ทำความเข้าใจกับ “ก.ม.พีดีพีเอ” ประชาชนมีสิทธิอะไรบ้าง?

1 มิ.ย.นี้ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ ก.ม.พีดีพีเอ จะมีผลบังคับใช้แล้ว หลังเลื่อนมา 2 ปี เนื่องจากการแพร่ระบาดของโควิด-19 ส่งผลให้ภาคธุรกิจยังไม่มีความพร้อมในการดำเนินการให้ได้ตามบังคับของ ก.ม. โดยเฉพาะในส่วนผู้ประกอบการรายย่อย และเอสเอ็มอี  

ทั้งนี้ เมื่อ ก.ม.พีดีพีเอ บังคับใช้แล้ว อะไรคือสิ่งที่ประชาชนอย่างเราๆ ต้องทำความเข้าใจบ้าง สามารถติดตามกันได้เลย

ข้อมูลส่วนบุคคล คือออะไร?

คือ ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม เช่น ชื่อ-สกุล ที่อยู่ เลขบัตรประชาชน หมายเลขโทรศัพท์ อีเมล ฯลฯ

บุคคลที่เกี่ยวข้องกับข้อมูลส่วนบุคคล ตาม ก.ม.พีดีพีเอ มีใครบ้าง?

 เจ้าของข้อมูลส่วนบุคคล (Data Subject) โดยหลักการทั่วไปแล้วหมายถึงบุคคลที่ข้อมูลนั้นระบุไปถึง

ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ในส่วนผู้ควบคุมข้อมูลส่วนบุคคลนั้น ก็คือ บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ซึ่งก็คือ องค์กรต่างๆ ทั้งภาครัฐและเอกชน ที่เก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลของประชาชนหรือลูกค้าที่มาใช้บริการ

ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ในส่วนของผู้ประมลผลข้อมูลส่วนบุคคล คือ บุคคลหรือนิติบุคคล ซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคคำสั่งหรือในนามของผู้ควบคุมข้อมูล ส่วนบุคคล เช่น บริการ cloud service เป็นต้น

การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

บุคคล หรือ นิติบุคคล ที่เป็นผู้เก็บข้อมูลส่วนบุคคล หรือเรียกว่า ผู้ควบคุมข้อมูลส่วนบุคคลจะเก็บข้อมูลได้ ต้องดำเนินการดังนี้ คือ เจ้าของข้อมูลส่วนบุคคลต้องให้ความยินยอม และต้องแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล และ Consent ต้องแยกออกจากส่วนอื่นชัดเจน โดยมีแบบหรือข้อความที่อ่านแล้วเข้าใจได้โดยง่ายและต้องไม่เป็นการหลอกลวง นอกจากนี้ ต้องให้เจ้าของข้อมูลส่วนบุคคลสามารถถอนความยินยอมเมื่อใดก็ได้

การบังคับใช้กฎหมาย

สำหรับการบังคับใช้กฎหมายนั้น จะใช้บังคับกับกรณที่ผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคล อยู่ในประเทศไทย

รวมถึงใช้บังคับกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลอยู่นอกประเทศไทย โดยต้องมีกิจกรรมที่เสนอขายสินค้าหรือบริการให้เจ้าของข้อมูลส่วนบุคคลที่อยู่ในประเทศไทย และเฝ้าติดตามเจ้าของข้อมูลส่วนบุคคล ที่เกิดขึ้นในประเทศไทย

 เจ้าของข้อมูลส่วนบุคคลมีสิทธิอะไรบ้าง?

อย่างที่ยอกว่า ก.ม.ฉบับนี้ เน้นการคุ้มครองข้อมูลส่วนบุคคล และให้สิทธิกับเจ้าของข้อมูลในหลายเรื่อง คือ

1. สิทธิในการถอนความยินยอมในกรณีที่ได้ให้ความยินยอมไว้

2. สิทธิในการรับการแจ้งให้ทราบรายละเอียด เช่น เก็บไปใช้เพื่อวัตถุประสงค์อะไร เก็บไว้นานแค่ไหน ฯลฯ

3. สิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคล

4. สิทธิในการให้โอนข้อมูลส่วนบุคคล

5. สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

6. สิทธิขอให้ลบหรือทำลายหรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้

7 สิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคล

8. สิทธิขอให้แก้ไขข้อมูลส่วนบุคคล

อย่างก็ตามในกรณีที่เกิดการละเมิดข้อมูลส่วนบุคคลมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคลนั้น ทางผู้ควบคุมข้อมูลส่วนบุคคล มีหน้าที่ในการแจ้งการละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบ พร้อมกับแนวทางการเยียวยาโดยไม่ชักช้า และเจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญในกรณีที่ผู้ควบคุมข้อมูลมีการฝ่าฝืนหรือไม่ปฏิบัติ ตาม ก.ม.พีดีพีเอ หรือประกาศที่ออกตามมา

ขณะเดียวกัน ผู้ควบคุมข้อมูลส่วนบุคคลซึ่งก็คือ องค์กรต่างๆ มีหน้าที่ในการจัดเก็บบันทึกรายการกิจกรรมเพื่อให้สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล สามารถตรวจสอบได้โดยจะเป็นบันทึกเป็นหนังสือหรือระบบอิเล็กทรอนิกส์ก็ได้.