รวบรวมคำศัพท์และคำย่อที่เกี่ยวข้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ Personal Data Protection Act B.E. 2562 (PDPA) พร้อมระบุคำแปลภาษาอังกฤษ และความหมายอย่างละเอียด เพื่อให้คุณศึกษาตัวบทกฎหมายและทำความเข้าเรื่องราวที่เกี่ยวข้องกับพระราชบัญญัติฉบับนี้ได้อย่างลึกซึ้ง

โดยเรียงคำศัพท์และคำย่อตามลำดับตัวอักษรภาษาไทย (ก-ฮ) ดังรายการต่อไปนี้

กฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (General Data Protection Regulation – GDPR)

GDPR เป็นกฎหมายที่ปรับปรุงมาจาก EU Data Protection Directive เมื่อปี 2538 โดยขยายความเรื่องการคุ้มครองข้อมูลและการคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรปให้มีความชัดเจน/รัดกุมมากขึ้น ตามความเหมาะสมของสถานการณ์ในโลกยุคใหม่ที่ขับเคลื่อนด้วยข้อมูล มีวัตถุประสงค์หลักเพื่อคุ้มของประชาชนในกลุ่มประเทศสหภาพยุโรป และบังคับใช้กับหน่วยงานทั้งที่อยู่ภายในและภายนอกสหภาพยุโรปที่มีกิจกรรมที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของประชาชนในกลุ่มประเทศดังกล่าว

GDPR มีผลบังคับใช้ในวันที่ 25 พฤษภาคม 2561 ได้รับการยอมรับว่าเป็นกฎหมายแม่แบบ และมีความคล้ายคลึงกับ PDPA ของไทยในหลายประการ

การขอความยินยอม (A Request for Consent)

หมายถึง การที่ผู้ควบคุมข้อมูลส่วนบุคคลขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ก่อนหรือในขณะการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล อาจกระทำผ่านเอกสารหรือผ่านระบบอิเล็กทรอนิกส์อย่างชัดแจ้ง โดยการขอความยินยอมต้องมีลักษณะดังต่อไปนี้

• แจ้งถึงวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
• แยกส่วนออกจากข้อความอื่นอย่างชัดเจน
• รูปแบบหรือข้อความสามารถเข้าถึงได้ง่ายและเข้าใจได้
• ภาษาอ่านง่าย ไม่หลอกลวงหรือทำให้เข้าใจผิด

การเข้ารหัสข้อมูล (Encryption)

หมายถึง รูปแบบการจัดการข้อมูลอย่างหนึ่ง เพื่อวัตถุประสงค์ด้านการคุ้มครองข้อมูลส่วนบุคคล โดยกระบวนการนำข้อมูลส่วนบุคคลมาเข้ารหัสที่คนทั่วไปไม่สามารถเข้าใจได้ เรียกว่า Ciphertext โดยเฉพาะผู้ที่ได้รับอนุญาตหรือมีกุญแจเท่านั้นที่จะสามารถถอดรหัสกลับคืนมาเป็นข้อมูลธรรมดาที่สามารถอ่านเข้าใจได้อีกครั้งหนึ่ง

การคัดค้านการใช้ข้อมูลส่วนบุคคล (Personal Data Objection)

หมายถึง สิทธิของเจ้าของข้อมูลส่วนบุคคลตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่สามารถคัดค้านการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวข้องกับตนเองเมื่อใดก็ได้ ในกรณีดังต่อไปนี้

1. เป็นข้อมูลส่วนบุคคลที่เก็บรวบรวมได้โดยได้รับยกเว้นไม่ต้องขอความยินยอมตามพระราชบัญญัติฉบับนี้
2. เป็นข้อมูลส่วนบุคคลที่เก็บรวบรวม ใช้ หรือเปิดเผยเพื่อวัตถุประสงค์เกี่ยวกับการทำการตลาดแบบตรง
3. เป็นข้อมูลส่วนบุคคลที่เก็บรวบรวม ใช้ หรือเปิดเผยเพื่อวัตถุประสงค์เกี่ยวกับการศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ (ยกเว้นเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคล)

การคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection)

หมายถึง การดูแลปกป้องบุคคลจากการถูกละเมิดเกี่ยวกับข้อมูลส่วนบุคคลโดยกฎหมาย ซึ่งเป็นการจำกัดสิทธิและเสรีภาพบางประการของบุคคลที่เก็บรวบ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้อื่น เพื่อให้เกิดการคุ้มครองข้อมูลส่วนบุคคลและมาตรการเยียวยาเจ้าของข้อมูลที่มีประสิทธิภาพ

GDPR หรือกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป เป็นกฎหมายแม่แบบเพื่อใช้ปรับปรุงเป็น PDPA หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งเป็นกฎหมายที่มีเนื้อหาเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของไทย

การตลาดทางตรง (Direct Marketing)

หมายถึง การทำการตลาดในลักษณะของการเสนอขายสินค้าหรือบริการโดยตรงต่อผู้บริโภคแต่ละคน โดยมุ่งหวังให้ผู้บริโภคมีปฏิกิริยาตอบกลับเพื่อซื้อสินค้าหรือบริการจากผู้ประกอบธุรกิจ

การทำการตลาดแบบตรงมักมีการเก็บรวบรวมฐานข้อมูลของลูกค้าเพื่อใช้สื่อสารไปยังลูกค้า จึงได้รับผลกระทบโดยตรงเมื่อพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ถูกบังคับใช้

การถอนความยินยอม (Consent Withdrawal)

หมายถึง สิทธิของเจ้าของข้อมูลส่วนบุคคลตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ในการถอนความยินยอมที่ให้ไว้สำหรับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล โดยจะต้องสามารถถอนความยินยอมเมื่อใดก็ได้และสามารถทำได้โดยง่าย เว้นแต่จะมีข้อจำกัดด้านกฎหมายหรือสัญญาที่เป็นประโยชน์แก่เจ้าของข้อมูลส่วนบุคคล โดยผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงผลกระทบจากการถอนความยินยอม (ถ้ามี)

การทำการตลาดส่วนบุคคล (Personalized Marketing)

หมายถึง แนวคิดการทำการตลาดในยุคดิจิทัล ที่พยายามนำเสนอสินค้าหรือบริการให้ตรงตามความต้องการของผู้บริโภคให้มากที่สุด โดยสินค้าและบริการที่นำเสนอให้กับแต่ละบุคคลไม่จำเป็นต้องเหมือนกันและมีความแตกต่างกันออกไป เพื่อสร้างประสบการณ์การใช้งานแพลตฟอร์มที่น่าประทับใจ

การทำการตลาดส่วนบุคคล มีพื้นฐานวิธีการทำการตลาดผ่านการเก็บข้อมูลผู้ใช้งานบนแพลตฟอร์มดิจิทัล แล้วนำมาวิเคราะห์เพื่อให้สามารถตอบโต้ได้ตรงตามความคาดหวังของแต่ละบุคคล โดยใช้เครื่องมืออัตโนมัติเป็นช่วย จึงมีความเกี่ยวข้องกับการเก็บรวบรวมและใช้ข้อมูล่สวนบุคคล นักการตลาดจึงต้องตื่นตัวและปรับตัวเมื่อพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ถูกบังคับใช้

การทำข้อมูลให้เป็นนิรนาม (Anonymization)

หมายถึง การทำให้ข้อมูลส่วนบุคคลไม่สามารถระบุตัวตนของบุคคลได้ เพื่อวัตถุประสงค์ด้านการคุ้มครองข้อมูลส่วนบุคคล โดยการนำข้อมูลที่ใช้ระบุตัวตนของบุคคลได้ในชุดข้อมูลมาเข้ารหัส ลบ หรือทำลาย ตามกฎหมายได้ระบุไว้ด้วยว่าการทำข้อมูลให้ Anonymized หรือเป็นนิรนามอย่างแท้จริง ข้อมูลดังกล่าวควรจะไม่สามารถกู้กลับคืนมาเป็นลักษณะดั้งเดิมที่สามารถระบุตัวตนของบุคคลได้อีก

การประมวลผลข้อมูลส่วนบุคคล (Personal Data Processing)

หมายถึง การดำเนินการหรือชุดการดำเนินการซึ่งกระทำต่อข้อมูลส่วนบุคคลหรือชุดข้อมูลส่วนบุคคล ด้วยระบบอัตโนมัติหรือไม่ก็ได้ เช่น การเก็บรวบรวม การบันทึก การจัดระเบียบ การจัดโครงสร้าง การจัดเก็บ การปรับปรุง การใช้ การเปิดเผย การทำให้สามารถเข้าถึงได้ การยับยัง หรือการลบหรือทำลายข้อมูลส่วนบุคคล เป็นต้น

การประเมินผลกระทบต่อข้อมูลส่วนบุคคล (Data Protection Impact Assessment – DPIA)

หมายถึง เป็นการประเมินความผลกระทบต่อความเป็นส่วนตัว หากมีกระบวนการใดที่มีแนวโน้มที่จะก่อให้เกิดความเสี่ยงสูงต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลจะต้องดำเนินการประเมินความเสี่ยงของแนวทางการประมวลผลก่อนการประมวลผลข้อมูลจริง

การแฝงข้อมูล (Pseudonymization)

หมายถึง รููปแบบการจัดการข้อมูลอย่างหนึ่ง เพื่อวัตถุประสงค์ด้านการคุ้มครองข้อมูลส่วนบุคคล โดยการทดแทนข้อมูลบางส่วนที่สามารถระบุตัวตนของบุคคลในชุดข้อมูลด้วยนามแฝงซึ่งประดิษฐ์ขึ้น เรียกว่า Pseudonym การใช้นามแฝงจะช่วยให้สามารถระบุตัวตนของบุคคลได้ยากขึ้นขณะการโอนเคลื่อนย้ายข้อมูลหรือเมื่อถูกจารกรรม แต่ยังเป็นรูปแบบข้อมูลที่สามารถนำมาแปลงกลับมาเพื่อระบุผู้ที่เกี่ยวข้องได้อยู่ เมื่อมีข้อมูลประกอบเพิ่มเติม

การระงับการใช้ข้อมูลส่วนบุคคล (Personal Data Restriction)

หมายถึง สิทธิของเจ้าของข้อมูลส่วนบุคคลตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่สามารถขอให้ผู้ควบคุมข้อมูลส่วนบุคคลระงับการใช้ข้อมูลส่วนบุคคลได้ ในระหว่างที่ผู้ควบคุมข้อมูลส่วนบุคคลกำลังดำเนินการตรวจสอบตามที่เจ้าของข้อมูลส่วนบุคคลได้ร้องขอ ให้ผู้ควบคุมข้อมูลส่วนบุคคลได้ดำเนินการแก้ไขข้อมูลส่วนบุคคลให้เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด

การละเมิดข้อมูลส่วนบุคคล (Personal Data Breach)

หมายถึง การกระทำการโดยจงใจหรือประมาทต่อบุคคลอื่นโดยผิดกฎหมาย ทำให้บุคคลอื่นเสียหายสืบเนื่องมาจากประเด็นเรื่องข้อมูลส่วนบุคคล โดยผู้ละเมิดจะต้องได้รับโทษตามกฎหมายและชดใช้ค่าสินไหมทดแทนความเสียหายนั้น

กิจการขนาดเล็ก (Small Organization)

หมายถึง ธุรกิจขนาดเล็ก หรือกิจการที่ความเป็นเจ้าของและการดำเนินงานเป็นไปอย่างอิสระ และในเวลาเดียวกันนั้นต้องไม่มีอิทธิพลครอบงำต่อการดำเนินงานของกิจการอื่นในแขนงเดียวกัน

ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลของกิจการขนาดเล็ก ได้รับการยกเว้นการบังคับใช้ของข้อกฎหมายบางประการ เกี่ยวกับการจัดทำบันทึกรายการเพื่อให้เจ้าของข้อมูลส่วนบุคคลและสำนักงานสามารถตรวจสอบได้ ยกเว้นแต่การเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ของกิจการจะมีความเสี่ยงมีผลกระทบต่อเจ้าของข้อมูลส่วนบุคคล ไม่ใช่กิจการที่เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเป็นครั้งคราว หรือขัดต่อข้อกฎหมายที่ห้ามการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลอ่อนไหว

ข้อมูลชีวภาพ (Biometric Data)

หมายถึง ข้อมูลส่วนบุคคลที่เกิดขึ้นจากการใช้เทคนิคหรือเทคโนโลยีที่เกี่ยวข้องกับการนำลักษณะเด่นทางกายภาพหรือทางพฤติกรรมของบุคคลมาใช้ ทำให้สามารถยืนยันตัวตนของบุคคลนั้นได้ (ที่ไม่เหมือนกับบุคคลอื่น) เช่น ข้อมูลภาพจำลองใบหน้า ข้อมูลจำลองม่านตา หรือข้อมูลจำลองลายนิ้วมือ

ข้อมูลพันธุกรรม (Genetic Data)

หมายถึง ข้อมูลส่วนบุคคลที่ได้มาจากการทดสอบพันธุกรรม

การทดสอบพันธุกรรม หมายถึง การวิเคราะห์สารพันธุกรรมดีเอ็นเอา (DNA) อาร์เอ็นเอ (RNA) โครโมโซม (Chromosome) โปรตีน และสารบางอย่างในร่างกาย เพื่อที่จะตรวจหาลักษณะทางพันธุกรรมที่เกี่ยวข้องกับการเกิดโรคและลักษณะที่แสดงออก เพื่อที่จะนำข้อมูลดังกล่าวไปใช้ในการแพทย์และการทดลอง

ข้อมูลพันธุกรรมเป็นข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน โดยนอกจากจะเป็นข้อมูลที่บ่งชี้ไปยังตัวบุคคลได้แล้ว ยังมีลักษณะเฉพาะตัวซึ่งในบางกรณีผู้ที่ข้อมูลนั้นเชื่อมโยงไปถึงอาจไม่ประสงค์ให้เปิดเผยข้อมูลดังกล่าวอีกด้วย กล่าวให้เข้าใจง่ายก็คือ การเปิดเผยข้อมูลพันธุกรรมของบุคคลหนึ่งเสมือนเป็นการเปิดเผยข้อมูลพันธุกรรมของสมาชิกอื่นในครอบครัว

ข้อมูลส่วนบุคคล (Personal Data)

หมายถึง ข้อมูลเกี่ยวกับบุคลลซึ่งทำให้สามารถระบุตัวตนนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ที่ถึงแก่กรรมไปแล้ว

ข้อมูลอ่อนไหว (Sensitive Personal Data)

หมายถึง ข้อมูลส่วนบุคคลที่เป็นเรื่องส่วนตัวโดยแท้ของบุคคล แต่มีความละเอียดอ่อนและสุ่มเสี่ยงต่อการถูกใช้ในการเลือกปฏิบัติอย่างไม่เป็นธรรม จึงจำเป็นต้องดำเนินการด้วยความระมัดระวังเป็นพิเศษ

PDPA ได้ห้ามมิให้เก็บรวบรวมข้อมูลอ่อนไหว คือ เชื่อชาติ เผ่าพันธ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกัน โดยไม่ได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล มีข้อยกเว้นบางประการ คือ

• เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
• เป็นการดำเนินกิจกรรมโดยชอบด้วยกฎหมายที่มีการคุ้มขงที่เหมาะสมของมูลนิธิ สมาคม หรือองค์กรที่ไม่แสวงหาผลกำไร
• เป็นข้อมูลที่เปิดเผยต่อสาธารณะด้วยความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล
• เป็นการจำเป็นเพื่อการก่อตั้ง ใช้ หรือยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
• เป็นการจำเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์

คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Committee)

หมายถึง คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลที่ได้รับการสรรหาและแต่งตั้งตามที่กำหนดในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ประกอบไปด้วย ประธานกรรมการ 1 คน รองประธานกรรมการ 1 คน กรรมการโดยตำแหน่ง 5 คน และกรรมการผู้ทรงคุณวุฒิ 9 คน (รวม 16 คน)

คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล มีหน้าที่และอำนาจในการ

1. จัดทำแผนแม่บทการดำเนินงานด้านการส่งเสริม และการคุ้มครองข้อมูลส่วนบุคคลที่สอดคล้องกับนโยบาย ยุทธศาสตร์ชาติ และแผนระดับชาติที่เกี่ยวข้อง
2. ส่งเสริมและสนับสนุนหน่วยงานของรัฐและเอกชน ในการดำเนินงานตามแผนแม่บท และจัดให้มีการประเมินผล
3. กำหนดมาตรการและแนวทางการดำเนินการเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล
4. ออกประกาศหรือระเบียบเพื่อให้การดำเนินการต่าง ๆ เป็นไปตามพระราชบัญญัตินี้
5. กำหนดหลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือโอนไปยังต่างประเทศ
6. กำหนดข้อปฏิบัติสำหรับผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล
7. เสนอแนะการตราหรือปรับปรุงกฎหมายที่บังคับใช้เกี่ยวกบการคุ้มครองข้อมูลส่วนบุคคลต่อคณะรัฐมนตรี
8. เสนอแนะทบทวนความเหมาะสมของพระราชบัญญัตินี้อย่างน้อยทุกรอบ 5 ปี
9. ให้คำแนะนำและคำปรึกษาเกี่ยวกับการดำเนินการเพื่อให้ความคุ้มครองข้อมูลส่วนบุคคลของหน่วยงานภาครัฐและเอกชนง
10. ตีความและวินิจฉัยชี้ขาดเมื่อเกิดปัญหาที่เกิดขึ้นจากการใช้พระราชบัญญัตินี้
11. ส่งเสริมและสนับสนุนให้ประชาชนเกิดทักษะ ความรู้ และความเข้าใจเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล
12. ส่งเสริมและสนับสนุนการวิจัย เพื่อพัฒนาเทคโนโลยีที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล
13. ปฏิบัติการอื่นตามพระราชบัญญัตินี้หรือที่กฎหมายอื่นกำหนดให้เป็นหน้าที่และอำนาจของคณะกรรมการฯ

*พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนดให้คำว่า “คณะกรรมการ”” หมายถึง คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

คณะกรรมการผู้เชี่ยวชาญ (Expert Committee)

หมายถึง คณะกรรมการที่ได้รับการแต่งตั้งจากคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ตามความเชี่ยวชาญในแต่ละเรื่องตามสมควร โดยมีหน้าที่รับผิดชอบและอำนาจดังต่อไปนี้

• พิจารณาเรื่องร้องเรียนตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• ตรวจสอบการกระทำการใด ๆ ของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมถึงลูกจ้างหรือผู้รับจ้าง ที่ก่อให้เกิดคามเสียหายแก่เจ้าของข้อมูลส่วนบุคคล
• ไกล่เกลี่ยข้อพิพาทเกี่ยวกับข้อมูลส่วนบุคคล
• อื่น ๆ ตามพระราชบัญญติกำหนดหรือตามที่คณะกรรมการฯ มอบหมาย

คนไร้ความสามารถ (Incompetent Person)

หมายถึง บุคคลที่ศาลสั่งให้เป็นคนไร้ความสามารถ เนื่องจากเป็นบุคคลวิกลจริต ซึ่งในการเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ของคนไร้ความสามารถ ต้องได้รับความยินยอมจากผู้อนุบาล

คนเสมือนไร้ความสามารถ (Quasi-incompetent Person)

หมายถึง บุคคลที่ศาลสั่งให้เป็นคนเสมือนไร้ความสามารถ เนื่องจากมีความพิการทางกาย มีจิตไม่สมประกอบ มีพฤติกรรมสุรุ่ยสุร่ายเสเพลเป็นปกตินิสัย ติดสุราของมึนเมา หรือมีเหตุอื่น ๆ ทำนองเดียวกัน จนไม่สามารถจัดทำการงานโดยตนเองได้ หรือจัดกิจการในทางที่อาจจะเสื่อมเสียแก่ทรัพย์สินของตนเองหรือครอบครัว ซึ่งในการเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ของคนเสมือนไร้ความสามารถ ต้องได้รับความยินยอมจากผู้พิทักษ์

ความเป็นส่วนตัวของข้อมูลส่วนบุคคล (Personal Data Privacy or Information Privacy)

หมายถึง การให้ความคุ้มครองข้อมูลส่วนบุคคลโดยการวางหลักเกณฑ์เกี่ยวกับการเก็บรวบรวมและบริหารจัดการข้อมูลส่วนบุคคล ที่บุคคลอื่นห้ามเก็บรวบรวม ใช้ หรือเผยแพร่โดยไม่ได้รับอนุญาตจากเจ้าของข้อมูลส่วนบุคคล

ความมั่นคงปลอดภัยไซเบอร์ (Cyber Security)

หมายถึง กระบวนการหรือการกระทำทั้งหมดที่จำเป็น เพื่อทำให้องค์กรปราศจากความเสี่ยง และความเสียหายที่มีผลต่อความปลอดภัยของข้อมูลข่าวสาร (Information) ในทุกรูปแบบ รวมถึงการระวังป้องกันต่อการอาชญากรรม การโจมตี การบ่อนทำลาย การจารกรรม และความผิดพลาดต่าง ๆ ซึ่ง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จะไม่บังคับใช้กับด้านความมั่นคงปลอดภัยทางไซเบอร์ เนื่องจากเป็นส่วนหนึ่งของการดำเนินการของหน่วยงานของรัฐที่มีหน้าที่ในการรักษาความมั่นคงของรัฐ

ความยินยอม (Consent)

หมายถึง การแสดงเจตนาของเจ้าของข้อมูลส่วนบุคคล หรือผู้มีอำนาจกระทำการแทนเจ้าของข้อมูลส่วนบุคคล อนุญาตให้ผู้อื่นเก็บรวบรวม ใช้ หรือเผยแพร่ข้อมูลส่วนบุคคล ผ่านเอกสารหรือผ่านระบบอิเล็กทรอนิกส์ โดยการกระทำข้างต้น (เก็บรวบรวม ใช้ หรือเผยแพร่ข้อมูลส่วนบคคล) จะถือว่าไม่เป็นการละเมิด ไม่ถือว่าเป็นความเสียหาย บุคคลจึงไม่มีสิทธิเรียกค่าเสียหายอันเกิดจากการกระทำที่ตนให้ความยินยอม

ค่าสินไหมทดแทน (Compensation)

หมายถึง การชดใช้ความเสียหายที่เกิดขึ้นแก่บุคคลอันเนื่องมาจากละเมิดหรือผิดสัญญาในกรณีที่เกี่ยวข้องกับข้อมูลส่วนบุคคล รวมถึงค่าใช้จ่ายทั้งหมดที่เจ้าของข้อมูลส่วนบุคคลได้ใช้จ่ายไปตามความจำเป็นในการป้องกันความเสียหายที่กำลังจะเกิดขึ้น หรือระงับความเสียหายที่เกิดขึนแล้วด้วย

คุกกี้ (Cookies)

หมายถึง ไฟล์ข้อมูลขนาดเล็กซึ่งจะถูกบันทึกลงบนเบราว์เซอร์ของผู้เข้าชมเว็บไซต์ ทำให้ทราบถึงข้อมูลบางประการ เช่น ข้อมูลแบบฟอร์มที่เคยกรอก ข้อมูลการเข้าใช้งานเว็บไซต์ ข้อมูลการตั้งค่าบนเว็บไซต์ เป็นต้น ซึ่งมีประโยชน์ในทั้งสองทางคือความสะดวกสบายของผู้ใช้งานและเจ้าของเว็บไซต์ก็สามารถเก็บข้อมูลการใช้งานของผู้เข้าชมเว็บไซต์เช่นเดียวกัน บางส่วนอาจเป็นข้อมูลที่สามารถใช้ระบุตัวตนของผู้เข้าชมเว็บไซต์ได้ จึงจัดเป็นข้อมูลส่วนบุคคล

PDPA ส่งผลกระทบต่อการเก็บข้อมูลบนหน้าเว็บไซต์ และต้องมีการขอความยินยอมอนุญาตให้บันทึกคุกกี้ โดยต้องปรับปรุงให้ระบุถึงวัตถุประสงค์และนโยบายการใช้งานของคุกกี้อย่างชัดเจน

เจ้าของข้อมูลส่วนบุคคล (Personal Data Subject)

หมายถึง ตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคล แต่ไม่ใช่กรณีที่บุคคลที่ครอบครองข้อมูล หรือเป็นผู้สร้างหรือเก็บรวบรวมข้อมูลนั้นเอง โดยเจ้าของข้อมูลส่วนบุคคลจะหมายถึงบุคคลธรรมดาเท่านั้น และไม่รวมถึงนิติบุคคล

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer – DPO)

หมายถึง พนักงานหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล มีหน้าที่ให้คำแนะนำเกี่ยวกับการปฏฺิบัตตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลแก่บุคคลในองค์กร ตรวจสอบการดำเนินงานว่าสอดคล้องกับพระราชบัญญัติฯ หรือไม่ และประสานงานกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลในกรณีที่มีปัญหาเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

โดยองค์กร (ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล) ต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลในกรณีที่

• เป็นหน่วยงานของรัฐ
• มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลจำนวนมาก และจำเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือข้อมูลอย่างสม่ำเสมอ
• ดำเนินการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเป็นกิจกรรมหลัก

ตัวแทนของผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller’s Representative)

หมายถึง ผู้ที่ได้รับมอบหมายให้กระทำการแทนผู้ควบคุมข้อมูลส่วนบุคคล

ในกรณีที่ผู้ควบคุมข้อมูลอยู่นอกราชอาณาจักรไทยจะต้องแต่งตั้งตัวแทนอย่างเป็นหนังสือลายลักษณ์อักษร ซึ่งตัวแทนจะต้องอยู่ในราชอาณาจักรและได้รับมอบอำนาจให้กระทำการแทนผู้ควบคุมข้อมูลโดยไม่มีข้อจำกัดความรับผิดใด ๆ เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ของผู้ควบคุมข้อมูล

นิติบุคคล (Legal Entity)

หมายถึง บุคคลที่กฎหมายสมมติให้มีสภาพบุคคลเช่นเดียวกับบุคคลธรรมดา แต่มีความสามารถ สิทธิ และหน้าที่ตามที่ประมวลกฎหมายแพ่งและพาณิชย์หรือกฎหมายอื่น ๆ ได้ระบุไว้

นิติบุคคลแบ่งออกเป็น 2 ประเภท ได้แก่

1. นิติบุคคลตามกฎหมายเอกชน คือ นิติบุคคลที่บัญญัติไว้ในประมวลกฎหมายแพ่งและพาณิชย์ มีด้วยกัน 5 ประเภท ได้แก่ บริษัทจำกัด ห้างหุ้นส่วนจำกัด ห้างหุ้นส่วนสามัญจดทะเบียน สมาคม และมูลนิธิ
2. นิติบุคคลตามกฎหมายมหาชน คือ นิติบุคคลที่บัญญัติไว้ในกฎหมายมหาชนอื่น ๆ ซึ่งมีเป็นจำนวนมาก เช่น วัด จังหวัด กระทรวง ทบวง กรม องค์การมหาชน ฯลฯ”

บทบัญญัติ (Provision)

หมายถึง ข้อความที่กำหนดไว้เป็นลายลักษณ์อักษรในกฎหมาย

บุคคล (Person)

หมายถึง บุคคลธรรมดา หรือ คนหรือมนุษย์ปุถุชนซึ่งสามารถมีสิทธิและหน้าที่ตามกฎหมาย

ผู้ควบคุมข้อมูลส่วนบุคคล (Personal Data Controller)

หมายถึง บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

ผู้ใช้อำนาจปกครอง (Parent)

หมายถึง บิดามารดาของผู้เยาว์ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้เยาว์อายุไม่เกิน 10 ปี ต้องได้รับความยินยอมจากบิดามารดา ส่วนผู้เยาว์ที่มีอายุเกิน 10 ปี ต้องได้รับความยินยอมจากบิดามารดาร่วมด้วย หากไม่เข้าข่ายการกระทำใด ๆ ซึ่งผู้เยาว์สามารถให้ความยินยอมโดยลำพังได้

ผู้ประมวลผลข้อมูลส่วนบุคคล (Personal Data Processor)

หมายถึง บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล โดยบุคคลหรือนิติบุคคลดังกล่าวต้องไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล

ผู้พิทักษ์ (Custodian)

หมายถึง บุคคลซึ่งศาลมีคําสั่งแต่งตั้งให้เป็นผู้ปกครองดูแลคนเสมือนไร้ความความสามารถ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของคนเสมือนไร้ความสามารถที่อยู่ภายใต้ปกครองของผู้พิทักษ์ จะต้องได้รับความยินยอมจากผู้พิทักษ์ก่อน

ผู้เยาว์ (Minor)

หมายถึง บุคคลที่ยังไม่บรรลุนิติภาวะ โดยมีอายุไม่ครบ 20 ปีบริบูรณ์ หรือไม่ได้สมรสอย่างถูกต้องตามกฎหมาย ซึ่งในการเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ของผู้เยาว์นั้น

• ผู้เยาว์อายุไม่เกิน 10 ปี ต้องได้ความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์
• ผู้เยาว์อายุเกินกว่า 10 ปี ต้องได้รับความยินยอมจากผู้เยาว์และผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ร่วมกัน (ยกเว้นว่าเป็นการกระทำใด ๆ ซึ่งผู้เยาว์สามารถให้ความยินยอมโดยลำพังได้)

ผู้อนุบาล (Curator)

หมายถึง บุคคลซึ่งศาลมีคําสั่งแต่งตั้งให้เป็นผู้ปกครองดูแลคนไร้ความความสามารถ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของคนไร้ความสามารถที่อยู่ภายใต้ปกครองของผู้อนุบาล จะต้องได้รับความยินยอมจากผู้อนุบาลก่อน

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 (Personal Data Protection Act B.E. 2562 – PDPA)

กฎหมายคุ้มครองข้อมูลส่วนบุคคลแห่งราชอาณาจักรไทย (ฉบับแรกอย่างเป็นทางการ) ประกาศในราชกิจจานุเบกษาเมื่อวันที่ 27 พ.ค. 2562

พฤติการณ์ (Circumstance)

หมายถึง สถานการณ์หรือเหตุการณ์จากการกระทำของคน ที่เกิดขึ้นมาแล้วหรือกำลังจะเกิดขึ้น มักเจาะจงในแง่ของตัวผู้กระทำ เวลา และสถานที่

เลขที่อยู่ไอพี (IP Address)

ย่อมากจาก Internet Protocol Address คือ สิ่งที่ใช้ระบุตัวตนของเครื่องคอมพิวเตอร์และอุปกรณ์อิเล็กทรอนิกส์อื่น ๆ ที่เชื่อมต่อเข้าสู่เครื่องข่ายอินเทอร์เน็ต โดยมักปรากฏให้เห็นในรูปแบบของตัวเลข 4 ชุด เครื่องมืออิเล็กทรอนิกส์แต่ละชิ้นจะมีหมายเลข IP Address ที่ไม่ซ้ำกัน

IP Address โดยลำพังแล้วไม่จัดว่าเป็นข้อมูลส่วนบุคคล แต่เมื่ออยู่รวมกับข้อมูลอื่น ๆ เป็นชุดข้อมูลที่ทำให้สามารถระบุตัวตนของผู้ใช้งานเครื่องคอมพิวเตอร์หรือเครื่องมืออิเล็กทรอนิกส์บนเครือข่ายได้ จะนับว่าเป็นหนึ่งในข้อมูลส่วนบุคคล

สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (Office of the Personal Data Protection Commission – PDPC)

หมายถึง หน่วยงานของรัฐที่มีฐานะเป็นนิติบุคคล ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีวัตถุประสงค์เพื่อกำกับดูแลเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล รวมทั้งส่งเสริมให้เกิดการพัฒนาด้านการคุ้มครองข้อมูลส่วนบุคคลของประเทศ มีอำนาจหน้าที่ดังนี้

1. จัดทำร่างแผนแม่บทการดำเนินงานด้านการส่งเสริม แก้ไขปัญหา และการคุ้มครองข้อมูลส่วนบุคคลที่สอดคล้องกับนโยบาย ยุทธศาสตร์ชาติ และแผนระดับชาติที่เกี่ยวข้อง
2. ส่งเสริมและสนับสนุุนการวิจัยเพื่อพัฒนาเทคโนโลยีที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล
3. วิเคราะห์และรับรองมาตรฐาน มาตรการ หรือกลไลในการกำกับดูแลที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล
4. สำรวจ เก็บรวบรวมข้อมูล ติดตามความเคลื่อนไหวของสถานการณ์ด้านการคุ้มครองข้อมูลส่วนบุคคลของประเทศ
5. ประสานงานกับหน่วยงานราชการ รัฐวิสาหกิจ ราชการส่วนท้องถิ่น องค์การมหาชน หรือหน่วยงานอื่นของรัฐ เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล
6. ให้คำปรึกษาแก่หน่วยงานของรัฐและเอกชนเกี่ยวกับการการปฏิบัติตามพระราชบัญญตินี้
7. เป็นศุนย์กลางในการให้บริการทางวิชาการหรือให้บริการเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล แก่หน่วยงานต่าง ๆ และประชาชน
8. กำหนดหลักสูตรฝึกอบรมการปฏิบัติหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคล เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ลูกจ้าง ผู้รับจ้าง และประชาชนทั่วไป
9. ทำความตกลงและความร่วมมือกับองค์การหรือหน่วยงานทั้งในไทยและต่างประเทศ
10. ติดตามและประเมินผลการปฏิบัติงานตามพระราชบัญญัตินี้
11. ปฎิบัติการอื่น ๆ ตามที่หน่วยงานที่เกี่ยวข้องที่มีอำนาจหน้าที่ หรือกฎหมายกำหนด

สิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล (Right and Freedom of Data Subject)

หมายถึง “สิทธิ” ประโยชน์หรืออำนาจของบุคคลที่กฎหมายรับรองและคุ้มครองและ “เสรีภาพ” อิสระในการตัดสินใจที่จะเลือกดำเนินพฤติกรรมของตนเอง (ที่ไม่ขัดต่อกฎหมาย) โดยพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้มีการจำกัดสิทธิและเสรีภาพของบุคคล ซึ่งสอดคล้องกับรัฐธรรมนูญแห่งราชอาณาจักรไทย เพื่อให้การคุ้มครองข้อมูลส่วนบุคคลมีประสิทธิภาพ และมีมาตรการเยียวยาเจ้าของข้อมูลส่วนบุคคลจากการถูกละเมิดสิทธิในข้อมูลส่วนบุคคลที่มีประสิทธิภาพ