มาตรา 31
สารบัญในมาตรานี้
ตัวบท
มาตรา 31 เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอรับข้อมูลส่วนบุคคลที่เกี่ยวกับตนจากผู้ควบคุมข้อมูลส่วนบุคคลได้ ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลได้ทำให้ข้อมูลส่วนบุคคลนั้นอยู่ในรูปแบบที่สามารถอ่านหรือใช้งานโดยทั่วไปได้ด้วยเครื่องมือหรืออุปกรณ์ที่ทำงานได้โดยอัตโนมัติและสามารถใช้หรือเปิดเผยข้อมูลส่วนบุคคลได้ด้วยวิธีการอัตโนมัติ รวมทั้งมีสิทธิ ดังต่อไปนี้
(1) ขอให้ผู้ควบคุมข้อมูลส่วนบุคคลส่งหรือโอนข้อมูลส่วนบุคคลในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่นเมื่อสามารถทำได้ด้วยวิธีการอัตโนมัติ
(2) ขอรับข้อมูลส่วนบุคคลที่ผู้ควบคุมข้อมูลส่วนบุคคลส่งหรือโอนข้อมูลส่วนบุคคลในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่นโดยตรง เว้นแต่โดยสภาพทางเทคนิคไม่สามารถทำได้
ข้อมูลส่วนบุคคลตามวรรคหนึ่งต้องเป็นข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามหลักเกณฑ์แห่งพระราชบัญญัตินี้ หรือเป็นข้อมูลส่วนบุคคลที่ได้รับยกเว้นไม่ต้องขอความยินยอมตามมาตรา 24 (3) หรือเป็นข้อมูลส่วนบุคคลอื่นที่กำหนดในมาตรา 24 ตามที่คณะกรรมการประกาศกำหนด
การใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลตามวรรคหนึ่งจะใช้กับการส่งหรือโอนข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นการปฏิบัติหน้าที่เพื่อประโยชน์สาธารณะหรือเป็นการปฏิบัติหน้าที่ตามกฎหมายไม่ได้ หรือการใช้สิทธินั้นต้องไม่ละเมิดสิทธิหรือเสรีภาพของบุคคลอื่น ทั้งนี้ ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลปฏิเสธคำขอด้วยเหตุผลดังกล่าว ให้ผู้ควบคุมข้อมูลส่วนบุคคลบันทึกการปฏิเสธคำขอพร้อมด้วยเหตุผลไว้ในรายการตามมาตรา 39
สรุป
มาตรานี้ให้ สิทธิในการโอนย้ายข้อมูล แก่เจ้าของข้อมูล โดยมีสิทธิ: (1) ขอรับข้อมูลของตนในรูปแบบที่อ่าน/ใช้งานได้โดยอัตโนมัติ (2) ขอให้ส่งข้อมูลไปยังผู้ควบคุมรายอื่นโดยตรง สิทธินี้ใช้ได้เฉพาะข้อมูลที่เก็บโดยฐานความยินยอมหรือฐานสัญญาตาม มาตรา 24 (3) และไม่สามารถใช้กับการประมวลผลเพื่อประโยชน์สาธารณะหรือตามกฎหมาย
องค์ประกอบสำคัญ
- เงื่อนไขเบื้องต้น (วรรค 1): ข้อมูลต้องอยู่ในรูปแบบ:
- อ่านหรือใช้งานได้ทั่วไป ด้วยเครื่องมือ/อุปกรณ์อัตโนมัติ
- ใช้หรือเปิดเผยได้ด้วยวิธีอัตโนมัติ
- สิทธิ 3 ทาง:
- ขอรับข้อมูลในรูปแบบที่ใช้ได้ทั่วไป (วรรค 1 ส่วนแรก) — ส่งกลับให้เจ้าของข้อมูลโดยตรง
- ขอให้ส่ง/โอนไปผู้ควบคุมอื่นโดยอัตโนมัติ ((1)) — เมื่อทำได้ด้วยวิธีอัตโนมัติ
- ขอรับข้อมูลที่ส่งให้ผู้ควบคุมอื่นโดยตรง ((2)) — เว้นแต่สภาพทางเทคนิคไม่อาจทำได้
- ข้อมูลที่ใช้สิทธิได้ (วรรค 2):
- ข้อจำกัด (วรรค 3):
- ไม่ใช้กับ: การประมวลผลเพื่อประโยชน์สาธารณะ หรือการปฏิบัติหน้าที่ตามกฎหมาย
- ต้องไม่ละเมิดสิทธิ/เสรีภาพของบุคคลอื่น
- กรณีปฏิเสธ: บันทึกการปฏิเสธ + เหตุผลไว้ในรายการตาม มาตรา 39
มาตราที่อ้างอิง
- มาตรา 24 — ฐานในการเก็บรวบรวมโดยไม่ต้องขอความยินยอม — สิทธิตามมาตรานี้ใช้ได้เฉพาะกับข้อมูลที่เก็บโดยความยินยอม หรือฐานสัญญา มาตรา 24 (3) เท่านั้น
- มาตรา 39 — บันทึกรายการกิจกรรมประมวลผล (ROPA) — รวมการบันทึกการปฏิเสธคำขอตามมาตรานี้
หมายเหตุ
- เทียบ GDPR: สอดคล้องกับ Article 20 (สิทธิโอนย้ายข้อมูล) — แนวคิดมาจากความต้องการลดการล็อกอินข้อมูลในผู้ให้บริการรายเดียว
- ข้อจำกัดทางฐานในการประมวลผล: สิทธินี้ไม่ครอบคลุมทั้งหมด — ใช้ได้เฉพาะข้อมูลที่เก็บภายใต้:
- ความยินยอม หรือ
- ฐานสัญญาตาม มาตรา 24 (3)
- ข้อมูลที่เก็บภายใต้ฐานอื่น (เช่น ประโยชน์สาธารณะ ปฏิบัติตามกฎหมาย ประโยชน์โดยชอบด้วยกฎหมาย) ไม่ใช้สิทธินี้ได้
- รูปแบบ "ใช้งานได้ทั่วไป": มาตรฐานเปิด เช่น CSV, JSON, XML — ไม่ใช่รูปแบบเฉพาะที่ต้องใช้ซอฟต์แวร์เฉพาะของผู้ให้บริการเดิมเปิด
- ตัวอย่างในทางปฏิบัติ:
- ขอย้ายข้อมูลรูปภาพจากบริการเก็บข้อมูลออนไลน์รายหนึ่งไปยังอีกราย
- ขอย้ายประวัติการซื้อจากร้านค้าออนไลน์รายหนึ่งไปอีกราย
- ขอย้ายข้อมูลสุขภาพจากแอปพลิเคชันหนึ่งไปอีกแอป
- ข้อจำกัดทางเทคนิคของ (2): ผู้ควบคุมเดิมต้องส่งโดยตรงไปยังผู้ควบคุมใหม่ — แต่หากสองระบบเข้ากันไม่ได้ ก็เป็นเหตุยกเว้นได้ (สภาพทางเทคนิคไม่อาจทำได้)
- ความเชื่อมโยงกับ มาตรา 23: ผู้ควบคุมต้องแจ้งสิทธิตามมาตรานี้ในการแจ้งความเป็นส่วนตัว (มาตรา 23 (6))