กฎหมาย PDPA

11/7/2565 12:09:32น. 6824
กฎหมาย PDPA

1. หลักการพื้นฐานเกี่ยวกับกฎหมาย PDPA

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือที่รู้จักกันในชื่อ PDPA เป็นคำย่อมาจาก Personal Data Protection Act B.E. 2562 (2019) กฎหมาย PDPA ประกาศในราชกิจจานุเบกษาเมื่อวันที่ 27 พฤษภาคม 2562 และมีผลบังคับใช้ตั้งแต่วันที่ 1 มิถุนายน 2565 เป็นต้นไป
PDPA เป็นกฎหมายที่มุ่งคุ้มครองสิทธิของเจ้าของ “ข้อมูลส่วนบุคคล” เป็นการสร้างมาตรฐานการรักษาข้อมูลส่วนบุคคลให้มีความปลอดภัย และถูกนำไปใช้อยากถูกวัตถุประสงค์ตามที่เจ้าของข้อมูลส่วนบุคคลให้การอนุญาตไว้ โดยกำหนดหน้าที่และความรับผิดชอบให้บุคคล หน่วยงาน องค์กรต้องปฏิบัติตามที่กฎหมาย บทบัญญัติ และมีบทบัญญัติที่เกี่ยวกับการส่งเสริมการสร้างความตระหนักรู้ การทบทวนกระบวนการทำงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคลเป็นไปอย่างถูกต้องเหมาะสม โดย PDPA ให้ความสำคัญต่อมาตรการด้านความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ความเป็นธรรมในการใช้ข้อมูล และความโปร่งใสต่อเจ้าของข้อมูลส่วนบุคคล เพื่อให้เป็นไปตามหลักการคุ้มครองสิทธิความเป็นส่วนตัวตามที่บัญญัติไว้ในรัฐธรรมนูญ โดยกำหนดให้หน่วยงานหรือองค์กรต่าง ๆ ที่มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลต้องมีฐานทางกฎหมายในการประมวลผล กล่าวคือ
(1) ต้องสามารถอ้างได้ว่าการนำข้อมูลส่วนบุคคลไปใช้นั้นอาศัยสิทธิใดตามที่กฎหมายกำหนด
(2) ต้องใช้ข้อมูลให้น้อยที่สุด ต้องสอดคล้องกับวัตถุประสงค์ที่ชอบด้วยกฎหมายและเพียงเท่าที่จำเป็น และ
(3) ต้องมีความโปร่งใสในการประมวลผลข้อมูลส่วนบุคคลที่ต้องคำนึงถึง “ความเป็นธรรม” ต่อเจ้าของข้อมูลส่วนบุคคล
กฎหมายฉบับนี้ไม่ใช้บังคับกับกรณี ต่อไปนี้

(1) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบุคคลที่ทำการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อประโยชน์ส่วนตนหรือเพื่อกิจกรรมในครอบครัวของบุคคลนั้นเท่านั้น
(2) การดำเนินการของหน่วยงานของรัฐที่มีหน้าที่ในการรักษาความมั่นคงของรัฐ ซึ่งรวมถึงความมั่นคงทางการคลังของรัฐ หรือการรักษาความปลอดภัยของประชาชน รวมทั้งหน้าที่เกี่ยวกับการป้องกันและปราบปรามการฟอกเงิน นิติวิทยาศาสตร์ หรือการรักษาความมั่นคงปลอดภัยไซเบอร์
(3) บุคคลหรือนิติบุคคลซึ่งใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่ทำการเก็บรวบรวมไว้เฉพาะเพื่อกิจการสื่อมวลชน งานศิลปกรรม หรืองานวรรณกรรมอันเป็นไปตามจริยธรรมแห่งการประกอบวิชาชีพหรือเป็นประโยชน์สาธารณะเท่านั้น
(4) สภาผู้แทนราษฎร วุฒิสภา และรัฐสภา รวมถึงคณะกรรมาธิการที่แต่งตั้งโดยสภาดังกล่าว ซึ่งเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในการพิจารณาตามหน้าที่และอำนาจของสภาผู้แทนราษฎร วุฒิสภา รัฐสภา หรือคณะกรรมาธิการ
(5) การพิจารณาพิพากษาคดีของศาลและการดำเนินงานของเจ้าหน้าที่ในกระบวนการพิจารณาคดี การบังคับคดี และการวางทรัพย์ รวมทั้งการดำเนินงานตามกระบวนการยุติธรรมทางอาญา
(6) การดำเนินการกับข้อมูลของบริษัทข้อมูลเครดิตและสมาชิกตามกฎหมายว่าด้วยการประกอบธุรกิจข้อมูลเครดิต แต่ผู้ควบคุมข้อมูลส่วนบุคคลตาม (2) (3) (4) (5) และ (6) ต้องจัดให้มีการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลให้เป็นไปตามมาตรฐานด้วย

โดยสรุป “กฎหมาย PDPA ไม่ได้มุ่งให้เกิดภาระในการเก็บและการใช้ข้อมูลของแก่หน่วยงานหรือองค์กร แต่ต้องการให้มีกระบวนการเก็บรวบรวม การใช้ และการเปิดเผยข้อมูลส่วนบุคคลอย่างเหมาะสม มีความปลอดภัย โดยคำนึงถึงสิทธิความเป็นส่วนตัวของบุคคลเพื่อให ได้รับผลกระทบน้อยที่สุดเป็นสำคัญ”

2. ผู้เกี่ยวข้องภายใต้กฎหมาย PDPA

กำหนดมีผู้เกี่ยวข้องภายใต้กฎหมาย PDPA แยกตามบทบาทหน้าที่ ประกอบด้วย 3 กลุ่ม ได้แก่
  (1) เจ้าของข้อมูลส่วนบุคคล (Data Subject) คือ บุคคลธรรมดาผู้มีสิทธิตามกฎหมาย ซึ่งข้อมูลนั้นบ่งชี้ ไปถึงบุคคลดังกล่าวไม่ว่าทางตรงหรือทางอ้อม
  (2) ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ บุคคลหรือนิติบุคคล ซึ่งมีอำนาจตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
  (3) ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ บุคคลหรือนิติบุคคล ซึ่งดำเนินการเกี่ยวกับ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล
ตัวอย่าง
ร้านอาหาร ก. เป็นนิติบุคคลมีนายเอกเป็นผู้แทนนิติบุคคล ร้านอาหาร ก. ได้มีการเก็บรวบรวมข้อมูลลูกค้าเพื่อใช้ทำระบบสมาชิก และมีการจ้างนายหนึ่งทำหน้าที่เป็นแอดมินดูแลเฟสบุ๊กของร้านอาหาร ดังนั้น ร้านอาหาร ก. และนายเอกจึงมีฐานะเป็น “ผู้ควบคุมข้อมูลส่วนบุคคล” ซึ่งตามกฎหมาย PDPA กำหนดหน้าที่ส่วนใหญ่ให้เป็นหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล ส่วนนายหนึ่งซึ่งทำหน้าที่เป็นแอดมินดูแลเฟสบุ๊กของร้านอาหาร ก. อยู่ในฐานะ “ผู้ประมวลผลข้อมูลส่วนบุคคล”

3. สาระสำคัญเกี่ยวกับ PDPA สำหรับเจ้าของข้อมูลส่วนบุคคล


  (1) ข้อมูลส่วนบุคคลและประเภทของข้อมูลส่วนบุคคล
“ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ แบ่งได้ 2 ประเภท ได้แก่
  1.1) ข้อมูลส่วนบุคคลทั่วไป คือ ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคล (บุคคลธรรมดา) นั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ (มาตรา 6) เช่น ชื่อ นามสกุล ที่อยู่ หมายเลขโทรศัพท์ หมายเลขประจำตัวประชาชน อีเมล บัญชีธนาคาร ฯลฯ
  1.2) ข้อมูลส่วนบุคคลอ่อนไหว คือ ข้อมูลเกี่ยวกับบุคคลซึ่งโดยสภาพมีความละเอียดอ่อนและสามารถ ก่อให้เกิดความเสี่ยงต่อสิทธิเสรีภาพหรืออาจถูกใช้ในการเลือกปฏิบัติอย่างไม่เป็นธรรมต่อเจ้าของ ข้อมูลส่วนบุคคลได้ (มาตรา 26)


  (2) ผู้ควบคุมข้อมูลส่วนบุคคลต้องดำเนินการให้ถูกต้องตามกฎหมาย ซึ่งการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลต้องอยู่ภายใต้เงื่อนไขข้อจำกัดต่าง ๆ ตามกฎหมาย กล่าวคือ ผู้ควบคุมข้อมูลส่วนบุคคลต้องเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคลอย่างจำกัด ตามวัตถุประสงค์ที่แจ้งไว้ก่อนหรือขณะเก็บรวบรวม ห้ามใช้นอกเหนือวัตถุประสงค์ (มาตรา 21) ทั้งนี้ “วัตถุประสงค์” ของการเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคล มีความสัมพันธ์กับหลักพื้นฐานของกฎหมายคุ้มครองข้อมูลส่วนบุคคล คือ หลักการจำกัดวัตถุประสงค์ และ สิทธิในการรับรู้ของเจ้าของข้อมูลส่วนบุคคล


  (3) ผู้ควบคุมข้อมูลส่วนบุคคล ต้องเก็บรวบรวมข้อมูลส่วนบุคคลเท่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมาย (มาตรา 22) คือ ซึ่งหลักการนี้เชื่อมโยงกับหลักการจำกัด วัตถุประสงค์ ดังนั้น การเก็บรวบรวมต้องเป็นไปอย่างจำกัดเท่าที่จำเป็นเฉพาะภายใต้วัตถุประสงค์ที่แจ้งให้เจ้าของ ข้อมูลส่วนบุคคลทราบ “หลักการใช้ข้อมูลของให้น้อยที่สุดเท่าที่จำเป็น (Data minimization)” คือ การเก็บรวมรวมข้อมูลส่วนบุคคล ให้เก็บรวบรวมได้เท่าที่จำเป็นภายใต้วัตถุประสงค์ โดยต้องพิจารณาองค์ประกอบ 3 ประการ คือ 1.เพียงพอ 2.เกี่ยวข้อง และ 3.จำกัด เพื่อป้องกันการเก็บรวมรวมข้อมูลมากเกินความจำเป็น โดย “หลักการจำกัดวัตถุประสงค์ (Purpose limitation)” คือ การเก็บรวบรวมข้อมูลส่วนบุคคลจะทำได้เฉพาะเพื่อวัตถุประสงค์ที่เจาะจง ชัดแจ้ง และชอบด้วยกฎหมาย และต้องไม่ประมวลผลข้อมูลในลักษณะที่ไม่สอดคล้องกับวัตถุประสงค์ดังกล่าว


  (4) ความยินยอม ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ในการกำหนดฐานการประมวลผลให้สอดคล้องกับลักษณะการประมวลผลและความสัมพันธ์ระหว่างผู้ควบคุมข้อมูลส่วนบุคคลกับเจ้าของข้อมูลส่วนบุคคล ซึ่งในหลาย ๆ กรณีองค์กรอาจใช้ข้อมูลได้จากฐานสัญญา (มีสัญญาต่อกัน) หรือ มีประโยชน์โดยชอบด้วยกฎหมายอื่น ๆ ตามที่กฎหมายกำหนด โดยในการขอความยินความต้องพิจารณาหลักการ (มาตรา 19) ดังนี้
  • ความยินยอมต้องขอก่อนจะมีการประมวลผล
  • ความยินยอมต้องไม่เป็นเงื่อนไขในการให้บริการ ต้องมีอิสระในการให้ความยินยอม
  • ความยินยอมต้องอยู่แยกส่วนกับเงื่อนไขในการให้บริการ
  • วัตถุประสงค์ของการประมวลผลข้อมูลต้องเฉพาะเจาะจง
  • ความยินยอมต้องชัดเจนไม่คลุมเครือ
  • ออกแบบทางเลือกให้สามารถปฏิเสธที่จะให้ความยินยอมได้
  • เนื้อหาความยินยอมเข้าใจง่ายและเข้าถึงง่าย
ผู้ควบคุมข้อมูลส่วนบุคคลต้องทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ได้แจ้งเจ้าของข้อมูลส่วนบุคคลไว้ก่อนหรือในขณะที่เก็บรวบรวม โดยการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่แตกต่างไปจากวัตถุประสงค์ที่ได้แจ้งไว้จะกระทำมิได้ เว้นแต่
  (1) ได้แจ้งวัตถุประสงค์ใหม่นั้นให้เจ้าของข้อมูลส่วนบุคคลทราบและได้รับความยินยอมก่อนเก็บรวบรวม ใช้ หรือเปิดเผยแล้ว
  (2) มีกฎหมายบัญญัติให้กระทำได้


  (5) ความเป็นอิสระของเจ้าของข้อมูลส่วนบุคคล ในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลนั้น จะต้องคำนึงถึงความเป็นอิสระของเจ้าของ ข้อมูลส่วนบุคคล โดยความเป็นอิสระนั้นต้องอยู่บนพื้นฐานของการมีทางเลือกอย่างแท้จริง (Real choice) ดังนั้น เจ้าของข้อมูลส่วนบุคคลจะต้องมีอิสระเลือกได้ว่าจะให้ความยินยอมหรือไม่ให้ความยินยอม และแม้ว่าเจ้าของข้อมูลส่วนบุคคลจะไม่ให้ความยินยอมก็ยังมีสิทธิเข้ารับบริการนั้น ๆ ได้ ดังนั้น หากการขอความยินยอมขาดความเป็นอิสระย่อมส่งผลให้ความยินยอมนั้นไม่มีผลผูกพันกับเจ้าของข้อมูลส่วนบุคคล ทำให้ผู้ควบคุมข้อมูลส่วนบุคคลไม่สามารถอ้างความยินยอมนั้นเป็นฐานในการประมวลผลข้อมูลส่วนบุคคลได้



  (6) สิทธิของเจ้าของข้อมูลส่วนบุคคล กฎหมาย PDPA รับรองสิทธิของเจ้าของข้อมูลส่วนบุคคล โดยมีทั้งที่เป็นการรับรองโดยเจ้าของข้อมูลส่วนบุคคลไม่ต้องมีการร้องขอ กับกรณีที่ต้องดำเนินการและวิธีการใช้สิทธิตามที่กฎหมายกำหนด ดังนี้

  6.1) สิทธิได้รับการแจ้งให้ทราบรายละเอียด (Privacy Notice) เป็นสิทธิที่เจ้าของข้อมูลส่วนบุคคลทุกคนได้รับโดยไม่ต้องมีการร้องขอ โดยผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งวัตถุประสงค์และรายละเอียดของการประมวลผลข้อมูลส่วนบุคคลให้เจ้าของข้อมูลส่วนบุคคลทราบ ไม่ว่าจะด้วยวิธีการใดก็ตามเพื่อให้เจ้าของข้อมูลส่วนบุคคลรู้ว่าข้อมูลของตนจะถูกนำไปใช้ทำอะไร
 

 6.2) สิทธิในการถอนความยินยอม ในกรณีที่ได้ให้ความยินยอมไว้ (Right to Withdraw Consent) ในกรณีที่ได้ให้ความยินยอมไว้เจ้าของข้อมูลส่วนบุคคลมีสิทธิที่จะเพิกถอนความ ยินยอมเมื่อใดก็ได้ (มาตรา 19) โดยการเพิกถอนความยินยอมจะอยู่ในรูปแบบใดก็ได้ เช่น ทางอิเล็กทรอนิกส์ หรือทำเป็น เอกสารที่เป็นลายลักษณ์อักษร โดยการเพิกถอนจะต้องมีความชัดเจน เข้าใจง่าย และไม่ยากไปกว่าการขอความยินยอม เมื่อผู้ควบคุมข้อมูลส่วนบุคคลได้รับคำขอการเพิกถอนจากเจ้าของข้อมูลส่วนบุคคลแล้ว จะต้อง “แจ้งถึงผลกระทบ” จากการถอนความยินยอม และ “หยุดการประมวลผล”

  6.3) สิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคล (Right to Access) เจ้าของข้อมูลมีสิทธิที่จะขอเข้าถึงข้อมูลที่เกี่ยวกับตนได้ คือ 1.ขอเข้าถึงและขอรับสำเนาข้อมูลที่เกี่ยวกับตน 2.ขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลที่ตนไม่ได้ให้ความยินยอม

  6.4) สิทธิขอให้โอนข้อมูลส่วนบุคคล (Right to data portability) เจ้าของข้อมูลส่วนบุคคลสามารถขอให้ผู้ควบคุมข้อมูลส่วนบุคคลส่งหรือโอนข้อมูลส่วนบุคคลอื่นในกรณีที่ (1) ข้อมูลส่วนบุคคลนั้นอยู่ในรูปแบบที่สามารถอ่านหรือใช้งานโดยทั่วไปได้ด้วยเครื่องมือหรืออุปกรณ์ที่ทำงานได้โดย อัตโนมัติและสามารถใช้หรือเปิดเผยข้อมูลส่วนบุคคลได้ด้วยวิธีการอัตโนมัติ (2) เป็นข้อมูลส่วนบุคคลที่ประมวลผล โดยฐานความยินยอมหรือฐานสัญญาเท่านั้น และ (3) การใช้สิทธินั้นต้องไม่ละเมิดสิทธิหรือเสรีภาพของบุคคลอื่น (เงื่อนไขการใช้สิทธิกำหนดไว้ในมาตรา 31)

  6.5) สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Right to Objection) (มาตรา 32) แต่องค์กรที่มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้นอาจปฏิเสธการใช้สิทธิดังกล่าวได้ หากแสดงให้เห็นถึงเหตุอันชอบด้วยกฎหมายที่สำคัญยิ่งกว่า เช่น ประโยชน์สาธารณะที่สำคัญของหน่วยงานรัฐ หรือ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้นเป็นไปเพื่อก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย หรือ เป็นการจำเป็นเพื่อการดำเนินภารกิจเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคล เป็นต้น แต่กรณี ของ “การตลาดแบบตรง” องค์กรต้องยุติการใช้ข้อมูลเพื่อวัตถุประสงค์ด้านการตลาดแบบตรงทันที เจ้าของข้อมูลส่วนบุคคลมีสิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับตนได้ใน 3 กรณี คือ (1) เป็นการประมวลผลโดยใช้ฐาน ประโยชน์สาธารณะ (หน่วยงานของรัฐ) หรือ ฐานประโยชน์โดยชอบด้วยกฎหมาย (2) เพื่อวัตถุประสงค์เกี่ยวกับการตลาด แบบตรง หรือ (3) เพื่อวัตถุประสงค์เกี่ยวกับการ ศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ

  6.6) สิทธิขอให้ลบหรือทําลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ (Right to Erasure) เจ้าของข้อมูลส่วนบุคคลมีสิทธิยื่นคำร้องเพื่อให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลไม่สามารถระบุถึงตนได้ตามเงื่อนไขที่กฎหมายกำหนด โดยในกรณีที่มีการส่งต่อหรือเปิดเผยข้อมูลส่วนบุคคลนั้นต่อสาธารณะไปแล้ว ผู้ควบคุมข้อมูลส่วนบุคคลต้องดำเนินการแจ้งให้ลบข้อมูลส่วนบุคคลดังกล่าวด้วย หากผู้ควบคุมข้อมูลส่วนบุคคลไม่ดำเนินการตามคำร้องขอเจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องเรียนต่อ คณะกรรมการผู้เชี่ยวชาญเพื่อสั่งให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการได้ อย่างไรก็ดีหากเป็นกรณีของการประมวลผลโดยใช้ฐานประโยชน์สาธารณะโดยหน่วยงานของรัฐ ประชาชนไม่สามารถขอใช้สิทธิลบข้อมูลดังกล่าวได้

  6.7) สิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคล (มาตรา 34) หมายถึง การที่ข้อมูลส่วนบุคคลจะถูกเก็บไว้โดยไม่มีการประมวลผลเพิ่มเติม โดยเจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลระงับการใช้ข้อมูลส่วนบุคคลได้ ในกรณีดังต่อไปนี้ (1) อยู่ในระหว่างการตรวจสอบความถูกต้องของข้อมูล (2) การประมวลผลไม่ชอบด้วยกฎหมายแต่เจ้าของข้อมูลส่วนบุคคลขอให้ระงับการใช้แทนการลบ (3) เมื่อข้อมูลส่วนบุคคลหมดความจำเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคล แต่เจ้าของข้อมูลส่วนบุคคลมีความจำเป็นต้องขอให้เก็บรักษาไว้เพื่อใช้ในการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย (4) เมื่อผู้ควบคุมข้อมูลส่วนบุคคลอยู่ในระหว่างการพิสูจน์กรณีใช้ข้อมูลเพื่อประโยชน์ สาธารณะหรือการใช้ข้อมูลด้วยฐานประโยชน์โดยชอบด้วยกฎหมาย หรือตรวจสอบการใช้ข้อมูลเพื่อวัตถุประสงค์ด้านการวิจัย เพื่อปฏิเสธการคัดค้านของเจ้าของข้อมูลส่วนบุคคล

  6.8) สิทธิขอให้แก้ไขข้อมูลส่วนบุคคล (มาตรา 35) โดยกฎหมายกำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ต้องดำเนินการให้ข้อมูลส่วนบุคคลนั้นถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด ในกรณีที่เจ้าของข้อมูลส่วนบุคคลร้องขอให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการแก้ไขข้อมูลส่วนบุคคล หากผู้ควบคุมข้อมูลส่วนบุคคลไม่ดำเนินการตามคำร้องขอ ผู้ควบคุมข้อมูลส่วนบุคคลต้องบันทึกคำร้องขอของเจ้าของข้อมูลส่วนบุคคลพร้อมด้วยเหตุผลไว้ในรายการตามที่กฎหมายกำหนด โดยเจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญเพื่อสั่งให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการได้



  (7) กฎหมาย PDPA ใช้กับการประมวลผลข้อมูลส่วนบุคคลของบุคคลที่อยู่ในประเทศไทย ไม่ว่าจะมีสัญชาติใดก็ตาม ใช้บังคับกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งอยู่ในราชอาณาจักร ไม่ว่าการเก็บรวบรวม ใช้ หรือเปิดเผยนั้น ได้กระทำในหรือนอกราชอาณาจักรก็ตาม ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลอยู่นอกราชอาณาจักร กฎหมายนี้ให้ใช้บังคับกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลซึ่งอยู่ในราชอาณาจักรโดยการดำเนินกิจกรรมของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลดังกล่าว เมื่อเป็นกิจกรรม ดังต่อไปนี้ (1) การเสนอสินค้าหรือบริการให้แก่เจ้าของข้อมูลส่วนบุคคลซึ่งอยู่ในราชอาณาจักร ไม่ว่าจะมีการชำระเงินของเจ้าของข้อมูลส่วนบุคคลหรือไม่ก็ตาม (2) การเฝ้าติดตามพฤติกรรมของเจ้าของข้อมูลส่วนบุคคลที่เกิดขึ้นในราชอาณาจักร


  (8) เหตุการละเมิดข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลโดยไม่ชักช้าภายใน 72 ชั่วโมง นับแต่ทราบเหตุเท่าที่จะสามารถกระทำได้ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ในกรณีที่การละเมิดมีความเสี่ยงสูง ที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่แจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบ พร้อมกับแนวทางการเยียวยาโดยไม่ชักช้าด้วย ทั้งนี้ การแจ้งดังกล่าวและข้อยกเว้นให้เป็นไป ตามหลักเกณฑ์และวิธีการที่คณะกรรมการประกาศกำหนด


(9) การจัดทำบันทึกรายการ   ผู้ควบคุมข้อมูลส่วนบุคคลบันทึกรายการเพื่อให้เจ้าของข้อมูลส่วนบุคคลและสำนักงานสามารถตรวจสอบได้ โดยจะบันทึกเป็นหนังสือหรือระบบอิเล็กทรอนิกส์ก็ได้ อย่างน้อยต้องมีรายละเอียดดังนี้

  1) ข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม


  2) วัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคลแต่ละประเภท


  3) ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล


  4) ระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล


  5) สิทธิและวิธีการเข้าถึงข้อมูลส่วนบุคคล รวมทั้งเงื่อนไขเกี่ยวกับบุคคลที่มีสิทธิเข้าถึงข้อมูลส่วนบุคคลและเงื่อนไขในการเข้าถึงข้อมูลส่วนบุคคลนั้น


  6) การใช้หรือเปิดเผยตามมาตรา 27 วรรคสาม


  7) การปฏิเสธคำขอหรือการคัดค้านตามมาตรา 30 วรรคสาม มาตรา 31 วรรคสาม มาตรา 32 วรรคสาม และมาตรา 36 วรรคหนึ่ง


  8) คำอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัยตามมาตรา 37 (1) ทั้งนี้ ผู้ควบคุมข้อมูลที่เป็นกิจการขนาดเล็ก ตามหลักเกณฑ์ที่คณะกรรมการประกาศกำหนดได้รับยกเว้นไม่ต้องบันทึกรายการ



  (10) สิทธิร้องเรียน เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญในกรณีที่มีการฝ่าฝืนหรือไม่ปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือประกาศฯ ที่ออกตามกฎหมายนี้ ทั้งนี้ กระบวนการร้องเรียนในการยื่น การไม่รับเรื่อง การยุติเรื่อง การพิจารณา และระยะเวลาในการพิจารณาคำร้องเรียน ให้เป็นไปตามระเบียบที่คณะกรรมการประกาศกำหนดโดยคำนึงถึงการกำหนดให้ไม่รับเรื่องร้องเรียนหรือยุติเรื่องในกรณีที่มีผู้มีอำนาจพิจารณาในเรื่องนั้นอยู่แล้วตามกฎหมายอื่นด้วย




ผศ.อุดม งามเมืองสกุล (เรียบเรียง และอ้างอิงข้อมูลจาก)
- พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

- คู่มือ PDPA สำหรับประชาชน จัดทำโดยสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

- สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล https://www.mdes.go.th




facebooktwitterline

แท็กที่เกี่ยวข้อง

ภาพ :      
ข้อมูล/ข่าว :      
เพิ่มข่าวโดย :   krittabhorn.ju@up.ac.th   
11/7/2565 12:09:32น. 6824
Print Friendly and PDF

ติดตามข่าวสาร มพ.


ติดตามข่าวสารผ่าน tiktok มพ.

@uptiktok2024

แอปพลิเคชั่น Smart UP

ดาวน์โหลดได้แล้ววันนี้

ข่าวที่มีผู้อ่านสูงสุด ย้อนหลัง 7 วัน