ปปป
1 เนื้อหา
  • คำศัพท์ที่ควรรู้เกี่ยวกับ PDPA

คำศัพท์ที่ควรรู้เกี่ยวกับ PDPA

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่ใกล้จะถูกบังคับใช้ในเร็ววันนี้ มีทั้งคำศัพท์และคำย่อหลายคำที่เราอ่านเสร็จแล้วอาจจะลืมหรือตอนจะใช้ก็ดันนึกไม่ออก ทางเราจึงได้รวบรวมคำศัพท์ไว้ในบทความนี้เพื่อช่วยคุณรื้อฟื้นและช่วยเตือนความจำ โดยเรียงตามลำดับตัวอักษร A ถึง Z ดังต่อไปนี้

pdpa glossary x

A Request for Consent

คือ การขอความยินยอม เป็นหน้าที่ของผู้ควบคุมข้อมูลที่ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ก่อนหรือในขณะการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

Anonymization

คือ การทำข้อมูลให้เป็นนิรนาม เป็นการทำให้ข้อมูลส่วนบุคคลไม่สามารถระบุตัวตนของบุคคลได้ ด้วยการนำข้อมูลส่วนบุคคลมาเข้ารหัส ลบ หรือทำลาย

Biometric Data

คือ ข้อมูลชีวภาพ เป็นข้อมูลส่วนบุคคลที่เกิดขึ้นจากการใช้เทคนิคหรือเทคโนโลยีที่เกี่ยวข้องกับการนำลักษณะเด่นทางกายภาพหรือทางพฤติกรรมของบุคคลมาใช้ ทำให้สามารถยืนยันตัวตนของบุคคลนั้นได้ (ที่ไม่เหมือนกับบุคคลอื่น) เช่น ข้อมูลภาพจำลองใบหน้า ข้อมูลจำลองม่านตา หรือข้อมูลจำลองลายนิ้วมือ

CCPA ย่อมาจาก California Consumer Privacy Privacy Act

คือ กฎหมายที่ส่งเสริมสิทธิความเป็นส่วนตัวและคุ้มครองผู้บริโภค สำหรับผู้อยู่อาศัยในรัฐแคลิฟอร์เนีย

Compensation

แปลว่า ค่าสินไหมทดแทน หมายถึง การชดใช้ความเสียหายที่เกิดขึ้นแก่บุคคลอันเนื่องมาจากละเมิดหรือผิดสัญญาในกรณีที่เกี่ยวข้องกับข้อมูลส่วนบุคคล รวมถึงค่าใช้จ่ายทั้งหมดที่เจ้าของข้อมูลส่วนบุคคลได้ใช้จ่ายไปตามความจำเป็นในการป้องกันความเสียหายที่กำลังจะเกิดขึ้น หรือระงับความเสียหายที่เกิดขึนแล้วด้วย

Consent

คือ การยินยอมให้ใช้ข้อมูลส่วนบุคคล หรือ ยินยอมให้ใช้ข้อมูลคุกกี้

Consent Withdrawal

คือ การถอนความยินยอม ซึ่งเป็นหนึ่งในสิทธิของเจ้าของข้อมูลส่วนบุคคลตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยเจ้าของข้อมูลส่วนบุคคลสามารถถอนความยินยอมเมื่อใดก็ได้และสามารถทำได้โดยง่าย เว้นแต่จะมีข้อจำกัดด้านกฎหมายหรือสัญญาที่เป็นประโยชน์แก่เจ้าของข้อมูลส่วนบุคคล โดยผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงผลกระทบจากการถอนความยินยอม (ถ้ามี)

Cookies

คือ คุกกี้ ซึ่งเป็นไฟล์ข้อมูลขนาดเล็กซึ่งจะถูกบันทึกลงบนเบราว์เซอร์ของผู้เข้าชมเว็บไซต์ ทำให้ทราบถึงข้อมูลบางประการ เช่น ข้อมูลแบบฟอร์มที่เคยกรอก ข้อมูลการเข้าใช้งานเว็บไซต์ ข้อมูลการตั้งค่าบนเว็บไซต์ เป็นต้น

Curator

แปลว่า ผู้อนุบาล หมายถึง บุคคลซึ่งศาลมีคําสั่งแต่งตั้งให้เป็นผู้ปกครองดูแลคนไร้ความความสามารถ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของคนไร้ความสามารถที่อยู่ภายใต้ปกครองของผู้อนุบาล จะต้องได้รับความยินยอมจากผู้อนุบาลก่อน

Custodian

แปลว่า ผู้พิทักษ์ หมายถึง บุคคลซึ่งศาลมีคําสั่งแต่งตั้งให้เป็นผู้ปกครองดูแลคนเสมือนไร้ความความสามารถ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของคนเสมือนไร้ความสามารถที่อยู่ภายใต้ปกครองของผู้พิทักษ์ จะต้องได้รับความยินยอมจากผู้พิทักษ์ก่อน

Data Controller

คือ ผู้ควบคุมข้อมูลส่วนบุคคล เป็นบุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคล

Data Controller’s Representative

คือ ตัวแทนของผู้ควบคุมข้อมูลส่วนบุคคล เป็นผู้ที่ได้รับมอบหมายให้กระทำการแทนผู้ควบคุมข้อมูลส่วนบุคคลซึ่งจะได้รับการแต่งตั้งจากผู้ควบคุมข้อมูลที่อยู่นอกราชอาณาจักรไทย โดยตัวแทนของผู้ควบคุมข้อมูลส่วนบุคคลจะต้องอยู่ในราชอาณาจักรและได้รับมอบอำนาจให้กระทำการแทนผู้ควบคุมข้อมูลโดยไม่มีข้อจำกัดความรับผิดใด ๆ เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ของผู้ควบคุมข้อมูล

Data Processing

คือ การประมวลผลข้อมูล เป็นการดำเนินการซึ่งกระทำต่อข้อมูลส่วนบุคคล ด้วยระบบอัตโนมัติหรือไม่ก็ได้ เช่น การเก็บรวบรวม การบันทึก การจัดระเบียบ การจัดโครงสร้าง การจัดเก็บ การปรับปรุง การใช้ การเปิดเผย การทำให้สามารถเข้าถึงได้ การยับยัง หรือการลบหรือทำลายข้อมูลส่วนบุคคล เป็นต้น

Data Processor

คือ ผู้ประมวลผลข้อมูลส่วนบุคคล เป็นเป็นบุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล

Data Subject Rights

คือ สิทธิของเจ้าของข้อมูลส่วนบุคคล ซึ่งเป็นการให้ความคุ้มครองตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่เจ้าของข้อมูลส่วนบุคคลสามารถขอใช้สิทธิกับผู้ควบคุมข้อมูลส่วนบุคคลเองได้หากเจ้าของข้อมูลมีความประสงค์

Direct Marketing

คือ การตลาดทางตรง ซึ่งเป็นการทำการตลาดในลักษณะของการเสนอขายสินค้าหรือบริการโดยตรงต่อลูกค้าแต่ละคน โดยมุ่งหวังให้ลูกค้ามีปฏิกิริยาตอบกลับเพื่อซื้อสินค้าหรือบริการจากผู้ประกอบธุรกิจ ซึ่งการตลาดประเภทนี้มักมีการเก็บรวบรวมฐานข้อมูลของลูกค้าเพื่อใช้สื่อสารไปยังลูกค้า

DPO ย่อมาจาก Data Protection Officer

คือ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ซึ่งก็คือ พนักงานหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลที่ได้รับมอบหมายให้ทำหน้าที่ให้คำแนะนำหรือตรวจสอบการคุ้มครองข้อมูลส่วนบุคคลของหน่วยงาน/องค์กร/บริษัทให้ปฎิบัติตามกฎหมาย PDPA

Encryption

คือ การเข้ารหัสข้อมูล ซึ่งเป็นรูปแบบการจัดการข้อมูลอย่างหนึ่ง ที่นำข้อมูลส่วนบุคคลมาเข้ารหัสที่คนทั่วไปไม่สามารถเข้าใจได้ ซึ่งมีเพียงผู้ที่ได้รับอนุญาตเท่านั้นที่จะสามารถถอดรหัสกลับคืนมาเป็นข้อมูลธรรมดาที่สามารถอ่านเข้าใจได้อีกครั้งหนึ่ง

Expert Committee

คือ คณะกรรมการผู้เชี่ยวชาญ ที่ได้รับการแต่งตั้งจากคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ตามความเชี่ยวชาญในแต่ละเรื่องตามสมควร

GDPR ย่อมาจาก General Data Protection Regulation

คือ กฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป

Genetic Data

คือ ข้อมูลพันธุกรรม เป็นข้อมูลส่วนบุคคลที่มีความละเอียดอ่อนที่ได้มาจากการทดสอบพันธุกรรมซึ่งเป็นการวิเคราะห์สารพันธุกรรมดีเอ็นเอา (DNA) อาร์เอ็นเอ (RNA) โครโมโซม (Chromosome) โปรตีน และสารบางอย่างในร่างกาย เพื่อที่จะตรวจหาลักษณะทางพันธุกรรมที่เกี่ยวข้องกับการเกิดโรคและลักษณะที่แสดงออก เพื่อที่จะนำข้อมูลดังกล่าวไปใช้ในการแพทย์และการทดลอง

Incompetent Person

แปลว่า คนไร้ความสามารถ หมายถึง บุคคลที่ศาลสั่งให้เป็นคนไร้ความสามารถ เนื่องจากเป็นบุคคลวิกลจริต ซึ่งในการเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ของคนไร้ความสามารถ ต้องได้รับความยินยอมจากผู้อนุบาล

IP Address ย่อมาจาก Internet Protocol Address

คือ เลขที่อยู่ไอพี เป็นสิ่งที่ใช้ระบุตัวตนของเครื่องคอมพิวเตอร์และอุปกรณ์อิเล็กทรอนิกส์อื่นๆ ที่เชื่อมต่อเข้าสู่เครื่องข่ายอินเทอร์เน็ต โดยมักปรากฏให้เห็นในรูปแบบของตัวเลข 4 ชุด เครื่องมืออิเล็กทรอนิกส์แต่ละชิ้นจะมีหมายเลข IP Address ที่ไม่ซ้ำกัน

PDPA ย่อมาจาก Personal Data Protection Act

คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562

PDPC ย่อมาจาก Office of the Personal Data Protection Commission

คือ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หรือ สคส. เป็นหน่วยงานของรัฐที่มีฐานะเป็นนิติบุคคล ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีวัตถุประสงค์เพื่อกำกับดูแลเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล รวมทั้งส่งเสริมให้เกิดการพัฒนาด้านการคุ้มครองข้อมูลส่วนบุคคลของประเทศ

Personal Data

แปลว่า ข้อมูลส่วนบุคคล หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ

Personal Data Breach

คือ การละเมิดข้อมูลส่วนบุคคล ซึ่งเป็นการกระทำการโดยจงใจหรือประมาทต่อบุคคลอื่นโดยผิดกฎหมาย ทำให้บุคคลอื่นเสียหายสืบเนื่องมาจากประเด็นเรื่องข้อมูลส่วนบุคคล โดยผู้ละเมิดจะต้องได้รับโทษตามกฎหมายและชดใช้ค่าสินไหมทดแทนความเสียหายนั้น

Personal Data Objection

คือ การคัดค้านการใช้ข้อมูลส่วนบุคคล ซึ่งเป็นหนึ่งในสิทธิของเจ้าของข้อมูลส่วนบุคคลตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่สามารถคัดค้านการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวข้องกับตนเองเมื่อใดก็ได้

Personal Data Protection Committee

คือ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ที่ได้รับการสรรหาและแต่งตั้งตามที่กำหนดในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

Personal Data Restriction

คือ การระงับการใช้ข้อมูลส่วนบุคคล ซึ่งเป็นหนึ่งในสิทธิของเจ้าของข้อมูลส่วนบุคคลตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยเจ้าของข้อมูลส่วนบุคคลสามารถขอให้ผู้ควบคุมข้อมูลส่วนบุคคลระงับการใช้ข้อมูลส่วนบุคคลได้

Personal Data Subject

หมายถึง เจ้าของข้อมูลส่วนบุคคล ที่เป็นบุคคลธรรมดา (ไม่ใช่นิติบุคคล)

Personalized Marketing

คือ การทำการตลาดส่วนบุคคล เป็นแนวคิดการทำการตลาดในยุคดิจิทัล ที่พยายามนำเสนอสินค้าหรือบริการให้ตรงตามความต้องการของลูกค้าให้มากที่สุด โดยสินค้าและบริการที่นำเสนอให้กับลูกค้าแต่ละคนไม่จำเป็นต้องเหมือนกันและมีความแตกต่างกันออกไปตามพฤติกรรมและความชอบของลูกค้า

Privacy Notices

คือ ประกาศนโยบายคุ้มครองข้อมูลส่วนบุคคล เป็นประกาศเพื่อให้เจ้าของข้อมูลส่วนบุคคลรับรู้ถึงวัตถุประสงค์การเก็บรวบรวมข้อมูลส่วนบุคคล วิธีการจัดเก็บ ประมวลผล รักษา และทำลายข้อมูลส่วนบุคคล ซึ่งในบางครั้งก็สามารถเรียกอีกชื่อนึงว่า “นโยบายความเป็นส่วนตัว” หรือ “นโยบายการประมวลผลข้อมูลส่วนบุคคล”

Privacy Policy

คือ นโยบายคุ้มครองข้อมูลส่วนบุคคล เป็นนโยบายที่เกี่ยวกับแนวทางการจัดเก็บ รวบรวม และใช้งานข้อมูลส่วนบุคคลคนภายในองค์กร/หน่วยงาน ซึ่งจะเกี่ยวข้องโดยตรงกับพนักงานที่ใช้ข้อมูลส่วนบุคคลไม่ว่าจะเก็บ หรือใช้ก็ตาม ดังนั้นพนักงานต้องเข้าใจ และทำตามนโยบายที่องค์กรกำหนดมาอย่างเคร่งครัด

Processing Agreement

คือ ข้อตกลงการประมวลผลข้อมูลส่วนบุคคล ซึ่งเป็นการทำหนังสือข้อตกลงระหว่างผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูล โดยจะต้องระบุวัตถุประสงค์ในการประมวลผลข้อมูลและข้อมูลที่ผู้ควบคุมส่งให้ผู้ประมวลผลข้อมูล เพื่อป้องกันไม่ให้ผู้ประมวลผลดำเนินการนอกเหนือวัตถุประสงค์ของผู้ควบคุมข้อมูล

Pseudonymization

คือ การแฝงข้อมูล เป็นรูปแบบการจัดการข้อมูลอย่างหนึ่ง โดยการทดแทนข้อมูลบางส่วนที่สามารถระบุตัวตนของบุคคลในชุดข้อมูลด้วยนามแฝงซึ่งประดิษฐ์ขึ้น ทั้งนี้ การใช้นามแฝงจะช่วยให้สามารถระบุตัวตนของบุคคลได้ยากขึ้นขณะการโอนเคลื่อนย้ายข้อมูลหรือเมื่อถูกจารกรรม แต่ยังเป็นรูปแบบข้อมูลที่สามารถนำมาแปลงกลับมาเพื่อระบุผู้ที่เกี่ยวข้องได้อยู่ เมื่อมีข้อมูลประกอบเพิ่มเติม

Quasi-incompetent Person

แปลว่า คนเสมือนไร้ความสามารถ หมายถึง บุคคลที่ศาลสั่งให้เป็นคนเสมือนไร้ความสามารถ เนื่องจากมีความพิการทางกาย มีจิตไม่สมประกอบ มีพฤติกรรมสุรุ่ยสุร่ายเสเพลเป็นปกตินิสัย ติดสุราของมึนเมา หรือมีเหตุอื่น ๆ ทำนองเดียวกัน จนไม่สามารถจัดทำการงานโดยตนเองได้ หรือจัดกิจการในทางที่อาจจะเสื่อมเสียแก่ทรัพย์สินของตนเองหรือครอบครัว ซึ่งในการเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ของคนเสมือนไร้ความสามารถ ต้องได้รับความยินยอมจากผู้พิทักษ์

Sensitive Personal Data

คือ ข้อมูลส่วนบุคคลที่อ่อนไหว เป็นข้อมูลส่วนบุคคลที่เป็นเรื่องส่วนตัวโดยแท้ของบุคคล แต่มีความละเอียดอ่อนและสุ่มเสี่ยงต่อการถูกใช้ในการเลือกปฏิบัติอย่างไม่เป็นธรรม จึงจำเป็นต้องดำเนินการด้วยความระมัดระวังเป็นพิเศษ