สิทธิของเจ้าของข้อมูลส่วนบุคคล

นิยาม

สิทธิของเจ้าของข้อมูลส่วนบุคคล คือชุดสิทธิ์ที่กฎหมายให้แก่บุคคลธรรมดาที่ข้อมูลส่วนบุคคลของตนถูกประมวลผล — เพื่อให้เจ้าของข้อมูลสามารถควบคุมข้อมูลของตน ตรวจสอบความถูกต้อง และคัดค้านการใช้งานที่ไม่เหมาะสม

พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลกำหนดสิทธิ์เหล่านี้ไว้ใน หมวด 3 — สิทธิของเจ้าของข้อมูลส่วนบุคคล (มาตรา 30 ถึง มาตรา 42) รวมทั้งสิทธิร้องเรียนใน มาตรา 71

ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ตอบสนองคำขอใช้สิทธิ์ภายในกรอบเวลาที่กฎหมายกำหนด หากปฏิเสธหรือไม่ตอบสนอง เจ้าของข้อมูลร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญได้

ตัวอย่าง

7 สิทธิ์หลักของเจ้าของข้อมูล

1. สิทธิเข้าถึงข้อมูลและขอรับสำเนา (มาตรา 30)

   • เนื้อหา: เจ้าของข้อมูลขอเข้าถึงข้อมูลของตนที่อยู่ในความรับผิดชอบของผู้ควบคุมข้อมูล + ขอเปิดเผยที่มาของข้อมูลที่ไม่ได้ให้ความยินยอม
   • ตัวอย่าง: ลูกค้าธนาคารขอดูข้อมูลทั้งหมดที่ธนาคารเก็บเกี่ยวกับตน รวมถึงประวัติธุรกรรม
   • ข้อยกเว้น: กรณีที่กฎหมายอื่นหรือคำสั่งศาลห้ามเปิดเผย

2. สิทธิให้ส่งต่อข้อมูลในรูปแบบที่อ่านได้ (มาตรา 31)

   • เนื้อหา: ขอรับข้อมูลในรูปแบบอิเล็กทรอนิกส์ที่อ่านได้โดยทั่วไป + ขอให้ส่งต่อไปยังผู้ควบคุมรายอื่น (สิทธิให้โอนย้ายข้อมูล)
   • ตัวอย่าง: ผู้ใช้แพลตฟอร์มสตรีมเพลงขอรับข้อมูลการฟังเพลงในรูปแบบที่ส่งต่อไปยังแพลตฟอร์มใหม่ได้

3. สิทธิคัดค้านการประมวลผล (มาตรา 32)

   • เนื้อหา: คัดค้านการเก็บ ใช้ เปิดเผยข้อมูลที่อยู่บนฐาน "ประโยชน์โดยชอบด้วยกฎหมาย" (มาตรา 24 (4)/(5)) หรือเพื่อวัตถุประสงค์ทางการตลาด
   • ตัวอย่าง: ลูกค้าคัดค้านการรับโฆษณาทางตลาดของบริษัท → บริษัทต้องระงับการประมวลผลเพื่อการตลาดทันที

4. สิทธิให้ลบ ทำลาย หรือทำให้ไม่ระบุตัวบุคคล (มาตรา 33)

   • เนื้อหา: ขอให้ผู้ควบคุมลบหรือทำให้ไม่ระบุตัวข้อมูล เมื่อข้อมูลไม่จำเป็นตามวัตถุประสงค์เดิม / เจ้าของถอนความยินยอม / เจ้าของคัดค้านการประมวลผล / ข้อมูลถูกประมวลผลโดยไม่ชอบ
   • ตัวอย่าง: ผู้ใช้บริการถอนความยินยอมและขอให้บริษัทลบข้อมูลของตน

5. สิทธิให้ระงับการใช้ข้อมูลชั่วคราว (มาตรา 34)

   • เนื้อหา: ขอให้ระงับการใช้ข้อมูลในขณะที่กำลังตรวจสอบความถูกต้อง / คัดค้าน / โต้แย้งทางกฎหมาย
   • ตัวอย่าง: เจ้าของข้อมูลโต้แย้งความถูกต้องของข้อมูลและขอให้ระงับการประมวลผลจนกว่าจะตรวจสอบเสร็จ

6. สิทธิให้แก้ไขข้อมูลให้ถูกต้อง (มาตรา 35 + มาตรา 36)

   • เนื้อหา: ขอให้ผู้ควบคุมแก้ไขข้อมูลที่ไม่ถูกต้อง ไม่เป็นปัจจุบัน ไม่สมบูรณ์ หรือทำให้เข้าใจผิด — ถ้าผู้ควบคุมปฏิเสธต้องบันทึกคำขอและเหตุผลตาม มาตรา 36
   • ตัวอย่าง: เจ้าของข้อมูลแจ้งเปลี่ยนที่อยู่ใหม่ → ผู้ควบคุมต้องอัปเดตในระบบ

7. สิทธิร้องเรียน (มาตรา 71)

   • เนื้อหา: ร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญในกรณีที่ผู้ควบคุม/ผู้ประมวลผลฝ่าฝืน พ.ร.บ. — เป็นช่องทางบังคับใช้สิทธิ์เมื่อผู้ควบคุมไม่ตอบสนองหรือปฏิเสธโดยไม่ชอบ
   • ตัวอย่าง: บริษัทปฏิเสธคำขอลบข้อมูล → เจ้าของข้อมูลร้องเรียนต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

กลไกการใช้สิทธิ์

• ผ่านผู้ควบคุมโดยตรง: ติดต่อช่องทางที่ผู้ควบคุมจัดให้ (อีเมล แบบฟอร์ม โทรศัพท์)
• ผ่านเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO): ในกรณีที่ผู้ควบคุมแต่งตั้ง DPO ตาม มาตรา 41 — DPO มีหน้าที่ตอบคำถาม ให้คำแนะนำ และประสานงานตาม มาตรา 42
• ผ่านการร้องเรียน: ตาม มาตรา 71 ถ้าผู้ควบคุมไม่ตอบสนอง

มาตราที่เกี่ยวข้อง

7 สิทธิ์หลักในหมวด 3:

• มาตรา 30 — ⭐ สิทธิเข้าถึงข้อมูลและขอรับสำเนา
• มาตรา 31 — สิทธิรับข้อมูลในรูปแบบอ่านได้ + สิทธิให้ส่งต่อข้อมูลไปยังผู้ควบคุมรายอื่น
• มาตรา 32 — สิทธิคัดค้านการเก็บ ใช้ เปิดเผยข้อมูล
• มาตรา 33 — สิทธิให้ลบ ทำลาย หรือทำให้ไม่ระบุตัวบุคคล
• มาตรา 34 — สิทธิให้ระงับการใช้ข้อมูลชั่วคราว
• มาตรา 35 — หน้าที่ของผู้ควบคุมให้ข้อมูลถูกต้อง สมบูรณ์ และไม่ทำให้เข้าใจผิด
• มาตรา 36 — กลไกเมื่อผู้ควบคุมไม่ดำเนินการแก้ไขตามคำขอ ต้องบันทึกเหตุผลในรายการตาม มาตรา 39

กลไกสนับสนุน:

• มาตรา 37 — หน้าที่ของผู้ควบคุม (รวมถึงการแจ้งเหตุละเมิดข้อมูลให้เจ้าของข้อมูลทราบเมื่อเกิดเหตุที่กระทบสิทธิ)
• มาตรา 42 — หน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ในการอำนวยความสะดวกแก่เจ้าของข้อมูล

การบังคับใช้:

• มาตรา 71 — สิทธิร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญในกรณีที่ผู้ควบคุม/ผู้ประมวลผลฝ่าฝืน พ.ร.บ.

ประกาศที่เกี่ยวข้อง

-

หมายเหตุ

• สิทธิ์มาพร้อมข้อจำกัด: ทุกสิทธิ์มีข้อยกเว้น เช่น การเข้าถึงข้อมูลตาม มาตรา 30 ไม่ใช้ได้ถ้ากฎหมายอื่นห้ามเปิดเผย / การให้ลบตาม มาตรา 33 ไม่ใช้ได้ถ้าข้อมูลจำเป็นเพื่อภารกิจประโยชน์สาธารณะ
• ผู้ควบคุมต้องตอบสนองภายในกรอบเวลา: มาตรา 30 กำหนด 30 วันสำหรับสิทธิเข้าถึง — สิทธิอื่นไม่ได้กำหนดเวลาชัดเจน แต่ต้องตอบสนองภายใน "ระยะเวลาอันสมควร"
• การปฏิเสธต้องมีเหตุผล: หากผู้ควบคุมปฏิเสธคำขอใช้สิทธิ์ ต้องแจ้งเหตุผลเป็นหนังสือ + บันทึกในรายการกิจกรรมการประมวลผลตาม มาตรา 39 เพื่อให้ตรวจสอบได้
• สิทธิ์ใช้ได้กับข้อมูลอ่อนไหวด้วย: สิทธิ์ทั้ง 7 ในหมวด 3 ใช้บังคับกับการประมวลผลข้อมูลอ่อนไหวเช่นกัน — แต่อาจมีข้อยกเว้นเฉพาะ เช่น มาตรา 33 ไม่ใช้ถ้าเก็บข้อมูลภายใต้ภารกิจเวชศาสตร์ป้องกัน/การวิจัย (มาตรา 26 (5) (ก)/(ข))
• เทียบกับ GDPR: สิทธิ์ใน พ.ร.บ. สอดคล้องกับสิทธิของเจ้าของข้อมูลใน GDPR บทที่ 3 (Art. 12-23) — สิทธิเข้าถึง (Art. 15) สิทธิให้แก้ไข (Art. 16) สิทธิให้ลบ (Art. 17 — สิทธิให้ถูกลืม) สิทธิระงับ (Art. 18) สิทธิให้โอนข้อมูล (Art. 20) สิทธิคัดค้าน (Art. 21)
• ค่าใช้จ่ายในการใช้สิทธิ์: พ.ร.บ. ไม่ได้บัญญัติชัดเจน — โดยทั่วไปผู้ควบคุมไม่ควรเก็บค่าธรรมเนียมในการใช้สิทธิ์ครั้งแรก แต่อาจคิดค่าธรรมเนียมตามสมควรในกรณีคำขอซ้ำซ้อนหรือเกินสมควร
• สิทธิ์ของผู้เยาว์: มาตรา 25 กำหนดให้ผู้ใช้อำนาจปกครองเป็นผู้แทนในการให้/ถอนความยินยอม — สิทธิ์ในหมวด 3 ก็ใช้ได้โดยผู้แทน