Menu Close

สรุป PDPA หรือ พรบ.คุ้มครองข้อมูลส่วนบุคคล (อัพเดท เมษายน 2564)

ขอความยินยอมอย่างไร? ให้ถูกต้องตามกฎหมาย PDPA

👉🏻ใช้แบบหรือข้อความที่เข้าใจง่าย แยกเป็นสัดส่วน
👉🏻ทำเป็นหนังสือหรือระบบอิเล็กทรอนิกส์ก็ได้
👉🏻ต้องไม่เป็นการหลอกลวงหรือมีเงื่อนไขแอบแฝงประมวลผลข้อมูลที่จำเป็นเท่านั้น

ทั้งนี้ การทำกิจกรรมส่วนใหญ่สามารถทำได้โดยไม่ต้องขอความยินยอม เพราะมีเหตุอื่นให้ใช้ได้ เช่น การปฏิบัติตามสัญญา การปฏิบัติตามกฎหมาย เพียงแค่ผู้ควบคุมข้อมูลมีหน้าที่ต้องแจ้งให้เจ้าของข้อมูลทราบถึงวัตถุประสงค์แค่นั้นก็พอ

การเก็บข้อมูลหน้าที่ตามกฎหมาย Legal Obligations

👉🏻เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลเงินเดือนลูกจ้าง
👉🏻เพื่อคำนวณจ่ายค่าประกันสังคม
👉🏻ส่งให้กับสำนักงานประกันสังคม
กรณีเก็บรวบรวม ใช้ ตามกฎหมายกำหนด ไม่ต้องขอความยินยอมอีก(มาตรา 24(6))

การเก็บข้อมูลเพื่อประโยชน์อันชอบธรรม Legitimate Interest

เช่น การติด CCTV หน้าประตูทางเข้าบริษัท ย่อมคาดหมายได้ว่าเป็นไปเพื่อการรักษาความปลอดภัยผู้ควบคุมข้อมูลสามารถทำให้เจ้าของข้อมูลมีความคาดหมายที่ถูกต้องเพิ่มเติมได้โดยการแปะป้าย“ CCTV กำลังทำงาน ”แต่ ผู้ควบคุมข้อมูลควรจะมีระบบรักษาความปลอดภัยในการใช้ข้อมูลจากกล้องให้อยู่ในขอบเขตที่เหมาะสมไม่เปิดเผยให้ผู้อื่นเข้าถึงได้โดยง่าย

การเก็บข้อมูลเพื่อปฏิบัติตามสัญญา ไม่ต้องขอความยินยอม

กรณีเป็นการเก็บรวบรวม ใช้ เปิดเผย“ข้อมูลส่วนบุคคล (Personal Data) เพื่อเข้าทำสัญญาหรือจำเป็นเพื่อปฏิบัติตามสัญญา ไม่ต้องขอความยินยอมเพิ่มเติมอีก(มาตรา 24(3))
ตัวอย่าง
👉🏻การประมวลผลข้อมูลผู้สมัครบัตรเครดิตว่าจะอนุมัติบัตรเครดิตหรือไม่
👉🏻การประมวลผลที่อยู่ลูกค้าเพื่อจัดส่งสินค้า
👉🏻การประมวลผลบัญชีธนาคารลูกจ้างเพื่อจ่ายค่าจ้าง
แต่กรณีมี Sensitive Data หรือ ข้อมูลอ่อนไหวตามมาตรา 26 จะต้องขอความยินยอมให้ชัดเจน

สิทธิการได้รับแจ้ง Right to be Informed – มาตรา 23

จะต้องแจ้งวัตถุประสงค์และรายละเอียดของการประมวลผลข้อมูลส่วนบุคคล ให้เจ้าของข้อมูลทราบ ไม่ว่าจะด้วยวิธีการใดก็ตาม เพื่อให้เจ้าของข้อมูลลรู้ว่าข้อมูลของตนจะถูกนำไปใช้ทำอะไร?
รายละเอียดการแจ้งให้ทราบ ต้องมีอย่างน้อย
👉🏻เก็บข้อมูลอะไรบ้าง
👉🏻เก็บไปทำไม
👉🏻เก็บนานแค่ไหน
👉🏻ส่งต่อข้อมูลให้ใคร
👉🏻ช่องทางติดต่อผู้ควบคุมข้อมูล

สิทธิในการเพิกถอนความยินยอม Right to Withdraw Consent – มาตรา 19

เจ้าของข้อมูลมีสิทธิที่จะเพิกถอนความยินยอมเมื่อใดก็ได้ (มาตรา19) การเพิกถอนจะอยู่ในรูปแบบใดก็ได้ เช่น ทางอิเล็กทรอนิกส์ หรือทำเป็นเอกสารที่เป็นลายลักษณ์อักษร .โดยการเพิกถอนจะต้อง มีความง่าย ชัดเจน และไม่ยากไปกว่าตอนขอความยินยอม
👉🏻 เราจะต้อง “แจ้งถึงผลกระทบ” จากการถอนความยินยอมให้เจ้าของข้อมูลทราบด้วย
🔥 หากไม่แจ้งถึงผลกระทบจากการถอนความยินยอมต้องระวางโทษปรับทางปกครองไม่เกิน 1,000,000 บาท (มาตรา 82)

สิทธิในการเข้าถึงข้อมูลส่วนบุคคล (Right of Access) – มาตรา 30

หลักการสำคัญคือ เจ้าของข้อมูลมีสิทธิที่จะขอเข้าถึงข้อมูลที่เกี่ยวกับตนได้ดังนี้
👉🏻 ขอเข้าถึงและขอรับสำเนาข้อมูลที่เกี่ยวกับตน
👉🏻 ขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลที่ตนไม่ได้ให้ความยินยอม
เมื่อได้รับคำขอแล้วเราต้องจัดเตรียมข้อมูลที่เกี่ยวข้องตามคำขอให้เจ้าของ ไม่เกิน 30 วัน นับแต่ที่ได้รับคำขอ

สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง (Right to Rectification) – มาตรา 35 และมาตรา 36


เจ้าของข้อมูล สามารถยื่นคำร้องขอแก้ไขข้อมูลที่เกี่ยวกับตนได้ เมื่อเห็นว่าข้อมูลของตนไม่ถูกต้องหรือไม่สมบูรณ์ ผู้ควบคุมข้อมูลต้องดำเนินการแก้ไขให้ ‘ถูกต้อง เป็นปัจจุบัน สมบูรณ์ หากผู้ควบคุมปฏิเสธคำร้องขอแก้ไขข้อมูล จะต้องบันทึกเหตุผลการปฏิเสธไว้ด้วย

สิทธิในการลบข้อมูลส่วนบุคคล (Right to be Forgotten) ตามมาตรา 33

เจ้าของข้อมูลมีสิทธิยื่นคำร้องขอลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลไม่สามารถระบุถึงตนได้
กรณีที่เจ้าของข้อมูลส่วนบุคคลขอใช้สิทธิได้
👉🏻ข้อมูลหมดความจำเป็นในการประมวลผลตามวัตถุประสงค์
👉🏻ถอนความยินยอมในการใช้ข้อมูล (ในกรณีนี้ต้องปรากฏว่ามีการเก็บข้อมูลตามฐานความยินยอม มาตรา 24)
👉🏻ข้อมูลถูกใช้ประมวลผลโดยไม่ถูกกฎหมาย

ขอความยินยอมอย่างไร? ให้ถูกต้องตามกฎหมาย PDPA

ขอความยินยอมอย่างไร? ให้ถูกต้องตามกฎหมาย PDPA

กรณีมีความจำเป็นต้องเก็บรวบรวมข้อมูลส่วนบุคคล โดยไม่มีฐานการประมวลผลอื่นตามมาตรา 24 ผู้ควบคุมต้องได้รับความยินยอมจากเจ้าของข้อมูลก่อนหรือขณะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลนั้นโดยใช้แบบหรือข้อความที่เข้าใจง่าย แยกเป็นสัดส่วน ทำเป็นหนังสือหรือระบบอิเล็กทรอนิกส์ก็ได้ต้องไม่เป็นการหลอกลวงหรือมีเงื่อนไขแอบแฝงเพื่อประมวลผลข้อมูลที่ไม่จำเป็นหรือไม่เกี่ยวข้อง

สำคัญคือ เจ้าของข้อมูลต้องมีอิสระและทำโดยสมัครใจ สามารถเลือกได้ว่าจะให้ความยินยอมหรือปฎิเสธ ทั้งนี้ แม้ให้ความยินยอมไปแล้ว เจ้าของข้อมูลก็สามารถถอนความยินยอมได้ เว้นแต่มีข้อจำกัดตามกฎหมาย โดยการถอนความยินยอมต้องสามารถทำได้ง่าย (เรียกได้ว่าง่ายเหมือนกับตอนให้ความยินยอม)

ดังนั้น จึงไม่ควรขอความยินยอมโดยไม่จำเป็น ซึ่งจริง ๆ แล้ว การทำกิจกรรมส่วนใหญ่สามารถทำได้โดยไม่ต้องขอความยินยอม เพราะมีเหตุอื่นให้ใช้ได้ เช่น การปฏิบัติตามสัญญา การปฏิบัติตามกฎหมายเพียงแต่ผู้ควบคุมข้อมูลมีหน้าที่ต้องแจ้ง ให้เจ้าของข้อมูลทราบถึงวัตถุประสงค์นั้น

ตัวอย่าง
การประมวลผลข้อมูลเพื่อซื้อขายสินค้า สามารถทำได้ตามฐานสัญญาโดยไม่ต้องขอความยินยอม แต่หากเสนอบริการเสริมเพิ่มเติม ที่ไม่เกี่ยวข้องกับสัญญาซื้อขายนั้น ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล

และการขอความยินยอมจะต้องไม่แสร้งว่า เป็นส่วนหนึ่งของสัญญาหรือเงื่อนไขในการให้บริการ หรือทำให้เข้าใจผิดว่าหากไม่ให้ความยินยอมแล้วเจ้าของข้อมูลจะไม่ได้รับบริการนั้น ๆ

กรณีผู้ควบคุมมีการประมวลผลข้อมูลส่วนบุคคล หลายอย่างเพื่อวัตถุประสงค์เดียวกัน สามารถรวมอยู่ในความยินยอมครั้งเดียวได้ แต่หากใช้ข้อมูลส่วนบุคคลชุดเดียวกัน เพื่อประมวลผลหลายวัตถุประสงค์ต้องให้เจ้าของข้อมูลมีทางเลือกได้ว่า ยินยอมสำหรับวัตถุประสงค์ใดบ้าง

เนื่องจากแต่ละองค์กรมีรูปแบบและลักษณะที่แตกต่างกัน รูปแบบการขอความยินยอมของแต่ละองค์กร จึงสามารถออกแบบและปรับให้เหมาะสมกับกิจกรรมการประมวลผลของตนได้

‼️ย้ำอีกครั้งว่าตามกฎหมาย PDPA ไม่ได้กำหนดให้ต้องขอความยินยอมในทุกกรณี หากวัตถุประสงค์การประมวลผลข้อมูล เข้าหลักการข้ออื่นโดยชอบด้วยกฎหมายแล้ว ก็ไม่ต้องนำเรื่องความยินยอมมาใช้ (แต่ยังมีหน้าที่ในการแจ้งเจ้าของข้อมูลส่วนบุคคลอยู่ดี)


การเก็บข้อมูลหน้าที่ตามกฎหมาย Legal Obligations

การเก็บข้อมูลหน้าที่ตามกฎหมาย Legal Obligations

กรณีเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล จำเป็นต่อการปฏิบัติหน้าที่ตามกฎหมายกำหนดไม่ว่าจะเป็นตามบทบัญญัติแห่งกฎหมายหรือตามคำสั่งของหน่วยงานรัฐที่มีอำนาจหากผู้ควบคุมข้อมูลส่วนบุคคลสามารถอธิบายการปฏิบัติตามหน้าที่นั้นได้อย่างชัดเจนว่าปฏิบัติหน้าที่ตามบทบัญญัติใดหรือปฏิบัติตามคำสั่งของหน่วยงานใดของรัฐการประมวลผลเพื่อการดังกล่าว
ไม่ต้องขอความยินยอมอีก(มาตรา 24(6))

อย่างไรก็ตาม แม้ผู้ควบคุมจะประมวลผลตามกฎหมายผู้ควบคุมยังคงมีหน้าที่จัดทำบันทึกรายการกิจกรรม
(Record of Processing Activities: ROP)

ตัวอย่าง

  • เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลเงินเดือนลูกจ้าง
  • เพื่อคำนวณจ่ายค่าประกันสังคม
  • ส่งให้กับสำนักงานประกันสังคม


การเก็บข้อมูลเพื่อประโยชน์อันชอบธรรม Legitimate Interest

การเก็บข้อมูลเพื่อประโยชน์อันชอบธรรม Legitimate Interest

การประมวลผลข้อมูลที่จำเป็นเพื่อประโยชน์อันชอบธรรม ของผู้ควบคุมข้อมูลหรือบุคคลอื่นสาระสำคัญคือประโยชน์อันชอบธรรมนั้น
‘ต้องไม่เกินไปกว่าความคาดหมายของเจ้าของข้อมูล’

เช่น การติด CCTV หน้าประตูทางเข้าบริษัท ย่อมคาดหมายได้ว่าเป็นไปเพื่อการรักษาความปลอดภัยผู้ควบคุมข้อมูลสามารถทำให้เจ้าของข้อมูลมีความคาดหมายที่ถูกต้องเพิ่มเติมได้โดยการแปะป้าย“ CCTV กำลังทำงาน ”
.
ผู้ควบคุมข้อมูลส่วนบุคคลต้องใช้ดุลยพินิจชั่งน้ำหนักระหว่างประโยชน์อันชอบธรรมไม่ให้ขัดกับสิทธิและประโยชน์เจ้าของข้อมูลส่วนบุคคลดังนั้น ผู้ควบคุมข้อมูลส่วนบุคคลต้องระบุได้ว่าอะไรคือประโยชน์อันชอบธรรมที่จะได้รับและความจำเป็นในการประมวลผลข้อมูลทั้งยังมีหน้าที่ปกป้องสิทธิเสรีภาพและประโยชน์ของเจ้าของข้อมูลส่วนบุคคลให้สมดุลกับประโยชน์อันชอบธรรมที่จะได้รับด้วย
(มาตรา 24(5))
.
ตัวอย่างคือ หากติดกล้อง CCTV ในสถานที่เช่น ภายในห้องน้ำ นอกจากเกินกว่าที่บุคคลทั่วไปจะคาดหมายได้แล้ว ยังก้าวล่วงความเป็นส่วนตัวและสร้างความเสี่ยงต่อเจ้าของข้อมูลมากเกินสมควรกรณีนี้ก็จะไม่สามารถอ้างประโยชน์อันชอบธรรมได้
.
นอกจากนี้ ในการปกป้องสิทธิเสรีภาพและประโยชน์ของเจ้าของข้อมูลผู้ควบคุมข้อมูลควรจะมีระบบรักษาความปลอดภัย
ในการใช้ข้อมูลจากกล้องให้อยู่ในขอบเขตที่เหมาะสมไม่เปิดเผยให้ผู้อื่นเข้าถึงได้โดยง่าย ก็จะเป็นมาตรการที่ช่วยคุ้มครองเจ้าของข้อมูลได้อีกทางหนึ่ง (Safeguard)


การเก็บข้อมูลเพื่อปฏิบัติตามสัญญา ไม่ต้องขอความยินยอม

การเก็บข้อมูลเพื่อปฏิบัติตามสัญญา ไม่ต้องขอความยินยอม

กรณีเป็นการเก็บรวบรวม ใช้ เปิดเผย“ข้อมูลส่วนบุคคล (Personal Data)”ที่จำเป็นเพื่อปฏิบัติตามคำขอของเจ้าของข้อมูลส่วนบุคคล
เพื่อเข้าทำสัญญาหรือจำเป็นเพื่อปฏิบัติตามสัญญาระหว่างผู้ควบคุมข้อมูลส่วนบุคคลและเจ้าของข้อมูลส่วนบุคคล

เจ้าของข้อมูลส่วนบุคคลจำเป็นต้องให้ข้อมูลส่วนบุคคลของตนและผู้ควบคุมข้อมูลส่วนบุคคลจำเป็นต้องใช้ข้อมูลนั้น
ให้สามารถดำเนินการตามสัญญาต่อไปได้ดังนั้น เมื่อเข้าหลักการเก็บรวบรวมข้อมูลเพื่อปฏิบัติตามสัญญานี้แล้วจึงไม่ต้องขอความยินยอมเพิ่มเติมอีก(มาตรา 24(3))

แต่หลักการเรื่องสัญญานี้ ยังไม่เพียงพอตามกฎหมายที่จะนำไปเก็บรวบรวมใช้ หรือเปิดเผยข้อมูลอ่อนไหวตามมาตรา 26
จึงอาจต้องขอความยินยอมชัดแจ้งเว้นแต่เป็นกรณีสัญญาให้บริการทางการแพทย์ที่เข้าเงื่อนไขตามกฎหมาย ตามมาตรา 26(5)(ก)
หรือกรณีตามข้อยกเว้นอื่นที่ไม่ต้องขอความยินยอม ตามมาตรา 26

ตัวอย่าง

  • การประมวลผลข้อมูลผู้สมัครบัตรเครดิตว่าจะอนุมัติบัตรเครดิตหรือไม่
  • การประมวลผลที่อยู่ลูกค้าเพื่อจัดส่งสินค้า
  • การประมวลผลบัญชีธนาคารลูกจ้างเพื่อจ่ายค่าจ้าง

สิทธิการได้รับแจ้ง Right to be Informed – มาตรา 23

สิทธิการได้รับแจ้ง Right to be Informed - มาตรา 23

หลักสำคัญของสิทธินี้คือ เป็นสิทธิที่เจ้าของข้อมูลส่วนบุคคล ทุกคน ได้รับโดยไม่ต้องมีการร้องขอ

ตามกฎหมายแล้วผู้ควบคุมข้อมูลส่วนบุคคล จะต้อง แจ้งวัตถุประสงค์และรายละเอียดของการประมวลผลข้อมูลส่วนบุคคล
ให้เจ้าของข้อมูลส่วนบุคคลทราบ ไม่ว่าจะด้วยวิธีการใดก็ตาม
เพื่อให้เจ้าของข้อมูลส่วนบุคคลรู้ว่าข้อมูลของตนจะถูกนำไปใช้ทำอะไร?
*การประมวลผล หมายถึง การเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลส่วนบุคคล

รายละเอียดการแจ้งให้ทราบ ต้องมีอย่างน้อย
– เก็บข้อมูลอะไรบ้าง
– เก็บไปทำไม
– เก็บนานแค่ไหน
– ส่งต่อข้อมูลให้ใคร
– ช่องทางติดต่อผู้ควบคุมข้อมูล

* หากเก็บรวบรวมข้อมูลจากแหล่งอื่นก็ต้องแจ้งเจ้าของข้อมูลทราบด้วย (มาตรา 25)
*กรณีมีการแก้ไขวัตถุประสงค์ในภายหลัง จะต้องแจ้งให้ทราบหากวัตถุประสงค์ที่แก้ไขนั้นมีความแตกต่างไปจากวัตถุประสงค์เดิม

หากผู้ควบคุมข้อมูลส่วนบุคคลไม่ปฏิบัติตามกฎหมายแจ้งรายละเอียดให้เจ้าของข้อมูลทราบ
ถือเป็นความผิดตามพระราชบัญญัติฉบับนี้ โดยมีบทลงโทษเป็นโทษปรับทางปกครองไม่เกิน 1,000,000 บาท
(มาตรา 82)


สิทธิในการเพิกถอนความยินยอม Right to Withdraw Consent – มาตรา 19

สิทธิในการเพิกถอนความยินยอม Right to Withdraw Consent - มาตรา 19

หลักการสำคัญคือ เจ้าของข้อมูลส่วนบุคคลมีสิทธิที่จะเพิกถอนความยินยอมเมื่อใดก็ได้ (มาตรา19)
* ในกรณีที่เป็นการเก็บรวบรวมข้อมูลจากการให้ความยินยอม (Consent)

การเพิกถอนความยินยอมจะอยู่ในรูปแบบใดก็ได้ เช่น ทางอิเล็กทรอนิกส์ หรือทำเป็นเอกสารที่เป็นลายลักษณ์อักษร โดยการเพิกถอนจะต้อง มีความชัดเจน เข้าใจง่าย และไม่ยากไปกว่าการขอความยินยอม

เมื่อผู้ควบคุมข้อมูลส่วนบุคคลส่วนบุคคลได้รับคำขอการเพิกถอนจากเจ้าของข้อมูลแล้ว จะต้อง “แจ้งถึงผลกระทบ” จากการถอนความยินยอมและ “หยุดการประมวลผล”

🔥 หากผู้ควบคุมข้อมูลส่วนบุคคลไม่แจ้งถึงผลกระทบจากการถอนความยินยอมต้องระวางโทษปรับทางปกครองไม่เกิน 1,000,000 บาท (มาตรา 82)

* การประมวลผล หมายถึง การเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคล


สิทธิในการเข้าถึงข้อมูลส่วนบุคคล (Right of Access) – มาตรา 30

สิทธิในการเข้าถึงข้อมูลส่วนบุคคล (Right of Access) - มาตรา 30

หลักการสำคัญคือ เจ้าของข้อมูลมีสิทธิที่จะขอเข้าถึงข้อมูลที่เกี่ยวกับตนได้ดังนี้
1. ขอเข้าถึงและขอรับสำเนาข้อมูลที่เกี่ยวกับตน
2. ขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลที่ตนไม่ได้ให้ความยินยอม

เมื่อได้รับคำขอแล้ว ผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดเตรียมข้อมูลที่เกี่ยวข้องตามคำขอให้เจ้าของข้อมูลโดยไม่ชักช้า (ไม่เกิน 30 วัน นับแต่ที่ได้รับคำขอ)

อย่างไรก็ตาม ผู้ควบคุมข้อมูลสามารถปฏิเสธคำขอได้ในกรณีดังต่อไปนี้
1. เป็นการปฏิเสธตามกฎหมายหรือคำสั่งศาล
2. คำขอจากเจ้าของข้อมูลส่วนบุคคลนั้นส่งผลกระทบต่อสิทธิและเสรีภาพของบุคคลอื่น

*หากมีการปฏิเสธคำขอจะต้องทำบันทึกรายการเกี่ยวกับการปฏิเสธด้วย ซึ่งมีรายละเอียดตามมาตรา 39

หากปรากฏว่าผู้ควบคุมข้อมูลส่วนบุคคลไม่ปฏิบัติตามคำขอ ต้องระวางโทษปรับทางปกครองไม่เกิน 1,000,000 บาท (มาตรา 82)


สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง (Right to Rectification) – มาตรา 35 และมาตรา 36

สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง (Right to Rectification) - มาตรา 35 และมาตรา 36

หลักการสำคัญคือ เจ้าของข้อมูลส่วนบุคคลสามารถยื่นคำร้องขอแก้ไขข้อมูลส่วนบุคคลที่เกี่ยวกับตนได้ เมื่อเห็นว่าข้อมูลส่วนบุคคลของตนไม่ถูกต้องหรือไม่สมบูรณ์

เมื่อผู้ควบคุมข้อมูลได้รับคำร้องขอแก้ไขข้อมูลส่วนบุคคลจะต้องดำเนินการแก้ไขให้ ‘ถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด’

หากผู้ควบคุมข้อมูลปฏิเสธคำร้องขอแก้ไขข้อมูลจะต้องบันทึกรายการและเหตุผลการปฏิเสธไว้ด้วยตามมาตรา 39และเจ้าของข้อมูลมีสิทธิร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญเพื่อสั่งให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการได้ ตามมาตรา 34 วรรคสอง


สิทธิในการลบข้อมูลส่วนบุคคล (Right to be Forgotten) ตามมาตรา 33

สิทธิในการลบข้อมูลส่วนบุคคล (Right to be Forgotten) ตามมาตรา 33


หลักการสำคัญ เจ้าของข้อมูลส่วนบุคคลมีสิทธิยื่นคำร้องขอลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลไม่สามารถระบุถึงตนได้ ตามเงื่อนไขที่กฎหมายกำหนด

กรณีที่เจ้าของข้อมูลส่วนบุคคลขอใช้สิทธิได้

ข้อมูลหมดความจำเป็นในการประมวลผลตามวัตถุประสงค์
1.ถอนความยินยอมในการใช้ข้อมูล (ในกรณีนี้ต้องปรากฏว่ามีการเก็บข้อมูลตามฐานความยินยอม มาตรา 24)
2.ข้อมูลถูกใช้ประมวลผลโดยไม่ถูกกฎหมาย

กรณีที่กฎหมายยกเว้นการใช้สิทธิ
1.เป็นข้อมูลที่เกี่ยวกับเสรีภาพในการแสดงความคิดเห็น
2.เป็นข้อมูลที่เกี่ยวกับการทำวิจัย หรือสถิติ (มาตรา 24(1)) หรือเพื่อสาธารณะประโยชน์ (มาตรา 24(4))
3. เป็นข้อมูลที่กฎหมายระบุให้เก็บ

ในกรณีที่มีการส่งต่อหรือเปิดเผยข้อมูลนั้นต่อสาธารณะแล้ว ผู้ควบคุมข้อมูลต้องดำเนินการแจ้งให้ลบข้อมูลดังกล่าวด้วย หากผู้ควบคุมข้อมูลไม่ดำเนินการตามคำร้องขอ เจ้าของข้อมูลมีสิทธิร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญเพื่อสั่งให้ผู้ควบคุมข้อมูลดำเนินการได้

รวบรวมข้อมูลจาก กระทรงดิจิทัลเพื่อเศรษฐกิจและสังคม  และ พระราชบัญญัติ คุ้มครอง ข้อมูล ส่วน บุคคล – ราชกิจจานุเบกษา


pdpa-and-cookie-consent
ทำความรู้จัก PDPA และการเตรียม Cookie และ Universal Consent

Related Posts