สิ่งที่ควรรู้! บทบาทของผู้ประกอบการในการทำ PDPA

บทบาทของผู้ที่เกี่ยวข้องกับกฎหมาย PDPA

1. เจ้าของข้อมูลส่วนบุคคล (Data Subject) คือ บุคคลที่ข้อมูลส่วนบุคคลสามารถระบุไปถึงได้ ตัวอย่างเช่นลูกค้า พนักงาน คู่ค้า

2. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ บริษัทต่าง ๆ ที่มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

3. ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ บริษัทซึ่งดำเนินการเกี่ยวกับ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคค

หน้าที่ผู้ที่เกี่ยวข้องกับกฎหมาย PDPA

Data Subject จะมีหน้าที่เข้าใจสิทธิของเจ้าของข้อมูลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล และศึกษานโยบายของบริษัทที่เราจะเข้าไปให้บริการ

สิทธิได้รับการแจ้งให้ทราบ

 ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งรายละเอียดให้เจ้าของข้อมูลส่วนบุคคลทราบ ก่อนหรือในขณะที่เก็บรวบรวมข้อมูลส่วนบุคคล โดยมีรายละเอียดการแจ้งให้ทราบ เช่น เก็บข้อมูลส่วนบุคคลอะไรบ้าง, วัตถุประสงค์การเก็บข้อมูล, การนำไปใช้หรือส่งต่อไปมีให้ใครบ้าง

สิทธิขอเข้าถึงข้อมูลส่วนบุคคล

 เจ้าของข้อมูลสามารถขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตนเองจากผู้ควบคุมข้อมูลส่วนบุคคล รวมถึงสามารถขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลดังกล่าว

 สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

เจ้าของข้อมูลส่วนบุคคลมีสิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับตนเมื่อใดก็ได้ ยกเว้นมีเหตุอันควรทางกฎหมายที่สำคัญจริงๆ เท่านั้น

สิทธิขอให้ลบหรือทำลาย

เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ลบหรือทำลายข้อมูล หรือทำให้ข้อมูลนั้นไม่สามารถระบุตัวตนได้ โดยผู้ควบคุมข้อมูลต้องเป็นผู้รับผิดชอบดำเนินการและค่าใช้จ่าย

สิทธิในการเพิกถอนความยินยอม

เจ้าของข้อมูลส่วนบุคคลมีสิทธิยกเลิกความยินยอมหลังจากเคยให้ความยินยอมแล้ว และการยกเลิกความยินยอมนั้นจะต้องทำได้ง่ายเหมือนกับตอนแรกที่เจ้าของข้อมูลให้ความยินยอมด้วย

สิทธิขอให้ระงับการใช้ข้อมูล

เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลระงับการใช้ข้อมูลส่วนบุคคล

สิทธิในการขอให้แก้ไขข้อมูล

เจ้าของข้อมูลส่วนบุคคลมีสิทธิที่จะขอแก้ไขข้อมูลส่วนบุคคลของตนเองให้มีความถูกต้อง และเป็นปัจจุบันที่สุด

สิทธิในการขอให้โอนข้อมูล

เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลทำการส่งหรือโอนข้อมูลไปยังผู้ควบคุมข้อมูลส่วนบุคคลรายอื่น

Data Controller จะมีหน้าที่ควบคุม และจัดทำให้บริษัทมีนโยบายความปลอดภัยตามกฎหมาย PDPA

Data flow

แผนภาพการไหลของข้อมูล เพื่อให้เข้าใจกระบวนการทำงานทั้งหมดขององค์กร

RoPA

รายการกิจกรรมของแต่ละแผนก ว่าแผนกไหนทำอะไรบ้าง ทำด้วยวัตถุประสงค์อะไร

Risk Assessment

ทำแบบประเมินความเสี่ยง และกำหนดวิธีรับมือกับเหตุที่อาจจะเกิดขึ้น

Consents Form

จัดให้มีกระบวนการบริหารความยินยอมจากเจ้าของข้อมูลผ่านแบบฟอร์มต่าง

Privacy Notice

ข้อตกลงเกี่ยวกับแนวทางการจัดเก็บ รวบรวม และใช้งานข้อมูลส่วนบุคคลคนภายในองค์กร

Data Subject Request

กำหนดกระบวนการจัดการและดำเนินการคำขอใช้สิทธิของเจ้าของข้อมูล