ep. 1 “ใครเป็นใครใน PDPA” (เผยแพร่เมื่อวันที่ 25 พฤศจิกายน 2563)
ep. 1.1 “พนักงาน ไม่ใช่ ผู้ควบคุมข้อมูลส่วนบุคคล” (เผยแพร่เมื่อวันที่ 27 พฤศจิกายน 2563)
ep. 1.2 “พนักงาน ไม่ใช่ ผู้ประมวลผลข้อมูลส่วนบุคคล” (เผยแพร่เมื่อวันที่ 2 ธันวาคม 2563)
ep. 2 “หลักการเก็บรวบรวมข้อมูลส่วนบุคคล” (เผยแพร่เมื่อวันที่ 7 ธันวาคม 2563)
ep. 2.1 “Vital Interest” (เผยแพร่เมื่อวันที่ 5 มกราคม 2564)
ep. 2.2 “สัญญา (Contract)” (เผยแพร่เมื่อวันที่ 11 มกราคม 2564)
ep. 2.3 “ภารกิจของรัฐ (Public Task)” (เผยแพร่เมื่อวันที่ 19 มกราคม 2564)
ep. 2.4 “หน้าที่ตามกฎหมาย (Legal Obligations)” (เผยแพร่เมื่อวันที่ 23 มกราคม 2564)
ep. 2.5 “ประโยชน์อันชอบธรรม (Legitimate Interest)” (เผยแพร่เมื่อวันที่ 4 กุมภาพันธ์ 2564)
ep. 2.6 “ความยินยอม (Consent)” (เผยแพร่เมื่อวันที่ 10 กุมภาพันธ์ 2564)
ep. 3 “สิทธิของเจ้าของข้อมูลส่วนบุคคล” (เผยแพร่เมื่อวันที่ 10 มีนาคม 2564)
ep. 3.1 “สิทธิการได้รับแจ้ง (Right to be Informed)” (เผยแพร่เมื่อวันที่ 13 มีนาคม 2564)
ep. 3.2 “สิทธิในการเพิกถอนความยินยอม (Right to Withdraw Consent)” (เผยแพร่เมื่อวันที่ 19 มีนาคม 2564)
ep. 3.3 “สิทธิในการเข้าถึงข้อมูลส่วนบุคคล (Right of Access)” (เผยแพร่เมื่อวันที่ 26 มีนาคม 2564)
ep. 3.4 “สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง (Right to Rectification)” (เผยแพร่เมื่อวันที่ 30 มีนาคม 2564)
ep. 3.5 “สิทธิในการลบข้อมูลส่วนบุคคล (Right to be Forgotten)” (เผยแพร่เมื่อวันที่ 8 เมษายน 2564)
ep. 1 “ใครเป็นใครใน PDPA”
ep. 1.1 “พนักงาน ไม่ใช่ ผู้ควบคุมข้อมูลส่วนบุคคล”
ep. 1.2 “พนักงาน ไม่ใช่ ผู้ประมวลผลข้อมูลส่วนบุคคล”
ep. 2 “หลักการเก็บรวบรวมข้อมูลส่วนบุคคล” LINK
มาทำความรู้จักกับ 7 หลักการ
ในการเก็บรวบรวมข้อมูลส่วนบุคคล
ตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ มาตรา 24
กำหนดเหตุที่สามารถทำได้โดยชอบด้วยกฎหมาย ดังนี้
1. ได้รับความยินยอมจากเจ้าของข้อมูล (Consent)
2. จำเป็นต่อการทำตามสัญญา (Contract)
3. เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกายหรือสุขภาพ (Vital Interest)
4. เป็นการทำหน้าที่ตามกฎหมายเพื่อประโยชน์สาธารณะหรือการใช้อำนาจรัฐ (Public Task)
5. จำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest)
6. เป็นการปฏิบัติตามกฎหมาย (Legal Obligations)
7. เกี่ยวกับการจัดทำเอกสารประวัติศาตร์ วิจัย หรือสถิติ (Scientific / Historical Research)
.
หากเป็นการเก็บรวบรวมข้อมูล
ตามวัตถุประสงค์ดังกล่าว
แม้เพียงเหตุใดเหตุหนึ่งการเก็บรวบรวมข้อมูลนั้น
ก็จะชอบตามกฎหมาย PDPA
.
???? ดังนั้น จึงไม่จำเป็นว่าจะต้องขอความยินยอม
ในทุกกรณีเสมอไป
ep. 2.1 “Vital Interest” LINK
สาระน่ารู้จากกฎหมายคุ้มครองข้อมูลส่วนบุคคล
Ep.2.1 “Vital Interest”
.
กรณีเป็นการเก็บรวบรวม ใช้ เปิดเผย
“ข้อมูลส่วนบุคคล (Personal Data)”
โดยมีวัตถุประสงค์เพื่อป้องกันหรือระงับอันตราย
รักษาชีวิต ร่างกายหรือสุขภาพเจ้าของข้อมูลส่วนบุคคล
รวมถึงเพื่อประโยชน์สาธารณะ
สามารถทำได้โดยไม่ต้องได้รับความยินยอม
จากเจ้าของข้อมูลส่วนบุคคล
(ตาม มาตรา 24(2))
ตัวอย่าง เก็บข้อมูลชื่อ เบอร์โทรศัพท์ผู้เข้าออกอาคาร
เพื่อป้องกันการแพร่กระจายของสถานการณ์โรคระบาด
แต่ยังคงต้องมีมาตรการรักษาความปลอดภัย
สำหรับข้อมูลส่วนบุคคลนั้นด้วย
.
หากเป็น “ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน
(Sensitive Personal Data)”
เช่น ข้อมูลสุขภาพ ความพิการ ข้อมูลพันธุกรรม/ชีวภาพ
นอกจากเพื่อวัตถุประสงค์ดังกล่าวแล้ว
ยังต้องเป็นกรณีที่เจ้าของข้อมูลส่วนบุคคล
ไม่สามารถให้ความยินยอมได้ด้วย
(ตาม มาตรา 26(1))
ตัวอย่าง โรงพยาบาลเปิดเผยประวัติสุขภาพ
ของผู้ประสบอุบัติเหตุที่กำลังหมดสติ
เพื่อให้ได้รับการรักษาอย่างเร่งด่วน
.
การเก็บรวบรวมข้อมูลส่วนบุคคลตาม PDPA
ในกรณีอื่นรอติดตามต่อได้ใน ep ต่อไป
Ep.2.2 “สัญญา Contract” LINK
สาระน่ารู้จากกฎหมายคุ้มครองข้อมูลส่วนบุคคล
Ep.2.2 “สัญญา Contract”
.
กรณีเป็นการเก็บรวบรวม ใช้ เปิดเผย
“ข้อมูลส่วนบุคคล (Personal Data)”
ที่จำเป็นเพื่อปฏิบัติตามคำขอ
ของเจ้าของข้อมูลส่วนบุคคล
เพื่อเข้าทำสัญญาหรือจำเป็นเพื่อปฏิบัติตามสัญญา
ระหว่างผู้ควบคุมข้อมูลส่วนบุคคลและ
เจ้าของข้อมูลส่วนบุคคล
.
เจ้าของข้อมูลส่วนบุคคล
จำเป็นต้องให้ข้อมูลส่วนบุคคลของตนและ
ผู้ควบคุมข้อมูลส่วนบุคคลจำเป็นต้องใช้ข้อมูลนั้น
ให้สามารถดำเนินการตามสัญญาต่อไปได้
ดังนั้น เมื่อเข้าหลักการเก็บรวบรวมข้อมูล
เพื่อปฏิบัติตามสัญญานี้แล้ว
จึงไม่ต้องขอความยินยอมเพิ่มเติมอีก
(มาตรา 24(3))
.
หลักการเรื่องสัญญานี้
ยังไม่เพียงพอตามกฎหมายที่จะนำไปเก็บรวบรวม
ใช้ หรือเปิดเผยข้อมูลอ่อนไหวตามมาตรา 26
จึงอาจต้องขอความยินยอมชัดแจ้ง
เว้นแต่เป็นกรณีสัญญาให้บริการทางการแพทย์
ที่เข้าเงื่อนไขตามกฎหมาย ตามมาตรา 26(5)(ก)
หรือกรณีตามข้อยกเว้นอื่นที่ไม่ต้องขอความยินยอม
ตามมาตรา 26
.
ตัวอย่าง
-การประมวลผลข้อมูลผู้สมัครบัตรเครดิต
ว่าจะอนุมัติบัตรเครดิตหรือไม่
-การประมวลผลที่อยู่ลูกค้าเพื่อจัดส่งสินค้า
-การประมวลผลบัญชีธนาคารลูกจ้างเพื่อจ่ายค่าจ้าง
Ep.2.3 “ภารกิจของรัฐ Public Task” LINK
กรณีเป็นการเก็บรวบรวม ใช้ หรือเปิดเผย
ข้อมูลส่วนบุคคลที่ “จำเป็น” ต่อการดำเนินภารกิจของรัฐ
เพื่อประโยชน์สาธารณะ โดยมีกฎหมายกำหนดหรือ
ให้อำนาจไว้เฉพาะเจาะจง
ผู้ควบคุมข้อมูลส่วนบุคคลในกรณีนี้จึงเป็น
องค์กรของรัฐหรือหน่วยงานที่ใช้อำนาจรัฐ
การประมวลผลข้อมูลนั้นจึงไม่ต้องขอความยินยอม
(มาตรา 24(4))
เช่น การเก็บรวบรวมข้อมูลของสำนักงานสถิติแห่งชาติ
ทั้งนี้การประมวลผลข้อมูลส่วนบุคคลตามหลักการนี้
ยังคงต้องคำนึงถึงความจำเป็น หลักความโปร่งใส
และหลักการความปลอดภัยของข้อมูล
ผู้ควบคุมข้อมูลส่วนบุคคลยังคงมีหน้าที่
ในการรักษาความปลอดภัยของข้อมูลส่วนบุคคลนั้น
Ep.2.4 “หน้าที่ตามกฎหมาย Legal Obligations” LINK
กรณีเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
จำเป็นต่อการปฏิบัติหน้าที่ตามกฎหมายกำหนด
ไม่ว่าจะเป็นตามบทบัญญัติแห่งกฎหมาย
หรือตามคำสั่งของหน่วยงานรัฐที่มีอำนาจ
หากผู้ควบคุมข้อมูลส่วนบุคคลสามารถอธิบาย
การปฏิบัติตามหน้าที่นั้นได้อย่างชัดเจน
ว่าปฏิบัติหน้าที่ตามบทบัญญัติใดหรือ
ปฏิบัติตามคำสั่งของหน่วยงานใดของรัฐ
การประมวลผลเพื่อการดังกล่าว
ไม่ต้องขอความยินยอมอีก
(มาตรา 24(6))
.
อย่างไรก็ตาม แม้ผู้ควบคุมจะประมวลผลตามกฎหมาย
ผู้ควบคุมยังคงมีหน้าที่จัดทำบันทึกรายการกิจกรรม
(Record of Processing Activities: ROP)
.
ตัวอย่าง
-เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลเงินเดือนลูกจ้าง
เพื่อคำนวณจ่ายค่าประกันสังคม
ส่งให้กับสำนักงานประกันสังคม
Ep.2.5 “ประโยชน์อันชอบธรรม Legitimate Interest” LINK
การประมวลผลข้อมูลที่จำเป็นเพื่อประโยชน์อันชอบธรรม
ของผู้ควบคุมข้อมูลหรือบุคคลอื่น
สาระสำคัญคือประโยชน์อันชอบธรรมนั้น
‘ต้องไม่เกินไปกว่าความคาดหมายของเจ้าของข้อมูล’
เช่น การติด CCTV หน้าประตูทางเข้าบริษัท
ย่อมคาดหมายได้ว่าเป็นไปเพื่อการรักษาความปลอดภัย
ผู้ควบคุมข้อมูลสามารถทำให้เจ้าของข้อมูล
มีความคาดหมายที่ถูกต้องเพิ่มเติมได้โดยการแปะป้าย
“ CCTV กำลังทำงาน ”
.
ผู้ควบคุมข้อมูลส่วนบุคคลต้องใช้ดุลยพินิจ
ชั่งน้ำหนักระหว่างประโยชน์อันชอบธรรม
ไม่ให้ขัดกับสิทธิและประโยชน์เจ้าของข้อมูลส่วนบุคคล
ดังนั้น ผู้ควบคุมข้อมูลส่วนบุคคลต้องระบุได้ว่า
อะไรคือประโยชน์อันชอบธรรมที่จะได้รับ
และความจำเป็นในการประมวลผลข้อมูล
ทั้งยังมีหน้าที่ปกป้องสิทธิเสรีภาพและประโยชน์
ของเจ้าของข้อมูลส่วนบุคคลให้สมดุลกับ
ประโยชน์อันชอบธรรมที่จะได้รับด้วย
(มาตรา 24(5))
.
ตัวอย่างคือ หากติดกล้อง CCTV ในสถานที่
เช่น ภายในห้องน้ำ นอกจากเกินกว่าที่บุคคลทั่วไป
จะคาดหมายได้แล้ว ยังก้าวล่วงความเป็นส่วนตัว
และสร้างความเสี่ยงต่อเจ้าของข้อมูลมากเกินสมควร
กรณีนี้ก็จะไม่สามารถอ้างประโยชน์อันชอบธรรมได้
.
นอกจากนี้ ในการปกป้องสิทธิเสรีภาพ
และประโยชน์ของเจ้าของข้อมูล
ผู้ควบคุมข้อมูลควรจะมีระบบรักษาความปลอดภัย
ในการใช้ข้อมูลจากกล้องให้อยู่ในขอบเขตที่เหมาะสม
ไม่เปิดเผยให้ผู้อื่นเข้าถึงได้โดยง่าย ก็จะเป็นมาตรการ
ที่ช่วยคุ้มครองเจ้าของข้อมูลได้อีกทางหนึ่ง (Safeguard)
Ep 2.6 “ความยินยอม Consent” LINK
ขอความยินยอมอย่างไร? ให้ถูกต้องตามกฎหมาย PDPA
•
กรณีมีความจำเป็นต้องเก็บรวบรวมข้อมูลส่วนบุคคล
โดยไม่มีฐานการประมวลผลอื่นตามมาตรา 24
ผู้ควบคุมต้องได้รับความยินยอมจากเจ้าของข้อมูล
ก่อนหรือขณะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลนั้น
โดยใช้แบบหรือข้อความที่เข้าใจง่าย แยกเป็นสัดส่วน ทำเป็นหนังสือหรือระบบอิเล็กทรอนิกส์ก็ได้
ต้องไม่เป็นการหลอกลวงหรือมีเงื่อนไขแอบแฝง
เพื่อประมวลผลข้อมูลที่ไม่จำเป็นหรือไม่เกี่ยวข้อง
•
สำคัญคือ เจ้าของข้อมูลต้องมีอิสระและทำโดยสมัครใจ สามารถเลือกได้ว่าจะให้ความยินยอมหรือปฎิเสธ
ทั้งนี้ แม้ให้ความยินยอมไปแล้ว เจ้าของข้อมูลก็สามารถถอนความยินยอมได้ เว้นแต่มีข้อจำกัดตามกฎหมาย โดยการถอนความยินยอมต้องสามารถทำได้ง่าย (เรียกได้ว่าง่ายเหมือนกับตอนให้ความยินยอม)
•
ดังนั้น จึงไม่ควรขอความยินยอมโดยไม่จำเป็น
ซึ่งจริง ๆ แล้ว การทำกิจกรรมส่วนใหญ่สามารถทำได้
โดยไม่ต้องขอความยินยอม เพราะมีเหตุอื่นให้ใช้ได้
เช่น การปฏิบัติตามสัญญา การปฏิบัติตามกฎหมาย
เพียงแต่ผู้ควบคุมข้อมูลมีหน้าที่ต้องแจ้ง ให้เจ้าของข้อมูลทราบถึงวัตถุประสงค์นั้น
•
ตัวอย่าง
การประมวลผลข้อมูลเพื่อซื้อขายสินค้า สามารถทำได้ตามฐานสัญญาโดยไม่ต้องขอความยินยอม แต่หากเสนอบริการเสริมเพิ่มเติม ที่ไม่เกี่ยวข้องกับสัญญาซื้อขายนั้น ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล
•
และการขอความยินยอมจะต้องไม่แสร้งว่า
เป็นส่วนหนึ่งของสัญญาหรือเงื่อนไขในการให้บริการ
หรือทำให้เข้าใจผิดว่าหากไม่ให้ความยินยอมแล้ว
เจ้าของข้อมูลจะไม่ได้รับบริการนั้น ๆ
•
กรณีผู้ควบคุมมีการประมวลผลข้อมูลส่วนบุคคล หลายอย่างเพื่อวัตถุประสงค์เดียวกัน สามารถรวมอยู่ในความยินยอมครั้งเดียวได้ แต่หากใช้ข้อมูลส่วนบุคคลชุดเดียวกัน เพื่อประมวลผลหลายวัตถุประสงค์
ต้องให้เจ้าของข้อมูลมีทางเลือกได้ว่า ยินยอมสำหรับวัตถุประสงค์ใดบ้าง
•
เนื่องจากแต่ละองค์กรมีรูปแบบและลักษณะที่แตกต่างกัน รูปแบบการขอความยินยอมของแต่ละองค์กร จึงสามารถออกแบบและปรับให้เหมาะสมกับกิจกรรมการประมวลผลของตนได้
•
‼️ย้ำอีกครั้งว่าตามกฎหมาย PDPA ไม่ได้กำหนดให้ต้องขอความยินยอมในทุกกรณี หากวัตถุประสงค์การประมวลผลข้อมูล เข้าหลักการข้ออื่นโดยชอบด้วยกฎหมายแล้ว ก็ไม่ต้องนำเรื่องความยินยอมมาใช้
(แต่ยังมีหน้าที่ในการแจ้งเจ้าของข้อมูลส่วนบุคคลอยู่)
Ep. 3 “สิทธิของเจ้าของข้อมูลส่วนบุคคล” LINK
“รู้เรื่องสิทธิ ง่ายนิดเดียว” EP. 3 สิทธิของเจ้าของข้อมูลส่วนบุคคล
รู้หรือไม่?
ตาม พ.ร.บ. #คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
มีการรับรองสิทธิของเจ้าของ #ข้อมูลส่วนบุคคล ทั้งหมด 8 สิทธิ
มาทำความรู้จักและเข้าใจการได้รับสิทธิตามกฎหมาย
มีอะไรบ้างไปดูกัน...
1. สิทธิการได้รับแจ้ง (Right to be Informed) - มาตรา 23
*เป็นสิทธิที่เจ้าของข้อมูลส่วนบุคคล ทุกคน ได้รับโดยไม่ต้องมีการร้องขอ*
2. สิทธิในการเพิกถอนความยินยอม (Right to Withdraw Consent) - มาตรา 19
3. สิทธิในการเข้าถึงข้อมูลส่วนบุคคล (Right of Access) - มาตรา 30
4. สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง (Right to Rectification) มาตรา 35, มาตรา 36
5. สิทธิในการลบข้อมูลส่วนบุคคล (Right to be Forgotten) - มาตรา 33
6. สิทธิในการห้ามมิให้ประมวลผลข้อมูลส่วนบุคคล (Right to Restrict of Processing) - มาตรา 34
7. สิทธิในการให้โอนย้ายข้อมูลส่วนบุคคล (Right of Data Portability) - มาตรา 31
8. สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล (Right to Object) – มาตรา 32
*** วิธีการใช้สิทธิข้อ 2-8 เป็นไปตามกฎหมายกำหนด***
EP. 3.1 สิทธิการได้รับแจ้ง Right to be Informed - มาตรา 23 LINK
•
เจ้าของข้อมูลส่วนบุคคลมีสิทธิได้รับแจ้งรายละเอียดอะไรบ้าง?
และหากผู้ควบคุมข้อมูลส่วนบุคคลไม่ดำเนินการจะมีผลอย่างไร?
•
หลักสำคัญของสิทธินี้คือ เป็นสิทธิที่เจ้าของข้อมูลส่วนบุคคล ทุกคน ได้รับโดยไม่ต้องมีการร้องขอ
•
ตามกฎหมายแล้วผู้ควบคุมข้อมูลส่วนบุคคล จะต้อง แจ้งวัตถุประสงค์และรายละเอียดของการประมวลผลข้อมูลส่วนบุคคล
ให้เจ้าของข้อมูลส่วนบุคคลทราบ ไม่ว่าจะด้วยวิธีการใดก็ตาม
เพื่อให้เจ้าของข้อมูลส่วนบุคคลรู้ว่าข้อมูลของตนจะถูกนำไปใช้ทำอะไร?
*การประมวลผล หมายถึง การเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลส่วนบุคคล
•
รายละเอียดการแจ้งให้ทราบ ต้องมีอย่างน้อย
- เก็บข้อมูลอะไรบ้าง
- เก็บไปทำไม
- เก็บนานแค่ไหน
- ส่งต่อข้อมูลให้ใคร
- ช่องทางติดต่อผู้ควบคุมข้อมูล
•
* หากเก็บรวบรวมข้อมูลจากแหล่งอื่นก็ต้องแจ้งเจ้าของข้อมูลทราบด้วย (มาตรา 25)
•
*กรณีมีการแก้ไขวัตถุประสงค์ในภายหลัง
จะต้องแจ้งให้ทราบหากวัตถุประสงค์ที่แก้ไขนั้นมีความแตกต่างไปจากวัตถุประสงค์เดิม
•
หากผู้ควบคุมข้อมูลส่วนบุคคลไม่ปฏิบัติตามกฎหมายแจ้งรายละเอียดให้เจ้าของข้อมูลทราบ
ถือเป็นความผิดตามพระราชบัญญัติฉบับนี้ โดยมีบทลงโทษเป็นโทษปรับทางปกครองไม่เกิน 1,000,000 บาท
(มาตรา 82)
•
ติดตามรายละเอียดของสิทธิได้ในครั้งต่อไป
เพื่อความเข้าใจในเรื่องสิทธิและเตรียมพร้อมในการปฏิบัติตามข้อกำหนดของ่กฎหมาย
ได้อย่างถูกต้อง
EP. 3.2 สิทธิในการเพิกถอนความยินยอม Right to Withdraw Consent - มาตรา 19 LINK
EP. 3.2 สิทธิในการเพิกถอนความยินยอม Right to Withdraw Consent - มาตรา 19
.
หากเราเคยตกลงยินยอมเกี่ยวกับบริการเสริม และกังวลว่าจะถูกเก็บข้อมูลส่วนบุคคลมากจนเกินไป
สามารถของเพิกถอนความยินยอมนั้นได้หรือไม่???
.
หลักการสำคัญคือ เจ้าของข้อมูลส่วนบุคคลมีสิทธิที่จะเพิกถอนความยินยอมเมื่อใดก็ได้ (มาตรา19)
* ในกรณีที่เป็นการเก็บรวบรวมข้อมูลจากการให้ความยินยอม (Consent)
.
การเพิกถอนความยินยอมจะอยู่ในรูปแบบใดก็ได้ เช่น ทางอิเล็กทรอนิกส์ หรือทำเป็นเอกสารที่เป็นลายลักษณ์อักษร โดยการเพิกถอนจะต้อง มีความชัดเจน เข้าใจง่าย และไม่ยากไปกว่าการขอความยินยอม
.
เมื่อผู้ควบคุมข้อมูลส่วนบุคคลส่วนบุคคลได้รับคำขอการเพิกถอนจากเจ้าของข้อมูลแล้ว
จะต้อง “แจ้งถึงผลกระทบ” จากการถอนความยินยอมและ “หยุดการประมวลผล”
*กรณีการขอถอนความยินยอมโดยผู้เยาว์ให้เป็นไปตามหลักเกณฑ์ในการขอความยินยอม
และ การถอนความยินยอมไม่ส่งผลกระทบต่อการประมวลผลที่ให้ความยินยอมไปแล้ว
.
* การประมวลผล หมายถึง การเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคล
.
หากผู้ควบคุมข้อมูลส่วนบุคคลไม่แจ้งถึงผลกระทบจากการถอนความยินยอม
ต้องระวางโทษปรับทางปกครองไม่เกิน 1,000,000 บาท (มาตรา 82)
.
ติดตามประเด็นเกี่ยวกับสิทธิได้ในครั้งต่อไป
เพื่อที่คุณจะไม่พลาดสิทธิของคุณ และเตรียมพร้อมรับมือได้อย่างถูกต้อง...
EP. 3.3 สิทธิในการเข้าถึงข้อมูลส่วนบุคคล (Right of Access) - มาตรา 30 LINK
เจ้าของข้อมูลสามารถขอเข้าถึงข้อมูลของตนได้ทุกกรณีหรือไม่ ???
และเมื่อผู้ควบคุมข้อมูลได้รับคำขอเข้าถึงข้อมูลแล้วจะต้องดำเนินการตามคำขอนั้น ภายในกี่วัน???
หลักการสำคัญคือ เจ้าของข้อมูลมีสิทธิที่จะขอเข้าถึงข้อมูลที่เกี่ยวกับตนได้ดังนี้
1. ขอเข้าถึงและขอรับสำเนาข้อมูลที่เกี่ยวกับตน
2. ขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลที่ตนไม่ได้ให้ความยินยอม
เมื่อได้รับคำขอแล้ว ผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดเตรียมข้อมูลที่เกี่ยวข้องตามคำขอให้เจ้าของข้อมูลโดยไม่ชักช้า (ไม่เกิน 30 วัน นับแต่ที่ได้รับคำขอ)
อย่างไรก็ตาม ผู้ควบคุมข้อมูลสามารถปฏิเสธคำขอได้ในกรณีดังต่อไปนี้
1. เป็นการปฏิเสธตามกฎหมายหรือคำสั่งศาล
2. คำขอจากเจ้าของข้อมูลส่วนบุคคลนั้นส่งผลกระทบต่อสิทธิและเสรีภาพของบุคคลอื่น
*หากมีการปฏิเสธคำขอจะต้องทำบันทึกรายการเกี่ยวกับการปฏิเสธด้วย ซึ่งมีรายละเอียดตามมาตรา 39
.
หากปรากฏว่าผู้ควบคุมข้อมูลส่วนบุคคลไม่ปฏิบัติตามคำขอ ต้องระวางโทษปรับทางปกครองไม่เกิน 1,000,000 บาท (มาตรา 82)
.
สามารถติดตามประเด็นเกี่ยวกับสิทธิอื่นได้ในครั้งต่อไป
เพื่อเตรียมความพร้อมสำหรับองค์กรและหน่วยงานของท่านอย่างถูกต้อง
EP. 3.4 สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง (Right to Rectification) - มาตรา 35 และมาตรา 36 LINK
.
การแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง สมบูรณ์ เป็นหน้าที่ของใคร???
เจ้าของข้อมูลส่วนบุคคลจะต้องเป็นผู้ร้องขอแก้ไขทุกกรณีหรือไม่???
รู้ไปพร้อมกัน...
.
หลักการสำคัญคือ เจ้าของข้อมูลส่วนบุคคลสามารถยื่นคำร้องขอแก้ไขข้อมูลส่วนบุคคลที่เกี่ยวกับตนได้ เมื่อเห็นว่าข้อมูลส่วนบุคคลของตนไม่ถูกต้องหรือไม่สมบูรณ์
.
เมื่อผู้ควบคุมข้อมูลได้รับคำร้องขอแก้ไขข้อมูลส่วนบุคคลจะต้องดำเนินการแก้ไขให้ ‘ถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด’
*ถึงแม้ว่าไม่มีการร้องขอจากเจ้าของข้อมูลก็ตาม
แต่การแก้ไขข้อมูลส่วนบุคคลก็เป็นหน้าที่ตามกฎหมายของผู้ควบคุมข้อมูล
.
หากผู้ควบคุมข้อมูลปฏิเสธคำร้องขอแก้ไขข้อมูลจะต้องบันทึกรายการและเหตุผลการปฏิเสธไว้ด้วย
ตามมาตรา 39
และเจ้าของข้อมูลมีสิทธิร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญเพื่อสั่งให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการได้ ตามมาตรา 34 วรรคสอง
.
ติดตามประเด็นเรื่องสิทธิของเจ้าของข้อมูลได้ในครั้งต่อไป
เพื่อสร้างความเข้าใจที่ชัดเจนต่อการใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคล
EP. 3.5 สิทธิในการลบข้อมูลส่วนบุคคล (Right to be Forgotten) - มาตรา 33 LINK
.
เจ้าของข้อมูลสามารถยื่นคำร้องขอลบหรือทำลายข้อมูลได้ในกรณีใดบ้าง
และผู้ควบคุมข้อมูลจะต้องดำเนินการอย่างไร??
.
หลักการสำคัญ เจ้าของข้อมูลส่วนบุคคลมีสิทธิยื่นคำร้องขอลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลไม่สามารถระบุถึงตนได้ ตามเงื่อนไขที่กฎหมายกำหนด
.
กรณีที่เจ้าของข้อมูลส่วนบุคคลขอใช้สิทธิได้
1. ข้อมูลหมดความจำเป็นในการประมวลผลตามวัตถุประสงค์
2. ถอนความยินยอมในการใช้ข้อมูล (ในกรณีนี้ต้องปรากฏว่ามีการเก็บข้อมูลตามฐานความยินยอม มาตรา 24)
3. ข้อมูลถูกใช้ประมวลผลโดยไม่ถูกกฎหมาย
.
กรณีที่กฎหมายยกเว้นการใช้สิทธิ
1. เป็นข้อมูลที่เกี่ยวกับเสรีภาพในการแสดงความคิดเห็น
2. เป็นข้อมูลที่เกี่ยวกับการทำวิจัย หรือสถิติ (มาตรา 24(1)) หรือเพื่อสาธารณะประโยชน์ (มาตรา 24(4))
3. เป็นข้อมูลที่กฎหมายระบุให้เก็บ
.
ในกรณีที่มีการส่งต่อหรือเปิดเผยข้อมูลนั้นต่อสาธารณะแล้ว ผู้ควบคุมข้อมูลต้องดำเนินการแจ้งให้ลบข้อมูลดังกล่าวด้วย
.
หากผู้ควบคุมข้อมูลไม่ดำเนินการตามคำร้องขอ
เจ้าของข้อมูลมีสิทธิร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญเพื่อสั่งให้ผู้ควบคุมข้อมูลดำเนินการได้
.
สามารถติดตามสิทธิของเจ้าของข้อมูลส่วนบุคคลได้ในครั้งต่อไป
เพื่อสร้างความเข้าใจที่ถูกต้องในประเด็นเรื่องสิทธิไปด้วยกัน...