Affiliate Program
สิทธิของเจ้าของข้อมูล
somboon mejai

สิทธิในการลบข้อมูล (Right to Erasure)

       สิทธิในการลบข้อมูล (Right to Erasure) – เจ้าของข้อมูลมีสิทธิขอลบข้อมูลเมื่อใด?        ภายใต้กฎหมาย PDPA หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เจ้าของข้อมูลมีสิทธิควบคุมข้อมูลของตนเองได้หลากหลายประการ หนึ่งในสิทธิที่สำคัญมากคือ สิทธิในการลบข้อมูล (Right to Erasure) หรือที่เรียกกันว่า “สิทธิให้ลืม” (Right to be Forgotten) ✅ สิทธิในการลบข้อมูลคืออะไร?        สิทธิในการลบข้อมูล หมายถึงสิทธิของเจ้าของข้อมูลที่สามารถ ร้องขอให้องค์กรลบหรือทำลายข้อมูลส่วนบุคคลของตน ในบางกรณีที่กฎหมาย PDPA กำหนดไว้ โดยไม่ต้องให้คงข้อมูลนั้นไว้อีกต่อไป 📌 ตัวอย่างสถานการณ์ที่สามารถใช้สิทธิขอลบข้อมูลได้        ตามหลักกฎหมาย PDPA มาตรา 33 เจ้าของข้อมูลสามารถขอลบข้อมูลในกรณีต่อไปนี้: ✅ ข้อมูล ไม่จำเป็นต่อวัตถุประสงค์ คือ ไม่มีเหตุผลหรือความจำเป็นในการเก็บ รวบรวม ใช้ หรือเปิดเผยอีกต่อไป เช่น ยกเลิกการเป็นสมาชิก หมดระยะเวลาตามวัตถุประสงค์ ✅ ถอนความยินยอม ที่เคยให้ไว้ (และไม่มีฐานอื่นรองรับการเก็บข้อมูลต่อ) เช่น ยกเลิกการรับข่าวสาร ขอให้ลบข้อมูลส่วนตัวออกจากระบบ ✅ คัดค้านการประมวลผล และไม่มีเหตุผลอันชอบให้ดำเนินต่อ เช่น ไม่ต้องการให้ข้อมูลถูกใช้ทำการตลาด ไม่อนุญาตให้ใช้ข้อมูลเพื่อวิเคราะห์พฤติกรรม ✅ ข้อมูล ถูกเก็บ ใช้ หรือเปิดเผยโดยไม่ชอบด้วยกฎหมาย เช่น ถูกเก็บข้อมูลโดยไม่ขอความยินยอม ใช้ข้อมูลเกินกว่าขอบเขตที่แจ้งไว้ ✅ ต้องลบตาม หน้าที่ทางกฎหมายอื่น ๆ เช่น เมื่อข้อมูลพ้นระยะเวลาที่กำหนดตามกฎหมาย หรือลบข้อมูลตามคำสั่งศาล 🚫 ข้อยกเว้น: การลบข้อมูลไม่ได้มีกรณีใดบ้าง?    

18 April 2025
สิทธิของเจ้าของข้อมูล
somboon mejai

สิทธิในการเข้าถึงข้อมูล (Right of Access)

สิทธิในการเข้าถึงข้อมูล (Right of Access) – เจ้าของข้อมูลมีสิทธิรู้อะไรบ้างภายใต้ PDPA?        หนึ่งในหัวใจสำคัญของ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) คือการให้สิทธิแก่ เจ้าของข้อมูล ในการควบคุมและตรวจสอบการใช้งานข้อมูลของตนเอง ซึ่งหนึ่งในสิทธิที่สำคัญมากคือ “สิทธิในการเข้าถึงข้อมูล” หรือ Right of Access ✅ สิทธิในการเข้าถึงข้อมูลคืออะไร?        ตาม มาตรา 30 ของกฎหมาย PDPA เจ้าของข้อมูลมีสิทธิ “ขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลของตนที่อยู่ในความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล”        นอกจากนี้ยังสามารถ: ขอให้เปิดเผยถึงการได้มาของข้อมูล ขอดูรายละเอียดว่าข้อมูลถูกใช้เพื่อวัตถุประสงค์ใด ตรวจสอบว่าข้อมูลถูกส่งต่อให้ใครบ้าง 🔍 เจ้าของข้อมูลสามารถขออะไรได้บ้าง? ✅ สำเนาข้อมูลส่วนบุคคลเช่น ไฟล์ประวัติลูกค้า, ประวัติการรักษา, ข้อมูลการใช้งานในระบบ ฯลฯ ✅ รายละเอียดวัตถุประสงค์ในการนำไปใช้ว่าองค์กรใช้ข้อมูลเพื่ออะไรบ้าง เช่น การตลาด, บริการลูกค้า, วิเคราะห์พฤติกรรม ✅ ผู้รับข้อมูล (Third Party)ข้อมูลถูกส่งต่อให้บริษัทไหน หรือองค์กรภายนอกใดบ้าง ✅ แหล่งที่มาของข้อมูลถ้าองค์กรได้ข้อมูลมาจากแหล่งอื่น (ไม่ใช่โดยตรงจากเจ้าของข้อมูล) 📝 ขั้นตอนการใช้สิทธิในการเข้าถึงข้อมูล ยื่นคำร้องผ่านช่องทางที่องค์กรกำหนดเช่น แบบฟอร์มออนไลน์, อีเมล หรือหนังสือยื่นคำขอ รอการตรวจสอบคำขอและตอบกลับผู้ควบคุมข้อมูลจะตรวจสอบความถูกต้องของคำขอ และองค์กรมีเวลาไม่เกิน 30 วันนับจากวันที่ได้รับคำขอ เพื่อดำเนินการและตอบกลับ แจ้งผลและส่งข้อมูลให้เจ้าของข้อมูลหากคำขอถูกปฏิเสธต้องมีเหตุผลชัดเจน เพราะอาจถูกร้องเรียนไปยังสำนักงาน PDPC ได้ ⚠️ ข้อยกเว้น (ที่องค์กรสามารถปฏิเสธคำขอได้) ข้อมูลอาจกระทบสิทธิของผู้อื่น (เช่น เป็นข้อมูลร่วม) ข้อมูลถูกใช้เพื่อประโยชน์ของรัฐด้านความมั่นคง หรือกระบวนการยุติธรรม มีข้อกฎหมายอื่นที่กำหนดให้เก็บข้อมูลไว้เป็นความลับ องค์กรไม่สามารถยืนยันตัวตนของผู้ยื่นคำขอได้ 🧠 ตัวอย่างสถานการณ์การใช้สิทธิ สถานการณ์ การใช้สิทธิในการเข้าถึง ลูกค้าขอประวัติการสั่งซื้อย้อนหลัง ✔️ องค์กรต้องให้ข้อมูลภายใน

18 April 2025
พื้นฐานความเข้าใจ PDPA
somboon mejai

โครงสร้างกฎหมาย PDPA – ใครมีหน้าที่อะไร?

โครงสร้างกฎหมาย PDPA – ใครมีหน้าที่อะไร? [เจาะลึกฉบับเข้าใจง่าย]        เมื่อพูดถึง PDPA (Personal Data Protection Act) หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หลายคนอาจสงสัยว่า แล้วในกฎหมายนี้ ใครมีบทบาทหน้าที่อะไรบ้าง? และ องค์กรหรือบุคคลใดต้องรับผิดชอบในด้านไหน?        บทความนี้จะพาคุณไปรู้จักกับ โครงสร้างของ PDPA และ หน้าที่ของแต่ละฝ่าย อย่างชัดเจน และเข้าใจง่าย 🧭 โครงสร้างหลักของกฎหมาย PDPA        กฎหมาย PDPA แบ่งผู้มีบทบาทออกเป็น 2 กลุ่มหลัก ได้แก่ หน่วยงานกำกับดูแล (Regulators) ผู้ที่เกี่ยวข้องกับการจัดการข้อมูล (Data Stakeholders) 🏛️ หน่วยงานกำกับดูแล PDPA 1. คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล        เป็นคณะกรรมการระดับชาติที่มีอำนาจในการ: กำหนดนโยบายและแนวทางการคุ้มครองข้อมูลส่วนบุคคล ออกประกาศ / คำสั่งที่ใช้บังคับกับภาครัฐและเอกชน พิจารณาเรื่องร้องเรียน และกำหนดบทลงโทษ 2. สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC)        ทำหน้าที่เป็นฝ่ายเลขานุการให้กับคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลและรับผิดชอบ: ประชาสัมพันธ์ความรู้เกี่ยวกับ PDPA ดำเนินการตามนโยบายของคณะกรรมการ ให้คำปรึกษาแก่ประชาชนและองค์กร รับเรื่องร้องเรียนจากเจ้าของข้อมูล 📌 เป็น “ศูนย์กลาง” ของการดำเนินงานด้าน PDPA 👤 ผู้ที่เกี่ยวข้องกับการจัดการข้อมูลส่วนบุคคล        1. เจ้าของข้อมูลส่วนบุคคล (Data Subject)        คือบุคคลธรรมดา ที่เป็นเจ้าของข้อมูล

18 April 2025
พื้นฐานความเข้าใจ PDPA
somboon mejai

ข้อมูลส่วนบุคคลคืออะไร? แยกยังไงกับข้อมูลทั่วไป?

ข้อมูลส่วนบุคคลคืออะไร? แยกอย่างไรกับข้อมูลทั่วไป? [PDPA ฉบับเข้าใจง่าย] หนึ่งในคำถามสำคัญที่หลายคนสงสัยเมื่อพูดถึง PDPA (พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล) คือ “ข้อมูลส่วนบุคคลคืออะไร?” และ แตกต่างจากข้อมูลทั่วไปยังไง? การเข้าใจพื้นฐานนี้จะช่วยให้เจ้าของธุรกิจและประชาชนทั่วไปสามารถใช้และจัดเก็บข้อมูลได้อย่างถูกต้องตามกฎหมาย ข้อมูลส่วนบุคคลคืออะไร? (What is Personal Data?) ตามมาตรา 6 ของกฎหมาย PDPA นิยามไว้ว่า: “ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลเกี่ยวกับบุคคลธรรมดา ซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าโดยทางตรงหรือทางอ้อม” ตัวอย่างข้อมูลส่วนบุคคล ชื่อ-นามสกุล เลขบัตรประชาชน หมายเลขโทรศัพท์ ที่อยู่อีเมล ที่อยู่ตามทะเบียนบ้าน รูปถ่ายที่เห็นใบหน้า ข้อมูลตำแหน่ง (GPS, IP Address) ข้อมูลลูกค้าบนเว็บไซต์ (ผ่าน Cookies, Pixels ฯลฯ) หากข้อมูลเหล่านี้สามารถระบุตัวคุณได้ ไม่ว่าจะคนเดียวหรือประกอบกับข้อมูลอื่น ถือว่าเป็นข้อมูลส่วนบุคคล ข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Personal Data) กฎหมาย PDPA ยังแยกประเภท “ข้อมูลส่วนบุคคลที่อ่อนไหว” ซึ่งมีความเสี่ยงต่อการละเมิดสิทธิเสรีภาพสูงกว่า เช่น: ข้อมูลสุขภาพ ความเชื่อทางศาสนา เชื้อชาติ ความคิดเห็นทางการเมือง ประวัติอาชญากรรม ข้อมูลทางชีวภาพ (ลายนิ้วมือ, ม่านตา, ใบหน้า) ข้อมูลประเภทนี้ต้องได้รับ ความยินยอมอย่างชัดเจน (Explicit Consent) ก่อนเก็บหรือใช้ ข้อมูลทั่วไปคืออะไร? ข้อมูลทั่วไป หมายถึง ข้อมูลที่ ไม่สามารถระบุตัวบุคคลได้ หรือเป็นข้อมูลที่ไม่เกี่ยวข้องกับตัวบุคคล เช่น: ข้อมูลทั่วไป (ไม่อยู่ภายใต้ PDPA) จำนวนผู้เข้าชมเว็บไซต์แบบรวม (ไม่ระบุใคร) ยอดขายรวมของบริษัท ประเภทสินค้า จำนวนรถยนต์ในลานจอด ข้อมูลเหล่านี้ไม่สามารถนำไประบุตัวบุคคลได้ จึงไม่อยู่ภายใต้ข้อจำกัดของ PDPA ตารางเปรียบเทียบ: ข้อมูลส่วนบุคคล vs ข้อมูลทั่วไป ประเภทข้อมูล ระบุตัวบุคคลได้ ต้องขอความยินยอม อยู่ภายใต้

18 April 2025
พื้นฐานความเข้าใจ PDPA
somboon mejai

PDPA คืออะไร? ทำความรู้จักกฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทย

แน่นอน! นี่คือตัวอย่างบทความเรื่อง “PDPA คืออะไร?” ที่อ่านง่าย เข้าใจไว เหมาะสำหรับเผยแพร่บนเว็บไซต์ให้ความรู้: PDPA คืออะไร? ทำความรู้จักกฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทย ในยุคที่ข้อมูลคือทรัพย์สิน และทุกธุรกิจต่างเก็บข้อมูลลูกค้าผ่านช่องทางออนไลน์ PDPA กลายเป็นสิ่งที่ทุกคนต้องรู้ โดยเฉพาะเจ้าของธุรกิจ เจ้าหน้าที่ HR ฝ่ายการตลาด และผู้ดูแลเว็บไซต์ 🔍 PDPA ย่อมาจากอะไร? PDPA ย่อมาจาก Personal Data Protection Act หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นกฎหมายที่มีผลบังคับใช้เต็มรูปแบบเมื่อวันที่ 1 มิถุนายน 2565 มีเป้าหมายเพื่อ คุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคล และ กำหนดหน้าที่ของผู้ที่เก็บ ใช้ หรือเปิดเผยข้อมูลเหล่านั้น 🧾 ข้อมูลส่วนบุคคล คืออะไร? ตามนิยามของ PDPA “ข้อมูลส่วนบุคคล” คือข้อมูลใด ๆ ที่สามารถระบุตัวบุคคลได้ ไม่ว่าจะทางตรงหรือทางอ้อม ตัวอย่างเช่น: ชื่อ-นามสกุล เบอร์โทรศัพท์ อีเมล หมายเลขบัตรประชาชน รูปถ่าย ข้อมูลตำแหน่งที่อยู่ (GPS, IP Address) ข้อมูลลูกค้าบนเว็บไซต์ หรือแบบฟอร์มสมัครงาน 🔐 PDPA คุ้มครองอะไรบ้าง? กฎหมายนี้มุ่งคุ้มครองข้อมูลส่วนบุคคลใน 3 ด้านหลัก: การเก็บข้อมูล (Collect)ต้องแจ้งให้เจ้าของข้อมูลทราบถึงวัตถุประสงค์ และต้องได้รับ “ความยินยอม” ก่อนในบางกรณี การใช้ข้อมูล (Use)ต้องใช้ตามวัตถุประสงค์ที่แจ้งไว้ ไม่เก็บไว้เกินความจำเป็น การเปิดเผยข้อมูล (Disclose)ต้องขออนุญาตก่อนเปิดเผยให้ผู้อื่น เว้นแต่เป็นกรณียกเว้นตามกฎหมาย 👤 สิทธิของเจ้าของข้อมูล ภายใต้ PDPA บุคคลมีสิทธิดังต่อไปนี้: ขอเข้าถึงข้อมูลของตน ขอให้ลบหรือทำลายข้อมูล ขอให้ระงับการใช้ข้อมูล ถอนความยินยอมเมื่อใดก็ได้ ขอให้โอนข้อมูลไปยังผู้ให้บริการรายอื่น 🏢 ใครต้องปฏิบัติตาม PDPA? ไม่ว่าจะเป็น: ร้านค้าออนไลน์

18 April 2025