พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 เป็นกฎหมายที่กำหนดถึงหลักเกณฑ์ในการคุ้มครองข้อมูลส่วนบุคคล หน้าที่ของผู้ประกอบการและหน่วยงานของรัฐซึ่งมีฐานะเป็นผู้ควบคุมข้อมูลส่วนบุคคล รวมถึงกำหนดสิทธิของเจ้าของข้อมูลส่วนบุคคล
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ มีการบัญญัติถึงสิทธิของเจ้าของข้อมูลส่วนบุคคลไว้ 8 ประการ มีรายละเอียดดังต่อไปนี้
1. สิทธิในการถอนความยินยอม (Right to withdraw consent)
เจ้าของข้อมูลจะใช้สิทธิในการถอนความยินยอมได้เมื่อมีการประมวลผลข้อมูลโดยใช้ฐานความยินยอมเท่านั้น โดยเจ้าของข้อมูลจะถอนความยินยอมเมื่อใดก็ได้หากไม่มีข้อจำกัดสิทธิ และวิธีการถอนความยินยอมต้องง่ายในระดับเดียวกับวิธีการขอความยินยอม
เมื่อเจ้าของข้อมูลถอนความยินยอมแล้ว ผู้ควบคุมข้อมูลจะต้องแจ้งถึงผลกระทบจากการถอนความยินยอมและต้องยุติการประมวลผลข้อมูลส่วนบุคคลดังกล่าว
2. สิทธิในการได้รับแจ้งข้อมูล (Right to be informed)
เจ้าของข้อมูลมีสิทธิได้รับแจ้งเกี่ยวกับรายละเอียดการเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคล โดยผู้ควบคุมข้อมูลมีหน้าที่แจ้งถึงวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคลที่เก็บรวบรวม ระยะเวลาในการเก็บรวบรวม ช่องทางในการติดต่อผู้ควบคุมข้อมูลส่วนบุคคล เป็นต้น
และในกรณีที่ผู้ควบคุมข้อมูลจะทำการเปลี่ยนแปลงวัตถุประสงค์ในการประมวลผลภายหลัง ผู้ควบคุมข้อมูลต้องแจ้งให้เจ้าของข้อมูลทราบถึงวัตถุประสงค์ใหม่ด้วย
3. สิทธิในการเข้าถึงข้อมูลส่วนบุคคล (Right of access)
เจ้าของข้อมูลมีสิทธิที่จะเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตนเอง ซึ่งอยู่ในความรับผิดชอบของผู้ควบคุมข้อมูล เช่น หนังสือรับรองการประมวลผลข้อมูลส่วนบุคคล เป็นต้น รวมทั้งมีสิทธิขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลที่เจ้าของข้อมูลไม่ได้เป็นผู้ให้ความยินยอม
เมื่อเจ้าของข้อมูลใช้สิทธิในการเข้าถึงข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลจะต้องดำเนินการตามคำขอและผู้ควบคุมข้อมูลสามารถปฏิเสธคำขอได้ในกรณีที่กฎหมายอื่นกำหนดถึงเหตุปฏิเสธการใช้สิทธินั้น หรือการเข้าถึงและรับสำเนาข้อมูลส่วนบุคคลนั้นจะส่งผลกระทบที่อาจก่อให้เกิดความเสียหายต่อสิทธิและเสรีภาพของบุคคลอื่น
4. สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง (Right to rectification)
ในกรณีที่เจ้าของข้อมูลเห็นว่าข้อมูลส่วนบุคคลของตนเองไม่ถูกต้อง เจ้าของข้อมูลมีสิทธิเรียกร้องให้ผู้ควบคุมข้อมูลทำการแก้ไขได้ และผู้ควบคุมข้อมูลจะต้องแก้ไขให้ถูกต้อง เป็นปัจจุบัน และสมบูรณ์
แต่ถ้าผู้ควบคุมข้อมูลปฏิเสธไม่ดำเนินการตามคำร้อง ผู้ควบคุมข้อมูลจะต้องบันทึกคำร้องของเจ้าของข้อมูลส่วนบุคคลและเหตุผลของการปฏิเสธสิทธินั้น และเจ้าของข้อมูลมีสิทธิร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญเพื่อสั่งให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการแก้ไขข้อมูลให้ถูกต้องได้
5. สิทธิในการลบข้อมูลส่วนบุคคล (Right to erasure)
เจ้าของข้อมูลมีสิทธิร้องขอผู้ควบคุมข้อมูลให้ลบหรือทำลายข้อมูลส่วนบุคคลได้ในสามกรณีต่อไปนี้ คือ 1) ข้อมูลส่วนบุคคลนั้นไม่มีความจำเป็นในการประมวลผลตามวัตถุประสงค์อีกต่อไป 2) เจ้าของข้อมูลถอนความยินยอมและผู้ควบคุมข้อมูลไม่มีฐานอื่นในการประมวลผลต่อไป
3) เจ้าของข้อมูลใช้สิทธิคัดค้านการประมวลผลข้อมูลส่วนบุคคลและผู้ควบคุมข้อมูลไม่มีฐานอื่นในการประมวลผลต่อไป
อย่างไรก็ตาม ผู้ควบคุมข้อมูลสามารถปฏิเสธการใช้สิทธิดังกล่าวได้ได้ หากข้อมูลส่วนบุคคลนั้นเกี่ยวกับเสรีภาพในการแสดงความคิดเห็น หรือข้อมูลนั้นจำเป็นต้องประมวลผลเนื่องจากการปฏิบัติหน้าที่ตามที่กฎหมายกำหนด หรือข้อมูลนั้นเป็นข้อมูลที่เกี่ยวกับการวิจัย สถิติ หรือประวัติศาสตร์
6. สิทธิในการระงับการประมวลผลข้อมูลส่วนบุคคล (Right to restrict processing)
สิทธิในการระงับการประมวลผลข้อมูลส่วนบุคคลเป็นสิทธิของเจ้าของข้อมูลที่จะแจ้งให้ผู้ควบคุมข้อมูลระงับการประมวลผลได้
สิทธินี้เกี่ยวข้องกับสิทธิประการอื่นด้วย เช่น กรณีที่เจ้าของข้อมูลใช้สิทธิในการแก้ไขข้อมูลให้ถูกต้อง และระหว่างที่ผู้ควบคุมข้อมูลตรวจสอบความถูกต้องของข้อมูล เจ้าของข้อมูลสามารถใช้สิทธิในการระงับการประมวลผลได้
หรือในกรณีที่ข้อมูลส่วนบุคคลนั้นไม่มีฐานในการประมวลผล แต่เจ้าของข้อมูลไม่ต้องการใช้สิทธิในการลบเพราะเห็นว่าอาจเป็นประโยชน์ในอนาคต ดังนี้เจ้าของข้อมูลอาจใช้สิทธิในการระงับการประมวลผลแทนได้
7. สิทธิในการโอนย้ายข้อมูลส่วนบุคคล (Right to data portability)
เจ้าของข้อมูลมีสิทธิขอให้ผู้ควบคุมข้อมูลทำการโอนข้อมูลส่วนบุคคลไปยังผู้ควบคุมข้อมูลอื่นได้ หากข้อมูลดังกล่าวเป็นข้อมูลที่ประมวลผลด้วยฐานความยินยอมหรือฐานสัญญา เป็นข้อมูลที่ถูกจัดระบบแล้ว และเป็นข้อมูลที่ประมวลผลด้วยระบบอัตโนมัติที่คอมพิวเตอร์สามารถอ่านได้
ผู้ควบคุมข้อมูลสามารถปฏิเสธการขอใช้สิทธิในการโอนย้ายข้อมูลส่วนบุคคลได้ ถ้าการใช้สิทธิดังกล่าวไปละเมิดสิทธิและเสรีภาพของบุคคลอื่น และผู้ควบคุมข้อมูลจะต้องบันทึกการปฏิเสธคำขอและเหตุผลไว้ในรายการด้วย
8. สิทธิในการคัดค้านการประมวลผลข้อมูล (Right to object)
การใช้สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคลเป็นกรณีที่ผู้ควบคุมข้อมูลอธิบายว่าตนเองมีฐานการประมวลผลหนึ่ง แต่เจ้าของข้อมูลไม่เห็นด้วย จึงใช้สิทธิคัดค้านการประมวลผลนั้น
โดยเจ้าของข้อมูลจะใช้สิทธินี้ได้เมื่อข้อมูลถูกประมวลผลโดยใช้ฐานภารกิจของรัฐ ฐานประโยชน์โดยชอบด้วยกฎหมาย และประมวลผลเพื่อการตลาดแบบตรง
เช่น ผู้ควบคุมข้อมูลส่วนบุคคลประมวลผลข้อมูลซึ่งมีวัตถุประสงค์ไปใช้ทำการตลาดแบบตรงโดยอ้างฐานประโยชน์โดยชอบด้วยกฎหมาย กรณีนี้เจ้าของข้อมูลมีสิทธิคัดค้านการประมวลผลได้ โดยผู้ควบคุมข้อมูลไม่มีเหตุปฏิเสธการใช้สิทธินั้น
สิทธิของเจ้าของข้อมูลทั้ง 8 ประการข้างต้น พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ไม่ได้กำหนดถึงวิธีและรูปแบบของการใช้สิทธิ ดังนี้ เจ้าของข้อมูลจะใช้สิทธิโดยวิธีการใดก็ได้
ทั้งนี้เพื่อให้การใช้สิทธิดังกล่าวเป็นไปตามเจตนารมณ์ของกฎหมายและเป็นไปอย่างเต็มประสิทธิภาพ ผู้ควบคุมข้อมูลไม่ควรสร้างเงื่อนไขที่ไม่จำเป็นและเป็นอุปสรรคต่อการใช้สิทธิดังกล่าว
คอลัมน์ : กฎหมาย 4.0
ชญานี ศรีกระจ่าง
คณะนิติศาสตร์ มหาวิทยาลัยสงขลานครินทร์
ที่มา : กรุงเทพธุรกิจ / วันที่เผยแพร่ 25 ก.พ.65
Link : https://www.bangkokbiznews.com/columnist/990424