มาตรา 30

หมวด 3 · 3 แนวคิดที่เกี่ยวข้อง · 1 มาตราอ้างอิง

สารบัญในมาตรานี้

ตัวบท
สรุป
องค์ประกอบสำคัญ
มาตราที่อ้างอิง
หมายเหตุ
แนวคิดที่เกี่ยวข้อง

ตัวบท

มาตรา 30 เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตนซึ่งอยู่ในความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล หรือขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลดังกล่าวที่ตนไม่ได้ให้ความยินยอม

ผู้ควบคุมข้อมูลส่วนบุคคลต้องปฏิบัติตามคำขอตามวรรคหนึ่ง จะปฏิเสธคำขอได้เฉพาะในกรณีที่เป็นการปฏิเสธตามกฎหมายหรือคำสั่งศาล และการเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลนั้นจะส่งผลกระทบที่อาจก่อให้เกิดความเสียหายต่อสิทธิและเสรีภาพของบุคคลอื่น

ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลปฏิเสธคำขอตามวรรคหนึ่ง ให้ผู้ควบคุมข้อมูลส่วนบุคคลบันทึกการปฏิเสธคำขอดังกล่าวพร้อมด้วยเหตุผลไว้ในรายการตามมาตรา 39

เมื่อเจ้าของข้อมูลส่วนบุคคลมีคำขอตามวรรคหนึ่งและเป็นกรณีที่ไม่อาจปฏิเสธคำขอได้ตามวรรคสอง ให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการตามคำขอโดยไม่ชักช้า แต่ต้องไม่เกินสามสิบวันนับแต่วันที่ได้รับคำขอ

คณะกรรมการอาจกำหนดหลักเกณฑ์เกี่ยวกับการเข้าถึงและการขอรับสำเนาตามวรรคหนึ่ง รวมทั้งการขยายระยะเวลาตามวรรคสี่หรือหลักเกณฑ์อื่นตามความเหมาะสมก็ได้

สรุป

มาตรานี้ให้ สิทธิเข้าถึงข้อมูล แก่เจ้าของข้อมูลส่วนบุคคล โดยมีสิทธิ 2 ทาง: (1) ขอเข้าถึงและขอรับสำเนาข้อมูลที่ผู้ควบคุมเก็บไว้ และ (2) ขอให้เปิดเผยที่มาของข้อมูลที่ตนไม่ได้ให้ความยินยอม ผู้ควบคุมต้องดำเนินการภายใน 30 วัน เว้นแต่ปฏิเสธได้ตามกฎหมาย/คำสั่งศาลและการเปิดเผยจะกระทบสิทธิเสรีภาพของบุคคลอื่น

องค์ประกอบสำคัญ

สิทธิ 2 ทาง (วรรค 1):
- ขอเข้าถึงและขอรับสำเนา ข้อมูลส่วนบุคคลที่เกี่ยวกับตนซึ่งอยู่ในความรับผิดชอบของผู้ควบคุม
- ขอเปิดเผยที่มาของข้อมูล ที่ตนไม่ได้ให้ความยินยอม (รู้ว่าผู้ควบคุมได้ข้อมูลมาจากแหล่งใด)
เงื่อนไขการปฏิเสธ (วรรค 2): ปฏิเสธได้ต่อเมื่อมีครบทั้ง 2 องค์ประกอบ:
- การปฏิเสธเป็นไปตามกฎหมายหรือคำสั่งศาล และ
- การให้เข้าถึง/สำเนาจะกระทบสิทธิและเสรีภาพของบุคคลอื่น
หน้าที่บันทึก (วรรค 3): กรณีปฏิเสธ — ผู้ควบคุมต้องบันทึกการปฏิเสธพร้อมเหตุผลไว้ในรายการตาม มาตรา 39 (ROPA)
กรอบเวลา (วรรค 4): ดำเนินการโดยไม่ชักช้า แต่ไม่เกิน 30 วัน นับแต่วันที่ได้รับคำขอ
อำนาจของคณะกรรมการ (วรรค 5): ออกหลักเกณฑ์การเข้าถึง/สำเนา รวมทั้งหลักเกณฑ์การขยายระยะเวลา 30 วัน

มาตราที่อ้างอิง

มาตรา 39 — บันทึกรายการกิจกรรมประมวลผล (ROPA) — รวมการบันทึกการปฏิเสธคำขอเข้าถึงตามมาตรานี้

หมายเหตุ

เทียบ GDPR: สอดคล้องกับ Article 15 (สิทธิเข้าถึง) — เป็นรากฐานของ กระบวนการคำขอเข้าถึงข้อมูลส่วนบุคคล
ขอบเขตของสิทธิ: ครอบคลุมเฉพาะข้อมูลที่อยู่ "ในความรับผิดชอบของผู้ควบคุม" — ไม่ครอบคลุมข้อมูลที่ผู้ประมวลผลถือไว้แทนผู้ควบคุมรายอื่น (เจ้าของข้อมูลต้องไปขอจากผู้ควบคุมตัวจริง)
2 รูปแบบของคำขอ:
- เข้าถึง: ดูข้อมูล อาจให้ผ่านระบบออนไลน์ของผู้ควบคุมหรือส่งดูทางอีเมล
- สำเนา: ได้รับสำเนาเอกสารกระดาษหรือไฟล์ดิจิทัล (เพื่อใช้/ตรวจสอบ/นำไปเสนอผู้อื่น)
การได้มาซึ่งข้อมูล: เจ้าของข้อมูลมีสิทธิรู้ว่าข้อมูลที่ตนไม่ได้ให้ความยินยอมมาจากไหน เช่น แหล่งสาธารณะ การซื้อจากผู้ให้บริการรายอื่น หรือการเก็บอัตโนมัติ
ข้อจำกัด "สิทธิและเสรีภาพของบุคคลอื่น": ตัวอย่างเช่น ภาพถ่ายกลุ่มที่มีบุคคลอื่นปะปน หรืออีเมลที่กล่าวถึงบุคคลที่ 3 — ผู้ควบคุมอาจปฏิเสธหรือปกปิดเฉพาะส่วนที่กระทบ
แนวปฏิบัติ: องค์กรมักจัดทำช่องทางออนไลน์สำหรับรับคำขอเข้าถึงข้อมูล หรือกำหนดอีเมลเฉพาะสำหรับรับคำขอ + แบบฟอร์มขอข้อมูล + ขั้นตอนยืนยันตัวตนของผู้ขอ ก่อนเปิดเผยข้อมูล
ความเชื่อมโยงกับ มาตรา 23: ผู้ควบคุมต้องแจ้งสิทธิตามมาตรานี้ในการแจ้งความเป็นส่วนตัว (มาตรา 23 (6))