สิทธิในการเข้าถึงข้อมูลส่วนบุคคลของตนเอง right to access กี่วัน

ในมาตรา 30 ของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ได้กล่าวไว้ว่า “เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตนซึ่งอยู่ในความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล หรือขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลดังกล่าวที่ตนไม่ได้ให้ความยิมยอม”

ซึ่งในบทความนี้เราจะมาพูดถึงสิทธิของเจ้าของข้อมูลกันครับว่าสิ่งที่ต้องทำมีอะไรบ้าง

สิทธิของเจ้าของข้อมูลมีอะไรบ้าง

1. สิทธิในการขอเข้าถึง และแก้ไข

เจ้าของข้อมูลที่ให้องค์กรเก็บไว้จะต้องมีช่องทางให้เจ้าของข้อมูลนั้นสามารถเรียกดูข้อมูลของตนเองได้ หากข้อมูลส่วนใดไม่ถูกต้องเจ้าของข้อมูลมีสิทธิที่จะเรียกแก้ไข หรือเพิ่มเมื่อไหร่ก็ได้ ซึ่งวัตถุประสงค์ของการเก็บข้อมูล Data Controller และ Data Processor ควรตรวจสอบให้ถูกต้อง และเป็นปัจจุบันที่สุด 

หากข้อมูลส่วนบุคคลมีการแก้ไขเรียบร้อยแล้ว บริษัท หรือหน่วยงานจะต้องแจ้งต่อเจ้าของข้อมูลให้ทราบด้วย

2. สิทธิในการลบข้อมูล

ไม่ว่าใครก็ตามที่กรอกข้อมูลส่วนตัวมีสิทธิขอลบข้อมูลจาก Data Controller และ Data Processor

สิทธิในการได้รับ นั่นหมายความว่าบุคคลใดก็ตามมีสิทธิ์ที่จะติดต่อ บริษัท หรือหน่วยงานที่ประมวลผลข้อมูลส่วนบุคคลและขอให้ลบข้อมูลที่เกี่ยวข้อง

Use case ที่ถูกเจ้าของข้อมูลขอลบได้มีดังต่อไปนี้

• หากข้อมูลไม่จำเป็นสำหรับวัตถุประสงค์ในการเก็บรวบรวมอีกต่อไป หรือเจ้าของข้อมูลไม่ได้ใช้บริการ Service ที่รวบรวม หรือเก็บข้อมูลของเขาอีกต่อไป
• หากข้อมูลส่วนบุคคลได้รับการประมวลผลโดยไม่ชอบด้วยกฎหมาย
• หากข้อมูลส่วนตัวของพวกเขาถูกนำไปประมวลผล หรือใช้โดยมิชอบด้วยกฎหมาย

3. สิทธิในการ จำกัด การประมวลผล

เจ้าของข้อมูลส่วนบุคคลมีสิทธิที่จะจำกัดการประมวลผลข้อมูลส่วนบุคคล หมายความว่าข้อมูลของเจ้าของสามารถเลือกที่จะประมวลผลตามวัตถุประสงค์ได้

สิทธิ์ในการจำกัด จะมีผลเหนือสิ่งอื่นใดเมื่อเจ้าของข้อมูลเห็นว่าข้อมูลไม่ถูกต้องและได้ร้องขอการแก้ไข ในกรณีดังกล่าวเจ้าของข้อมูลสามารถร้องขอให้ จำกัด การประมวลผลข้อมูลส่วนบุคคลของพวกเขาในขณะที่มีการตรวจสอบความถูกต้องของข้อมูลได้เลยครับ

4. การเคลื่อนย้ายข้อมูล

หากว่าเจ้าของข้อมูลมีความต้องการที่จะย้ายข้อมูลของเขาไปที่อื่น หน่วยงาน หรือองค์กรจะต้องอำนาจความสะดวกในการถ่ายโอนข้อมูลดังกล่าว แต่มีเงื่อนไขว่า หน่วยงานจะประมวลผลข้อมูลส่วนบุคคลต้องเป็นไปตามความยินยอมของเจ้าของข้อมูล หรือ ทำสัญญากับเจ้าของข้อมูลและจะใช้กับข้อมูลส่วนบุคคลดังกล่าวที่เจ้าของข้อมูลได้ให้ไว้เท่านั้น

5. สิทธิในการคัดค้าน

ในบางกรณีบุคคลมีสิทธิที่จะคัดค้านการใช้ข้อมูลส่วนบุคคลของตนได้ในบางกรณี ซึ่งการใช้ข้อมูลส่วนบุคคลของตนเพื่อการตลาดทางตรง เจ้าของข้อมูลสามารถคัดค้านได้เสมอ แต่มีบางกรณีที่เจา้ของข้อมูลไม่สามารถคัดค้านได้มีดังต่อไปนี้

• ข้อมูลส่วนบุคคลที่ประมวลผลเพื่อวัตถุประสงค์ในการวิจัยทางวิทยาศาสตร์หรือในอดีตหรือวัตถุประสงค์ทางสถิติ
• เหตุผลอันชอบธรรมที่น่าสนใจสำหรับข้อมูลที่จำเป็นต้องได้รับการประมวลผลซึ่งแทนที่ผลประโยชน์สิทธิและเสรีภาพของแต่ละบุคคลไม่ว่าจะเป็น การเกิดอุบัติเหตุ หรือสิทธิประโยชน์ที่จะได้รับจากภาครัฐ

หมายเหตุ : ช่องทางการขอสิทธิต่าง ๆ ของเจ้าของข้อมูลจะต้องไม่มีการเรียกเก็บค่าใช้จ่ายใด ๆ และเข้าถึงได้ง่าย

ผลกระทบ

ใครก็ตามที่ได้รับอันตรายจากข้อมูลส่วนบุคคลของตนที่ถูกประมวลผลโดยฝ่าฝืนบทบัญญัติของกฎระเบียบการคุ้มครองข้อมูลส่วนบุคคลอาจมีสิทธิ์ได้รับความเสียหายจากผู้ควบคุม (Data Controller) หรือผู้ควบคุมที่เกี่ยวข้องกับการประมวลผล (Data Processor)

นอกจากนี้ผู้ประมวลผลข้อมูลอาจต้องรับผิดต่อความเสียหายหากมีการละเมิดข้อกำหนดที่กำหนดไว้ที่ผู้ประมวลผลโดยเฉพาะหรือประมวลผลข้อมูลโดยฝ่าฝืนคำสั่งของผู้ควบคุม

บุคคลสามารถร้องขอความเสียหายจากผู้ควบคุมข้อมูลหรือผู้ประมวลผลข้อมูลหรือดำเนินการทางกฎหมายเพื่อเรียกร้องค่าเสียหายในศาลได้

 สรุปจากหลักการแล้วใครก็ตามที่ได้รับความเสียหายมีสิทธิได้รับการชดเชยความเสียหายทั้งหมดจากผู้ควบคุมข้อมูลหรือผู้ประมวลผลข้อมูล แต่ก็สามารถไกล่เกลี่ยระหว่างกันได้ เช่นกัน

Reference : https://www.imy.se/other-lang/in-english/the-general-data-protection-regulation-gdpr/the-data-subjects-rights/

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA (Personal Data Protection Act) ที่มีผลบังคับใช้ทั้งฉบับในวันที่ 1  มิถุนายน 2565 นั้น เป็นสิ่งที่ใกล้ตัวเรามากกว่าที่คิด เพราะไม่ว่าเราจะอยู่ในฐานะที่เป็น ลูกค้า พนักงาน หรือผู้รับผิดชอบดูแลงานในนิติบุคคล ก็ล้วนต้องเกี่ยวข้องกับข้อมูลส่วนบุคคลตามพระราชบัญญัติฉบับนี้ด้วยกันทุกคน

สาระสำคัญของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล คือ การให้ความคุ้มครองข้อมูลเกี่ยวกับบุคคลที่ทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม เช่น ชื่อ-สกุล ที่อยู่ เลขบัตรประชาชน เบอร์ติดต่อ อีเมล การศึกษา ประวัติการทำงาน ฐานะการเงิน ประวัติสุขภาพ ประวัติอาชญากรรม รวมถึงไปถึง ลายนิ้วมือ แผ่นบันทึกลักษณะเสียง เป็นต้น ทั้งนี้เพื่อป้องกันการละเมิดสิทธิความเป็นส่วนตัวของเจ้าของข้อมูล ที่อาจนำมาซึ่งความเดือดร้อนรำคาญหรือสร้างความเสียหายได้ 

สิทธิของเจ้าของข้อมูล (Data subject right) ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีดังนี้

สิทธิที่จะได้รับการแจ้งให้ทราบ (Right to be informed) 

การเก็บรวบรวมข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งรายละเอียดในการเก็บข้อมูล ตลอดจนการนำไปใช้ หรือเผยแพร่ให้เจ้าของข้อมูลทราบก่อนหรือขณะเก็บรวบรวมข้อมูล (ยกเว้นกรณีที่เจ้าของข้อมูลทราบรายละเอียดนั้นอยู่แล้ว เช่น เพื่อนำไปเปิดบัญชี หรือสมัครใช้ผลิตภัณฑ์และบริการต่างๆ) โดยเจ้าของข้อมูลมีสิทธิที่จะทราบวัตถุประสงค์ของการเก็บข้อมูล, การนำไปใช้ หรือเผยแพร่, สิ่งที่ต้องการจัดเก็บ, ระยะเวลาในการเก็บข้อมูล ตลอดจนรายละเอียดของผู้ควบคุมข้อมูลส่วนบุคคล เช่น สถานที่ติดต่อ และวิธีการติดต่อ รวมถึงผลกระทบที่อาจเกิดขึ้นจากการไม่ให้ข้อมูล

สิทธิในการขอเข้าถึงข้อมูลส่วนบุคคล (Right of access)

เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตนเองจากผู้ควบคุมข้อมูลส่วนบุคคล รวมถึงสามารถขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลดังกล่าวในกรณีเกิดความไม่แน่ใจว่าตนเองได้ให้ความยินยอมไปหรือไม่ โดยสิทธิการเข้าถึงข้อมูลนั้นต้องไม่ขัดต่อกฎหมายหรือคำสั่งศาล  และการใช้สิทธินั้นต้องไม่ละเมิดสิทธิหรือเสรีภาพของบุคคลอื่น

สิทธิในการได้รับและโอนถ่ายข้อมูล (Right to data portability)

ในกรณีที่เจ้าของข้อมูลต้องการนำข้อมูลที่เคยให้ไว้กับผู้ควบคุมข้อมูลรายหนึ่ง ไปใช้กับผู้ควบคุมข้อมูลอีกราย เช่น ผู้ควบคุมข้อมูลส่วนบุคคลรายแรกได้ทำจัดทำข้อมูลส่วนบุคคลของเราไปในอยู่ในรูปแบบต่างๆ ที่เข้าถึงได้ด้วยวิธีการอัตโนมัติ เจ้าของข้อมูลสามารถขอให้ผู้ควบคุมข้อมูลส่วนบุคคลที่จัดทำข้อมูลนั้น ทำการส่งหรือโอนข้อมูลดังกล่าวให้ได้ หรือจะขอให้ส่งไปยังผู้ควบคุมข้อมูลส่วนบุคคลรายอื่นโดยตรงก็สามารถทำได้ หากไม่ติดขัดทางวิธีการและเทคนิค โดยการใช้สิทธินั้นต้องไม่ขัดต่อกฎหมาย สัญญา หรือละเมิดสิทธิเสรีภาพของบุคคลอื่น

สิทธิในการคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Right to object)

เจ้าของข้อมูลสามารถคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เมื่อไหร่ก็ได้ รวมถึงสามารถทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ ยกเว้นมีเหตุอันควรทางกฎหมายที่สำคัญจริงๆ เท่านั้น

สิทธิในการขอให้ลบ หรือทำลายข้อมูลส่วนบุคคล  (Right to erasure / Right to be forgotten)

หากผู้ควบคุมข้อมูลส่วนบุคคล นำข้อมูลส่วนบุคคลไปเผยแพร่ในที่สาธารณะ หรือสามารถเข้าถึงได้ง่าย เจ้าของข้อมูลมีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลทำการลบหรือทำลายข้อมูลนั้น หรือทำให้ข้อมูลนั้นไม่สามารถระบุตัวตนได้  โดยผู้ควบคุมข้อมูลต้องเป็นผู้รับผิดชอบดำเนินการทั้งในทางเทคโนโลยีและค่าใช้จ่าย เพื่อให้เป็นไปตามคำขอนั้น

สิทธิในการเพิกถอนความยินยอม (Right to withdraw consent)

กรณีเจ้าของข้อมูลเคยให้ความยินยอมในการใช้ข้อมูลไป ต่อมาเกิดเปลี่ยนใจ ก็สามารถยกเลิกความยินยอมนั้นเมื่อไหร่ก็ได้ โดยการยกเลิกจะต้องไม่ขัดต่อข้อจำกัดสิทธิในการถอนความยินยอมทางกฎหมาย หรือสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคลที่ได้ให้ความยินยอมไปก่อนหน้านี้

สิทธิในการขอระงับการใช้ข้อมูล (Right to restrict processing)

เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลระงับการใช้ข้อมูลส่วนบุคคล ไม่ว่าจะในกรณีที่เกิดการเปลี่ยนใจไม่ต้องการให้ข้อมูลแล้ว หรือเปลี่ยนใจระงับการทำลายข้อมูลเมื่อครบกำหนดที่ต้องทำลาย เพราะมีความจำเป็นต้องนำข้อมูลไปใช้ในทางกฎหมาย หรือการเรียกร้องสิทธิ ก็สามารถทำได้

สิทธิขอให้แก้ไขข้อมูล (Right of rectification) 

เจ้าของข้อมูลมีสิทธิที่จะขอแก้ไขข้อมูลส่วนบุคคลของตนเองให้มีความถูกต้อง เป็นปัจจุบัน และไม่ก่อให้เกิดความเข้าใจผิดได้ โดยการแก้ไขนั้นจะต้องเป็นไปด้วยความสุจริต และไม่ขัดต่อหลักกฎหมาย

แม้ว่าสิทธิในฐานะของการเป็นเจ้าของข้อมูลจะได้รับการคุ้มครอง แต่การใช้สิทธิก็ต้องเป็นไปตามหลักเกณฑ์ของกฎหมาย และไม่ละเมิดสิทธิหรือเสรีภาพของผู้อื่นเช่นกัน และจำไว้เสมอว่า ข้อมูลส่วนบุคคลของเรานั้น หากถูกนำไปใช้ในทางที่ดี ก็จะเป็นผลดีกับเจ้าของข้อมูล แต่หากตกอยู่ในมือของผู้ไม่หวังดี ก็สามารถสร้างความเดือดร้อนและความเสียหายกับเจ้าของข้อมูลได้เช่นกัน

ข้อมูลอ้างอิง:

• พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.๒๕๖๒
• “PDPA – Privacy for All” สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล