พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ Personal Data Protection Act (PDPA) กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลนำมาใช้เสริมกฎหมายอื่น ให้มีความสมบูรณ์มากยิ่งขึ้น ในกรณีที่มีกฎหมายว่าด้วยการใดบัญญัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลในลักษณะใด กิจการใด หรือหน่วยงานใดไว้โดยเฉพาะแล้ว ให้บังคับตามบทบัญญัติแห่งกฎหมายว่าด้วยการนั้น กฎหมายไม่ใช้บังคับแก่ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ทำการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อประโยชน์ส่วนตนหรือเพื่อกิจกรรมในครอบครัวของบุคคลนั้น กฎหมายใช้บังคับแก่การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งอยู่ในราชอาณาจักร ไม่ว่าการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้น ได้กระทำในหรือนอกราชอาณาจักรก็ตาม กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล มีหน้าที่ต้องปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลหลายประการ หากฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมาย อาจถูกร้องเรียน ต้องรับผิดทางแพ่งให้ชดใช้ค่าสินไหมทดแทน ต้องรับโทษทางอาญา หรือได้รับโทษทางปกครอง แล้วกรณีจึงมีความจำเป็นอย่างยิ่งที่ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล จะต้องจัดทำโครงสร้าง /คู่มือหรือแนวปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ประเมินความเสี่ยงด้านการคุ้มครองข้อมูลส่วนบุคคล และจัดทำมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ฯลฯ
โครงสร้างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act (PDPA))
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ใช้บังคับเมื่อวันที่ 28 พฤษภาคม 2562 และใช้บังคับอย่างสมบูรณ์ เมื่อวันที่ 1 มิถุนายน 2565
แบ่งออกเป็น 7 หมวด 96 มาตรา ดังนี้
บทบัญญัติทั่วไป (มาตรา 1 ถึงมาตรา 7)
หมวด 1: ว่าด้วยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (มาตรา 8 ถึงมาตรา 18)
หมวด 2: ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
ส่วนที่ 1 บททั่วไป (มาตรา 19 ถึง มาตรา 21)
ส่วนที่ 2 การเก็บรวบรวมข้อมูลส่วนบุคคล ( มาตรา 22 ถึงมาตรา 26)
ส่วนที่ 3 การใช้หรือเปิดเผยข้อมูลส่วนบุคคล (มาตรา 27 ถึงมาตรา 29 )
หมวด 3: ว่าด้วยสิทธิของเจ้าของข้อมูลส่วนบุคคล (มาตรา 30 ถึงมาตรา 42)
หมวด 4: ว่าด้วยสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (มาตรา 43 ถึงมาตรา70)
หมวด 5: ว่าด้วยการร้องเรียน (มาตรา 71 ถึงมาตรา 76)
หมวด 6: ว่าด้วยความรับผิดทางแพ่ง (มาตรา 77 ถึงมาตรา 78)
หมวด 7: ว่าด้วยบทกำหนดโทษ
ส่วนที่ 1 โทษทางอาญา (มาตรา 79 ถึงมาตรา 81)
ส่วนที่ 2 โทษทางปกครอง (มาตรา 82 ถึงมาตรา 90)
บทเฉพาะกาล (มาตรา 91ถึงมาตรา 96)
สรุปสาระสำคัญกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Act (PDPA))
บททั่วไป (General Provisions) ผู้ควบคุมข้อมูลส่วนบุคคลจะทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไม่ได้หากเจ้าของ ข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอม การขอความยินยอมต้องทำโดยชัดแจ้ง เป็นหนังสือ หรือทำโดยผ่านระบบอิเล็กทรอนิกส์ การขอความยินยอม ต้องแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้หรือเปิดเผยข้อส่วนบุคคลไปด้วย เจ้าของข้อมูลส่วนบุคคลจะถอนความยินยอมเมื่อใดก็ได้เว้นแต่มีข้อจำกัดสิทธิในการถอนความยินยอม การขอความยินยอมจากผู้เยาว์ต้องได้รับความยินยอมจากผู้ใช้อำนาจปกครอง ผู้เยาว์จะขอถอนความยินยอมต้องได้รับความยินยอมจากผู้ใช้อำนาจปกครอง การขอความยินยอมจากคนไร้ความสามารถต้องได้รับความยินยอมจากผู้อนุบาล คนไร้ความสามารถจะถอนความยินยอมต้องได้รับความยินยอมจากผู้อนุบาล การขอความยินยอมจากคนเสมือนไร้ความสามารถต้องได้รับความยินยอมจากผู้พิทักษ์ คนเสมือนไร้ความสามารถจะถอนความยินยอมจะต้องได้รับความยินยอมจากผู้พิทักษ์
การเก็บรวบรวมข้อมูลส่วนบุคคล (collection of Personal Data) ให้เก็บได้เท่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล การเก็บข้อมูลส่วนบุคคลจะต้องแจ้งวัตถุประสงค์และรายละเอียด การเก็บรวบรวมข้อมูลส่วนบุคคลต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่จะเข้าข้อยกเว้นตามกฎหมาย ห้ามเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่จากเจ้าของข้อมูลส่วนบุคคลโดยตรง เว้นแต่จะเข้าข้อยกเว้นตามกฎหมาย การเก็บรวบรวมข้อมูลส่วนบุคคลที่มีความอ่อนไหว เช่นเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ประวัติอาชญากรรม ฯลฯ ทำไม่ได้ เว้นแต่จะเข้าข้อยกเว้นตามกฎหมาย
การใช้หรือเปิดเผยข้อมูลส่วนบุคคล (Use or Disclosure of Personal Data) โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลไม่สามารถทำได้เว้นแต่เป็นข้อมูลส่วนบุคคลที่เก็บรวบรวมได้โดยได้รับยกเว้นไม่ต้องขอความยินยอม การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ ประเทศปลายทางหรือองค์การระหว่างประเทศต้องมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ เว้นแต่เข้าข้อยกเว้นตามกฎหมาย การส่งหรือโอนข้อมูลไปยังผู้ควบคุมข้อมูลส่วนบุคคลซึ่งอยู่ต่างประเทศและอยู่ในเครือเดียวกันหรือเครือธุรกิจเดียวกัน หากนโยบายคุ้มครองข้อมูลส่วนบุคคลได้รับการรับรองจากสำนักงาน สามารถกระทำได้โดยประเทศปลายทางไม่ต้องมีมาตรฐานการคุ้มครองที่เพียงพอก็ได้
สิทธิของเจ้าของข้อมูลส่วนบุคคล (Rights of the data subject) เจ้าของข้อมูลส่วนบุคคลมีสิทธิดังต่อไปนี้ (1) มีสิทธิขอเข้าถึงและรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตนซึ่งอยู่ในความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคลหรือขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลที่ตนไม่ได้ให้ความยินยอม (2) มีสิทธิขอรับข้อมูลส่วนบุคคลที่เกี่ยวกับตนจากผู้ควบคุมข้อมูลส่วนบุคคล และขอให้ส่งหรือโอนข้อมูลส่วนบุคคลได้ (3) มีสิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเกี่ยวกับตนเมื่อใดก็ได้ (4) มีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการลบหรือทำลายหรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ (5)มีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลระงับการใช้ข้อมูลส่วนบุคคลได้ (6) สิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการให้ข้อมูลส่วนบุคคลถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด (7) ขอถอนความยินยอมเสียเมื่อใดก็ได้ เว้นแต่มีข้อจำกัดสิทธิในการถอนความยินยอม และ(8) มีสิทธิร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญ
ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) มีหน้าที่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยน แก้ไข หรือเปิดเผยข้อมูลโดยปราศจากอำนาจหรือโดยมิชอบ ประกอบด้วยมาตรการเชิงองค์กรและมาตรการเชิงเทคนิคที่เหมาะสม ซึ่งอาจรวมถึงมาตรการทางกายภาพ ที่จำเป็นด้วย จัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนดระยะเวลาการเก็บรักษาหรือที่ไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนยุคคลนั้น
ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) มีหน้าที่ ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น ผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของตน เมื่อเข้าหลักเกณฑ์ตามที่กฎหมายกำหนด เช่นเป็นหน่วยงานของรัฐตามที่คณะกรรมการกำหนด เป็นต้น
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer :DPO) มีหน้าที่ให้คำแนะนำแก่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งลูกจ้าหรือผู้รับจ้างเกี่ยวกับการปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ตรวจสอบ การดำเนินงานของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเกี่ยวกับการเก็บรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อให้เป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล เป็นต้น
สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (Office of the Personal Data Protection Committee) มีวัตถุประสงค์เกี่ยวกับการ
คุ้มครองข้อมูลส่วนบุคคล รวมทั้งส่งเสริมและสนับสนุนให้เกิดการพัฒนาด้านการคุ้มครองข้อมูลส่วนบุคคลของประเทศ สำนักงานเป็นหน่วยงานของรัฐมีฐานะเป็นนิติบุคคล และไม่เป็นส่วนราชการตามกฎหมายว่าด้วยระเบียบบริหารราชการแผ่นดิน หรือ รัฐวิสาหกิจตามกฎหมายว่าด้วยวิธีการงบประมาณหรือกฎหมายอื่น
การร้องเรียน ( Complaints) เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล ฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลหรือประกาศที่ออกตามกฎหมายนี้ คณะกรรมการผู้เชี่ยวชาญมีอำนาจสั่งให้ผู้ฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายปฏิบัติหรือดำเนินการแก้ไขการกระทำของตนให้ถูกต้องภายในระยะเวลาที่กำหนด หรือสั่งห้ามผู้ฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายกระทำการที่ก่อให้เกิดความเสียหายแก่เจ้าของข้อมูลส่วนบุคคลหรือให้กระทำการใดเพื่อระงับความเสียหายนั้นภายในระยะเวลาที่กำหนด
ความรับผิดทางแพ่ง (Civil Liability) ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งดำเนินการใด ๆ เกี่ยวกับข้อมูล
ส่วนบุคคลอันเป็นการฝ่าฝืนหรือไม่ปฏิบัติตามบทบัญญัติแห่งกฎหมายนี้ ทำให้เกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคล ศาลมีอำนาจสั่งให้ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลจ่ายค่าสินไหมทดแทนเพื่อการลงโทษเพิ่มขึ้นจากจำนวนค่าสินไหมทดแทนที่แท้จริงที่ศาลกำหนดไว้ตามที่ศาลเห็นสมควร
โทษอาญา (Criminal Liability) การฝ่าฝืนกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล โดยประการที่น่าจะทำให้ผู้อื่นเกิดความเสียหาย
เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย การล่วงรู้ข้อมูลส่วนบุคคลของผู้อื่นเนื่องจากการปฏิบัติหน้าที่ แล้วนำไปเปิดเผย
ในกรณีที่ผู้กระทำความผิดเป็นนิติบุคคล ถ้าการกระทำความผิดของนิติบุคคลนั้นเกิดจากการสั่งการหรือการกระทำของกรรมการหรือ
ผู้จัดการ หรือบุคคลใดซึ่งรับผิดชอบในการดำเนินงานของนิติบุคคลนั้น หรือกระทำการและละเว้นไม่สั่งการหรือไม่กระทำการจนเป็นเหตุให้นิติบุคคลนั้นกระทำความผิด ผู้นั้นต้องรับโทษตามที่บัญญัติไว้สำหรับความผิดนั้น ๆ ด้วย กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนดโทษทางอาญาแก่ผู้ที่ฝ่าฝืนกฎหมายไว้ต่ำสุดจำคุกไม่เกินหกเดือนหรือปรับไม่เกินห้าแสนบาทหรือทั้งจำทั้งปรับและโทษสูงสุดจำคุกไม่เกินหนึ่งปี หรือปรับไม่เกินห้าล้านบาท หรือทั้งจำทั้งปรับ
โทษทางปกครอง (Administrative Liability) กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนดโทษทางปกครองแก่ผู้ที่ฝ่าฝืนหรือไม่
ปฏิบัติตามกฎหมาย ไว้ต่ำสุดห้าแสนบาทและสูงสุดไม่เกินห้าล้านบาท
บททั่วไป (General Provisions) ผู้ควบคุมข้อมูลส่วนบุคคลจะทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไม่ได้หากเจ้าของ ข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอม การขอความยินยอมต้องทำโดยชัดแจ้ง เป็นหนังสือ หรือทำโดยผ่านระบบอิเล็กทรอนิกส์ การขอความยินยอม ต้องแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้หรือเปิดเผยข้อส่วนบุคคลไปด้วย เจ้าของข้อมูลส่วนบุคคลจะถอนความยินยอมเมื่อใดก็ได้เว้นแต่มีข้อจำกัดสิทธิในการถอนความยินยอม การขอความยินยอมจากผู้เยาว์ต้องได้รับความยินยอมจากผู้ใช้อำนาจปกครอง ผู้เยาว์จะขอถอนความยินยอมต้องได้รับความยินยอมจากผู้ใช้อำนาจปกครอง การขอความยินยอมจากคนไร้ความสามารถต้องได้รับความยินยอมจากผู้อนุบาล คนไร้ความสามารถจะถอนความยินยอมต้องได้รับความยินยอมจากผู้อนุบาล การขอความยินยอมจากคนเสมือนไร้ความสามารถต้องได้รับความยินยอมจากผู้พิทักษ์ คนเสมือนไร้ความสามารถจะถอนความยินยอมจะต้องได้รับความยินยอมจากผู้พิทักษ์
การเก็บรวบรวมข้อมูลส่วนบุคคล (collection of Personal Data) ให้เก็บได้เท่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล การเก็บข้อมูลส่วนบุคคลจะต้องแจ้งวัตถุประสงค์และรายละเอียด การเก็บรวบรวมข้อมูลส่วนบุคคลต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่จะเข้าข้อยกเว้นตามกฎหมาย ห้ามเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่จากเจ้าของข้อมูลส่วนบุคคลโดยตรง เว้นแต่จะเข้าข้อยกเว้นตามกฎหมาย การเก็บรวบรวมข้อมูลส่วนบุคคลที่มีความอ่อนไหว เช่นเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ประวัติอาชญากรรม ฯลฯ ทำไม่ได้ เว้นแต่จะเข้าข้อยกเว้นตามกฎหมาย
การใช้หรือเปิดเผยข้อมูลส่วนบุคคล (Use or Disclosure of Personal Data) โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลไม่สามารถทำได้เว้นแต่เป็นข้อมูลส่วนบุคคลที่เก็บรวบรวมได้โดยได้รับยกเว้นไม่ต้องขอความยินยอม การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ ประเทศปลายทางหรือองค์การระหว่างประเทศต้องมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ เว้นแต่เข้าข้อยกเว้นตามกฎหมาย การส่งหรือโอนข้อมูลไปยังผู้ควบคุมข้อมูลส่วนบุคคลซึ่งอยู่ต่างประเทศและอยู่ในเครือเดียวกันหรือเครือธุรกิจเดียวกัน หากนโยบายคุ้มครองข้อมูลส่วนบุคคลได้รับการรับรองจากสำนักงาน สามารถกระทำได้โดยประเทศปลายทางไม่ต้องมีมาตรฐานการคุ้มครองที่เพียงพอก็ได้
สิทธิของเจ้าของข้อมูลส่วนบุคคล (Rights of the data subject) เจ้าของข้อมูลส่วนบุคคลมีสิทธิดังต่อไปนี้ (1) มีสิทธิขอเข้าถึงและรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตนซึ่งอยู่ในความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคลหรือขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลที่ตนไม่ได้ให้ความยินยอม (2) มีสิทธิขอรับข้อมูลส่วนบุคคลที่เกี่ยวกับตนจากผู้ควบคุมข้อมูลส่วนบุคคล และขอให้ส่งหรือโอนข้อมูลส่วนบุคคลได้ (3) มีสิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเกี่ยวกับตนเมื่อใดก็ได้ (4) มีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการลบหรือทำลายหรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ (5)มีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลระงับการใช้ข้อมูลส่วนบุคคลได้ (6) สิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการให้ข้อมูลส่วนบุคคลถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด (7) ขอถอนความยินยอมเสียเมื่อใดก็ได้ เว้นแต่มีข้อจำกัดสิทธิในการถอนความยินยอม และ(8) มีสิทธิร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญ
ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) มีหน้าที่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยน แก้ไข หรือเปิดเผยข้อมูลโดยปราศจากอำนาจหรือโดยมิชอบ ประกอบด้วยมาตรการเชิงองค์กรและมาตรการเชิงเทคนิคที่เหมาะสม ซึ่งอาจรวมถึงมาตรการทางกายภาพ ที่จำเป็นด้วย จัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนดระยะเวลาการเก็บรักษาหรือที่ไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนยุคคลนั้น
ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) มีหน้าที่ ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น ผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของตน เมื่อเข้าหลักเกณฑ์ตามที่กฎหมายกำหนด เช่นเป็นหน่วยงานของรัฐตามที่คณะกรรมการกำหนด เป็นต้น
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer :DPO) มีหน้าที่ให้คำแนะนำแก่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งลูกจ้าหรือผู้รับจ้างเกี่ยวกับการปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ตรวจสอบ การดำเนินงานของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเกี่ยวกับการเก็บรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อให้เป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล เป็นต้น
สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (Office of the Personal Data Protection Committee) มีวัตถุประสงค์เกี่ยวกับการ
คุ้มครองข้อมูลส่วนบุคคล รวมทั้งส่งเสริมและสนับสนุนให้เกิดการพัฒนาด้านการคุ้มครองข้อมูลส่วนบุคคลของประเทศ สำนักงานเป็นหน่วยงานของรัฐมีฐานะเป็นนิติบุคคล และไม่เป็นส่วนราชการตามกฎหมายว่าด้วยระเบียบบริหารราชการแผ่นดิน หรือ รัฐวิสาหกิจตามกฎหมายว่าด้วยวิธีการงบประมาณหรือกฎหมายอื่น
การร้องเรียน ( Complaints) เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล ฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลหรือประกาศที่ออกตามกฎหมายนี้ คณะกรรมการผู้เชี่ยวชาญมีอำนาจสั่งให้ผู้ฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายปฏิบัติหรือดำเนินการแก้ไขการกระทำของตนให้ถูกต้องภายในระยะเวลาที่กำหนด หรือสั่งห้ามผู้ฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายกระทำการที่ก่อให้เกิดความเสียหายแก่เจ้าของข้อมูลส่วนบุคคลหรือให้กระทำการใดเพื่อระงับความเสียหายนั้นภายในระยะเวลาที่กำหนด
ความรับผิดทางแพ่ง (Civil Liability) ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งดำเนินการใด ๆ เกี่ยวกับข้อมูล
ส่วนบุคคลอันเป็นการฝ่าฝืนหรือไม่ปฏิบัติตามบทบัญญัติแห่งกฎหมายนี้ ทำให้เกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคล ศาลมีอำนาจสั่งให้ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลจ่ายค่าสินไหมทดแทนเพื่อการลงโทษเพิ่มขึ้นจากจำนวนค่าสินไหมทดแทนที่แท้จริงที่ศาลกำหนดไว้ตามที่ศาลเห็นสมควร
โทษอาญา (Criminal Liability) การฝ่าฝืนกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล โดยประการที่น่าจะทำให้ผู้อื่นเกิดความเสียหาย
เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย การล่วงรู้ข้อมูลส่วนบุคคลของผู้อื่นเนื่องจากการปฏิบัติหน้าที่ แล้วนำไปเปิดเผย
ในกรณีที่ผู้กระทำความผิดเป็นนิติบุคคล ถ้าการกระทำความผิดของนิติบุคคลนั้นเกิดจากการสั่งการหรือการกระทำของกรรมการหรือ
ผู้จัดการ หรือบุคคลใดซึ่งรับผิดชอบในการดำเนินงานของนิติบุคคลนั้น หรือกระทำการและละเว้นไม่สั่งการหรือไม่กระทำการจนเป็นเหตุให้นิติบุคคลนั้นกระทำความผิด ผู้นั้นต้องรับโทษตามที่บัญญัติไว้สำหรับความผิดนั้น ๆ ด้วย กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนดโทษทางอาญาแก่ผู้ที่ฝ่าฝืนกฎหมายไว้ต่ำสุดจำคุกไม่เกินหกเดือนหรือปรับไม่เกินห้าแสนบาทหรือทั้งจำทั้งปรับและโทษสูงสุดจำคุกไม่เกินหนึ่งปี หรือปรับไม่เกินห้าล้านบาท หรือทั้งจำทั้งปรับ
โทษทางปกครอง (Administrative Liability) กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนดโทษทางปกครองแก่ผู้ที่ฝ่าฝืนหรือไม่
ปฏิบัติตามกฎหมาย ไว้ต่ำสุดห้าแสนบาทและสูงสุดไม่เกินห้าล้านบาท
Powered by
MakeWebEasy.com