วันหนึ่งฝ่าย HR ได้รับอีเมลจากอดีตพนักงานขอให้ลบข้อมูลส่วนบุคคลทั้งหมด อีกวัน ลูกค้ารายหนึ่งโทรมาถามว่าบริษัทเก็บข้อมูลอะไรของเขาบ้าง สถานการณ์เหล่านี้คือ Data Subject Request (DSR) หรือ "คำขอใช้สิทธิของเจ้าของข้อมูล" ตาม PDPA และองค์กรของคุณมีเวลาเพียง 30 วัน ในการดำเนินการ
บทความนี้จะพาคุณเดินทางผ่านทุกขั้นตอนของการรับมือ DSR ตั้งแต่วินาทีที่ได้รับคำขอ จนถึงการปิดเคส
สิทธิ 6 ประเภทที่ต้องรู้
PDPA มาตรา 30-36 ให้สิทธิเจ้าของข้อมูลส่วนบุคคล 6 ประเภท แต่ละประเภทมีรายละเอียดและเงื่อนไขที่แตกต่างกัน
สิทธิในการเข้าถึง (Right of Access)
สิทธิที่ถูกใช้บ่อยที่สุด เจ้าของข้อมูลขอเข้าถึงข้อมูลส่วนบุคคลของตนที่องค์กรเก็บรวบรวมไว้ รวมถึงขอสำเนาข้อมูลได้ องค์กรต้องจัดเตรียมข้อมูลในรูปแบบที่อ่านได้และเข้าใจง่าย
สิทธิในการแก้ไข (Right to Rectification)
ข้อมูลไม่ถูกต้อง ไม่สมบูรณ์ หรือทำให้เข้าใจผิด? เจ้าของข้อมูลมีสิทธิขอให้แก้ไข องค์กรต้องตรวจสอบและดำเนินการ
สิทธิในการลบ (Right to Erasure)
เจ้าของข้อมูลขอให้ลบหรือทำลายข้อมูลได้ เมื่อข้อมูลไม่จำเป็นสำหรับวัตถุประสงค์เดิมอีกต่อไป หรือเมื่อถอนความยินยอม แต่ข้อนี้มีข้อยกเว้นสำคัญ — หากองค์กรมีฐานกฎหมายอื่นในการเก็บรักษา ก็ไม่จำเป็นต้องลบ
สิทธิในการระงับ (Right to Restriction)
สิทธินี้ใช้เฉพาะกรณี เช่น ระหว่างที่องค์กรตรวจสอบความถูกต้องของข้อมูล หรือระหว่างพิจารณาคำคัดค้าน เจ้าของข้อมูลขอให้หยุดประมวลผลชั่วคราวได้
สิทธิในการโอนย้าย (Data Portability)
เจ้าของข้อมูลขอรับข้อมูลของตนในรูปแบบ machine-readable format ได้ และยังมีสิทธิขอให้ส่งข้อมูลนั้นไปยังผู้ควบคุมข้อมูลรายอื่นโดยตรง สิทธินี้เริ่มมีการใช้มากขึ้นเรื่อย ๆ
สิทธิในการคัดค้าน (Right to Object)
เจ้าของข้อมูลคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลของตนได้ โดยเฉพาะกรณีที่ใช้ฐาน Legitimate Interest หรือการตลาดทางตรง สิทธินี้หากเป็นเรื่อง Direct Marketing องค์กรต้องหยุดทันทีไม่มีข้อยกเว้น
Process Flow: ขั้นตอนรับมือ DSR ใน 30 วัน
วันที่ 1-3: รับคำขอและบันทึก
ผู้รับผิดชอบ: ฝ่ายรับคำขอ (อาจเป็น Customer Service, HR, หรือ DPO Office)
- รับคำขอผ่านช่องทางที่จัดไว้ (เว็บฟอร์ม อีเมล จดหมาย)
- บันทึกเข้าระบบติดตาม ระบุวันที่รับ เลขอ้างอิง และประเภทสิทธิ
- ส่งอีเมลตอบรับอัตโนมัติเพื่อยืนยันว่าได้รับคำขอแล้ว
- เริ่มนับระยะเวลา 30 วัน
สิ่งสำคัญ: ต้องบันทึกทุกคำขอ แม้จะมาจากช่องทางที่ไม่เป็นทางการ เช่น โทรศัพท์หรือข้อความ
วันที่ 3-7: ยืนยันตัวตนผู้ร้องขอ
ผู้รับผิดชอบ: ฝ่ายรับคำขอ + ฝ่ายที่เกี่ยวข้อง
- ตรวจสอบตัวตนของผู้ร้องขอว่าเป็นเจ้าของข้อมูลจริง
- ใช้วิธีการที่เหมาะสม เช่น ตรวจสอบบัตรประชาชน ส่ง OTP หรือยืนยันผ่านข้อมูลที่มีอยู่
- หากข้อมูลในคำขอไม่เพียงพอ ให้ขอข้อมูลเพิ่มเติมจากผู้ร้องขอ (ระยะเวลา 30 วันจะหยุดนับชั่วคราวจนกว่าจะได้รับข้อมูล)
ข้อควรระวัง: อย่าขอข้อมูลมากเกินจำเป็นเพื่อยืนยันตัวตน เพราะอาจเป็นการเก็บรวบรวมข้อมูลเกินวัตถุประสงค์
วันที่ 7-10: ประเมินคำขอ
ผู้รับผิดชอบ: DPO หรือฝ่ายกฎหมาย
- ระบุประเภทสิทธิที่ร้องขอ (บางครั้งคำขอหนึ่งอาจครอบคลุมหลายสิทธิ)
- ประเมินว่าสามารถดำเนินการได้หรือมีเหตุปฏิเสธตามกฎหมาย
- ตรวจสอบว่ามีข้อยกเว้นที่ใช้บังคับหรือไม่ เช่น ข้อมูลที่ต้องเก็บตามกฎหมายอื่น
- หากต้องปฏิเสธ เตรียมเหตุผลและอ้างอิงมาตราที่เกี่ยวข้อง
