สรุปสาระสำคัญ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ “PDPA - Privacy for All”
สิทธิของเจ้าของข้อมูล (Data subject right) ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีการกำหนดสิทธิไว้ ดังนี้
1. สิทธิที่จะได้รับการแจ้งให้ทราบ (Right to be informed) การเก็บรวบรวมข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งรายละเอียดในการเก็บข้อมูล ตลอดจนการนำไปใช้ หรือเผยแพร่ให้เจ้าของข้อมูลทราบก่อนหรือขณะเก็บรวบรวมข้อมูล (ยกเว้นกรณีที่เจ้าของข้อมูลทราบรายละเอียดนั้นอยู่แล้ว เช่น เพื่อนำไปเปิดบัญชี หรือสมัครใช้ผลิตภัณฑ์และบริการต่าง ๆ) โดยเจ้าของข้อมูลมีสิทธิที่จะทราบวัตถุประสงค์ของการเก็บข้อมูล, การนำไปใช้ หรือเผยแพร่, สิ่งที่ต้องการจัดเก็บ, ระยะเวลาในการเก็บข้อมูล ตลอดจนรายละเอียดของผู้ควบคุมข้อมูลส่วนบุคคล เช่น สถานที่ติดต่อ และวิธีการติดต่อ รวมถึงผลกระทบที่อาจเกิดขึ้นจากการไม่ให้ข้อมูล
2. สิทธิในการขอเข้าถึงข้อมูลส่วนบุคคล (Right of access) เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตนเองจากผู้ควบคุมข้อมูลส่วนบุคคล รวมถึงสามารถขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลดังกล่าวในกรณีเกิดความไม่แน่ใจว่าตนเองได้ให้ความยินยอมไปหรือไม่ โดยสิทธิการเข้าถึงข้อมูลนั้นต้องไม่ขัดต่อกฎหมายหรือคำสั่งศาล และการใช้สิทธินั้นต้องไม่ละเมิดสิทธิหรือเสรีภาพของบุคคลอื่น
3. สิทธิในการได้รับและโอนถ่ายข้อมูล (Right to data portability) ในกรณีที่เจ้าของข้อมูลต้องการนำข้อมูลที่เคยให้ไว้กับผู้ควบคุมข้อมูลรายหนึ่ง ไปใช้กับผู้ควบคุมข้อมูลอีกราย เช่น ผู้ควบคุมข้อมูลส่วนบุคคลรายแรกได้ทำจัดทำข้อมูลส่วนบุคคลของเราไปในอยู่ในรูปแบบต่าง ๆ ที่เข้าถึงได้ด้วยวิธีการอัตโนมัติ เจ้าของข้อมูลสามารถขอให้ผู้ควบคุมข้อมูลส่วนบุคคลที่จัดทำข้อมูลนั้น ทำการส่งหรือโอนข้อมูลดังกล่าวให้ได้ หรือจะขอให้ส่งไปยังผู้ควบคุมข้อมูลส่วนบุคคลรายอื่นโดยตรงก็สามารถทำได้ หากไม่ติดขัดทางวิธีการและเทคนิค โดยการใช้สิทธินั้นต้องไม่ขัดต่อกฎหมาย สัญญา หรือละเมิดสิทธิเสรีภาพของบุคคลอื่น
4. สิทธิในการคัดค้านการเก็บรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคล (Right to object) เจ้าของข้อมูลสามารถคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เมื่อไหร่ก็ได้ รวมถึงสามารถทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ ยกเว้นมีเหตุอันควรทางกฎหมายที่สำคัญจริง ๆ เท่านั้น
5. สิทธิในการขอให้ลบ หรือทำลายข้อมูลส่วนบุคคล (Right to erasure / Right to be forgotten) หากผู้ควบคุมข้อมูลส่วนบุคคล นำข้อมูลส่วนบุคคลไปเผยแพร่ในที่สาธารณะ หรือสามารถเข้าถึงได้ง่าย เจ้าของข้อมูลมีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลทำการลบหรือทำลายข้อมูลนั้น หรือทำให้ข้อมูลนั้นไม่สามารถระบุตัวตนได้ โดยผู้ควบคุมข้อมูลต้องเป็นผู้รับผิดชอบดำเนินการ ทั้งในทางเทคโนโลยีและค่าใช้จ่าย เพื่อให้เป็นไปตามคำขอนั้น
6. สิทธิในการเพิกถอนความยินยอม (Right to withdraw consent) กรณีเจ้าของข้อมูลเคยให้ความยินยอมในการใช้ข้อมูลไป ต่อมาเกิดเปลี่ยนใจ ก็สามารถยกเลิกความยินยอมนั้นเมื่อไหร่ก็ได้ โดยการยกเลิกจะต้องไม่ขัดต่อข้อจำกัดสิทธิในการถอนความยินยอมทางกฎหมาย หรือสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคลที่ได้ให้ความยินยอมไปก่อนหน้านี้
7. สิทธิในการขอระงับการใช้ข้อมูล (Right to restrict processing) เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลระงับการใช้ข้อมูลส่วนบุคคล ไม่ว่าจะในกรณีที่เกิดการเปลี่ยนใจไม่ต้องการให้ข้อมูลแล้ว หรือเปลี่ยนใจระงับการทำลายข้อมูลเมื่อครบกำหนดที่ต้องทำลาย เพราะมีความจำเป็นต้องนำข้อมูลไปใช้ในทางกฎหมาย หรือการเรียกร้องสิทธิ ก็สามารถทำได้
8. สิทธิขอให้แก้ไขข้อมูล (Right of rectification) เจ้าของข้อมูลมีสิทธิที่จะขอแก้ไขข้อมูลส่วนบุคคลของตนเองให้มีความถูกต้อง เป็นปัจจุบัน และไม่ก่อให้เกิดความเข้าใจผิดได้ โดยการแก้ไขนั้นจะต้องเป็นไปด้วยความสุจริต และไม่ขัดต่อหลักกฎหมาย
แม้ว่าสิทธิในฐานะของการเป็นเจ้าของข้อมูลจะได้รับการคุ้มครอง แต่การใช้สิทธิก็ต้องเป็นไปตามหลักเกณฑ์ของกฎหมาย และไม่ละเมิดสิทธิหรือเสรีภาพของผู้อื่นเช่นกัน และจำไว้เสมอว่า ข้อมูลส่วนบุคคลของเรานั้น หากถูกนำไปใช้ในทางที่ดี ก็จะเป็นผลดีกับเจ้าของข้อมูล แต่หากตกอยู่ในมือของผู้ไม่หวังดี ก็สามารถสร้างความเดือดร้อนและความเสียหายกับเจ้าของข้อมูลได้เช่นกัน
