รัฐบาลดีเดย์ บังคับใช้ “พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA)” วันที่ 1 มิ.ย. 65 เพื่อปลดล็อคข้อจำกัดของหน่วยงานรัฐ หลังจากก่อนหน้านี้ มีการประกาศในราชกิจจานุเบกษาเมื่อวันที่ 27 พ.ค. 62 แต่กลับถูกเลื่อนบังคับใช้มากว่า 2 ปี อ่านเพิ่มเติมที่ >> พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล PDPA คือ
ซึ่งภายหลังจากการประกาศ ทำให้ประชาชนเกิดความตื่นตัว บางคนเข้าใจผิด ในบางข้อมูล มีค่า นิวส์ จึงรวบรวม 10 ข้อควรรู้เกี่ยวกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ กฎมาย PDPA มาให้ทุกคนอ่านค่ะ เพื่อความเข้าใจที่ถูกต้องเกี่ยวกับกฎหมายฉบับนี้
1. “ข้อมูลส่วนบุคคล” คือ ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรง หรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมเฉพาะ เช่น ชื่อ ที่อยู่ หมายเลขประจำตัว ข้อมูลสุขภาพ ฯลฯ (มาตรา 6)
2. “ผู้ควบคุมข้อมูลส่วนบุคคล” ต้องเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ได้แจ้งเอาไว้ก่อหรือในขณะเก็บรวบรวม (ห้ามใช้นอกเหนือวัถตุประสงค์) (มาตรา 21 )
3. “ผู้ควบคุมข้อมูลส่วนบุคคล” ต้องเก็บรวบรวมข้อมูลส่วนบุคคลของเราเท่าที่จำเป็น ภายใต้วัตถุประสงค์อันชอบด้วยกฎหมาย (มาตรา 22 ) ใช้ข้อมูลของเราให้น้อยที่สุด
4. ความยินยอม เป็นฐานการประมวลผลฐานหนึ่งเท่านั้น “ผู้ควบคุมข้อมูลส่วนบุคคล” มีหน้าที่ในการกำหนดฐานการประมวลผลให้สอดคล้องกับลักษณะการประมวลผลและความสัมพันธ์ระหว่าง “ผู้ควบคุมข้อมูล” กับ “เจ้าของข้อมูลส่วนบุคคล” (ตามมาตร 24 หรือ มาตรา 26)
5.ในการขอความยินยอม “ผู้ควบคุมข้อมูลส่วนบุคคล” จะต้องคำนึงอย่างที่สุดในความเป็นอิสระของ “เจ้าของข้อมูลส่วนบุคคล” (ต้องไม่มีสภาพบังคับในการให้/ไม่ให้) (มาตรา 19 วรรคสี่)
6. “เจ้าของข้อมูลส่วนบุคคล” มีสิทธิต่าง ๆ ดังนี้
6.1 สิทธิในการถอนความยินยอม ในกรณีที่ได้ให้ความยินยอมไว้ (มาตรา 19 วรรคห้า)
6.2 สิทธิได้รับการแจ้งให้ทราบรายละเอียด (Privacy Notice) (มาตรา 23)
6.3 สิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคล (มาตรา 30)
6.4 สิทธิขอให้โอนข้อมูลส่วนบุคคล (มาตรา 31)
6.5 สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคล (มาตรา 32)
6.6 สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ (มาตรา 34)
6.7 สิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคล (มาตรา 34)
6.8 สิทธิขอให้แก้ไขข้อมูลส่วนบุคคล (มาตรา 35)
7. กฎหมาย PDPA ให้กับการประมวลผลข้อมูลส่วนบุคคลของบุคคลที่อยู่ในประเทศไทย ไม่ว่าจะมีสัญชาติใดก็ตาม (มาตรา 5)
8.ในกรณีที่เหตุการละเมิด “ข้อมูลส่วนบุคคล” มีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของ “เจ้าของข้อมูลส่วนบุคคล” กฎหมายกำหนดให้ “ผู้ควบคุมข้อมูลส่วนบุคคล” มีหน้าที่ แจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบ พร้อมกับแนวทางการเยียวยาโดยไม่ชักช้า (มาตรา 37(4))
9.”ผู้ควบคุมข้อมูลส่วนบุคคล” มีหน้าที่จัดทำบันทึกรายการกิจกรรม เพื่อให้สำนักงานสามารถตรวจสอบได้ โดยจะบันทึกเป็นหนังสือหรือระบบอิเล็กทรอนิกส์ก็ได้
10. “เจ้าของข้อมูลส่วนบุคคล” มีสิทธิร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญในกรณีที่มีการฝ่าฝืนหรือไม่ปฏิบัติตาม PDPA หรือ ประกาศฯ ที่ออกตาม PDPA ทั้งนี้ กระบวนการร้องเรียนเป็นไปตามระเบียบที่คณะกรรมการฯ ประกาศกำหนด (มาตรา 73)
ที่มา : PDPC Thailand