พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562  หรือ Personal Data Protection Act (PDPA)  กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลนำมาใช้เสริมกฎหมายอื่น ให้มีความสมบูรณ์มากยิ่งขึ้น ในกรณีที่มีกฎหมายว่าด้วยการใดบัญญัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลในลักษณะใด กิจการใด หรือหน่วยงานใดไว้โดยเฉพาะแล้ว ให้บังคับตามบทบัญญัติแห่งกฎหมายว่าด้วยการนั้น กฎหมายไม่ใช้บังคับแก่ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ทำการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อประโยชน์ส่วนตนหรือเพื่อกิจกรรมในครอบครัวของบุคคลนั้น กฎหมายใช้บังคับแก่การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งอยู่ในราชอาณาจักร ไม่ว่าการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้น ได้กระทำในหรือนอกราชอาณาจักรก็ตาม   กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล มีหน้าที่ต้องปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลหลายประการ  หากฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมาย อาจถูกร้องเรียน  ต้องรับผิดทางแพ่งให้ชดใช้ค่าสินไหมทดแทน  ต้องรับโทษทางอาญา  หรือได้รับโทษทางปกครอง แล้วกรณีจึงมีความจำเป็นอย่างยิ่งที่ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล จะต้องจัดทำโครงสร้าง /คู่มือหรือแนวปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล  ประเมินความเสี่ยงด้านการคุ้มครองข้อมูลส่วนบุคคล  และจัดทำมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ฯลฯ 

โครงสร้างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act (PDPA)) 

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ใช้บังคับเมื่อวันที่ 28 พฤษภาคม 2562 และใช้บังคับอย่างสมบูรณ์ เมื่อวันที่ 1 มิถุนายน 2565

แบ่งออกเป็น 7 หมวด 96 มาตรา ดังนี้

บทบัญญัติทั่วไป  (มาตรา 1 ถึงมาตรา 7)

หมวด 1:   ว่าด้วยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (มาตรา 8 ถึงมาตรา 18)

หมวด 2:   ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
            ส่วนที่ 1 บททั่วไป (มาตรา 19 ถึง มาตรา 21)
            ส่วนที่ 2 การเก็บรวบรวมข้อมูลส่วนบุคคล ( มาตรา 22 ถึงมาตรา 26)
            ส่วนที่ 3 การใช้หรือเปิดเผยข้อมูลส่วนบุคคล (มาตรา 27 ถึงมาตรา 29 )

หมวด 3:  ว่าด้วยสิทธิของเจ้าของข้อมูลส่วนบุคคล (มาตรา 30 ถึงมาตรา 42)

หมวด 4:  ว่าด้วยสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (มาตรา 43 ถึงมาตรา70)

หมวด 5:  ว่าด้วยการร้องเรียน (มาตรา 71 ถึงมาตรา 76)

หมวด 6:  ว่าด้วยความรับผิดทางแพ่ง (มาตรา 77 ถึงมาตรา 78)         
                                                
หมวด 7:  ว่าด้วยบทกำหนดโทษ
           ส่วนที่ 1 โทษทางอาญา (มาตรา 79 ถึงมาตรา 81)
           ส่วนที่ 2 โทษทางปกครอง (มาตรา 82 ถึงมาตรา 90)

บทเฉพาะกาล (มาตรา 91ถึงมาตรา 96)

สรุปสาระสำคัญกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Act (PDPA))

บททั่วไป  (General Provisions)  ผู้ควบคุมข้อมูลส่วนบุคคลจะทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไม่ได้หากเจ้าของ ข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอม    การขอความยินยอมต้องทำโดยชัดแจ้ง  เป็นหนังสือ หรือทำโดยผ่านระบบอิเล็กทรอนิกส์  การขอความยินยอม ต้องแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้หรือเปิดเผยข้อส่วนบุคคลไปด้วย   เจ้าของข้อมูลส่วนบุคคลจะถอนความยินยอมเมื่อใดก็ได้เว้นแต่มีข้อจำกัดสิทธิในการถอนความยินยอม     การขอความยินยอมจากผู้เยาว์ต้องได้รับความยินยอมจากผู้ใช้อำนาจปกครอง ผู้เยาว์จะขอถอนความยินยอมต้องได้รับความยินยอมจากผู้ใช้อำนาจปกครอง การขอความยินยอมจากคนไร้ความสามารถต้องได้รับความยินยอมจากผู้อนุบาล คนไร้ความสามารถจะถอนความยินยอมต้องได้รับความยินยอมจากผู้อนุบาล การขอความยินยอมจากคนเสมือนไร้ความสามารถต้องได้รับความยินยอมจากผู้พิทักษ์  คนเสมือนไร้ความสามารถจะถอนความยินยอมจะต้องได้รับความยินยอมจากผู้พิทักษ์ 
 
การเก็บรวบรวมข้อมูลส่วนบุคคล  (collection of Personal Data)   ให้เก็บได้เท่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล  การเก็บข้อมูลส่วนบุคคลจะต้องแจ้งวัตถุประสงค์และรายละเอียด  การเก็บรวบรวมข้อมูลส่วนบุคคลต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่จะเข้าข้อยกเว้นตามกฎหมาย  ห้ามเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่จากเจ้าของข้อมูลส่วนบุคคลโดยตรง เว้นแต่จะเข้าข้อยกเว้นตามกฎหมาย  การเก็บรวบรวมข้อมูลส่วนบุคคลที่มีความอ่อนไหว เช่นเกี่ยวกับเชื้อชาติ  เผ่าพันธุ์ ความคิดเห็นทางการเมือง ประวัติอาชญากรรม  ฯลฯ ทำไม่ได้ เว้นแต่จะเข้าข้อยกเว้นตามกฎหมาย

การใช้หรือเปิดเผยข้อมูลส่วนบุคคล  (Use or Disclosure of Personal Data)  โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลไม่สามารถทำได้เว้นแต่เป็นข้อมูลส่วนบุคคลที่เก็บรวบรวมได้โดยได้รับยกเว้นไม่ต้องขอความยินยอม  การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ  ประเทศปลายทางหรือองค์การระหว่างประเทศต้องมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ เว้นแต่เข้าข้อยกเว้นตามกฎหมาย  การส่งหรือโอนข้อมูลไปยังผู้ควบคุมข้อมูลส่วนบุคคลซึ่งอยู่ต่างประเทศและอยู่ในเครือเดียวกันหรือเครือธุรกิจเดียวกัน หากนโยบายคุ้มครองข้อมูลส่วนบุคคลได้รับการรับรองจากสำนักงาน สามารถกระทำได้โดยประเทศปลายทางไม่ต้องมีมาตรฐานการคุ้มครองที่เพียงพอก็ได้

สิทธิของเจ้าของข้อมูลส่วนบุคคล (Rights of the data subject) เจ้าของข้อมูลส่วนบุคคลมีสิทธิดังต่อไปนี้ (1) มีสิทธิขอเข้าถึงและรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตนซึ่งอยู่ในความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคลหรือขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลที่ตนไม่ได้ให้ความยินยอม  (2) มีสิทธิขอรับข้อมูลส่วนบุคคลที่เกี่ยวกับตนจากผู้ควบคุมข้อมูลส่วนบุคคล และขอให้ส่งหรือโอนข้อมูลส่วนบุคคลได้ (3) มีสิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเกี่ยวกับตนเมื่อใดก็ได้  (4) มีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการลบหรือทำลายหรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้  (5)มีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลระงับการใช้ข้อมูลส่วนบุคคลได้ (6) สิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการให้ข้อมูลส่วนบุคคลถูกต้อง เป็นปัจจุบัน  สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด  (7) ขอถอนความยินยอมเสียเมื่อใดก็ได้ เว้นแต่มีข้อจำกัดสิทธิในการถอนความยินยอม  และ(8) มีสิทธิร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญ

ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) มีหน้าที่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม  เพื่อป้องกันการสูญหาย  เข้าถึง ใช้ เปลี่ยน แก้ไข หรือเปิดเผยข้อมูลโดยปราศจากอำนาจหรือโดยมิชอบ ประกอบด้วยมาตรการเชิงองค์กรและมาตรการเชิงเทคนิคที่เหมาะสม  ซึ่งอาจรวมถึงมาตรการทางกายภาพ ที่จำเป็นด้วย   จัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนดระยะเวลาการเก็บรักษาหรือที่ไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนยุคคลนั้น

ผู้ประมวลผลข้อมูลส่วนบุคคล  (Data Processor) มีหน้าที่ ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น ผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของตน เมื่อเข้าหลักเกณฑ์ตามที่กฎหมายกำหนด  เช่นเป็นหน่วยงานของรัฐตามที่คณะกรรมการกำหนด เป็นต้น

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer :DPO) มีหน้าที่ให้คำแนะนำแก่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งลูกจ้าหรือผู้รับจ้างเกี่ยวกับการปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล  ตรวจสอบ การดำเนินงานของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล  รวมทั้งลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเกี่ยวกับการเก็บรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อให้เป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล เป็นต้น

สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (Office of the Personal Data Protection Committee) มีวัตถุประสงค์เกี่ยวกับการ
คุ้มครองข้อมูลส่วนบุคคล รวมทั้งส่งเสริมและสนับสนุนให้เกิดการพัฒนาด้านการคุ้มครองข้อมูลส่วนบุคคลของประเทศ สำนักงานเป็นหน่วยงานของรัฐมีฐานะเป็นนิติบุคคล และไม่เป็นส่วนราชการตามกฎหมายว่าด้วยระเบียบบริหารราชการแผ่นดิน หรือ รัฐวิสาหกิจตามกฎหมายว่าด้วยวิธีการงบประมาณหรือกฎหมายอื่น

การร้องเรียน ( Complaints) เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล  รวมทั้งลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล  ฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลหรือประกาศที่ออกตามกฎหมายนี้ คณะกรรมการผู้เชี่ยวชาญมีอำนาจสั่งให้ผู้ฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายปฏิบัติหรือดำเนินการแก้ไขการกระทำของตนให้ถูกต้องภายในระยะเวลาที่กำหนด หรือสั่งห้ามผู้ฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายกระทำการที่ก่อให้เกิดความเสียหายแก่เจ้าของข้อมูลส่วนบุคคลหรือให้กระทำการใดเพื่อระงับความเสียหายนั้นภายในระยะเวลาที่กำหนด

ความรับผิดทางแพ่ง (Civil Liability) ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งดำเนินการใด ๆ  เกี่ยวกับข้อมูล
ส่วนบุคคลอันเป็นการฝ่าฝืนหรือไม่ปฏิบัติตามบทบัญญัติแห่งกฎหมายนี้ ทำให้เกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคล  ศาลมีอำนาจสั่งให้ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลจ่ายค่าสินไหมทดแทนเพื่อการลงโทษเพิ่มขึ้นจากจำนวนค่าสินไหมทดแทนที่แท้จริงที่ศาลกำหนดไว้ตามที่ศาลเห็นสมควร

โทษอาญา (Criminal Liability) การฝ่าฝืนกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล โดยประการที่น่าจะทำให้ผู้อื่นเกิดความเสียหาย 
เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย การล่วงรู้ข้อมูลส่วนบุคคลของผู้อื่นเนื่องจากการปฏิบัติหน้าที่ แล้วนำไปเปิดเผย
ในกรณีที่ผู้กระทำความผิดเป็นนิติบุคคล ถ้าการกระทำความผิดของนิติบุคคลนั้นเกิดจากการสั่งการหรือการกระทำของกรรมการหรือ
ผู้จัดการ หรือบุคคลใดซึ่งรับผิดชอบในการดำเนินงานของนิติบุคคลนั้น หรือกระทำการและละเว้นไม่สั่งการหรือไม่กระทำการจนเป็นเหตุให้นิติบุคคลนั้นกระทำความผิด ผู้นั้นต้องรับโทษตามที่บัญญัติไว้สำหรับความผิดนั้น ๆ ด้วย กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนดโทษทางอาญาแก่ผู้ที่ฝ่าฝืนกฎหมายไว้ต่ำสุดจำคุกไม่เกินหกเดือนหรือปรับไม่เกินห้าแสนบาทหรือทั้งจำทั้งปรับและโทษสูงสุดจำคุกไม่เกินหนึ่งปี หรือปรับไม่เกินห้าล้านบาท หรือทั้งจำทั้งปรับ

โทษทางปกครอง  (Administrative Liability)  กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนดโทษทางปกครองแก่ผู้ที่ฝ่าฝืนหรือไม่
ปฏิบัติตามกฎหมาย ไว้ต่ำสุดห้าแสนบาทและสูงสุดไม่เกินห้าล้านบาท
Powered by MakeWebEasy.com
เว็บไซต์นี้มีการใช้งานคุกกี้ เพื่อเพิ่มประสิทธิภาพและประสบการณ์ที่ดีในการใช้งานเว็บไซต์ของท่าน ท่านสามารถอ่านรายละเอียดเพิ่มเติมได้ที่ นโยบายความเป็นส่วนตัว  และ  นโยบายคุกกี้