ภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) สิทธิพื้นฐานของประชาชน หรือ "เจ้าของข้อมูลส่วนบุคคล" (Data Subject) ได้รับการคุ้มครองอย่างชัดเจน เพื่อให้ข้อมูลส่วนตัวของบุคคลปลอดภัยและถูกนำไปใช้อย่างถูกต้องเหมาะสมตามความยินยอมของเจ้าของข้อมูล.

PDPA คืออะไร? PDPA หรือ Personal Data Protection Act B.E. 2562 (2019) คือกฎหมายที่ให้สิทธิแก่เจ้าของข้อมูลส่วนบุคคล สร้างมาตรฐานการรักษาข้อมูลส่วนบุคคลให้ปลอดภัย และกำหนดให้นำข้อมูลไปใช้ตามวัตถุประสงค์ที่เจ้าของข้อมูลอนุญาตเท่านั้น. กฎหมายนี้มีผลบังคับใช้อย่างเต็มรูปแบบเมื่อวันที่ 1 มิถุนายน 2565. วัตถุประสงค์หลักคือการป้องกันการละเมิดข้อมูลส่วนบุคคลที่เพิ่มขึ้น เช่น การซื้อขายเบอร์โทรศัพท์โดยไม่ได้รับความยินยอม.

ข้อมูลส่วนบุคคลที่ได้รับการคุ้มครอง ข้อมูลส่วนบุคคลคือข้อมูลเกี่ยวกับบุคคลที่สามารถระบุตัวบุคคลนั้นได้ทั้งทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้เสียชีวิต. ตัวอย่างข้อมูลได้แก่:

  • ชื่อ-นามสกุล หรือชื่อเล่น
  • รูปถ่าย
  • เลขประจำตัวประชาชน, เลขหนังสือเดินทาง, เลขบัตรประกันสังคม, เลขใบอนุญาตขับขี่, เลขประจำตัวผู้เสียภาษี, เลขบัญชีธนาคาร, เลขบัตรเครดิต
  • ที่อยู่, อีเมล, เบอร์โทรศัพท์
  • ข้อมูลอุปกรณ์หรือเครื่องมือ เช่น IP address, MAC address, Cookie ID
  • ข้อมูลระบุทรัพย์สิน เช่น ทะเบียนรถยนต์, โฉนดที่ดิน
  • ข้อมูลที่สามารถเชื่อมโยงไปยังข้อมูลข้างต้นได้ เช่น วันเกิดและสถานที่เกิด, เชื้อชาติ, สัญชาติ, น้ำหนัก, ส่วนสูง, ข้อมูลตำแหน่งที่อยู่ (location), ข้อมูลการแพทย์, ข้อมูลการศึกษา, ข้อมูลทางการเงิน, ข้อมูลการจ้างงาน.

นอกจากนี้ ยังมี ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) ซึ่ง PDPA ให้ความสำคัญเป็นพิเศษและมีบทลงโทษรุนแรงหากเกิดการรั่วไหล. ข้อมูลเหล่านี้รวมถึง:

  • เชื้อชาติ, เผ่าพันธุ์
  • ความคิดเห็นทางการเมือง
  • ความเชื่อในลัทธิ, ศาสนา หรือปรัชญา
  • พฤติกรรมทางเพศ
  • ประวัติอาชญากรรม
  • ข้อมูลสุขภาพ, ความพิการ หรือข้อมูลสุขภาพจิต
  • ข้อมูลสหภาพแรงงาน
  • ข้อมูลพันธุกรรม
  • ข้อมูลชีวภาพ (Biometric) เช่น รูปภาพใบหน้า, ลายนิ้วมือ, ฟิล์มเอกซเรย์, ข้อมูลสแกนม่านตา, ข้อมูลอัตลักษณ์เสียง, ข้อมูลพันธุกรรม.

สิทธิพื้นฐานของเจ้าของข้อมูลส่วนบุคคล (Data Subject Rights) PDPA ให้สิทธิแก่เจ้าของข้อมูลส่วนบุคคลในการควบคุมข้อมูลของตนเอง สรุปได้ดังนี้:

1.         สิทธิได้รับการแจ้งให้ทราบ (Right to be informed): ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งให้เจ้าของข้อมูลทราบก่อนหรือขณะเก็บรวบรวมข้อมูลส่วนบุคคล เว้นแต่เจ้าของข้อมูลทราบอยู่แล้ว. รายละเอียดที่ต้องแจ้งได้แก่ วัตถุประสงค์ของการเก็บรวบรวม, กรณีที่ต้องให้ข้อมูลเพื่อปฏิบัติตามกฎหมาย/สัญญาและผลกระทบจากการไม่ให้ข้อมูล, ข้อมูลส่วนบุคคลที่จะเก็บและระยะเวลาเก็บรักษา, ประเภทของบุคคลหรือหน่วยงานที่จะมีการเปิดเผยข้อมูล, ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคลและช่องทางการติดต่อ, และสิทธิของเจ้าของข้อมูลส่วนบุคคล.

2.         สิทธิขอเข้าถึงข้อมูลส่วนบุคคล (Right of access): เจ้าของข้อมูลมีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตน หรือขอให้เปิดเผยถึงการได้มาของข้อมูลส่วนบุคคลที่ตนไม่ได้ให้ความยินยอม. ผู้ควบคุมข้อมูลต้องดำเนินการตามคำขอภายใน 30 วัน นับแต่วันที่ได้รับคำขอ เว้นแต่เป็นการปฏิเสธตามกฎหมายหรือคำสั่งศาล หรือส่งผลกระทบต่อสิทธิและเสรีภาพของบุคคลอื่น.

3.         สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Right to object): เจ้าของข้อมูลสามารถคัดค้านการดำเนินการดังกล่าวได้ทุกเมื่อ โดยเฉพาะกรณีที่เป็นข้อมูลที่เก็บรวบรวมโดยไม่ต้องขอความยินยอมเพื่อประโยชน์สาธารณะ หรือเพื่อวัตถุประสงค์เกี่ยวกับการตลาดแบบตรง. เมื่อมีการคัดค้าน ผู้ควบคุมข้อมูลไม่สามารถเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลนั้นต่อไปได้.

4.         สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ (Right to erasure/right to be forgotten): เจ้าของข้อมูลมีสิทธิขอให้ลบหรือทำลายข้อมูลส่วนบุคคลในกรณีที่ข้อมูลหมดความจำเป็น, เจ้าของถอนความยินยอมและไม่มีอำนาจตามกฎหมายที่จะเก็บข้อมูลนั้นต่อไป, หรือข้อมูลถูกเก็บรวบรวม ใช้ หรือเปิดเผยโดยไม่ชอบด้วยกฎหมาย. หากผู้ควบคุมข้อมูลทำให้ข้อมูลเป็นสาธารณะและถูกขอให้ลบ ก็ต้องรับผิดชอบดำเนินการทั้งทางเทคโนโลยีและค่าใช้จ่าย.

5.         สิทธิในการเพิกถอนความยินยอม (Right to withdraw consent): หากเจ้าของข้อมูลเคยให้ความยินยอมในการใช้ข้อมูลไปแล้ว สามารถยกเลิกความยินยอมนั้นได้ทุกเมื่อ โดยการยกเลิกต้องทำได้ง่ายเหมือนกับการให้ความยินยอมในตอนแรก. การถอนความยินยอมจะไม่ส่งผลกระทบต่อการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลที่ได้ให้ความยินยอมไปแล้วโดยชอบ.

6.         สิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคล (Right to restrict processing): เจ้าของข้อมูลมีสิทธิขอให้ผู้ควบคุมข้อมูลระงับการใช้ข้อมูลส่วนบุคคลได้ในบางกรณี เช่น ผู้ควบคุมข้อมูลอยู่ระหว่างการตรวจสอบข้อมูลตามคำขอแก้ไข หรือข้อมูลส่วนบุคคลหมดความจำเป็นในการเก็บรักษาแต่เจ้าของข้อมูลต้องการให้เก็บไว้เพื่อใช้ในการก่อตั้งสิทธิเรียกร้องทางกฎหมาย.

7.         สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล (Right to rectification): เจ้าของข้อมูลมีสิทธิขอแก้ไขข้อมูลส่วนบุคคลของตนเองให้มีความถูกต้อง เป็นปัจจุบัน และไม่ก่อให้เกิดความเข้าใจผิด.

8.         สิทธิในการขอให้โอนข้อมูลส่วนบุคคล (Right to data portability): ในกรณีที่ผู้ควบคุมข้อมูลได้จัดทำข้อมูลส่วนบุคคลในรูปแบบที่สามารถอ่านหรือใช้งานโดยอัตโนมัติได้ เจ้าของข้อมูลสามารถขอให้ผู้ควบคุมข้อมูลส่งหรือโอนข้อมูลนั้นไปยังผู้ควบคุมข้อมูลอื่นได้โดยตรง หากไม่ติดขัดทางเทคนิค หรือขอรับข้อมูลนั้นด้วยตนเอง.

วิธีการใช้สิทธิ โดยทั่วไปแล้ว การใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลภายใต้ PDPA สามารถทำได้โดยการติดต่อผู้ควบคุมข้อมูลส่วนบุคคลที่รับผิดชอบข้อมูลนั้นโดยตรง. ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่จัดให้มีกระบวนการรับคำร้องจากเจ้าของข้อมูลส่วนบุคคล ซึ่งควรเป็นวิธีที่ง่ายไม่ซับซ้อน และไม่กำหนดเงื่อนไข เช่น การยื่นแบบฟอร์ม, ส่งคำร้องผ่านช่องทางแชท หรือส่งอีเมล.

ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมาย PDPA หรือประกาศที่เกี่ยวข้อง เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญ. ขั้นตอนการร้องเรียนโดยสังเขปมีดังนี้:

  • การยื่นคำร้องเรียน: สามารถยื่นโดยตรงต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล, ยื่นผ่านทางไปรษณีย์ หรือยื่นผ่านช่องทางอิเล็กทรอนิกส์หรือช่องทางอื่นที่สำนักงานกำหนด.
  • รายละเอียดคำร้องเรียน: คำร้องเรียนต้องมีความชัดเจน, ใช้ถ้อยคำสุภาพ, และมีรายละเอียดและเอกสารหลักฐานอย่างน้อยดังนี้: ชื่อ-สกุลและที่อยู่ของผู้ร้องเรียน, รายละเอียดข้อเท็จจริงเกี่ยวกับการฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมาย, รายละเอียดความเดือดร้อนเสียหาย, เอกสารหลักฐานที่เกี่ยวข้อง, คำขอที่ต้องการให้ผู้ควบคุมข้อมูลดำเนินการ, และคำรับรองว่าข้อความเป็นความจริง.
  • การตรวจสอบเบื้องต้น: พนักงานเจ้าหน้าที่จะตรวจสอบความถูกต้องครบถ้วนของคำร้องเรียนภายใน 15 วัน หากไม่ครบถ้วนจะแจ้งให้ผู้ร้องเรียนแก้ไข.
  • การพิจารณา: เรื่องร้องเรียนจะถูกเสนอต่อคณะกรรมการผู้เชี่ยวชาญเพื่อพิจารณา. คณะกรรมการผู้เชี่ยวชาญอาจใช้ดุลยพินิจไม่รับเรื่องหรือยุติเรื่องได้ในบางกรณี เช่น คำร้องเรียนไม่ถูกต้องครบถ้วน หรือมีผู้มีอำนาจพิจารณาตามกฎหมายอื่นอยู่แล้ว.
  • การไกล่เกลี่ยและการออกคำสั่ง: หากเรื่องร้องเรียนมีมูลและสามารถไกล่เกลี่ยได้ คณะกรรมการผู้เชี่ยวชาญจะดำเนินการไกล่เกลี่ย. หากไกล่เกลี่ยไม่สำเร็จหรือไม่อาจไกล่เกลี่ยได้ คณะกรรมการผู้เชี่ยวชาญมีอำนาจสั่งให้ผู้ควบคุมข้อมูลส่วนบุคคลปฏิบัติ, แก้ไข, หรือระงับการกระทำที่ก่อให้เกิดความเสียหายภายในระยะเวลาที่กำหนด.
  • ระยะเวลาพิจารณา: คณะกรรมการผู้เชี่ยวชาญจะพิจารณาเรื่องร้องเรียนให้แล้วเสร็จภายใน 90 วัน นับแต่วันประชุมครั้งแรก และอาจขยายเวลาได้ไม่เกิน 2 ครั้ง ครั้งละไม่เกิน 60 วัน.

การดำเนินการของสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลรวมถึงการให้คำปรึกษาแก่หน่วยงานต่างๆ และประชาชนเกี่ยวกับการปฏิบัติตาม PDPA.

            จากแหล่งข้อมูลที่ให้มา "ผู้ควบคุมข้อมูลส่วนบุคคล" หมายถึง บุคคลหรือนิติบุคคลที่มีอำนาจหน้าที่ในการตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

รายละเอียดเพิ่มเติมเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคลมีดังนี้:

  • ผู้ควบคุมข้อมูลส่วนบุคคลครอบคลุมทั้งในภาครัฐและภาคเอกชน
  • เพียงแค่มีการเก็บข้อมูลส่วนบุคคลของผู้อื่นไว้ ก็ถือว่าเป็นผู้ควบคุมข้อมูลส่วนบุคคลที่ต้องปฏิบัติตามกฎหมาย PDPA แล้ว
  • องค์กรทุกแห่ง เช่น บริษัท ห้างร้าน หรือแพลตฟอร์มต่างๆ ที่มีการเก็บข้อมูลส่วนบุคคลของลูกค้า ผู้ใช้งาน หรือพนักงานภายในองค์กรเอง ล้วนต้องได้รับผลกระทบจากการบังคับใช้ PDPA และต้องเพิ่มมาตรฐานนโยบายการรักษาข้อมูลส่วนบุคคลให้ปลอดภัยและนำไปใช้ให้ถูกวัตถุประสงค์ตามคำยินยอมของเจ้าของข้อมูล
  • ตัวอย่างของผู้ควบคุมข้อมูลส่วนบุคคล ได้แก่:
    • ผู้จัดทำเว็บไซต์ขายของออนไลน์ที่ต้องขอข้อมูล ชื่อ ที่อยู่ เบอร์โทรศัพท์ และข้อมูลการชำระเงิน เพื่อดำเนินการสั่งซื้อและจัดส่งสินค้า
    • บริษัทต่างๆ ทันทีที่มีพนักงานคนแรกที่ต้องใช้ข้อมูลเพื่อจ่ายเงินเดือน ก็ถือว่าเป็นผู้ควบคุมข้อมูลส่วนบุคคลแล้ว
    • ผู้จัดงานอีเวนต์ คอนเสิร์ต และกิจกรรมต่างๆ ที่มีการถ่ายภาพและบันทึกวิดีโอบรรยากาศภายในงานและภาพผู้เข้าร่วมงาน ถือเป็นผู้ควบคุมข้อมูลส่วนบุคคล

ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล สิ่งสำคัญคือต้องดำเนินการกับข้อมูลส่วนบุคคลให้สอดคล้องกับ PDPA เพื่อป้องกันปัญหาทางกฎหมายที่อาจเกิดขึ้น เช่น การรั่วไหลของข้อมูล หรือการนำข้อมูลส่วนบุคคลไปใช้อย่างไม่ถูกต้อง