พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล

พระราชบญั ญตั คิ มุ้ ครองขอ้ มลู สว่ นบคุ คล พ.ศ. 2562 Personal Data Protection Act, B.E. 2562 (2019) (PDPA)

เหตผุ ล  เนือ่ งจากปจั จุบนั มีการลว่ งละเมิดสิทธคิ วามเป็นสว่ นตัวของข้อมูลสว่ นบุคคลเปน็ จานวนมากจนสร้าง ความเดอื ดรอ้ นราคาญหรอื ความเสียหายใหแ้ กเ่ จ้าของข้อมูลส่วนบคุ คล ประกอบกับความก้าวหน้า ของเทคโนโลยที าใหก้ ารเกบ็ รวบรวม ใช้ หรือเปิดเผยข้อมลู ส่วนบคุ คลอันเป็นการลว่ งละเมิดดงั กลา่ ว ทาได้โดยง่าย สะดวก และรวดเร็ว กอ่ ใหเ้ กดิ ความเสยี หายตอ่ เศรษฐกิจโดยรวม สมควรกาหนดใหม้ ี กฎหมายว่าดว้ ยการคมุ้ ครองข้อมูลสว่ นบคุ คลเป็นการทั่วไปข้นึ เพอื่ กาหนดหลักเกณฑ์ กลไก หรอื มาตรการกากับดูแลเกย่ี วกบั การใหค้ วามคุ้มครองขอ้ มูลสว่ นบคุ คลทีเ่ ป็นหลกั การทว่ั ไป จงึ จาเปน็ ต้อง ตราพระราชบญั ญตั นิ ้ี 2

ระยะเวลาใชบ้ ังคับ  มผี ลใช้บงั คบั ตง้ั แตว่ นั ถดั จากวันประกาศในราชกจิ จานุเบกษาเปน็ ตน้ ไป (ประกาศลงในราชกจิ จานเุ บกษา วันท่ี 27 พฤษภาคม 2562)  หมวด 1 คณะกรรมการคมุ้ ครองขอ้ มลู สว่ นบคุ คล  หมวด 4 สานักงานคณะกรรมการค้มุ ครองขอ้ มูลสว่ นบคุ คล  ยกเว้น หมวด 2 (การคุม้ ครองข้อมลู สว่ นบคุ คล) หมวด 3 (สทิ ธขิ องเจา้ ของข้อมูลส่วนบุคคล) หมวด 5 (การรอ้ งเรยี น) หมวด 6 (ความรับผดิ ทางแพง่ ) หมวด 7 (บทกาหนดโทษ) และความในมาตรา 95 (การดาเนินการกับข้อมลู เดมิ ) และมาตรา 96 (การตรากฎหมายลาดบั รอง) ให้ ใชบ้ ังคบั เมื่อพน้ กาหนดหนงึ่ ปีนับแต่วนั ประกาศในราชกจิ จานเุ บกษาเปน็ ตน้ ไป 3

การใช้บังคบั  กรณที ม่ี กี ฎหมายวา่ ด้วยการใดบญั ญัติเกย่ี วกับการคมุ้ ครองขอ้ มูลส่วนบุคคลในลักษณะใด กจิ การใด หรอื หน่วยงานใดไว้ โดยเฉพาะ ใหบ้ งั คับตามบทบญั ญัติแหง่ กฎหมายวา่ ด้วยการนั้น เว้นแต่ o บทบญั ญัติเก่ียวกบั การเกบ็ รวบรวม ใช้ หรือเปิดเผยขอ้ มลู สว่ นบคุ คล และบทบัญญตั ิเกีย่ วกบั สทิ ธขิ องเจา้ ของ ข้อมูลส่วนบคุ คล รวมทงั้ บทกาหนดโทษทเ่ี ก่ยี วขอ้ ง o บทบัญญัตเิ กี่ยวกับการรอ้ งเรยี น บทบัญญตั ทิ ่ีให้อานาจแกค่ ณะกรรมการผเู้ ช่ียวชาญ ออกคาส่งั เพอ่ื คมุ้ ครองเจ้าของข้อมูลส่วนบุคคล และบทบญั ญตั ิเกี่ยวกบั อานาจหนา้ ท่ขี องพนักงานเจ้าหน้าที่ รวมทั้งบทกาหนดโทษที่เกีย่ วขอ้ ง 4

ขอบเขตการใชบ้ ังคับ  ใช้บงั คับแกก่ ารเก็บรวบรวม การใช้ หรือการเปดิ เผยขอ้ มูลสว่ นบคุ คลโดยผ้คู วบคมุ ขอ้ มลู สว่ นบคุ คลหรือ ผู้ประมวลผลข้อมลู สว่ นบคุ คลซ่ึงอยูใ่ นราชอาณาจกั ร  มีผลใช้บังคับถึงกรณีผู้ควบคมุ ข้อมลู ส่วนบคุ คลและผู้ประมวลผลข้อมูลสว่ นบุคคลทอ่ี ยู่ นอกราชอาณาจกั ร หากมกี ิจกรรมดังน้ี (1) เสนอขายสนิ ค้าหรอื บรกิ ารแก่เจา้ ของขอ้ มลู ซึง่ อยูใ่ นราชอาณาจกั รไม่วา่ จะมีการชาระเงินหรือไม่ (2) การเฝา้ ตดิ ตามพฤติกรรมของเจ้าของขอ้ มูลท่ีเกิดขน้ึ ในราชอาณาจกั ร 5

ขอ้ ยกเว้นการใชบ้ งั คบั  (1) การเก็บรวบรวม ใช้ หรอื เปดิ เผยข้อมลู สว่ นบคุ คลของบคุ คลท่ที าการเก็บรวบรวมขอ้ มลู สว่ นบคุ คลเพ่ือประโยชนส์ ว่ นตนหรอื เพ่ือกจิ กรรมในครอบครวั ของบคุ คลน้ันเท่านั้น  (2) การดาเนินการของหน่วยงานของรัฐที่มีหน้าทใ่ี นการรักษาความมน่ั คงของรัฐ ซ่ึงรวมถึง ความมน่ั คงทางการคลังของรัฐ หรอื การรกั ษาความปลอดภัยของประชาชน รวมทั้งหนา้ ทเี่ กีย่ วกับ การป้องกนั และปราบปรามการฟอกเงนิ นิตวิ ิทยาศาสตร์ หรอื การรกั ษาความมัน่ คงปลอดภยั ไซเบอร์  (3) บคุ คลหรอื นติ ิบคุ คลซึ่งใชห้ รือเปิดเผยข้อมูลสว่ นบุคคลทที่ าการเกบ็ รวบรวมไว้เฉพาะ เพือ่ กจิ การสือ่ มวลชน งานศลิ ปกรรม หรอื งานวรรณกรรมอนั เปน็ ไปตามจรยิ ธรรม แหง่ การประกอบวิชาชพี หรือเปน็ ประโยชน์สาธารณะเท่านน้ั 6

ข้อยกเวน้ การใชบ้ ังคบั  (4) สภาผู้แทนราษฎร วุฒสิ ภา และรฐั สภา รวมถงึ คณะกรรมาธิการทีแ่ ตง่ ต้ังโดยสภาดงั กลา่ ว ซงึ่ เกบ็ รวบรวม ใช้ หรอื เปิดเผยขอ้ มลู สว่ นบุคคลในการพิจารณาตามหน้าที่และอานาจของ สภาผู้แทนราษฎร วุฒิสภา รัฐสภา หรอื คณะกรรมาธิการ แลว้ แต่กรณี  (5) การพจิ ารณาพิพากษาคดขี องศาลและการดาเนินงานของเจา้ หน้าท่ีในกระบวนการพจิ ารณาคดี การบังคบั คดี และการวางทรัพย์ รวมทั้งการดาเนินงานตามกระบวนการยุตธิ รรมทางอาญา  (6) การดาเนนิ การกับข้อมลู ของบรษิ ทั ขอ้ มลู เครดิตและสมาชกิ ตามกฎหมายว่าดว้ ยการประกอบธุรกจิ ข้อมลู เครดิต 7

ข้อมูลส่วนบคุ คล Personal Data

ขอ้ มลู สว่ นบคุ คล (Personal Data)  “ขอ้ มลู สว่ นบุคคล” หมายความวา่ ขอ้ มลู เกีย่ วกับบคุ คลซ่ึงทาให้สามารถระบตุ ัวบคุ คลน้นั ได้ ไมว่ ่าทางตรงหรือทางอ้อม แต่ไม่รวมถงึ ขอ้ มลู ของผู้ถงึ แกก่ รรมโดยเฉพาะ Name Address Health Phone Data Number ID Card Income 9

ผู้เกี่ยวข้องกับข้อมลู สว่ นบคุ คล Data Subject , Data Controller , Data Processor

ผู้เก่ยี วขอ้ งกับขอ้ มูลสว่ นบุคคล ผู้ประมวลผล เจา้ ของขอ้ มลู ขอ้ มลู ส่วนบคุ คล ส่วนบคุ คล DATA DATA PROCESSOR SUBJECT ผู้ควบคุมข้อมลู ส่วนบุคคล DATA CONTROLLER 11

ผูค้ วบคมุ ข้อมลู ส่วนบคุ คล บุคคลหรือนติ บิ คุ คลซ่ึงมอี านาจหนา้ ท่ีตัดสินใจเก่ียวกบั การเกบ็ รวบรวม ใช้ หรอื เปิดเผยข้อมลู ส่วนบคุ คล ผู้ประมวลผลขอ้ มูลสว่ นบุคคล บคุ คลหรอื นติ ิบุคคลซ่ึงดาเนนิ การเกีย่ วกบั การเก็บรวบรวม ใช้ หรอื เปดิ เผย ขอ้ มลู ส่วนบุคคลตามคาสงั่ หรือในนามของผู้ควบคุมขอ้ มูลส่วนบุคคล ท้งั น้ี บคุ คลหรอื นติ ิบคุ คลซงึ่ ดาเนินการดังกลา่ วไม่เป็นผคู้ วบคุมขอ้ มลู สว่ นบุคคล 12

การเก็บรวบรวม ใช้ หรือเปิดเผยขอ้ มูลส่วนบคุ คล

การเก็บรวบรวม ใช้ หรือเปดิ เผยข้อมูลสว่ นบคุ คลโดยชอบ ความยินยอม การจัดทาเอกสารประวตั ิศาสตร์ ปอ้ งกนั หรือระงับ จาเปน็ เพอ่ื การปฏบิ ัติ หรือจดหมายเหตเุ พ่อื ประโยชน์ อนั ตรายต่อชวี ติ รา่ งกาย ตามสญั ญา หรอื สุขภาพของบุคคล สาธารณะ หรือทเี่ กย่ี วกับ การศึกษาวิจัยหรือสถติ ิ จาเปน็ เพื่อประโยชน์ จาเปน็ เพอ่ื ประโยชน์ การปฏบิ ัติตาม สาธารณะ/การปฏิบตั ิ โดยชอบด้วยกฎหมายของ กฎหมาย หน้าท่ีในการใชอ้ านาจรฐั ผูค้ วบคมุ ขอ้ มูลสว่ นบุคคล หรอื ของบุคคลอน่ื 14

ความยนิ ยอม (Consent) แจง้ วัตถปุ ระสงค์ แยกส่วน ใชภ้ าษาที่ อ่านงา่ ย และไมเ่ ป็น ตอ้ งทาโดยชัดแจง้ เป็น หนังสอื หรอื ทาโดยผา่ น การหลอกลวง ระบบอเิ ลก็ ทรอนิกส์ ความเป็นอิสระ ตอ้ งได้รบั ความ Consent ถอนความยินยอม ยินยอมก่อนหรือ เมอื่ ใดกไ็ ด้ เว้นแต่ ขณะเก็บรวบรวม มีขอ้ จากดั สทิ ธิ 15

ความยินยอมของผู้เยาว์ คนไร้ความสามารถ และคนเสมือนไร้ความสามารถ ผูเ้ ยาว์ • ถ้าไม่ใชก่ ารใด ๆ ซ่ึงผเู้ ยาว์อาจใหค้ วามยินยอมโดยลาพงั ต้องได้รับ ความยินยอมจากผู้ใช้อานาจปกครองดว้ ย คนไร้ ความสามารถ • ผู้เยาว์มอี ายุไม่เกนิ สิบปี ใหข้ อความยนิ ยอมจากผู้ใชอ้ านาจปกครอง ทีม่ อี านาจกระทาการแทนผู้เยาว์ • ให้ขอความยินยอมจากผอู้ นุบาลทีม่ ีอานาจกระทาการแทน คนไรค้ วามสามารถ คนเสมือน • ใหข้ อความยินยอมจากผพู้ ิทกั ษท์ ม่ี อี านาจกระทาการแทน ไรค้ วามสามารถ คนเสมอื นไรค้ วามสามารถ 16

ขอ้ มลู ส่วนบคุ คลท่มี ีความละเอยี ดออ่ น Sensitive Personal Data

Sensitive Personal Data ข้อมลู สว่ นบคุ คลเกยี่ วกบั เช้ือชาติ เผ่าพันธ์ุ ความคิดเหน็ ทางการ เมือง ความเชอ่ื ในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ขอ้ มูลสุขภาพ ความพกิ าร ขอ้ มูลสหภาพ แรงงาน ข้อมูลพันธุกรรม ข้อมูลชวี ภาพ หรอื ข้อมูลอื่นใดซ่งึ กระทบ ตอ่ เจ้าของขอ้ มลู ส่วนบุคคลในทานองเดียวกันตามทีค่ ณะกรรมการ ประกาศกาหนด 18

 หา้ มเก็บรวบรวม ใช้ หรอื เปดิ เผย Sensitive Personal Data  เว้นแต่ ความยนิ ยอม ป้องกนั หรอื ระงับอันตรายตอ่ ชวี ติ การดาเนนิ กิจกรรมโดยชอบด้วยกฎหมาย โดยชดั แจง้ ร่างกาย หรือสุขภาพของบุคคล ท่ีมกี ารคมุ้ ครองท่เี หมาะสมของมลู นิธิ ซ่งึ เจา้ ของข้อมลู สว่ นบุคคลไม่ สมาคม หรอื องค์กรที่ไมแ่ สวงหากาไร สามารถให้ความยินยอมได้ ทีม่ วี ัตถปุ ระสงคเ์ ก่ยี วกบั การเมอื ง ศาสนา ปรชั ญา หรือสหภาพแรงงาน ขอ้ มลู ทีเ่ ปิดเผยต่อสาธารณะด้วย การก่อตง้ั สทิ ธิเรียกรอ้ ง จาเป็นในการปฏิบัติ ความยนิ ยอมโดยชดั แจ้งของเจ้าของ ตามกฎหมาย การปฏบิ ตั ติ ามหรือ ตามกฎหมาย การใช้สิทธเิ รยี กร้องตามกฎหมาย ข้อมูลสว่ นบคุ คล หรอื การยกขึน้ ต่อส้สู ทิ ธิเรียกร้อง 19 ตามกฎหมาย

จาเปน็ ในการปฏิบัติ ตามกฎหมาย  (ก) เวชศาสตร์ปอ้ งกนั หรอื อาชีวเวชศาสตร์ การประเมินความสามารถในการทางานของลกู จ้าง การวินิจฉยั โรค ทางการแพทย์ การใหบ้ ริการดา้ นสขุ ภาพหรือดา้ นสงั คม การรกั ษาทางการแพทย์ การจดั การด้านสุขภาพ หรอื ระบบและการให้บริการด้านสงั คมสงเคราะห์  (ข) ประโยชน์สาธารณะด้านการสาธารณสขุ เช่น การป้องกันด้านสุขภาพจากโรคติดต่ออันตรายหรอื โรคระบาด ที่อาจติดต่อหรือแพรเ่ ขา้ มาในราชอาณาจกั ร หรือการควบคุมมาตรฐานหรอื คุณภาพของยา เวชภณั ฑ์ หรอื เคร่ืองมอื แพทย์  (ค) การคุ้มครองแรงงาน การประกนั สังคม หลกั ประกนั สุขภาพแห่งชาติ สวสั ดิการเกี่ยวกบั การรกั ษาพยาบาลของ ผูม้ ีสทิ ธติ ามกฎหมาย การค้มุ ครองผปู้ ระสบภยั จากรถ  (ง) การศกึ ษาวิจยั ทางวทิ ยาศาสตร์ ประวัตศิ าสตร์ หรือสถิติ หรอื ประโยชนส์ าธารณะอ่ืน  (จ) ประโยชน์สาธารณะทส่ี าคญั 20

การเก็บรวบรวมขอ้ มูลส่วนบุคคล เกบ็ รวบรวมไดเ้ ท่าท่จี าเป็น ภายใต้วัตถปุ ระสงค์อนั ชอบด้วยกฎหมาย ต้องแจง้ ใหเ้ จา้ ของข้อมูลสว่ นบุคคลทราบกอ่ นหรือในขณะเก็บรวบรวมข้อมลู สว่ นบุคคลถงึ รายละเอยี ด ดงั ต่อไปน้ี • วัตถุประสงค์ของการเกบ็ รวบรวม • แจง้ ให้ทราบถึงกรณีท่เี จา้ ของข้อมลู ส่วนบคุ คลต้องใหข้ ้อมลู สว่ นบคุ คลเพือ่ ปฏิบตั ติ ามกฎหมายหรอื สัญญา • ข้อมูลสว่ นบุคคลที่จะมกี ารเก็บรวบรวมและระยะเวลาในการเกบ็ รวบรวม • ประเภทของบุคคลหรือหน่วยงานซง่ึ ข้อมูลสว่ นบุคคลท่ีเกบ็ รวบรวมอาจจะถกู เปิดเผย • ข้อมลู เกี่ยวกบั ผูค้ วบคุมข้อมูลสว่ นบุคคล สถานท่ตี ดิ ตอ่ และวิธกี ารตดิ ต่อ 21 • สิทธขิ องเจ้าของขอ้ มูลส่วนบคุ คล

การเกบ็ รวบรวมข้อมลู สว่ นบคุ คลจากแหลง่ อื่น หา้ มเกบ็ รวบรวมขอ้ มูลส่วนบคุ คล ขอ้ ยกเวน้ จากแหลง่ อน่ื ท่ไี มใ่ ชจ่ ากเจา้ ของ (1) แจง้ เจา้ ของข้อมลู ส่วนบุคคล ขอ้ มลู ส่วนบุคคลโดยตรง ทราบโดยไมช่ กั ชา้ แต่ต้องไมเ่ กิน สามสิบวันนับแต่วันทีเ่ กบ็ รวบรวม และไดร้ บั ความยนิ ยอมจากเจ้าของ ข้อมลู ส่วนบคุ คล (2) เป็นการเกบ็ รวบรวมขอ้ มูล สว่ นบุคคลทไี่ ด้รับยกเวน้ ไมต่ ้อง ขอความยนิ ยอม 22

การใช้ หรือการเปิดเผยข้อมูลส่วนบุคคล หา้ มใช้หรอื เปิดเผย บคุ คลหรือนติ ิบคุ คล การใชห้ รอื เปิดเผยข้อมูล ขอ้ มูลสว่ นบุคคลโดย ทไี่ ด้รบั ข้อมลู ส่วนบคุ คล ส่วนบคุ คลท่ไี ดร้ บั ยกเวน้ ไม่ไดร้ บั ความยินยอม จากผู้ควบคมุ ข้อมูล ไม่ต้องขอความยินยอม เว้นแต่เปน็ ขอ้ มูล ส่วนบุคคลจะตอ้ งไมใ่ ช้ ผู้ควบคุมขอ้ มลู ส่วนบคุ คลที่เกบ็ รวบรวม หรือเปดิ เผยข้อมูล สว่ นบุคคลตอ้ งบนั ทึก ได้โดยไดร้ บั ยกเว้น สว่ นบุคคลเพือ่ การใช้หรือเปิดเผยน้ันไว้ ไมต่ อ้ งขอความยนิ ยอม วัตถปุ ระสงค์อ่ืน 23

การสง่ หรอื โอนขอ้ มลู ส่วนบคุ คลไปยังตา่ งประเทศ  การสง่ หรือโอนข้อมลู สว่ นบคุ คลไปยังตา่ งประเทศ ประเทศปลายทางหรือองคก์ ารระหวา่ งประเทศ ทร่ี บั ข้อมูลสว่ นบคุ คลตอ้ งมีมาตรฐานการคุ้มครองข้อมูลสว่ นบคุ คลทเ่ี พียงพอ  เวน้ แต่ การปฏบิ ัติตามกฎหมาย ได้รบั ความยนิ ยอมจาก การปฏบิ ตั ิตามสัญญา เจ้าของข้อมลู การทาตามสญั ญาระหวา่ ง เพ่อื ปอ้ งกันหรือระงับ ประโยชนส์ าธารณะ ผ้คู วบคุมขอ้ มลู กับบคุ คล อนั ตรายตอ่ ชวี ติ ร่างกาย ท่ีสาคญั หรอื นติ ิบคุ คลอ่ืน หรือสขุ ภาพ 24

Binding Corporate Rules (BCR)  กาหนดหลักการเกี่ยวกับกฎเกณฑก์ ารให้ความคุ้มครองข้อมลู ส่วนบคุ คลไปยงั ต่างประเทศและ อยูใ่ นเครอื กิจการหรือเครือธุรกจิ เดียวกันเพ่ือการประกอบกจิ การหรือธุรกจิ รว่ มกัน หากมีนโยบาย การค้มุ ครองข้อมูลส่วนบุคคลที่ไดร้ ับการตรวจสอบและรับรองจากสานักงานคณะกรรมการ คุ้มครองขอ้ มลู ส่วนบคุ คล สามารถโอนข้อมูลไปยังตา่ งประเทศได้ 25

สทิ ธิของเจา้ ของข้อมูลส่วนบคุ คล Data Subject Right

สทิ ธิของเจ้าของข้อมลู สว่ นบุคคล สิทธไิ ด้รบั การแจง้ ใหท้ ราบ (Right to be informed) สทิ ธิขอเขา้ ถงึ ขอ้ มลู สว่ นบุคคล (Right of access) สิทธใิ นการขอใหโ้ อนขอ้ มลู สว่ นบุคคล (Right to data portability) สทิ ธิคดั ค้านการเกบ็ รวบรวม ใช้ หรือเปดิ เผยข้อมลู สว่ นบคุ คล (Right to object) 27

สิทธิของเจา้ ของข้อมลู สว่ นบคุ คล สทิ ธขิ อใหล้ บหรือทาลาย หรือทาใหข้ ้อมูลสว่ นบคุ คลเปน็ ข้อมูลทไ่ี ม่สามารถระบุตัวบคุ คล (Right to erasure (also known as right to be forgotten)) สทิ ธิขอใหร้ ะงบั การใช้ขอ้ มูล (Right to restrict processing) สทิ ธใิ นการขอใหแ้ ก้ไขข้อมูลสว่ นบคุ คล (Right of rectification) 28

หนา้ ทข่ี องผูค้ วบคุมขอ้ มูลสว่ นบคุ คล & ผปู้ ระมวลผลข้อมลู ส่วนบคุ คล

หน้าทผ่ี คู้ วบคุมขอ้ มูลส่วนบคุ คล จัดให้มมี าตรการรกั ษาความม่ันคงปลอดภัย ดาเนนิ การเพ่ือปอ้ งกนั มใิ ห้ผ้อู ื่นใช้หรอื เปดิ เผยข้อมูลสว่ นบคุ คลโดยมชิ อบ จดั ให้มีระบบการตรวจสอบเพ่อื ดาเนินการลบหรอื ทาลายข้อมูลส่วนบุคคล แจ้งเหตกุ ารละเมิดขอ้ มูลส่วนบุคคล แต่งตั้งตัวแทนภายในราชอาณาจกั ร จดั ทาบันทกึ รายการ 30

หนา้ ที่ผปู้ ระมวลผลขอ้ มลู สว่ นบุคคล ดาเนินการตามคาส่ังที่ได้รับจากผู้ควบคมุ ขอ้ มูลส่วนบุคคลเทา่ นัน้ เว้นแต่คาสง่ั นัน้ ขดั ต่อกฎหมายหรอื บทบัญญตั ใิ นการคมุ้ ครองข้อมูลสว่ นบุคคล จัดให้มีมาตรการรักษาความมัน่ คงปลอดภัย รวมทัง้ แจ้งให้ผคู้ วบคุมข้อมลู สว่ นบคุ คลทราบถงึ เหตุ การละเมิดขอ้ มลู สว่ นบุคคลทเี่ กิดขนึ้ จดั ทาและเก็บรกั ษาบันทึกรายการของกิจกรรมการประมวลผลขอ้ มูลสว่ นบุคคล แตง่ ตัง้ ตัวแทนภายในราชอาณาจักร ผู้ประมวลผลข้อมลู ส่วนบคุ คลซ่งึ ไม่ปฏบิ ัติตามคาส่งั ทไ่ี ด้รบั จากผคู้ วบคุมข้อมลู สว่ นบุคคล ใหถ้ อื วา่ ผปู้ ระมวลผลข้อมูลสว่ นบคุ คลเป็นผคู้ วบคมุ ขอ้ มลู สว่ นบคุ คล 31

เจา้ หนา้ ทีค่ มุ้ ครองข้อมลู สว่ นบุคคล Data Protection Officer (DPO)

เจ้าหนา้ ท่คี ุ้มครองขอ้ มลู ส่วนบคุ คล (Data Protection Officer : DPO) ผูค้ วบคมุ ข้อมูลส่วนบคุ คลและผ้ปู ระมวลผล หนา้ ท่ี DPO ข้อมลู สว่ นบคุ คลจดั ให้มี DPO (1) หนว่ ยงานของรฐั ตามท่ปี ระกาศกาหนด (1) ให้คาแนะนา (2) การดาเนนิ กิจกรรมในการเกบ็ รวบรวม ใช้ (2) ตรวจสอบการดาเนนิ งานเก่ยี วกับ หรอื เปิดเผยจาเปน็ ต้องตรวจสอบขอ้ มูลส่วน การเก็บรวบรวม การใช้ หรอื การเปดิ เผย บุคคลหรอื ระบบอยา่ งสม่าเสมอ โดยเหตทุ ่มี ี ขอ้ มูลว่ นบคุ คล ขอ้ มูลส่วนบคุ คลเป็นจานวนมากตามท่ีประกาศ กาหนด (3) ประสานงานและให้ความร่วมมอื กับ สานักงานฯ (3) กจิ กรรมหลกั ของผคู้ วบคุมข้อมลู ส่วนบุคคล (4) รักษาความลบั ของขอ้ มูลส่วนบุคคลท่ีตน หรือผ้ปู ระมวลผลข้อมลู ส่วนบุคคลเปน็ การเกบ็ ล่วงรูห้ รอื ได้มาเนอื่ งจากการปฏบิ ัติหน้าท่ีตาม รวบรวม ใช้ หรือเปดิ เผย Sensitive Personal กฎหมายน้ี Data 33

การรอ้ งเรยี น

การร้องเรยี น คณะกรรมการผเู้ ชีย่ วชาญ • พจิ ารณาเรอื่ งร้องเรยี น • ตรวจสอบการกระทาใด ๆ ของผคู้ วบคุมขอ้ มลู ส่วนบุคคล หรือผปู้ ระมวลผลขอ้ มลู สว่ นบุคคล รวมทัง้ ลูกจา้ ง หรือผู้รับจา้ งของผูค้ วบคุมขอ้ มลู ส่วนบคุ คลหรอื ผ้ปู ระมวลผลขอ้ มลู สว่ นบคุ คล • ไกลเ่ กลี่ยข้อพพิ าทเกย่ี วกับขอ้ มลู ส่วนบุคคล พนักงานเจา้ หน้าท่ี • (1) มีหนังสือแจง้ ใหบ้ ุคคลมาใหข้ ้อมูล หรือส่งเอกสารหรือหลกั ฐานใด ๆ • (2) ตรวจสอบและรวบรวมข้อเท็จจริง แลว้ รายงานต่อคณะกรรมการผูเ้ ช่ียวชาญ • ในกรณตี ามข้อ (2) หากมคี วามจาเปน็ เพ่ือคุ้มครองประโยชน์ของเจ้าของขอ้ มูล หรือเพอื่ ประโยชน์สาธารณะ ให้พนกั งานเจ้าหน้าทย่ี นื่ ขอหมายศาล เพ่ือเข้าไปในสถานท่ีของผคู้ วบคมุ ผูป้ ระมวลผลหรรือผู้ใด ในระหวา่ ง 35 พระอาทิตย์ข้ึนถึงพระอาทิตยต์ กหรือในเวลาทาการของสถานทีน่ นั้

การรอ้ งเรียน ร้องเรียน ไกล่เกล่ยี ได้ ไกลเ่ กลี่ยไม่ได้ ส่ังใหแ้ กไ้ ข ห้ามกระทาการ การบังคับ ทีก่ อ่ ใหเ้ กิด ทางปกครอง ความเสยี หาย 36

ความรับผิดทางแพง่ & โทษอาญาและโทษทางปกครอง

ความรบั ผิดทางแพง่ ความรับผดิ โดยเคร่งครดั (Strict Liability) • ผู้ควบคมุ ขอ้ มูลส่วนบุคคล/ผ้ปู ระมวลผลข้อมูลส่วนบุคคลซง่ึ ทาใหเ้ กิด ความเสียหายต่อเจ้าของข้อมลู ส่วนบคุ คล ตอ้ งชดใชค้ ่าสนิ ไหมทดแทน ไมว่ า่ การดาเนินการนัน้ จะเกิดจากการกระทาโดยจงใจหรือประมาทเลินเลอ่ หรอื ไมก่ ต็ าม เวน้ แต่จะพสิ จู นไ์ ด้ว่า • (1) เหตสุ ดุ วิสยั หรอื เกิดจากการกระทาหรือละเว้นการกระทาของเจ้าของข้อมูล ส่วนบคุ คล • (2) เปน็ การปฏิบตั ิตามคาสงั่ ของเจ้าหน้าท่ซี งึ่ ปฏิบัตกิ ารตามหน้าทแ่ี ละอานาจตาม 38 กฎหมาย

ความรบั ผิดทางแพง่ คา่ สนิ ไหมทดแทน/อายุความ • ศาลมอี านาจสั่งให้ชดใชค้ า่ สนิ ไหมทดแทนได้ไมเ่ กนิ สองเท่าของค่าสินไหมทดแทน ทีแ่ ทจ้ ริง • อายคุ วามฟอ้ งคดี สามปีนบั แต่วนั ที่ผู้เสียหายรถู้ ึงความเสียหายและรตู้ ัวผคู้ วบคมุ ขอ้ มลู สว่ นบคุ คลหรือผู้ประมวลผลขอ้ มูลส่วนบคุ คลทต่ี ้องรบั ผิดหรือเม่ือพ้นสิบปี นบั แต่วนั ท่มี กี ารละเมิดขอ้ มูลส่วนบคุ คล 39

มาตรา 79โทษอาญา วรรคหนง่ึ ผ้คู วบคุมขอ้ มลู สว่ นบุคคล • ฝา่ ฝืนมาตรา 27 วรรคหนึง่ (ใชห้ รือเปดิ เผยข้อมลู ส่วนบคุ คลโดยมิชอบ) • ฝา่ ฝืนมาตรา 27 วรรคสอง (ใชห้ รือเปดิ เผยข้อมลู สว่ นบคุ คลนอกเหนอื วัตถุประสงค)์ • ไมป่ ฏิบตั ิตามมาตรา 28 (สง่ หรอื โอนขอ้ มูลส่วนบคุ คลไปยงั ตา่ งประเทศ) • อันเกี่ยวกับขอ้ มลู ส่วนบุคคลตาม มาตรา 26 (Sensitive Personal Data) • โดยประการทีน่ ่าจะทาใหผ้ อู้ ่นื เกิดความเสยี หาย เสียช่ือเสียง ถูกดหู มนิ่ ถกู เกลียดชัง หรือได้รบั ความอบั อาย • ต้องระวางโทษจาคุกไมเ่ กนิ หกเดอื น หรือปรบั ไมเ่ กินห้าแสนบาท หรือทั้งจาทงั้ ปรับ 40

มาตรา 79โทษอาญา วรรคสอง ผ้คู วบคุมขอ้ มลู สว่ นบคุ คล • ฝา่ ฝนื มาตรา 27 วรรคหนง่ึ หรอื วรรคสอง หรอื ไมป่ ฏบิ ัติตามมาตรา 28 อนั เกยี่ วกับขอ้ มูลสว่ นบุคคลตามมาตรา 26 • เพ่ือแสวงหาประโยชน์ท่ีมคิ วรได้โดยชอบดว้ ยกฎหมายสาหรบั ตนเองหรอื ผู้อ่ืน • ตอ้ งระวางโทษจาคกุ ไม่เกนิ หนึ่งปี หรอื ปรับไมเ่ กินหนง่ึ ลา้ นบาท หรอื ท้งั จาท้ังปรบั • ความผดิ ตามมาตรานี้เปน็ ความผดิ อันยอมความได้ 41

โทษอาญา มาตรา 80 วรรคหน่ึง ผู้ใด ขอ้ ยกเว้น (4) การเปดิ เผยทไี่ ดร้ ับ ความยนิ ยอมเปน็ หนงั สอื • ลว่ งรูข้ ้อมลู ส่วนบุคคลของ (1) การเปิดเผยตามหนา้ ที่ เฉพาะครัง้ จากเจ้าของข้อมลู ผอู้ นื่ เนื่องจากการปฏบิ ัติ (2) การเปดิ เผยเพ่อื ประโยชน์ สว่ นบุคคล หน้าท่ีตามพระราชบัญญตั ิน้ี แก่การสอบสวน หรอื ถ้าผนู้ นั้ นาไปเปิดเผยแก่ การพจิ ารณาคดี (5) การเปดิ เผยข้อมูล ผู้อื่น (3) การเปดิ เผยแกห่ นว่ ยงาน สว่ นบุคคลทเี่ ก่ียวกบั ของรัฐในประเทศหรือ การฟ้องร้องคดีตา่ ง ๆ • ต้องระวางโทษจาคุก ตา่ งประเทศที่มอี านาจหน้าที่ ทเ่ี ปดิ เผยตอ่ สาธารณะ ไมเ่ กินหกเดอื น หรอื ปรบั ตามกฎหมาย ไมเ่ กินห้าแสนบาท หรอื ทั้งจาท้งั ปรับ 42

มาตรา 81โทษอาญา • ในกรณที ผ่ี กู้ ระทาความผดิ ตามพระราชบัญญตั ิน้ีเปน็ นติ บิ คุ คล • ถา้ การกระทาความผิดของนติ บิ คุ คลน้ันเกดิ จากการสงั่ การหรอื การ กระทาของกรรมการหรอื ผจู้ ัดการ หรอื บุคคลใดซึง่ รบั ผิดชอบใน การดาเนินงานของนติ ิบคุ คลนัน้ • หรอื ในกรณที ี่บุคคลดงั กล่าวมีหนา้ ทต่ี อ้ งส่งั การหรอื กระทาการและละ เว้นไมส่ ัง่ การหรอื ไมก่ ระทาการจนเปน็ เหตใุ ห้นติ บิ คุ คลนั้นกระทา ความผดิ • ผู้นน้ั ต้องรับโทษตามท่บี ญั ญตั ิไว้สาหรบั ความผิดน้นั ๆ ดว้ ย 43

โทษทางปกครอง • กาหนดโทษปรับทางปกครองสาหรับการกระทาความผิด ที่เปน็ การฝา่ ฝืนหรือไมป่ ฏิบัติตามทก่ี ฎหมายกาหนด • โทษปรบั ทางปกครอง 500,000 – 5,000,000 บาท • คณะกรรมการผูเ้ ชยี่ วชาญมีอานาจสงั่ ลงโทษปรบั ทางปกครอง • คาสั่งของคณะกรรมการผเู้ ช่ยี วชาญเปน็ ทส่ี ดุ 44

ขอ้ มูลส่วนบคุ คลท่เี กบ็ รวบรวมไว้ก่อน วันทพ่ี ระราชบญั ญตั ินี้ใชบ้ งั คับ

ขอ้ มูลส่วนบุคคลทีเ่ ก็บรวบรวมไวก้ ่อน วันที่พระราชบญั ญตั ิน้ใี ชบ้ งั คบั ผ้คู วบคมุ ขอ้ มูลสว่ นบุคคลสามารถเก็บรวบรวมและใชข้ อ้ มูลสว่ นบคุ คลนั้นตอ่ ไปได้ ตามวตั ถปุ ระสงค์เดิม ตอ้ งกาหนดวิธีการยกเลกิ ความยินยอมและเผยแพรป่ ระชาสัมพนั ธใ์ หเ้ จา้ ของขอ้ มลู ส่วนบคุ คลทไ่ี ม่ประสงคใ์ ห้ผคู้ วบคมุ ขอ้ มูลสว่ นบคุ คลเก็บรวมรวมและใชข้ อ้ มูลสว่ นบุคคล ดงั กลา่ วสามารถแจ้งยกเลิกความยนิ ยอมไดโ้ ดยงา่ ย การเปดิ เผยและการดาเนินการอืน่ ท่มี ใิ ช่การเกบ็ รวบรวมและการใชข้ ้อมูล ส่วนบุคคลใหเ้ ปน็ ไปตามพระราชบญั ญตั ินี้ 46

Thank you