- สิทธิได้รับการแจ้งให้ทราบ (Right to be informed)
- สิทธิขอเข้าถึงข้อมูลส่วนบุคคล (Right of access)
- สิทธิในการขอให้โอนข้อมูลส่วนบุคคล (Right to data portability)
- สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Right to object)
- สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคล (Right to erasure (also known as right to be forgotten)
- สิทธิขอให้ระงับการใช้ข้อมูล (Right to restrict processing)
- สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล (Right of rectification)
PDPA (Personal Data Protection Act, B.E. 2562 (2019)) คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งได้ประกาศในราชกิจจานุเบกษาไปเมื่อ 27 พฤษภาคม 2562 และมีผลบังคับใช้เมื่อ 28 พฤษภาคม 2562 แล้วในบางส่วน โดยวันที่ 27 พฤษภาคม 2563 เป็นวันที่ พ.ร.บ.นี้มีผลบังคับใช้ตามกฎหมายทั้งฉบับ
เหตุผลในการประกาศใช้ PDPA เนื่องมาจากเทคโนโลยีก้าวหน้าขึ้น ช่องทางสื่อสารต่างๆ มีหลากหลายขึ้น ทำให้การละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคลทำได้ง่ายขึ้น และหลายครั้งก็นำมาซึ่งความเดือดร้อนรำคาญหรือสร้างความเสียหายให้แก่เจ้าของข้อมูล ตลอดจนสามารถส่งผลต่อเศรษฐกิจโดยรวมของประเทศได้ด้วย จึงต้องมีกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลขึ้นเพื่อกำหนดหลักเกณฑ์ กลไก หรือมาตรการกำกับดูแลเกี่ยวกับการให้ความคุ้มครองข้อมูลส่วนบุคคลที่รวมถึงการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลขึ้น
ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล “ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล” ทั้งนี้บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าว ต้องไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล
- ได้รับความยินยอมจากเจ้าของข้อมูส่วนบุคคล
- จัดทำเอกสารประวัติศาสตร์ หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ
- การศึกษาวิจัยหรือการจัดทำสถิติ ป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
- จำเป็นเพื่อปฏิบัติกฎหมาย หรือสัญญา
- จำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลหรือของบุคคลอื่น
- จำเป็นเพื่อประโยชน์สาธารณะ และการปฏิบัติหน้าที่ในการใช้อำนาจรัฐ
เพื่อให้ข้อมูลส่วนบุคคลถูกนำไปใช้ในทางที่เหมาะสมและเป็นประโยชน์มากกว่าโทษ การให้ข้อมูลแต่ละครั้งจึงต้องพิจารณาอย่างรอบคอบก่อนให้ข้อมูล เช่นการให้ข้อมูลเพื่อจัดส่งสินค้า หากมีการขอข้อมูลที่ไม่เกี่ยวกับการจัดส่ง เจ้าของข้อมูลก็มีสิทธิปฏิเสธการให้ข้อมูลนั้น และในส่วนของผู้เก็บข้อมูล ก็ต้องรู้ขอบเขตในการเข้าถึงข้อมูลส่วนบุคคล มีระบบในการควบคุม/ยืนยันตัวตนในการเข้าถึงข้อมูล และจำเป็นต้องมีการกำหนดนโยบายองค์กรเพื่อให้บุคคลที่เกี่ยวข้องปฏิบัติตาม เพราะหากไม่ทำตามอาจได้รับโทษดังนี้
- ความรับผิดทางแพ่ง ตามความเสียหายที่เกิดขึ้นจริง และอาจต้องชดใช้ค่าสินไหมทดแทนเพิ่มขึ้นอีก โดยสูงสุดไม่เกิน 2 เท่าของค่าเสียหายที่แท้จริง
- โทษทางอาญา จำคุกสูงสุดไม่เกิน 1 ปี หรือปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ
- โทษทางปกครอง ปรับสูงสุดไม่เกิน 5 ล้านบาท
ติดต่อสอบถามรายละเอียดเพิ่มเติม
Support@accom.co.th
