Important Announcement
PubHTML5 Scheduled Server Maintenance on (GMT) Sunday, June 26th, 2:00 am - 8:00 am.
PubHTML5 site will be inoperative during the times indicated!
EN
Home Explore Law_Book_2019_e-Book_update

Law_Book_2019_e-Book_update

Published by Tanatporn Sukploy, 2020-08-26 01:11:30

Description: Law_Book_2019_e-Book_update

Search

Read the Text Version

เล่ม ๑๓๖ ตอนที่ ๖๙ ก หน้า ๓๙ ๒๗ พฤษภาคม ๒๕๖๒ ราชกิจจานุเบกษา การพิจารณาประกาศกาหนดภารกิจหรือบริการตามวรรคหนึ่ง ให้เป็นไปตามหลักเกณฑ์ท่ี คณะกรรมการกาหนด โดยประกาศในราชกจิ จานเุ บกษา ทั้งนี้ คณะกรรมการจะตอ้ งพิจารณาทบทวน การประกาศกาหนดภารกิจหรือบริการดังกลา่ วเป็นคราว ๆ ไปตามความเหมาะสม มาตรา ๕๐ ให้คณะกรรมการมีอานาจประกาศกาหนดลกั ษณะ หน้าท่ีและความรับผดิ ชอบของ ศูนย์ประสานการรักษาความม่ันคงปลอดภัยระบบคอมพิวเตอร์ สาหรับหน่วยงานโครงสร้างพ้ืนฐานสาคัญ ทางสารสนเทศตามมาตรา ๔๙ เพ่ือประสานงาน เฝ้าระวัง รับมือ และแก้ไขภัยคุกคามทางไซเบอร์ โดยจะกาหนดให้หน่วยงานของรัฐที่มีความพร้อมหรือหน่วยงานควบคุมหรือกากับดู แลหน่วยงาน โครงสร้างพ้ืนฐานสาคัญทางสารสนเทศนั้น ๆ ทาหน้าที่ดังกล่าวให้แก่หนว่ ยงานโครงสร้างพื้นฐานสาคัญ ทางสารสนเทศตามมาตรา ๔๙ ท้ังหมดหรอื บางสว่ นก็ได้ การพิจารณาประกาศกาหนดภารกจิ หรอื บริการของหนว่ ยงานตามวรรคหนงึ่ ให้เปน็ ไปตามหลกั เกณฑ์ ท่ีคณะกรรมการกาหนด โดยประกาศในราชกิจจานุเบกษา ทั้งน้ี คณะกรรมการจะต้องพิจารณาทบทวน การประกาศกาหนดภารกจิ หรือบริการดังกล่าวเปน็ คราว ๆ ไปตามความเหมาะสม มาตรา ๕๑ กรณีมีข้อสงสยั หรอื ข้อโต้แย้งเกี่ยวกบั ลกั ษณะหนว่ ยงานท่มี ีภารกิจหรือใหบ้ รกิ าร ในดา้ นที่มกี ารประกาศกาหนดตามมาตรา ๔๙ หรือมาตรา ๕๐ ใหค้ ณะกรรมการเป็นผวู้ ินิจฉัยชีข้ าด มาตรา ๕๒ เพื่อประโยชน์ในการติดต่อประสานงาน ให้หน่วยงานโครงสร้างพื้นฐานสาคัญ ทางสารสนเทศแจ้งรายช่ือและข้อมูลการติดต่อของเจ้าของกรรมสิทธิ์ ผู้ครอบครองคอมพิวเตอร์ และผู้ดูแลระบบคอมพิวเตอร์ไปยังสานักงาน หน่วยงานควบคุมหรือกากับดูแลของตน และหน่วยงาน ตามมาตรา ๕๐ ภายในสามสิบวันนับแตว่ ันที่คณะกรรมการประกาศตามมาตรา ๔๙ วรรคสอง และ มาตรา ๕๐ วรรคสอง หรือนับแต่วันท่ีคณะกรรมการมีคาวินิจฉัยตามมาตรา ๕๑ แล้วแต่กรณี โดยอย่างน้อยเจา้ ของกรรมสทิ ธิ์ ผ้คู รอบครองคอมพวิ เตอร์ และผ้ดู แู ลระบบคอมพิวเตอร์ต้องเป็นบคุ คล ซึง่ รับผิดชอบในการบรหิ ารงานของหนว่ ยงานโครงสร้างพื้นฐานสาคญั ทางสารสนเทศนน้ั ในกรณีทมี่ ีการเปล่ยี นแปลงเจ้าของกรรมสิทธิ์ ผคู้ รอบครองคอมพวิ เตอร์ และผู้ดูแลระบบคอมพิวเตอร์ ตามวรรคหนึ่ง ให้แจ้งการเปล่ียนแปลงไปยังหน่วยงานที่เก่ียวข้องตามวรรคหนึ่งก่อนการเปลี่ยนแปลง ล่วงหนา้ ไมน่ ้อยกว่าเจด็ วนั เวน้ แตม่ ีเหตจุ าเป็นอันไม่อาจก้าวลว่ งไดใ้ หแ้ จง้ โดยเรว็ มาตรา ๕๓ ในการดาเนินการรักษาความม่ันคงปลอดภัยไซเบอร์ของหน่วยงานโครงสร้าง พื้นฐานสาคัญทางสารสนเทศ ให้หน่วยงานควบคุมหรือกากับดูแลตรวจสอบมาตรฐานข้นั ต่าเรอื่ งความมั่นคง ปลอดภัยไซเบอรข์ องหนว่ ยงานโครงสรา้ งพื้นฐานสาคัญทางสารสนเทศท่ีอยู่ภายใตก้ ารกากบั ควบคมุ ดูแล ของตน หากพบวา่ หน่วยงานโครงสร้างพ้นื ฐานสาคญั ทางสารสนเทศใดไมไ่ ดม้ าตรฐาน ใหห้ นว่ ยงานควบคุม ส�ำ นักงานพฒั นาธรุ กรรมทางอิเลก็ ทรอนกิ ส์ 400

เล่ม ๑๓๖ ตอนท่ี ๖๙ ก หน้า ๔๐ ๒๗ พฤษภาคม ๒๕๖๒ ราชกจิ จานุเบกษา หรือกากับดูแลนั้นรีบแจ้งให้หน่วยงานโครงสร้างพื้นฐานสาคัญทางสารสนเทศที่ต่ากว่ามาตรฐานแก้ไข ให้ได้มาตรฐานโดยเร็ว หากหน่วยงานโครงสร้างพื้นฐานสาคัญทางสารสนเทศนั้นยังคงเพิกเฉยไม่ดาเนินการ หรือไม่ดาเนินการให้แล้วเสร็จภายในระยะเวลาที่หน่วยงานควบคมุ หรือกากับดแู ลกาหนด ให้หน่วยงาน ควบคมุ หรอื กากับดูแลสง่ เรือ่ งให้ กกม. พิจารณาโดยไมช่ ักชา้ เมื่อได้รับคาร้องเรียนตามวรรคหน่ึง หาก กกม. พิจารณาแล้วเห็นว่า มีเหตุดังกล่าวและ อาจทาให้เกดิ ภัยคุกคามทางไซเบอร์ ให้ กกม. ดาเนินการ ดงั ตอ่ ไปนี้ (๑) กรณีเป็นหน่วยงานของรัฐ ให้แจ้งต่อผู้บริหารระดับสูงสุดของหน่วยงานเพื่อใช้อานาจ ในทางบริหาร สั่งการไปยังหน่วยงานของรัฐหรือหน่วยงานโครงสร้างพ้ืนฐานสาคัญทางสารสนเทศน้ัน เพือ่ ให้ดาเนินการแกไ้ ขจนได้มาตรฐานโดยเรว็ (๒) กรณีเป็นหน่วยงานเอกชน ให้แจ้งไปยังผู้บรหิ ารระดับสูงสดุ ของหนว่ ยงาน ผู้ครอบครอง คอมพิวเตอร์ และผู้ดูแลระบบคอมพิวเตอร์ของหน่วยงานโครงสร้างพ้ืนฐานสาคัญทางสารสนเทศนั้น เพ่อื ใหด้ าเนนิ การแก้ไขจนได้มาตรฐานโดยเร็ว ใหเ้ ลขาธิการดาเนินการติดตามเพือ่ ใหเ้ ป็นไปตามความในวรรคสองด้วย มาตรา ๕๔ หน่วยงานโครงสร้างพ้ืนฐานสาคัญทางสารสนเทศ ต้องจัดให้มีการประเมิน ความเสย่ี งดา้ นการรักษาความมั่นคงปลอดภัยไซเบอรโ์ ดยมีผู้ตรวจประเมนิ รวมทั้งต้องจัดใหม้ ีการตรวจสอบ ด้านความมั่นคงปลอดภัยไซเบอร์โดยผู้ตรวจสอบดา้ นความมนั่ คงปลอดภยั สารสนเทศ ท้งั โดยผตู้ รวจสอบ ภายในหรือโดยผตู้ รวจสอบอสิ ระภายนอก อย่างนอ้ ยปีละหน่งึ ครั้ง ให้หน่วยงานโครงสร้างพ้ืนฐานสาคัญทางสารสนเทศจัดส่งผลสรุปรายงานการดาเนินการต่อ สานักงานภายในสามสิบวนั นับแตว่ นั ทดี่ าเนินการแลว้ เสร็จ มาตรา ๕๕ ในกรณีท่ี กกม. เห็นว่า การประเมินความเส่ียงด้านการรักษาความมั่นคง ปลอดภัยไซเบอร์ หรือการตรวจสอบด้านความมั่นคงปลอดภัยไซเบอร์ ตามมาตรา ๕๔ ไม่เป็นไป ตามมาตรฐานตามรายงานของหน่วยงานควบคุมหรือกากับดูแล ให้ กกม. มีคาสั่งให้หน่วยงาน โครงสรา้ งพื้นฐานสาคัญทางสารสนเทศนั้นดาเนินการประเมินความเส่ียงใหม่เพ่ือให้เปน็ ไปตามมาตรฐาน หรือดาเนนิ การตรวจสอบในด้านอ่ืน ๆ ทีม่ ผี ลตอ่ โครงสรา้ งพนื้ ฐานสาคญั ทางสารสนเทศได้ ในกรณีที่หน่วยงานโครงสร้างพื้นฐานสาคัญทางสารสนเทศนั้น ได้จัดให้มีการประเมิน ความเสย่ี งดา้ นการรกั ษาความมัน่ คงปลอดภยั ไซเบอรห์ รือการตรวจสอบด้านความม่ันคงปลอดภัยไซเบอร์ ตามวรรคหนงึ่ แลว้ แต่ กกม. เห็นว่ายงั ไมเ่ ปน็ ไปตามมาตรฐาน ให้ กกม. ดาเนินการ ดังตอ่ ไปนี้ สำ�นักงานพัฒนาธรุ กรรมทางอิเลก็ ทรอนกิ ส์ 401

เล่ม ๑๓๖ ตอนที่ ๖๙ ก หน้า ๔๑ ๒๗ พฤษภาคม ๒๕๖๒ ราชกิจจานเุ บกษา (๑) กรณีเป็นหน่วยงานของรัฐ ให้แจ้งต่อผู้บริหารระดับสูงสุดของหน่วยงานเพื่อใช้อานาจ ในทางบริหาร ส่ังการไปยังหน่วยงานของรัฐหรือหน่วยงานโครงสร้างพื้นฐานสาคัญทางสารสนเทศนั้น เพอ่ื ใหด้ าเนนิ การแก้ไขจนได้มาตรฐานโดยเร็ว (๒) กรณีเป็นหนว่ ยงานเอกชน ให้แจ้งไปยังผู้บริหารระดบั สูงสดุ ของหนว่ ยงาน ผู้ครอบครอง คอมพิวเตอร์ และผู้ดูแลระบบคอมพิวเตอร์ของหน่วยงานโครงสร้างพื้นฐานสาคัญทางสารสนเทศน้ัน เพื่อให้ดาเนินการแก้ไขจนได้มาตรฐานโดยเร็ว ใหเ้ ลขาธิการดาเนินการตดิ ตามเพ่ือใหเ้ ป็นไปตามความในวรรคสองด้วย มาตรา ๕๖ หน่วยงานโครงสร้างพ้ืนฐานสาคัญทางสารสนเทศ ต้องกาหนดให้มีกลไกหรือ ขั้นตอนเพ่ือการเฝ้าระวังภัยคุกคามทางไซเบอร์หรือเหตุการณ์ที่เก่ียวกับความม่ันคงปลอดภัยไซเบอร์ ที่เกย่ี วข้องกับโครงสรา้ งพ้นื ฐานสาคัญทางสารสนเทศของตน ตามมาตรฐานซง่ึ กาหนดโดยหนว่ ยงานควบคมุ หรือกากับดแู ล และตามประมวลแนวทางปฏิบัติ รวมถึงระบบมาตรการท่ีใชแ้ กป้ ัญหาเพ่ือรักษาความม่นั คง ปลอดภัยไซเบอร์ท่ีคณะกรรมการหรือ กกม. กาหนด และต้องเข้าร่วมการทดสอบสถานะความพร้อม ในการรบั มือกบั ภยั คกุ คามทางไซเบอร์ที่สานักงานจดั ข้นึ มาตรา ๕๗ เมื่อมีเหตุภัยคกุ คามทางไซเบอรเ์ กดิ ขน้ึ อย่างมนี ยั สาคัญต่อระบบของหน่วยงาน โครงสร้างพื้นฐานสาคัญทางสารสนเทศ ให้หน่วยงานโครงสร้างพื้นฐานสาคัญทางสารสนเทศ รายงาน ต่อสานกั งานและหน่วยงานควบคุมหรอื กากับดูแล และปฏิบัตกิ ารรบั มือกับภัยคุกคามทางไซเบอร์ตามท่ี กาหนดในสว่ นที่ ๔ ทงั้ น้ี กกม. อาจกาหนดหลักเกณฑ์และวิธกี ารการรายงานดว้ ยกไ็ ด้ ส่วนที่ ๔ การรบั มอื กบั ภยั คุกคามทางไซเบอร์ มาตรา ๕๘ ในกรณีท่ีเกิดหรือคาดว่าจะเกิดภัยคุกคามทางไซเบอร์ต่อระบบสารสนเทศ ซ่ึงอยู่ในความดูแลรับผิดชอบของหนว่ ยงานของรฐั หรอื หน่วยงานโครงสร้างพ้ืนฐานสาคัญทางสารสนเทศใด ให้หน่วยงานน้นั ดาเนินการตรวจสอบข้อมูลทเ่ี ก่ยี วขอ้ ง ข้อมูลคอมพิวเตอร์ และระบบคอมพิวเตอรข์ อง หน่วยงานนัน้ รวมถึงพฤติการณ์แวดลอ้ มของตน เพ่ือประเมนิ ว่ามีภัยคุกคามทางไซเบอร์เกิดขึ้นหรือไม่ หากผลการตรวจสอบปรากฏว่าเกิดหรือคาดว่าจะเกิดภัยคุกคามทางไซเบอร์ขึ้น ให้ดาเนินการป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ตามประมวลแนวทางปฏิบัติและกรอบมาตรฐาน ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ของหน่วยงานน้ัน และแจ้งไปยังสานักงานและหน่วยงาน ควบคุมหรอื กากบั ดูแลของตนโดยเรว็ สำ�นักงานพฒั นาธรุ กรรมทางอิเลก็ ทรอนิกส์ 402

เล่ม ๑๓๖ ตอนที่ ๖๙ ก หน้า ๔๒ ๒๗ พฤษภาคม ๒๕๖๒ ราชกจิ จานุเบกษา ในกรณที ี่หนว่ ยงานหรอื บุคคลใดพบอุปสรรคหรือปัญหาในการปอ้ งกนั รับมอื และลดความเส่ียง จากภัยคุกคามทางไซเบอรข์ องตน หนว่ ยงานหรือบุคคลนน้ั อาจร้องขอความช่วยเหลือไปยงั สานักงาน มาตรา ๕๙ เม่อื ปรากฏแก่หน่วยงานควบคมุ หรอื กากบั ดแู ล หรอื เม่ือหน่วยงานควบคุมหรอื กากับดูแลได้รับแจ้งเหตุตามมาตรา ๕๘ ให้หน่วยงานควบคุมหรือกากับดูแล ร่วมกับหน่วยงาน ตามมาตรา ๕๐ รวบรวมข้อมูล ตรวจสอบ วิเคราะห์สถานการณ์ และประเมินผลกระทบเก่ียวกับ ภยั คกุ คามทางไซเบอร์ และดาเนินการ ดังต่อไปนี้ (๑) สนับสนุนและให้ความช่วยเหลือแก่หน่วยงานของรัฐหรือหน่วยงานโครงสร้างพื้นฐานสาคัญ ทางสารสนเทศท่ีอยู่ในการควบคุมหรือกากับดูแลของตน และให้ความร่วมมือและประสานงานกับ สานักงาน ในการป้องกนั รบั มือ และลดความเสีย่ งจากภัยคกุ คามทางไซเบอร์ (๒) แจ้งเตือนหน่วยงานของรัฐและหน่วยงานโครงสร้างพื้นฐานสาคัญทางสารสนเทศท่ีอยู่ใน การควบคุมหรือกากับดูแลของตน รวมท้ังหนว่ ยงานควบคุมหรอื กากับดแู ลหน่วยงานของรฐั หรือหนว่ ยงาน โครงสรา้ งพน้ื ฐานสาคัญทางสารสนเทศอื่นทเี่ ก่ียวขอ้ งโดยเรว็ มาตรา ๖๐ การพิจารณาเพอ่ื ใช้อานาจในการปอ้ งกนั ภยั คุกคามทางไซเบอร์ คณะกรรมการ จะกาหนดลกั ษณะของภยั คุกคามทางไซเบอร์ โดยแบง่ ออกเป็นสามระดับ ดงั ต่อไปนี้ (๑) ภัยคุกคามทางไซเบอร์ในระดบั ไม่ร้ายแรง หมายถึง ภัยคุกคามทางไซเบอร์ท่ีมคี วามเสยี่ ง อย่างมีนัยสาคัญถึงระดับที่ทาให้ระบบคอมพิวเตอร์ของหน่วยงานโครงสร้างพื้นฐานสาคัญของประเทศ หรือการให้บริการของรฐั ด้อยประสทิ ธภิ าพลง (๒) ภัยคุกคามทางไซเบอร์ในระดับร้ายแรง หมายถึง ภัยคุกคามท่ีมีลักษณะการเพ่ิมข้ึน อย่างมีนัยสาคัญของการโจมตีระบบคอมพิวเตอร์ คอมพิวเตอร์ หรือข้อมูลคอมพิวเตอร์ โดยมุ่งหมาย เพ่ือโจมตีโครงสร้างพื้นฐานสาคัญของประเทศและการโจมตีดังกล่าวมีผลทาให้ระบบคอมพิวเตอร์หรือ โครงสร้างสาคัญทางสารสนเทศท่ีเกี่ยวข้องกับการให้บริการของโครงสร้างพ้ืนฐานสา คัญของประเทศ ความม่ันคงของรัฐ ความสัมพันธ์ระหว่างประเทศ การป้องกันประเทศ เศรษฐกิจ การสาธารณสุข ความปลอดภัยสาธารณะ หรือความสงบเรียบร้อยของประชาชนเสียหาย จนไม่สามารถทางานหรือ ใหบ้ รกิ ารได้ (๓) ภัยคุกคามทางไซเบอร์ในระดับวิกฤติ หมายถึง ภัยคุกคามทางไซเบอร์ในระดับวิกฤติ ทีม่ ลี ักษณะ ดังตอ่ ไปน้ี (ก) เป็นภัยคุกคามทางไซเบอร์ที่เกิดจากการโจมตีระบบคอมพิวเตอร์ คอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ในระดับท่ีสูงขึ้นกว่าภัยคุกคามทางไซเบอร์ในระดับร้ายแรง โดยส่งผลกระทบรุนแรง สำ�นกั งานพฒั นาธรุ กรรมทางอิเล็กทรอนิกส์ 403

เล่ม ๑๓๖ ตอนที่ ๖๙ ก หน้า ๔๓ ๒๗ พฤษภาคม ๒๕๖๒ ราชกจิ จานเุ บกษา ตอ่ โครงสรา้ งพ้ืนฐานสาคัญทางสารสนเทศของประเทศในลกั ษณะท่เี ป็นวงกว้าง จนทาใหก้ ารทางานของ หน่วยงานรัฐหรือการให้บริการของโครงสร้างพ้ืนฐานสาคัญของประเทศที่ให้กับประชาชนล้มเหลวท้ังระบบ จนรัฐไม่สามารถควบคุมการทางานส่วนกลางของระบบคอมพิวเตอร์ของรัฐได้ หรือการใช้มาตรการเยียวยา ตามปกติในการแก้ไขปัญหาภัยคุกคามไม่สามารถแก้ไขปัญหาได้และมีความเส่ียงที่จะลุกลามไปยัง โครงสร้างพื้นฐานสาคัญอ่ืน ๆ ของประเทศ ซ่ึงอาจมีผลทาให้บุคคลจานวนมากเสียชีวิตหรือระบบ คอมพวิ เตอร์ คอมพิวเตอร์ ขอ้ มูลคอมพิวเตอร์จานวนมากถูกทาลายเปน็ วงกว้างในระดบั ประเทศ (ข) เป็นภัยคุกคามทางไซเบอร์อันกระทบหรืออาจกระทบต่อความสงบเรียบร้อยของ ประชาชนหรอื เปน็ ภัยต่อความม่ันคงของรัฐหรอื อาจทาให้ประเทศหรือสว่ นใดส่วนหน่ึงของประเทศตกอยู่ ในภาวะคบั ขันหรอื มกี ารกระทาความผิดเกย่ี วกบั การกอ่ การรา้ ยตามประมวลกฎหมายอาญา การรบหรอื การสงคราม ซึ่งจาเป็นต้องมีมาตรการเร่งด่วนเพ่ือรักษาไว้ซึ่งการปกครองระบอบประชาธิปไตยอันมี พระมหากษัตริย์ทรงเป็นประมขุ ตามรัฐธรรมนูญแห่งราชอาณาจักรไทย เอกราชและบูรณภาพแห่งอาณาเขต ผลประโยชน์ของชาติ การปฏิบตั ิตามกฎหมาย ความปลอดภยั ของประชาชน การดารงชวี ิตโดยปกตสิ ขุ ของประชาชน การคุ้มครองสิทธิเสรีภาพ ความสงบเรียบร้อยหรือประโยชน์ส่วนรวม หรือการป้องปัด หรือแก้ไขเยยี วยาความเสียหายจากภยั พิบัติสาธารณะอันมมี าอยา่ งฉุกเฉนิ และร้ายแรง ทั้งนี้ รายละเอียดของลักษณะภัยคุกคามทางไซเบอร์ มาตรการป้องกัน รับมือ ประเมิน ปราบปราม และระงับภัยคกุ คามทางไซเบอร์แตล่ ะระดับ ให้คณะกรรมการเปน็ ผ้ปู ระกาศกาหนด มาตรา ๖๑ เม่ือปรากฏแก่ กกม. ว่าเกิดหรือคาดวา่ จะเกิดภัยคุกคามทางไซเบอร์ในระดับ รา้ ยแรงให้ กกม. ออกคาส่งั ให้สานักงานดาเนินการ ดงั ตอ่ ไปนี้ (๑) รวบรวมข้อมูล หรือพยานเอกสาร พยานบุคคล พยานวัตถุท่ีเกี่ยวข้องเพ่ือวิเคราะห์ สถานการณ์ และประเมินผลกระทบจากภยั คกุ คามทางไซเบอร์ (๒) สนับสนุน ให้ความช่วยเหลือ และเข้าร่วมในการป้องกัน รับมือ และลดความเส่ียงจาก ภัยคกุ คามทางไซเบอรท์ เ่ี กดิ ข้ึน (๓) ดาเนินการป้องกันเหตุการณ์ท่ีเกี่ยวกับความม่ันคงปลอดภัยไซเบอร์ท่ีเกิดจากภัยคุกคาม ทางไซเบอร์ เสนอแนะหรือสั่งการให้ใช้ระบบที่ใช้แก้ปัญหาเพ่ือรักษาความมั่นคงปลอดภัยไซเบอร์ รวมถึงการหาแนวทางตอบโตห้ รอื การแก้ไขปัญหาเกีย่ วกบั ความมัน่ คงปลอดภยั ไซเบอร์ (๔) สนับสนุน ให้สานักงาน และหน่วยงานที่เก่ียวข้องทั้งภาครัฐและเอกชน ให้ความช่วยเหลือ และเข้าร่วมในการป้องกนั รับมือ และลดความเสย่ี งจากภยั คกุ คามทางไซเบอร์ทเี่ กิดขึน้ สำ�นกั งานพฒั นาธรุ กรรมทางอิเล็กทรอนิกส์ 404

เล่ม ๑๓๖ ตอนท่ี ๖๙ ก หน้า ๔๔ ๒๗ พฤษภาคม ๒๕๖๒ ราชกจิ จานุเบกษา (๕) แจ้งเตือนภัยคุกคามทางไซเบอร์ใหท้ ราบโดยท่วั กัน ท้ังนี้ ตามความจาเป็นและเหมาะสม โดยคานงึ ถึงสถานการณ์ ความร้ายแรงและผลกระทบจากภยั คกุ คามทางไซเบอรน์ ้นั (๖) ให้ความสะดวกในการประสานงานระหว่างหน่วยงานของรัฐที่เกี่ยวข้องและหน่วยงานเอกชน เพอ่ื จัดการความเสยี่ งและเหตกุ ารณท์ ี่เกี่ยวกับความมั่นคงปลอดภยั ไซเบอร์ มาตรา ๖๒ ในการดาเนินการตามมาตรา ๖๑ เพื่อประโยชน์ในการวิเคราะห์สถานการณ์ และประเมินผลกระทบจากภัยคุกคามทางไซเบอร์ ให้เลขาธิการส่ังให้พนักงานเจ้าหน้าที่ดาเนินการ ดงั ตอ่ ไปนี้ (๑) มีหนังสือขอความร่วมมือจากบุคคลที่เก่ียวข้องเพ่ือมาให้ข้อมูลภายในระยะเวลาที่เหมาะสม และตามสถานทีท่ ีก่ าหนด หรอื ให้ขอ้ มลู เปน็ หนงั สอื เกีย่ วกับภยั คกุ คามทางไซเบอร์ (๒) มีหนังสือขอข้อมูล เอกสาร หรือสาเนาข้อมูลหรือเอกสารซึ่งอยู่ในความครอบครองของ ผู้อืน่ อนั เปน็ ประโยชน์แก่การดาเนินการ (๓) สอบถามบคุ คลผมู้ คี วามรู้ความเขา้ ใจเก่ียวกบั ขอ้ เท็จจรงิ และสถานการณ์ทมี่ คี วามเก่ียวพัน กบั ภยั คุกคามทางไซเบอร์ (๔) เข้าไปในอสังหาริมทรัพย์หรือสถานประกอบการท่ีเกี่ยวข้องหรือคาดวา่ มสี ่วนเก่ยี วข้องกบั ภัยคุกคามทางไซเบอร์ของบุคคลหรือหน่วยงานที่เก่ียวข้อง โดยได้รับความยินยอมจากผู้ครอบครอง สถานท่ีนนั้ ผ้ใู หข้ ้อมูลตามวรรคหนงึ่ ซึง่ กระทาโดยสจุ รติ ยอ่ มไดร้ บั การคมุ้ ครองและไมถ่ ือวา่ เป็นการละเมดิ หรือผิดสญั ญา มาตรา ๖๓ ในกรณีที่มีความจาเปน็ เพื่อการปอ้ งกัน รบั มอื และลดความเส่ยี งจากภัยคุกคาม ทางไซเบอร์ ให้ กกม. มีคาส่ังให้หน่วยงานของรัฐให้ขอ้ มูล สนับสนุนบุคลากรในสังกัด หรือใช้เคร่ืองมือ ทางอเิ ลก็ ทรอนิกส์ท่อี ยู่ในความครอบครองทเ่ี กย่ี วกบั การรักษาความมน่ั คงปลอดภยั ไซเบอร์ กกม. ตอ้ งดูแลมใิ หม้ ีการใช้ข้อมลู ทไ่ี ดม้ าตามวรรคหน่ึงในลักษณะทีอ่ าจกอ่ ใหเ้ กิดความเสยี หาย และให้ กกม. รบั ผิดชอบในค่าตอบแทนบคุ ลากร ค่าใชจ้ ่ายหรอื ความเสยี หายที่เกดิ ข้นึ จากการใช้เคร่ืองมือ ทางอเิ ล็กทรอนิกสด์ งั กล่าว ให้นาความในวรรคหน่งึ และวรรคสองมาใช้บังคับในการร้องขอตอ่ เอกชนโดยความยินยอมของ เอกชนนน้ั ด้วย มาตรา ๖๔ ในกรณีท่ีเกิดหรือคาดว่าจะเกิดภัยคุกคามทางไซเบอร์ซึ่งอยู่ในระดับร้ายแรง ให้ กกม. ดาเนินการป้องกัน รับมือ และลดความเสย่ี งจากภัยคุกคามทางไซเบอร์และดาเนนิ มาตรการ ท่จี าเป็น สำ�นกั งานพฒั นาธรุ กรรมทางอิเล็กทรอนิกส์ 405

เล่ม ๑๓๖ ตอนท่ี ๖๙ ก หน้า ๔๕ ๒๗ พฤษภาคม ๒๕๖๒ ราชกจิ จานุเบกษา ในการดาเนนิ การตามวรรคหนง่ึ ให้ กกม. มีหนังสือถึงหนว่ ยงานของรัฐท่ีเกี่ยวขอ้ งกบั การรกั ษา ความม่ันคงปลอดภัยไซเบอร์ให้กระทาการหรือระงับการดาเนินการใด ๆ เพ่ือป้องกัน รับ มือ และ ลดความเส่ียงจากภัยคุกคามทางไซเบอร์ได้อย่างเหมาะสมและมปี ระสิทธิภาพตามแนวทางที่ กกม. กาหนด รวมท้ังร่วมกันบูรณาการในการดาเนินการเพื่อควบคุม ระงับ หรือบรรเทาผลท่ีเกิดจากภัยคุกคามทาง ไซเบอรน์ ้ันไดอ้ ย่างทันทว่ งที ให้เลขาธิการรายงานการดาเนินการตามมาตราน้ตี อ่ กกม. อย่างตอ่ เนอื่ ง และเมอ่ื ภัยคุกคาม ทางไซเบอร์ดังกล่าวสิ้นสุดลง ใหร้ ายงานผลการดาเนนิ การต่อ กกม. โดยเร็ว มาตรา ๖๕ ในการรับมือและบรรเทาความเสียหายจากภัยคุกคามทางไซเบอร์ในระดับ ร้ายแรง กกม. มีอานาจออกคาส่ังเฉพาะเท่าท่ีจาเป็นเพ่ือป้องกันภัยคุกคามทางไซเบอร์ให้บุคคลผู้เป็น เจ้าของกรรมสิทธิ์ ผคู้ รอบครอง ผใู้ ชค้ อมพิวเตอรห์ รอื ระบบคอมพวิ เตอร์ หรอื ผ้ดู ูแลระบบคอมพิวเตอร์ ซึ่งมีเหตุอันเช่ือได้ว่าเป็นผู้เก่ียวข้องกับภัยคุกคามทางไซเบอร์ หรือได้รับผลกระทบจากภัยคุกคามทาง ไซเบอร์ดาเนินการ ดังต่อไปนี้ (๑) เฝ้าระวงั คอมพวิ เตอร์หรอื ระบบคอมพิวเตอร์ในช่วงระยะเวลาใดระยะเวลาหนง่ึ (๒) ตรวจสอบคอมพิวเตอร์หรือระบบคอมพิวเตอร์เพื่อหาข้อบกพร่องที่กระทบต่อการรักษา ความมน่ั คงปลอดภัยไซเบอร์ วิเคราะหส์ ถานการณ์ และประเมนิ ผลกระทบจากภยั คกุ คามทางไซเบอร์ (๓) ดาเนินมาตรการแก้ไขภัยคุกคามทางไซเบอร์เพื่อจัดการข้อบกพร่องหรือกาจัดชุดคาสั่ง ไมพ่ ึงประสงค์ หรือระงับบรรเทาภยั คุกคามทางไซเบอรท์ ดี่ าเนินการอยู่ (๔) รักษาสถานะของข้อมลู คอมพิวเตอร์หรือระบบคอมพิวเตอร์ดว้ ยวิธกี ารใด ๆ เพ่ือดาเนินการ ทางนติ ิวิทยาศาสตรท์ างคอมพิวเตอร์ (๕) เข้าถึงข้อมูลคอมพิวเตอร์หรือระบบคอมพิวเตอร์ หรือข้อมูลอ่ืนท่ีเกี่ยวข้องกับระบบ คอมพิวเตอร์ทเี่ กีย่ วขอ้ งเฉพาะเทา่ ทจี่ าเป็น เพ่อื ป้องกนั ภยั คุกคามทางไซเบอร์ ในกรณีมีเหตุจาเป็นที่ต้องเข้าถึงข้อมูลตาม (๕) ให้ กกม. มอบหมายให้เลขาธิการยื่นคาร้องต่อ ศาลท่ีมีเขตอานาจเพ่ือมีคาส่ังให้เจ้าของกรรมสิทธ์ิ ผู้ครอบครอง ผู้ใช้คอมพิวเตอร์หรือระบบคอมพิวเตอร์ หรอื ผู้ดูแลระบบคอมพวิ เตอร์ตามวรรคหนึง่ ดาเนนิ การตามคารอ้ ง ทัง้ น้ี คาร้องทย่ี ่ืนต่อศาลตอ้ งระบเุ หตุ อันควรเชื่อได้ว่าบุคคลใดบุคคลหนึ่งกาลังกระทาหรือจะกระทาการอย่างใดอย่างหน่ึงท่ีก่อให้เกิดภัยคุกคาม ทางไซเบอรใ์ นระดบั รา้ ยแรง ในการพจิ ารณาคารอ้ งให้ยน่ื เปน็ คารอ้ งไต่สวนคาร้องฉุกเฉินและใหศ้ าลพิจารณา ไตส่ วนโดยเร็ว สำ�นกั งานพฒั นาธรุ กรรมทางอิเล็กทรอนกิ ส์ 406

เล่ม ๑๓๖ ตอนท่ี ๖๙ ก หน้า ๔๖ ๒๗ พฤษภาคม ๒๕๖๒ ราชกิจจานเุ บกษา มาตรา ๖๖ ในการป้องกัน รับมือ และลดความเส่ียงจากภัยคุกคามทางไซเบอร์ในระดับ รา้ ยแรง กกม. มีอานาจปฏบิ ตั ิการหรอื ส่ังให้พนกั งานเจ้าหน้าท่ีปฏิบัตกิ ารเฉพาะเทา่ ทีจ่ าเป็นเพ่อื ป้องกนั ภัยคกุ คามทางไซเบอรใ์ นเร่อื ง ดงั ตอ่ ไปน้ี (๑) เข้าตรวจสอบสถานท่ี โดยมีหนังสือแจ้งถึงเหตุอันสมควรไปยังเจ้าของหรือผู้ครอบครอง สถานท่ีเพื่อเข้าตรวจสอบสถานท่ีน้ัน หากมีเหตุอันควรเชื่อได้ว่ามีคอมพิวเตอร์หรือระบบคอมพิวเตอร์ ทีเ่ กย่ี วข้องกับภยั คกุ คามทางไซเบอร์ หรือไดร้ ับผลกระทบจากภัยคุกคามทางไซเบอร์ (๒) เข้าถึงขอ้ มลู คอมพวิ เตอร์ ระบบคอมพวิ เตอร์ หรอื ขอ้ มูลอนื่ ท่เี ก่ยี วข้องกบั ระบบคอมพวิ เตอร์ ทาสาเนา หรือสกัดคัดกรองข้อมลู สารสนเทศหรือโปรแกรมคอมพิวเตอร์ ซ่ึงมีเหตุอันควรเช่ือไดว้ า่ เกยี่ วข้อง หรอื ได้รับผลกระทบจากภยั คุกคามทางไซเบอร์ (๓) ทดสอบการทางานของคอมพิวเตอร์หรอื ระบบคอมพิวเตอรท์ ่ีมเี หตอุ ันควรเชื่อไดว้ ่าเก่ยี วข้อง หรือได้รบั ผลกระทบจากภัยคกุ คามทางไซเบอร์ หรือถูกใช้เพ่ือคน้ หาขอ้ มูลใด ๆ ทอ่ี ยูภ่ ายในหรือใช้ประโยชน์ จากคอมพิวเตอรห์ รือระบบคอมพวิ เตอรน์ ัน้ (๔) ยึดหรืออายัดคอมพิวเตอร์ ระบบคอมพิวเตอร์ หรืออุปกรณ์ใด ๆ เฉพาะเท่าท่ีจาเป็น ซ่งึ มีเหตอุ นั ควรเชอื่ ไดว้ ่าเกี่ยวข้องกับภัยคุกคามทางไซเบอร์ เพ่ือการตรวจสอบหรือวิเคราะห์ ท้ังน้ี ไมเ่ กิน สามสิบวัน เมื่อครบกาหนดเวลาดังกล่าวให้ส่งคืนคอมพิวเตอร์หรืออุปกรณ์ใด ๆ แก่เจ้าของกรรมสิทธ์ิ หรอื ผ้คู รอบครองโดยทันทีหลังจากเสรจ็ สิน้ การตรวจสอบหรือวิเคราะห์ ในการดาเนินการตาม (๒) (๓) และ (๔) ให้ กกม. ยื่นคาร้องต่อศาลท่ีมีเขตอานาจเพื่อมี คาส่ังให้พนักงานเจ้าหน้าที่ดาเนินการตามคาร้อง ท้ังน้ี คาร้องต้องระบุเหตุอันควรเช่ือได้ว่าบุคคลใด บุคคลหน่ึงกาลังกระทาหรือจะกระทาการอย่างใดอย่างหนึ่งที่ก่อให้เกิดภัยคุกคามทางไซเบอร์ในระดับ ร้ายแรง ในการพิจารณาคารอ้ งให้ยืน่ เปน็ คาร้องไตส่ วนคาร้องฉกุ เฉนิ และใหศ้ าลพิจารณาไตส่ วนโดยเร็ว มาตรา ๖๗ ในกรณีที่เกิดภัยคุกคามทางไซเบอร์ในระดับวิกฤติ ให้เป็นหน้าท่ีและอานาจ ของสภาความม่ันคงแห่งชาติ ในการดาเนินการรักษาความม่ันคงปลอดภัยไซเบอร์ตามกฎหมายว่าด้วย สภาความมัน่ คงแหง่ ชาติและกฎหมายอื่นทีเ่ กีย่ วข้อง มาตรา ๖๘ ในกรณีท่เี ป็นเหตจุ าเปน็ เรง่ ดว่ น และเป็นภยั คกุ คามทางไซเบอร์ในระดับวิกฤติ คณะกรรมการอาจมอบหมายให้เลขาธิการมีอานาจดาเนินการได้ทันทีเท่าที่จาเป็นเพ่ือป้องกันและเยียวยา ความเสียหายก่อนล่วงหน้าได้โดยไม่ต้องย่ืนคาร้องต่อศาล แต่หลังจากการดาเนินการดังกล่าว ให้แจ้ง รายละเอียดการดาเนินการดงั กล่าวต่อศาลที่มเี ขตอานาจทราบโดยเรว็ สำ�นักงานพฒั นาธรุ กรรมทางอิเล็กทรอนิกส์ 407

เล่ม ๑๓๖ ตอนท่ี ๖๙ ก หน้า ๔๗ ๒๗ พฤษภาคม ๒๕๖๒ ราชกิจจานุเบกษา ในกรณรี า้ ยแรงหรอื วกิ ฤตเิ พอื่ ประโยชน์ในการป้องกัน ประเมินผล รับมอื ปราบปราม ระงับ และลดความเส่ียงจากภัยคุกคามทางไซเบอร์ ให้เลขาธิการโดยความเห็นชอบของคณะกรรมการหรือ กกม. มีอานาจขอข้อมูลท่ีเปน็ ปัจจุบันและต่อเน่ืองจากผู้ทเ่ี ก่ียวข้องกับภัยคุกคามทางไซเบอร์ โดยผู้นั้น ตอ้ งใหค้ วามร่วมมอื และใหค้ วามสะดวกแกค่ ณะกรรมการหรอื กกม. โดยเร็ว มาตรา ๖๙ ผทู้ ไี่ ด้รับคาส่งั อันเกี่ยวกับการรับมอื กับภัยคกุ คามทางไซเบอร์อาจอทุ ธรณ์คาส่ัง ไดเ้ ฉพาะท่เี ป็นภัยคุกคามทางไซเบอรใ์ นระดบั ไม่รา้ ยแรงเท่านนั้ หมวด ๔ บทกาหนดโทษ มาตรา ๗๐ ห้ามมิให้พนักงานเจ้าหน้าท่ีตามพระราชบัญญัติน้ีเปิดเผยหรือส่งมอบข้อมูล คอมพิวเตอร์ ข้อมูลจราจรทางคอมพิวเตอร์ ข้อมูลอ่ืนที่เกี่ยวข้องกับระบบคอมพิวเตอร์ หรือข้อมูล ของผูใ้ ชบ้ ริการ ทไ่ี ดม้ าตามพระราชบัญญัตนิ ีใ้ หแ้ ก่บุคคลใด ผ้ใู ดฝา่ ฝืนต้องระวางโทษจาคุกไม่เกนิ สามปี หรือปรับไมเ่ กนิ หกหม่ืนบาท หรือทัง้ จาทงั้ ปรบั ความในวรรคหน่ึงมิให้ใช้บังคับกับการกระทาเพื่อประโยชน์ในการดาเนินคดีกับผู้กระทาความผิด ตามพระราชบัญญัตินี้หรือผู้กระทาความผิดตามกฎหมายอ่ืนหรือเพื่อประโยชน์ในการดาเนินคดีกับพนักงาน เจา้ หน้าทเ่ี กีย่ วกับการใช้อานาจหน้าทีโ่ ดยมิชอบ มาตรา ๗๑ พนักงานเจ้าหน้าท่ีตามพระราชบัญญัติน้ีผู้ใดกระทาโดยประมาทเป็นเหตุให้ผู้อ่นื ล่วงรู้ข้อมูลคอมพิวเตอร์ ข้อมูลจราจรทางคอมพิวเตอร์ ข้อมูลของผู้ใช้บริการหรือข้อมูลอืน่ ท่ีเกี่ยวข้องกับ ระบบคอมพิวเตอร์ ที่ได้มาตามพระราชบัญญัติน้ี ต้องระวางโทษจาคุกไม่เกินหนึ่งปี หรือปรับไม่เกิน สองหมนื่ บาท หรือทง้ั จาทงั้ ปรบั มาตรา ๗๒ ผู้ใดล่วงรขู้ อ้ มูลคอมพิวเตอร์ ข้อมลู จราจรทางคอมพิวเตอร์ ขอ้ มูลของผูใ้ ชบ้ ริการ หรือข้อมูลอ่ืนที่เก่ียวข้องกับระบบคอมพิวเตอร์ ที่พนักงานเจ้าหน้าที่ได้มาตามพระราชบัญญัตินี้ และ เปิดเผยข้อมูลนั้นต่อผู้หนึ่งผู้ใดโดยมิชอบ ต้องระวางโทษจาคุกไม่เกินสองปี หรือปรับไม่เกินส่ีหมืน่ บาท หรอื ทั้งจาทั้งปรับ มาตรา ๗๓ หน่วยงานโครงสร้างพ้ืนฐานสาคัญทางสารสนเทศใดไม่รายงานเหตุภัยคุกคาม ทางไซเบอรต์ ามมาตรา ๕๗ โดยไมม่ เี หตุอันสมควร ต้องระวางโทษปรับไม่เกินสองแสนบาท สำ�นักงานพัฒนาธรุ กรรมทางอิเลก็ ทรอนิกส์ 408

เล่ม ๑๓๖ ตอนท่ี ๖๙ ก หน้า ๔๘ ๒๗ พฤษภาคม ๒๕๖๒ ราชกจิ จานเุ บกษา มาตรา ๗๔ ผู้ใดไม่ปฏิบัติตามหนังสือเรียกของพนักงานเจ้าหน้าที่หรือไม่ส่งข้อมูลให้แก่ พนักงานเจ้าหน้าที่ตามมาตรา ๖๒ (๑) หรือ (๒) โดยไม่มีเหตอุ ันสมควรแล้วแต่กรณี ต้องระวางโทษ ปรบั ไมเ่ กนิ หนงึ่ แสนบาท มาตรา ๗๕ ผู้ใดฝ่าฝืนหรอื ไมป่ ฏิบัติตามคาส่ังของ กกม. ตามมาตรา ๖๕ (๑) และ (๒) โดยไม่มีเหตุอนั สมควร ต้องระวางโทษปรับไม่เกินสามแสนบาท และปรับอีกไมเ่ กินวันละหน่ึงหม่นื บาท นับแต่วันท่ีครบกาหนดระยะเวลาท่ี กกม. ออกคาสัง่ ใหป้ ฏบิ ัตจิ นกว่าจะปฏิบัติใหถ้ กู ตอ้ ง ผู้ใดฝ่าฝืนหรือไม่ปฏิบัติตามคาสั่งของ กกม. ตามมาตรา ๖๕ (๓) และ (๔) หรือไม่ปฏิบตั ิ ตามคาส่ังศาลตามมาตรา ๖๕ (๕) ต้องระวางโทษจาคุกไม่เกินหนึ่งปี หรือปรับไม่เกินสองหม่ืนบาท หรอื ทง้ั จาทัง้ ปรบั มาตรา ๗๖ ผู้ใดขัดขวาง หรือไม่ปฏิบัติตามคาส่ังของ กกม. หรือพนักงานเจ้าหน้าท่ี ซงึ่ ปฏบิ ตั กิ ารตามคาสง่ั ของ กกม. ตามมาตรา ๖๖ (๑) หรือไม่ปฏิบัตติ ามคาสัง่ ศาลตามมาตรา ๖๖ (๒) (๓) หรือ (๔) โดยไม่มีเหตุอันสมควร ต้องระวางโทษจาคกุ ไม่เกินสามปี หรือปรับไม่เกินหกหมื่นบาท หรือทง้ั จาทั้งปรบั มาตรา ๗๗ ในกรณีที่ผู้กระทาความผิดตามพระราชบัญญัติน้ีเป็นนิติบุคคล ถ้าการกระทา ความผิดของนิติบุคคลน้ันเกิดจากการสั่งการหรือการกระทาของกรรมการหรือผู้จัดการ หรือบุคคลใด ซึ่งรับผิดชอบในการดาเนินงานของนิติบุคคลน้ัน หรือในกรณีที่บุคคลดังกล่าวมีหน้าท่ีต้องสั่งการหรือ กระทาการและละเวน้ ไมส่ งั่ การหรือไม่กระทาการจนเป็นเหตุให้นิติบุคคลนนั้ กระทาความผิด ผนู้ ั้นต้องรบั โทษ ตามท่ีบัญญัติไวส้ าหรับความผิดนน้ั ๆ ดว้ ย บทเฉพาะกาล มาตรา ๗๘ ในวาระเร่ิมแรก ให้คณะกรรมการประกอบด้วยประธานกรรมการและกรรมการ ตามมาตรา ๕ (๑) (๒) และใหเ้ ลขาธกิ ารคณะกรรมการการรกั ษาความมนั่ คงปลอดภยั ไซเบอร์แหง่ ชาติ เป็นกรรมการและเลขานกุ าร เพ่ือปฏิบัติหนา้ ทเี่ ทา่ ทจ่ี าเป็นไปพลางกอ่ น และให้ดาเนินการแต่งตง้ั กรรมการ ผู้ทรงคุณวุฒขิ องคณะกรรมการตามมาตรา ๕ (๓) ให้แลว้ เสร็จภายในเกา้ สิบวนั นบั แตว่ นั ที่พระราชบัญญตั ิน้ี ใชบ้ ังคับ ในการแต่งต้ังกรรมการผู้ทรงคุณวุฒิตามวรรคหนึ่ง รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจ และสังคมอาจเสนอรายช่ือบุคคลต่อคณะรัฐมนตรีเพ่ือพิจารณาแต่งตั้งเป็นกรรมการผู้ทรงคุณวุฒิ ดังกลา่ วดว้ ยได้ สำ�นักงานพัฒนาธรุ กรรมทางอิเล็กทรอนิกส์ 409

เล่ม ๑๓๖ ตอนที่ ๖๙ ก หน้า ๔๙ ๒๗ พฤษภาคม ๒๕๖๒ ราชกิจจานเุ บกษา มาตรา ๗๙ ให้ดาเนินการเพ่ือให้มี กกม. และ กบส. ภายในเก้าสิบวันนับแต่วันท่ีได้มี การแตง่ ต้ังกรรมการผทู้ รงคณุ วุฒิของคณะกรรมการตามมาตรา ๗๘ ให้ดาเนินการแต่งตั้งเลขาธิการคณะกรรมการการรักษาความม่ันคงปลอดภัยไซเบอร์แห่งชาติ ตามพระราชบัญญัตนิ ใี้ หแ้ ล้วเสรจ็ ภายในเกา้ สบิ วันนับแต่วนั ทจี่ ดั ต้งั สานกั งานแล้วเสรจ็ ตามมาตรา ๘๐ มาตรา ๘๐ ให้ดาเนินการจัดตั้งสานักงานให้แล้วเสร็จเพื่อปฏิบัติงานตามพระราชบัญญัตินี้ ภายในหนึง่ ปนี ับแต่วันที่พระราชบญั ญัตินี้ใช้บังคับ ในระหว่างที่การดาเนินการจัดตั้งสานักงานยังไม่แล้วเสร็จ ให้สานักงานปลัดกระทรวง กระทรวงดิจิทัลเพ่ือเศรษฐกิจและสังคมทาหน้าท่ีสานกั งานตามพระราชบัญญตั ินี้ และให้ปลัดกระทรวง ดิจิทัลเพื่อเศรษฐกิจและสังคมทาหน้าที่เลขาธิการจนกว่าจะมีการแต่งต้ังเลขาธิการตามมาตรา ๗๙ วรรคสอง มาตรา ๘๑ ในวาระเร่ิมแรก ให้คณะรัฐมนตรีจัดสรรทุนประเดิมให้แก่สานักงาน ตามความจาเป็น ให้รัฐมนตรีเสนอต่อคณะรัฐมนตรีเพ่ือพิจารณาให้ข้าราชการ พนักงาน เจ้าหน้าที่ หรือ ผู้ปฏิบัติงานอื่นใดในหน่วยงานของรัฐ มาปฏิบัติงานที่สานักงานเป็นการชั่วคราวภายในระยะเวลาที่ คณะรัฐมนตรกี าหนด ให้ถือวา่ ขา้ ราชการ พนักงาน เจา้ หนา้ ที่ หรอื ผปู้ ฏิบัติงานอน่ื ใดในหนว่ ยงานของรฐั ทม่ี าปฏิบัติงาน ในสานักงานเป็นการช่ัวคราวตามวรรคสองไม่ขาดจากสถานภาพเดิมและคงได้รับเงินเดือนหรือค่าจ้าง แล้วแต่กรณี จากสังกัดเดิม ทั้งน้ี คณะกรรมการอาจกาหนดค่าตอบแทนพิเศษให้แก่ข้าราชการ พนักงาน เจ้าหน้าท่ี หรือผู้ปฏิบัตงิ านอ่ืนใดในหน่วยงานของรฐั ตามวรรคสอง ในระหว่างปฏิบตั งิ านในสานกั งานด้วย ก็ได้ ภายในหนึ่งร้อยแปดสิบวันนับแต่วันที่จัดตั้งสานักงานแล้วเสร็จ ให้สานักงานดาเนินการคัดเลือก ข้าราชการ พนักงาน เจ้าหน้าที่ หรือผู้ปฏิบัติงานอ่ืนใดในหน่วยงานของรัฐตามวรรคสองเพื่อบรรจุ เป็นพนักงานของสานกั งานต่อไป ขา้ ราชการ พนกั งาน เจา้ หน้าที่ หรือผปู้ ฏบิ ัตงิ านอื่นใดในหน่วยงานของรฐั ผู้ใดได้รบั การคดั เลือก และบรรจุตามวรรคส่ี ให้มีสิทธินับระยะเวลาทางานที่เคยทางานอยู่ในสังกัดเดิมต่อเนื่องรวมกับระยะเวลา ทางานในสานกั งานตามพระราชบญั ญตั ินี้ ส�ำ นกั งานพฒั นาธรุ กรรมทางอิเล็กทรอนิกส์ 410

เล่ม ๑๓๖ ตอนท่ี ๖๙ ก หน้า ๕๐ ๒๗ พฤษภาคม ๒๕๖๒ ราชกจิ จานุเบกษา มาตรา ๘๒ เม่ือพระราชบัญญัตินี้ใช้บังคับ ให้รัฐมนตรีเสนอคณะรัฐมนตรีดาเนินการ เพ่ืออนุมัติให้มีการโอนบรรดาอานาจหน้าที่ กิจการ ทรัพย์สิน สิทธิ หน้ี และงบประมาณของ บรรดาภารกิจท่ีเกี่ยวกับการรักษาความม่ันคงปลอดภัยไซเบอร์ของสานักงานปลัดกระทรวง กระทรวง ดิจิทัลเพื่อเศรษฐกิจและสังคม และสานักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ ที่มีอยู่ในวันก่อนวันที่ พระราชบญั ญตั นิ ีใ้ ชบ้ งั คับ ไปเป็นของสานกั งานตามพระราชบัญญัตนิ ้ี มาตรา ๘๓ การดาเนินการออกกฎกระทรวง ระเบียบ และประกาศ ตามพระราชบญั ญตั นิ ้ี ให้ดาเนินการให้แล้วเสร็จภายในหน่ึงปีนับแต่วันที่พระราชบัญญัตินี้ใช้บังคับ หากไม่สามารถดาเนินการได้ ให้รฐั มนตรรี ายงานเหตุผลท่ไี ม่อาจดาเนินการไดต้ ่อคณะรัฐมนตรเี พอื่ ทราบ ผรู้ บั สนองพระบรมราชโองการ พลเอก ประยุทธ์ จนั ทรโ์ อชา นายกรฐั มนตรี ส�ำ นักงานพัฒนาธรุ กรรมทางอิเล็กทรอนิกส์ 411

เล่ม ๑๓๖ ตอนท่ี ๖๙ ก หน้า ๕๑ ๒๗ พฤษภาคม ๒๕๖๒ ราชกิจจานเุ บกษา หมายเหตุ :- เหตผุ ลในการประกาศใช้พระราชบัญญัติฉบับนี้ คอื โดยท่ใี นปจั จบุ นั การให้บริการหรอื การประยุกต์ใช้ เครือข่ายคอมพิวเตอร์ อินเทอร์เน็ต โครงขา่ ยโทรคมนาคม หรอื การให้บริการโดยปกติของดาวเทียมมีความเสี่ยง จากภยั คุกคามทางไซเบอร์อันอาจกระทบต่อความม่นั คงของรัฐ และความสงบเรยี บร้อยภายในประเทศ ดงั นนั้ เพ่ือให้สามารถป้องกัน หรือรับมือกับภัยคุกคามทางไซเบอร์ได้อย่างทันท่วงที สมควรกาหนดลักษณะของ ภารกิจหรือบริการที่มีความสาคัญเป็นโครงสร้างพื้นฐานสาคัญทางสารสนเทศทั้งหน่วยงานของรัฐและ หน่วยงานเอกชน ทจี่ ะต้องมกี ารป้องกนั รับมอื และลดความเสย่ี งจากภยั คุกคามทางไซเบอร์ มิใหเ้ กิดผลกระทบ ต่อความมั่นคงในด้านต่าง ๆ รวมท้ังให้มีหน่วยงานเพื่อรับผิดชอบในการดาเนินการประสานการปฏิบัติงาน ร่วมกันทั้งภาครัฐและเอกชน ไม่ว่าในสถานการณ์ทว่ั ไปหรอื สถานการณ์อันเป็นภัยต่อความมั่นคงอย่างรา้ ยแรง ตลอดจนกาหนดให้มีแผนปฏบิ ตั ิการและมาตรการด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ อย่างมีเอกภาพ และต่อเนื่อง อันจะทาให้การป้องกันและการรับมือกับภัยคุกคามทางไซเบอร์เป็นไปอย่างมีประสิทธิภาพ จึงจาเป็นต้องตราพระราชบญั ญตั ินี้ สำ�นกั งานพัฒนาธรุ กรรมทางอิเลก็ ทรอนิกส์ 412

สำ�นกั งานพฒั นาธรุ กรรมทางอิเลก็ ทรอนกิ ส์ 413

สำ�นกั งานพฒั นาธรุ กรรมทางอิเลก็ ทรอนกิ ส์ 414

พระราชบัญญตั ิ คุม ครองขอมลู สว นบคุ คล พ.ศ. ๒๕๖๒ สำ�นักงานพฒั นาธรุ กรรมทางอิเล็กทรอนกิ ส์ 415

ช่อื กฎหมาย พระราชบญั ญัตคิ ุมครองขอ มูลสว นบุคคล พ.ศ. ๒๕๖๒ ประกาศในราชกจิ จานเุ บกษา เลม ๑๓๖ / ตอนท่ี ๖๙ ก / หนา ๕๒ / วันท่ี ๒๗ พฤษภาคม ๒๕๖๒ เร่มิ บังคับใช  วนั ท่ี ๒๘ พฤษภาคม ๒๕๖๒ และ  วันที่ ๒๗ พฤษภาคม ๒๕๖๓ (สำหรับบทบัญญตั ิในหมวด ๒ หมวด ๓ หมวด ๕ หมวด ๖ หมวด ๗ และความในมาตรา ๙๕ และมาตรา ๙๖) ผูรักษาการ รฐั มนตรีวา การกระทรวงดิจทิ ลั เพื่อเศรษฐกิจและสงั คม ส�ำ นักงานพฒั นาธรุ กรรมทางอิเลก็ ทรอนกิ ส์ 416

เล่ม ๑๓๖ ตอนท่ี ๖๙ ก หน้า ๕๒ ๒๗ พฤษภาคม ๒๕๖๒ ราชกิจจานุเบกษา พระราชบัญญตั ิ คุม้ ครองขอ้ มูลส่วนบคุ คล พ.ศ. ๒๕๖๒ พระบาทสมเด็จพระปรเมนทรรามาธิบดีศรสี นิ ทรมหาวชิราลงกรณ พระวชิรเกล้าเจา้ อยู่หวั ใหไ้ ว้ ณ วนั ท่ี ๒๔ พฤษภาคม พ.ศ. ๒๕๖๒ เปน็ ปที ่ี ๔ ในรชั กาลปัจจบุ นั พระบาทสมเด็จพระปรเมนทรรามาธิบดีศรีสินทรมหาวชิราลงกรณ พระวชิรเกล้าเจ้าอยู่หัว มีพระบรมราชโองการโปรดเกลา้ ฯ ให้ประกาศวา่ โดยทีเ่ ป็นการสมควรมีกฎหมายว่าดว้ ยการคมุ้ ครองขอ้ มลู ส่วนบคุ คล พระราชบัญญัตินี้มีบทบัญญัติบางประการเกี่ยวกับการจากัดสิทธิและเสรีภาพของบุคคล ซ่ึงมาตรา ๒๖ ประกอบกับมาตรา ๓๒ มาตรา ๓๓ และมาตรา ๓๗ ของรัฐธรรมนูญ แห่งราชอาณาจกั รไทย บัญญตั ใิ ห้กระทาได้โดยอาศยั อานาจตามบทบัญญตั แิ หง่ กฎหมาย เหตุผลและความจาเป็นในการจากัดสิทธิและเสรภี าพของบุคคลตามพระราชบัญญัติน้ี เพ่ือให้ การคุ้มครองข้อมูลส่วนบุคคลมีประสิทธิภาพและเพื่อให้มีมาตรการเยียวยาเจ้าของข้อมูลส่วนบุคคลจาก การถูกละเมิดสทิ ธใิ นข้อมลู สว่ นบคุ คลท่ีมปี ระสิทธภิ าพ ซึง่ การตราพระราชบญั ญตั ินสี้ อดคลอ้ งกบั เง่อื นไข ที่บญั ญตั ไิ ว้ในมาตรา ๒๖ ของรฐั ธรรมนญู แหง่ ราชอาณาจกั รไทยแล้ว จึงทรงพระกรุณาโปรดเกล้าฯ ให้ตราพระราชบัญญัติข้ึนไว้โดยคาแนะนาและยินยอมของ สภานิติบัญญัตแิ หง่ ชาติทาหนา้ ทีร่ ัฐสภา ดังตอ่ ไปนี้ มาตรา ๑ พระราชบัญญัติน้ีเรียกว่า “พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒” ส�ำ นกั งานพฒั นาธรุ กรรมทางอิเลก็ ทรอนิกส์ 417

เล่ม ๑๓๖ ตอนท่ี ๖๙ ก หน้า ๕๓ ๒๗ พฤษภาคม ๒๕๖๒ ราชกจิ จานุเบกษา มาตรา ๒ พระราชบัญญัตินี้ให้ใช้บังคับตั้งแต่วันถัดจากวันประกาศในราชกิจจานุเบกษา เป็นต้นไป เว้นแต่บทบัญญัติในหมวด ๒ หมวด ๓ หมวด ๕ หมวด ๖ หมวด ๗ และความใน มาตรา ๙๕ และมาตรา ๙๖ ให้ใช้บังคับเมื่อพ้นกาหนดหน่ึงปีนับแต่วันประกาศในราชกิจจานุเบกษา เป็นต้นไป มาตรา ๓ ในกรณที ี่มีกฎหมายวา่ ดว้ ยการใดบญั ญัตเิ ก่ียวกบั การคุ้มครองขอ้ มูลส่วนบคุ คล ในลักษณะใด กิจการใด หรือหน่วยงานใดไว้โดยเฉพาะแล้ว ให้บังคับตามบทบัญญัติแห่งกฎหมาย วา่ ด้วยการนนั้ เว้นแต่ (๑) บทบัญญัติเก่ียวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล และบทบัญญัติ เกี่ยวกับสิทธิของเจ้าของข้อมูลส่วนบุคคล รวมท้ังบทกาหนดโทษท่ีเกี่ยวข้อง ให้บังคับตามบทบัญญัติ แห่งพระราชบัญญตั นิ ี้เปน็ การเพิม่ เตมิ ไมว่ ่าจะซา้ กับบทบัญญตั ิแหง่ กฎหมายวา่ ดว้ ยการนนั้ หรือไมก่ ต็ าม (๒) บทบัญญัติเกี่ยวกับการร้องเรียน บทบัญญัติที่ให้อานาจแก่คณะกรรมการผู้เช่ียวชาญ ออกคาสงั่ เพ่ือคุม้ ครองเจ้าของข้อมูลส่วนบุคคล และบทบญั ญัตเิ กี่ยวกับอานาจหน้าท่ขี องพนกั งานเจ้าหน้าที่ รวมท้ังบทกาหนดโทษทีเ่ กยี่ วขอ้ ง ให้บังคบั ตามบทบญั ญตั ิแหง่ พระราชบัญญัตนิ ี้ ในกรณีดงั ต่อไปนี้ (ก) ในกรณที กี่ ฎหมายวา่ ด้วยการนน้ั ไมม่ ีบทบญั ญตั ิเกย่ี วกับการร้องเรยี น (ข) ในกรณที ่ีกฎหมายวา่ ด้วยการนั้นมบี ทบญั ญัตทิ ่ใี หอ้ านาจแกเ่ จา้ หนา้ ทผ่ี มู้ อี านาจพจิ ารณา เรื่องร้องเรียนตามกฎหมายดังกล่าวออกคาสั่งเพื่อคุ้มครองเจ้าของข้อมูลส่วนบุคคล แต่ไม่เพียงพอเท่ากับ อานาจของคณะกรรมการผู้เช่ียวชาญตามพระราชบัญญัติน้ีและเจ้าหน้าที่ผู้มีอานาจตามกฎหมายดังกล่าว ร้องขอตอ่ คณะกรรมการผู้เช่ียวชาญหรือเจ้าของข้อมูลส่วนบคุ คลผู้เสียหายยื่นคาร้องเรียนต่อคณะกรรมการ ผ้เู ชย่ี วชาญตามพระราชบัญญตั นิ ี้ แลว้ แตก่ รณี มาตรา ๔ พระราชบญั ญัตินไี้ ม่ใช้บงั คับแก่ (๑) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบุคคลท่ีทาการเก็บรวบรวมข้อมลู สว่ นบคุ คลเพือ่ ประโยชน์ส่วนตนหรือเพอ่ื กจิ กรรมในครอบครัวของบุคคลนัน้ เทา่ นั้น (๒) การดาเนินการของหน่วยงานของรัฐที่มีหน้าที่ในการรักษาความมั่นคงของรัฐ ซ่ึงรวมถึง ความมั่นคงทางการคลังของรัฐ หรือการรักษาความปลอดภัยของประชาชน รวมทั้งหน้าที่เก่ียวกับ การปอ้ งกันและปราบปรามการฟอกเงนิ นิติวทิ ยาศาสตร์ หรอื การรกั ษาความม่นั คงปลอดภัยไซเบอร์ (๓) บุคคลหรือนิติบุคคลซ่ึงใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่ทาการเก็บรวบรวมไว้เฉพาะ เพือ่ กจิ การสื่อมวลชน งานศิลปกรรม หรอื งานวรรณกรรมอนั เปน็ ไปตามจริยธรรมแหง่ การประกอบวิชาชีพ หรอื เปน็ ประโยชน์สาธารณะเทา่ น้นั ส�ำ นกั งานพัฒนาธรุ กรรมทางอิเลก็ ทรอนิกส์ 418

เล่ม ๑๓๖ ตอนที่ ๖๙ ก หน้า ๕๔ ๒๗ พฤษภาคม ๒๕๖๒ ราชกิจจานเุ บกษา (๔) สภาผู้แทนราษฎร วุฒิสภา และรัฐสภา รวมถึงคณะกรรมาธิการที่แต่งตั้งโดยสภาดังกล่าว ซง่ึ เก็บรวบรวม ใช้ หรือเปิดเผยข้อมลู สว่ นบุคคลในการพจิ ารณาตามหนา้ ทแ่ี ละอานาจของสภาผแู้ ทนราษฎร วุฒสิ ภา รัฐสภา หรอื คณะกรรมาธิการ แล้วแต่กรณี (๕) การพิจารณาพิพากษาคดขี องศาลและการดาเนนิ งานของเจา้ หน้าที่ในกระบวนการพจิ ารณาคดี การบงั คับคดี และการวางทรัพย์ รวมทั้งการดาเนินงานตามกระบวนการยตุ ิธรรมทางอาญา (๖) การดาเนินการกับข้อมูลของบริษัทข้อมูลเครดิตและสมาชิกตามกฎหมายว่าด้วย การประกอบธรุ กจิ ข้อมลู เครดติ การยกเว้นไม่ให้นาบทบัญญัติแห่งพระราชบัญญัตินี้ทั้งหมดหรือแต่บางส่วนมาใช้บังคับแก่ ผู้ควบคุมข้อมูลส่วนบุคคลในลักษณะใด กิจการใด หรือหน่วยงานใดทานองเดียวกับผู้ควบคุมข้อมูล สว่ นบคุ คลตามวรรคหน่ึง หรอื เพือ่ ประโยชน์สาธารณะอ่นื ใด ใหต้ ราเป็นพระราชกฤษฎีกา ผู้ควบคุมข้อมูลส่วนบุคคลตามวรรคหน่ึง (๒) (๓) (๔) (๕) และ (๖) และผู้ควบคุมข้อมูล ส่วนบุคคลของหน่วยงานท่ีได้รับยกเว้นตามที่กาหนดในพระราชกฤษฎีกาตามวรรคสอง ต้องจัดให้มี การรกั ษาความมั่นคงปลอดภัยของข้อมูลสว่ นบคุ คลให้เป็นไปตามมาตรฐานดว้ ย มาตรา ๕ พระราชบัญญัติน้ีให้ใช้บังคับแก่การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคลโดยผคู้ วบคมุ ขอ้ มูลส่วนบุคคลหรือผู้ประมวลผลขอ้ มลู สว่ นบุคคลซ่งึ อยู่ในราชอาณาจักร ไมว่ ่า การเก็บรวบรวม ใช้ หรอื เปดิ เผยนน้ั ไดก้ ระทาในหรอื นอกราชอาณาจักรก็ตาม ในกรณีท่ีผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลอยู่นอกราชอาณาจักร พระราชบัญญัติน้ีให้ใช้บังคับแก่การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูล ส่วนบุคคลซงึ่ อยู่ในราชอาณาจกั รโดยการดาเนินกิจกรรมของผูค้ วบคมุ ข้อมลู ส่วนบุคคลหรอื ผูป้ ระมวลผล ข้อมลู ส่วนบุคคลดังกลา่ ว เม่ือเป็นกจิ กรรม ดังต่อไปนี้ (๑) การเสนอสินค้าหรือบริการให้แก่เจ้าของข้อมูลส่วนบุคคลซึ่งอยู่ในราชอาณาจักร ไม่ว่า จะมกี ารชาระเงนิ ของเจ้าของขอ้ มูลส่วนบคุ คลหรอื ไมก่ ต็ าม (๒) การเฝา้ ติดตามพฤติกรรมของเจา้ ของขอ้ มลู สว่ นบุคคลท่ีเกดิ ขน้ึ ในราชอาณาจักร มาตรา ๖ ในพระราชบญั ญัตินี้ “ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเก่ียวกับบุคคลซ่ึงทาให้สามารถระบุตัวบุคคลนัน้ ได้ ไม่วา่ ทางตรงหรือทางออ้ ม แต่ไมร่ วมถงึ ขอ้ มูลของผ้ถู ึงแกก่ รรมโดยเฉพาะ “ผู้ควบคุมข้อมูลส่วนบุคคล” หมายความว่า บุคคลหรือนิติบุคคลซึ่งมีอานาจหน้าท่ีตัดสินใจ เกย่ี วกบั การเก็บรวบรวม ใช้ หรอื เปิดเผยข้อมลู สว่ นบุคคล สำ�นกั งานพฒั นาธรุ กรรมทางอิเลก็ ทรอนิกส์ 419

เล่ม ๑๓๖ ตอนท่ี ๖๙ ก หน้า ๕๕ ๒๗ พฤษภาคม ๒๕๖๒ ราชกจิ จานุเบกษา “ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายความว่า บุคคลหรือนิติบุคคลซึ่งดาเนินการเก่ียวกับ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคาสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทง้ั นี้ บคุ คลหรือนิตบิ คุ คลซึ่งดาเนินการดังกล่าวไมเ่ ปน็ ผูค้ วบคุมข้อมูลสว่ นบุคคล “บคุ คล” หมายความวา่ บุคคลธรรมดา “คณะกรรมการ” หมายความวา่ คณะกรรมการคุ้มครองข้อมูลส่วนบคุ คล “พนกั งานเจ้าหน้าที่” หมายความวา่ ผซู้ ่งึ รฐั มนตรแี ต่งต้ังใหป้ ฏบิ ัตกิ ารตามพระราชบัญญตั ิน้ี “สานักงาน” หมายความวา่ สานักงานคณะกรรมการคมุ้ ครองขอ้ มูลส่วนบุคคล “เลขาธกิ าร” หมายความว่า เลขาธกิ ารคณะกรรมการคมุ้ ครองขอ้ มูลสว่ นบุคคล “รัฐมนตรี” หมายความว่า รัฐมนตรผี ู้รกั ษาการตามพระราชบญั ญตั นิ ี้ มาตรา ๗ ให้รัฐมนตรีว่าการกระทรวงดิจิทัลเพ่ือเศรษฐกิจและสังคมรักษาการตาม พระราชบัญญัติน้ี และใหม้ อี านาจแต่งตั้งพนักงานเจ้าหน้าที่ เพ่ือปฏบิ ตั ิการตามพระราชบญั ญัติน้ี หมวด ๑ คณะกรรมการคมุ้ ครองขอ้ มลู สว่ นบคุ คล มาตรา ๘ ใหม้ คี ณะกรรมการคมุ้ ครองข้อมูลสว่ นบคุ คล ประกอบด้วย (๑) ประธานกรรมการ ซง่ึ สรรหาและแตง่ ต้ังจากผมู้ คี วามรู้ ความเช่ยี วชาญ และประสบการณ์ เป็นท่ีประจักษ์ในด้านการคุ้มครองข้อมูลส่วนบุคคล ด้านการคุ้มครองผู้บริโภค ด้านเทคโนโลยีสารสนเทศ และการส่ือสาร ด้านสังคมศาสตร์ ด้านกฎหมาย ด้านสุขภาพ ด้านการเงิน หรือด้านอ่ืน ทั้งน้ี ต้องเก่ยี วข้องและเปน็ ประโยชนต์ อ่ การคุ้มครองข้อมลู ส่วนบคุ คล (๒) ปลดั กระทรวงดิจทิ ัลเพื่อเศรษฐกจิ และสงั คม เป็นรองประธานกรรมการ (๓) กรรมการโดยตาแหน่ง จานวนห้าคน ได้แก่ ปลัดสานักนายกรัฐมนตรี เลขาธิการ คณะกรรมการกฤษฎีกา เลขาธิการคณะกรรมการคมุ้ ครองผบู้ รโิ ภค อธิบดีกรมคมุ้ ครองสทิ ธแิ ละเสรภี าพ และอยั การสูงสุด (๔) กรรมการผู้ทรงคุณวฒุ ิ จานวนเกา้ คน ซึ่งสรรหาและแตง่ ตง้ั จากผู้มคี วามรู้ ความเชย่ี วชาญ และประสบการณ์เป็นท่ีประจักษ์ในด้านการคุ้มครองข้อมูลส่วนบุคคล ด้านการคุ้มครองผู้บริโภค ด้านเทคโนโลยีสารสนเทศและการสื่อสาร ด้านสังคมศาสตร์ ด้านกฎหมาย ด้านสุขภาพ ด้านการเงิน หรอื ดา้ นอื่น ทัง้ น้ี ต้องเก่ียวขอ้ งและเปน็ ประโยชน์ตอ่ การคมุ้ ครองข้อมลู สว่ นบคุ คล สำ�นกั งานพัฒนาธรุ กรรมทางอิเล็กทรอนิกส์ 420

เล่ม ๑๓๖ ตอนที่ ๖๙ ก หน้า ๕๖ ๒๗ พฤษภาคม ๒๕๖๒ ราชกจิ จานุเบกษา ให้เลขาธิการเป็นกรรมการและเลขานุการ และให้เลขาธิการแต่งตั้งพนักงานของสานักงาน เปน็ ผูช้ ว่ ยเลขานุการไดไ้ มเ่ กินสองคน หลกั เกณฑ์และวธิ ีการสรรหาบุคคลเพือ่ แต่งตง้ั เป็นประธานกรรมการและกรรมการผทู้ รงคุณวุฒิ รวมท้ังการสรรหาประธานกรรมการและกรรมการผู้ทรงคุณวุฒิเพื่อดารงตาแหน่งแทนผู้ท่ีพ้นจากตาแหน่ง ก่อนวาระตามมาตรา ๑๓ ให้เป็นไปตามท่ีคณะรฐั มนตรปี ระกาศกาหนด ท้ังน้ี ต้องคานึงถึงความโปร่งใส และความเป็นธรรมในการสรรหา มาตรา ๙ ให้มีคณะกรรมการสรรหาคณะหน่ึงจานวนแปดคนทาหน้าที่คัดเลือกบุคคล ที่สมควรได้รับการแต่งตั้งเป็นประธานกรรมการตามมาตรา ๘ (๑) หรือกรรมการผู้ทรงคุณวุฒิ ตามมาตรา ๘ (๔) ประกอบดว้ ย (๑) บคุ คลซง่ึ นายกรฐั มนตรีแตง่ ต้งั จานวนสองคน (๒) บุคคลซงึ่ ประธานรฐั สภาแต่งต้งั จานวนสองคน (๓) บคุ คลซึง่ ผู้ตรวจการแผน่ ดนิ แตง่ ต้ังจานวนสองคน และ (๔) บุคคลซึง่ คณะกรรมการสิทธมิ นุษยชนแหง่ ชาตแิ ตง่ ตง้ั จานวนสองคน ในกรณีท่ีผู้มีอานาจแต่งต้ังตาม (๒) (๓) หรือ (๔) ไม่สามารถแต่งตั้งกรรมการสรรหา ในส่วนของตนได้ภายในสี่สิบหา้ วันนบั แตว่ นั ท่ไี ดร้ ับแจ้งจากสานักงาน ใหส้ านักงานเสนอช่อื ให้นายกรัฐมนตรี พจิ ารณาแต่งตัง้ บคุ คลที่เหมาะสมเปน็ กรรมการสรรหาแทนผมู้ อี านาจแต่งตงั้ นน้ั ให้คณะกรรมการสรรหาเลือกกรรมการสรรหาคนหน่ึงเป็นประธานกรรมการสรรหาและ เลือกกรรมการสรรหาอีกคนหน่ึงเป็นเลขานุการคณะกรรมการสรรหา และให้สานักงานปฏิบัติหน้าที่ เป็นหนว่ ยธุรการของคณะกรรมการสรรหา ในกรณีท่ีตาแหน่งกรรมการสรรหาว่างลง ให้ดาเนินการเพื่อให้มีกรรมการสรรหาแทนใน ตาแหน่งนั้นโดยเร็ว ในระหว่างท่ียังไม่ได้กรรมการสรรหาใหม่ ให้คณะกรรมการสรรหาประกอบด้วย กรรมการสรรหาเท่าทม่ี อี ยู่ กรรมการสรรหาไม่มีสิทธิได้รับการเสนอชื่อเป็นประธานกรรมการตามมาตรา ๘ (๑) หรือ กรรมการผูท้ รงคณุ วุฒติ ามมาตรา ๘ (๔) มาตรา ๑๐ ในการสรรหาประธานกรรมการตามมาตรา ๘ (๑) หรือกรรมการผู้ทรงคุณวุฒิ ตามมาตรา ๘ (๔) ให้คณะกรรมการสรรหาคัดเลือกบุคคลผู้มีคุณสมบัติตามมาตรา ๘ (๑) หรือ ตามมาตรา ๘ (๔) แล้วแต่กรณี รวมทั้งมีคุณสมบัติและไม่มีลักษณะต้องห้ามตามมาตรา ๑๑ และ ยินยอมให้เสนอช่ือเข้ารับคัดเลือกเท่ากับจานวนประธานกรรมการตามมาตรา ๘ (๑) หรือกรรมการ ผู้ทรงคุณวฒุ ติ ามมาตรา ๘ (๔) ทจ่ี ะได้รับแตง่ ต้งั สำ�นกั งานพฒั นาธรุ กรรมทางอิเล็กทรอนกิ ส์ 421

เล่ม ๑๓๖ ตอนที่ ๖๙ ก หน้า ๕๗ ๒๗ พฤษภาคม ๒๕๖๒ ราชกิจจานเุ บกษา เม่ือได้คัดเลือกบุคคลเป็นประธานกรรมการตามมาตรา ๘ (๑) หรือกรรมการผู้ทรงคุณวุฒิ ตามมาตรา ๘ (๔) ครบจานวนแล้ว ให้คณะกรรมการสรรหาแจ้งรายช่ือประธานกรรมการตามมาตรา ๘ (๑) หรอื กรรมการผ้ทู รงคุณวฒุ ติ ามมาตรา ๘ (๔) พรอ้ มหลกั ฐานแสดงคุณสมบตั แิ ละการไม่มลี ักษณะต้องห้าม รวมทั้งความยนิ ยอมของบุคคลดังกลา่ วต่อคณะรฐั มนตรเี พื่อแตง่ ตัง้ เป็นประธานกรรมการตามมาตรา ๘ (๑) หรอื กรรมการผู้ทรงคุณวุฒิตามมาตรา ๘ (๔) ให้นายกรัฐมนตรีประกาศรายชอื่ ประธานกรรมการตามมาตรา ๘ (๑) หรือกรรมการผู้ทรงคุณวฒุ ิ ตามมาตรา ๘ (๔) ซ่งึ ได้รับแต่งตงั้ จากคณะรัฐมนตรีในราชกิจจานเุ บกษา มาตรา ๑๑ ประธานกรรมการและกรรมการผู้ทรงคุณวุฒิต้องมีคณุ สมบตั ิและไม่มีลักษณะ ต้องห้าม ดงั ตอ่ ไปน้ี (๑) มีสญั ชาติไทย (๒) ไม่เปน็ บคุ คลล้มละลายหรือเคยเป็นบุคคลล้มละลายทจุ ริต (๓) ไม่เปน็ คนไร้ความสามารถหรอื คนเสมอื นไรค้ วามสามารถ (๔) ไม่เคยต้องคาพิพากษาถงึ ท่สี ดุ ใหจ้ าคกุ ไม่ว่าจะได้รบั โทษจาคกุ จริงหรือไม่ เว้นแต่เป็นโทษ สาหรับความผิดที่ไดก้ ระทาโดยประมาทหรือความผดิ ลหุโทษ (๕) ไม่เคยถูกไล่ออก ปลดออก หรือให้ออกจากราชการ หน่วยงานของรัฐ หรือรัฐวิสาหกจิ หรอื จากหนว่ ยงานของเอกชน เพราะทจุ รติ ตอ่ หนา้ ท่ีหรอื ประพฤตชิ ั่วอย่างรา้ ยแรง (๖) ไมเ่ คยถกู ถอดถอนออกจากตาแหนง่ ตามกฎหมาย (๗) ไมเ่ ปน็ ผ้ดู ารงตาแหนง่ ทางการเมอื ง สมาชกิ สภาท้องถ่นิ หรอื ผู้บรหิ ารทอ้ งถิน่ กรรมการ หรือผู้ดารงตาแหน่งซึ่งรับผิดชอบการบริหารพรรคการเมือง ที่ปรึกษาพรรคการเมือง หรือเจ้าหน้าที่ พรรคการเมือง มาตรา ๑๒ ประธานกรรมการและกรรมการผู้ทรงคุณวุฒมิ วี าระการดารงตาแหน่งคราวละสี่ปี เมอ่ื ครบกาหนดตามวาระในวรรคหนง่ึ หากยังมิได้มีการแตง่ ต้งั ประธานกรรมการหรอื กรรมการ ผู้ทรงคุณวุฒิขึ้นใหม่ ให้ประธานกรรมการหรือกรรมการผู้ทรงคุณวุฒิซ่ึงพ้นจากตาแหน่งตามวาระนั้น อยู่ในตาแหน่งเพ่ือดาเนินงานตอ่ ไปจนกว่าประธานกรรมการหรือกรรมการผู้ทรงคุณวุฒิซึ่งได้รับแต่งตั้งใหม่ เข้ารบั หน้าท่ี ประธานกรรมการและกรรมการผูท้ รงคุณวฒุ ิซง่ึ พ้นจากตาแหนง่ ตามวาระอาจได้รบั แตง่ ต้ังอกี ได้ แตจ่ ะดารงตาแหนง่ เกนิ สองวาระไมไ่ ด้ สำ�นกั งานพัฒนาธรุ กรรมทางอิเล็กทรอนกิ ส์ 422

เล่ม ๑๓๖ ตอนที่ ๖๙ ก หน้า ๕๘ ๒๗ พฤษภาคม ๒๕๖๒ ราชกจิ จานเุ บกษา มาตรา ๑๓ นอกจากการพ้นจากตาแหน่งตามวาระตามมาตรา ๑๒ ประธานกรรมการและ กรรมการผทู้ รงคณุ วฒุ พิ น้ จากตาแหนง่ เม่ือ (๑) ตาย (๒) ลาออก (๓) คณะรัฐมนตรีให้ออก เพราะบกพร่องต่อหน้าท่ี มีความประพฤติเส่ือมเสีย หรือ หย่อนความสามารถ (๔) ขาดคุณสมบตั หิ รอื มีลักษณะตอ้ งห้ามตามมาตรา ๑๑ ในกรณีท่ีประธานกรรมการหรือกรรมการผู้ทรงคุณวุฒิพ้นจากตาแหน่งก่อนวาระ ให้ผู้ที่ได้รับ แต่งต้ังแทนตาแหน่งท่ีวา่ งนนั้ ดารงตาแหน่งไดเ้ ท่ากับวาระทเี่ หลืออยู่ของประธานกรรมการหรือกรรมการ ผู้ทรงคุณวุฒิซึง่ ตนแทน เว้นแต่วาระที่เหลืออยู่ไม่ถึงเกา้ สิบวนั จะไมแ่ ต่งตั้งประธานกรรมการหรอื กรรมการ ผูท้ รงคุณวุฒแิ ทนกไ็ ด้ ในกรณที ปี่ ระธานกรรมการหรอื กรรมการผ้ทู รงคณุ วุฒพิ ้นจากตาแหนง่ กอ่ นวาระ ใหค้ ณะกรรมการ ประกอบด้วยกรรมการท้ังหมดเทา่ ทีม่ ีอยจู่ นกว่าจะมีการแตง่ ต้งั ประธานกรรมการหรอื กรรมการผู้ทรงคุณวุฒิ ตามวรรคสอง และในกรณีที่ประธานกรรมการพ้นจากตาแหนง่ ก่อนวาระ ใหร้ องประธานกรรมการทาหน้าที่ ประธานกรรมการเป็นการช่วั คราว มาตรา ๑๔ การประชุมคณะกรรมการ ต้องมีกรรมการมาประชุมไม่น้อยกว่าก่ึงหนึ่งของ จานวนกรรมการที่มีอยู่ จงึ จะเป็นองค์ประชุม ให้ประธานกรรมการเป็นประธานในท่ีประชุม ในกรณีที่ประธานกรรมการไม่มาประชุมหรือ ไมอ่ าจปฏบิ ัตหิ น้าทีไ่ ด้ ใหร้ องประธานกรรมการทาหน้าท่ีเป็นประธานในทีป่ ระชุม ในกรณที ี่ประธานกรรมการ และรองประธานกรรมการไม่มาประชุมหรือไม่อาจปฏบิ ตั ิหน้าท่ีได้ ให้กรรมการซึง่ มาประชมุ เลือกกรรมการ คนหนึง่ เปน็ ประธานในที่ประชุม การวนิ จิ ฉัยชขี้ าดของท่ีประชุมให้ถือเสียงข้างมาก กรรมการคนหน่ึงให้มีเสียงหนงึ่ ในการลงคะแนน ถ้าคะแนนเสียงเท่ากัน ใหป้ ระธานในทปี่ ระชุมออกเสยี งเพ่ิมขน้ึ อกี เสยี งหนง่ึ เปน็ เสยี งชี้ขาด การประชุมของคณะกรรมการอาจกระทาได้โดยวิธีการทางอิเล็กทรอนิกส์หรือวิธีการอ่ืนได้ตามท่ี คณะกรรมการกาหนด มาตรา ๑๕ กรรมการผูใ้ ดมีสว่ นไดเ้ สยี ไมว่ ่าโดยตรงหรือโดยออ้ มในเรอื่ งทีท่ ่ปี ระชมุ พิจารณา ให้แจ้งการมีสว่ นไดเ้ สยี ของตนใหค้ ณะกรรมการทราบลว่ งหนา้ กอ่ นการประชมุ และห้ามมิให้ผู้น้นั เข้ารว่ ม ประชุมพิจารณาในเรื่องดังกลา่ ว ส�ำ นกั งานพัฒนาธรุ กรรมทางอิเล็กทรอนิกส์ 423

เล่ม ๑๓๖ ตอนท่ี ๖๙ ก หน้า ๕๙ ๒๗ พฤษภาคม ๒๕๖๒ ราชกิจจานเุ บกษา มาตรา ๑๖ คณะกรรมการมีหน้าทแี่ ละอานาจ ดงั ตอ่ ไปนี้ (๑) จัดทาแผนแม่บทการดาเนินงานด้านการส่งเสริม และการคุ้มครองข้อมูลส่วนบุคคล ที่สอดคล้องกับนโยบาย ยุทธศาสตร์ชาติ และแผนระดับชาติท่ีเก่ียวข้อง เพ่ือเสนอต่อคณะกรรมการ ดจิ ทิ ลั เพอื่ เศรษฐกิจและสังคมแห่งชาตติ ามกฎหมายว่าด้วยการพัฒนาดิจิทลั เพื่อเศรษฐกิจและสังคม (๒) ส่งเสริมและสนับสนุนหน่วยงานของรัฐและภาคเอกชน ดาเนินกิจกรรมตามแผนแม่บท ตาม (๑) รวมท้งั จดั ใหม้ กี ารประเมนิ ผลการดาเนินงานตามแผนแมบ่ ทดงั กลา่ ว (๓) กาหนดมาตรการหรือแนวทางการดาเนนิ การเก่ียวกับการคุ้มครองขอ้ มลู ส่วนบุคคลเพอื่ ให้ เปน็ ไปตามพระราชบัญญัตนิ ้ี (๔) ออกประกาศหรอื ระเบียบเพ่อื ใหก้ ารดาเนนิ การเป็นไปตามพระราชบัญญัตนิ ้ี (๕) ประกาศกาหนดหลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือโอนไปยัง ตา่ งประเทศ (๖) ประกาศกาหนดข้อปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลเป็นแนวทางให้ผู้ควบคุมข้อมูล สว่ นบคุ คลและผูป้ ระมวลผลขอ้ มลู ส่วนบุคคลปฏิบตั ิ (๗) เสนอแนะต่อคณะรัฐมนตรีให้มีการตราหรือปรับปรุงกฎหมายหรือกฎที่ใช้บังคับอยู่ใน สว่ นที่เก่ยี วขอ้ งกบั การค้มุ ครองขอ้ มลู ส่วนบุคคล (๘) เสนอแนะต่อคณะรัฐมนตรีในการตราพระราชกฤษฎีกาหรือทบทวนความเหมาะสมของ พระราชบญั ญตั ินอ้ี ยา่ งน้อยทุกรอบหา้ ปี (๙) ให้คาแนะนาและคาปรึกษาเก่ียวกับการดาเนินการใด ๆ เพื่อให้ความคุ้มครองข้อมูล สว่ นบคุ คลของหน่วยงานของรัฐและภาคเอกชนในการปฏิบตั ติ ามพระราชบญั ญัตนิ ี้ (๑๐) ตีความและวนิ จิ ฉัยช้ีขาดปัญหาท่ีเกิดจากการบงั คับใชพ้ ระราชบญั ญัตนิ ้ี (๑๑) ส่งเสริมและสนับสนุนให้เกิดทักษะการเรียนรู้และความเข้าใจเก่ียวกับการคุ้มครองข้อมูล สว่ นบุคคลให้แก่ประชาชน (๑๒) ส่งเสริมและสนับสนุนการวิจัย เพ่ือพัฒนาเทคโนโลยีท่ีเกี่ยวข้องกับการคุ้มครองข้อมูล ส่วนบคุ คล (๑๓) ปฏิบัติการอื่นใดตามที่พระราชบัญญัตินี้หรือกฎหมายอื่นกาหนดให้เป็นหน้าท่ีและอานาจ ของคณะกรรมการ มาตรา ๑๗ ให้ประธานกรรมการ รองประธานกรรมการ และกรรมการไดร้ ับเบ้ียประชุม และประโยชน์ตอบแทนอนื่ ตามหลกั เกณฑท์ ่คี ณะรัฐมนตรีกาหนด สำ�นกั งานพัฒนาธรุ กรรมทางอิเล็กทรอนิกส์ 424

เล่ม ๑๓๖ ตอนท่ี ๖๙ ก หน้า ๖๐ ๒๗ พฤษภาคม ๒๕๖๒ ราชกจิ จานเุ บกษา ประธานอนกุ รรมการ อนุกรรมการ ประธานกรรมการผู้เชี่ยวชาญ และกรรมการผู้เชี่ยวชาญ ท่ีคณะกรรมการแต่งตั้ง ให้ได้รับเบ้ียประชุมและประโยชน์ตอบแทนอ่ืนตามหลักเกณฑ์ที่คณะกรรมการ กาหนดโดยความเห็นชอบของกระทรวงการคลัง มาตรา ๑๘ คณะกรรมการมีอานาจแต่งตั้งคณะอนุกรรมการเพ่ือพิจารณาหรือปฏิบัติการ อยา่ งใดอย่างหนง่ึ ตามท่ีคณะกรรมการมอบหมายได้ การประชุมคณะอนุกรรมการ ให้นาความในมาตรา ๑๔ และมาตรา ๑๕ มาใช้บังคับ โดยอนโุ ลม หมวด ๒ การคมุ้ ครองขอ้ มูลสว่ นบคุ คล ส่วนท่ี ๑ บททั่วไป มาตรา ๑๙ ผู้ควบคุมข้อมูลส่วนบุคคลจะกระทาการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคลไม่ได้หากเจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมไว้ก่อนหรือในขณะนั้น เว้นแต่บทบัญญัติ แหง่ พระราชบัญญัตินีห้ รือกฎหมายอ่นื บญั ญัตใิ หก้ ระทาได้ การขอความยินยอมต้องทาโดยชัดแจ้ง เป็นหนังสือหรือทาโดยผ่านระบบอิเล็กทรอนิกส์ เว้นแต่ โดยสภาพไม่อาจขอความยินยอมด้วยวิธกี ารดงั กล่าวได้ ในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้ง วตั ถปุ ระสงคข์ องการเกบ็ รวบรวม ใช้ หรือเปดิ เผยขอ้ มลู สว่ นบคุ คลไปดว้ ย และการขอความยินยอมนน้ั ต้องแยกส่วนออกจากข้อความอ่ืนอย่างชัดเจน มีแบบหรือข้อความท่ีเข้าถึงได้ง่ายและเข้าใจได้ รวมทั้ง ใช้ภาษาที่อ่านง่าย และไม่เปน็ การหลอกลวงหรือทาใหเ้ จ้าของข้อมูลส่วนบุคคลเขา้ ใจผิดในวัตถปุ ระสงค์ ดังกลา่ ว ทง้ั น้ี คณะกรรมการจะให้ผู้ควบคุมข้อมูลส่วนบุคคลขอความยินยอมจากเจ้าของขอ้ มูลส่วนบุคคล ตามแบบและขอ้ ความท่ีคณะกรรมการประกาศกาหนดกไ็ ด้ ในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลต้องคานึง อยา่ งถึงที่สดุ ในความเป็นอิสระของเจ้าของขอ้ มลู ส่วนบุคคลในการให้ความยินยอม ทัง้ น้ี ในการเข้าทาสญั ญา ซึ่งรวมถึงการให้บริการใด ๆ ต้องไม่มีเง่ือนไขในการให้ความยินยอมเพ่ือเก็บรวบรวม ใช้ หรือเปิดเผย ขอ้ มูลสว่ นบุคคลท่ไี ม่มคี วามจาเปน็ หรือเกยี่ วข้องสาหรบั การเขา้ ทาสญั ญาซง่ึ รวมถงึ การให้บริการนนั้ ๆ ส�ำ นักงานพัฒนาธรุ กรรมทางอิเล็กทรอนกิ ส์ 425

เล่ม ๑๓๖ ตอนที่ ๖๙ ก หน้า ๖๑ ๒๗ พฤษภาคม ๒๕๖๒ ราชกิจจานเุ บกษา เจ้าของข้อมูลส่วนบุคคลจะถอนความยินยอมเสียเม่ือใดก็ไดโ้ ดยจะต้องถอนความยินยอมไดง้ า่ ย เช่นเดียวกับการให้ความยินยอม เว้นแต่มีข้อจากัดสิทธิในการถอนความยินยอมโดยกฎหมายหรือ สัญญาท่ีให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคล ทั้งน้ี การถอนความยินยอมย่อมไม่ส่งผลกระทบต่อ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลท่ีเจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมไปแล้ว โดยชอบตามท่กี าหนดไว้ในหมวดนี้ ในกรณีท่ีการถอนความยินยอมส่งผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลในเรื่องใด ผู้ควบคุม ขอ้ มลู สว่ นบุคคลตอ้ งแจ้งใหเ้ จ้าของข้อมูลส่วนบคุ คลทราบถึงผลกระทบจากการถอนความยนิ ยอมนั้น การขอความยินยอมจากเจา้ ของข้อมลู ส่วนบคุ คลท่ีไม่เปน็ ไปตามท่ีกาหนดไว้ในหมวดน้ี ไม่มผี ล ผูกพันเจ้าของข้อมูลส่วนบุคคล และไม่ทาให้ผู้ควบคุมข้อมูลส่วนบุคคลสามารถทาการเก็บรวบรวม ใช้ หรอื เปดิ เผยข้อมูลส่วนบคุ คลได้ มาตรา ๒๐ ในกรณีทเี่ จา้ ของขอ้ มูลส่วนบคุ คลเปน็ ผูเ้ ยาว์ซ่งึ ยังไมบ่ รรลุนติ ิภาวะโดยการสมรส หรือไม่มฐี านะเสมือนดงั บุคคลซ่ึงบรรลุนติ ิภาวะแล้วตามมาตรา ๒๗ แหง่ ประมวลกฎหมายแพ่งและพาณิชย์ การขอความยินยอมจากเจา้ ของขอ้ มูลส่วนบคุ คลดงั กล่าว ใหด้ าเนนิ การ ดังตอ่ ไปนี้ (๑) ในกรณีที่การให้ความยินยอมของผู้เยาว์ไม่ใช่การใด ๆ ซ่ึงผู้เยาว์อาจให้ความยินยอม โดยลาพังได้ตามที่บัญญัติไว้ในมาตรา ๒๒ มาตรา ๒๓ หรือมาตรา ๒๔ แห่งประมวลกฎหมายแพ่ง และพาณิชย์ ตอ้ งได้รับความยนิ ยอมจากผใู้ ชอ้ านาจปกครองท่ีมีอานาจกระทาการแทนผูเ้ ยาว์ด้วย (๒) ในกรณีที่ผู้เยาว์มีอายุไม่เกินสิบปี ให้ขอความยินยอมจากผู้ใช้อานาจปกครองท่ีมีอานาจ กระทาการแทนผเู้ ยาว์ ในกรณีท่ีเจ้าของข้อมูลส่วนบุคคลเป็นคนไร้ความสามารถ การขอความยินยอมจากเจ้าของ ขอ้ มลู ส่วนบุคคลดังกลา่ ว ให้ขอความยินยอมจากผู้อนบุ าลที่มอี านาจกระทาการแทนคนไร้ความสามารถ ในกรณีที่เจ้าของข้อมูลส่วนบุคคลเป็นคนเสมือนไร้ความสามารถ การขอความยินยอมจาก เจ้าของขอ้ มูลส่วนบุคคลดงั กล่าว ให้ขอความยินยอมจากผู้พิทักษ์ท่มี ีอานาจกระทาการแทนคนเสมือนไร้ ความสามารถ ให้นาความในวรรคหนึ่ง วรรคสอง และวรรคสาม มาใช้บังคับกับการถอนความยินยอมของ เจ้าของข้อมูลส่วนบุคคล การแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบ การใช้สิทธิของเจ้าของข้อมูล ส่วนบุคคล การร้องเรียนของเจ้าของข้อมูลส่วนบุคคล และการอื่นใดตามพระราชบัญญัตินี้ในกรณีท่ี เจา้ ของขอ้ มูลสว่ นบคุ คลเปน็ ผเู้ ยาว์ คนไรค้ วามสามารถ หรือคนเสมือนไรค้ วามสามารถ โดยอนุโลม สำ�นักงานพฒั นาธรุ กรรมทางอิเลก็ ทรอนกิ ส์ 426

เล่ม ๑๓๖ ตอนท่ี ๖๙ ก หน้า ๖๒ ๒๗ พฤษภาคม ๒๕๖๒ ราชกจิ จานุเบกษา มาตรา ๒๑ ผู้ควบคุมข้อมูลส่วนบุคคลต้องทาการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคลตามวัตถุประสงคท์ ไ่ี ด้แจง้ เจ้าของข้อมูลสว่ นบุคคลไวก้ อ่ นหรือในขณะที่เก็บรวบรวม การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลท่ีแตกต่างไปจากวัตถุประสงค์ท่ีได้แจ้งไว้ ตามวรรคหนงึ่ จะกระทามิได้ เวน้ แต่ (๑) ได้แจ้งวัตถุประสงค์ใหม่น้ันให้เจ้าของข้อมูลส่วนบุคคลทราบและได้รับความยินยอมก่อน เกบ็ รวบรวม ใช้ หรอื เปิดเผยแลว้ (๒) บทบญั ญัติแห่งพระราชบญั ญัตนิ ้ีหรอื กฎหมายอนื่ บัญญตั ิให้กระทาได้ ส่วนท่ี ๒ การเกบ็ รวบรวมข้อมลู สว่ นบุคคล มาตรา ๒๒ การเก็บรวบรวมข้อมูลส่วนบุคคล ให้เก็บรวบรวมได้เท่าที่จาเป็นภายใต้ วัตถุประสงคอ์ ันชอบด้วยกฎหมายของผูค้ วบคุมข้อมลู ส่วนบุคคล มาตรา ๒๓ ในการเก็บรวบรวมข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้ง ใหเ้ จา้ ของข้อมูลส่วนบคุ คลทราบก่อนหรือในขณะเกบ็ รวบรวมขอ้ มูลส่วนบุคคลถงึ รายละเอยี ด ดังตอ่ ไปน้ี เวน้ แตเ่ จ้าของข้อมูลสว่ นบคุ คลได้ทราบถงึ รายละเอยี ดน้นั อย่แู ล้ว (๑) วัตถุประสงค์ของการเก็บรวบรวมเพื่อการนาข้อมูลส่วนบุคคลไปใช้หรือเปิดเผยซ่ึงรวมถึง วัตถุประสงค์ตามท่ีมาตรา ๒๔ ให้อานาจในการเก็บรวบรวมได้โดยไม่ได้รับความยินยอมจากเจ้าของ ข้อมลู สว่ นบุคคล (๒) แจ้งให้ทราบถึงกรณีท่ีเจ้าของข้อมูลส่วนบุคคลต้องให้ข้อมูลส่วนบุคคลเพ่ือปฏิบัติ ตามกฎหมายหรือสัญญาหรือมีความจาเป็นต้องให้ข้อมูลส่วนบุคคลเพ่ือเข้าทาสัญญา รวมท้ังแจ้งถึง ผลกระทบท่เี ป็นไปได้จากการไม่ให้ขอ้ มูลส่วนบุคคล (๓) ข้อมูลส่วนบุคคลที่จะมีการเก็บรวบรวมและระยะเวลาในการเก็บรวบรวมไว้ ทั้งน้ี ในกรณี ท่ีไม่สามารถกาหนดระยะเวลาดงั กล่าวได้ชัดเจน ให้กาหนดระยะเวลาท่ีอาจคาดหมายได้ตามมาตรฐาน ของการเกบ็ รวบรวม (๔) ประเภทของบุคคลหรือหนว่ ยงานซง่ึ ข้อมลู ส่วนบคุ คลที่เกบ็ รวบรวมอาจจะถกู เปดิ เผย (๕) ข้อมูลเก่ียวกับผู้ควบคุมข้อมูลส่วนบุคคล สถานท่ีติดต่อ และวิธีการติดต่อในกรณี ที่มีตัวแทนหรือเจ้าหน้าท่ีคุ้มครองขอ้ มูลส่วนบุคคล ให้แจ้งข้อมูล สถานท่ีติดต่อ และวิธีการติดต่อของ ตัวแทนหรอื เจ้าหน้าที่คุ้มครองขอ้ มูลส่วนบคุ คลดว้ ย สำ�นักงานพัฒนาธรุ กรรมทางอิเลก็ ทรอนิกส์ 427

เล่ม ๑๓๖ ตอนท่ี ๖๙ ก หน้า ๖๓ ๒๗ พฤษภาคม ๒๕๖๒ ราชกจิ จานเุ บกษา (๖) สิทธิของเจ้าของข้อมูลส่วนบุคคลตามมาตรา ๑๙ วรรคห้า มาตรา ๓๐ วรรคหนึ่ง มาตรา ๓๑ วรรคหน่ึง มาตรา ๓๒ วรรคหนึ่ง มาตรา ๓๓ วรรคหน่ึง มาตรา ๓๔ วรรคหนึ่ง มาตรา ๓๖ วรรคหน่งึ และมาตรา ๗๓ วรรคหนึ่ง มาตรา ๒๔ ห้ามมิให้ผู้ควบคุมข้อมูลส่วนบุคคลทาการเก็บรวบรวมข้อมูลส่วนบุคคล โดยไมไ่ ด้รับความยนิ ยอมจากเจ้าของข้อมูลส่วนบคุ คล เวน้ แต่ (๑) เพื่อให้บรรลุวัตถุประสงค์ที่เก่ียวกับการจัดทาเอกสารประวัติศาสตร์หรือจดหมายเหตุ เพื่อประโยชนส์ าธารณะ หรือทเ่ี กย่ี วกบั การศกึ ษาวิจัยหรอื สถิติซงึ่ ไดจ้ ัดใหม้ มี าตรการปกป้องทเี่ หมาะสม เพ่ือคุม้ ครองสิทธแิ ละเสรภี าพของเจ้าของข้อมลู ส่วนบุคคล ทั้งนี้ ตามที่คณะกรรมการประกาศกาหนด (๒) เพอื่ ปอ้ งกันหรอื ระงบั อนั ตรายต่อชีวิต รา่ งกาย หรือสขุ ภาพของบุคคล (๓) เป็นการจาเป็นเพื่อการปฏิบัติตามสัญญาซ่ึงเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาหรือ เพ่อื ใช้ในการดาเนินการตามคาขอของเจ้าของขอ้ มลู สว่ นบุคคลกอ่ นเขา้ ทาสญั ญานน้ั (๔) เป็นการจาเป็นเพือ่ การปฏบิ ตั หิ นา้ ทใี่ นการดาเนินภารกจิ เพือ่ ประโยชน์สาธารณะของผคู้ วบคุม ข้อมูลส่วนบคุ คล หรอื ปฏิบตั หิ นา้ ทีใ่ นการใชอ้ านาจรัฐทไ่ี ดม้ อบใหแ้ ก่ผคู้ วบคุมขอ้ มูลส่วนบคุ คล (๕) เป็นการจาเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล หรือของบุคคลหรือนิติบุคคลอน่ื ที่ไมใ่ ช่ผู้ควบคมุ ขอ้ มูลส่วนบุคคล เวน้ แต่ประโยชนด์ ังกล่าวมคี วามสาคัญ นอ้ ยกว่าสิทธขิ ัน้ พ้ืนฐานในข้อมูลสว่ นบคุ คลของเจ้าของขอ้ มูลสว่ นบคุ คล (๖) เปน็ การปฏิบตั ิตามกฎหมายของผู้ควบคมุ ข้อมูลสว่ นบุคคล มาตรา ๒๕ ห้ามมิให้ผู้ควบคุมข้อมูลส่วนบุคคลทาการเก็บรวบรวมข้อมูลส่วนบุคคลจาก แหลง่ อน่ื ที่ไม่ใชจ่ ากเจา้ ของขอ้ มลู สว่ นบคุ คลโดยตรง เว้นแต่ (๑) ได้แจ้งถึงการเก็บรวบรวมข้อมูลส่วนบุคคลจากแหลง่ อน่ื ให้แกเ่ จ้าของข้อมูลสว่ นบุคคลทราบ โดยไม่ชักช้า แต่ต้องไม่เกินสามสิบวันนับแต่วันท่ีเก็บรวบรวมและได้รับความยินยอมจากเจ้าของข้อมูล ส่วนบคุ คล (๒) เป็นการเก็บรวบรวมข้อมูลส่วนบุคคลท่ีได้รับยกเว้นไม่ต้องขอความยินยอมตามมาตรา ๒๔ หรอื มาตรา ๒๖ ให้นาบทบัญญัติเก่ียวกับการแจ้งวัตถุประสงค์ใหม่ตามมาตรา ๒๑ และการแจ้งรายละเอียด ตามมาตรา ๒๓ มาใช้บงั คับกับการเกบ็ รวบรวมข้อมลู สว่ นบคุ คลทต่ี อ้ งได้รับความยนิ ยอมตามวรรคหน่ึง โดยอนุโลม เว้นแต่กรณดี ังตอ่ ไปนี้ สำ�นักงานพัฒนาธรุ กรรมทางอิเลก็ ทรอนิกส์ 428

เล่ม ๑๓๖ ตอนที่ ๖๙ ก หน้า ๖๔ ๒๗ พฤษภาคม ๒๕๖๒ ราชกจิ จานุเบกษา (๑) เจา้ ของข้อมูลส่วนบุคคลทราบวตั ถปุ ระสงค์ใหม่หรอื รายละเอยี ดน้ันอยูแ่ ล้ว (๒) ผู้ควบคุมข้อมูลส่วนบุคคลพิสูจน์ได้ว่าการแจ้งวัตถุประสงค์ใหม่หรือรายละเอียดดังกล่าว ไม่สามารถทาได้หรือจะเป็นอุปสรรคต่อการใช้หรือเปิดเผยข้อมูลส่วนบุคคล โดยเฉพาะอย่างย่ิงเพื่อให้ บรรลุวตั ถุประสงค์เกี่ยวกบั การศกึ ษาวจิ ยั ทางวิทยาศาสตร์ ประวตั ศิ าสตร์ หรอื สถติ ิ ในกรณนี ผี้ ้คู วบคุม ข้อมูลส่วนบุคคลต้องจัดให้มมี าตรการที่เหมาะสมเพื่อคุ้มครองสิทธิ เสรีภาพ และประโยชน์ของเจ้าของ ข้อมูลสว่ นบคุ คล (๓) การใช้หรือการเปิดเผยข้อมูลส่วนบุคคลต้องกระทาโดยเร่งด่วนตามท่ีกฎหมายกาหนด ซ่งึ ได้จดั ใหม้ ีมาตรการทเ่ี หมาะสมเพื่อคมุ้ ครองประโยชน์ของเจ้าของขอ้ มลู ส่วนบุคคล (๔) เมื่อผู้ควบคุมข้อมูลส่วนบุคคลเป็นผู้ซ่ึงล่วงรู้หรือได้มาซ่ึงข้อมูลส่วนบุคคลจากหน้าท่ี หรือจากการประกอบอาชีพหรือวิชาชีพและต้องรักษาวัตถุประสงค์ใหม่หรือรายละเอียดบางประการ ตามมาตรา ๒๓ ไวเ้ ป็นความลับตามท่กี ฎหมายกาหนด การแจ้งรายละเอียดตามวรรคสอง ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งให้เจ้าของข้อมูล สว่ นบคุ คลทราบภายในสามสิบวันนบั แต่วนั ที่เก็บรวบรวมตามมาตราน้ี เวน้ แตก่ รณที น่ี าข้อมลู สว่ นบคุ คล ไปใช้เพ่ือการติดต่อกับเจ้าของข้อมูลส่วนบุคคลต้องแจ้งในการติดต่อครั้งแรก และกรณีท่ีจะนาข้อมูล สว่ นบุคคลไปเปิดเผย ต้องแจง้ ก่อนที่จะนาขอ้ มลู สว่ นบคุ คลไปเปิดเผยเปน็ ครงั้ แรก มาตรา ๒๖ หา้ มมิให้เก็บรวบรวมขอ้ มลู สว่ นบคุ คลเกยี่ วกบั เชื้อชาติ เผ่าพนั ธุ์ ความคดิ เหน็ ทางการเมือง ความเช่ือในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอ่ืนใด ซ่ึงกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทานองเดียวกันตามที่คณะกรรมการประกาศกาหนด โดยไม่ได้รบั ความยนิ ยอมโดยชัดแจง้ จากเจ้าของข้อมูลส่วนบคุ คล เวน้ แต่ (๑) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคลซ่ึงเจ้าของข้อมูล ส่วนบคุ คลไมส่ ามารถให้ความยนิ ยอมได้ ไมว่ ่าดว้ ยเหตใุ ดกต็ าม (๒) เปน็ การดาเนนิ กจิ กรรมโดยชอบด้วยกฎหมายทีม่ กี ารคุ้มครองที่เหมาะสมของมูลนิธิ สมาคม หรือองค์กรที่ไม่แสวงหากาไรท่ีมีวัตถุประสงค์เก่ียวกับการเมือง ศาสนา ปรัชญา หรือสหภาพแรงงาน ให้แก่สมาชิก ผู้ซ่ึงเคยเป็นสมาชิก หรือผู้ซึ่งมีการติดต่ออย่างสม่าเสมอกับมูลนิธิ สมาคม หรือองค์กร ท่ีไม่แสวงหากาไรตามวัตถุประสงค์ดังกล่าวโดยไม่ได้เปิดเผยข้อมูลส่วนบุคคลน้ันออกไปภายนอกมูลนิธิ สมาคม หรอื องค์กรทไี่ มแ่ สวงหากาไรนน้ั สำ�นกั งานพฒั นาธรุ กรรมทางอิเลก็ ทรอนิกส์ 429

เล่ม ๑๓๖ ตอนท่ี ๖๙ ก หน้า ๖๕ ๒๗ พฤษภาคม ๒๕๖๒ ราชกิจจานุเบกษา (๓) เป็นข้อมูลท่ีเปดิ เผยตอ่ สาธารณะดว้ ยความยนิ ยอมโดยชัดแจ้งของเจ้าของข้อมูลส่วนบุคคล (๔) เป็นการจาเป็นเพื่อการก่อต้ังสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิ เรียกร้องตามกฎหมาย หรอื การยกข้ึนต่อสสู้ ทิ ธิเรียกร้องตามกฎหมาย (๕) เป็นการจาเปน็ ในการปฏิบัตติ ามกฎหมายเพ่อื ใหบ้ รรลวุ ตั ถปุ ระสงค์เกย่ี วกบั (ก) เวชศาสตร์ปอ้ งกนั หรอื อาชีวเวชศาสตร์ การประเมินความสามารถในการทางานของ ลูกจ้าง การวินิจฉัยโรคทางการแพทย์ การให้บริการด้านสุขภาพหรือด้านสังคม การรักษาทางการแพทย์ การจัดการด้านสขุ ภาพ หรือระบบและการใหบ้ ริการด้านสังคมสงเคราะห์ ทั้งนี้ ในกรณีท่ีไม่ใช่การปฏบิ ัติ ตามกฎหมายและข้อมูลส่วนบุคคลน้ันอยู่ในความรับผิดชอบของผู้ประกอบอาชีพหรือวิชาชีพหรือผู้มีหนา้ ที่ รักษาข้อมูลส่วนบุคคลน้ันไว้เป็นความลับตามกฎหมาย ต้องเป็นการปฏิบัติตามสัญญาระหว่างเจ้าของ ขอ้ มูลส่วนบุคคลกับผปู้ ระกอบวชิ าชีพทางการแพทย์ (ข) ประโยชนส์ าธารณะด้านการสาธารณสุข เช่น การปอ้ งกนั ดา้ นสขุ ภาพจากโรคตดิ ต่อ อันตรายหรือโรคระบาดที่อาจตดิ ตอ่ หรือแพร่เขา้ มาในราชอาณาจกั ร หรือการควบคุมมาตรฐานหรือคณุ ภาพ ของยา เวชภัณฑ์ หรือเครอ่ื งมือแพทย์ ซึ่งได้จัดให้มมี าตรการท่ีเหมาะสมและเจาะจงเพื่อคุ้มครองสิทธิ และเสรีภาพของเจ้าของข้อมูลส่วนบุคคลโดยเฉพาะการรักษาความลับของข้อมลู ส่วนบุคคลตามหน้าท่ีหรอื ตามจรยิ ธรรมแหง่ วชิ าชพี (ค) การคุ้มครองแรงงาน การประกนั สงั คม หลักประกนั สุขภาพแหง่ ชาติ สวัสดิการเกย่ี วกบั การรกั ษาพยาบาลของผู้มสี ิทธติ ามกฎหมาย การคุ้มครองผปู้ ระสบภัยจากรถ หรือการคุ้มครองทางสงั คม ซึ่งการเก็บรวบรวมข้อมูลส่วนบุคคลเป็นส่ิงจาเป็นในการปฏิบัติตามสิทธิหรือหน้าที่ของผู้ควบคุมข้อมูล ส่วนบุคคลหรือเจ้าของข้อมูลส่วนบุคคล โดยได้จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิขั้นพ้ืนฐาน และประโยชน์ของเจ้าของข้อมลู สว่ นบุคคล (ง) การศึกษาวจิ ยั ทางวิทยาศาสตร์ ประวัติศาสตร์ หรอื สถิติ หรอื ประโยชนส์ าธารณะอ่ืน ทั้งนี้ ต้องกระทาเพื่อให้บรรลุวัตถุประสงค์ดังกล่าวเพียงเท่าท่ีจาเป็นเท่าน้ัน และได้จัดให้มีมาตรการ ท่ีเหมาะสมเพ่อื คุ้มครองสิทธิขน้ั พืน้ ฐานและประโยชนข์ องเจ้าของข้อมูลสว่ นบุคคล ตามท่คี ณะกรรมการ ประกาศกาหนด (จ) ประโยชน์สาธารณะท่ีสาคัญ โดยได้จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครอง สทิ ธิขั้นพื้นฐานและประโยชนข์ องเจ้าของข้อมลู สว่ นบุคคล สำ�นกั งานพฒั นาธรุ กรรมทางอิเลก็ ทรอนกิ ส์ 430

เล่ม ๑๓๖ ตอนท่ี ๖๙ ก หน้า ๖๖ ๒๗ พฤษภาคม ๒๕๖๒ ราชกิจจานุเบกษา ข้อมูลชีวภาพตามวรรคหน่ึงใหห้ มายถึงข้อมูลส่วนบุคคลที่เกดิ จากการใช้เทคนิคหรอื เทคโนโลยี ท่ีเก่ียวข้องกับการนาลักษณะเด่นทางกายภาพหรอื ทางพฤติกรรมของบุคคลมาใช้ทาใหส้ ามารถยืนยันตวั ตน ของบุคคลน้ันท่ีไม่เหมือนกับบุคคลอื่นได้ เช่น ข้อมูลภาพจาลองใบหน้า ข้อมูลจาลองม่านตา หรือ ขอ้ มูลจาลองลายน้ิวมอื ในกรณีท่ีเป็นการเก็บรวบรวมข้อมูลส่วนบุคคลเก่ียวกับประวัติอาชญากรรมต้องกระทาภายใต้ การควบคุมของหน่วยงานท่ีมอี านาจหนา้ ทต่ี ามกฎหมาย หรือได้จัดใหม้ มี าตรการคุ้มครองข้อมูลส่วนบคุ คล ตามหลกั เกณฑท์ ค่ี ณะกรรมการประกาศกาหนด สว่ นที่ ๓ การใชห้ รือเปดิ เผยข้อมูลสว่ นบุคคล มาตรา ๒๗ ห้ามมิให้ผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือเปิดเผยข้อมูลส่วนบุคคล โดยไม่ได้ รับความยนิ ยอมจากเจา้ ของข้อมูลส่วนบคุ คล เว้นแต่เป็นข้อมลู สว่ นบคุ คลท่ีเก็บรวบรวมไดโ้ ดยไดร้ บั ยกเวน้ ไม่ตอ้ งขอความยนิ ยอมตามมาตรา ๒๔ หรือมาตรา ๒๖ บุคคลหรอื นติ ิบุคคลทีไ่ ดร้ ับข้อมูลส่วนบคุ คลมาจากการเปดิ เผยตามวรรคหน่งึ จะตอ้ งไมใ่ ชห้ รือ เปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์อื่นนอกเหนือจากวัตถุประสงค์ท่ีได้แจ้งไว้กับผู้ควบคุมข้อมูล สว่ นบุคคลในการขอรบั ขอ้ มูลส่วนบคุ คลนนั้ ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่ได้รับยกเว้นไม่ต้องขอ ความยินยอมตามวรรคหนึ่ง ผู้ควบคุมข้อมูลส่วนบุคคลต้องบันทึกการใช้หรือเปิดเผยนั้นไว้ในรายการ ตามมาตรา ๓๙ มาตรา ๒๘ ในกรณีทีผ่ ้คู วบคุมข้อมูลส่วนบุคคลส่งหรือโอนขอ้ มูลสว่ นบุคคลไปยังต่างประเทศ ประเทศปลายทางหรือองค์การระหว่างประเทศท่ีรับข้อมูลส่วนบุคคลต้องมีมาตรฐานการคุ้มครองข้อมูล ส่วนบุคคลท่ีเพียงพอ ทั้งนี้ ต้องเป็นไปตามหลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลตามท่ี คณะกรรมการประกาศกาหนดตามมาตรา ๑๖ (๕) เว้นแต่ (๑) เปน็ การปฏบิ ตั ิตามกฎหมาย (๒) ได้รับความยินยอมจากเจ้าของขอ้ มลู ส่วนบุคคลโดยได้แจ้งใหเ้ จ้าของข้อมูลส่วนบคุ คลทราบถึง มาตรฐานการคุ้มครองข้อมูลส่วนบคุ คลท่ีไม่เพียงพอของประเทศปลายทางหรือองค์การระหว่างประเทศ ท่ีรับข้อมูลสว่ นบคุ คลแล้ว สำ�นกั งานพัฒนาธรุ กรรมทางอิเล็กทรอนกิ ส์ 431

เล่ม ๑๓๖ ตอนท่ี ๖๙ ก หน้า ๖๗ ๒๗ พฤษภาคม ๒๕๖๒ ราชกิจจานเุ บกษา (๓) เป็นการจาเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาหรือ เพ่ือใชใ้ นการดาเนินการตามคาขอของเจ้าของขอ้ มลู ส่วนบุคคลกอ่ นเขา้ ทาสัญญาน้นั (๔) เป็นการกระทาตามสัญญาระหว่างผู้ควบคุมข้อมูลส่วนบุคคลกับบุคคลหรือนิติบุคคลอ่ืน เพอ่ื ประโยชน์ของเจ้าของขอ้ มลู สว่ นบคุ คล (๕) เพ่ือป้องกนั หรือระงบั อนั ตรายต่อชีวติ ร่างกาย หรือสุขภาพของเจ้าของข้อมูลสว่ นบคุ คล หรือบคุ คลอน่ื เมื่อเจา้ ของข้อมลู ส่วนบุคคลไม่สามารถใหค้ วามยินยอมในขณะน้ันได้ (๖) เป็นการจาเป็นเพื่อการดาเนินภารกจิ เพ่ือประโยชนส์ าธารณะทสี่ าคญั ในกรณที มี่ ีปญั หาเกย่ี วกับมาตรฐานการค้มุ ครองขอ้ มูลสว่ นบคุ คลที่เพียงพอของประเทศปลายทาง หรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคล ให้เสนอต่อคณะกรรมการเป็นผู้วินิจฉัย ท้ังนี้ คาวนิ ิจฉยั ของคณะกรรมการอาจขอใหท้ บทวนไดเ้ มอ่ื มหี ลกั ฐานใหม่ทาให้เชื่อไดว้ ่าประเทศปลายทางหรือ องค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคลมีการพัฒนาจนมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคล ทีเ่ พียงพอ มาตรา ๒๙ ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลซ่ึงอยู่ ในราชอาณาจักรได้กาหนดนโยบายในการคุ้มครองข้อมูลส่วนบุคคลเพื่อการส่งหรือโอนข้อมูลส่วนบุคคล ไปยังผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลซ่ึงอยู่ต่างประเทศและอยู่ในเครือกิจการ หรือเครือธุรกิจเดียวกันเพื่อการประกอบกิจการหรือธุรกิจร่วมกัน หากนโยบายในการคุ้มครองข้อมูล ส่วนบุคคลดังกล่าวได้รับการตรวจสอบและรับรองจากสานักงาน การส่งหรือโอนข้อมูลส่วนบุคคลไปยัง ต่างประเทศท่ีเป็นไปตามนโยบายในการคุ้มครองข้อมูลส่วนบุคคลที่ได้รับการตรวจสอบและรับรองดงั กลา่ ว ให้สามารถกระทาไดโ้ ดยได้รับยกเว้นไมต่ ้องปฏิบัตติ ามมาตรา ๒๘ นโยบายในการคุ้มครองข้อมูลส่วนบุคคล ลักษณะของเครือกิจการหรือเครือธุรกิจเดียวกัน เพ่ือการประกอบกิจการหรือธรุ กิจร่วมกนั และหลักเกณฑ์และวธิ กี ารตรวจสอบและรับรองตามวรรคหนงึ่ ให้เปน็ ไปตามทคี่ ณะกรรมการประกาศกาหนด ในกรณที ย่ี ังไม่มีคาวนิ จิ ฉยั ของคณะกรรมการตามมาตรา ๒๘ หรอื ยังไม่มีนโยบายในการค้มุ ครอง ข้อมูลส่วนบุคคลตามวรรคหน่ึง ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลอาจส่ง หรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศได้โดยได้รับยกเว้นไม่ต้องปฏิบัติตามมาตรา ๒๘ เมื่อผู้ควบคุม ขอ้ มูลส่วนบุคคลหรือผปู้ ระมวลผลข้อมลู สว่ นบุคคลได้จัดใหม้ ีมาตรการค้มุ ครองทเี่ หมาะสมสามารถบงั คับ ตามสิทธิของเจ้าของข้อมูลส่วนบุคคลได้ รวมท้ังมีมาตรการเยียวยาทางกฎหมายท่ีมีประสิทธิภาพ ตามหลักเกณฑ์และวธิ กี ารท่ีคณะกรรมการประกาศกาหนด ส�ำ นักงานพฒั นาธรุ กรรมทางอิเลก็ ทรอนกิ ส์ 432

เล่ม ๑๓๖ ตอนท่ี ๖๙ ก หน้า ๖๘ ๒๗ พฤษภาคม ๒๕๖๒ ราชกจิ จานเุ บกษา หมวด ๓ สิทธขิ องเจา้ ของขอ้ มูลสว่ นบุคคล มาตรา ๓๐ เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงและขอรับสาเนาข้อมูลส่วนบุคคล ที่เกี่ยวกับตนซ่ึงอยู่ในความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล หรือขอให้เปิดเผยถึงการได้มา ซึ่งข้อมลู ส่วนบุคคลดังกลา่ วท่ตี นไม่ได้ให้ความยินยอม ผู้ควบคมุ ขอ้ มูลสว่ นบคุ คลตอ้ งปฏบิ ัติตามคาขอตามวรรคหนง่ึ จะปฏเิ สธคาขอไดเ้ ฉพาะในกรณี ท่ีเป็นการปฏิเสธตามกฎหมายหรือคาสั่งศาล และการเข้าถึงและขอรับสาเนาข้อมูลส่วนบุคคลน้ัน จะส่งผลกระทบทอี่ าจกอ่ ให้เกดิ ความเสียหายต่อสิทธแิ ละเสรภี าพของบคุ คลอื่น ในกรณีท่ีผู้ควบคุมข้อมูลส่วนบุคคลปฏิเสธคาขอตามวรรคหน่ึง ให้ผู้ควบคุมข้อมูลส่วนบุคคล บันทึกการปฏเิ สธคาขอดงั กล่าวพรอ้ มด้วยเหตผุ ลไวใ้ นรายการตามมาตรา ๓๙ เม่ือเจ้าของข้อมูลส่วนบุคคลมีคาขอตามวรรคหน่ึงและเป็นกรณีที่ไม่อาจปฏิเสธคาขอได้ ตามวรรคสอง ให้ผู้ควบคุมข้อมูลส่วนบุคคลดาเนินการตามคาขอโดยไม่ชักช้า แต่ต้องไม่เกินสามสิบวนั นบั แต่วันที่ไดร้ บั คาขอ คณะกรรมการอาจกาหนดหลักเกณฑ์เกี่ยวกบั การเข้าถึงและการขอรับสาเนาตามวรรคหนง่ึ รวมทัง้ การขยายระยะเวลาตามวรรคส่หี รือหลักเกณฑอ์ ืน่ ตามความเหมาะสมก็ได้ มาตรา ๓๑ เจ้าของขอ้ มลู สว่ นบุคคลมีสิทธขิ อรบั ข้อมูลส่วนบุคคลที่เก่ียวกับตนจากผู้ควบคุม ข้อมูลส่วนบุคคลได้ ในกรณีท่ีผู้ควบคุมข้อมูลส่วนบุคคลได้ทาให้ข้อมูลส่วนบุคคลนั้นอยู่ในรูปแบบ ท่ีสามารถอ่านหรือใช้งานโดยท่ัวไปได้ด้วยเครื่องมือหรืออุปกรณ์ท่ีทางานได้โดยอัตโนมัติและสามารถใช้ หรือเปดิ เผยขอ้ มลู สว่ นบคุ คลได้ด้วยวธิ กี ารอตั โนมตั ิ รวมทั้งมีสิทธิ ดังตอ่ ไปน้ี (๑) ขอให้ผู้ควบคุมข้อมลู ส่วนบคุ คลสง่ หรือโอนขอ้ มูลสว่ นบุคคลในรปู แบบดังกลา่ วไปยังผู้ควบคุม ข้อมูลสว่ นบุคคลอน่ื เม่ือสามารถทาไดด้ ้วยวธิ กี ารอัตโนมัติ (๒) ขอรับข้อมูลส่วนบุคคลท่ีผู้ควบคุมข้อมูลส่วนบุคคลส่งหรือโอนข้อมลู ส่วนบคุ คลในรูปแบบ ดังกล่าวไปยงั ผคู้ วบคุมข้อมูลส่วนบคุ คลอ่นื โดยตรง เว้นแต่โดยสภาพทางเทคนิคไม่สามารถทาได้ ขอ้ มูลส่วนบคุ คลตามวรรคหนง่ึ ต้องเปน็ ข้อมูลสว่ นบคุ คลที่เจ้าของขอ้ มลู ส่วนบุคคลได้ใหค้ วามยนิ ยอม ในการเกบ็ รวบรวม ใช้ หรือเปิดเผยขอ้ มูลสว่ นบุคคลตามหลักเกณฑ์แห่งพระราชบญั ญตั ินี้ หรือเป็นข้อมูล สว่ นบคุ คลทไี่ ดร้ บั ยกเวน้ ไมต่ ้องขอความยนิ ยอมตามมาตรา ๒๔ (๓) หรอื เปน็ ข้อมูลส่วนบุคคลอื่นทกี่ าหนด ในมาตรา ๒๔ ตามที่คณะกรรมการประกาศกาหนด สำ�นักงานพัฒนาธรุ กรรมทางอิเลก็ ทรอนิกส์ 433

เล่ม ๑๓๖ ตอนท่ี ๖๙ ก หน้า ๖๙ ๒๗ พฤษภาคม ๒๕๖๒ ราชกิจจานุเบกษา การใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลตามวรรคหนึ่งจะใช้กับการส่งหรอื โอนข้อมูลสว่ นบคุ คล ของผู้ควบคุมข้อมูลส่วนบุคคลซ่ึงเป็นการปฏิบัติหน้าที่เพื่อประโยชน์สาธารณะหรือเป็นการปฏิบัติหน้าท่ี ตามกฎหมายไม่ได้ หรือการใชส้ ิทธินั้นตอ้ งไม่ละเมิดสิทธหิ รอื เสรีภาพของบคุ คลอ่ืน ท้งั น้ี ในกรณีท่ผี ู้ควบคมุ ข้อมูลส่วนบุคคลปฏิเสธคาขอด้วยเหตุผลดังกล่าว ให้ผู้ควบคุมข้อมูลส่วนบุคคลบันทึกการปฏิเสธคาขอ พร้อมด้วยเหตผุ ลไวใ้ นรายการตามมาตรา ๓๙ มาตรา ๓๒ เจ้าของขอ้ มลู ส่วนบุคคลมีสทิ ธคิ ดั คา้ นการเกบ็ รวบรวม ใช้ หรือเปดิ เผยข้อมลู ส่วนบุคคลทเ่ี กี่ยวกับตนเม่อื ใดกไ็ ด้ ดังต่อไปน้ี (๑) กรณีที่เป็นข้อมูลส่วนบุคคลที่เก็บรวบรวมได้โดยได้รับยกเว้นไม่ต้องขอความยินยอม ตามมาตรา ๒๔ (๔) หรือ (๕) เว้นแตผ่ ู้ควบคุมข้อมลู สว่ นบุคคลพิสจู น์ได้ว่า (ก) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้น ผู้ควบคุมข้อมูลส่วนบุคคล ไดแ้ สดงให้เหน็ ถึงเหตอุ นั ชอบดว้ ยกฎหมายท่สี าคัญยิ่งกว่า (ข) การเกบ็ รวบรวม ใช้ หรือเปิดเผยข้อมลู ส่วนบคุ คลน้ันเปน็ ไปเพื่อก่อตั้งสิทธิเรียกร้อง ตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกข้ึนต่อสู้สิทธิเรียกร้อง ตามกฎหมาย (๒) กรณีท่ีเป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพ่ือวัตถุประสงค์เก่ียวกับ การตลาดแบบตรง (๓) กรณีที่เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์เก่ียวกับ การศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ เว้นแต่เป็นการจาเป็นเพื่อการดาเนินภารกจิ เพื่อประโยชน์สาธารณะของผ้คู วบคมุ ข้อมูลส่วนบุคคล ในกรณีที่เจ้าของข้อมูลส่วนบุคคลใช้สิทธิคัดค้านตามวรรคหน่ึง ผู้ควบคุมข้อมูลส่วนบุคคล ไม่สามารถเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลน้ันต่อไปได้ ท้ังนี้ ผู้ควบคุมข้อมูลส่วนบคุ คล ต้องปฏิบัติโดยแยกส่วนออกจากข้อมูลอ่ืนอย่างชัดเจนในทันทีเม่ือเจ้าของข้อมูลส่วนบุคคลได้แจ้ง การคดั ค้านใหผ้ คู้ วบคมุ ข้อมูลสว่ นบคุ คลทราบ ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลปฏิเสธการคัดด้านด้วยเหตุผลตาม (๑) (ก) หรือ (ข) หรือ (๓) ให้ผู้ควบคุมข้อมูลส่วนบุคคลบันทึกการปฏิเสธการคัดค้านพร้อมด้วยเหตุผลไว้ในรายการ ตามมาตรา ๓๙ มาตรา ๓๓ เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลดาเนินการลบ หรือทาลาย หรือทาให้ข้อมูลส่วนบุคคลเป็นข้อมูลท่ีไม่สามารถระบุตัวบุคคลท่ีเป็นเจ้าของข้อมูล ส่วนบุคคลได้ ในกรณดี งั ตอ่ ไปน้ี สำ�นักงานพฒั นาธรุ กรรมทางอิเลก็ ทรอนกิ ส์ 434

เล่ม ๑๓๖ ตอนท่ี ๖๙ ก หน้า ๗๐ ๒๗ พฤษภาคม ๒๕๖๒ ราชกิจจานุเบกษา (๑) เมื่อข้อมูลส่วนบุคคลหมดความจาเป็นในการเก็บรักษาไวต้ ามวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรอื เปิดเผยข้อมูลส่วนบคุ คล (๒) เมื่อเจ้าของขอ้ มลู ส่วนบคุ คลถอนความยินยอมในการเก็บรวบรวม ใช้ หรือเปดิ เผยขอ้ มลู ส่วนบุคคลและผู้ควบคุมข้อมลู ส่วนบคุ คลไม่มีอานาจตามกฎหมายที่จะเก็บรวบรวม ใช้ หรือเปิดเผยขอ้ มูล สว่ นบคุ คลน้ันได้ตอ่ ไป (๓) เม่ือเจ้าของข้อมูลส่วนบุคคลคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามมาตรา ๓๒ (๑) และผู้ควบคุมข้อมูลส่วนบุคคลไม่อาจปฏิเสธคาขอตามมาตรา ๓๒ (๑) (ก) หรือ (ข) ได้ หรอื เปน็ การคัดค้านตามมาตรา ๓๒ (๒) (๔) เมื่อข้อมูลส่วนบุคคลได้ถูกเก็บรวบรวม ใช้ หรือเปิดเผยโดยไม่ชอบด้วยกฎหมายตามที่ กาหนดไว้ในหมวดน้ี ความในวรรคหนึ่งมิให้นามาใช้บังคับกับการเก็บรักษาไว้เพื่อวัตถุประสงค์ในกา รใช้เสรีภาพ ในการแสดงความคิดเห็น การเก็บรักษาไว้เพื่อวัตถุประสงค์ตามมาตรา ๒๔ (๑) หรือ (๔) หรือ มาตรา ๒๖ (๕) (ก) หรือ (ข) การใช้เพ่ือการก่อต้ังสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือ การใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกข้ึนต่อสู้สิทธิเรียกร้องตามกฎหมาย หรือเพ่ือการปฏิบัติ ตามกฎหมาย ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลได้ทาให้ข้อมูลส่วนบุคคลเป็นข้อมูลท่ีเปิดเผยต่อสาธารณะ และผู้ควบคุมข้อมูลส่วนบุคคลถูกขอให้ลบหรือทาลายหรือทาให้ข้อมูลส่วนบุคคลเป็นขอ้ มูลที่ไม่สามารถ ระบุตัวบุคคลท่ีเป็นเจ้าของข้อมูลส่วนบุคคลได้ตามวรรคหน่ึง ผู้ควบคุมข้อมูลส่วนบุคคลต้องเป็น ผู้รับผิดชอบดาเนินการทั้งในทางเทคโนโลยีและค่าใช้จ่ายเพ่ือให้เป็นไปตามคาขอน้ัน โดยแจ้งผู้ควบคุม ขอ้ มูลสว่ นบคุ คลอืน่ ๆ เพอ่ื ให้ได้รบั คาตอบในการดาเนินการให้เป็นไปตามคาขอ กรณีผู้ควบคุมข้อมูลส่วนบคุ คลไม่ดาเนินการตามวรรคหนึง่ หรือวรรคสาม เจา้ ของขอ้ มูลส่วนบุคคล มสี ิทธริ ้องเรยี นตอ่ คณะกรรมการผู้เชย่ี วชาญเพอื่ ส่งั ใหผ้ ู้ควบคุมขอ้ มลู สว่ นบคุ คลดาเนนิ การได้ คณะกรรมการอาจประกาศกาหนดหลักเกณฑ์ในการลบหรือทาลาย หรือทาให้ข้อมูลส่วนบุคคล เป็นข้อมูลที่ไมส่ ามารถระบตุ ัวบุคคลทเี่ ปน็ เจ้าของข้อมลู ส่วนบคุ คลตามวรรคหนึ่งก็ได้ มาตรา ๓๔ เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลระงับการใช้ ข้อมูลสว่ นบุคคลได้ ในกรณดี ังต่อไปน้ี (๑) เมื่อผู้ควบคุมข้อมูลส่วนบุคคลอยู่ในระหว่างการตรวจสอบตามท่ีเจ้าของข้อมูลส่วนบุคคล ร้องขอให้ดาเนินการตามมาตรา ๓๖ สำ�นักงานพฒั นาธรุ กรรมทางอิเลก็ ทรอนกิ ส์ 435

เล่ม ๑๓๖ ตอนท่ี ๖๙ ก หน้า ๗๑ ๒๗ พฤษภาคม ๒๕๖๒ ราชกจิ จานุเบกษา (๒) เม่ือเป็นข้อมูลส่วนบุคคลที่ต้องลบหรือทาลายตามมาตรา ๓๓ (๔) แต่เจ้าของข้อมูล ส่วนบคุ คลขอใหร้ ะงบั การใชแ้ ทน (๓) เมอ่ื ข้อมลู ส่วนบุคคลหมดความจาเป็นในการเก็บรักษาไวต้ ามวัตถุประสงค์ในการเกบ็ รวบรวม ข้อมูลส่วนบุคคล แต่เจ้าของข้อมูลส่วนบุคคลมีความจาเป็นต้องขอให้เก็บรักษาไว้เพ่ือใช้ในการก่อตั้ง สิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้ สทิ ธิเรยี กร้องตามกฎหมาย (๔) เมื่อผู้ควบคุมขอ้ มูลส่วนบคุ คลอยใู่ นระหว่างการพิสจู น์ตามมาตรา ๓๒ (๑) หรือตรวจสอบ ตามมาตรา ๓๒ (๓) เพื่อปฏิเสธการคดั คา้ นของเจา้ ของข้อมูลส่วนบุคคลตามมาตรา ๓๒ วรรคสาม กรณีผู้ควบคุมข้อมูลส่วนบุคคลไม่ดาเนินการตามวรรคหนึ่ง เจ้าของข้อมูลส่วนบุคคลมีสิทธิ ร้องเรยี นตอ่ คณะกรรมการผู้เช่ยี วชาญเพอ่ื สัง่ ให้ผูค้ วบคุมขอ้ มลู สว่ นบุคคลดาเนนิ การได้ คณะกรรมการอาจประกาศกาหนดหลักเกณฑ์ในการระงบั การใช้ตามวรรคหนงึ่ กไ็ ด้ มาตรา ๓๕ ผู้ควบคุมข้อมูลส่วนบุคคลต้องดาเนินการให้ข้อมูลส่วนบุคคลนั้นถูกต้อง เปน็ ปัจจุบนั สมบูรณ์ และไม่ก่อใหเ้ กิดความเขา้ ใจผดิ มาตรา ๓๖ ในกรณที ่เี จ้าของขอ้ มลู สว่ นบคุ คลร้องขอใหผ้ ้คู วบคุมขอ้ มูลสว่ นบคุ คลดาเนินการ ตามมาตรา ๓๕ หากผู้ควบคมุ ข้อมูลส่วนบคุ คลไม่ดาเนินการตามคารอ้ งขอ ผู้ควบคุมข้อมูลส่วนบุคคล ต้องบนั ทกึ คารอ้ งขอของเจา้ ของขอ้ มูลส่วนบคุ คลพรอ้ มดว้ ยเหตผุ ลไวใ้ นรายการตามมาตรา ๓๙ ใหน้ าความในมาตรา ๓๔ วรรคสอง มาใช้บงั คับโดยอนโุ ลม มาตรา ๓๗ ผคู้ วบคุมข้อมูลส่วนบคุ คลมหี นา้ ท่ี ดังต่อไปน้ี (๑) จดั ให้มีมาตรการรักษาความม่นั คงปลอดภัยท่ีเหมาะสม เพอื่ ปอ้ งกนั การสญู หาย เข้าถงึ ใช้ เปล่ยี นแปลง แก้ไข หรือเปิดเผยข้อมูลสว่ นบคุ คลโดยปราศจากอานาจหรอื โดยมิชอบ และต้องทบทวน มาตรการดังกล่าวเม่ือมีความจาเป็นหรอื เม่ือเทคโนโลยเี ปล่ยี นแปลงไปเพื่อให้มปี ระสิทธิภาพในการรกั ษา ความม่นั คงปลอดภัยทเ่ี หมาะสม ทงั้ น้ี ให้เป็นไปตามมาตรฐานข้ันต่าทคี่ ณะกรรมการประกาศกาหนด (๒) ในกรณีทีต่ ้องใหข้ อ้ มลู สว่ นบุคคลแก่บุคคลหรอื นติ ิบคุ คลอ่นื ทีไ่ ม่ใช่ผู้ควบคุมข้อมูลสว่ นบุคคล ตอ้ งดาเนนิ การเพ่อื ป้องกนั มิให้ผู้นนั้ ใชห้ รือเปิดเผยข้อมลู ส่วนบุคคลโดยปราศจากอานาจหรอื โดยมิชอบ (๓) จัดให้มีระบบการตรวจสอบเพื่อดาเนินการลบหรือทาลายข้อมูลส่วนบุคคลเม่ือพ้นกาหนด ระยะเวลาการเก็บรักษา หรือที่ไม่เก่ียวข้องหรือเกินความจาเป็นตามวัตถุประสงค์ในการเก็บรวบรวม ข้อมูลส่วนบุคคลน้ัน หรือตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอ หรือท่ีเจ้าของข้อมูลส่วนบุคคล ได้ถอนความยินยอม เว้นแต่เก็บรักษาไว้เพ่ือวัตถุประสงค์ในการใช้เสรีภาพในการแสดงความคิดเห็น สำ�นักงานพฒั นาธรุ กรรมทางอิเล็กทรอนิกส์ 436

เล่ม ๑๓๖ ตอนท่ี ๖๙ ก หน้า ๗๒ ๒๗ พฤษภาคม ๒๕๖๒ ราชกจิ จานเุ บกษา การเก็บรักษาไว้เพื่อวัตถปุ ระสงคต์ ามมาตรา ๒๔ (๑) หรือ (๔) หรือมาตรา ๒๖ (๕) (ก) หรือ (ข) การใช้เพ่ือการก่อต้ังสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย หรือเพ่ือการปฏิบัติตามกฎหมาย ทั้งนี้ ให้นาความใน มาตรา ๓๓ วรรคห้า มาใชบ้ ังคบั กับการลบหรอื ทาลายข้อมลู สว่ นบุคคลโดยอนโุ ลม (๔) แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สานักงานโดยไม่ชักช้าภายในเจ็ดสิบสองชั่วโมง นับแต่ทราบเหตุเท่าท่ีจะสามารถกระทาได้ เว้นแต่การละเมิดดงั กล่าวไม่มคี วามเส่ียงที่จะมีผลกระทบต่อ สิทธิและเสรีภาพของบุคคล ในกรณีท่ีการละเมิดมีความเส่ียงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพ ของบุคคล ให้แจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อมกับแนวทางการเยียวยา โดยไม่ชักช้าด้วย ท้ังนี้ การแจ้งดังกล่าวและข้อยกเว้นให้เป็นไปตามหลักเกณฑ์และวิธีการท่ีคณะกรรมการ ประกาศกาหนด (๕) ในกรณีทเี่ ปน็ ผ้คู วบคมุ ข้อมลู ส่วนบคุ คลตามมาตรา ๕ วรรคสอง ต้องแตง่ ตั้งตวั แทนของ ผู้ควบคุมข้อมูลส่วนบุคคลเป็นหนังสือซ่ึงตัวแทนต้องอยู่ในราชอาณาจักรและตัวแทนต้องได้รับมอบอานาจ ให้กระทาการแทนผู้ควบคุมข้อมูลส่วนบุคคลโดยไม่มีข้อจากัดความรับผิดใด ๆ ท่ีเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยขอ้ มลู สว่ นบุคคลตามวตั ถุประสงคข์ องผคู้ วบคมุ ขอ้ มูลส่วนบุคคล มาตรา ๓๘ บทบัญญัตเิ ก่ียวกับการแต่งตง้ั ตวั แทนตามมาตรา ๓๗ (๕) มิใหน้ ามาใช้บงั คบั แก่ ผ้คู วบคมุ ข้อมลู สว่ นบุคคล ดงั ต่อไปน้ี (๑) ผ้คู วบคมุ ขอ้ มูลส่วนบุคคลซง่ึ เป็นหน่วยงานของรัฐตามท่คี ณะกรรมการประกาศกาหนด (๒) ผู้ควบคุมข้อมูลส่วนบุคคลซึ่งประกอบอาชีพหรือธุรกิจในการเก็บรวบรวม ใช้ หรือเปิดเผย ขอ้ มูลส่วนบคุ คลทไี่ มม่ ีลักษณะตามมาตรา ๒๖ และไม่มขี อ้ มลู สว่ นบุคคลเปน็ จานวนมากตามทีค่ ณะกรรมการ ประกาศกาหนดตามมาตรา ๔๑ (๒) ในกรณีที่ผู้ควบคมุ ข้อมูลส่วนบุคคลตามมาตรา ๕ วรรคสอง มีผู้ประมวลผลข้อมูลส่วนบุคคล ให้นาความในมาตรา ๓๗ (๕) และความในวรรคหนง่ึ มาใช้บังคบั แก่ผ้ปู ระมวลผลขอ้ มูลสว่ นบุคคลนน้ั โดยอนโุ ลม มาตรา ๓๙ ใหผ้ คู้ วบคุมขอ้ มูลส่วนบุคคลบันทกึ รายการ อย่างน้อยดังตอ่ ไปน้ี เพอ่ื ให้เจ้าของ ข้อมูลส่วนบุคคลและสานักงานสามารถตรวจสอบได้ โดยจะบันทึกเปน็ หนังสือหรือระบบอเิ ล็กทรอนกิ ส์ ก็ได้ (๑) ข้อมลู ส่วนบคุ คลทีม่ กี ารเกบ็ รวบรวม (๒) วตั ถุประสงคข์ องการเก็บรวบรวมขอ้ มลู ส่วนบคุ คลแต่ละประเภท สำ�นกั งานพฒั นาธรุ กรรมทางอิเล็กทรอนิกส์ 437

เล่ม ๑๓๖ ตอนท่ี ๖๙ ก หน้า ๗๓ ๒๗ พฤษภาคม ๒๕๖๒ ราชกิจจานเุ บกษา (๓) ขอ้ มูลเกี่ยวกับผ้คู วบคมุ ข้อมลู ส่วนบุคคล (๔) ระยะเวลาการเกบ็ รักษาขอ้ มูลส่วนบคุ คล (๕) สิทธิและวิธีการเข้าถึงข้อมูลส่วนบุคคล รวมทั้งเงอ่ื นไขเกีย่ วกับบุคคลทม่ี ีสิทธิเข้าถงึ ข้อมลู สว่ นบุคคลและเงือ่ นไขในการเข้าถงึ ข้อมูลสว่ นบคุ คลนนั้ (๖) การใชห้ รือเปิดเผยตามมาตรา ๒๗ วรรคสาม (๗) การปฏิเสธคาขอหรือการคัดค้านตามมาตรา ๓๐ วรรคสาม มาตรา ๓๑ วรรคสาม มาตรา ๓๒ วรรคสาม และมาตรา ๓๖ วรรคหนึ่ง (๘) คาอธิบายเกย่ี วกับมาตรการรกั ษาความมั่นคงปลอดภัยตามมาตรา ๓๗ (๑) ความในวรรคหน่ึงให้นามาใช้บังคับกับตัวแทนของผู้ควบคุมข้อมูลส่วนบุคคลตามมาตรา ๕ วรรคสอง โดยอนุโลม ความใน (๑) (๒) (๓) (๔) (๕) (๖) และ (๘) อาจยกเว้นมิให้นามาใช้บังคับกับผู้ควบคุม ข้อมูลส่วนบุคคลซ่ึงเป็นกิจการขนาดเล็กตามหลักเกณฑ์ท่ีคณะกรรมการประกาศกาหนด เว้นแต่ มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบคุ คลท่ีมีความเสี่ยงท่ีจะมีผลกระทบต่อสิทธิและเสรภี าพ ของเจ้าของข้อมูลส่วนบุคคล หรือมิใช่กิจการที่เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเป็น ครัง้ คราว หรอื มกี ารเกบ็ รวบรวม ใช้ หรอื เปดิ เผยขอ้ มูลสว่ นบุคคลตามมาตรา ๒๖ มาตรา ๔๐ ผ้ปู ระมวลผลข้อมูลส่วนบคุ คลมีหนา้ ที่ ดงั ต่อไปน้ี (๑) ดาเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคาส่ังที่ได้รับ จากผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น เว้นแต่คาส่ังนั้นขัดต่อกฎหมายหรือบทบัญญัติในการคุ้มครอง ขอ้ มูลส่วนบคุ คลตามพระราชบญั ญตั นิ ้ี (๒) จัดให้มีมาตรการรักษาความม่ันคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปล่ียนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอานาจหรือโดยมิชอบ รวมทั้ง แจง้ ให้ผคู้ วบคุมข้อมลู ส่วนบุคคลทราบถึงเหตุการละเมิดข้อมูลสว่ นบุคคลทเี่ กิดขน้ึ (๓) จัดทาและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลไว้ ตามหลกั เกณฑแ์ ละวิธีการทีค่ ณะกรรมการประกาศกาหนด ผู้ประมวลผลข้อมลู ส่วนบคุ คลซ่ึงไม่ปฏิบตั ติ าม (๑) สาหรับการเกบ็ รวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคลใด ให้ถือว่าผู้ประมวลผลข้อมูลส่วนบุคคลเป็นผู้ควบคุมข้อมูลส่วนบุคคลสาหรับ การเก็บรวบรวม ใช้ หรือเปิดเผยขอ้ มลู สว่ นบคุ คลนน้ั สำ�นกั งานพฒั นาธรุ กรรมทางอิเลก็ ทรอนิกส์ 438

เล่ม ๑๓๖ ตอนที่ ๖๙ ก หน้า ๗๔ ๒๗ พฤษภาคม ๒๕๖๒ ราชกจิ จานุเบกษา การดาเนินงานตามหนา้ ทขี่ องผู้ประมวลผลข้อมูลสว่ นบุคคลตามท่ีได้รบั มอบหมายจากผูค้ วบคุม ข้อมูลส่วนบุคคลตามวรรคหนึ่ง ผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดให้มีข้อตกลงระหว่างกัน เพ่ือควบคุม การดาเนนิ งานตามหน้าทข่ี องผปู้ ระมวลผลข้อมลู ส่วนบคุ คลใหเ้ ปน็ ไปตามพระราชบญั ญตั นิ ้ี ความใน (๓) อาจยกเว้นมิให้นามาใช้บังคับกับผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งเป็นกิจการ ขนาดเล็กตามหลักเกณฑ์ท่ีคณะกรรมการประกาศกาหนด เว้นแต่มีการเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคลท่ีมีความเส่ียงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล หรือ มิใช่กิจการที่เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเป็นคร้ังคราว หรือมีการเก็บรวบรวม ใช้ หรือเปดิ เผยขอ้ มูลสว่ นบคุ คลตามมาตรา ๒๖ มาตรา ๔๑ ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดให้มี เจา้ หนา้ ท่ีคุ้มครองขอ้ มูลสว่ นบคุ คลของตน ในกรณีดังตอ่ ไปน้ี (๑) ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเป็นหน่วยงานของรัฐตามที่ คณะกรรมการประกาศกาหนด (๒) การดาเนินกิจกรรมของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล ในการเก็บรวบรวม ใช้ หรือเปิดเผย จาเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่าเสมอ โดยเหตทุ ม่ี ขี ้อมูลสว่ นบคุ คลเป็นจานวนมากตามทีค่ ณะกรรมการประกาศกาหนด (๓) กิจกรรมหลักของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเป็น การเก็บรวบรวม ใช้ หรือเปดิ เผยข้อมูลสว่ นบุคคลตามมาตรา ๒๖ ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลอยู่ในเครือกิจการ หรือเครือธุรกิจเดียวกันเพื่อการประกอบกิจการหรือธุรกิจร่วมกันตามท่ีคณะกรรมการประกาศกาหนด ตามมาตรา ๒๙ วรรคสอง ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลดังกล่าว อาจจัดให้มีเจ้าหน้าท่ีคุ้มครองข้อมูลส่วนบุคคลร่วมกันได้ ท้ังน้ี สถานท่ีทาการแต่ละแห่งของผู้ควบคุม ข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลท่ีอยู่ในเครือกิจการหรือเครือธุรกิจเดียวกันดังกล่าว ต้องสามารถติดตอ่ กบั เจา้ หนา้ ท่คี มุ้ ครองขอ้ มลู สว่ นบคุ คลไดโ้ ดยงา่ ย ความในวรรคสองให้นามาใช้บังคับแก่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูล สว่ นบุคคลซึง่ เปน็ หน่วยงานของรัฐตาม (๑) ซงึ่ มีขนาดใหญห่ รอื มสี ถานทท่ี าการหลายแห่งโดยอนุโลม ในกรณีทผ่ี ู้ควบคุมขอ้ มลู ส่วนบคุ คลหรอื ผู้ประมวลผลข้อมูลส่วนบคุ คลตามวรรคหนงึ่ ต้องแต่งตั้ง ตวั แทนตามมาตรา ๓๗ (๕) ใหน้ าความในวรรคหนงึ่ มาใช้บังคบั แก่ตัวแทนโดยอนโุ ลม ส�ำ นักงานพฒั นาธรุ กรรมทางอิเลก็ ทรอนกิ ส์ 439

เล่ม ๑๓๖ ตอนที่ ๖๙ ก หน้า ๗๕ ๒๗ พฤษภาคม ๒๕๖๒ ราชกิจจานเุ บกษา ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าท่ีต้องแจ้งข้อมูลเกี่ยวกับ เจ้าหน้าท่ีคุ้มครองข้อมูลส่วนบุคคล สถานท่ีติดต่อ และวิธีการติดต่อให้เจ้าของข้อมูลส่วนบุคคลแล ะ สานักงานทราบ ทั้งนี้ เจ้าของข้อมูลส่วนบุคคลสามารถติดต่อเจ้าหน้าท่ีคุ้มครองข้อมูลส่วนบุคคลเกี่ยวกบั การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลและการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล ตามพระราชบัญญัติน้ีได้ ค ณ ะ ก รรม การอ าจป ระกาศ กาหนด คุณ สมบั ติของเจ้ าหน้า ท่ี คุ้มค รองข้อ มูลส่วนบุคคลได้ โดยคานงึ ถงึ ความรหู้ รือความเช่ยี วชาญเก่ียวกบั การค้มุ ครองขอ้ มูลสว่ นบคุ คล เจ้าหน้าท่ีคุ้มครองข้อมูลส่วนบุคคลอาจเป็นพนักงานของผู้ควบคุมข้อมูลส่วนบุคคลหรือ ผู้ประมวลผลข้อมูลส่วนบุคคลหรือเป็นผู้รับจ้างให้บริการตามสัญญากับผู้ควบคุมข้อมู ลส่วนบุคคลหรือ ผปู้ ระมวลผลขอ้ มูลส่วนบุคคลก็ได้ มาตรา ๔๒ เจ้าหน้าท่ีคมุ้ ครองข้อมูลสว่ นบคุ คลมหี น้าที่ ดงั ตอ่ ไปนี้ (๑) ให้คาแนะนาแก่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้ง ลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเก่ียวกับการปฏิบัติ ตามพระราชบัญญัตินี้ (๒) ตรวจสอบการดาเนนิ งานของผคู้ วบคมุ ข้อมลู ส่วนบุคคลหรือผู้ประมวลผลข้อมูลสว่ นบุคคล รวมท้ังลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเก่ียวกับ การเกบ็ รวบรวม ใช้ หรอื เปดิ เผยข้อมลู ส่วนบุคคลเพ่อื ให้เปน็ ไปตามพระราชบัญญตั ินี้ (๓) ประสานงานและให้ความร่วมมือกับสานักงานในกรณีท่ีมีปัญหาเก่ียวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งลูกจ้างหรือผู้รบั จ้างของผู้ควบคมุ ขอ้ มูลส่วนบุคคลหรือผู้ประมวลผลข้อมลู ส่วนบุคคลในการปฏิบตั ิ ตามพระราชบญั ญัตนิ ้ี (๔) รักษาความลับของข้อมูลส่วนบุคคลท่ีตนล่วงรู้หรือได้มาเน่ืองจากการปฏิบัติหน้าที่ ตามพระราชบัญญัตนิ ี้ ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลต้องสนับสนุน การปฏิบัติหน้าท่ี ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลโดยจัดหาเครื่องมือหรืออุปกรณ์อย่างเพียงพอ รวมทั้งอานวย ความสะดวกในการเขา้ ถงึ ขอ้ มลู ส่วนบคุ คลเพือ่ การปฏิบตั ิหนา้ ท่ี ส�ำ นกั งานพฒั นาธรุ กรรมทางอิเล็กทรอนิกส์ 440

เล่ม ๑๓๖ ตอนท่ี ๖๙ ก หน้า ๗๖ ๒๗ พฤษภาคม ๒๕๖๒ ราชกิจจานุเบกษา ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลจะให้เจ้าหน้าท่ีคุ้มครองข้อมูล ส่วนบุคคลออกจากงานหรอื เลิกสัญญาการจา้ งดว้ ยเหตทุ ่ีเจ้าหน้าทีค่ ุม้ ครองขอ้ มลู ส่วนบุคคลปฏิบตั หิ น้าท่ี ตามพระราชบัญญัตินี้ไม่ได้ ทั้งนี้ ในกรณีท่ีมีปัญหาในการปฏิบัติหน้าที่ เจ้าหน้าที่คุ้มครองข้อมูล สว่ นบคุ คลต้องสามารถรายงานไปยงั ผูบ้ รหิ ารสงู สุดของผูค้ วบคุมข้อมูลสว่ นบุคคลหรอื ผปู้ ระมวลผลข้อมูล ส่วนบุคคลโดยตรงได้ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลอาจปฏิบัติหน้าที่หรือภารกิจอ่ืนได้ แต่ผู้ควบคุมข้อมูล ส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลต้องรับรองกับสานักงานว่าหน้าที่หรือภารกิจดังกล่าว ตอ้ งไมข่ ดั หรอื แย้งต่อการปฏิบัติหนา้ ทีต่ ามพระราชบัญญตั นิ ี้ หมวด ๔ สานกั งานคณะกรรมการคุ้มครองข้อมูลสว่ นบคุ คล มาตรา ๔๓ ให้มีสานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลมีวตั ถุประสงค์เกี่ยวกบั การคุ้มครองข้อมูลส่วนบุคคล รวมทั้งส่งเสริมและสนับสนุนให้เกิดการพัฒนาด้านการคุ้มครองข้อมูล ส่วนบุคคลของประเทศ สานักงานเป็นหน่วยงานของรัฐมีฐานะเป็นนิติบุคคล และไม่เป็นส่วนราชการตามกฎหมาย ว่าด้วยระเบียบบริหารราชการแผ่นดิน หรือรัฐวิสาหกิจตามกฎหมายว่าด้วยวิธีการงบประมาณหรือ กฎหมายอื่น กิจการของสานักงานไม่อยู่ภายใต้บังคับแห่งกฎหมายว่าด้วยการคุ้มครองแรงงาน กฎหมาย ว่าด้วยแรงงานสัมพันธ์ กฎหมายว่าด้วยแรงงานรัฐวิสาหกิจสัมพันธ์ กฎหมายว่าด้วยการประกันสังคม และกฎหมายว่าด้วยเงินทดแทน แต่พนักงานและลูกจ้างของสานักงานต้องได้รับประโยชน์ตอบแทน ไม่น้อยกว่าที่กาหนดไว้ในกฎหมายว่าด้วยการคุ้มครองแรงงาน กฎหมายว่าด้วยการประกันสังคม และ กฎหมายว่าด้วยเงินทดแทน ใหส้ านักงานเปน็ หนว่ ยงานของรฐั ตามกฎหมายวา่ ด้วยความรับผิดทางละเมิดของเจา้ หนา้ ที่ มาตรา ๔๔ นอกจากหน้าที่และอานาจในการดาเนินการให้เป็นไปตามวัตถุประสงค์ ตามมาตรา ๔๓ วรรคหน่ึง ให้สานักงานมีหน้าท่ีปฏิบัติงานวิชาการและงานธุรการใหแ้ ก่คณะกรรมการ คณะกรรมการกากับสานักงานคณะกรรมการคุม้ ครองขอ้ มูลส่วนบคุ คล คณะกรรมการผู้เชย่ี วชาญ และ คณะอนุกรรมการ รวมทั้งให้มีหน้าทแี่ ละอานาจ ดังต่อไปน้ี ส�ำ นักงานพฒั นาธรุ กรรมทางอิเล็กทรอนิกส์ 441

เล่ม ๑๓๖ ตอนที่ ๖๙ ก หน้า ๗๗ ๒๗ พฤษภาคม ๒๕๖๒ ราชกิจจานุเบกษา (๑) จัดทาร่างแผนแม่บทการดาเนินงานด้านการส่งเสริม และการคุ้มครองข้อมูลส่วนบุคคล ท่ีสอดคล้องกับนโยบาย ยุทธศาสตร์ชาติ และแผนระดับชาติท่ีเก่ียวข้อง รวมท้ังร่างแผนแม่บทและ มาตรการแกไ้ ขปัญหาอุปสรรคการปฏิบัติการตามนโยบาย ยุทธศาสตร์ชาติ และแผนระดบั ชาติดังกล่าว เพือ่ เสนอตอ่ คณะกรรมการ (๒) ส่งเสริมและสนับสนุนการวิจัย เพ่ือพัฒนาเทคโนโลยีท่ีเกี่ยวข้องกับการคุ้มครองข้อมูล สว่ นบุคคล (๓) วิเคราะห์และรับรองความสอดคล้องและความถูกต้องตามมาตรฐานหรือตามมาตรการหรือ กลไกการกากับดูแลทเี่ ก่ียวขอ้ งกับการคมุ้ ครองขอ้ มลู สว่ นบุคคล รวมท้งั ตรวจสอบและรบั รองนโยบายใน การคุ้มครองขอ้ มูลส่วนบุคคลตามมาตรา ๒๙ (๔) สารวจ เก็บรวบรวมข้อมูล ติดตามความเคล่ือนไหวของสถานการณ์ด้านการคุ้มครอง ข้อมูลส่วนบุคคล และแนวโนม้ การเปลี่ยนแปลงดา้ นการคุ้มครองข้อมลู ส่วนบคุ คล รวมท้งั วเิ คราะหแ์ ละ วิจัยประเดน็ ทางด้านการคุ้มครองข้อมลู สว่ นบุคคลทมี่ ผี ลต่อการพัฒนาประเทศเพอื่ เสนอตอ่ คณะกรรมการ (๕) ประสานงานกับส่วนราชการ รัฐวิสาหกิจ ราชการส่วนท้องถ่ิน องค์การมหาชน หรือ หน่วยงานอนื่ ของรฐั เกยี่ วกับการคมุ้ ครองขอ้ มลู สว่ นบคุ คล (๖) ให้คาปรึกษาแก่หน่วยงานของรัฐและหน่วยงานของเอกชนเก่ียวกับการปฏิบัติ ตามพระราชบญั ญัตนิ ้ี (๗) เป็นศูนย์กลางในการให้บริการทางวิชาการหรือให้บริการที่เกี่ยวกับการคุ้มครองข้อมูล ส่วนบุคคลแก่หน่วยงานของรัฐ หน่วยงานของเอกชน และประชาชน รวมทั้งเผยแพร่และให้ความรู้ ความเข้าใจในเรื่องการคุม้ ครองข้อมูลส่วนบุคคล (๘) กาหนดหลกั สตู รและฝึกอบรมการปฏิบัติหนา้ ท่ีของผู้ควบคุมข้อมูลส่วนบคุ คล ผูป้ ระมวลผล ขอ้ มลู ส่วนบุคคล เจ้าหนา้ ทคี่ ุม้ ครองขอ้ มลู สว่ นบุคคล ลูกจ้าง ผ้รู ับจ้าง หรือประชาชนทวั่ ไป (๙) ทาความตกลงและร่วมมอื กบั องคก์ ารหรอื หน่วยงานทั้งในประเทศและต่างประเทศในกจิ การ ทีเ่ ก่ยี วกบั การดาเนินการตามหนา้ ทแ่ี ละอานาจของสานกั งาน เมือ่ ได้รับความเห็นชอบจากคณะกรรมการ (๑๐) ตดิ ตามและประเมนิ ผลการปฏิบตั ติ ามพระราชบัญญัตนิ ้ี (๑๑) ปฏิบัติหน้าที่อื่นตามท่ีคณะกรรมการ คณะกรรมการกากับสานักงานคณะกรรมการคุ้มครอง ข้อมูลสว่ นบคุ คล คณะกรรมการผเู้ ช่ียวชาญ หรอื คณะอนุกรรมการมอบหมาย หรือตามท่กี ฎหมายกาหนด ส�ำ นกั งานพัฒนาธรุ กรรมทางอิเลก็ ทรอนกิ ส์ 442

เล่ม ๑๓๖ ตอนที่ ๖๙ ก หน้า ๗๘ ๒๗ พฤษภาคม ๒๕๖๒ ราชกิจจานุเบกษา มาตรา ๔๕ ในการดาเนินงานของสานักงาน นอกจากหน้าท่ีและอานาจตามที่บัญญัติ ในมาตรา ๔๔ แลว้ ใหส้ านกั งานมีหน้าที่และอานาจทวั่ ไป ดังต่อไปน้ีดว้ ย (๑) ถือกรรมสิทธ์ิ มสี ิทธคิ รอบครอง และมที รัพยสทิ ธิตา่ ง ๆ (๒) ก่อตั้งสิทธิ หรือทานิติกรรมทุกประเภทผูกพันทรัพย์สิน ตลอดจนทานิติกรรมอื่นใด เพื่อประโยชนใ์ นการดาเนินกิจการของสานกั งาน (๓) จัดใหม้ ีและใหท้ นุ เพอ่ื สนบั สนุนการดาเนินกจิ การของสานักงาน (๔) เรียกเก็บค่าธรรมเนียม ค่าบารุง ค่าตอบแทน หรือค่าบริการในการดาเนินงานต่าง ๆ ตามวัตถุประสงค์ของสานักงาน ทั้งนี้ ตามหลักเกณฑ์และอัตราที่สานักงานกาหนดโดยความเห็นชอบ ของคณะกรรมการกากบั สานักงานคณะกรรมการคุม้ ครองขอ้ มลู สว่ นบุคคล (๕) ปฏิบัติการอ่ืนใดที่กฎหมายกาหนดให้เป็นหน้าท่ีและอานาจของสานักงาน หรือตามที่ คณะกรรมการ คณะกรรมการกากับสานักงานคณะกรรมการคมุ้ ครองข้อมูลส่วนบุคคล คณะกรรมการ ผูเ้ ช่ียวชาญ หรือคณะอนุกรรมการมอบหมาย มาตรา ๔๖ ทนุ และทรัพย์สนิ ในการดาเนินงานของสานกั งานประกอบดว้ ย (๑) ทนุ ประเดิมทรี่ ัฐบาลจัดสรรให้ตามมาตรา ๙๔ วรรคหนึ่ง (๒) เงินอุดหนุนทัว่ ไปทรี่ ัฐบาลจัดสรรให้ตามความเหมาะสมเปน็ รายปี (๓) เงินอุดหนนุ จากหน่วยงานของรัฐทัง้ ในประเทศและต่างประเทศ หรอื องคก์ ารระหว่างประเทศ ระดบั รัฐบาล (๔) ค่าธรรมเนียม ค่าบารุง ค่าตอบแทน ค่าบริการ หรือรายได้อันเกิดจากการดาเนินการ ตามหน้าทีแ่ ละอานาจของสานักงาน (๕) ดอกผลของเงินหรอื รายได้จากทรพั ยส์ นิ ของสานกั งาน เงนิ และทรพั ย์สินของสานกั งานตามวรรคหนึง่ ตอ้ งนาส่งคลงั เปน็ รายไดแ้ ผ่นดนิ มาตรา ๔๗ บรรดาอสงั หาริมทรพั ยท์ ส่ี านกั งานได้มาจากการซื้อหรือแลกเปลี่ยนจากรายได้ ของสานักงานตามมาตรา ๔๖ (๔) หรอื (๕) ใหเ้ ปน็ กรรมสิทธิ์ของสานักงาน มาตรา ๔๘ ให้มีคณะกรรมการกากับสานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ประกอบด้วยประธานกรรมการซึ่งสรรหาและแต่งต้ังจากผู้มีความรู้ ความเช่ียวชาญ และประสบการณ์ ในด้านการคุ้มครองข้อมูลส่วนบุคคล ปลัดกระทรวงดิจิทัลเพ่ือเศรษฐกิจและสังคม และเลขาธิการ คณะกรรมการดิจิทลั เพื่อเศรษฐกจิ และสังคมแห่งชาติ เป็นกรรมการ และกรรมการผู้ทรงคุณวฒุ ิจานวน หกคนซึง่ สรรหาและแต่งต้ังจากผู้มีความรู้ ความเชี่ยวชาญ และประสบการณ์ในดา้ นการคุ้มครองขอ้ มลู ส่วนบคุ คลอย่างน้อยสามคน และดา้ นอนื่ ทเี่ กยี่ วขอ้ งอนั เปน็ ประโยชนต์ ่อการดาเนินงานของสานักงาน ส�ำ นักงานพฒั นาธรุ กรรมทางอิเล็กทรอนกิ ส์ 443

เล่ม ๑๓๖ ตอนที่ ๖๙ ก หน้า ๗๙ ๒๗ พฤษภาคม ๒๕๖๒ ราชกจิ จานุเบกษา ให้เลขาธิการเป็นกรรมการและเลขานุการ และให้เลขาธิการแต่งต้ังพนักงานของสานักงาน เปน็ ผชู้ ว่ ยเลขานุการได้ไมเ่ กินสองคน ให้นาความในมาตรา ๑๑ และมาตรา ๑๓ มาใช้บังคับกับประธานกรรมการและกรรมการ ผทู้ รงคณุ วฒุ โิ ดยอนโุ ลม มาตรา ๔๙ ให้มีคณะกรรมการสรรหาคณะหนึ่งประกอบด้วยบุคคลซ่ึงคณะกรรมการแต่งต้ัง จานวนแปดคนทาหน้าที่คัดเลือกบุคคลที่สมควรได้รับการแต่งตั้งเป็นประธานกรรมการและกรรมการ ผทู้ รงคุณวุฒติ ามมาตรา ๔๘ ให้คณะกรรมการสรรหาเลือกกรรมการสรรหาคนหนึ่งเป็นประธานกรรมการสรรหาแล ะ เลือกกรรมการสรรหาอีกคนหน่ึงเป็นเลขานุการคณะกรรมการสรรหา และให้สานักงานปฏิบัติหน้าท่ี เป็นหนว่ ยธุรการของคณะกรรมการสรรหา ในกรณีท่ีตาแหน่งกรรมการสรรหาว่างลง ให้ดาเนินการเพื่อให้มีกรรมการสรรหาแทน ในตาแหน่งนน้ั โดยเร็ว ในระหว่างที่ยังไม่ไดก้ รรมการสรรหาใหม่ ให้คณะกรรมการสรรหาประกอบด้วย กรรมการสรรหาเทา่ ทม่ี อี ยู่ กรรมการสรรหาไม่มีสิทธิได้รับการเสนอช่ือเป็นประธานกรรมการและกรรมการผู้ทรงคุณวุฒิ ตามมาตรา ๔๘ หลักเกณฑ์และวิธีการสรรหาให้เป็นไปตามที่คณะกรรมการกาหนด ทั้งน้ี ต้องคานึงถึง ความโปร่งใสและความเป็นธรรมในการสรรหา มาตรา ๕๐ ในการสรรหาประธานกรรมการและกรรมการผู้ทรงคุณวุฒิตามมาตรา ๔๘ ให้คณะกรรมการสรรหาคัดเลอื กบคุ คลผ้มู ีคณุ สมบตั ิตามมาตรา ๔๘ วรรคหนงึ่ รวมทั้งมีคุณสมบตั แิ ละ ไม่มีลักษณะต้องห้ามตามมาตรา ๔๘ วรรคสาม และยินยอมให้เสนอช่ือเข้ารับคัดเลือกเท่ากับจานวน ประธานกรรมการและกรรมการผู้ทรงคุณวฒุ ิตามมาตรา ๔๘ ทจี่ ะไดร้ บั แตง่ ตง้ั เม่ือได้คัดเลือกบุคคลเป็นประธานกรรมการและกรรมการผู้ทรงคุณวุฒิตามมาตรา ๔๘ ครบจานวนแล้ว ให้คณะกรรมการสรรหาแจ้งรายชื่อประธานกรรมการและกรรมการผู้ทรงคุณวุฒิ ตามมาตรา ๔๘ พร้อมหลักฐานแสดงคุณสมบัติและการไม่มีลักษณะต้องห้าม รวมทั้งความยินยอม ของบุคคลดังกล่าวต่อคณะกรรมการเพื่อแต่งต้ังเป็นประธานกรรมการและกรรมการผู้ทรงคุณวุฒิ ตามมาตรา ๔๘ ให้คณะกรรมการประกาศรายชื่อประธานกรรมการและกรรมการผทู้ รงคุณวุฒิตามมาตรา ๔๘ ซ่ึงได้รบั แต่งตง้ั ในราชกจิ จานเุ บกษา สำ�นักงานพัฒนาธรุ กรรมทางอิเล็กทรอนกิ ส์ 444

เล่ม ๑๓๖ ตอนที่ ๖๙ ก หน้า ๘๐ ๒๗ พฤษภาคม ๒๕๖๒ ราชกิจจานเุ บกษา มาตรา ๕๑ ประธานกรรมการและกรรมการผู้ทรงคุณวุฒิตามมาตรา ๔๘ มีวาระ การดารงตาแหนง่ คราวละสี่ปี เม่ือครบกาหนดตามวาระในวรรคหนึ่ง ให้ดาเนินการแต่งตั้งประธานกรรมการและกรรมการ ผู้ทรงคุณวุฒิข้ึนใหม่ภายในหกสิบวัน ในระหว่างท่ียังมิได้มีการแต่งต้ังประธานกรรมการหรือกรรมการ ผู้ทรงคุณวุฒิข้ึนใหม่ ให้ประธานกรรมการหรือกรรมการผู้ทรงคุณวุฒิซ่ึงพ้นจากตาแหน่งตามวาระน้ัน อยู่ในตาแหน่งเพ่ือดาเนินงานตอ่ ไปจนกวา่ ประธานกรรมการหรือกรรมการผู้ทรงคณุ วุฒิซึง่ ได้รับแต่งตง้ั ใหม่ เข้ารบั หน้าที่ ประธานกรรมการและกรรมการผู้ทรงคุณวฒุ ซิ งึ่ พ้นจากตาแหน่งตามวาระอาจได้รบั แตง่ ตัง้ อกี ได้ แตจ่ ะดารงตาแหนง่ เกินสองวาระไม่ได้ มาตรา ๕๒ ในกรณีที่ประธานกรรมการหรือกรรมการผู้ทรงคุณวฒุ ิตามมาตรา ๔๘ พ้นจาก ตาแหน่งก่อนวาระ ให้คณะกรรมการกากับสานกั งานคณะกรรมการคุ้มครองข้อมลู ส่วนบุคคลประกอบด้วย กรรมการทง้ั หมดเท่าทม่ี อี ยู่จนกวา่ จะมกี ารแตง่ ตงั้ ประธานกรรมการหรือกรรมการผทู้ รงคณุ วฒุ แิ ทน และ ในกรณีที่ประธานกรรมการพ้นจากตาแหน่งก่อนวาระ ให้ปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ทาหนา้ ทีป่ ระธานกรรมการเป็นการชัว่ คราว ให้ดาเนินการแต่งต้ังประธานกรรมการหรือกรรมการผู้ทรงคุณวุฒิแทนตาแหน่งที่ว่างภายใน หกสิบวันนับแต่วันที่ตาแหน่งว่างลง และให้ผู้ที่ได้รับแต่งตั้งให้ดารงตาแหน่งแทนอยู่ในตาแหน่งเท่ากับ วาระท่เี หลอื อยขู่ องผู้ซงึ่ ตนแทน เว้นแตว่ าระของประธานกรรมการหรอื กรรมการผทู้ รงคุณวฒุ เิ หลือไมถ่ งึ เก้าสบิ วนั จะไมแ่ ตง่ ต้งั ประธานกรรมการหรอื กรรมการผู้ทรงคณุ วุฒิแทนกไ็ ด้ มาตรา ๕๓ การประชุมคณะกรรมการกากับสานักงานคณะกรรมการคุ้มครองข้อมูล ส่วนบคุ คลต้องมกี รรมการมาประชมุ ไมน่ อ้ ยกว่ากงึ่ หนงึ่ ของจานวนกรรมการที่มอี ยู่ จึงจะเป็นองค์ประชุม ให้ประธานกรรมการเป็นประธานในท่ีประชุม ถ้าประธานกรรมการไม่มาประชุมหรือไม่อาจ ปฏิบัตหิ น้าท่ีได้ ให้กรรมการซ่ึงมาประชมุ เลือกกรรมการคนหน่ึงเปน็ ประธานในท่ปี ระชมุ การวนิ ิจฉัยช้ขี าดของท่ีประชุมให้ถือเสียงข้างมาก กรรมการคนหนึ่งให้มีเสียงหน่ึงในการลงคะแนน ถ้าคะแนนเสยี งเท่ากัน ใหป้ ระธานในทีป่ ระชุมออกเสยี งเพิ่มข้นึ อกี เสยี งหนงึ่ เปน็ เสียงช้ีขาด กรรมการทมี่ สี ่วนไดเ้ สยี ในเร่ืองที่มกี ารพจิ ารณาจะเขา้ รว่ มประชมุ มไิ ด้ การประชุมของคณะกรรมการกากับสานกั งานคณะกรรมการคุ้มครองข้อมูลสว่ นบุคคลอาจกระทา โดยวิธกี ารทางอเิ ล็กทรอนิกสต์ ามทค่ี ณะกรรมการกาหนดกไ็ ด้ ส�ำ นกั งานพฒั นาธรุ กรรมทางอิเลก็ ทรอนกิ ส์ 445

เล่ม ๑๓๖ ตอนท่ี ๖๙ ก หน้า ๘๑ ๒๗ พฤษภาคม ๒๕๖๒ ราชกจิ จานเุ บกษา มาตรา ๕๔ คณะกรรมการกากบั สานกั งานคณะกรรมการคุ้มครองข้อมลู สว่ นบคุ คลมีหนา้ ท่ี และอานาจ ดงั ต่อไปน้ี (๑) กาหนดนโยบายการบริหารงาน และให้ความเห็นชอบแผนการดาเนินงานของสานักงาน (๒) ออกข้อบงั คับว่าดว้ ยการจัดองคก์ ร การเงนิ การบริหารงานบคุ คล การบริหารงานท่ัวไป การตรวจสอบภายใน รวมตลอดทงั้ การสงเคราะห์และสวัสดิการต่าง ๆ ของสานักงาน (๓) อนุมัติแผนการดาเนินงาน แผนการใช้จ่ายเงินและงบประมาณรายจ่ายประจาปีของ สานักงาน (๔) ควบคุมการบริหารงานและการดาเนินการของสานักงานและเลขาธิการให้เป็นไป ตามพระราชบัญญัตนิ ี้และกฎหมายอ่ืนทีเ่ กย่ี วขอ้ ง (๕) แตง่ ต้ังคณะกรรมการสรรหาเลขาธกิ าร (๖) วินิจฉัยอุทธรณ์คาส่ังทางปกครองของเลขาธิการในส่วนที่เก่ียวกับการบริหารงานของ สานักงาน (๗) ประเมนิ ผลการดาเนินการของสานักงาน และการปฏบิ ตั ิงานของเลขาธิการ (๘) ปฏิบัติหน้าท่ีอ่ืนตามท่ีพระราชบัญญัติน้ีหรือกฎหมายอ่ืนกาหนดให้เป็นหน้าที่และอานาจ ของคณะกรรมการกากับสานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลหรอื ตามที่คณะกรรมการหรอื คณะรัฐมนตรมี อบหมาย ข้อบังคับตาม (๒) ถ้ามีการจากัดอานาจเลขาธิการในการทานิติกรรมกับบุคคลภายนอก ใหป้ ระกาศในราชกิจจานเุ บกษา มาตรา ๕๕ คณะกรรมการกากับสานักงานคณะกรรมการค้มุ ครองขอ้ มูลส่วนบุคคลมีอานาจ แต่งต้ังคณะอนุกรรมการ เพื่อปฏิบัติหน้าที่หรือกระทาการอย่างหน่ึงอย่างใดตามท่ีคณะกรรมการกากับ สานกั งานคณะกรรมการคุ้มครองขอ้ มลู สว่ นบคุ คลมอบหมายได้ คณะกรรมการกากับสานั กงานคณะกรรมการคุ้มครอ งข้อมูลส่วนบุคคลอาจแต่งตั้งบุคคล ซึ่งมีความเชี่ยวชาญหรือประสบการณ์ที่จะเป็นประโยชน์ในการปฏิบัติหน้าที่ของคณะกรรมการกากับ สานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เป็นที่ปรึกษาคณะกรรมการกากับสานักงาน คณะกรรมการคุ้มครองขอ้ มูลสว่ นบคุ คลได้ การปฏิบัติหน้าที่และจานวนของคณะอนุกรรมการตามวรรคหน่ึงหรือบุคคลตามวรรคสอง ให้เปน็ ไปตามท่คี ณะกรรมการกากบั สานกั งานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกาหนด การประชุมคณะอนกุ รรมการ ให้นาความในมาตรา ๕๓ มาใชบ้ งั คบั โดยอนโุ ลม สำ�นกั งานพฒั นาธรุ กรรมทางอิเลก็ ทรอนิกส์ 446

เล่ม ๑๓๖ ตอนท่ี ๖๙ ก หน้า ๘๒ ๒๗ พฤษภาคม ๒๕๖๒ ราชกจิ จานเุ บกษา มาตรา ๕๖ ให้ประธานกรรมการและกรรมการกากบั สานกั งานคณะกรรมการค้มุ ครองข้อมลู ส่วนบุคคล ท่ีปรึกษาคณะกรรมการกากับสานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ประธาน อนุกรรมการและอนุกรรมการท่ีคณะกรรมการกากับสานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล แต่งต้ัง ได้รับเบี้ยประชุมหรือค่าตอบแทนตามหลักเกณฑ์ที่คณะกรรมการกาหนดโดยความเห็นชอบ ของกระทรวงการคลงั มาตรา ๕๗ ใหส้ านักงานมเี ลขาธกิ ารคนหนึง่ ซ่ึงคณะกรรมการกากบั สานักงานคณะกรรมการ คุม้ ครองข้อมูลสว่ นบคุ คลแตง่ ต้ัง มหี น้าท่บี ริหารกิจการของสานักงาน การแต่งต้ังเลขาธิการตามวรรคหนึ่ง ให้เป็นไปตามหลักเกณฑ์และวิธีการสรรหาตามท่ี คณะกรรมการกากบั สานกั งานคณะกรรมการค้มุ ครองขอ้ มลู สว่ นบุคคลกาหนด มาตรา ๕๘ ผทู้ ีจ่ ะได้รบั การแต่งต้งั เปน็ เลขาธิการต้องมีคุณสมบตั ิ ดงั ตอ่ ไปนี้ (๑) มสี ัญชาตไิ ทย (๒) อายุไม่ต่ากวา่ สามสบิ หา้ ปแี ตไ่ ม่เกินหกสบิ ปี (๓) เป็นผู้มีความรู้ ความสามารถ และประสบการณ์ในด้านท่ีเก่ียวกับภารกิจของสานักงาน และการบรหิ ารจดั การ มาตรา ๕๙ ผู้มลี ักษณะอยา่ งใดอย่างหนง่ึ ดงั ตอ่ ไปน้ี ต้องห้ามมใิ หเ้ ปน็ เลขาธกิ าร (๑) เปน็ บคุ คลล้มละลายหรอื เคยเป็นบคุ คลลม้ ละลายทุจรติ (๒) เป็นคนไรค้ วามสามารถหรือคนเสมือนไรค้ วามสามารถ (๓) เคยต้องคาพิพากษาถึงท่ีสุดให้จาคุกไม่ว่าจะได้รับโทษจาคุกจริงหรือไม่ เว้นแต่เป็นโทษ สาหรับความผดิ ทีไ่ ดก้ ระทาโดยประมาทหรอื ความผิดลหโุ ทษ (๔) เปน็ ขา้ ราชการ พนกั งาน หรอื ลูกจ้าง ของส่วนราชการหรือรฐั วิสาหกจิ หรือหน่วยงานอน่ื ของรฐั หรือของราชการส่วนท้องถ่นิ (๕) เป็นหรือเคยเป็นข้าราชการการเมือง ผู้ดารงตาแหน่งทางการเมือง สมาชิกสภาท้องถิ่น หรอื ผบู้ ริหารทอ้ งถิ่น เวน้ แตจ่ ะไดพ้ น้ จากตาแหนง่ มาแล้วไม่น้อยกวา่ หนึ่งปี (๖) เป็นหรือเคยเป็นกรรมการหรือผู้ดารงตาแหน่งอ่ืนในพรรคการเมืองหรือเจ้าหน้าที่ของ พรรคการเมือง เว้นแตจ่ ะไดพ้ น้ จากตาแหนง่ มาแล้วไม่นอ้ ยกวา่ หนง่ึ ปี (๗) เคยถูกไล่ออก ปลดออก หรือให้ออกจากราชการ หรือออกจากงานจากหน่วยงานท่เี คย ปฏบิ ตั หิ น้าท่ี เพราะทจุ รติ ตอ่ หนา้ ที่หรือประพฤติช่ัวอยา่ งร้ายแรง หรือเคยถูกถอดถอนจากตาแหน่ง (๘) เคยถูกให้ออกเพราะไมผ่ า่ นการประเมนิ ผลการปฏบิ ัติงานตามมาตรา ๖๒ (๔) สำ�นักงานพฒั นาธรุ กรรมทางอิเลก็ ทรอนิกส์ 447

เล่ม ๑๓๖ ตอนที่ ๖๙ ก หน้า ๘๓ ๒๗ พฤษภาคม ๒๕๖๒ ราชกิจจานเุ บกษา (๙) เป็นผู้มสี ว่ นไดเ้ สยี ในกิจการที่เก่ยี วขอ้ งกบั สานักงานไมว่ ่าโดยทางตรงหรอื ทางออ้ ม มาตรา ๖๐ เลขาธิการมีวาระการดารงตาแหน่งคราวละส่ีปี และอาจได้รับแต่งตั้งอีกได้ แต่จะดารงตาแหนง่ เกนิ สองวาระไมไ่ ด้ ก่อนครบกาหนดตามวาระการดารงตาแหน่งของเลขาธกิ ารเป็นเวลาไม่น้อยกว่าสามสิบวันแต่ไม่เกิน หกสิบวัน หรือภายในสามสบิ วนั นับแตว่ ันที่เลขาธกิ ารพ้นจากตาแหน่งกอ่ นครบวาระ ให้คณะกรรมการ กากับสานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลแต่งตั้งคณะกรรมการสรรหาเพื่อสรรหาเลขาธิการ คนใหม่ ทั้งนี้ ให้คณะกรรมการสรรหาเสนอรายชื่อบุคคลที่เหมาะสมไม่เกินสามคนต่อคณะกรรมการ กากบั สานกั งานคณะกรรมการคมุ้ ครองข้อมูลสว่ นบุคคล มาตรา ๖๑ ในแต่ละปีให้มีการประเมินผลการปฏิบัติงานของเลขาธิการ ท้ังนี้ ให้เป็นไป ตามระยะเวลาและวิธีการท่ีคณะกรรมการกากับสานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล กาหนด มาตรา ๖๒ นอกจากการพ้นจากตาแหน่งตามวาระตามมาตรา ๖๐ เลขาธิการพ้นจาก ตาแหน่ง เม่ือ (๑) ตาย (๒) ลาออก (๓) ขาดคณุ สมบัติตามมาตรา ๕๘ หรอื มีลกั ษณะตอ้ งห้ามตามมาตรา ๕๙ (๔) คณะกรรมการกากบั สานกั งานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลใหอ้ อก เพราะไมผ่ า่ น การประเมินผลการปฏิบัติงาน มีความประพฤติเสื่อมเสีย บกพร่องหรือไม่สุจริตต่อหน้าที่ หรือ หยอ่ นความสามารถ มาตรา ๖๓ ให้เลขาธิการมีหนา้ ทแี่ ละอานาจ ดงั ต่อไปน้ี (๑) บริหารงานของสานักงานให้เกิดผลสัมฤทธ์ิตามภารกิจของสานักงาน และตามนโยบาย และแผนระดับชาติ แผนยุทธศาสตร์ นโยบายของคณะรัฐมนตรี คณะกรรมการ และคณะกรรมการ กากับสานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และระเบียบ ข้อบังคับหรือมติของคณะกรรมการ กากบั สานักงานคณะกรรมการคุ้มครองขอ้ มูลสว่ นบุคคล (๒) วางระเบียบเก่ียวกับการดาเนินงานของสานกั งานโดยไม่ขัดหรือแย้งกับกฎหมาย มติของ คณะรัฐมนตรี และระเบียบ ข้อบังคับ ข้อกาหนด นโยบาย มติ หรือประกาศท่ีคณะกรรมการกากับ สานักงานคณะกรรมการคมุ้ ครองขอ้ มูลสว่ นบคุ คลกาหนด สำ�นักงานพฒั นาธรุ กรรมทางอิเลก็ ทรอนกิ ส์ 448

เล่ม ๑๓๖ ตอนท่ี ๖๙ ก หน้า ๘๔ ๒๗ พฤษภาคม ๒๕๖๒ ราชกจิ จานเุ บกษา (๓) เป็นผู้บังคับบัญชาพนักงานและลูกจ้างของสานักงาน และประเมินผลการปฏิบัติงานของ พนักงานและลกู จา้ งของสานักงานตามระเบียบหรอื ข้อบังคับของสานกั งาน (๔) แต่งตั้งรองเลขาธิการและผู้ช่วยเลขาธิการโดยความเห็นชอบของคณะกรรมการกากับ สานักงานคณะกรรมการคุ้มครองขอ้ มลู สว่ นบุคคลเพื่อเป็นผูช้ ่วยปฏิบัติงานของเลขาธกิ ารตามท่เี ลขาธกิ าร มอบหมาย (๕) บรรจุ แต่งตั้ง เลือ่ น ลด ตดั เงินเดอื นหรอื ค่าจ้าง ลงโทษทางวนิ ัยพนักงาน และลกู จ้าง ของสานกั งาน ตลอดจนให้พนักงานและลูกจ้างของสานักงานออกจากตาแหนง่ ท้ังนี้ ตามระเบียบหรือ ข้อบงั คบั ที่คณะกรรมการกากับสานกั งานคณะกรรมการคุ้มครองข้อมลู ส่วนบคุ คลกาหนด (๖) ปฏิบัติการอ่ืนใดตามระเบียบ ข้อบังคับ ข้อกาหนด นโยบาย มติ หรือประกาศของ คณะกรรมการกากบั สานักงานคณะกรรมการคมุ้ ครองข้อมูลส่วนบุคคล ให้เลขาธิการรับผิดชอบในการบริหารงานของสานักงานข้ึนตรงต่อคณะกรรมการกากับสานักงาน คณะกรรมการคุ้มครองขอ้ มลู ส่วนบคุ คล มาตรา ๖๔ ในกจิ การของสานกั งานทีเ่ ก่ยี วกับบคุ คลภายนอก ให้เลขาธกิ ารเปน็ ผู้แทนของ สานักงาน เพื่อการน้ี เลขาธิการจะมอบอานาจให้บคุ คลใดปฏิบัตงิ านเฉพาะอย่างแทนก็ได้ แต่ต้องเป็นไป ตามขอ้ บงั คับท่คี ณะกรรมการกากบั สานักงานคณะกรรมการคุ้มครองข้อมลู สว่ นบคุ คลกาหนด มาตรา ๖๕ ให้คณะกรรมการกากับสานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เปน็ ผกู้ าหนดอัตราเงนิ เดือนและประโยชนต์ อบแทนอ่นื ของเลขาธกิ ารตามหลักเกณฑ์ที่คณะรัฐมนตรกี าหนด มาตรา ๖๖ เพือ่ ประโยชนใ์ นการบรหิ ารงานของสานกั งาน เลขาธกิ ารอาจขอใหข้ ้าราชการ พนักงาน เจ้าหน้าที่ หรือลูกจ้างของส่วนราชการ หน่วยงานของรัฐ รัฐวิสาหกิจ ราชการส่วนท้องถิน่ องค์การมหาชน หรือหน่วยงานอ่ืนของรัฐ มาปฏิบัติงานเป็นพนักงานหรือลูกจ้างเป็นการชั่วคราวได้ ท้ังนี้ เม่ือได้รับอนมุ ัติจากผู้บังคบั บญั ชาหรือนายจ้างของผู้น้นั และมีข้อตกลงท่ีทาไว้ในการอนมุ ัติ และ ในกรณีท่ีเจ้าหน้าที่ของรฐั ไดร้ ับอนุมัตใิ ห้มาปฏิบัตงิ านเปน็ พนกั งานหรือลูกจา้ งเป็นการชว่ั คราว ให้ถือวา่ เปน็ การได้รบั อนญุ าตให้ออกจากราชการหรือออกจากงานไปปฏิบัติงานใด ๆ เมื่อส้ินสุดระยะเวลาทีไ่ ด้รับอนมุ ตั ิใหม้ าปฏิบัตงิ านในสานักงาน ให้เจ้าหนา้ ท่ีของรฐั ตามวรรคหนึ่ง มีสิทธิไดร้ บั การบรรจแุ ละแต่งตงั้ ใหด้ ารงตาแหนง่ และรบั เงนิ เดอื นในส่วนราชการหรอื หนว่ ยงานเดิมไมต่ า่ กวา่ ตาแหนง่ และเงินเดือนเดิมตามข้อตกลงทที่ าไวใ้ นการอนมุ ตั ิ สำ�นกั งานพฒั นาธรุ กรรมทางอิเล็กทรอนกิ ส์ 449


Tanatporn Sukploy

Law_Book_2019_e-Book_update
Share
Like this book? You can publish your book online for free in a few minutes!
Create your own flipbook

TOP SEARCH

business design fashion music health life sports home marketing children

RELATED PUBLICATIONS