ชื่อ นามสกุล เป็นข้อมูลส่วน บุคคล ประเภท ใด

PDPA (Personal Data Protection Act, B.E. 2562 (2019)) คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562  โดยวันที่ 1  มิถุนายน 2565 เป็นวันที่ พ.ร.บ. PDPA นี้มีผลบังคับใช้ตามกฎหมายทั้งฉบับ

เหตุผลในการประกาศใช้ PDPA เนื่องมาจากเทคโนโลยีก้าวหน้าขึ้น ช่องทางสื่อสารต่างๆ มีหลากหลายขึ้น ทำให้การละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคลทำได้ง่ายขึ้น และหลายครั้งก็นำมาซึ่งความเดือดร้อนรำคาญหรือสร้างความเสียหายให้แก่เจ้าของข้อมูล ตลอดจนสามารถส่งผลต่อเศรษฐกิจโดยรวมของประเทศได้ด้วย จึงต้องมีกฎหมาย PDPA ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลขึ้นเพื่อกำหนดหลักเกณฑ์ กลไก หรือมาตรการกำกับดูแลเกี่ยวกับการให้ความคุ้มครองข้อมูลส่วนบุคคลที่รวมถึงการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลขึ้น

ข้อมูลส่วนบุคคล

คือข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม โดยข้อมูลของผู้ถึงแก่กรรม และข้อมูลนิติบุคคล ไม่ถือเป็นข้อมูลส่วนบุคคลตาม พ.ร.บ. PDPA คุ้มครองข้อมูลส่วนบุคคลนี้

ข้อมูลส่วนบุคคล (Personal Data) ได้แก่ ชื่อ - นามสกุล, เลขประจำตัวประชาชน, ที่อยู่, เบอร์โทรศัพท์, วันเกิด, อีเมล, การศึกษา, เพศ, อาชีพ, รูปถ่าย, ข้อมูลทางการเงิน นอกจากนี้ยังรวมถึง ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) ด้วย เช่น ข้อมูลทางการแพทย์หรือสุขภาพ, ข้อมูลทางพันธุกรรมและไบโอเมทริกซ์, เชื้อชาติ, ความคิดเห็นทางการเมือง, ความเชื่อทางศาสนาหรือปรัชญา, พฤติกรรมทางเพศ, ประวัติอาชญากรรม, ข้อมูลสหภาพแรงงาน เป็นต้น

สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject) ได้แก่

• สิทธิได้รับการแจ้งให้ทราบ (Right to be informed) 
• สิทธิขอเข้าถึงข้อมูลส่วนบุคคล (Right of access)
• สิทธิในการขอให้โอนข้อมูลส่วนบุคคล (Right to data portability)
• สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Right to object)
• สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคล (Right to erasure (also known as right to be forgotten) 
• สิทธิขอให้ระงับการใช้ข้อมูล (Right to restrict processing)
• สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล (Right of rectification) 

ดูรายละเอียดในแต่ละประเด็นได้ที่: PDPA ในฐานะเจ้าของข้อมูล เรามีสิทธิทำอะไรได้บ้าง?

บุคคลที่เกี่ยวข้องกับข้อมูลส่วนบุคคล

• เจ้าของข้อมูลส่วนบุคคล (Data Subject) คือ บุคคลที่ข้อมูลระบุไปถึง
• ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ “ตัดสินใจ” เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
• ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล “ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล” ทั้งนี้บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าว ต้องไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล

การเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคล สามารถทำได้ในกรณีต่อไปนี้

• ได้รับความยินยอมจากเจ้าของข้อมูส่วนบุคคล
• จัดทำเอกสารประวัติศาสตร์ หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ การศึกษาวิจัยหรือการจัดทำสถิติ
• ป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
• จำเป็นเพื่อปฏิบัติกฎหมาย หรือสัญญา
• จำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลหรือของบุคคลอื่น
• จำเป็นเพื่อประโยชน์สาธารณะ และการปฏิบัติหน้าที่ในการใช้อำนาจรัฐ

การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ (Cross-border Personal Data Transfer)

ประเทศปลายทางหรือองค์การระหว่างประเทศ ที่รับข้อมูลส่วนบุคลต้องมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคล  (PDPA พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล) ที่เพียงพอ เว้นแต่จะได้รับความยินยอมจากเจ้าของข้อมูล หรือเป็นการปฏิบัติตามกฎหมาย/สัญญา หรือเพื่อประโยชน์สาธารณะเป็นสำคัญเท่านั้น

บทลงโทษหากไม่ปฏิบัติตาม PDPA

เพื่อให้ข้อมูลส่วนบุคคล หรือ (PDPA พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล) ถูกนำไปใช้ในทางที่เหมาะสมและเป็นประโยชน์มากกว่าโทษ การให้ข้อมูลแต่ละครั้งจึงต้องพิจารณาอย่างรอบคอบก่อนให้ข้อมูล เช่นการให้ข้อมูลเพื่อจัดส่งสินค้า หากมีการขอข้อมูลที่ไม่เกี่ยวกับการจัดส่ง เจ้าของข้อมูลก็มีสิทธิปฏิเสธการให้ข้อมูลนั้น และในส่วนของผู้เก็บข้อมูล ก็ต้องรู้ขอบเขตในการเข้าถึงข้อมูลส่วนบุคคล มีระบบในการควบคุม/ยืนยันตัวตนในการเข้าถึงข้อมูล และจำเป็นต้องมีการกำหนดนโยบายองค์กรเพื่อให้บุคคลที่เกี่ยวข้องปฏิบัติตาม เพราะหากไม่ทำตาม PDPA อาจได้รับโทษดังนี้

พร้อมกันแล้วหรือยังกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลที่ใกล้จะบังคับใช้ ซึ่งเป็นการคุ้มครองข้อมูลส่วนบุคคล ที่อาจจะถูกนำไปเผยแพร่โดยไม่ได้รับการอนุญาติ หรือมีการเก็บข้อมูลไปโดยไม่ทันได้รู้ตัว ไม่ว่าจะเป็นจากทางฝั่งของผู้ประกอบการที่จัดเก็บข้อมูลจากการสมัครงาน หรือจากเจ้าของเว็บไซต์ต่างๆ ที่ต้องการเก็บข้อมูลของผู้ที่เข้ามาใช้งานในเว็บไซต์ เพื่อนำไปประมวลผลและพัฒนากับเว็บไซต์นั้นๆ แต่สำหรับใครที่ยังไม่เข้าใจเกี่ยวกับข้อมูลส่วนบุคคลตามที่กฎหมายฉบับนี้กำหนดไว้ วันนี้เราขอพาทุกคนไปทำความเข้าใจกันให้ดีมากยิ่งขึ้น

ข้อมูลตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล คืออะไร ?

เมื่อพูดถึง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA เราต้องมาทำความเข้าใจกันก่อนว่า ข้อมูลหรือ Data ที่ได้รับการคุ้มครองนั้นคือข้อมูลประเภทใด เพราะอย่างที่เรารู้กันว่า ในปัจจุบันมีเทคโนโลยีด้านการสื่อสารในรูปแบบดิจิทัลถูกนำมาปรับใช้มากมาย ซึ่ง ‘ข้อมูลส่วนบุคคล’ ได้ถูกจัดเก็บผ่านการสมัครสมาชิกหรือการให้ข้อมูลส่วนตัวผ่านทางช่องทางออนไลน์ต่าง ๆ ซึ่งอาจกล่าวได้ว่าเป็นข้อมูลที่ได้จากคอมพิวเตอร์หรืออุปกรณ์ต่าง ๆ ที่สามารถเข้าถึงได้อย่างอัตโนมัติ หรือถูกจัดไว้อย่างเป็นระบบ ไม่ว่าจะเป็นการเก็บรวบรวมเพื่อประมวลผล เป็นส่วนหนึ่งของระบบข้อมูล หรือใช้ในการประมวลผลตามคำสั่งที่กำหนดไว้

สำหรับพ.ร.บ.ฉบับนี้ยังจะคุ้มครองข้อมูลส่วนบุคคล ที่สามารถอ้างอิงหรือระบุตัวตนของผู้ใช้งานหรือเจ้าของข้อมูลได้ ไม่ว่าจะเป็นข้อมูลทางตรงหรือทางอ้อมก็ตาม และถ้าหากเจ้าของธุรกิจและผู้ประกอบการที่มีการเก็บรวบรวมข้อมูล นำข้อมูลส่วนบุคคลเหล่านี้ไปใช้เพื่อนำมาปรับปรุงและพัฒนาผลิตภัณฑ์และบริการของตนเอง ก็ควรที่จะต้องทำความเข้าใจถึงขั้นตอนการเก็บข้อมูลที่ถูกต้องตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล เพื่อที่จะสามารถปฏิบัติตามขั้นตอนพื้นฐานและทำตามกฎหมายได้อย่างถูกต้องและเหมาะสมมากที่สุด

ข้อมูลส่วนบุคคลแบ่งออกเป็นกี่ประเภท

อย่างที่ได้อธิบายไปข้างต้นแล้วว่าข้อมูลส่วนบุคคลคือข้อมูลที่สามารถระบุตัวตนของเจ้าของข้อมูลได้ทั้งในทางตรงและทางอ้อม โดยขอบเขตของการนำข้อมูลไปใช้นั้นจะต้องพิจารณาถึงความสามารถในการระบุไปถึงเจ้าของข้อมูล ไม่ว่าจะเป็นการติดตามพฤติกรรมหรือกิจกรรมต่างๆ ที่สามารถเชื่อมโยงถึงเจ้าของข้อมูลเพื่อระบุตัวบุคคลได้ ซึ่งข้อมูลประเภทนี้ประกอบไปด้วย

• ชื่อ-นามสกุล หรือชื่อเล่น
• เลขประจำตัวประชาชน, เลขหนังสือเดินทาง, เลขบัตรประกันสังคม, เลขใบอนุญาตขับขี่, เลขประจำตัวผู้เสียภาษี, เลขบัญชีธนาคาร, เลขบัตรเครดิตต่างๆ และรวมไปถึงการถ่ายเอกสารหรือเก็บภาพสำเนาต่างๆ ของข้อมูลข้างต้น
• ที่อยู่, อีเมล, หมายเลขโทรศัพท์
• ข้อมูลของอุปกรณ์หรือเครื่องมือต่างๆ เช่น IP Address, MAC address, Cookie ID เป็นต้น
• ข้อมูลระบุทรัพย์สินของบุคคล เช่น ทะเบียนรถยนต์, โฉนดที่ดิน
• ข้อมูลที่สามารถเชื่อมโยงไปยังข้อมูลข้างต้นได้ เช่น วันเกิดและสถานที่เกิด, เชื้อชาติ, สัญชาติ, น้ำหนัก, ส่วนสูง, ข้อมูลตำแหน่งที่อยู่, ข้อมูลทางการแพทย์, ข้อมูลทางการศึกษา, ข้อมูลทางการเงิน, ข้อมูลการจ้างงาน เป็นต้น
• ข้อมูลที่สามารถใช้ในการค้นหาข้อมูลส่วนบุคคลของคนอื่นๆ ในอินเทอร์เน็ต

ข้อมูลส่วนบุคคลที่มีความอ่อนไหว

แม้ว่าข้อมูลส่วนบุคคลที่มีความอ่อนไหวจะเป็นข้อมูลส่วนตัว แต่ข้อมูลที่ว่านั้นก็จะมีความละเอียดอ่อนและสุ่มเสี่ยงต่อการนำไปใช้ในการเลือกปฏิบัติอย่างไม่เป็นธรรม ทำให้การเก็บข้อมูลต่างๆ นั้น ต้องทำด้วยความระมัดระวังเป็นพิเศษ และต้องได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลด้วย

สำหรับสาเหตุที่ทำให้ข้อมูลที่มีความอ่อนไหวต้องได้รับการจัดการและได้รับความคุ้มครองมากกว่าข้อมูลประเภทอื่นๆ นั้น เพราะว่าอาจก่อให้เกิดความเสี่ยงต่อสิทธิเสรีภาพ ไม่ว่าจะเป็นสิทธิเสรีภาพในความคิด ความเชื่อทางศาสนา การแสดงออก การชุมนุม สิทธิในชีวิตและร่างกาย การอยู่อาศัย การไม่ถูกเลือกปฏิบัติ หรือการเลือกปฏิบัติต่างๆ

• เชื้อชาติ เผ่าพันธุ์
• ความคิดเห็นทางการเมือง
• ความเชื่อในลิทธิ ศาสนา หรือปรัชญา
• พฤติกรรมทางเพศ
• ประวัติอาชญากรรม
• ข้อมูลด้านสุขภาพร่างกาย ความพิการ หรือข้อมูลสุขภาพจิต
• ข้อมูลสหภาพแรงงาน
• ข้อมูลพันธุกรรม ข้อมูลชีวภาพ
• ข้อมูลอื่นๆ ที่กระทบต่อเจ้าของข้อมูล

ข้อมูลที่ไม่ถือเป็นข้อมูลส่วนบุคคล

• เลขทะเบียนบริษัท
• ข้อมูลสำหรับการติดต่อทางธุรกิจต่างๆ ที่ไม่ได้ระบุถึงตัวบุคคล เช่น เบอร์โทรศัพท์ อีเมลที่ใช้ในการทำงาน อีเมลบริษัท ที่อยู่สำนักงาน เป็นต้น
• ข้อมูลของผู้ตาย
• ข้อมูลนิรนาม (Anonymous Data) ด้วย เนื่องจากมีกระบวนการทางเทคนิคที่ทำให้ข้อมูลนั้นไม่สามารถระบุตัวบุคคลได้

ขอบเขตของการนำข้อมูลส่วนบุคคลไปใช้

ในการเก็บรวบรวม ใช้ เผยแพร่ หรือเก็บรักษาเพื่อใช้ในการประมวลผลนั้น สิ่งที่สำคัญเลยก็คือต้องทำตามที่กฎหมายได้กำหนดเอาไว้ เนื่องจากการเก็บข้อมูลส่วนบุคคลนั้น จะต้องมีการแจ้งวัตถุประสงค์ในการเก็บข้อมูลให้กับเจ้าของข้อมูลทราบ พร้อมด้วยการเก็บบันทึกว่าจะนำข้อมูลนั้นไปใช้ในการประมวลผลอะไรบ้าง รวมไปถึงการเก็บข้อมูลส่วนบุคคลที่มีความอ่อนไหว จะต้องมีการแจ้งและขอความยินยอมอย่างชัดแจ้ง โดยต้องแจ้งให้ทราบว่าจะเก็บข้อมูลเหล่านั้นไปใช้สำหรับวัตถุประสงค์ใด ระยะเวลาในการเก็บข้อมูลนานแค่ไหน และจะมีการคุ้มครองข้อมูลอย่างเหมาะสม

และเพื่อให้การเตรียมตัวของคุณกลายเป็นเรื่องง่าย สามารถวางแผนและป้องกันความเสียหายที่อาจเกิดจากการที่ข้อมูลถูกละเมิด เลือกให้ผู้เชี่ยวชาญเข้ามาช่วยดูแลการเก็บรวบรวมข้อมูลและนำข้อมูลไปใช้งานได้อย่างถูกต้องตามกฎหมายมากที่สุด คุณสามารถสร้างฟอร์มเพื่อรับคำขอ PDPA จากเจ้าของข้อมูลอย่างง่ายดายผ่าน PDPA Form ได้ทันที

อะไรบ้างที่เป็นข้อมูลส่วนบุคคล

ทะเบียนรถ เป็นข้อมูลส่วนบุคคลไหม

สัญชาติ เป็น ข้อมูลอ่อนไหวไหม

ข้อมูลส่วนบุคคลทางอ้อม มีอะไรบ้าง