สิทธิของเจ้าของข้อมูลส่วนบุคคล ที่นักธุรกิจ SME ต้องเตรียมตัวรองรับให้พร้อม


ข้อมูลส่วนบุคคล ถือเป็นสิ่งสำคัญสำหรับธุรกิจ SME ในยุคปัจจุบัน เพราะการที่มี “ข้อมูล” มากกว่า ธุรกิจนั้นจะมีความได้เปรียบในเรื่องของการพัฒนาสินค้าหรือบริการให้ตอบสนองต่อความต้องการของผู้บริโภคได้ดีกว่า และสามารถนำไปใช้ในการพัฒนาต่อยอดธุรกิจให้เติบโตยิ่งขึ้น ซึ่งการเก็บรวบรวมใช้ หรือ เปิดเผยข้อมูลส่วนบุคคลต้องเป็นไปตามข้อกฎหมาย พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือที่เราเรียกกันว่า PDPA นั่นเอง

.

.

PDPA คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล มีกำหนดประกาศบังคับใช้เต็มรูปแบบในวันที่ 1 มิถุนายน 2565 เป็นกฎหมายว่าด้วยการให้ความคุ้มครองข้อมูลส่วนบุคคลที่สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าจะทางตรงหรือทางอ้อม และสำหรับธุรกิจ SME ที่ยังไม่เริ่มทำ PDPA เพราะคิดว่าเหลือเวลาอีกมากอยากให้ลองคิดใหม่ เพราะจากประสบการณ์ ด้านที่ปรึกษา PDPA ของเรา พบว่าการดำเนินการทำ PDPA ใช้เวลา 4-6 เดือน ฉะนั้นเวลาเพียงไม่ถึง 6 เดือนก่อนการประกาศใช้อาจไม่เพียงพอในการดำเนินการ ฉะนั้นการเริ่มทำ PDPA ตั้งแต่วันนี้จึงเป็นทางออกที่ดีที่สุด

กฎหมาย PDPA บังคับใช้เพื่อเป็นการกำกับดูแลเกี่ยวกับการให้ความคุ้มครองข้อมูลส่วนบุคคล ได้มีการให้สิทธิและการคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคล ซึ่งแน่นอนอยู่แล้วว่าทุก ๆ องค์กรจะต้องปฏิบัติตามสิทธิของเจ้าของข้อมูลส่วนบุคคล ดังต่อไปนี้

.

.

สิทธิได้รับการแจ้งให้ทราบ องค์กรทำการเก็บข้อมูลส่วนบุคคลตามหลักการของ PDPA ตามมาตรา 23 และเมื่อเก็บข้อมูลของเจ้าของข้อมูลมาแล้วนั้น ทางองค์กรจะต้องทำการแจ้งรายละเอียดต่าง ๆ อย่างถูกต้องให้เจ้าของข้อมูลทราบผ่าน Privacy Notice เช่น เก็บข้อมูลไปเพื่ออะไร เก็บข้อมูลอะไรบ้าง ส่งต่อข้อมูลให้ใคร ระยะเวลาในการทำลายข้อมูลทิ้ง และช่องทางการติดต่อผู้ดูแลข้อมูล โดยข้อมูลต้องไม่ซับซ้อน ชัดเจน และเข้าใจง่าย

สิทธิขอเข้าถึงข้อมูลส่วนบุคคล สร้างแนวทางการปฏิบัติเพื่อรองรับการใช้สิทธิการขอเข้าถึงข้อมูลส่วนบุคคล โดยที่องค์กรต้องมีการจัดเตรียมช่องทางการติดต่อรูปแบบใดก็ได้ อยู่ที่ความสะดวกและงบประมาณของทางองค์กรเพื่อให้เจ้าของข้อมูลส่วนบุคคลสามารถเข้าถึงข้อมูล หรือแจ้งความประสงค์ในการเข้าถึงข้อมูลหรือขอรับสำเนาข้อมูลของตนเองได้

สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคล และสิทธิขอให้ระงับการใช้ข้อมูล นอกเหนือจากการขอเข้าถึงข้อมูลองค์กรควรพัฒนาระบบให้เจ้าของข้อมูลส่วนบุคคลสามารถส่งคำร้อง Data Subject Request ระบุสิทธิอื่น ๆ ที่ต้องการใช้ ไม่ว่าในเรื่องของการขอให้แก้ไข ขอคัดค้าน ขอให้ลบหรือทำลาย และขอให้ระงับการใช้ข้อมูล (รวมถึงการขอให้โอนข้อมูล) มายังองค์กรได้อาจในรูปแบบผ่านโปรแกรมอิเล็กทรอนิกส์สำเร็จรูปหรือแบบฟอร์มเอกสาร โดยองค์กรจำเป็นต้องตรวจสอบคำร้องขอใช้สิทธิ และพิจารณาว่าเป็นไปตามเงื่อนไขที่สามารถปฏิบัติตามความต้องการของเจ้าของข้อมูลได้หรือไม่ ถ้าหากคำร้องขอใช้สิทธิเป็นไปตามเงื่อนไข องค์กรจึงจะสามารถดำเนินการตามคำร้องขอของเจ้าของข้อมูลนั้น

สิทธิในการขอให้โอนข้อมูลส่วนบุคคล องค์กรต้องมีการเตรียมพร้อมในเรื่องของเครื่องมืออุปกรณ์ หรือระบบปฏิบัติการที่สามารถทำการส่งหรือโอนข้อมูลส่วนบุคคลให้แก่เจ้าของข้อมูลส่วนบุคคล หรือสามารถส่งไปยังผู้ควบคุมข้อมูลส่วนบุคคลรายอื่นได้โดยตรง ตามที่เจ้าของข้อมูลต้องการ แต่ข้อมูลนั้นต้องไม่พาดพิง และส่งผลกระทบต่อบุคคลอื่น

สรุปหลัก ๆ แล้วสิ่งที่ SME ต้องดำเนินการเพื่อรองรับสิทธิของเจ้าของข้อมูลส่วนบุคคลตาม PDPA ได้แก่ 1. ประกาศ Privacy Notice เพื่อแจ้งให้เจ้าของข้อมูลทราบเกี่ยวกับความเป็นส่วนตัว 2. จัดเตรียมช่องทางและระบบระเบียบในการใช้สิทธิของเจ้าข้อมูล 3. ปรับปรุงระบบ/อุปกรณ์ให้สามารถจัดการกับข้อมูลส่วนบุคคลได้อย่างมีประสิทธิภาพและปลอดภัย

ความรู้ PDPA และการตอบสนองสิทธิของเจ้าของข้อมูลส่วนบุคคลมีประโยชน์กับธุรกิจ SME อย่างไร ? หากธุรกิจ SME มีความรู้ความเข้าใจและดำเนินการตาม PDPA อย่างเคร่งครัด ความเสี่ยงในกรณีการละเมิดข้อมูลส่วนบุคคลก็จะลดลง ลดโอกาสได้รับโทษตามกฎหมายทั้งโดนปรับและจำคุก นอกจากนี้ต้องไม่ลืมเคารพในหลักสิทธิของเจ้าของข้อมูลส่วนบุคคลตามกฎหมายด้วย ซึ่งเป็นการเพิ่มความน่าเชื่อถือให้แก่องค์กรในสายตาของบุคคลที่ติดต่อกับองค์กรของท่านได้เป็นอย่างดี

เมื่อชาว SME ได้อ่านเกี่ยวกับสิทธิของเจ้าของข้อมูลส่วนบุคคลแล้ว แต่ยังมีความกังวลหรือปัญหาต่าง ๆ เกี่ยวกับการนำไปใช้ว่าควรจะต้องดำเนินการอย่างไรให้รวดเร็ว แม่นยำ และถูกต้อง บริษัท ดิจิทัล บิสิเนส คอนซัลท์ จำกัด (Digital Business consult: DBC) ยินดีให้บริการ ดูรายละเอียดที่ https://pdpa.online.th/