ้าหลวงฯ ข้อมูลนี้ถือว่าเป็นข้อมูลส่วนบุคคลอยู่นะครับ เพียงแต่พูดถึงตัวบุคคลทางอ้อม สำหรับบุคคลที่เกี่ยวข้องกับ PDPA จะประกอบด้วย เจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคล คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

สำหรับบุคคลที่เกี่ยวข้องกับ PDPA จะประกอบด้วย เจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคล คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

เจ้าของข้อมูลส่วนบุคคล คือ บุคคลธรรมดาซึ่งเป็นเจ้าของข้อมูลส่วนบุคคล รวมถึงผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ หรือผู้ที่มีอำนาจกระทำการแทนคนไร้ความสามารถ ซึ่งภายใต้พรบ. คุ้มครองข้อมูลส่วนบุคคลได้ให้การปกป้องคุ้มครองสิทธิบุคคลในกลุ่มนี้เป็นหลัก

ผู้ควบคุมข้อมูลส่วนบุคคล (Data controller) คือ บุคคลหรือนิติบุคคลที่มีอำนาจหน้าที่ตัดสินใจ เกี่ยวกับการเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลนี้มีหน้ารับผิดชอบต่อข้อมูลส่วนบุคคล ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล

ผู้ประมวลผลข้อมูลส่วนบุคคล (Data processor) คือ บุคคลหรือนิติบุคคลที่ดำเนินการเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคลตามคำสั่งของผู้ควบคุมข้อมูลส่วนบุคคล

คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล คือ คณะกรรมการจากภาครัฐที่ได้รับการแต่งตั้งขึ้น มีหน้าที่ในการกำกับดูแล ออกหลักเกณฑ์ รับเรื่องร้องเรียนและตรวจสอบ รวมถึงส่งเสริมและสนับสนุนให้เกิดการพัฒนาด้านการคุ้มครองข้อมูล
ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล

การขอและถอนความยินยอมข้อมูลส่วนบุคคลจากเจ้าของข้อมูล ต้องทำอย่างไร

• การขอความยินยอมข้อมูลส่วนบุคคล ทำได้โดยเขียนเป็นลายลักษณ์อักษรทางหนังสือหรือผ่านทางระบบอิเล็กทรอนิกส์
  โดยต้องมีรายละเอียด เช่น ข้อความขอความยินยอมอย่างชัดเจน วัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ข้อมูลที่จัดเก็บ ระยะเวลาในการจัดเก็บ ผลกระทบเมื่อเจ้าของข้อมูลไม่ยินยอม ข้อความต้องเข้าใจง่าย ไม่หลอกลวงและคำนึงถึงความเป็นอิสระของเจ้าของข้อมูล

• ส่วนการถอนความยินยอมของข้อมูลส่วนบุคคล ผู้ที่เป็นเจ้าของข้อมูลสามารถถอนความยินยอมเมื่อใดก็ได้และต้องถอน ความยินยอมนั้นๆ ได้โดยง่ายเหมือนตอนที่ให้ความยินยอม และผู้ควบคุมข้อมูลจะต้องแจ้งให้เจ้าของข้อมูลทราบ  ถึงผลกระทบเมื่อเจ้าของข้อมูลถอนความยินยอม

สำหรับเจ้าของข้อมูลส่วนบุคคล เรามีสิทธิอะไรบ้างมาดูกัน

เจ้าของข้อมูลส่วนบุคคล (Data subject) มีสิทธิกับข้อมูลของตนเอง ตามมาตรา 30- 35 ใน พรบ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) ดังนี้

• สิทธิได้รับการแจ้งให้ทราบ ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบก่อนหรือในขณะที่เก็บรวบรวมข้อมูลส่วนบุคคล พร้อมระบุรายละเอียดการขอข้อมูล เช่น เก็บข้อมูลอะไร วัตถุประสงค์ การนำไปใช้ ระยะเวลาในการเก็บ เป็นต้น
• สิทธิขอเข้าถึงข้อมูลส่วนบุคคล  เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคล ที่เกี่ยวกับตนซึ่งอยู่ในความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล หรือขอให้เปิดเผยถึงการได้มา ของข้อมูลส่วนบุคคลที่ตนไม่ได้ให้ความยินยอม
• สิทธิในการขอให้โอนข้อมูลส่วนบุคคล  เป็นสิทธิที่เจ้าของข้อมูลสามารถนำเอาข้อมูลที่ให้ไว้กับผู้ควบคุมข้อมูลรายหนึ่ง ไปใช้กับผู้ควบคุมข้อมูลอีกรายหนึ่งได้
• สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคลที่เกี่ยวกับตนเมื่อใดก็ได้
• สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัว
• สิทธิขอให้ระงับการใช้ข้อมูล - เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลระงับการใช้ ข้อมูลส่วนบุคคลได้
• สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล – ผู้ควบคุมข้อมูลส่วนบุคคลต้องดำเนินการให้ข้อมูลส่วนบุคคลนั้นถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด