ข้อมูลส่วนบุคคล
สารบัญในมาตรานี้
นิยาม
ตาม มาตรา 6:
"ข้อมูลส่วนบุคคล" หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
นิยามนี้ครอบคลุมข้อมูล 2 ลักษณะ:
- ระบุตัวทางตรง — ข้อมูลที่ระบุตัวบุคคลได้ทันทีโดยไม่ต้องผสมกับข้อมูลอื่น
- ระบุตัวทางอ้อม — ข้อมูลที่เมื่อรวมหรือเชื่อมโยงกับข้อมูลอื่นแล้วระบุตัวบุคคลได้
ขอบเขตของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลกำหนดใน มาตรา 4 (ข้อยกเว้น) และ มาตรา 5 (พื้นที่ใช้บังคับ)
ตัวอย่าง
ข้อมูลที่ระบุตัวบุคคลได้ทางตรง:
- ชื่อ–นามสกุล
- เลขประจำตัวประชาชน
- หมายเลขหนังสือเดินทาง
- ที่อยู่ตามทะเบียนบ้าน
- ภาพถ่ายใบหน้า
- ลายนิ้วมือ (เป็น "ข้อมูลชีวภาพ" ที่จัดเป็นข้อมูลอ่อนไหวเพิ่มเติมตาม มาตรา 26)
ข้อมูลที่ระบุตัวบุคคลได้ทางอ้อม:
- หมายเลขโทรศัพท์มือถือ
- ที่อยู่อีเมลที่ระบุชื่อ–สกุล
- หมายเลขประจำตัวลูกค้า/พนักงาน
- พิกัดที่อยู่ (GPS)
- รหัสบนเครื่องอุปกรณ์ (เช่น IMEI MAC IP)
- พฤติกรรมการใช้งานเว็บไซต์ที่เชื่อมโยงกับบัญชีผู้ใช้
ข้อมูลที่ "ไม่ใช่" ข้อมูลส่วนบุคคลตามนิยาม:
- ข้อมูลสถิติที่ทำให้ไม่ระบุตัวบุคคลอย่างถาวรและไม่สามารถย้อนกลับได้
- ข้อมูลของนิติบุคคล เช่น ชื่อบริษัท เลขทะเบียนนิติบุคคล
- ข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ (ตามวลีท้ายนิยามใน มาตรา 6)
มาตราที่เกี่ยวข้อง
นิยามและขอบเขต:
- มาตรา 6 — ⭐ มาตราหลัก: นิยามของ "ข้อมูลส่วนบุคคล" (+ นิยามอีก 8 คำสำคัญใน พ.ร.บ.)
- มาตรา 4 — ข้อยกเว้น: บุคคล กิจการสื่อมวลชน วุฒิสภา/รัฐสภา ฝ่ายตุลาการ ฯลฯ — กิจการที่ไม่อยู่ในบังคับของ พ.ร.บ.
- มาตรา 5 — พื้นที่ใช้บังคับ: ใช้กับผู้ควบคุม/ผู้ประมวลผลในราชอาณาจักร (ไม่ว่าจะกระทำในหรือนอกประเทศ)
ฐานในการประมวลผล:
- มาตรา 19 — หลักทั่วไป: ต้องได้รับความยินยอมจากเจ้าของข้อมูลก่อนการเก็บ ใช้ หรือเปิดเผย
- มาตรา 24 — ฐานเก็บรวบรวมข้อมูลส่วนบุคคล (ฐานทั่วไป 7 ข้อ)
- มาตรา 26 — กฎเฉพาะของ "ข้อมูลอ่อนไหว" ซึ่งเป็นข้อมูลส่วนบุคคลประเภทพิเศษที่มีกฎเข้มกว่า
บทเฉพาะกาล:
- มาตรา 95 — ข้อมูลส่วนบุคคลที่เก็บก่อน พ.ร.บ. มีผลใช้บังคับ ผู้ควบคุมเก็บใช้ต่อตามวัตถุประสงค์เดิมได้ + ต้องมีกลไกถอนความยินยอมอย่างง่าย
ประกาศที่เกี่ยวข้อง
-
หมายเหตุ
- "ผู้ถึงแก่กรรม" ไม่อยู่ในขอบเขต: ข้อมูลของผู้เสียชีวิตไม่ใช่ข้อมูลส่วนบุคคลตาม พ.ร.บ. นี้ — ทายาท/ญาติไม่มีสิทธิตามกฎหมายนี้โดยตรง (แต่อาจมีสิทธิตามกฎหมายอื่น เช่น มรดก สิทธิทางทรัพย์)
- "บุคคล" = บุคคลธรรมดาเท่านั้น ตาม มาตรา 6 — ข้อมูลของนิติบุคคล (บริษัท ห้างหุ้นส่วน) ไม่ใช่ข้อมูลส่วนบุคคล
- "ทางอ้อม" คือกุญแจ: ข้อมูลที่ดูเหมือนไม่ระบุตัวบุคคลโดยลำพัง แต่เชื่อมโยงกับข้อมูลอื่นได้ (เช่น IP + เวลาเข้าใช้ + บัญชี) ก็เข้าข่ายข้อมูลส่วนบุคคล
- เทียบกับ GDPR: นิยามใน มาตรา 6 สอดคล้องกับ GDPR Art. 4(1) — ทั้งสองครอบคลุมการระบุตัวบุคคลทั้งทางตรงและทางอ้อม
- การทำให้ไม่ระบุตัวบุคคล vs การใช้รหัสนามแฝง:
- ข้อมูลที่ผ่านการ ทำให้ไม่ระบุตัวบุคคลอย่างถาวร (และไม่สามารถย้อนกลับมาระบุตัวได้) — ไม่ใช่ ข้อมูลส่วนบุคคล
- ข้อมูลที่ผ่านการ แทนชื่อด้วยรหัสนามแฝง (โดยยังเก็บคีย์ในการถอดรหัสไว้) — ยังเป็น ข้อมูลส่วนบุคคล เพราะการระบุตัวยังเป็นไปได้เมื่อมีคีย์