คู่มือสิทธิ์ความเป็นส่วนตัวตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA)
คู่มือ PDPA สำหรับคนไทย เรียนรู้สิทธิ์ของคุณ วิธีขอลบข้อมูล และบริษัทต้องปฏิบัติตามอะไรบ้าง
คู่มือสิทธิ์ความเป็นส่วนตัวตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA)
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) มีผลบังคับใช้เต็มรูปแบบตั้งแต่เดือนมิถุนายน 2565 ให้สิทธิ์คนไทยในการควบคุมข้อมูลส่วนบุคคลอย่างมีนัยสำคัญ แม้จะเป็นกฎหมายมาหลายปีแล้ว คนไทยจำนวนมากยังไม่รู้ว่าตัวเองมีสิทธิ์อะไรบ้างหรือจะใช้สิทธิ์อย่างไร
คู่มือนี้อธิบายว่า PDPA หมายความว่าอย่างไรสำหรับคุณในฐานะบุคคล และจะควบคุมข้อมูลส่วนตัวของตัวเองได้อย่างไร
PDPA ครอบคลุมอะไร
PDPA บังคับใช้กับทุกองค์กร ทั้งไทยและต่างประเทศ ที่เก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของคนในไทย รวมถึง:
- ธนาคารและสถาบันการเงิน
- ค่ายมือถือ (AIS, TRUE, DTAC)
- แพลตฟอร์มอีคอมเมิร์ซ (Shopee, Lazada)
- บริษัทโซเชียลมีเดีย
- โรงพยาบาลและผู้ให้บริการสุขภาพ
- หน่วยงานราชการ
- นายจ้าง
- เว็บไซต์หรือแอปที่คุณใช้
ข้อมูลอะไรเป็นข้อมูลส่วนบุคคล
| ประเภทข้อมูล | ตัวอย่าง |
|---|---|
| ข้อมูลระบุตัวตน | ชื่อ เลขบัตรประชาชน เลขหนังสือเดินทาง ข้อมูล ThaiD |
| ข้อมูลติดต่อ | เบอร์โทร อีเมล LINE ID ที่อยู่ |
| ข้อมูลการเงิน | เลขบัญชีธนาคาร เลขบัตรเครดิต เลขพร้อมเพย์ |
| ข้อมูลชีวมิติ | ลายนิ้วมือ ข้อมูลจดจำใบหน้า เสียง |
| ข้อมูลสุขภาพ | ประวัติการรักษา ใบสั่งยา ประกันสุขภาพ |
| ข้อมูลตำแหน่ง | GPS ประวัติเช็กอิน บันทึกการเดินทาง |
| กิจกรรมออนไลน์ | ประวัติเข้าเว็บ ประวัติค้นหา คุกกี้ |
| ข้อมูลการจ้างงาน | เงินเดือน ประวัติทำงาน ผลประเมิน |
สิทธิ์ของคุณตาม PDPA
1. สิทธิ์ในการรับทราบ
ก่อนเก็บข้อมูลของคุณ องค์กรต้องแจ้งว่า:
- เก็บข้อมูลอะไร
- ทำไมต้องเก็บ
- เก็บนานเท่าไร
- จะแชร์ให้ใคร
- สิทธิ์ของคุณเกี่ยวกับข้อมูลนั้น
ในทางปฏิบัติ: คือแบบฟอร์มยินยอมหรือนโยบายความเป็นส่วนตัวที่เห็นตอนสมัครบริการ อ่านมัน — มันสำคัญ
2. สิทธิ์ในการให้ความยินยอม
คุณต้องให้ความยินยอมอย่างชัดเจนก่อนที่ข้อมูลจะถูกเก็บ ยกเว้นกรณีจำกัด (หน้าที่ตามกฎหมาย ผลประโยชน์สำคัญ ประโยชน์สาธารณะ หรือประโยชน์โดยชอบด้วยกฎหมาย) คุณยังมีสิทธิ์:
- ถอนความยินยอม ได้ตลอดเวลา
- ปฏิเสธความยินยอม โดยไม่ถูกปฏิเสธบริการหลัก (บริษัทไม่สามารถปฏิเสธบริการเพราะคุณปฏิเสธการเก็บข้อมูลที่ไม่จำเป็น)
3. สิทธิ์ในการเข้าถึง
คุณสามารถขอสำเนาข้อมูลส่วนบุคคลทั้งหมดที่องค์กรเก็บเกี่ยวกับคุณ ต้องตอบภายใน 30 วัน
4. สิทธิ์ในการโอนย้ายข้อมูล
คุณสามารถขอข้อมูลในรูปแบบที่ใช้กันทั่วไปและอ่านได้ด้วยเครื่อง แล้วให้โอนไปยังผู้ให้บริการรายอื่น
5. สิทธิ์ในการแก้ไข
ถ้าข้อมูลไม่ถูกต้องหรือไม่ครบถ้วน คุณมีสิทธิ์ขอแก้ไข
6. สิทธิ์ในการลบ
คุณสามารถขอให้องค์กรลบข้อมูลส่วนบุคคลเมื่อ:
- ข้อมูลไม่จำเป็นสำหรับวัตถุประสงค์ที่เก็บอีกต่อไป
- คุณถอนความยินยอม
- คุณคัดค้านการประมวลผลและไม่มีเหตุผลที่ชอบด้วยกฎหมายเหนือกว่า
- ข้อมูลถูกเก็บโดยไม่ชอบด้วยกฎหมาย
7. สิทธิ์ในการระงับ
คุณสามารถขอให้องค์กรหยุดใช้ข้อมูลของคุณระหว่างที่ข้อพิพาทกำลังถูกแก้ไข
8. สิทธิ์ในการคัดค้าน
คุณสามารถคัดค้านการประมวลผลข้อมูลเพื่อการตลาดโดยตรงได้ทุกเมื่อ โดยไม่มีเงื่อนไข
ตารางสรุปสิทธิ์ PDPA
| สิทธิ์ | ใช้เมื่อไร | กำหนดตอบ |
|---|---|---|
| เข้าถึง | อยากรู้ว่ามีข้อมูลอะไรของเรา | 30 วัน |
| ลบข้อมูล | อยากให้ลบข้อมูล | 30 วัน |
| แก้ไข | ข้อมูลไม่ถูกต้อง | 30 วัน |
| โอนย้าย | ย้ายไปบริการอื่น | 30 วัน |
| คัดค้าน | หยุดการตลาด การทำโปรไฟล์ | ทันทีสำหรับการตลาด |
| ระงับ | หยุดประมวลผลระหว่างข้อพิพาท | 30 วัน |
| ถอนความยินยอม | เปลี่ยนใจเรื่องการใช้ข้อมูล | แตกต่างกัน |
วิธีใช้สิทธิ์ PDPA
ขั้นตอนที่ 1: หาช่องทางติดต่อ
องค์กรส่วนใหญ่ต้องมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) หรือช่องทางรับคำร้อง ดูที่:
- หน้านโยบายความเป็นส่วนตัวบนเว็บไซต์
- "เจ้าหน้าที่คุ้มครองข้อมูล" ในเงื่อนไขการให้บริการ
- ฝ่ายบริการลูกค้า (ระบุว่าเป็นคำร้อง PDPA)
ขั้นตอนที่ 2: ส่งคำร้องเป็นลายลักษณ์อักษร
ส่งคำร้องทางอีเมลหรือจดหมาย ระบุ:
- ชื่อ-นามสกุลและข้อมูลติดต่อ
- หลักฐานยืนยันตัวตน (สำเนาบัตรประชาชนที่ปิดข้อมูลบางส่วน)
- สิทธิ์ที่ต้องการใช้
- รายละเอียดว่าต้องการเข้าถึง ลบ หรือแก้ไขข้อมูลอะไร
- อ้างอิงมาตรา 30-36 ของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล
ขั้นตอนที่ 3: ติดตามการตอบกลับ
องค์กรต้องตอบภายใน 30 วัน ถ้าปฏิเสธ ต้องอธิบายเหตุผลเป็นลายลักษณ์อักษร
ขั้นตอนที่ 4: ร้องเรียนถ้าจำเป็น
ถ้าองค์กรไม่ปฏิบัติตาม คุณสามารถร้องเรียนที่:
- สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) — pdpc.or.th
- ศาล — ฟ้องเรียกค่าเสียหายจากการละเมิด PDPA ได้
ปกป้องข้อมูลส่วนตัวเชิงรุก
ลดร่องรอยข้อมูล
- ให้ข้อมูลเฉพาะที่จำเป็นจริงๆ สำหรับบริการนั้น
- ใช้อีเมลแยกสำหรับบริการต่างๆ
- ปฏิเสธการเก็บข้อมูลที่ไม่จำเป็นเมื่อทำได้
- ตรวจสอบสิทธิ์แอปบนมือถือเป็นประจำ
แชร์ข้อมูลอย่างปลอดภัย
เมื่อต้องแชร์ข้อมูลส่วนตัวที่สำคัญ เช่น เลขบัตรประชาชน เลขบัญชีธนาคาร ข้อมูลการรักษาพยาบาล อย่าส่งผ่าน LINE หรืออีเมล ใช้ LOCK.PUB สร้างเมโมเข้ารหัสที่มีรหัสผ่านป้องกันและหมดอายุอัตโนมัติ ผู้รับดูข้อมูลด้วยรหัสผ่าน แล้วข้อมูลทำลายตัวเองหลังหมดอายุ ไม่มีข้อมูลค้างในประวัติแชทหรืออีเมล
ตรวจสอบข้อมูลเป็นประจำ
- ตรวจสอบการตั้งค่าความเป็นส่วนตัวบนโซเชียลมีเดียทุกไตรมาส
- เช็กว่าแอปไหนเข้าถึง LINE ของคุณได้
- ตรวจสอบแอปที่เชื่อมต่อกับบัญชี Google และ Apple
- ลบบัญชีบริการที่ไม่ได้ใช้แล้ว
บริษัทต้องปฏิบัติตามอะไร
ตาม PDPA องค์กรที่ละเมิดกฎคุ้มครองข้อมูลจะถูก:
| การละเมิด | โทษสูงสุด |
|---|---|
| ค่าปรับทางปกครอง | สูงสุด 5 ล้านบาท |
| โทษทางอาญา | จำคุกสูงสุด 1 ปี และ/หรือปรับ 1 ล้านบาท |
| ความรับผิดทางแพ่ง | ค่าเสียหายจริง + ค่าเสียหายเชิงลงโทษ (สูงสุด 2 เท่า) |
บริษัทยังต้อง:
- แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล (สำหรับการประมวลผลขนาดใหญ่)
- จัดทำบันทึกกิจกรรมการประมวลผลข้อมูล
- ใช้มาตรการรักษาความปลอดภัยที่เหมาะสม
- แจ้ง สคส. กรณีข้อมูลรั่วไหลภายใน 72 ชั่วโมง
- ขอความยินยอมก่อนส่งข้อมูลข้ามประเทศ (มีข้อยกเว้น)
สถานการณ์ PDPA ในชีวิตประจำวัน
- ร้านออนไลน์ส่งข้อความโฆษณาต่อหลังยกเลิกสมัคร — ร้องเรียน PDPA เรื่องละเมิดสิทธิ์คัดค้าน
- นายจ้างเก่าแชร์ข้อมูลเงินเดือน — ขอลบและร้องเรียน
- โรงพยาบาลแชร์ประวัติการรักษาโดยไม่ได้ยินยอม — ละเมิด PDPA ข้อมูลอ่อนไหว
- ค่ายมือถือขายข้อมูลให้ผู้โฆษณา — ขอเข้าถึงเพื่อดูว่าใครได้รับข้อมูล แล้วขอลบ
สรุป
PDPA ให้อำนาจจริงแก่คุณเหนือข้อมูลส่วนบุคคล การใช้สิทธิ์เหล่านี้ฟรี และองค์กรต้องปฏิบัติตามภายใน 30 วัน เริ่มต้นด้วยการตรวจสอบว่าบริการไหนเก็บข้อมูลของคุณ แล้วขอลบจากบริการที่ไม่ได้ใช้แล้ว
สำหรับแชร์ข้อมูลส่วนตัวที่สำคัญเมื่อจำเป็น เข้า LOCK.PUB สร้างเมโมเข้ารหัสฟรีที่ทำลายตัวเอง รับรองว่าข้อมูลจะไม่คงอยู่นานกว่าที่จำเป็น
Keywords
You might also like
ข้อมูลบัตรประชาชนรั่วไหลในไทย: วิธีปกป้องตัวตนของคุณ
เข้าใจความเสี่ยงของข้อมูลบัตรประชาชนรั่วไหลในไทย เรียนรู้วิธีตรวจสอบว่าข้อมูลของคุณถูกเปิดเผยหรือไม่ และขั้นตอนในการปกป้องตัวตนของคุณ
Browser Fingerprinting: เว็บไซต์ติดตามคุณโดยไม่ใช้คุกกี้ได้อย่างไร (และวิธีป้องกัน)
Google อนุญาต browser fingerprinting สำหรับผู้โฆษณาแล้ว เรียนรู้ว่า browser fingerprinting คืออะไร ระบุตัวตนได้ 99% อย่างไร และขั้นตอนป้องกัน
ซื้อขายของมือสองออนไลน์อย่างปลอดภัย: ปกป้องข้อมูลส่วนตัว
ปลอดภัยบน Kaidee, Facebook Marketplace และแพลตฟอร์มขายของมือสอง เรียนรู้วิธีปกป้องข้อมูลส่วนตัว หลีกเลี่ยงมิจฉาชีพ และแชร์รายละเอียดอย่างปลอดภัย
Create your password-protected link now
Create password-protected links, secret memos, and encrypted chats for free.
Get Started Free