10 เรื่องที่ประชาชนต้องรู้เกี่ยวกับ PDPA

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ Personal Data Protection Act B.E. 2562 (2019) PDPA มีผลบังคับใช้วันที่ 1 มิถุนายน 2565 นี้  เป็นกฎหมายที่ว่าด้วยการให้สิทธิเจ้าของข้อมูลส่วนบุคคล เป็นการรักษาข้อมูลส่วนบุคคลให้ปลอดภัย และนำไปใช้ให้ถูกวัตถุประสงค์ตามคำยินยอมที่เจ้าของข้อมูลส่วนบุคคลอนุญาต รวมทั้งองค์กรของภาครัฐและเอกชนที่เก็บรวบรวมข้อมูลส่วนบุคคล การใช้ข้อมูล หรือการเปิดเผยข้อมูลส่วนบุคคลจะต้องปฏิบัติตามกฎหมายฉบับนี้ หากผู้ใดหรือองค์กรใดไม่ปฏิบัติตามนั้น มีโทษทางแพ่ง โทษทางอาญา และโทษทางปกครอง

          ทั้งนี้ประชาชนหรือเจ้าของข้อมูลส่วนบุคคล ควรสร้างความรู้ความเข้าใจสาระสำคัญ 10 ข้อ เกี่ยวกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ดังนี้

          1. ข้อมูลส่วนบุคคล  คือ ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม (มาตรา 6)

          2. ผู้ควบคุมข้อมูลส่วนบุคคล เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลฯ ตามวัตถุประสงค์ที่ได้แจ้งไว้ (มาตรา 21)

          3. ผู้ควบคุมข้อมูลส่วนบุคคล เก็บรวบรวมข้อมูลฯ เท่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมาย (มาตรา 22)

          4. ความยินยอม เป็นฐานการประมวลผลฐานหนึ่งเท่านั้น ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ในการกำหนดฐานการประมวลผล ให้สอดคล้องกับลักษณะการประมวลผลและความสัมพันธ์ระหว่างผู้ควบคุมข้อมูลส่วนบุคคลกับเจ้าของข้อมูลส่วนบุคคล (มาตรา 24 หรือมาตรา 26)

          5. การขอความยินยอม ผู้ควบคุมข้อมูลส่วนบุคคลต้องคำนึงถึงความเป็นอิสระของเจ้าของข้อมูลฯ (มาตรา 19 วรรค 4)

          6. เจ้าของข้อมูลส่วนบุคคล มีสิทธิ

               1) ถอดถอนความยินยอม ในกรณีที่ได้ให้ความยินยอมไว้  (มาตรา 19 วรรค 5)

               2) สิทธิได้รับการแจ้งให้ทราบรายละเอียด (Privacy Notice) (มาตรา 23)

               3) สิทธิการขอเข้าถึงและการขอสำเนาข้อมูลส่วนบุคคล (มาตรา 30)

               4) สิทธิขอให้โอนข้อมูลส่วนบุคคล (มาตรา 31)

               5) สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (มาตรา 32)

               6) สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ (มาตรา 33)

               7) สิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคล (มาตรา 34)

               8) สิทธิขอให้แก้ไขข้อมูลส่วนบุคคล (มาตรา 35)

          7. PDPA ใช้กับการประมวลผลข้อมูลส่วนบุคคล ของบุคคลที่อยู่ในประเทศไทย ไม่ว่าจะมีสัญชาติใดก็ตาม (มาตรา 5)

          8. กรณีการละเมิดข้อมูลส่วนบุคคล ที่มีความเสี่ยงสูงที่จะกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่แจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อมแนวทางการเยียวยา (มาตรา 37) (4)

          9. ผู้ควบคุมข้อมูลส่วนบุคคล มีหน้าที่จัดทำบันทึกรายการกิจกรรม เพื่อให้สำนักงานสามารถตรวจสอบได้ โดยจะบันทึกเป็นหนังสือหรือระบบอิเล็กทรอนิกส์ก็ได้

          10. เจ้าของข้อมูลส่วนบุคคล มีสิทธิร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญในกรณีที่มีการฝ่าฝืนหรือไม่ปฏิบัติตาม PDPA หรือประกาศฯ ที่ออกตาม PDPA (ทั้งนี้ กระบวนการร้องเรียนเป็นไปตามระเบียบที่คณะกรรมการฯ ประกาศกำหนด มาตรา 73)