เลื่อนบังคับใช้ พรบ.คุ้มครองข้อมูลส่วนบุคคล ไปถึงเมื่อไหร่ Show
พรบ.คุ้มครองข้อมูลส่วนบุคคล เลื่อนไปบังคับใช้ 31 พฤษภาคม พ.ศ. 2565 ขอความยินยอมอย่างไร? ให้ถูกต้องตามกฎหมาย PDPA 👉🏻ใช้แบบหรือข้อความที่เข้าใจง่าย
แยกเป็นสัดส่วน ทั้งนี้ การทำกิจกรรมส่วนใหญ่สามารถทำได้โดยไม่ต้องขอความยินยอม เพราะมีเหตุอื่นให้ใช้ได้ เช่น การปฏิบัติตามสัญญา การปฏิบัติตามกฎหมาย เพียงแค่ผู้ควบคุมข้อมูลมีหน้าที่ต้องแจ้งให้เจ้าของข้อมูลทราบถึงวัตถุประสงค์แค่นั้นก็พอ การเก็บข้อมูลหน้าที่ตามกฎหมาย Legal Obligations 👉🏻เก็บรวบรวม
ใช้ หรือเปิดเผยข้อมูลเงินเดือนลูกจ้าง การเก็บข้อมูลเพื่อประโยชน์อันชอบธรรม Legitimate Interest เช่น การติด CCTV หน้าประตูทางเข้าบริษัท ย่อมคาดหมายได้ว่าเป็นไปเพื่อการรักษาความปลอดภัยผู้ควบคุมข้อมูลสามารถทำให้เจ้าของข้อมูลมีความคาดหมายที่ถูกต้องเพิ่มเติมได้โดยการแปะป้าย“ CCTV กำลังทำงาน ”แต่ ผู้ควบคุมข้อมูลควรจะมีระบบรักษาความปลอดภัยในการใช้ข้อมูลจากกล้องให้อยู่ในขอบเขตที่เหมาะสมไม่เปิดเผยให้ผู้อื่นเข้าถึงได้โดยง่าย การเก็บข้อมูลเพื่อปฏิบัติตามสัญญา ไม่ต้องขอความยินยอม กรณีเป็นการเก็บรวบรวม ใช้ เปิดเผย“ข้อมูลส่วนบุคคล (Personal Data) เพื่อเข้าทำสัญญาหรือจำเป็นเพื่อปฏิบัติตามสัญญา ไม่ต้องขอความยินยอมเพิ่มเติมอีก(มาตรา
24(3)) สิทธิการได้รับแจ้ง Right to be Informed – มาตรา 23 จะต้องแจ้งวัตถุประสงค์และรายละเอียดของการประมวลผลข้อมูลส่วนบุคคล ให้เจ้าของข้อมูลทราบ
ไม่ว่าจะด้วยวิธีการใดก็ตาม เพื่อให้เจ้าของข้อมูลลรู้ว่าข้อมูลของตนจะถูกนำไปใช้ทำอะไร? สิทธิในการเพิกถอนความยินยอม Right to Withdraw Consent – มาตรา 19 เจ้าของข้อมูลมีสิทธิที่จะเพิกถอนความยินยอมเมื่อใดก็ได้ (มาตรา19) การเพิกถอนจะอยู่ในรูปแบบใดก็ได้ เช่น
ทางอิเล็กทรอนิกส์ หรือทำเป็นเอกสารที่เป็นลายลักษณ์อักษร .โดยการเพิกถอนจะต้อง มีความง่าย ชัดเจน และไม่ยากไปกว่าตอนขอความยินยอม สิทธิในการเข้าถึงข้อมูลส่วนบุคคล (Right of Access) – มาตรา 30 หลักการสำคัญคือ
เจ้าของข้อมูลมีสิทธิที่จะขอเข้าถึงข้อมูลที่เกี่ยวกับตนได้ดังนี้ สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง (Right to Rectification) – มาตรา 35 และมาตรา 36
สิทธิในการลบข้อมูลส่วนบุคคล (Right to be Forgotten) ตามมาตรา 33 เจ้าของข้อมูลมีสิทธิยื่นคำร้องขอลบหรือทำลาย
หรือทำให้ข้อมูลส่วนบุคคลไม่สามารถระบุถึงตนได้ ประกาศพรบ.คุ้มครองข้อมูลส่วนบุคคล เลื่อนไปบังคับใช้ 31 พฤษภาคม พ.ศ. 2565สาระสำคัญ กรณีมีความจำเป็นต้องเก็บรวบรวมข้อมูลส่วนบุคคล โดยไม่มีฐานการประมวลผลอื่นตามมาตรา 24 ผู้ควบคุมต้องได้รับความยินยอมจากเจ้าของข้อมูลก่อนหรือขณะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลนั้นโดยใช้แบบหรือข้อความที่เข้าใจง่าย แยกเป็นสัดส่วน ทำเป็นหนังสือหรือระบบอิเล็กทรอนิกส์ก็ได้ต้องไม่เป็นการหลอกลวงหรือมีเงื่อนไขแอบแฝงเพื่อประมวลผลข้อมูลที่ไม่จำเป็นหรือไม่เกี่ยวข้อง สำคัญคือ เจ้าของข้อมูลต้องมีอิสระและทำโดยสมัครใจ สามารถเลือกได้ว่าจะให้ความยินยอมหรือปฎิเสธ ทั้งนี้ แม้ให้ความยินยอมไปแล้ว เจ้าของข้อมูลก็สามารถถอนความยินยอมได้ เว้นแต่มีข้อจำกัดตามกฎหมาย โดยการถอนความยินยอมต้องสามารถทำได้ง่าย (เรียกได้ว่าง่ายเหมือนกับตอนให้ความยินยอม) ดังนั้น จึงไม่ควรขอความยินยอมโดยไม่จำเป็น ซึ่งจริง ๆ แล้ว การทำกิจกรรมส่วนใหญ่สามารถทำได้โดยไม่ต้องขอความยินยอม เพราะมีเหตุอื่นให้ใช้ได้ เช่น การปฏิบัติตามสัญญา การปฏิบัติตามกฎหมายเพียงแต่ผู้ควบคุมข้อมูลมีหน้าที่ต้องแจ้ง ให้เจ้าของข้อมูลทราบถึงวัตถุประสงค์นั้น ตัวอย่าง และการขอความยินยอมจะต้องไม่แสร้งว่า เป็นส่วนหนึ่งของสัญญาหรือเงื่อนไขในการให้บริการ หรือทำให้เข้าใจผิดว่าหากไม่ให้ความยินยอมแล้วเจ้าของข้อมูลจะไม่ได้รับบริการนั้น ๆ กรณีผู้ควบคุมมีการประมวลผลข้อมูลส่วนบุคคล หลายอย่างเพื่อวัตถุประสงค์เดียวกัน สามารถรวมอยู่ในความยินยอมครั้งเดียวได้ แต่หากใช้ข้อมูลส่วนบุคคลชุดเดียวกัน เพื่อประมวลผลหลายวัตถุประสงค์ต้องให้เจ้าของข้อมูลมีทางเลือกได้ว่า ยินยอมสำหรับวัตถุประสงค์ใดบ้าง เนื่องจากแต่ละองค์กรมีรูปแบบและลักษณะที่แตกต่างกัน รูปแบบการขอความยินยอมของแต่ละองค์กร จึงสามารถออกแบบและปรับให้เหมาะสมกับกิจกรรมการประมวลผลของตนได้ การเก็บข้อมูลหน้าที่ตามกฎหมาย Legal Obligationsกรณีเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
จำเป็นต่อการปฏิบัติหน้าที่ตามกฎหมายกำหนดไม่ว่าจะเป็นตามบทบัญญัติแห่งกฎหมายหรือตามคำสั่งของหน่วยงานรัฐที่มีอำนาจหากผู้ควบคุมข้อมูลส่วนบุคคลสามารถอธิบายการปฏิบัติตามหน้าที่นั้นได้อย่างชัดเจนว่าปฏิบัติหน้าที่ตามบทบัญญัติใดหรือปฏิบัติตามคำสั่งของหน่วยงานใดของรัฐการประมวลผลเพื่อการดังกล่าว อย่างไรก็ตาม แม้ผู้ควบคุมจะประมวลผลตามกฎหมายผู้ควบคุมยังคงมีหน้าที่จัดทำบันทึกรายการกิจกรรม ตัวอย่าง
การเก็บข้อมูลเพื่อประโยชน์อันชอบธรรม Legitimate Interestการประมวลผลข้อมูลที่จำเป็นเพื่อประโยชน์อันชอบธรรม
ของผู้ควบคุมข้อมูลหรือบุคคลอื่นสาระสำคัญคือประโยชน์อันชอบธรรมนั้น เช่น การติด CCTV หน้าประตูทางเข้าบริษัท ย่อมคาดหมายได้ว่าเป็นไปเพื่อการรักษาความปลอดภัยผู้ควบคุมข้อมูลสามารถทำให้เจ้าของข้อมูลมีความคาดหมายที่ถูกต้องเพิ่มเติมได้โดยการแปะป้าย“ CCTV กำลังทำงาน ” การเก็บข้อมูลเพื่อปฏิบัติตามสัญญา ไม่ต้องขอความยินยอมกรณีเป็นการเก็บรวบรวม ใช้ เปิดเผย“ข้อมูลส่วนบุคคล (Personal
Data)”ที่จำเป็นเพื่อปฏิบัติตามคำขอของเจ้าของข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลจำเป็นต้องให้ข้อมูลส่วนบุคคลของตนและผู้ควบคุมข้อมูลส่วนบุคคลจำเป็นต้องใช้ข้อมูลนั้น แต่หลักการเรื่องสัญญานี้
ยังไม่เพียงพอตามกฎหมายที่จะนำไปเก็บรวบรวมใช้ หรือเปิดเผยข้อมูลอ่อนไหวตามมาตรา 26 ตัวอย่าง
สิทธิการได้รับแจ้ง Right to be Informed – มาตรา 23หลักสำคัญของสิทธินี้คือ เป็นสิทธิที่เจ้าของข้อมูลส่วนบุคคล ทุกคน ได้รับโดยไม่ต้องมีการร้องขอ ตามกฎหมายแล้วผู้ควบคุมข้อมูลส่วนบุคคล จะต้อง แจ้งวัตถุประสงค์และรายละเอียดของการประมวลผลข้อมูลส่วนบุคคล รายละเอียดการแจ้งให้ทราบ ต้องมีอย่างน้อย * หากเก็บรวบรวมข้อมูลจากแหล่งอื่นก็ต้องแจ้งเจ้าของข้อมูลทราบด้วย (มาตรา 25) หากผู้ควบคุมข้อมูลส่วนบุคคลไม่ปฏิบัติตามกฎหมายแจ้งรายละเอียดให้เจ้าของข้อมูลทราบ สิทธิในการเพิกถอนความยินยอม Right to Withdraw Consent – มาตรา 19หลักการสำคัญคือ
เจ้าของข้อมูลส่วนบุคคลมีสิทธิที่จะเพิกถอนความยินยอมเมื่อใดก็ได้ (มาตรา19) การเพิกถอนความยินยอมจะอยู่ในรูปแบบใดก็ได้ เช่น ทางอิเล็กทรอนิกส์ หรือทำเป็นเอกสารที่เป็นลายลักษณ์อักษร โดยการเพิกถอนจะต้อง มีความชัดเจน เข้าใจง่าย และไม่ยากไปกว่าการขอความยินยอม เมื่อผู้ควบคุมข้อมูลส่วนบุคคลส่วนบุคคลได้รับคำขอการเพิกถอนจากเจ้าของข้อมูลแล้ว จะต้อง “แจ้งถึงผลกระทบ” จากการถอนความยินยอมและ “หยุดการประมวลผล” 🔥 หากผู้ควบคุมข้อมูลส่วนบุคคลไม่แจ้งถึงผลกระทบจากการถอนความยินยอมต้องระวางโทษปรับทางปกครองไม่เกิน 1,000,000 บาท (มาตรา 82) * การประมวลผล หมายถึง การเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคล สิทธิในการเข้าถึงข้อมูลส่วนบุคคล (Right of Access) – มาตรา 30หลักการสำคัญคือ เจ้าของข้อมูลมีสิทธิที่จะขอเข้าถึงข้อมูลที่เกี่ยวกับตนได้ดังนี้ เมื่อได้รับคำขอแล้ว ผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดเตรียมข้อมูลที่เกี่ยวข้องตามคำขอให้เจ้าของข้อมูลโดยไม่ชักช้า (ไม่เกิน 30 วัน นับแต่ที่ได้รับคำขอ) อย่างไรก็ตาม ผู้ควบคุมข้อมูลสามารถปฏิเสธคำขอได้ในกรณีดังต่อไปนี้ *หากมีการปฏิเสธคำขอจะต้องทำบันทึกรายการเกี่ยวกับการปฏิเสธด้วย ซึ่งมีรายละเอียดตามมาตรา 39 หากปรากฏว่าผู้ควบคุมข้อมูลส่วนบุคคลไม่ปฏิบัติตามคำขอ ต้องระวางโทษปรับทางปกครองไม่เกิน 1,000,000 บาท (มาตรา 82) สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง (Right to Rectification) – มาตรา 35 และมาตรา 36หลักการสำคัญคือ เจ้าของข้อมูลส่วนบุคคลสามารถยื่นคำร้องขอแก้ไขข้อมูลส่วนบุคคลที่เกี่ยวกับตนได้ เมื่อเห็นว่าข้อมูลส่วนบุคคลของตนไม่ถูกต้องหรือไม่สมบูรณ์ เมื่อผู้ควบคุมข้อมูลได้รับคำร้องขอแก้ไขข้อมูลส่วนบุคคลจะต้องดำเนินการแก้ไขให้ ‘ถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด’ หากผู้ควบคุมข้อมูลปฏิเสธคำร้องขอแก้ไขข้อมูลจะต้องบันทึกรายการและเหตุผลการปฏิเสธไว้ด้วยตามมาตรา 39และเจ้าของข้อมูลมีสิทธิร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญเพื่อสั่งให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการได้ ตามมาตรา 34 วรรคสอง สิทธิในการลบข้อมูลส่วนบุคคล (Right to be Forgotten) ตามมาตรา 33หลักการสำคัญ เจ้าของข้อมูลส่วนบุคคลมีสิทธิยื่นคำร้องขอลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลไม่สามารถระบุถึงตนได้ ตามเงื่อนไขที่กฎหมายกำหนด กรณีที่เจ้าของข้อมูลส่วนบุคคลขอใช้สิทธิได้ ข้อมูลหมดความจำเป็นในการประมวลผลตามวัตถุประสงค์ กรณีที่กฎหมายยกเว้นการใช้สิทธิ ในกรณีที่มีการส่งต่อหรือเปิดเผยข้อมูลนั้นต่อสาธารณะแล้ว ผู้ควบคุมข้อมูลต้องดำเนินการแจ้งให้ลบข้อมูลดังกล่าวด้วย หากผู้ควบคุมข้อมูลไม่ดำเนินการตามคำร้องขอ เจ้าของข้อมูลมีสิทธิร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญเพื่อสั่งให้ผู้ควบคุมข้อมูลดำเนินการได้ รวบรวมข้อมูลจาก กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม และ พระราชบัญญัติ คุ้มครอง ข้อมูล ส่วน บุคคล – ราชกิจจานุเบกษา ติดต่อขอรับคำปรึกษาด้าน Marketing และ Technology
Your request could not be saved. Please try again.
Your request has been successful, We will contact you soon. Line: baron66Email : [email protected]
Book Author "MARKETING TECHNOLOGY TREND 2021 : พลิกโลกการตลาดด้วยมาร์เทค" |