เจ้าของข้อมูลส่วนบุคคล
สารบัญในมาตรานี้
นิยาม
เจ้าของข้อมูลส่วนบุคคล คือบุคคลธรรมดาที่ข้อมูลส่วนบุคคลนั้นเกี่ยวข้องและสามารถระบุตัวบุคคลได้ — ไม่ว่าจะเป็นบุคคลที่ข้อมูลกล่าวถึงโดยตรง หรือบุคคลที่ระบุตัวได้ทางอ้อมจากข้อมูลนั้น
พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลไม่มีนิยามคำว่า "เจ้าของข้อมูลส่วนบุคคล" โดยตรงใน มาตรา 6 แต่ใช้คำนี้ตลอดทั้ง พ.ร.บ. โดยอ้างถึงบุคคลธรรมดาที่ข้อมูลส่วนบุคคลนั้นระบุตัวได้ (ตามนิยาม "ข้อมูลส่วนบุคคล" ใน มาตรา 6 ที่จำกัดเฉพาะ "บุคคล" = บุคคลธรรมดา)
ตัวอย่าง
ในบริบทธุรกิจ:
- ลูกค้าที่ซื้อสินค้าออนไลน์ — เป็นเจ้าของข้อมูลของชื่อ ที่อยู่ เบอร์โทร อีเมล ประวัติการสั่งซื้อ
- พนักงานในองค์กร — เป็นเจ้าของข้อมูลของประวัติส่วนตัว ผลตรวจสุขภาพ บัญชีเงินเดือน
- สมาชิกของเว็บไซต์/แอปพลิเคชัน — เป็นเจ้าของข้อมูลของบัญชีผู้ใช้ พฤติกรรมการใช้งาน
ในบริบทบริการสาธารณะ:
- ผู้ป่วยในโรงพยาบาล — เป็นเจ้าของข้อมูลสุขภาพ ผลตรวจ ประวัติการรักษา (เป็นข้อมูลอ่อนไหวตาม มาตรา 26)
- นักเรียน/นักศึกษา — เป็นเจ้าของข้อมูลทะเบียน ผลการเรียน
- ประชาชนที่ลงทะเบียนรับบริการรัฐ — เป็นเจ้าของข้อมูลในระบบของหน่วยงาน
กรณีพิเศษ:
- ผู้เยาว์อายุไม่เกิน 10 ปี — ผู้ใช้อำนาจปกครองให้ความยินยอมแทน (ตาม มาตรา 25)
- ผู้เยาว์ที่บรรลุนิติภาวะแล้วทางบางอย่าง (เช่น สมรส) — ให้ความยินยอมเองได้
- คนไร้ความสามารถ/เสมือนไร้ความสามารถ — ผู้อนุบาล/ผู้พิทักษ์ให้ความยินยอมแทน
มาตราที่เกี่ยวข้อง
นิยาม:
- มาตรา 6 — ⭐ นิยาม "บุคคล" = บุคคลธรรมดา (เป็นพื้นฐานของการตีความ "เจ้าของข้อมูล")
ความยินยอม:
- มาตรา 19 — หลักการขอความยินยอมจากเจ้าของข้อมูลก่อนเก็บ ใช้ เปิดเผย
- มาตรา 25 — กรณีพิเศษ: ผู้เยาว์ คนไร้ความสามารถ เสมือนไร้ความสามารถ — ผู้แทนตามกฎหมายให้ความยินยอม
สิทธิของเจ้าของข้อมูล (หมวด 3 — มาตรา 30 ถึง มาตรา 42):
- มาตรา 30 — สิทธิเข้าถึงข้อมูลและขอรับสำเนา
- มาตรา 31 — สิทธิให้ส่งต่อข้อมูลไปยังผู้ควบคุมรายอื่น (สิทธิให้โอนย้ายข้อมูล)
- มาตรา 32 — สิทธิคัดค้านการประมวลผล
- มาตรา 33 — สิทธิให้ลบ ทำลาย หรือทำให้ไม่ระบุตัวบุคคล
- มาตรา 34 — สิทธิให้ระงับการใช้ข้อมูลชั่วคราว
- มาตรา 35 — สิทธิให้แก้ไขข้อมูลให้ถูกต้อง
- มาตรา 36 — สิทธิให้แก้ไขเมื่อข้อมูลไม่ถูกต้อง/ไม่เป็นปัจจุบัน — ผู้ควบคุมต้องดำเนินการ
- มาตรา 37 — หน้าที่ของผู้ควบคุมในการแจ้งเหตุละเมิดให้เจ้าของข้อมูลทราบ
- มาตรา 42 — กลไกการใช้สิทธิ์ผ่านเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)
การร้องเรียน:
- มาตรา 71 — สิทธิร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญ ในกรณีที่ผู้ควบคุม/ผู้ประมวลผลฝ่าฝืน พ.ร.บ.
ประกาศที่เกี่ยวข้อง
-
หมายเหตุ
- ขอบเขตจำกัดเฉพาะบุคคลธรรมดา: เจ้าของข้อมูลคือ "บุคคล" ตาม มาตรา 6 ที่หมายถึงบุคคลธรรมดาเท่านั้น — ไม่รวมนิติบุคคล (บริษัท สมาคม มูลนิธิ)
- ผู้เสียชีวิตไม่ใช่เจ้าของข้อมูลตามกฎหมายนี้: เนื่องจากนิยาม "ข้อมูลส่วนบุคคล" ใน มาตรา 6 ไม่รวมข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ — ทายาทจึงไม่มีสิทธิตามหมวด 3 โดยอัตโนมัติ
- เจ้าของข้อมูล ≠ เจ้าของข้อมูล/ทรัพย์สิน: กฎหมายนี้ใช้คำว่า "เจ้าของ" ในความหมายของ "บุคคลที่ข้อมูลเกี่ยวข้องด้วย" — ไม่ใช่ความเป็นเจ้าของในแง่กรรมสิทธิ์ ผู้ควบคุมข้อมูลอาจ "ถือ" ข้อมูลไว้แต่เจ้าของข้อมูลยังคงมีสิทธิตามกฎหมาย
- เทียบกับ GDPR: เทียบเคียงได้กับเจ้าของข้อมูลใน GDPR — ทั้งสองระบบให้ชุดสิทธิแก่บุคคลธรรมดาที่ข้อมูลระบุตัวได้
- กลไกการใช้สิทธิ์: เจ้าของข้อมูลสามารถใช้สิทธิ์โดยตรงกับผู้ควบคุมข้อมูล หรือผ่านช่องทางที่ผู้ควบคุมจัดให้ (เช่น DPO ตาม มาตรา 42) — หากผู้ควบคุมปฏิเสธหรือไม่ตอบสนอง เจ้าของข้อมูลร้องเรียนได้ตาม มาตรา 71