เล่ม ๑๓๖ ตอนที่ ๖๙ ก หน้า ๓๑ ๒๗ พฤษภาคม ๒๕๖๒ ราชกจิ จานเุ บกษา (๑) ทุนประเดิมท่ีรัฐบาลจัดสรรให้ตามมาตรา ๘๑ วรรคหน่ึง และเงินและทรัพย์สินท่ีได้ รับโอนมาตามมาตรา ๘๒ (๒) เงนิ อุดหนุนทัว่ ไปท่รี ัฐบาลจัดสรรใหต้ ามความเหมาะสมเปน็ รายปี (๓) เงินอุดหนุนจากหน่วยงานของรัฐท้ังในประเทศและต่างประเทศ หรือองค์การระหว่างประเทศ ระดับรฐั บาล (๔) ค่าธรรมเนียม ค่าบารุง ค่าตอบแทน ค่าบริการ หรือรายได้อันเกิดจากการดาเนินการ ตามหนา้ ทแ่ี ละอานาจของสานกั งาน (๕) ดอกผลของเงินหรอื รายได้จากทรัพย์สินของสานักงาน เงนิ และทรพั ย์สนิ ของสานกั งานตามวรรคหนึง่ ต้องนาส่งคลังเป็นรายได้แผน่ ดิน มาตรา ๒๕ ให้มีคณะกรรมการบริหารสานักงานคณะกรรมการการรักษาความมั่นคง ปลอดภัยไซเบอร์ เรียกโดยย่อว่า “กบส.” เพื่อดูแลงานด้านกิจการบริหารงานทั่วไปของสานักงาน ประกอบด้วย รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เป็นประธานกรรมการ ปลดั กระทรวงดจิ ทิ ลั เพอื่ เศรษฐกจิ และสังคม อธบิ ดกี รมบัญชกี ลาง เลขาธิการ ก.พ. เลขาธกิ าร ก.พ.ร. และกรรมการผ้ทู รงคุณวฒุ จิ านวนไม่เกนิ หกคน เป็นกรรมการ ให้เลขาธิการเป็นกรรมการและเลขานุการ และให้เลขาธิการแต่งต้ังพนักงานของสานักงาน เป็นผู้ชว่ ยเลขานกุ ารไดไ้ ม่เกินสองคน กรรมการผ้ทู รงคณุ วฒุ ติ ามวรรคหนงึ่ ใหร้ ฐั มนตรีแต่งต้ังจากบุคคลซึ่งมคี วามรู้ ความเชี่ยวชาญ และความสามารถเป็นที่ประจักษ์ในด้านการรักษาความม่ันคงปลอดภัยไซเบอร์ ด้านเทคโนโลยีสารสนเทศ และการส่ือสาร ด้านเศรษฐศาสตร์ ด้านสังคมศาสตร์ ด้านกฎหมาย ด้านบริหารธุรกิจ หรือด้านอื่น ทเี่ กยี่ วขอ้ ง และเปน็ ประโยชนต์ อ่ การดาเนนิ งานของ กบส. ตามหลกั เกณฑแ์ ละวิธีการท่คี ณะกรรมการ กาหนด ใหน้ าความในมาตรา ๖ และมาตรา ๘ มาใช้บงั คับกบั กรรมการผทู้ รงคณุ วฒุ ิโดยอนโุ ลม มาตรา ๒๖ ให้กรรมการผู้ทรงคุณวุฒใิ น กบส. มีวาระการดารงตาแหน่งคราวละสป่ี ี ในกรณีท่ีมีการแต่งต้ังกรรมการผู้ทรงคุณวุฒิเพิ่มเตมิ หรือแทนกรรมการผู้ทรงคุณวุฒิซง่ึ พ้นจาก ตาแหน่งก่อนวาระ รัฐมนตรีอาจแต่งต้ังกรรมการผู้ทรงคุณวุฒิเพิ่มเติมหรือแทนตาแหน่งที่ว่างได้ และ ให้ผู้ได้รับแต่งตั้งเป็นกรรมการผู้ทรงคุณวุฒิเพิ่มเติมหรือแทนตาแหน่งที่ว่างนั้นดารงตาแหน่งได้เท่ากับ วาระท่เี หลอื อยู่ของกรรมการผู้ทรงคุณวฒุ ิซง่ึ ไดแ้ ตง่ ต้งั ไว้แล้ว 392 ส�ำ นักงานพัฒนาธรุ กรรมทางอิเลก็ ทรอนิกส์
เล่ม ๑๓๖ ตอนท่ี ๖๙ ก หน้า ๓๒ ๒๗ พฤษภาคม ๒๕๖๒ ราชกิจจานเุ บกษา เม่ือครบกาหนดวาระตามวรรคหน่ึง หากยังมิไดแ้ ต่งต้งั กรรมการผทู้ รงคณุ วฒุ ขิ ึน้ ใหม่ ให้กรรมการ ผู้ทรงคุณวุฒซิ งึ่ พ้นจากตาแหน่งตามวาระนัน้ อยู่ในตาแหนง่ เพื่อดาเนินงานตอ่ ไปจนกวา่ จะไดม้ ีการแตง่ ตัง้ กรรมการผู้ทรงคณุ วฒุ ขิ ้ึนใหม่ มาตรา ๒๗ ให้ กบส. มีหนา้ ทีแ่ ละอานาจ ดงั ต่อไปน้ี (๑) กาหนดนโยบายการบริหารงาน และให้ความเหน็ ชอบแผนการดาเนนิ งานของสานักงาน (๒) ออกข้อบังคับว่าด้วยการจัดองค์กร การเงิน การบริหารงานบุคคล การบรหิ ารงานทั่วไป การพสั ดุ การตรวจสอบภายใน รวมตลอดทง้ั การสงเคราะหแ์ ละสวัสดิการต่าง ๆ ของสานกั งาน (๓) อนุมตั แิ ผนการใช้จา่ ยเงินและงบประมาณรายจ่ายประจาปีของสานกั งาน (๔) ควบคุมการบริหารงานและการดาเนินการของสานักงานและเลขาธิการ ให้เป็นไป ตามพระราชบัญญตั นิ ีแ้ ละกฎหมายอน่ื ทีเ่ กีย่ วข้อง (๕) วนิ จิ ฉยั คาสงั่ ทางปกครองของเลขาธิการในสว่ นท่ีเกี่ยวกับการบรหิ ารงานของสานกั งาน (๖) ประเมินผลการดาเนนิ งานของสานกั งานและการปฏบิ ัติงานของเลขาธกิ าร (๗) ปฏบิ ตั ิหนา้ ที่อ่ืนตามท่ีพระราชบญั ญตั ิน้หี รอื กฎหมายอน่ื กาหนดให้เปน็ หนา้ ท่ีและอานาจของ กบส. หรอื ตามที่คณะกรรมการหรือคณะรัฐมนตรมี อบหมาย ในการปฏิบัติงานตามวรรคหน่ึง กบส. อาจแต่งตั้งคณะอนุกรรมการเพื่อพิจารณา เสนอแนะ หรือกระทาการอย่างหน่ึงอย่างใดตามท่ี กบส. มอบหมายได้ ท้ังน้ี การปฏิบัติงานและการประชุม ใหเ้ ป็นไปตามหลักเกณฑแ์ ละวธิ ีการที่ กบส. กาหนด กบส. อาจแตง่ ตงั้ ผ้ทู รงคุณวฒุ ซิ ่งึ มีความเช่ยี วชาญในดา้ นท่เี ป็นประโยชน์ต่อการดาเนินงานของ สานักงานเปน็ ทปี่ รึกษา กบส. ทั้งนี้ ตามหลกั เกณฑ์และวิธีการทีค่ ณะกรรมการกาหนด มาตรา ๒๘ ให้ประธานกรรมการและกรรมการ ประธานอนุกรรมการและอนุกรรมการ ท่ี กบส. แตง่ ตั้ง ไดร้ บั เบย้ี ประชมุ และค่าตอบแทนอน่ื ตามหลักเกณฑ์ที่คณะกรรมการกาหนด มาตรา ๒๙ ให้สานกั งานมเี ลขาธกิ ารคนหนง่ึ รบั ผดิ ชอบการปฏบิ ัตงิ านของสานกั งาน และ เป็นผบู้ ังคบั บัญชาพนักงานและลูกจา้ งของสานักงาน มาตรา ๓๐ เลขาธกิ ารต้องมีคุณสมบตั ิ ดงั ต่อไปนี้ (๑) มีสัญชาตไิ ทย (๒) มีอายุไมต่ า่ กว่าสามสิบหา้ ปี แต่ไมเ่ กินหกสบิ ปี (๓) เป็นผู้มีความรู้ ความสามารถ และประสบการณ์ในด้านที่เก่ียวกับภารกิจของสานักงาน และการบริหารจัดการ ส�ำ นกั งานพัฒนาธรุ กรรมทางอิเลก็ ทรอนิกส์ 393
เล่ม ๑๓๖ ตอนท่ี ๖๙ ก หน้า ๓๓ ๒๗ พฤษภาคม ๒๕๖๒ ราชกิจจานุเบกษา มาตรา ๓๑ ผมู้ ลี ักษณะอย่างใดอย่างหนง่ึ ดงั ต่อไปน้ี ตอ้ งห้ามมิใหเ้ ปน็ เลขาธิการ (๑) เปน็ บุคคลลม้ ละลายหรอื เคยเปน็ บุคคลลม้ ละลายทุจรติ (๒) เปน็ คนไร้ความสามารถหรือคนเสมือนไร้ความสามารถ (๓) เคยต้องคาพิพากษาถึงที่สุดให้จาคุกไม่ว่าจะได้รับโทษจาคุกจริงหรือไม่ เว้นแต่เป็นโทษ สาหรบั ความผิดท่ไี ด้กระทาโดยประมาทหรือความผิดลหุโทษ (๔) เปน็ ขา้ ราชการ พนกั งาน หรอื ลูกจ้าง ของสว่ นราชการหรือรฐั วิสาหกจิ หรอื หน่วยงานอนื่ ของรัฐหรอื ของราชการสว่ นท้องถิ่น (๕) เป็นหรือเคยเป็นข้าราชการการเมือง ผู้ดารงตาแหน่งทางการเมือง สมาชิกสภาท้องถิ่น หรอื ผ้บู ริหารทอ้ งถนิ่ เวน้ แตจ่ ะไดพ้ น้ จากตาแหนง่ มาแลว้ ไม่น้อยกว่าหน่ึงปี (๖) เป็นหรือเคยเป็นกรรมการหรือผู้ดารงตาแหน่งอื่นในพรรคการเมืองหรือเจ้าหน้าท่ีของ พรรคการเมือง เว้นแตจ่ ะไดพ้ น้ จากตาแหนง่ มาแลว้ ไม่น้อยกวา่ หน่งึ ปี (๗) เคยถูกไล่ออก ปลดออก หรือให้ออกจากราชการ หรือออกจากงานจากหนว่ ยงานท่ีเคย ปฏิบัตหิ นา้ ที่ เพราะทจุ ริตตอ่ หนา้ ที่หรอื ประพฤติชว่ั อยา่ งรา้ ยแรง หรือเคยถกู ถอดถอนจากตาแหนง่ (๘) เคยถูกใหอ้ อกเพราะไมผ่ ่านการประเมินผลการปฏบิ ตั ิงานตามมาตรา ๓๕ (๕) มาตรา ๓๒ ให้คณะกรรมการเป็นผู้กาหนดอัตราเงินเดือนและค่าตอบแทนอื่นของเลขาธิการ ตามหลักเกณฑ์ทค่ี ณะรฐั มนตรีกาหนด มาตรา ๓๓ เลขาธกิ ารมวี าระอยใู่ นตาแหน่งคราวละสี่ปี เลขาธกิ ารซ่ึงพ้นจากตาแหนง่ ตามวาระอาจไดร้ ับแตง่ ตัง้ อกี ได้ แตต่ ้องไมเ่ กินสองวาระ มาตรา ๓๔ ในแต่ละปี ให้มีการประเมินผลการปฏิบัติงานของเลขาธิการ ทั้งนี้ ให้เป็นไป ตามระยะเวลาและวิธกี ารทค่ี ณะกรรมการกาหนด มาตรา ๓๕ นอกจากการพน้ จากตาแหน่งตามวาระ เลขาธกิ ารพ้นจากตาแหน่ง เม่ือ (๑) ตาย (๒) ลาออก (๓) ขาดคณุ สมบัตติ ามมาตรา ๓๐ หรอื มีลักษณะต้องห้ามตามมาตรา ๓๑ (๔) คณะกรรมการมมี ตใิ หอ้ อก เพราะบกพรอ่ งหรอื ทุจรติ ตอ่ หน้าท่ี มคี วามประพฤตเิ ส่อื มเสยี หรอื หยอ่ นความสามารถ (๕) คณะกรรมการให้ออก เพราะไมผ่ า่ นการประเมนิ ผลการปฏิบัติงาน (๖) ออกตามกรณีท่กี าหนดไวใ้ นสญั ญาจา้ งหรอื ขอ้ ตกลงระหวา่ งคณะกรรมการกับเลขาธิการ 394 ส�ำ นกั งานพัฒนาธรุ กรรมทางอิเลก็ ทรอนิกส์
เล่ม ๑๓๖ ตอนที่ ๖๙ ก หน้า ๓๔ ๒๗ พฤษภาคม ๒๕๖๒ ราชกจิ จานุเบกษา มาตรา ๓๖ ให้เลขาธิการภายใต้การควบคุมดูแลของคณะกรรมการ กกม. และ กบส. ต้องดาเนนิ การตามคาสงั่ ของคณะกรรมการ กกม. และ กบส. ภายใต้หน้าที่และอานาจ ดงั ตอ่ ไปนี้ (๑) บริหารงานของสานักงานให้เกิดผลสัมฤทธิ์ตามภารกิจของสานักงาน และตามนโยบาย และแผนว่าด้วยการรักษาความม่ันคงปลอดภัยไซเบอร์ แผนปฏิบัติการเพ่ือการรักษาความมั่นคง ปลอดภัยไซเบอร์ นโยบายของคณะรัฐมนตรีและคณะกรรมการ และข้อบังคับ นโยบาย มติ และ ประกาศของ กบส. (๒) วางระเบยี บภายใต้นโยบายของคณะกรรมการและ กกม. โดยไมข่ ัดหรือแย้งกับกฎหมาย มติของคณะรัฐมนตรี และขอ้ บงั คับ นโยบาย มติ และประกาศที่คณะกรรมการและ กกม. กาหนด (๓) เป็นผู้บังคับบัญชาพนักงานและลูกจ้างของสานักงาน และประเมินผลการปฏิบัติงานของ พนักงานและลูกจ้างของสานกั งานตามขอ้ บงั คบั ของ กบส. และระเบยี บของสานกั งาน (๔) แต่งต้ังรองเลขาธิการหรือผู้ช่วยเลขาธิการโดยความเห็นชอบของคณะกรรมการ เพ่ือเป็น ผู้ชว่ ยปฏบิ ัตงิ านของเลขาธิการตามทเ่ี ลขาธิการมอบหมาย (๕) บรรจุ แต่งต้ัง เล่ือน ลด ตัดเงินเดือนหรือค่าจ้าง ลงโทษทางวินัยพนักงานและลูกจา้ ง ของสานกั งาน ตลอดจนใหพ้ นักงานและลูกจา้ งของสานกั งานออกจากตาแหน่ง ท้ังน้ี ตามขอ้ บังคับของ กบส. และระเบยี บของสานกั งาน (๖) ปฏบิ ตั ิการอน่ื ใดตามข้อบังคับ นโยบาย มติ หรอื ประกาศของ กบส. หรอื กกม. ในกิจการของสานักงานที่เกี่ยวกับบุคคลภายนอก ให้เลขาธิการเป็นผู้แทนของสานักงาน ภายใต้ขอบเขตที่ไดร้ ับการแตง่ ต้งั โดยคณะกรรมการ เลขาธิการอาจมอบอานาจให้บุคคลใดในสังกัดของสานักงาน ปฏิบัติงานเฉพาะอย่างแทนก็ได้ ทั้งน้ี ตามขอ้ บังคบั ท่ี กบส. กาหนด ในกรณีท่ีไม่มีเลขาธิการหรือเลขาธิการไม่อาจปฏิบัติหน้าที่ได้ ให้รองเลขาธิการที่มีอาวุโส ตามลาดบั รกั ษาการแทน ถ้าไม่มรี องเลขาธิการหรือรองเลขาธิการไม่อาจปฏิบตั ิหนา้ ท่ีได้ ให้คณะกรรมการ แต่งตง้ั บุคคลทเ่ี หมาะสมมารักษาการแทน มาตรา ๓๗ การบัญชีของสานักงานให้จัดทาตามแบบและหลักเกณฑ์ที่ กบส. กาหนด โดยให้คานงึ ถงึ หลกั สากลและมาตรฐานการบัญชี มาตรา ๓๘ ให้สานักงานจัดทางบการเงินและบัญชี แล้วส่งผู้สอบบัญชีภายในเก้าสิบวัน นับแต่วันสนิ้ ปีบัญชี ส�ำ นักงานพฒั นาธรุ กรรมทางอิเลก็ ทรอนิกส์ 395
เล่ม ๑๓๖ ตอนท่ี ๖๙ ก หน้า ๓๕ ๒๗ พฤษภาคม ๒๕๖๒ ราชกิจจานเุ บกษา ให้สานักงานการตรวจเงินแผ่นดินหรือผู้สอบบัญชีรับอนุญาตที่สานักงานการตรวจเงินแผ่นดิน ให้ความเห็นชอบเป็นผู้สอบบัญชีของสานักงาน และประเมินผลการใช้จ่ายเงินและทรัพย์สินของ สานักงานทกุ รอบปีแล้วทารายงานผลการสอบบญั ชเี สนอต่อ กบส. เพอื่ รบั รอง มาตรา ๓๙ ให้สานักงานจัดทารายงานผลการดาเนินงานประจาปีเสนอคณะกรรมการและ รฐั มนตรภี ายในหนงึ่ รอ้ ยแปดสบิ วนั นบั แตว่ นั สน้ิ ปีบญั ชี และเผยแพรร่ ายงานน้ีต่อสาธารณชน รายงานผลการดาเนนิ งานประจาปีตามวรรคหน่งึ ให้แสดงรายละเอียดของงบการเงินท่ีผสู้ อบบญั ชี ให้ความเห็นแล้ว พรอ้ มทงั้ ผลงานของสานักงานและรายงานการประเมินผลการดาเนนิ งานของสานักงาน ในปีท่ีล่วงมาแล้ว การประเมินผลการดาเนินงานของสานักงานตามวรรคสอง จะต้องดาเนินการโดยบคุ คลภายนอก ที่ กบส. ให้ความเหน็ ชอบ มาตรา ๔๐ ให้รัฐมนตรีมีอานาจกากับดูแลโดยทั่วไปซ่ึงกิจการของสานักงานให้เป็นไป ตามหน้าที่และอานาจของสานักงาน กฎหมาย แผนยุทธศาสตร์ชาติ นโยบายและแผนของรัฐบาล และมติคณะรัฐมนตรีที่เกี่ยวข้อง เพ่ือการนี้ให้รัฐมนตรีมีอานาจส่ังให้เลขาธิการช้ีแจงข้อเท็จจริง แสดงความคิดเห็น หรือทารายงานเสนอ และมีอานาจส่ังยับย้ังการกระทาของสานักงานท่ีขัดต่อหน้าท่ี และอานาจของสานักงาน กฎหมาย แผนยุทธศาสตร์ชาติ นโยบายและแผนของรัฐบาล หรือ มติคณะรัฐมนตรที ่ีเกยี่ วข้อง ตลอดจนส่งั สอบสวนข้อเท็จจรงิ เกยี่ วกบั การดาเนินการของสานกั งานได้ หมวด ๓ การรกั ษาความม่นั คงปลอดภยั ไซเบอร์ สว่ นท่ี ๑ นโยบายและแผน มาตรา ๔๑ การรักษาความม่ันคงปลอดภัยไซเบอร์ต้องคานึงถึงความเป็นเอกภาพและ การบูรณาการในการดาเนินงานของหน่วยงานของรัฐและหน่วยงานเอกชน และต้องสอดคล้องกับ นโยบายและแผนระดับชาติว่าด้วยการพัฒนาดิจิทัลเพ่ือเศรษฐกิจและสังคมตามกฎหมายว่าด้วย การพัฒนาดิจิทัลเพื่อเศรษฐกิจและสังคม และนโยบายและแผนแม่บทท่ีเก่ียวกับการรักษาความมั่นคง ของสภาความมั่นคงแหง่ ชาติ 396 สำ�นกั งานพฒั นาธรุ กรรมทางอิเล็กทรอนกิ ส์
เล่ม ๑๓๖ ตอนที่ ๖๙ ก ราชกหจิ นจ้าานุเ๓บ๖กษา ๒๗ พฤษภาคม ๒๕๖๒ การดาเนินการด้านการรักษาความม่ันคงปลอดภัยไซเบอร์ ต้องมุ่งหมายเพ่ือสร้างศักยภาพใน การป้องกัน รับมือ และลดความเส่ียงจากภัยคุกคามทางไซเบอร์ โดยเฉพาะอย่างยิ่งในการปกป้อง โครงสร้างพนื้ ฐานสาคัญทางสารสนเทศของประเทศ มาตรา ๔๒ นโยบายและแผนว่าด้วยการรักษาความม่ันคงปลอดภัยไซเบอร์ ต้องมีเป้าหมาย และแนวทางอย่างน้อย ดงั ตอ่ ไปน้ี (๑) การบูรณาการการจัดการในการรกั ษาความมนั่ คงปลอดภัยไซเบอร์ของประเทศ (๒) การสรา้ งมาตรการและกลไกเพ่ือพัฒนาศักยภาพในการป้องกนั รบั มือ และลดความเสยี่ ง จากภัยคุกคามทางไซเบอร์ (๓) การสร้างมาตรการในการปกป้องโครงสร้างพื้นฐานสาคัญทางสารสนเทศของประเทศ (๔) การประสานความร่วมมอื ระหวา่ งภาครฐั เอกชน และประสานความร่วมมอื ระหว่างประเทศ เพือ่ การรักษาความมน่ั คงปลอดภัยไซเบอร์ (๕) การวิจยั และพฒั นาเทคโนโลยแี ละองคค์ วามร้ทู เ่ี ก่ียวกับการรกั ษาความมั่นคงปลอดภัยไซเบอร์ (๖) การพัฒนาบุคลากรและผู้เช่ียวชาญด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ทั้งภาครัฐ และเอกชน (๗) การสร้างความตระหนกั และความรดู้ ้านการรกั ษาความมนั่ คงปลอดภัยไซเบอร์ (๘) การพัฒนาระเบียบและกฎหมายเพอ่ื การรกั ษาความมน่ั คงปลอดภยั ไซเบอร์ มาตรา ๔๓ ให้คณะกรรมการจัดทานโยบายและแผนว่าด้วยการรกั ษาความมั่นคงปลอดภัย ไซเบอร์ขึ้นตามแนวทางในมาตรา ๔๒ เพ่ือเสนอคณะรัฐมนตรีให้ความเห็นชอบ โดยให้ประกาศใน ราชกจิ จานุเบกษา และเมื่อไดป้ ระกาศแล้ว ใหห้ น่วยงานของรัฐ หนว่ ยงานควบคุมหรือกากับดูแล และ หน่วยงานโครงสร้างพ้ืนฐานสาคัญทางสารสนเทศตามที่กาหนดไว้ในแผนว่าด้วยการรักษาความม่ันคง ปลอดภยั ไซเบอร์ ดาเนนิ การใหเ้ ปน็ ไปตามนโยบายและแผนดังกลา่ ว ในการจัดทานโยบายและแผนตามวรรคหนง่ึ ให้สานักงานจัดให้มกี ารรับฟังความเห็นหรือประชุม ร่วมกับหน่วยงานของรัฐ หน่วยงานควบคุมหรือกากับดูแล และหน่วยงานโครงสร้างพื้นฐานสาคัญ ทางสารสนเทศ มาตรา ๔๔ ให้หน่วยงานของรัฐ หน่วยงานควบคุมหรือกากับดูแล และหน่วยงาน โครงสร้างพื้นฐานสาคัญทางสารสนเทศจัดทาประมวลแนวทางปฏิบัติและกรอบมาตรฐานดา้ นการรักษา ความมั่นคงปลอดภัยไซเบอร์ของแต่ละหน่วยงานให้สอดคล้องกับนโยบายและแผนว่าด้วยการรักษา ความม่ันคงปลอดภยั ไซเบอรโ์ ดยเรว็ ส�ำ นักงานพฒั นาธรุ กรรมทางอิเล็กทรอนกิ ส์ 397
เล่ม ๑๓๖ ตอนที่ ๖๙ ก หน้า ๓๗ ๒๗ พฤษภาคม ๒๕๖๒ ราชกจิ จานุเบกษา ประมวลแนวทางปฏิบัติด้านการรักษาความม่ันคงปลอดภัยไซเบอร์ตามวรรคหนึ่ง อย่างน้อย ตอ้ งประกอบดว้ ยเร่อื ง ดังตอ่ ไปน้ี (๑) แผนการตรวจสอบและประเมินความเส่ียงด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ โดยผตู้ รวจประเมิน ผู้ตรวจสอบภายใน หรือผตู้ รวจสอบอสิ ระจากภายนอก อยา่ งนอ้ ยปลี ะหน่ึงคร้งั (๒) แผนการรบั มอื ภยั คกุ คามทางไซเบอร์ เพ่ือประโยชน์ในการจัดทาประมวลแนวทางปฏิบัติด้านการรักษาความม่ันคงปลอดภัยไซเบอร์ ตามวรรคหนึ่ง ให้สานักงานโดยความเห็นชอบของคณะกรรมการจัดทาประมวลแนวทางปฏิบัติและ กรอบมาตรฐานสาหรับใหห้ น่วยงานของรัฐ หน่วยงานควบคุมหรอื กากับดูแล หรือหน่วยงานโครงสร้าง พื้นฐานสาคัญทางสารสนเทศนาไปใช้เป็นแนวทางในการจัดทาหรือนาไปใช้เป็นประมวลแนวทางปฏิบัติ ของหน่วยงานของรัฐ หน่วยงานควบคุมหรือกากับดูแล หรือหน่วยงานโครงสร้างพ้ืนฐานสาคัญทาง สารสนเทศของตน และในกรณีท่ีหน่วยงานดังกล่าวยังไม่มีหรือมีแต่ไม่ครบถ้วนหรือไม่สอดคล้องกับ ประมวลแนวทางปฏิบัตแิ ละกรอบมาตรฐาน ให้นาประมวลแนวทางปฏิบัติและกรอบมาตรฐานดังกลา่ ว ไปใชบ้ งั คับ ส่วนที่ ๒ การบรหิ ารจดั การ มาตรา ๔๕ หน่วยงานของรัฐ หน่วยงานควบคุมหรือกากับดูแล และหน่วยงานโครงสร้าง พ้ืนฐานสาคัญทางสารสนเทศ มีหน้าที่ป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ ตามประมวลแนวทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความม่ันคงปลอดภัยไซเบอร์ของแต่ละ หน่วยงาน และจะต้องดาเนินการให้เป็นไปตามประมวลแนวทางปฏิบัติและกรอบมาตรฐานด้านการรักษา ความมั่นคงปลอดภัยไซเบอร์ตามมาตรา ๑๓ วรรคหนึ่ง (๔) ดว้ ย ในกรณีที่หน่วยงานของรัฐ หน่วยงานควบคมุ หรือกากบั ดูแล หรือหนว่ ยงานโครงสร้างพ้ืนฐาน สาคัญทางสารสนเทศไม่อาจดาเนินการหรือปฏิบัติตามวรรคหนึ่งได้ สานักงานอาจให้ความช่วยเหลือ ดา้ นบุคลากรหรอื เทคโนโลยแี กห่ นว่ ยงานน้ันตามท่รี อ้ งขอได้ มาตรา ๔๖ เพื่อประโยชน์ในการรักษาความม่ันคงปลอดภัยไซเบอร์ ให้หน่วยงานของรัฐ หน่วยงานควบคุมหรือกากับดูแล และหน่วยงานโครงสร้างพ้ืนฐานสาคัญทางสารสนเทศ แจ้งรายช่ือ เจ้าหน้าทร่ี ะดับบรหิ ารและระดับปฏิบัตกิ าร เพ่อื ประสานงานด้านการรักษาความมนั่ คงปลอดภัยไซเบอร์ ไปยังสานกั งาน 398 สำ�นักงานพัฒนาธรุ กรรมทางอิเลก็ ทรอนกิ ส์
เล่ม ๑๓๖ ตอนท่ี ๖๙ ก ราชกหิจนจ้ าานเุ ๓บ๘กษา ๒๗ พฤษภาคม ๒๕๖๒ ในกรณีที่มีการเปลี่ยนแปลงเจ้าหน้าท่ีตามวรรคหน่ึง ให้หน่วยงานของรัฐ หน่วยงานควบคุม หรือกากบั ดแู ล และหน่วยงานโครงสร้างพืน้ ฐานสาคญั ทางสารสนเทศ แจง้ ใหส้ านกั งานทราบโดยเรว็ มาตรา ๔๗ ในกรณีทีก่ ารปฏิบตั หิ นา้ ทตี่ ามพระราชบญั ญตั ินต้ี อ้ งอาศัยความรู้ ความเชยี่ วชาญ คณะกรรมการหรอื กกม. อาจมอบหมายใหเ้ ลขาธกิ ารวา่ จา้ งผู้เช่ยี วชาญตามความเหมาะสมเฉพาะงานได้ ผู้เชี่ยวชาญตามวรรคหนึ่งต้องมีคุณสมบัติหรือประสบการณ์ท่ีเหมาะสมตามที่คณะกรรมการ ประกาศกาหนด เลขาธกิ ารต้องออกบตั รประจาตวั ผเู้ ชย่ี วชาญใหแ้ ก่บุคคลท่ีไดร้ ับการแตง่ ตง้ั และในการปฏิบตั หิ นา้ ที่ บุคคลดังกล่าวต้องแสดงบัตรประจาตัวในฐานะผู้เชี่ยวชาญ และเมื่อพ้นจากหน้าท่ีแล้วจะต้องคืน บตั รประจาตัวแก่สานกั งานโดยเรว็ ส่วนที่ ๓ โครงสร้างพน้ื ฐานสาคญั ทางสารสนเทศ มาตรา ๔๘ โครงสร้างพ้ืนฐานสาคัญทางสารสนเทศเปน็ กจิ การท่ีมีความสาคัญต่อความม่ันคง ของรัฐ ความม่ันคงทางทหาร ความม่ันคงทางเศรษฐกิจ และความสงบเรยี บร้อยภายในประเทศ และ เปน็ หน้าท่ีของสานักงานในการสนบั สนุนและใหค้ วามชว่ ยเหลือในการป้องกนั รบั มอื และลดความเสี่ยง จากภัยคุกคามทางไซเบอร์ โดยเฉพาะภัยคุกคามทางไซเบอร์ที่กระทบหรือเกิดแก่โครงสร้างพ้ืนฐานสาคัญ ทางสารสนเทศ มาตรา ๔๙ ให้คณะกรรมการมีอานาจประกาศกาหนดลักษณะหน่วยงานที่มีภารกิจหรือ ใหบ้ ริการในดา้ นดังต่อไปนี้ เปน็ หนว่ ยงานโครงสรา้ งพน้ื ฐานสาคัญทางสารสนเทศ (๑) ด้านความม่ันคงของรัฐ (๒) ด้านบรกิ ารภาครัฐท่ีสาคญั (๓) ดา้ นการเงินการธนาคาร (๔) ดา้ นเทคโนโลยสี ารสนเทศและโทรคมนาคม (๕) ดา้ นการขนสง่ และโลจสิ ติกส์ (๖) ด้านพลงั งานและสาธารณปู โภค (๗) ดา้ นสาธารณสขุ (๘) ดา้ นอ่นื ตามที่คณะกรรมการประกาศกาหนดเพิ่มเตมิ สำ�นักงานพฒั นาธรุ กรรมทางอิเล็กทรอนกิ ส์ 399
เล่ม ๑๓๖ ตอนท่ี ๖๙ ก หน้า ๓๙ ๒๗ พฤษภาคม ๒๕๖๒ ราชกจิ จานุเบกษา การพิจารณาประกาศกาหนดภารกิจหรือบริการตามวรรคหนึ่ง ให้เป็นไปตามหลักเกณฑ์ที่ คณะกรรมการกาหนด โดยประกาศในราชกิจจานเุ บกษา ท้ังน้ี คณะกรรมการจะต้องพิจารณาทบทวน การประกาศกาหนดภารกจิ หรอื บรกิ ารดังกล่าวเป็นคราว ๆ ไปตามความเหมาะสม มาตรา ๕๐ ให้คณะกรรมการมอี านาจประกาศกาหนดลักษณะ หนา้ ท่ีและความรบั ผิดชอบของ ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ สาหรับหน่วยงานโครงสร้างพื้นฐานสาคัญ ทางสารสนเทศตามมาตรา ๔๙ เพื่อประสานงาน เฝ้าระวัง รับมือ และแก้ไขภัยคุกคามทางไซเบอร์ โดยจะกาหนดให้หน่วยงานของรัฐที่มีความพร้อมหรือหน่วยงานควบคุมหรือกากับดู แลหน่วยงาน โครงสร้างพ้ืนฐานสาคัญทางสารสนเทศนั้น ๆ ทาหน้าที่ดังกล่าวใหแ้ กห่ น่วยงานโครงสรา้ งพ้ืนฐานสาคญั ทางสารสนเทศตามมาตรา ๔๙ ทัง้ หมดหรอื บางสว่ นก็ได้ การพิจารณาประกาศกาหนดภารกจิ หรอื บรกิ ารของหนว่ ยงานตามวรรคหน่ึง ใหเ้ ป็นไปตามหลกั เกณฑ์ ท่ีคณะกรรมการกาหนด โดยประกาศในราชกิจจานุเบกษา ทั้งน้ี คณะกรรมการจะต้องพิจารณาทบทวน การประกาศกาหนดภารกิจหรอื บรกิ ารดังกล่าวเปน็ คราว ๆ ไปตามความเหมาะสม มาตรา ๕๑ กรณีมีข้อสงสยั หรือข้อโตแ้ ย้งเก่ียวกับลักษณะหนว่ ยงานทม่ี ีภารกิจหรือใหบ้ ริการ ในดา้ นท่ีมกี ารประกาศกาหนดตามมาตรา ๔๙ หรอื มาตรา ๕๐ ใหค้ ณะกรรมการเป็นผู้วนิ จิ ฉยั ชข้ี าด มาตรา ๕๒ เพ่ือประโยชน์ในการติดตอ่ ประสานงาน ให้หน่วยงานโครงสร้างพ้ืนฐานสาคญั ทางสารสนเทศแจ้งรายช่ือและข้อมูลการติดต่อของเจ้าของกรรมสิทธ์ิ ผู้ครอบครองคอมพิวเตอร์ และผู้ดูแลระบบคอมพิวเตอร์ไปยังสานักงาน หน่วยงานควบคุมหรือกากับดูแลของตน และหน่วยงาน ตามมาตรา ๕๐ ภายในสามสิบวันนับแต่วันที่คณะกรรมการประกาศตามมาตรา ๔๙ วรรคสอง และ มาตรา ๕๐ วรรคสอง หรือนับแต่วันที่คณะกรรมการมีคาวินิจฉัยตามมาตรา ๕๑ แล้วแต่กรณี โดยอย่างนอ้ ยเจา้ ของกรรมสทิ ธ์ิ ผ้คู รอบครองคอมพิวเตอร์ และผูด้ ูแลระบบคอมพิวเตอร์ตอ้ งเปน็ บุคคล ซง่ึ รบั ผดิ ชอบในการบริหารงานของหนว่ ยงานโครงสร้างพื้นฐานสาคญั ทางสารสนเทศนัน้ ในกรณีท่ีมกี ารเปลยี่ นแปลงเจา้ ของกรรมสิทธิ์ ผคู้ รอบครองคอมพิวเตอร์ และผดู้ ูแลระบบคอมพิวเตอร์ ตามวรรคหน่ึง ให้แจ้งการเปล่ียนแปลงไปยังหน่วยงานที่เกี่ยวข้องตามวรรคหนึ่งก่อนการเปล่ียนแปลง ลว่ งหนา้ ไมน่ อ้ ยกว่าเจ็ดวัน เวน้ แตม่ เี หตุจาเป็นอันไมอ่ าจก้าวล่วงได้ให้แจ้งโดยเร็ว มาตรา ๕๓ ในการดาเนินการรักษาความม่ันคงปลอดภัยไซเบอร์ของหน่วยงานโครงสร้าง พ้ืนฐานสาคัญทางสารสนเทศ ให้หน่วยงานควบคุมหรือกากับดแู ลตรวจสอบมาตรฐานข้นั ตา่ เรือ่ งความมนั่ คง ปลอดภัยไซเบอรข์ องหน่วยงานโครงสรา้ งพ้ืนฐานสาคญั ทางสารสนเทศท่ีอยู่ภายใต้การกากบั ควบคมุ ดูแล ของตน หากพบวา่ หนว่ ยงานโครงสร้างพืน้ ฐานสาคัญทางสารสนเทศใดไม่ไดม้ าตรฐาน ใหห้ นว่ ยงานควบคุม 400 สำ�นกั งานพัฒนาธรุ กรรมทางอิเล็กทรอนกิ ส์
เล่ม ๑๓๖ ตอนท่ี ๖๙ ก หน้า ๔๐ ๒๗ พฤษภาคม ๒๕๖๒ ราชกจิ จานเุ บกษา หรือกากับดูแลนั้นรีบแจ้งให้หน่วยงานโครงสร้างพื้นฐานสาคัญทางสารสนเทศที่ต่ากว่ามาตรฐานแก้ไข ให้ได้มาตรฐานโดยเร็ว หากหน่วยงานโครงสร้างพื้นฐานสาคัญทางสารสนเทศน้ันยังคงเพิกเฉยไม่ดาเนินการ หรือไม่ดาเนินการให้แล้วเสร็จภายในระยะเวลาท่ีหน่วยงานควบคมุ หรือกากับดแู ลกาหนด ให้หน่วยงาน ควบคุมหรอื กากับดแู ลสง่ เรื่องให้ กกม. พิจารณาโดยไมช่ กั ชา้ เมื่อได้รับคาร้องเรียนตามวรรคหนึ่ง หาก กกม. พิจารณาแล้วเห็นว่า มีเหตุดังกล่าวและ อาจทาให้เกดิ ภยั คุกคามทางไซเบอร์ ให้ กกม. ดาเนินการ ดงั ต่อไปนี้ (๑) กรณีเป็นหน่วยงานของรัฐ ให้แจ้งต่อผู้บริหารระดับสูงสุดของหน่วยงานเพื่อใช้อานาจ ในทางบริหาร ส่ังการไปยังหน่วยงานของรัฐหรือหน่วยงานโครงสร้างพ้ืนฐานสาคัญทางสารสนเทศน้ัน เพ่ือให้ดาเนนิ การแก้ไขจนได้มาตรฐานโดยเรว็ (๒) กรณีเป็นหน่วยงานเอกชน ให้แจ้งไปยังผู้บริหารระดับสูงสุดของหน่วยงาน ผู้ครอบครอง คอมพิวเตอร์ และผู้ดูแลระบบคอมพิวเตอร์ของหน่วยงานโครงสร้างพ้ืนฐานสาคัญทางสารสนเทศน้ัน เพอ่ื ให้ดาเนนิ การแก้ไขจนไดม้ าตรฐานโดยเร็ว ใหเ้ ลขาธกิ ารดาเนนิ การตดิ ตามเพือ่ ให้เปน็ ไปตามความในวรรคสองด้วย มาตรา ๕๔ หน่วยงานโครงสร้างพ้ืนฐานสาคัญทางสารสนเทศ ต้องจัดให้มีการประเมิน ความเส่ียงดา้ นการรักษาความมนั่ คงปลอดภัยไซเบอรโ์ ดยมผี ู้ตรวจประเมิน รวมทง้ั ตอ้ งจดั ใหม้ กี ารตรวจสอบ ดา้ นความมนั่ คงปลอดภัยไซเบอร์โดยผูต้ รวจสอบดา้ นความมน่ั คงปลอดภยั สารสนเทศ ท้งั โดยผตู้ รวจสอบ ภายในหรือโดยผตู้ รวจสอบอิสระภายนอก อยา่ งนอ้ ยปีละหน่ึงคร้ัง ให้หน่วยงานโครงสร้างพื้นฐานสาคัญทางสารสนเทศจัดส่งผลสรุปรายงานการดาเนินการต่อ สานักงานภายในสามสบิ วนั นบั แตว่ นั ที่ดาเนนิ การแลว้ เสรจ็ มาตรา ๕๕ ในกรณีท่ี กกม. เห็นว่า การประเมินความเสี่ยงด้านการรักษาความมั่นคง ปลอดภัยไซเบอร์ หรือการตรวจสอบด้านความม่ันคงปลอดภัยไซเบอร์ ตามมาตรา ๕๔ ไม่เป็นไป ตามมาตรฐานตามรายงานของหน่วยงานควบคุมหรือกากับดูแล ให้ กกม. มีคาสั่งให้หน่วยงาน โครงสร้างพื้นฐานสาคัญทางสารสนเทศน้ันดาเนินการประเมนิ ความเสี่ยงใหม่เพ่ือให้เป็นไปตามมาตรฐาน หรือดาเนนิ การตรวจสอบในด้านอนื่ ๆ ทมี่ ผี ลตอ่ โครงสรา้ งพ้นื ฐานสาคัญทางสารสนเทศได้ ในกรณีที่หน่วยงานโครงสร้างพื้นฐานสาคัญทางสารสนเทศนั้น ได้จัดให้มีการประเมิน ความเสีย่ งด้านการรกั ษาความมนั่ คงปลอดภัยไซเบอร์หรอื การตรวจสอบดา้ นความมัน่ คงปลอดภยั ไซเบอร์ ตามวรรคหน่งึ แลว้ แต่ กกม. เห็นว่ายงั ไมเ่ ป็นไปตามมาตรฐาน ให้ กกม. ดาเนินการ ดงั ตอ่ ไปนี้ สำ�นักงานพฒั นาธรุ กรรมทางอิเล็กทรอนิกส์ 401
เล่ม ๑๓๖ ตอนที่ ๖๙ ก ราชกหจิ นจ้าานุเ๔บ๑กษา ๒๗ พฤษภาคม ๒๕๖๒ (๑) กรณีเป็นหน่วยงานของรัฐ ให้แจ้งต่อผู้บริหารระดับสูงสุดของหน่วยงานเพื่อใช้อานาจ ในทางบริหาร สั่งการไปยังหน่วยงานของรัฐหรือหน่วยงานโครงสร้างพื้นฐานสาคัญทางสารสนเทศน้ัน เพอื่ ใหด้ าเนนิ การแกไ้ ขจนไดม้ าตรฐานโดยเรว็ (๒) กรณีเป็นหน่วยงานเอกชน ให้แจ้งไปยังผู้บริหารระดับสูงสุดของหน่วยงาน ผู้ครอบครอง คอมพิวเตอร์ และผู้ดูแลระบบคอมพิวเตอร์ของหน่วยงานโครงสร้างพ้ืนฐานสาคัญทางสารสนเทศน้ัน เพือ่ ใหด้ าเนนิ การแกไ้ ขจนไดม้ าตรฐานโดยเรว็ ใหเ้ ลขาธิการดาเนนิ การตดิ ตามเพื่อใหเ้ ปน็ ไปตามความในวรรคสองด้วย มาตรา ๕๖ หน่วยงานโครงสร้างพ้ืนฐานสาคัญทางสารสนเทศ ต้องกาหนดให้มีกลไกหรือ ขั้นตอนเพื่อการเฝ้าระวังภัยคุกคามทางไซเบอร์หรือเหตุการณ์ท่ีเกี่ยวกับความม่ันคงปลอดภัยไซเบอร์ ทเ่ี กยี่ วข้องกบั โครงสร้างพื้นฐานสาคญั ทางสารสนเทศของตน ตามมาตรฐานซงึ่ กาหนดโดยหนว่ ยงานควบคมุ หรือกากับดแู ล และตามประมวลแนวทางปฏิบตั ิ รวมถึงระบบมาตรการท่ีใชแ้ กป้ ัญหาเพื่อรักษาความมัน่ คง ปลอดภัยไซเบอร์ท่ีคณะกรรมการหรือ กกม. กาหนด และต้องเข้าร่วมการทดสอบสถานะความพรอ้ ม ในการรบั มือกับภัยคกุ คามทางไซเบอร์ท่สี านักงานจดั ขน้ึ มาตรา ๕๗ เมื่อมีเหตุภัยคุกคามทางไซเบอรเ์ กดิ ขึน้ อย่างมีนัยสาคญั ต่อระบบของหนว่ ยงาน โครงสร้างพื้นฐานสาคัญทางสารสนเทศ ให้หน่วยงานโครงสร้างพื้นฐานสาคัญทางสารสนเทศ รายงาน ต่อสานกั งานและหนว่ ยงานควบคุมหรือกากบั ดูแล และปฏิบตั กิ ารรับมอื กับภัยคุกคามทางไซเบอรต์ ามที่ กาหนดในส่วนที่ ๔ ท้ังน้ี กกม. อาจกาหนดหลกั เกณฑ์และวธิ ีการการรายงานด้วยก็ได้ สว่ นที่ ๔ การรบั มือกบั ภัยคกุ คามทางไซเบอร์ มาตรา ๕๘ ในกรณีท่ีเกิดหรือคาดว่าจะเกิดภัยคุกคามทางไซเบอร์ต่อระบบสารสนเทศ ซึ่งอยู่ในความดูแลรับผิดชอบของหน่วยงานของรฐั หรือหน่วยงานโครงสร้างพื้นฐานสาคัญทางสารสนเทศใด ให้หน่วยงานน้นั ดาเนนิ การตรวจสอบข้อมูลทีเ่ กย่ี วขอ้ ง ข้อมูลคอมพิวเตอร์ และระบบคอมพิวเตอร์ของ หน่วยงานนน้ั รวมถึงพฤตกิ ารณ์แวดล้อมของตน เพ่ือประเมินวา่ มีภัยคุกคามทางไซเบอร์เกิดข้นึ หรอื ไม่ หากผลการตรวจสอบปรากฏว่าเกิดหรือคาดว่าจะเกิดภัยคุกคามทางไซเบอร์ข้ึน ให้ดาเนินการป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ตามประมวลแนวทางปฏิบัติและกรอบมาตรฐาน ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ของหน่วยงานนั้น และแจ้งไปยังสานักงานและหน่วยงาน ควบคมุ หรือกากบั ดูแลของตนโดยเรว็ 402 สำ�นกั งานพฒั นาธรุ กรรมทางอิเลก็ ทรอนิกส์
เล่ม ๑๓๖ ตอนที่ ๖๙ ก ราชกหจิ นจ้าานุเ๔บ๒กษา ๒๗ พฤษภาคม ๒๕๖๒ ในกรณีท่หี นว่ ยงานหรอื บุคคลใดพบอุปสรรคหรือปัญหาในการป้องกัน รับมือ และลดความเสี่ยง จากภยั คุกคามทางไซเบอร์ของตน หน่วยงานหรอื บุคคลนน้ั อาจร้องขอความชว่ ยเหลอื ไปยังสานกั งาน มาตรา ๕๙ เมอ่ื ปรากฏแกห่ น่วยงานควบคมุ หรอื กากบั ดแู ล หรอื เมือ่ หนว่ ยงานควบคมุ หรอื กากับดูแลได้รับแจ้งเหตุตามมาตรา ๕๘ ให้หน่วยงานควบคุมหรือกากับดูแล ร่วมกับหน่วยงาน ตามมาตรา ๕๐ รวบรวมข้อมูล ตรวจสอบ วิเคราะห์สถานการณ์ และประเมินผลกระทบเกี่ยวกับ ภัยคุกคามทางไซเบอร์ และดาเนนิ การ ดังต่อไปนี้ (๑) สนับสนุนและให้ความช่วยเหลือแก่หน่วยงานของรัฐหรือหน่วยงานโครงสร้างพื้นฐานสาคัญ ทางสารสนเทศที่อยู่ในการควบคุมหรือกากับดูแลของตน และให้ความร่วมมือและประสานงานกับ สานักงาน ในการปอ้ งกนั รับมอื และลดความเสีย่ งจากภัยคกุ คามทางไซเบอร์ (๒) แจ้งเตือนหน่วยงานของรัฐและหน่วยงานโครงสร้างพื้นฐานสาคัญทางสารสนเทศท่ีอยู่ใน การควบคุมหรือกากับดูแลของตน รวมทั้งหนว่ ยงานควบคุมหรอื กากับดูแลหน่วยงานของรฐั หรือหน่วยงาน โครงสรา้ งพ้นื ฐานสาคญั ทางสารสนเทศอ่นื ทเ่ี กย่ี วขอ้ งโดยเร็ว มาตรา ๖๐ การพจิ ารณาเพอื่ ใชอ้ านาจในการป้องกันภยั คกุ คามทางไซเบอร์ คณะกรรมการ จะกาหนดลักษณะของภยั คุกคามทางไซเบอร์ โดยแบ่งออกเปน็ สามระดับ ดังต่อไปนี้ (๑) ภัยคุกคามทางไซเบอร์ในระดับไมร่ ้ายแรง หมายถงึ ภัยคุกคามทางไซเบอรท์ ี่มคี วามเสีย่ ง อย่างมีนัยสาคัญถึงระดับท่ีทาให้ระบบคอมพิวเตอร์ของหน่วยงานโครงสร้างพ้ืนฐานสาคัญของประเทศ หรอื การให้บรกิ ารของรัฐดอ้ ยประสทิ ธภิ าพลง (๒) ภัยคุกคามทางไซเบอร์ในระดับร้ายแรง หมายถึง ภัยคุกคามที่มีลักษณะการเพ่ิมข้ึน อย่างมีนัยสาคัญของการโจมตีระบบคอมพิวเตอร์ คอมพิวเตอร์ หรือข้อมูลคอมพิวเตอร์ โดยมุ่งหมาย เพ่ือโจมตีโครงสร้างพื้นฐานสาคัญของประเทศและการโจมตีดังกล่าวมีผลทาให้ระบบคอมพิวเตอร์หรือ โครงสร้างสาคัญทางสารสนเทศท่ีเก่ียวข้องกับการให้บริการของโครงสร้างพ้ืนฐานสา คัญของประเทศ ความมั่นคงของรัฐ ความสัมพันธ์ระหว่างประเทศ การป้องกันประเทศ เศรษฐกิจ การสาธารณสุข ความปลอดภัยสาธารณะ หรือความสงบเรียบร้อยของประชาชนเสียหาย จนไม่สามารถทางานหรือ ให้บริการได้ (๓) ภัยคุกคามทางไซเบอร์ในระดับวิกฤติ หมายถึง ภัยคุกคามทางไซเบอร์ในระดับวิกฤติ ทม่ี ีลักษณะ ดังตอ่ ไปนี้ (ก) เป็นภัยคุกคามทางไซเบอร์ท่ีเกิดจากการโจมตีระบบคอมพิวเตอร์ คอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ในระดับท่ีสูงข้ึนกว่าภัยคุกคามทางไซเบอร์ในระดับร้ายแรง โดยส่งผลกระทบรุนแรง สำ�นกั งานพัฒนาธรุ กรรมทางอิเลก็ ทรอนิกส์ 403
เล่ม ๑๓๖ ตอนที่ ๖๙ ก ราชกหจิ นจ้าานเุ๔บ๓กษา ๒๗ พฤษภาคม ๒๕๖๒ ต่อโครงสรา้ งพ้ืนฐานสาคญั ทางสารสนเทศของประเทศในลกั ษณะท่ีเปน็ วงกวา้ ง จนทาให้การทางานของ หน่วยงานรัฐหรือการให้บริการของโครงสร้างพื้นฐานสาคัญของประเทศที่ให้กับประชาชนล้มเหลวทั้งระบบ จนรัฐไม่สามารถควบคุมการทางานส่วนกลางของระบบคอมพิวเตอร์ของรัฐได้ หรือการใช้มาตรการเยียวยา ตามปกติในการแก้ไขปัญหาภัยคุกคามไม่สามารถแก้ไขปัญหาได้และมีความเสี่ยงที่จะลุกลามไปยัง โครงสร้างพ้ืนฐานสาคัญอื่น ๆ ของประเทศ ซ่ึงอาจมีผลทาให้บุคคลจานวนมากเสียชีวิตหรือระบบ คอมพวิ เตอร์ คอมพิวเตอร์ ข้อมูลคอมพวิ เตอร์จานวนมากถกู ทาลายเปน็ วงกว้างในระดบั ประเทศ (ข) เป็นภัยคุกคามทางไซเบอร์อันกระทบหรืออาจกระทบต่อความสงบเรียบร้อยของ ประชาชนหรือเปน็ ภยั ต่อความมน่ั คงของรัฐหรืออาจทาใหป้ ระเทศหรือสว่ นใดสว่ นหนึง่ ของประเทศตกอยู่ ในภาวะคบั ขนั หรือมีการกระทาความผิดเกย่ี วกับการกอ่ การร้ายตามประมวลกฎหมายอาญา การรบหรือ การสงคราม ซึ่งจาเป็นต้องมีมาตรการเร่งด่วนเพ่ือรักษาไว้ซ่ึงการปกครองระบอบประชาธิปไตยอันมี พระมหากษัตริย์ทรงเป็นประมขุ ตามรัฐธรรมนูญแห่งราชอาณาจกั รไทย เอกราชและบูรณภาพแห่งอาณาเขต ผลประโยชน์ของชาติ การปฏบิ ตั ิตามกฎหมาย ความปลอดภัยของประชาชน การดารงชีวิตโดยปกตสิ ขุ ของประชาชน การคุ้มครองสิทธิเสรีภาพ ความสงบเรียบร้อยหรือประโยชน์ส่วนรวม หรือการป้องปดั หรอื แกไ้ ขเยยี วยาความเสยี หายจากภัยพิบตั สิ าธารณะอันมมี าอยา่ งฉกุ เฉินและร้ายแรง ทั้งนี้ รายละเอียดของลักษณะภัยคุกคามทางไซเบอร์ มาตรการป้องกัน รับมือ ประเมิน ปราบปราม และระงับภยั คกุ คามทางไซเบอร์แตล่ ะระดบั ให้คณะกรรมการเปน็ ผ้ปู ระกาศกาหนด มาตรา ๖๑ เม่ือปรากฏแก่ กกม. ว่าเกิดหรอื คาดวา่ จะเกิดภัยคุกคามทางไซเบอรใ์ นระดับ ร้ายแรงให้ กกม. ออกคาส่งั ใหส้ านักงานดาเนินการ ดงั ต่อไปน้ี (๑) รวบรวมข้อมูล หรือพยานเอกสาร พยานบุคคล พยานวัตถุท่ีเกี่ยวข้องเพ่ือวิเคราะห์ สถานการณ์ และประเมนิ ผลกระทบจากภยั คกุ คามทางไซเบอร์ (๒) สนับสนุน ให้ความช่วยเหลือ และเข้าร่วมในการป้องกัน รับมือ และลดความเส่ียงจาก ภัยคุกคามทางไซเบอรท์ ่เี กิดข้ึน (๓) ดาเนินการป้องกันเหตุการณ์ที่เกี่ยวกับความมั่นคงปลอดภัยไซเบอร์ท่ีเกิดจากภัยคุกคาม ทางไซเบอร์ เสนอแนะหรือสั่งการให้ใช้ระบบท่ีใช้แก้ปัญหาเพ่ือรักษาความม่ันคงปลอดภัยไซเบอร์ รวมถึงการหาแนวทางตอบโตห้ รือการแกไ้ ขปญั หาเกี่ยวกับความมัน่ คงปลอดภัยไซเบอร์ (๔) สนับสนุน ให้สานักงาน และหน่วยงานท่ีเกี่ยวข้องทั้งภาครัฐและเอกชน ให้ความช่วยเหลือ และเขา้ รว่ มในการปอ้ งกนั รบั มือ และลดความเสีย่ งจากภยั คุกคามทางไซเบอร์ท่เี กดิ ขึ้น 404 สำ�นกั งานพัฒนาธรุ กรรมทางอิเลก็ ทรอนกิ ส์
เล่ม ๑๓๖ ตอนท่ี ๖๙ ก หน้า ๔๔ ๒๗ พฤษภาคม ๒๕๖๒ ราชกจิ จานเุ บกษา (๕) แจ้งเตอื นภัยคุกคามทางไซเบอร์ให้ทราบโดยทัว่ กัน ท้ังนี้ ตามความจาเป็นและเหมาะสม โดยคานงึ ถงึ สถานการณ์ ความรา้ ยแรงและผลกระทบจากภัยคุกคามทางไซเบอร์น้นั (๖) ให้ความสะดวกในการประสานงานระหว่างหน่วยงานของรัฐท่ีเก่ียวข้องและหน่วยงานเอกชน เพื่อจดั การความเสยี่ งและเหตุการณท์ ่ีเก่ยี วกับความม่นั คงปลอดภัยไซเบอร์ มาตรา ๖๒ ในการดาเนินการตามมาตรา ๖๑ เพื่อประโยชน์ในการวิเคราะห์สถานการณ์ และประเมินผลกระทบจากภัยคุกคามทางไซเบอร์ ให้เลขาธิการสั่งให้พนักงานเจ้าหน้าท่ีดาเนินการ ดงั ตอ่ ไปนี้ (๑) มีหนังสือขอความร่วมมือจากบุคคลท่ีเกี่ยวข้องเพ่ือมาให้ข้อมูลภายในระยะเวลาที่เหมาะสม และตามสถานท่ีทีก่ าหนด หรอื ใหข้ ้อมลู เปน็ หนงั สอื เกย่ี วกบั ภัยคกุ คามทางไซเบอร์ (๒) มีหนังสือขอข้อมูล เอกสาร หรือสาเนาข้อมูลหรือเอกสารซ่ึงอยู่ในความครอบครองของ ผูอ้ ่ืนอนั เปน็ ประโยชนแ์ กก่ ารดาเนินการ (๓) สอบถามบุคคลผมู้ คี วามร้คู วามเขา้ ใจเก่ียวกบั ขอ้ เท็จจริงและสถานการณ์ท่ีมีความเกี่ยวพัน กบั ภยั คุกคามทางไซเบอร์ (๔) เข้าไปในอสังหาริมทรพั ย์หรอื สถานประกอบการท่ีเกย่ี วข้องหรือคาดวา่ มีส่วนเก่ียวข้องกับ ภัยคุกคามทางไซเบอร์ของบุคคลหรือหน่วยงานที่เกี่ยวข้อง โดยได้รับความยินยอมจากผู้ครอบครอง สถานทนี่ ้ัน ผู้ให้ข้อมูลตามวรรคหน่งึ ซ่งึ กระทาโดยสุจริตยอ่ มไดร้ บั การคมุ้ ครองและไมถ่ อื วา่ เปน็ การละเมดิ หรือผิดสญั ญา มาตรา ๖๓ ในกรณที ่มี ีความจาเป็นเพอื่ การป้องกัน รบั มอื และลดความเสี่ยงจากภัยคุกคาม ทางไซเบอร์ ให้ กกม. มีคาส่ังให้หน่วยงานของรัฐให้ขอ้ มูล สนับสนุนบุคลากรในสังกัด หรือใช้เคร่ืองมือ ทางอเิ ล็กทรอนิกสท์ ี่อยใู่ นความครอบครองทเ่ี กย่ี วกับการรักษาความมน่ั คงปลอดภัยไซเบอร์ กกม. ต้องดูแลมิใหม้ กี ารใชข้ ้อมลู ทีไ่ ดม้ าตามวรรคหน่งึ ในลักษณะท่อี าจก่อให้เกิดความเสยี หาย และให้ กกม. รบั ผดิ ชอบในคา่ ตอบแทนบุคลากร ค่าใช้จ่ายหรือความเสยี หายที่เกิดข้นึ จากการใชเ้ คร่ืองมือ ทางอิเลก็ ทรอนกิ สด์ งั กล่าว ให้นาความในวรรคหนง่ึ และวรรคสองมาใช้บังคบั ในการร้องขอตอ่ เอกชนโดยความยินยอมของ เอกชนนนั้ ด้วย มาตรา ๖๔ ในกรณีที่เกิดหรือคาดว่าจะเกิดภัยคุกคามทางไซเบอร์ซ่ึงอยู่ในระดับร้ายแรง ให้ กกม. ดาเนนิ การปอ้ งกัน รับมอื และลดความเส่ยี งจากภัยคุกคามทางไซเบอรแ์ ละดาเนนิ มาตรการ ท่จี าเปน็ สำ�นักงานพัฒนาธรุ กรรมทางอิเลก็ ทรอนกิ ส์ 405
เล่ม ๑๓๖ ตอนที่ ๖๙ ก หน้า ๔๕ ๒๗ พฤษภาคม ๒๕๖๒ ราชกิจจานุเบกษา ในการดาเนนิ การตามวรรคหน่งึ ให้ กกม. มีหนังสือถงึ หน่วยงานของรัฐที่เกีย่ วข้องกับการรกั ษา ความมั่นคงปลอดภัยไซเบอร์ให้กระทาการหรือระงับการดาเนินการใด ๆ เพ่ือป้องกัน รับ มือ และ ลดความเส่ียงจากภัยคกุ คามทางไซเบอร์ได้อย่างเหมาะสมและมีประสทิ ธิภาพตามแนวทางที่ กกม. กาหนด รวมท้ังร่วมกันบูรณาการในการดาเนินการเพื่อควบคุม ระงับ หรือบรรเทาผลท่ีเกิดจากภัยคุกคามทาง ไซเบอร์นนั้ ไดอ้ ย่างทันทว่ งที ให้เลขาธิการรายงานการดาเนนิ การตามมาตรานีต้ อ่ กกม. อย่างตอ่ เนอ่ื ง และเมือ่ ภัยคกุ คาม ทางไซเบอรด์ งั กล่าวสนิ้ สดุ ลง ให้รายงานผลการดาเนนิ การตอ่ กกม. โดยเร็ว มาตรา ๖๕ ในการรับมือและบรรเทาความเสียหายจากภัยคุกคามทางไซเบอร์ในระดับ ร้ายแรง กกม. มีอานาจออกคาส่ังเฉพาะเท่าท่ีจาเป็นเพ่ือป้องกันภัยคุกคามทางไซเบอร์ให้บุคคลผู้เป็น เจา้ ของกรรมสิทธ์ิ ผู้ครอบครอง ผู้ใชค้ อมพวิ เตอรห์ รอื ระบบคอมพิวเตอร์ หรอื ผ้ดู ูแลระบบคอมพิวเตอร์ ซึ่งมีเหตุอันเช่ือได้ว่าเป็นผู้เกี่ยวข้องกับภัยคุกคามทางไซเบอร์ หรือได้รับผลกระทบจากภัยคุกคามทาง ไซเบอร์ดาเนนิ การ ดังต่อไปน้ี (๑) เฝ้าระวังคอมพวิ เตอร์หรือระบบคอมพิวเตอร์ในชว่ งระยะเวลาใดระยะเวลาหน่ึง (๒) ตรวจสอบคอมพิวเตอร์หรือระบบคอมพิวเตอร์เพ่ือหาข้อบกพร่องที่กระทบต่อการรักษา ความมั่นคงปลอดภยั ไซเบอร์ วเิ คราะห์สถานการณ์ และประเมินผลกระทบจากภัยคุกคามทางไซเบอร์ (๓) ดาเนินมาตรการแก้ไขภัยคุกคามทางไซเบอร์เพ่ือจัดการข้อบกพร่องหรือกาจัดชุดคาส่ัง ไมพ่ ึงประสงค์ หรอื ระงับบรรเทาภยั คุกคามทางไซเบอรท์ ่ีดาเนนิ การอยู่ (๔) รักษาสถานะของขอ้ มูลคอมพิวเตอรห์ รือระบบคอมพิวเตอร์ดว้ ยวิธีการใด ๆ เพื่อดาเนนิ การ ทางนติ ิวทิ ยาศาสตรท์ างคอมพิวเตอร์ (๕) เข้าถึงข้อมูลคอมพิวเตอร์หรือระบบคอมพิวเตอร์ หรือข้อมูลอ่ืนท่ีเก่ียวข้องกับระบบ คอมพิวเตอร์ทเี่ กย่ี วข้องเฉพาะเท่าท่ีจาเป็น เพื่อปอ้ งกันภยั คุกคามทางไซเบอร์ ในกรณีมีเหตุจาเป็นท่ีต้องเข้าถึงข้อมูลตาม (๕) ให้ กกม. มอบหมายให้เลขาธิการย่ืนคาร้องต่อ ศาลท่ีมีเขตอานาจเพื่อมีคาสั่งให้เจ้าของกรรมสิทธ์ิ ผู้ครอบครอง ผู้ใช้คอมพิวเตอร์หรือระบบคอมพิวเตอร์ หรือผ้ดู แู ลระบบคอมพวิ เตอร์ตามวรรคหนง่ึ ดาเนินการตามคาร้อง ทั้งน้ี คารอ้ งทีย่ ่ืนต่อศาลต้องระบเุ หตุ อันควรเช่ือได้ว่าบุคคลใดบุคคลหนึ่งกาลังกระทาหรือจะกระทาการอย่างใดอย่างหน่ึงท่ีก่อให้เกิดภัยคุกคาม ทางไซเบอร์ในระดบั ร้ายแรง ในการพจิ ารณาคาร้องให้ยน่ื เป็นคารอ้ งไตส่ วนคารอ้ งฉุกเฉินและให้ศาลพิจารณา ไตส่ วนโดยเร็ว 406 สำ�นกั งานพฒั นาธรุ กรรมทางอิเล็กทรอนกิ ส์
เล่ม ๑๓๖ ตอนที่ ๖๙ ก ราชกหิจนจ้ าานเุ ๔บ๖กษา ๒๗ พฤษภาคม ๒๕๖๒ มาตรา ๖๖ ในการป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ในระดับ รา้ ยแรง กกม. มอี านาจปฏิบตั ิการหรือส่ังใหพ้ นกั งานเจา้ หน้าท่ีปฏิบตั กิ ารเฉพาะเทา่ ท่จี าเปน็ เพอ่ื ปอ้ งกนั ภัยคกุ คามทางไซเบอร์ในเร่อื ง ดงั ต่อไปนี้ (๑) เข้าตรวจสอบสถานที่ โดยมีหนังสือแจ้งถึงเหตุอันสมควรไปยังเจ้าของหรือผู้ครอบครอง สถานท่ีเพื่อเข้าตรวจสอบสถานท่ีน้ัน หากมีเหตุอันควรเช่ือได้ว่ามีคอมพิวเตอร์หรือระบบคอมพิวเตอร์ ท่ีเกย่ี วข้องกับภัยคกุ คามทางไซเบอร์ หรอื ไดร้ ับผลกระทบจากภยั คกุ คามทางไซเบอร์ (๒) เขา้ ถงึ ข้อมูลคอมพิวเตอร์ ระบบคอมพวิ เตอร์ หรอื ขอ้ มูลอ่ืนทีเ่ ก่ียวขอ้ งกบั ระบบคอมพิวเตอร์ ทาสาเนา หรือสกัดคัดกรองข้อมลู สารสนเทศหรอื โปรแกรมคอมพิวเตอร์ ซึ่งมีเหตุอนั ควรเช่ือไดว้ า่ เก่ียวข้อง หรือได้รบั ผลกระทบจากภยั คกุ คามทางไซเบอร์ (๓) ทดสอบการทางานของคอมพิวเตอร์หรอื ระบบคอมพิวเตอร์ที่มีเหตุอันควรเชื่อไดว้ ่าเกยี่ วข้อง หรือได้รบั ผลกระทบจากภยั คุกคามทางไซเบอร์ หรอื ถกู ใชเ้ พือ่ ค้นหาขอ้ มลู ใด ๆ ทีอ่ ยภู่ ายในหรอื ใช้ประโยชน์ จากคอมพวิ เตอรห์ รือระบบคอมพิวเตอร์นน้ั (๔) ยึดหรืออายัดคอมพิวเตอร์ ระบบคอมพิวเตอร์ หรืออุปกรณ์ใด ๆ เฉพาะเท่าท่ีจาเป็น ซึ่งมเี หตุอันควรเช่ือได้วา่ เกี่ยวข้องกบั ภัยคกุ คามทางไซเบอร์ เพ่ือการตรวจสอบหรือวิเคราะห์ ทง้ั นี้ ไม่เกิน สามสิบวัน เม่ือครบกาหนดเวลาดังกล่าวให้ส่งคืนคอมพิวเตอร์หรืออุปกรณ์ใด ๆ แก่เจ้าของกรรมสิทธ์ิ หรือผูค้ รอบครองโดยทันทหี ลังจากเสร็จสน้ิ การตรวจสอบหรอื วเิ คราะห์ ในการดาเนินการตาม (๒) (๓) และ (๔) ให้ กกม. ยื่นคาร้องต่อศาลท่ีมีเขตอานาจเพ่ือมี คาสั่งให้พนักงานเจ้าหน้าที่ดาเนินการตามคาร้อง ทั้งน้ี คาร้องต้องระบุเหตุอันควรเช่ือได้ว่าบุคคลใด บุคคลหนึ่งกาลังกระทาหรือจะกระทาการอย่างใดอย่างหนึ่งที่ก่อให้เกิดภัยคุกคามทางไซเบอร์ในระดับ ร้ายแรง ในการพจิ ารณาคาร้องให้ยน่ื เปน็ คาร้องไต่สวนคาร้องฉกุ เฉินและให้ศาลพจิ ารณาไตส่ วนโดยเรว็ มาตรา ๖๗ ในกรณีที่เกิดภัยคุกคามทางไซเบอร์ในระดับวิกฤติ ให้เป็นหน้าที่และอานาจ ของสภาความม่ันคงแห่งชาติ ในการดาเนินการรักษาความม่ันคงปลอดภัยไซเบอร์ตามกฎหมายว่าด้วย สภาความมนั่ คงแห่งชาติและกฎหมายอืน่ ทเ่ี กยี่ วขอ้ ง มาตรา ๖๘ ในกรณที เี่ ปน็ เหตุจาเปน็ เรง่ ด่วน และเปน็ ภัยคกุ คามทางไซเบอรใ์ นระดับวกิ ฤติ คณะกรรมการอาจมอบหมายให้เลขาธิการมีอานาจดาเนินการได้ทันทีเท่าท่ีจาเป็นเพ่ือป้องกันและเยียวยา ความเสียหายก่อนล่วงหน้าได้โดยไม่ต้องย่ืนคาร้องต่อศาล แต่หลังจากการดาเนินการดังกล่าว ให้แจ้ง รายละเอยี ดการดาเนินการดังกลา่ วต่อศาลทีม่ เี ขตอานาจทราบโดยเรว็ ส�ำ นักงานพฒั นาธรุ กรรมทางอิเลก็ ทรอนกิ ส์ 407
เลเล่ม่ม ๑๑๓๓๖๖ ตตออนนทที่ ี่ ๖๖๙๙ กก รราาชชกกหหิจจิ นนจจ้ ้าาาานนเุ เุ๔๔บบ๗๗กกษษาา ๒๒๗๗ พพฤฤษษภภาาคคมม ๒๒๕๕๖๖๒๒ ไตกแดไกตแ้ลกอด้เล้กองะมฉ้เงมะใฉล.พหใล.พดหาค้ดมาค้คะมวคีอะทววีอามใทวาามใานเี่มาานานปเ่ีมมากนรตปมาก็นรตเ่วราร็นเสจ่วรรภณมสจาภขี่ณมยายัมขี่ยรีอยัมงรีคอือง้าจคขอื้าจ๖ุกขยแา๖กุ้อยแา้คอแล๙กคแมล๙กมราะภราะูลภงมใูลงมัยใทหหัยททหหผทคผ่ีค้รเคาี่้ครเูท้ปุกาอืู้ทวปุกงอืวงไ่ี็นควไาีไ่น็ควดาไซดมกิาปซมกิาป้รเม้รฤสเัจมบฤสบััจบบัตทะจตทะอคจอคดเิุบาดเิรุบาพารพาวงัน์ใวงสันใ์ส่ือไกน่อืไกน่งัแซั่งแปซแปรอแรลอเลเรกะบรกนัะบะันะะดค่ะดค่เอตเอตโกับโณกบัณยร่อยร่อีย่ไย่ี์ไชะ์เชะมเวมนวนนกในกใกร่ก่ร่ือหร่ือห์ใรา้ใ์บั้าบันงรน้เงรย้เยกลจมกลกจมกแแาขาากขาาการรรกรการาารงางรรผธปรผธปเรเบัทบัทิกหู้ทิกหู้้อทอ้ มม่าาา่าร่ีเงรีเ่งนกอืนกรือกรือกอื ี่ยโ่ีัน้กยโน้ักันันดดววบัับกกยยขขภภกกปปคค้อ้อยัยัมมรรววงงคค..ะะกกาาุกกุเเมมัับบมมโโคคดดเเภภินนิหหาายยัยัยผผมม็็นนเเคคลลรรททชชุกว็ุกว็ าาออคคงรงรบบไาไบัาับซซขขมมมมเเออททบือบืองงาาออคคงงรรปปณไณไ์อ์อซซรระาะาเาเาบจกบจบกบออรออรปปุทรรุทรรรรม์ธม์าธารกโมรกโมดณดาณายรยร์คร์ครผหผหะาะาู้นรู้นงสรงสือนั้ับือน้ัั่งับั่ง บบททหหกกมมาาวหหวดดนนดด๔๔โโททษษ เตขคสรลหจตเสคขลรหะอาอ่วอรจา้ะอาอ่วอมรบงืองงม้าหมบงรืองงผหพมหปบพรผหนพู้ขปบู้ใพมรนรู้ขคชูใ้ิว้อมา้รระคืน่บัชิว้อา้อะทบ้เม่นืบัรอทตบ้เบไมรมามคมี่เรูลตบไมมกาอมคมมี่เรูลาชมกิพวาาคกอา่เชิกพทย่ีวราาาคบกเ่ตตาาิอวทีย่รบกตตตาา์วิอวมรนิัญรรเ์มวมรินัญกรรรเตมขใาาหหกพตญขใาาาหนับหพอ้ญอทนรับกอ้ิอวทวรักตกรือิวม่ีไวักหตเรอืรมไ่ี์๗๗ดาหินเตทรูล์๗๗๗ดาินรตมทูรลม้รอมท๐ี้๑หรัง้คจ้มอท๐้ี๑๒หใืน่ง้ัคจารจใืน่รี่ไชหรารจรี่ไชบหรต์ดาือบาอ้ต์ดนาือา้อทาาน้ขมผจาทาหาพ้ขมผจ่ึงทามหผพ้ัง้อึ่งู้กานรทมม้ั้งอ้นู้กาานรู้ใปมพ้นาตมทรปพาดตมิมใทรักามิใะรรหักหาูจลาะลรรหาหูจลมางบัทะมมงหจงรบั้ทใะว่มาหจงร้ใิใราชคาิอืรพใงรนชนคาหอืรพนนาหค้บราาอทค้บรา้าเอท้ชพรา้เ้ขูจว้ชจพังจมวะทงั้จังมะทบง้ัาร้อนค้บาจารรนค้าพจีโ่รมทพโี่ัญมหมับทัดากญัหาับัดากาิวผาิูลวทผนชากยญงทนชกยญงเงิดคเงิดา้้ังบาตมับา้้ังบาตคมับัตตคอตัปทนตปทชิอนัญกอิชอัญกินาอมินาร่ีตเอรรา่ีตเมอมราญมจม้ใีพบัญจใี้บัา์รบา์รหบพกห้พากวิ้มากัตมกัตขฎ้แขหิวฎเแ้หิวพรินพรติน้อกเห้อกเหนะนะตรอี้ตรี้ม่บมมบ่ทม้ทะาอ้ระาอตูตลคุาูลคุทราา์ทรารร้อย้ออยเคาอเคา์ี่ตข์่ีตพพอชงอช่ืงนลื่นลอ้ขาขาร่ือื่นรบื่อ่ืนบใทใมท้อม้อมะะดปดปหัญหัญี่ลูเมี่เมพวพวรรกรกรจญญูลาูลาะระืรอือี่ผยี่ผยรงงขขโะโัะตัตเเาใู้วู้ใวโยโยพพออดรดรจินทินทขขชชงงื่อา่ือารฝฝี้ผี้ผษ้อ้ษอนผนผทชชปป่า่าู้ใู้ใงงจจู้ใู้ใ์ใ์ใาบฝบฝดดรรชชกนกนาางะะืืนนกกััญญ้้บบัับบคกกคคโโรรตตอรยรยาาุุกญกญรระะอ้้อิรกิรกมชชะะไไททััตตดดงงมามานพนบบารารินิรนราา่เ่เ์ใ์ใิวบบโะโะหกเหกเนนี้เี้เดเดนนววคปตคปินิรนรกกยยิานิานออือิอือดิดหาหาปปงงคครขมรขมรเเโนโนรร์ผดดผดทด้อท้พอพะ่ึะง่ึงยีกาขยีกมาษมษมิปวมิปวเเหับอ้หับูลนูจลเานจเีาีตมผตรอทผารอิทนาินหหือูลอู้คกืื่นออู้คกเน่ืคเคปรขปรรสรุกทรสรุกทดดืออ์ืะอ็น่์ไงะ็น่ไง่ีเีก่ีเีกมปงทกมมปเทหกมเหับผหับหเ่ี่ยราเ่อ่ียรารอกร้ใูกพตัคบพวตัคบชบืวอินบือนิุในขวไุในขว้บไขขหสขขหมาอ้สักมาอ้ักร้อ้อ้ผมา้อ้อ่เง้ผมาง่เิกงงกมมมกู้อผกมามมู้กอผาาินูลปนูบัื่นิลดินูลปนูรบั่ืนิลดี ี หรือข้อมมูลาอตื่นรทา่ีเกี่ย๗ว๒ข้องผกใู้ับดรละ่วบงรบูข้ ค้ออมมูลพคิวอเมตพอิวรเ์ ตทอ่ีพร์ นขัก้องมาูลนจเจรา้าจหรนท้าาทงค่ีไดอ้มมาพติวาเตมอพรร์ ะขร้อามชูลบขัญอญงผัตูใ้ ินชี้บ้ แริกลาะร หเรปือิดขเผ้อยมขูล้ออมื่นูลทน่ีเ้ันกต่ีย่อวขผ้อู้หงนกึ่งับผู้รใดะโบดบยคมอิชมอพบิวเตต้อองรร์ ะทวาี่พงนโทักษงาจนาคเจุก้าไหมน่เก้าินทส่ีไอดง้มปาีตหามรือพประรับราไมช่เบกัญินญส่ีหัตมินืน่ ้ี บแาลทะ เปหิดรือเผทยัง้ ขจ้อาทมังู้ลปนรั้นบั ต่อผู้หนึ่งผู้ใดโดยมิชอบ ต้องระวางโทษจาคุกไม่เกินสองปี หรือปรับไม่เกินส่ีหม่นื บาท หรอื ทงั้ จาทมง้ั าปตรรับา ๗๓ หน่วยงานโครงสร้างพื้นฐานสาคัญทางสารสนเทศใดไม่รายงานเหตุภัยคุกคาม ทางไซเบมอารต์ตราามมา๗ต๓รา ๕ห๗น่วโยดงยาไนมโ่มคีเรหงตสอุ รนั้าสงพม้ืคนวฐรานตส้อางครัญะทวาางงโสทาษรปสรนับเทไมศ่เใกดนิ ไสมอ่รงาแยสงนานบเาหทตุภัยคุกคาม ทางไซเบอร์ตามมาตรา ๕๗ โดยไม่มเี หตุอนั สมควร ต้องระวางโทษปรับไมเ่ กินสองแสนบาท 408 ส�ำ นักงานพัฒนาธรุ กรรมทางอิเลก็ ทรอนิกส์
เล่ม ๑๓๖ ตอนที่ ๖๙ ก หน้า ๔๘ ๒๗ พฤษภาคม ๒๕๖๒ ราชกิจจานุเบกษา มาตรา ๗๔ ผู้ใดไม่ปฏิบัติตามหนังสือเรียกของพนักงานเจ้าหน้าที่หรือไม่ส่งข้อมูลให้แก่ พนักงานเจ้าหน้าทีต่ ามมาตรา ๖๒ (๑) หรือ (๒) โดยไมม่ ีเหตุอันสมควรแล้วแต่กรณี ต้องระวางโทษ ปรบั ไม่เกนิ หนึ่งแสนบาท มาตรา ๗๕ ผู้ใดฝ่าฝืนหรือไม่ปฏิบัตติ ามคาสั่งของ กกม. ตามมาตรา ๖๕ (๑) และ (๒) โดยไม่มีเหตุอันสมควร ต้องระวางโทษปรับไม่เกินสามแสนบาท และปรับอีกไมเ่ กินวนั ละหน่ึงหมืน่ บาท นบั แตว่ ันท่ีครบกาหนดระยะเวลาท่ี กกม. ออกคาสงั่ ใหป้ ฏิบตั ิจนกว่าจะปฏบิ ัตใิ หถ้ กู ต้อง ผู้ใดฝ่าฝืนหรือไม่ปฏิบัติตามคาส่ังของ กกม. ตามมาตรา ๖๕ (๓) และ (๔) หรือไม่ปฏิบตั ิ ตามคาสั่งศาลตามมาตรา ๖๕ (๕) ต้องระวางโทษจาคุกไม่เกินหน่ึงปี หรือปรับไม่เกินสองหมื่นบาท หรอื ท้ังจาท้งั ปรบั มาตรา ๗๖ ผู้ใดขัดขวาง หรือไม่ปฏิบัติตามคาสั่งของ กกม. หรือพนักงานเจ้าหน้าที่ ซ่ึงปฏิบัตกิ ารตามคาส่งั ของ กกม. ตามมาตรา ๖๖ (๑) หรือไม่ปฏิบัตติ ามคาส่งั ศาลตามมาตรา ๖๖ (๒) (๓) หรือ (๔) โดยไม่มีเหตุอันสมควร ต้องระวางโทษจาคกุ ไม่เกินสามปี หรือปรับไม่เกินหกหมน่ื บาท หรอื ทง้ั จาทั้งปรับ มาตรา ๗๗ ในกรณีท่ีผู้กระทาความผิดตามพระราชบัญญัติน้ีเป็นนิติบุคคล ถ้าการกระทา ความผิดของนิติบุคคลน้ันเกิดจากการสั่งการหรือการกระทาของกรรมการหรือผู้จัดการ หรือบุคคลใด ซึ่งรับผิดชอบในการดาเนินงานของนิติบุคคลน้ัน หรือในกรณีที่บุคคลดังกล่าวมีหน้าที่ต้องส่ังการหรือ กระทาการและละเว้นไม่สง่ั การหรือไม่กระทาการจนเป็นเหตุให้นติ บิ คุ คลนัน้ กระทาความผิด ผูน้ ั้นต้องรบั โทษ ตามท่ีบัญญัติไวส้ าหรบั ความผิดน้ัน ๆ ด้วย บทเฉพาะกาล มาตรา ๗๘ ในวาระเริ่มแรก ให้คณะกรรมการประกอบด้วยประธานกรรมการและกรรมการ ตามมาตรา ๕ (๑) (๒) และให้เลขาธกิ ารคณะกรรมการการรกั ษาความมนั่ คงปลอดภยั ไซเบอรแ์ หง่ ชาติ เป็นกรรมการและเลขานกุ าร เพื่อปฏิบัติหนา้ ท่ีเทา่ ทจ่ี าเป็นไปพลางกอ่ น และให้ดาเนนิ การแตง่ ตง้ั กรรมการ ผู้ทรงคุณวุฒิของคณะกรรมการตามมาตรา ๕ (๓) ให้แล้วเสร็จภายในเกา้ สบิ วนั นับแต่วนั ทพ่ี ระราชบัญญตั นิ ้ี ใชบ้ งั คบั ในการแต่งต้ังกรรมการผู้ทรงคุณวุฒิตามวรรคหนึ่ง รัฐมนตรีว่าการกระทรวงดิจิทัลเพ่ือเศรษฐกิจ และสังคมอาจเสนอรายชื่อบุคคลต่อคณะรัฐมนตรีเพ่ือพิจารณาแต่งต้ังเป็นกรรมการผู้ทรงคุณวุฒิ ดงั กลา่ วด้วยได้ สำ�นกั งานพัฒนาธรุ กรรมทางอิเล็กทรอนิกส์ 409
เล่ม ๑๓๖ ตอนท่ี ๖๙ ก หน้า ๔๙ ๒๗ พฤษภาคม ๒๕๖๒ ราชกจิ จานเุ บกษา มาตรา ๗๙ ให้ดาเนินการเพื่อให้มี กกม. และ กบส. ภายในเก้าสิบวันนับแต่วันที่ได้มี การแตง่ ตัง้ กรรมการผูท้ รงคุณวุฒิของคณะกรรมการตามมาตรา ๗๘ ให้ดาเนินการแต่งต้ังเลขาธิการคณะกรรมการการรักษาความม่ันคงปลอดภัยไซเบอร์แห่งชาติ ตามพระราชบญั ญัตินใ้ี ห้แลว้ เสร็จภายในเกา้ สบิ วนั นับแตว่ ันที่จดั ตง้ั สานักงานแล้วเสรจ็ ตามมาตรา ๘๐ มาตรา ๘๐ ให้ดาเนินการจัดต้ังสานักงานให้แล้วเสร็จเพ่ือปฏิบัติงานตามพระราชบัญญัติน้ี ภายในหนง่ึ ปีนับแตว่ นั ทพี่ ระราชบญั ญตั นิ ้ใี ช้บงั คบั ในระหว่างที่การดาเนินการจัดตั้งสานักงานยังไม่แล้วเสร็จ ให้สานักงานปลัดกระทรวง กระทรวงดิจิทัลเพื่อเศรษฐกจิ และสังคมทาหน้าท่ีสานกั งานตามพระราชบัญญัติน้ี และให้ปลัดกระทรวง ดิจิทัลเพื่อเศรษฐกิจและสังคมทาหน้าท่ีเลขาธิการจนกว่าจะมีการแต่งต้ังเลขาธิการตามมาตรา ๗๙ วรรคสอง มาตรา ๘๑ ในวาระเริ่มแรก ให้คณะรัฐมนตรีจัดสรรทุนประเดิมให้แก่สานักงาน ตามความจาเป็น ให้รัฐมนตรีเสนอต่อคณะรัฐมนตรีเพ่ือพิจารณาให้ข้าราชการ พนักงาน เจ้าหน้าท่ี หรือ ผู้ปฏิบัติงานอื่นใดในหน่วยงานของรัฐ มาปฏิบัติงานท่ีสานักงานเป็นการชั่วคราวภายในระยะเวลาท่ี คณะรฐั มนตรีกาหนด ให้ถือวา่ ขา้ ราชการ พนักงาน เจา้ หนา้ ท่ี หรือผู้ปฏบิ ตั ิงานอ่ืนใดในหน่วยงานของรัฐทีม่ าปฏบิ ัตงิ าน ในสานักงานเป็นการชั่วคราวตามวรรคสองไม่ขาดจากสถานภาพเดิมและคงได้รับเงินเดือนหรือค่าจ้าง แล้วแตก่ รณี จากสังกัดเดิม ท้ังน้ี คณะกรรมการอาจกาหนดคา่ ตอบแทนพิเศษให้แก่ขา้ ราชการ พนักงาน เจ้าหน้าที่ หรือผู้ปฏิบัตงิ านอ่ืนใดในหน่วยงานของรัฐตามวรรคสอง ในระหว่างปฏิบตั ิงานในสานักงานดว้ ย กไ็ ด้ ภายในหนึ่งร้อยแปดสิบวันนับแต่วันที่จัดต้ังสานักงานแล้วเสร็จ ให้สานักงานดาเนินการคัดเลือก ข้าราชการ พนักงาน เจ้าหน้าท่ี หรือผู้ปฏิบัติงานอ่ืนใดในหน่วยงานของรัฐตามวรรคสองเพ่ือบรรจุ เป็นพนักงานของสานกั งานต่อไป ข้าราชการ พนกั งาน เจา้ หนา้ ท่ี หรือผ้ปู ฏิบตั ิงานอ่นื ใดในหนว่ ยงานของรัฐผูใ้ ดได้รบั การคดั เลอื ก และบรรจุตามวรรคสี่ ให้มีสิทธินับระยะเวลาทางานท่ีเคยทางานอยู่ในสังกัดเดิมต่อเน่ืองรวมกับระยะเวลา ทางานในสานักงานตามพระราชบญั ญัตนิ ้ี 410 สำ�นกั งานพัฒนาธรุ กรรมทางอิเลก็ ทรอนิกส์
เล่ม ๑๓๖ ตอนท่ี ๖๙ ก หน้า ๕๐ ๒๗ พฤษภาคม ๒๕๖๒ ราชกิจจานุเบกษา มาตรา ๘๒ เมื่อพระราชบัญญัตินี้ใช้บังคับ ให้รัฐมนตรีเสนอคณะรัฐมนตรีดาเนินการ เพื่ออนุมัติให้มีการโอนบรรดาอานาจหน้าท่ี กิจการ ทรัพย์สิน สิทธิ หนี้ และงบประมาณของ บรรดาภารกิจที่เก่ียวกับการรักษาความมั่นคงปลอดภัยไซเบอร์ของสานักงานปลัดกระทรวง กระทรวง ดิจิทัลเพื่อเศรษฐกิจและสังคม และสานักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ ที่มีอยู่ในวันก่อนวันที่ พระราชบัญญตั นิ ีใ้ ชบ้ ังคบั ไปเปน็ ของสานักงานตามพระราชบัญญตั ินี้ มาตรา ๘๓ การดาเนินการออกกฎกระทรวง ระเบียบ และประกาศ ตามพระราชบัญญัตนิ ้ี ให้ดาเนินการให้แล้วเสร็จภายในหนึ่งปีนับแต่วันท่ีพระราชบัญญัติน้ีใช้บังคับ หากไม่สามารถดาเนินการได้ ใหร้ ัฐมนตรีรายงานเหตุผลทไี่ ม่อาจดาเนนิ การไดต้ อ่ คณะรฐั มนตรีเพอ่ื ทราบ ผู้รบั สนองพระบรมราชโองการ พลเอก ประยุทธ์ จันทรโ์ อชา นายกรฐั มนตรี สำ�นกั งานพฒั นาธรุ กรรมทางอิเลก็ ทรอนกิ ส์ 411
เล่ม ๑๓๖ ตอนที่ ๖๙ ก หน้า ๕๑ ๒๗ พฤษภาคม ๒๕๖๒ ราชกจิ จานุเบกษา หมายเหตุ :- เหตุผลในการประกาศใช้พระราชบัญญัติฉบบั น้ี คอื โดยทใ่ี นปจั จุบันการให้บริการหรอื การประยุกต์ใช้ เครอื ขา่ ยคอมพิวเตอร์ อนิ เทอร์เน็ต โครงข่ายโทรคมนาคม หรือการให้บริการโดยปกติของดาวเทียมมีความเสี่ยง จากภยั คุกคามทางไซเบอร์อนั อาจกระทบต่อความมนั่ คงของรฐั และความสงบเรยี บรอ้ ยภายในประเทศ ดงั นนั้ เพื่อให้สามารถป้องกัน หรือรับมือกับภัยคุกคามทางไซเบอร์ได้อย่างทันท่วงที สมควรกาหนดลักษณะของ ภารกิจหรือบริการที่มีความสาคัญเป็นโครงสร้างพื้นฐานสาคัญทางสารสนเทศท้ังหน่วยงานของรัฐและ หน่วยงานเอกชน ทจ่ี ะต้องมีการป้องกัน รบั มอื และลดความเส่ยี งจากภัยคุกคามทางไซเบอร์ มิใหเ้ กิดผลกระทบ ต่อความม่ันคงในด้านต่าง ๆ รวมท้ังให้มีหน่วยงานเพื่อรับผิดชอบในการดาเนินการประสานการปฏิบัติงาน ร่วมกันทั้งภาครฐั และเอกชน ไม่ว่าในสถานการณ์ทว่ั ไปหรือสถานการณ์อันเป็นภัยต่อความมั่นคงอย่างรา้ ยแรง ตลอดจนกาหนดให้มีแผนปฏิบัติการและมาตรการด้านการรักษาความม่ันคงปลอดภัยไซเบอร์ อย่างมีเอกภาพ และต่อเนื่อง อันจะทาให้การป้องกันและการรับมือกับภัยคุกคามทางไซเบอร์เป็นไปอย่างมีประสิทธิภาพ จึงจาเปน็ ต้องตราพระราชบญั ญัติน้ี 412 ส�ำ นักงานพฒั นาธรุ กรรมทางอิเล็กทรอนิกส์
สำ�นกั งานพฒั นาธรุ กรรมทางอิเลก็ ทรอนกิ ส์ 413
414 สำ�นกั งานพฒั นาธรุ กรรมทางอิเล็กทรอนกิ ส์
พระราชบัญญตั ิ คุม ครองขอมลู สว นบคุ คล พ.ศ. ๒๕๖๒ สำ�นักงานพฒั นาธรุ กรรมทางอิเล็กทรอนกิ ส์ 415
ช่ือกฎหมาย พระราชบญั ญตั คิ มุ ครองขอ มลู สว นบุคคล พ.ศ. ๒๕๖๒ ประกาศในราชกิจจานุเบกษา เลม ๑๓๖ / ตอนที่ ๖๙ ก / หนา ๕๒ / วนั ที่ ๒๗ พฤษภาคม ๒๕๖๒ เริม่ บังคับใช วนั ท่ี ๒๘ พฤษภาคม ๒๕๖๒ และ วนั ที่ ๒๗ พฤษภาคม ๒๕๖๓ (สำหรบั บทบัญญัติในหมวด ๒ หมวด ๓ หมวด ๕ หมวด ๖ หมวด ๗ และความในมาตรา ๙๕ และมาตรา ๙๖) ผรู กั ษาการ รัฐมนตรีวาการกระทรวงดจิ ิทลั เพือ่ เศรษฐกิจและสงั คม 416 ส�ำ นักงานพฒั นาธรุ กรรมทางอิเลก็ ทรอนิกส์
เล่ม ๑๓๖ ตอนที่ ๖๙ ก หน้า ๕๒ ๒๗ พฤษภาคม ๒๕๖๒ ราชกิจจานุเบกษา พระราชบญั ญตั ิ คุม้ ครองขอ้ มลู ส่วนบคุ คล พ.ศ. ๒๕๖๒ พระบาทสมเด็จพระปรเมนทรรามาธบิ ดีศรสี ินทรมหาวชิราลงกรณ พระวชริ เกลา้ เจ้าอยู่หัว ให้ไว้ ณ วนั ท่ี ๒๔ พฤษภาคม พ.ศ. ๒๕๖๒ เป็นปที ี่ ๔ ในรัชกาลปจั จบุ นั พระบาทสมเด็จพระปรเมนทรรามาธิบดีศรีสินทรมหาวชิราลงกรณ พระวชิรเกล้าเจ้าอยู่หัว มพี ระบรมราชโองการโปรดเกลา้ ฯ ให้ประกาศว่า โดยที่เป็นการสมควรมกี ฎหมายว่าดว้ ยการคุม้ ครองข้อมูลสว่ นบคุ คล พระราชบัญญัติน้ีมีบทบัญญัติบางประการเก่ียวกับการจากัดสิทธิและเสรีภาพของบุคคล ซึ่งมาตรา ๒๖ ประกอบกับมาตรา ๓๒ มาตรา ๓๓ และมาตรา ๓๗ ของรัฐธรรมนูญ แห่งราชอาณาจกั รไทย บญั ญตั ใิ ห้กระทาไดโ้ ดยอาศยั อานาจตามบทบัญญตั ิแหง่ กฎหมาย เหตุผลและความจาเป็นในการจากดั สิทธิและเสรีภาพของบุคคลตามพระราชบัญญัติน้ี เพ่ือให้ การคุ้มครองข้อมูลส่วนบุคคลมีประสิทธิภาพและเพ่ือให้มีมาตรการเยียวยาเจ้าของข้อมูลส่วนบุคคลจาก การถูกละเมดิ สิทธใิ นข้อมลู ส่วนบคุ คลทีม่ ปี ระสิทธิภาพ ซึง่ การตราพระราชบญั ญตั ินส้ี อดคลอ้ งกบั เงื่อนไข ทบ่ี ัญญตั ิไว้ในมาตรา ๒๖ ของรัฐธรรมนญู แห่งราชอาณาจกั รไทยแลว้ จึงทรงพระกรุณาโปรดเกล้าฯ ให้ตราพระราชบัญญัติขึ้นไว้โดยคาแนะนาและยินยอมของ สภานิติบัญญตั ิแหง่ ชาตทิ าหนา้ ที่รฐั สภา ดงั ต่อไปนี้ มาตรา ๑ พระราชบัญญัตินี้เรียกว่า “พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒” สำ�นกั งานพฒั นาธรุ กรรมทางอิเล็กทรอนิกส์ 417
เล่ม ๑๓๖ ตอนที่ ๖๙ ก ราชกหจิ นจ้าานเุ๕บ๓กษา ๒๗ พฤษภาคม ๒๕๖๒ มาตรา ๒ พระราชบัญญัติน้ีให้ใช้บังคับตั้งแต่วันถัดจากวันประกาศในราชกิจจานุเบกษา เป็นต้นไป เว้นแต่บทบัญญัติในหมวด ๒ หมวด ๓ หมวด ๕ หมวด ๖ หมวด ๗ และความใน มาตรา ๙๕ และมาตรา ๙๖ ให้ใช้บังคับเม่ือพ้นกาหนดหน่ึงปีนับแต่วันประกาศในราชกิจจานุเบกษา เป็นตน้ ไป มาตรา ๓ ในกรณที ีม่ ีกฎหมายวา่ ดว้ ยการใดบัญญตั ิเกยี่ วกับการค้มุ ครองขอ้ มลู สว่ นบคุ คล ในลักษณะใด กิจการใด หรือหน่วยงานใดไว้โดยเฉพาะแล้ว ให้บังคับตามบทบัญญัติแห่งกฎหมาย วา่ ด้วยการนั้น เว้นแต่ (๑) บทบัญญัติเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล และบทบัญญัติ เกี่ยวกับสิทธิของเจ้าของข้อมูลส่วนบุคคล รวมทั้งบทกาหนดโทษท่ีเกี่ยวข้อง ให้บังคับตามบทบัญญัติ แหง่ พระราชบญั ญัตนิ เ้ี ป็นการเพมิ่ เตมิ ไมว่ า่ จะซ้ากบั บทบญั ญัตแิ หง่ กฎหมายวา่ ด้วยการนัน้ หรอื ไม่ก็ตาม (๒) บทบัญญัติเกี่ยวกับการร้องเรียน บทบัญญัติท่ีให้อานาจแก่คณะกรรมการผู้เช่ียวชาญ ออกคาสั่งเพื่อค้มุ ครองเจ้าของข้อมูลส่วนบุคคล และบทบัญญัติเกี่ยวกับอานาจหน้าทีข่ องพนกั งานเจ้าหน้าท่ี รวมทงั้ บทกาหนดโทษทีเ่ ก่ยี วข้อง ใหบ้ ังคบั ตามบทบญั ญตั แิ ห่งพระราชบัญญตั ิน้ี ในกรณดี ังต่อไปน้ี (ก) ในกรณที ่ีกฎหมายวา่ ด้วยการน้ันไม่มีบทบัญญตั เิ กย่ี วกบั การรอ้ งเรียน (ข) ในกรณีที่กฎหมายวา่ ด้วยการนนั้ มบี ทบญั ญตั ทิ ใี่ หอ้ านาจแกเ่ จา้ หนา้ ท่ผี ู้มอี านาจพจิ ารณา เรื่องร้องเรียนตามกฎหมายดังกล่าวออกคาสั่งเพ่ือคุ้มครองเจ้าของข้อมูลส่วนบุคคล แต่ไม่เพียงพอเท่ากับ อานาจของคณะกรรมการผู้เช่ียวชาญตามพระราชบัญญัติน้ีและเจ้าหน้าที่ผู้มีอานาจตามกฎหมายดังกล่าว รอ้ งขอตอ่ คณะกรรมการผู้เช่ียวชาญหรือเจา้ ของขอ้ มูลส่วนบคุ คลผู้เสียหายยื่นคาร้องเรียนต่อคณะกรรมการ ผู้เชย่ี วชาญตามพระราชบญั ญตั นิ ี้ แล้วแต่กรณี มาตรา ๔ พระราชบญั ญตั นิ ไี้ มใ่ ช้บงั คบั แก่ (๑) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบุคคลท่ีทาการเกบ็ รวบรวมขอ้ มลู ส่วนบคุ คลเพ่ือประโยชน์ส่วนตนหรอื เพอื่ กจิ กรรมในครอบครวั ของบุคคลนนั้ เท่านั้น (๒) การดาเนินการของหน่วยงานของรัฐที่มีหน้าท่ีในการรักษาความม่ันคงของรัฐ ซ่ึงรวมถึง ความม่ันคงทางการคลังของรัฐ หรือการรักษาความปลอดภัยของประชาชน รวมทั้งหน้าที่เกี่ยวกับ การป้องกันและปราบปรามการฟอกเงิน นติ วิ ิทยาศาสตร์ หรอื การรกั ษาความมน่ั คงปลอดภัยไซเบอร์ (๓) บุคคลหรือนิติบุคคลซ่ึงใช้หรือเปิดเผยข้อมูลส่วนบุคคลท่ีทาการเก็บรวบรวมไว้เฉพาะ เพอื่ กิจการส่ือมวลชน งานศิลปกรรม หรืองานวรรณกรรมอันเป็นไปตามจริยธรรมแหง่ การประกอบวิชาชีพ หรือเปน็ ประโยชนส์ าธารณะเท่านนั้ 418 ส�ำ นกั งานพฒั นาธรุ กรรมทางอิเลก็ ทรอนิกส์
เล่ม ๑๓๖ ตอนที่ ๖๙ ก หน้า ๕๔ ๒๗ พฤษภาคม ๒๕๖๒ ราชกจิ จานุเบกษา (๔) สภาผู้แทนราษฎร วุฒิสภา และรัฐสภา รวมถึงคณะกรรมาธิการที่แต่งตั้งโดยสภาดังกล่าว ซึ่งเกบ็ รวบรวม ใช้ หรือเปดิ เผยขอ้ มลู สว่ นบคุ คลในการพจิ ารณาตามหนา้ ท่ีและอานาจของสภาผแู้ ทนราษฎร วฒุ ิสภา รัฐสภา หรือคณะกรรมาธิการ แลว้ แตก่ รณี (๕) การพิจารณาพิพากษาคดขี องศาลและการดาเนนิ งานของเจา้ หนา้ ทใี่ นกระบวนการพจิ ารณาคดี การบังคับคดี และการวางทรพั ย์ รวมทั้งการดาเนินงานตามกระบวนการยตุ ิธรรมทางอาญา (๖) การดาเนินการกับข้อมูลของบริษัทข้อมูลเครดิตและสมาชิกตามกฎหมายว่าด้วย การประกอบธุรกิจข้อมูลเครดติ การยกเว้นไม่ให้นาบทบัญญัติแห่งพระราชบัญญัตินี้ทั้งหมดหรือแต่บางส่วนมาใช้บังคับแก่ ผู้ควบคุมข้อมูลส่วนบุคคลในลักษณะใด กิจการใด หรือหน่วยงานใดทานองเดียวกับผู้ควบคุมข้อมูล ส่วนบุคคลตามวรรคหนง่ึ หรอื เพื่อประโยชน์สาธารณะอน่ื ใด ใหต้ ราเป็นพระราชกฤษฎกี า ผู้ควบคุมข้อมูลส่วนบุคคลตามวรรคหนึ่ง (๒) (๓) (๔) (๕) และ (๖) และผู้ควบคุมข้อมูล ส่วนบุคคลของหน่วยงานท่ีได้รับยกเว้นตามที่กาหนดในพระราชกฤษฎีกาตามวรรคสอง ต้องจัดให้มี การรักษาความม่นั คงปลอดภยั ของข้อมลู สว่ นบคุ คลให้เปน็ ไปตามมาตรฐานด้วย มาตรา ๕ พระราชบัญญัตินี้ให้ใช้บังคับแก่การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคลโดยผูค้ วบคุมขอ้ มูลส่วนบคุ คลหรอื ผปู้ ระมวลผลขอ้ มลู ส่วนบคุ คลซ่ึงอยู่ในราชอาณาจักร ไมว่ ่า การเก็บรวบรวม ใช้ หรอื เปิดเผยนน้ั ได้กระทาในหรอื นอกราชอาณาจักรกต็ าม ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลอยู่นอกราชอาณาจักร พระราชบัญญัติน้ีให้ใช้บังคับแก่การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูล ส่วนบุคคลซึง่ อยู่ในราชอาณาจกั รโดยการดาเนินกิจกรรมของผู้ควบคมุ ขอ้ มูลส่วนบคุ คลหรือผปู้ ระมวลผล ขอ้ มูลสว่ นบคุ คลดงั กลา่ ว เมอ่ื เปน็ กจิ กรรม ดงั ต่อไปน้ี (๑) การเสนอสินค้าหรือบริการให้แก่เจ้าของข้อมูลส่วนบุคคลซ่ึงอยู่ในราชอาณาจักร ไม่ว่า จะมกี ารชาระเงนิ ของเจ้าของขอ้ มลู ส่วนบุคคลหรอื ไมก่ ต็ าม (๒) การเฝา้ ตดิ ตามพฤติกรรมของเจา้ ของข้อมลู สว่ นบคุ คลทเ่ี กดิ ขึน้ ในราชอาณาจกั ร มาตรา ๖ ในพระราชบัญญตั นิ ี้ “ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเก่ียวกับบุคคลซ่ึงทาให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางออ้ ม แต่ไม่รวมถึงขอ้ มูลของผ้ถู ึงแกก่ รรมโดยเฉพาะ “ผู้ควบคุมข้อมูลส่วนบุคคล” หมายความว่า บุคคลหรือนิติบุคคลซึ่งมีอานาจหน้าท่ีตัดสินใจ เกยี่ วกบั การเกบ็ รวบรวม ใช้ หรอื เปดิ เผยข้อมูลสว่ นบคุ คล ส�ำ นกั งานพฒั นาธรุ กรรมทางอิเลก็ ทรอนกิ ส์ 419
เล่ม ๑๓๖ ตอนท่ี ๖๙ ก หน้า ๕๕ ๒๗ พฤษภาคม ๒๕๖๒ ราชกจิ จานุเบกษา “ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายความว่า บุคคลหรือนิติบุคคลซึ่งดาเนินการเก่ียวกับ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคาส่ังหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทง้ั น้ี บุคคลหรือนิตบิ ุคคลซ่งึ ดาเนนิ การดังกลา่ วไมเ่ ป็นผู้ควบคมุ ขอ้ มูลสว่ นบุคคล “บคุ คล” หมายความวา่ บุคคลธรรมดา “คณะกรรมการ” หมายความว่า คณะกรรมการคุ้มครองขอ้ มูลส่วนบุคคล “พนกั งานเจา้ หนา้ ที่” หมายความวา่ ผู้ซ่งึ รัฐมนตรแี ตง่ ตง้ั ใหป้ ฏบิ ัติการตามพระราชบญั ญตั ินี้ “สานกั งาน” หมายความวา่ สานักงานคณะกรรมการคุม้ ครองขอ้ มลู สว่ นบุคคล “เลขาธกิ าร” หมายความวา่ เลขาธกิ ารคณะกรรมการค้มุ ครองข้อมลู สว่ นบุคคล “รัฐมนตรี” หมายความวา่ รฐั มนตรผี ู้รักษาการตามพระราชบัญญตั ิน้ี มาตรา ๗ ให้รัฐมนตรีว่าการกระทรวงดิจิทัลเพ่ือเศรษฐกิจและสังคมรักษาการตาม พระราชบัญญตั นิ ี้ และใหม้ ีอานาจแต่งต้งั พนกั งานเจา้ หน้าที่ เพื่อปฏบิ ตั กิ ารตามพระราชบญั ญัตนิ ี้ หมวด ๑ คณะกรรมการคมุ้ ครองขอ้ มลู สว่ นบคุ คล มาตรา ๘ ให้มีคณะกรรมการคุ้มครองขอ้ มลู สว่ นบคุ คล ประกอบด้วย (๑) ประธานกรรมการ ซง่ึ สรรหาและแตง่ ตั้งจากผมู้ ีความรู้ ความเชี่ยวชาญ และประสบการณ์ เป็นท่ีประจักษ์ในด้านการคุ้มครองข้อมูลส่วนบุคคล ด้านการคุ้มครองผู้บริโภค ด้านเทคโนโลยีสารสนเทศ และการสื่อสาร ด้านสังคมศาสตร์ ด้านกฎหมาย ด้านสุขภาพ ด้านการเงิน หรือด้านอ่ืน ทั้งนี้ ตอ้ งเกย่ี วข้องและเป็นประโยชน์ต่อการคุ้มครองขอ้ มูลส่วนบคุ คล (๒) ปลดั กระทรวงดจิ ทิ ัลเพื่อเศรษฐกิจและสังคม เป็นรองประธานกรรมการ (๓) กรรมการโดยตาแหน่ง จานวนห้าคน ได้แก่ ปลัดสานักนายกรัฐมนตรี เลขาธิการ คณะกรรมการกฤษฎกี า เลขาธิการคณะกรรมการคมุ้ ครองผู้บรโิ ภค อธิบดีกรมคมุ้ ครองสทิ ธแิ ละเสรภี าพ และอยั การสงู สดุ (๔) กรรมการผู้ทรงคุณวุฒิ จานวนเก้าคน ซ่ึงสรรหาและแตง่ ตั้งจากผู้มคี วามรู้ ความเชยี่ วชาญ และประสบการณ์เป็นที่ประจักษ์ในด้านการคุ้มครองข้อมูลส่วนบุคคล ด้านการคุ้มครองผู้บริโภค ด้านเทคโนโลยีสารสนเทศและการส่ือสาร ด้านสังคมศาสตร์ ด้านกฎหมาย ด้านสุขภาพ ด้านการเงิน หรือด้านอ่นื ทั้งนี้ ต้องเกีย่ วข้องและเปน็ ประโยชนต์ ่อการค้มุ ครองขอ้ มูลส่วนบคุ คล 420 สำ�นกั งานพัฒนาธรุ กรรมทางอิเลก็ ทรอนกิ ส์
เล่ม ๑๓๖ ตอนที่ ๖๙ ก หน้า ๕๖ ๒๗ พฤษภาคม ๒๕๖๒ ราชกจิ จานเุ บกษา ให้เลขาธิการเป็นกรรมการและเลขานุการ และให้เลขาธิการแต่งต้ังพนักงานของสานักงาน เป็นผู้ช่วยเลขานุการไดไ้ มเ่ กินสองคน หลกั เกณฑแ์ ละวิธกี ารสรรหาบคุ คลเพอ่ื แตง่ ตงั้ เป็นประธานกรรมการและกรรมการผทู้ รงคุณวุฒิ รวมท้ังการสรรหาประธานกรรมการและกรรมการผู้ทรงคุณวุฒิเพ่ือดารงตาแหน่งแทนผู้ที่พ้นจากตาแหน่ง ก่อนวาระตามมาตรา ๑๓ ให้เป็นไปตามท่ีคณะรฐั มนตรปี ระกาศกาหนด ทั้งนี้ ต้องคานึงถึงความโปรง่ ใส และความเปน็ ธรรมในการสรรหา มาตรา ๙ ให้มีคณะกรรมการสรรหาคณะหน่ึงจานวนแปดคนทาหน้าที่คัดเลือกบุคคล ที่สมควรได้รับการแต่งตั้งเป็นประธานกรรมการตามมาตรา ๘ (๑) หรือกรรมการผู้ทรงคุณวุฒิ ตามมาตรา ๘ (๔) ประกอบด้วย (๑) บุคคลซ่งึ นายกรฐั มนตรีแตง่ ต้ังจานวนสองคน (๒) บุคคลซึ่งประธานรัฐสภาแตง่ ตง้ั จานวนสองคน (๓) บคุ คลซ่งึ ผตู้ รวจการแผน่ ดนิ แตง่ ตัง้ จานวนสองคน และ (๔) บุคคลซง่ึ คณะกรรมการสทิ ธมิ นษุ ยชนแห่งชาตแิ ตง่ ตั้งจานวนสองคน ในกรณีที่ผู้มีอานาจแต่งตั้งตาม (๒) (๓) หรือ (๔) ไม่สามารถแต่งตั้งกรรมการสรรหา ในส่วนของตนไดภ้ ายในส่ีสบิ หา้ วนั นบั แต่วนั ทไ่ี ดร้ ับแจ้งจากสานักงาน ใหส้ านักงานเสนอชอื่ ใหน้ ายกรฐั มนตรี พจิ ารณาแตง่ ต้ังบคุ คลท่ีเหมาะสมเปน็ กรรมการสรรหาแทนผู้มอี านาจแตง่ ต้งั นัน้ ให้คณะกรรมการสรรหาเลือกกรรมการสรรหาคนหน่ึงเป็นประธานกรรมการสรรหาและ เลือกกรรมการสรรหาอีกคนหน่ึงเป็นเลขานุการคณะกรรมการสรรหา และให้สานักงานปฏิบัติหน้าท่ี เป็นหนว่ ยธุรการของคณะกรรมการสรรหา ในกรณีที่ตาแหน่งกรรมการสรรหาว่างลง ให้ดาเนินการเพ่ือให้มีกรรมการสรรหาแทนใน ตาแหน่งนั้นโดยเร็ว ในระหว่างท่ียังไม่ได้กรรมการสรรหาใหม่ ให้คณะกรรมการสรรหาประกอบด้วย กรรมการสรรหาเท่าทมี่ ีอยู่ กรรมการสรรหาไม่มีสิทธิได้รับการเสนอช่ือเป็นประธานกรรมการตามมาตรา ๘ (๑) หรือ กรรมการผู้ทรงคณุ วฒุ ิตามมาตรา ๘ (๔) มาตรา ๑๐ ในการสรรหาประธานกรรมการตามมาตรา ๘ (๑) หรือกรรมการผู้ทรงคุณวุฒิ ตามมาตรา ๘ (๔) ให้คณะกรรมการสรรหาคัดเลือกบุคคลผู้มีคุณสมบัติตามมาตรา ๘ (๑) หรือ ตามมาตรา ๘ (๔) แล้วแต่กรณี รวมท้ังมีคุณสมบัติและไม่มีลักษณะต้องห้ามตามมาตรา ๑๑ และ ยินยอมให้เสนอชื่อเข้ารับคัดเลือกเท่ากับจานวนประธานกรรมการตามมาตรา ๘ (๑) หรือกรรมการ ผทู้ รงคณุ วุฒติ ามมาตรา ๘ (๔) ทีจ่ ะได้รบั แตง่ ตั้ง ส�ำ นกั งานพัฒนาธรุ กรรมทางอิเลก็ ทรอนกิ ส์ 421
เล่ม ๑๓๖ ตอนที่ ๖๙ ก หน้า ๕๗ ๒๗ พฤษภาคม ๒๕๖๒ ราชกจิ จานุเบกษา เมื่อได้คัดเลือกบุคคลเป็นประธานกรรมการตามมาตรา ๘ (๑) หรือกรรมการผู้ทรงคุณวุฒิ ตามมาตรา ๘ (๔) ครบจานวนแล้ว ให้คณะกรรมการสรรหาแจ้งรายชื่อประธานกรรมการตามมาตรา ๘ (๑) หรือกรรมการผู้ทรงคณุ วุฒติ ามมาตรา ๘ (๔) พรอ้ มหลักฐานแสดงคุณสมบตั ิและการไมม่ ลี กั ษณะตอ้ งหา้ ม รวมทง้ั ความยินยอมของบุคคลดังกลา่ วตอ่ คณะรัฐมนตรเี พอ่ื แต่งตง้ั เปน็ ประธานกรรมการตามมาตรา ๘ (๑) หรอื กรรมการผู้ทรงคุณวฒุ ิตามมาตรา ๘ (๔) ให้นายกรัฐมนตรีประกาศรายช่อื ประธานกรรมการตามมาตรา ๘ (๑) หรือกรรมการผู้ทรงคณุ วุฒิ ตามมาตรา ๘ (๔) ซง่ึ ได้รับแตง่ ตั้งจากคณะรัฐมนตรใี นราชกจิ จานเุ บกษา มาตรา ๑๑ ประธานกรรมการและกรรมการผู้ทรงคุณวฒุ ติ ้องมีคณุ สมบตั ิและไม่มลี ักษณะ ตอ้ งหา้ ม ดังต่อไปนี้ (๑) มสี ัญชาตไิ ทย (๒) ไมเ่ ปน็ บุคคลลม้ ละลายหรอื เคยเปน็ บุคคลลม้ ละลายทจุ ริต (๓) ไม่เปน็ คนไร้ความสามารถหรอื คนเสมือนไร้ความสามารถ (๔) ไม่เคยต้องคาพิพากษาถงึ ทสี่ ดุ ให้จาคุกไมว่ า่ จะไดร้ ับโทษจาคุกจริงหรือไม่ เว้นแต่เป็นโทษ สาหรับความผิดท่ไี ด้กระทาโดยประมาทหรือความผดิ ลหโุ ทษ (๕) ไม่เคยถูกไล่ออก ปลดออก หรือให้ออกจากราชการ หน่วยงานของรัฐ หรือรัฐวิสาหกิจ หรอื จากหน่วยงานของเอกชน เพราะทจุ รติ ต่อหนา้ ที่หรือประพฤตชิ ่วั อย่างรา้ ยแรง (๖) ไม่เคยถูกถอดถอนออกจากตาแหน่งตามกฎหมาย (๗) ไมเ่ ป็นผู้ดารงตาแหนง่ ทางการเมือง สมาชกิ สภาทอ้ งถิน่ หรือผบู้ รหิ ารทอ้ งถน่ิ กรรมการ หรือผู้ดารงตาแหน่งซ่ึงรับผิดชอบการบริหารพรรคการเมือง ที่ปรึกษาพรรคการเมือง หรือเจ้าหน้าที่ พรรคการเมอื ง มาตรา ๑๒ ประธานกรรมการและกรรมการผทู้ รงคณุ วฒุ มิ ีวาระการดารงตาแหนง่ คราวละส่ีปี เมื่อครบกาหนดตามวาระในวรรคหนงึ่ หากยังมไิ ดม้ ีการแตง่ ตงั้ ประธานกรรมการหรอื กรรมการ ผู้ทรงคุณวุฒิข้ึนใหม่ ให้ประธานกรรมการหรือกรรมการผู้ทรงคุณวุฒิซึ่งพ้นจากตาแหน่งตามวาระนั้น อยู่ในตาแหน่งเพ่ือดาเนินงานต่อไปจนกว่าประธานกรรมการหรือกรรมการผู้ทรงคณุ วุฒิซึ่งไดร้ ับแต่งตงั้ ใหม่ เขา้ รบั หนา้ ท่ี ประธานกรรมการและกรรมการผทู้ รงคณุ วฒุ ซิ ง่ึ พน้ จากตาแหน่งตามวาระอาจได้รบั แตง่ ตง้ั อกี ได้ แต่จะดารงตาแหน่งเกินสองวาระไม่ได้ 422 สำ�นักงานพฒั นาธรุ กรรมทางอิเล็กทรอนกิ ส์
เล่ม ๑๓๖ ตอนท่ี ๖๙ ก หน้า ๕๘ ๒๗ พฤษภาคม ๒๕๖๒ ราชกจิ จานุเบกษา มาตรา ๑๓ นอกจากการพ้นจากตาแหน่งตามวาระตามมาตรา ๑๒ ประธานกรรมการและ กรรมการผูท้ รงคณุ วุฒิพ้นจากตาแหน่ง เมือ่ (๑) ตาย (๒) ลาออก (๓) คณะรัฐมนตรีให้ออก เพราะบกพร่องต่อหน้าที่ มีความประพฤติเส่ือมเสีย หรือ หยอ่ นความสามารถ (๔) ขาดคณุ สมบตั ิหรอื มีลกั ษณะตอ้ งหา้ มตามมาตรา ๑๑ ในกรณีที่ประธานกรรมการหรือกรรมการผู้ทรงคุณวุฒิพ้นจากตาแหน่งก่อนวาระ ให้ผู้ที่ได้รับ แต่งตัง้ แทนตาแหน่งที่วา่ งนนั้ ดารงตาแหน่งได้เท่ากับวาระทเี่ หลืออยู่ของประธานกรรมการหรอื กรรมการ ผู้ทรงคุณวุฒิซ่งึ ตนแทน เว้นแต่วาระท่ีเหลืออยู่ไม่ถงึ เกา้ สิบวนั จะไมแ่ ตง่ ต้งั ประธานกรรมการหรอื กรรมการ ผ้ทู รงคุณวฒุ แิ ทนกไ็ ด้ ในกรณที ปี่ ระธานกรรมการหรอื กรรมการผู้ทรงคณุ วุฒพิ น้ จากตาแหนง่ กอ่ นวาระ ให้คณะกรรมการ ประกอบดว้ ยกรรมการท้งั หมดเท่าที่มอี ยู่จนกว่าจะมีการแตง่ ต้งั ประธานกรรมการหรือกรรมการผทู้ รงคุณวุฒิ ตามวรรคสอง และในกรณที ี่ประธานกรรมการพ้นจากตาแหนง่ ก่อนวาระ ให้รองประธานกรรมการทาหน้าที่ ประธานกรรมการเป็นการช่วั คราว มาตรา ๑๔ การประชุมคณะกรรมการ ต้องมีกรรมการมาประชุมไม่น้อยกว่ากึ่งหน่ึงของ จานวนกรรมการท่มี ีอยู่ จงึ จะเปน็ องค์ประชมุ ให้ประธานกรรมการเป็นประธานในท่ีประชุม ในกรณีที่ประธานกรรมการไม่มาประชุมหรือ ไม่อาจปฏบิ ัติหน้าที่ได้ ใหร้ องประธานกรรมการทาหนา้ ท่เี ปน็ ประธานในทีป่ ระชมุ ในกรณที ี่ประธานกรรมการ และรองประธานกรรมการไม่มาประชมุ หรือไม่อาจปฏิบัตหิ น้าท่ีได้ ให้กรรมการซง่ึ มาประชุมเลือกกรรมการ คนหนึง่ เปน็ ประธานในที่ประชมุ การวนิ จิ ฉัยช้ขี าดของที่ประชมุ ให้ถือเสียงข้างมาก กรรมการคนหน่ึงใหม้ ีเสียงหนง่ึ ในการลงคะแนน ถา้ คะแนนเสยี งเท่ากนั ให้ประธานในทป่ี ระชมุ ออกเสียงเพ่มิ ข้ึนอกี เสียงหน่ึงเป็นเสียงช้ีขาด การประชุมของคณะกรรมการอาจกระทาได้โดยวิธีการทางอิเล็กทรอนิกส์หรือวิธีการอ่ืนได้ตามท่ี คณะกรรมการกาหนด มาตรา ๑๕ กรรมการผ้ใู ดมสี ่วนไดเ้ สียไม่วา่ โดยตรงหรือโดยออ้ มในเรอ่ื งท่ที ีป่ ระชมุ พิจารณา ให้แจง้ การมสี ว่ นไดเ้ สียของตนใหค้ ณะกรรมการทราบล่วงหนา้ ก่อนการประชุม และหา้ มมใิ ห้ผนู้ ้นั เข้ารว่ ม ประชมุ พิจารณาในเรื่องดังกลา่ ว ส�ำ นักงานพัฒนาธรุ กรรมทางอิเล็กทรอนกิ ส์ 423
เล่ม ๑๓๖ ตอนที่ ๖๙ ก หน้า ๕๙ ๒๗ พฤษภาคม ๒๕๖๒ ราชกิจจานุเบกษา มาตรา ๑๖ คณะกรรมการมหี น้าที่และอานาจ ดังต่อไปนี้ (๑) จัดทาแผนแม่บทการดาเนินงานด้านการส่งเสริม และการคุ้มครองข้อมูลส่วนบุคคล ท่ีสอดคล้องกับนโยบาย ยุทธศาสตร์ชาติ และแผนระดับชาติที่เก่ียวข้อง เพื่อเสนอต่อคณะกรรมการ ดิจทิ ลั เพ่อื เศรษฐกิจและสงั คมแห่งชาตติ ามกฎหมายว่าด้วยการพฒั นาดิจิทลั เพอื่ เศรษฐกจิ และสังคม (๒) ส่งเสริมและสนับสนุนหน่วยงานของรัฐและภาคเอกชน ดาเนินกิจกรรมตามแผนแม่บท ตาม (๑) รวมทง้ั จัดให้มกี ารประเมินผลการดาเนนิ งานตามแผนแม่บทดงั กลา่ ว (๓) กาหนดมาตรการหรอื แนวทางการดาเนนิ การเกี่ยวกับการคมุ้ ครองข้อมูลส่วนบคุ คลเพ่อื ให้ เปน็ ไปตามพระราชบญั ญัตนิ ี้ (๔) ออกประกาศหรือระเบียบเพื่อให้การดาเนินการเปน็ ไปตามพระราชบญั ญตั นิ ้ี (๕) ประกาศกาหนดหลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือโอนไปยัง ต่างประเทศ (๖) ประกาศกาหนดข้อปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลเป็นแนวทางให้ผู้ควบคุมข้อมูล ส่วนบคุ คลและผปู้ ระมวลผลขอ้ มูลสว่ นบคุ คลปฏบิ ตั ิ (๗) เสนอแนะต่อคณะรัฐมนตรีให้มีการตราหรือปรับปรุงกฎหมายหรือกฎท่ีใช้บังคับอยู่ใน สว่ นที่เกีย่ วข้องกบั การคมุ้ ครองขอ้ มูลส่วนบคุ คล (๘) เสนอแนะต่อคณะรัฐมนตรีในการตราพระราชกฤษฎีกาหรือทบทวนความเหมาะสมของ พระราชบญั ญตั ินี้อยา่ งนอ้ ยทุกรอบหา้ ปี (๙) ให้คาแนะนาและคาปรึกษาเกี่ยวกับการดาเนินการใด ๆ เพื่อให้ความคุ้มครองข้อมูล ส่วนบุคคลของหนว่ ยงานของรฐั และภาคเอกชนในการปฏบิ ตั ติ ามพระราชบัญญัติน้ี (๑๐) ตีความและวนิ จิ ฉยั ชขี้ าดปัญหาท่ีเกดิ จากการบงั คับใชพ้ ระราชบญั ญตั ิน้ี (๑๑) ส่งเสริมและสนับสนุนให้เกิดทักษะการเรียนรู้และความเข้าใจเกี่ยวกับการคุ้มครองข้อมูล ส่วนบุคคลให้แก่ประชาชน (๑๒) ส่งเสริมและสนับสนุนการวิจัย เพ่ือพัฒนาเทคโนโลยีท่ีเกี่ยวข้องกับการคุ้มครองข้อมูล ส่วนบคุ คล (๑๓) ปฏิบัติการอ่ืนใดตามท่ีพระราชบัญญัตินี้หรือกฎหมายอื่นกาหนดให้เป็นหน้าท่ีและอานาจ ของคณะกรรมการ มาตรา ๑๗ ให้ประธานกรรมการ รองประธานกรรมการ และกรรมการได้รับเบ้ียประชุม และประโยชนต์ อบแทนอ่นื ตามหลักเกณฑ์ที่คณะรฐั มนตรีกาหนด 424 สำ�นกั งานพฒั นาธรุ กรรมทางอิเล็กทรอนิกส์
เล่ม ๑๓๖ ตอนที่ ๖๙ ก หน้า ๖๐ ๒๗ พฤษภาคม ๒๕๖๒ ราชกจิ จานุเบกษา ประธานอนุกรรมการ อนุกรรมการ ประธานกรรมการผู้เชี่ยวชาญ และกรรมการผู้เช่ียวชาญ ท่ีคณะกรรมการแต่งต้ัง ให้ได้รับเบ้ียประชุมและประโยชน์ตอบแทนอื่นตามหลักเกณฑ์ที่คณะกรรมการ กาหนดโดยความเหน็ ชอบของกระทรวงการคลงั มาตรา ๑๘ คณะกรรมการมีอานาจแต่งต้ังคณะอนุกรรมการเพ่ือพิจารณาหรือปฏิบัติการ อย่างใดอยา่ งหนึ่งตามท่ีคณะกรรมการมอบหมายได้ การประชุมคณะอนุกรรมการ ให้นาความในมาตรา ๑๔ และมาตรา ๑๕ มาใช้บังคับ โดยอนุโลม หมวด ๒ การคมุ้ ครองขอ้ มลู สว่ นบคุ คล ส่วนท่ี ๑ บททัว่ ไป มาตรา ๑๙ ผู้ควบคุมข้อมูลส่วนบุคคลจะกระทาการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคลไม่ได้หากเจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมไว้ก่อนหรือในขณะน้ัน เว้นแต่บทบัญญัติ แห่งพระราชบัญญัตนิ ้ีหรอื กฎหมายอ่ืนบัญญตั ใิ หก้ ระทาได้ การขอความยินยอมต้องทาโดยชัดแจ้ง เป็นหนังสือหรือทาโดยผ่านระบบอิเล็กทรอนกิ ส์ เว้นแต่ โดยสภาพไม่อาจขอความยินยอมด้วยวิธกี ารดังกลา่ วได้ ในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้ง วตั ถุประสงคข์ องการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลสว่ นบุคคลไปดว้ ย และการขอความยนิ ยอมนั้น ต้องแยกส่วนออกจากข้อความอ่ืนอย่างชัดเจน มีแบบหรือข้อความที่เข้าถึงได้ง่ายและเข้าใจได้ รวมท้ัง ใช้ภาษาที่อ่านง่าย และไม่เปน็ การหลอกลวงหรือทาใหเ้ จ้าของข้อมูลส่วนบุคคลเขา้ ใจผิดในวัตถุประสงค์ ดงั กลา่ ว ทั้งนี้ คณะกรรมการจะให้ผู้ควบคมุ ข้อมูลส่วนบุคคลขอความยินยอมจากเจ้าของข้อมูลสว่ นบุคคล ตามแบบและขอ้ ความท่ีคณะกรรมการประกาศกาหนดก็ได้ ในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลต้องคานึง อยา่ งถึงทสี่ ุดในความเปน็ อสิ ระของเจา้ ของข้อมูลส่วนบคุ คลในการใหค้ วามยนิ ยอม ทัง้ นี้ ในการเขา้ ทาสัญญา ซึ่งรวมถึงการให้บริการใด ๆ ต้องไม่มีเงื่อนไขในการให้ความยินยอมเพ่ือเก็บรวบรวม ใช้ หรือเปิดเผย ขอ้ มูลสว่ นบคุ คลทไ่ี ม่มีความจาเปน็ หรอื เกีย่ วข้องสาหรบั การเขา้ ทาสญั ญาซึ่งรวมถึงการให้บริการนั้น ๆ ส�ำ นกั งานพัฒนาธรุ กรรมทางอิเลก็ ทรอนิกส์ 425
เล่ม ๑๓๖ ตอนท่ี ๖๙ ก ราชกหจิ นจ้าานุเ๖บ๑กษา ๒๗ พฤษภาคม ๒๕๖๒ เจ้าของขอ้ มูลส่วนบุคคลจะถอนความยินยอมเสียเมอื่ ใดก็ไดโ้ ดยจะต้องถอนความยินยอมไดง้ ่าย เช่นเดียวกับการให้ความยินยอม เว้นแต่มีข้อจากัดสิทธิในการถอนความยินยอมโดยกฎหมายหรือ สัญญาท่ีให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคล ท้ังนี้ การถอนความยินยอมย่อมไม่ส่งผลกระทบต่อ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลท่ีเจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมไปแล้ว โดยชอบตามทีก่ าหนดไว้ในหมวดน้ี ในกรณีที่การถอนความยินยอมส่งผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลในเรื่องใด ผู้ควบคุม ขอ้ มูลส่วนบุคคลต้องแจ้งให้เจ้าของข้อมูลสว่ นบคุ คลทราบถงึ ผลกระทบจากการถอนความยินยอมนน้ั การขอความยินยอมจากเจา้ ของข้อมลู สว่ นบุคคลที่ไม่เป็นไปตามทีก่ าหนดไว้ในหมวดน้ี ไมม่ ีผล ผูกพันเจ้าของข้อมูลส่วนบุคคล และไม่ทาให้ผู้ควบคุมข้อมูลส่วนบุคคลสามารถทาการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมลู ส่วนบคุ คลได้ มาตรา ๒๐ ในกรณที เี่ จ้าของข้อมลู ส่วนบุคคลเปน็ ผ้เู ยาวซ์ ึง่ ยงั ไมบ่ รรลุนิติภาวะโดยการสมรส หรือไม่มฐี านะเสมือนดังบุคคลซ่ึงบรรลนุ ติ ิภาวะแล้วตามมาตรา ๒๗ แห่งประมวลกฎหมายแพ่งและพาณิชย์ การขอความยนิ ยอมจากเจา้ ของขอ้ มลู สว่ นบคุ คลดงั กลา่ ว ใหด้ าเนินการ ดงั ตอ่ ไปน้ี (๑) ในกรณีที่การให้ความยินยอมของผู้เยาว์ไม่ใช่การใด ๆ ซึ่งผู้เยาว์อาจให้ความยินยอม โดยลาพังได้ตามท่ีบัญญัติไว้ในมาตรา ๒๒ มาตรา ๒๓ หรือมาตรา ๒๔ แห่งประมวลกฎหมายแพ่ง และพาณชิ ย์ ต้องไดร้ ับความยนิ ยอมจากผูใ้ ช้อานาจปกครองทม่ี อี านาจกระทาการแทนผู้เยาวด์ ว้ ย (๒) ในกรณีท่ีผู้เยาว์มีอายุไม่เกินสิบปี ให้ขอความยินยอมจากผู้ใช้อานาจปกครองท่ีมีอานาจ กระทาการแทนผเู้ ยาว์ ในกรณีท่ีเจ้าของข้อมูลส่วนบุคคลเป็นคนไร้ความสามารถ การขอความยินยอมจากเจ้าของ ขอ้ มลู สว่ นบุคคลดังกลา่ ว ใหข้ อความยินยอมจากผู้อนุบาลที่มอี านาจกระทาการแทนคนไรค้ วามสามารถ ในกรณีท่ีเจ้าของข้อมูลส่วนบุคคลเป็นคนเสมือนไร้ความสามารถ การขอความยินยอมจาก เจ้าของขอ้ มูลส่วนบุคคลดังกล่าว ให้ขอความยินยอมจากผู้พิทักษ์ทีม่ ีอานาจกระทาการแทนคนเสมือนไร้ ความสามารถ ให้นาความในวรรคหนึ่ง วรรคสอง และวรรคสาม มาใช้บังคับกับการถอนความยินยอมของ เจ้าของข้อมูลส่วนบุคคล การแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบ การใช้สิทธิของเจ้าของข้อมูล ส่วนบุคคล การร้องเรียนของเจ้าของข้อมูลส่วนบุคคล และการอ่ืนใดตามพระราชบัญญัติน้ีในกรณีท่ี เจ้าของข้อมูลสว่ นบคุ คลเปน็ ผเู้ ยาว์ คนไร้ความสามารถ หรอื คนเสมือนไรค้ วามสามารถ โดยอนุโลม 426 สำ�นกั งานพัฒนาธรุ กรรมทางอิเล็กทรอนกิ ส์
เล่ม ๑๓๖ ตอนที่ ๖๙ ก ราชกหิจนจ้ าานเุ ๖บ๒กษา ๒๗ พฤษภาคม ๒๕๖๒ มาตรา ๒๑ ผู้ควบคุมข้อมูลส่วนบุคคลต้องทาการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล สว่ นบุคคลตามวตั ถปุ ระสงคท์ ไ่ี ดแ้ จ้งเจ้าของข้อมูลส่วนบคุ คลไว้กอ่ นหรอื ในขณะทเ่ี กบ็ รวบรวม การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลท่ีแตกต่างไปจากวัตถุประสงค์ท่ีได้แจ้งไว้ ตามวรรคหนง่ึ จะกระทามิได้ เวน้ แต่ (๑) ได้แจ้งวัตถุประสงค์ใหม่นั้นให้เจ้าของข้อมูลส่วนบุคคลทราบและได้รับความยินยอมก่อน เกบ็ รวบรวม ใช้ หรือเปดิ เผยแลว้ (๒) บทบญั ญัติแหง่ พระราชบัญญัตนิ ี้หรือกฎหมายอืน่ บญั ญัติใหก้ ระทาได้ สว่ นท่ี ๒ การเกบ็ รวบรวมขอ้ มูลสว่ นบุคคล มาตรา ๒๒ การเก็บรวบรวมข้อมูลส่วนบุคคล ให้เก็บรวบรวมได้เท่าท่ีจาเป็นภายใต้ วัตถปุ ระสงค์อันชอบดว้ ยกฎหมายของผคู้ วบคุมข้อมูลสว่ นบคุ คล มาตรา ๒๓ ในการเก็บรวบรวมข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้ง ให้เจา้ ของข้อมลู สว่ นบุคคลทราบกอ่ นหรือในขณะเกบ็ รวบรวมขอ้ มูลส่วนบคุ คลถึงรายละเอยี ด ดงั ต่อไปนี้ เว้นแตเ่ จ้าของขอ้ มูลส่วนบุคคลได้ทราบถงึ รายละเอียดน้ันอยู่แล้ว (๑) วัตถุประสงค์ของการเก็บรวบรวมเพื่อการนาข้อมูลส่วนบุคคลไปใช้หรือเปิดเผยซ่ึงรวมถึง วัตถุประสงค์ตามที่มาตรา ๒๔ ให้อานาจในการเก็บรวบรวมได้โดยไม่ได้รับความยินยอมจากเจ้าของ ข้อมูลส่วนบุคคล (๒) แจ้งให้ทราบถึงกรณีท่ีเจ้าของข้อมูลส่วนบุคคลต้องให้ข้อมูลส่วนบุคคลเพ่ือปฏิบัติ ตามกฎหมายหรือสัญญาหรือมีความจาเป็นต้องให้ข้อมูลส่วนบุคคลเพื่อเข้าทาสัญญา รวมท้ังแจ้งถึง ผลกระทบทเี่ ป็นไปไดจ้ ากการไมใ่ ห้ขอ้ มลู ส่วนบคุ คล (๓) ข้อมูลส่วนบุคคลท่ีจะมีการเกบ็ รวบรวมและระยะเวลาในการเกบ็ รวบรวมไว้ ทั้งน้ี ในกรณี ท่ีไม่สามารถกาหนดระยะเวลาดังกล่าวไดช้ ัดเจน ให้กาหนดระยะเวลาท่ีอาจคาดหมายได้ตามมาตรฐาน ของการเก็บรวบรวม (๔) ประเภทของบุคคลหรอื หน่วยงานซึง่ ขอ้ มูลส่วนบุคคลที่เก็บรวบรวมอาจจะถูกเปดิ เผย (๕) ข้อมูลเก่ียวกับผู้ควบคุมข้อมูลส่วนบุคคล สถานที่ติดต่อ และวิธีการติดต่อในกรณี ท่ีมีตัวแทนหรือเจ้าหนา้ ท่ีคุ้มครองข้อมูลส่วนบุคคล ให้แจ้งข้อมูล สถานท่ีติดต่อ และวิธีการติดต่อของ ตัวแทนหรอื เจ้าหน้าที่คุ้มครองข้อมลู สว่ นบคุ คลดว้ ย สำ�นักงานพัฒนาธรุ กรรมทางอิเลก็ ทรอนิกส์ 427
เล่ม ๑๓๖ ตอนที่ ๖๙ ก ราชกหิจนจ้ าานเุ ๖บ๓กษา ๒๗ พฤษภาคม ๒๕๖๒ (๖) สิทธิของเจ้าของข้อมูลส่วนบุคคลตามมาตรา ๑๙ วรรคห้า มาตรา ๓๐ วรรคหน่ึง มาตรา ๓๑ วรรคหนึ่ง มาตรา ๓๒ วรรคหนึ่ง มาตรา ๓๓ วรรคหนึ่ง มาตรา ๓๔ วรรคหน่ึง มาตรา ๓๖ วรรคหน่ึง และมาตรา ๗๓ วรรคหน่ึง มาตรา ๒๔ ห้ามมิให้ผู้ควบคุมข้อมูลส่วนบุคคลทาการเก็บรวบรวมข้อมูลส่วนบุคคล โดยไม่ได้รบั ความยนิ ยอมจากเจา้ ของขอ้ มูลส่วนบุคคล เว้นแต่ (๑) เพ่ือให้บรรลุวัตถุประสงค์ท่ีเกี่ยวกับการจัดทาเอกสารประวัติศาสตร์หรือจดหมายเหตุ เพื่อประโยชนส์ าธารณะ หรือทเี่ ก่ยี วกบั การศึกษาวิจัยหรอื สถติ ซิ ง่ึ ไดจ้ ัดให้มีมาตรการปกป้องที่เหมาะสม เพ่อื คมุ้ ครองสทิ ธิและเสรภี าพของเจ้าของข้อมลู สว่ นบคุ คล ท้งั น้ี ตามทค่ี ณะกรรมการประกาศกาหนด (๒) เพือ่ ปอ้ งกนั หรอื ระงับอนั ตรายตอ่ ชีวิต รา่ งกาย หรอื สุขภาพของบคุ คล (๓) เป็นการจาเป็นเพื่อการปฏิบัติตามสัญญาซ่ึงเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาหรือ เพือ่ ใช้ในการดาเนินการตามคาขอของเจา้ ของขอ้ มลู ส่วนบคุ คลก่อนเข้าทาสัญญานน้ั (๔) เป็นการจาเปน็ เพอ่ื การปฏิบัติหน้าทีใ่ นการดาเนนิ ภารกจิ เพือ่ ประโยชนส์ าธารณะของผคู้ วบคุม ขอ้ มลู ส่วนบุคคล หรอื ปฏิบัตหิ น้าท่ีในการใช้อานาจรฐั ท่ไี ด้มอบให้แกผ่ ู้ควบคุมขอ้ มลู ส่วนบุคคล (๕) เป็นการจาเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล หรอื ของบคุ คลหรอื นติ ิบคุ คลอืน่ ทไ่ี มใ่ ช่ผคู้ วบคุมข้อมูลสว่ นบคุ คล เวน้ แต่ประโยชนด์ งั กล่าวมคี วามสาคัญ น้อยกว่าสทิ ธิขน้ั พนื้ ฐานในข้อมลู สว่ นบคุ คลของเจา้ ของข้อมลู สว่ นบุคคล (๖) เป็นการปฏิบัติตามกฎหมายของผ้คู วบคมุ ข้อมลู สว่ นบุคคล มาตรา ๒๕ ห้ามมิให้ผู้ควบคุมข้อมูลส่วนบุคคลทาการเก็บรวบรวมข้อมูลส่วนบุคคลจาก แหลง่ อ่ืนทไ่ี ม่ใชจ่ ากเจ้าของข้อมลู ส่วนบุคคลโดยตรง เว้นแต่ (๑) ได้แจ้งถึงการเกบ็ รวบรวมขอ้ มลู ส่วนบุคคลจากแหลง่ อืน่ ใหแ้ ก่เจ้าของข้อมูลสว่ นบุคคลทราบ โดยไม่ชักช้า แต่ต้องไม่เกินสามสิบวันนับแต่วันท่ีเก็บรวบรวมและได้รับความยินยอมจากเจ้าของข้อมูล สว่ นบคุ คล (๒) เป็นการเก็บรวบรวมข้อมูลส่วนบุคคลที่ได้รับยกเว้นไม่ต้องขอความยินยอมตามมาตรา ๒๔ หรือมาตรา ๒๖ ให้นาบทบัญญัติเก่ียวกับการแจ้งวัตถุประสงค์ใหม่ตามมาตรา ๒๑ และการแจ้งรายละเอียด ตามมาตรา ๒๓ มาใชบ้ งั คับกบั การเก็บรวบรวมขอ้ มูลส่วนบคุ คลทีต่ อ้ งไดร้ ับความยินยอมตามวรรคหน่ึง โดยอนุโลม เว้นแตก่ รณดี งั ตอ่ ไปน้ี 428 ส�ำ นกั งานพฒั นาธรุ กรรมทางอิเลก็ ทรอนิกส์
เล่ม ๑๓๖ ตอนที่ ๖๙ ก หน้า ๖๔ ๒๗ พฤษภาคม ๒๕๖๒ ราชกิจจานเุ บกษา (๑) เจ้าของข้อมูลส่วนบุคคลทราบวัตถปุ ระสงค์ใหมห่ รอื รายละเอยี ดนนั้ อยู่แล้ว (๒) ผู้ควบคุมข้อมูลส่วนบุคคลพิสูจน์ได้ว่าการแจ้งวัตถุประสงค์ใหม่หรือรายละเอียดดังกล่าว ไม่สามารถทาได้หรือจะเป็นอุปสรรคต่อการใช้หรือเปิดเผยข้อมูลส่วนบุคคล โดยเฉพาะอย่างย่ิงเพ่ือให้ บรรลวุ ัตถปุ ระสงคเ์ กีย่ วกบั การศกึ ษาวิจยั ทางวิทยาศาสตร์ ประวัตศิ าสตร์ หรอื สถติ ิ ในกรณนี ้ผี ้คู วบคุม ข้อมูลส่วนบคุ คลต้องจัดให้มีมาตรการที่เหมาะสมเพ่ือคุ้มครองสิทธิ เสรีภาพ และประโยชน์ของเจา้ ของ ขอ้ มลู สว่ นบุคคล (๓) การใช้หรือการเปิดเผยข้อมูลส่วนบุคคลต้องกระทาโดยเร่งด่วนตามท่ีกฎหมายกาหนด ซ่งึ ได้จัดใหม้ มี าตรการท่ีเหมาะสมเพ่ือคมุ้ ครองประโยชน์ของเจา้ ของขอ้ มลู สว่ นบุคคล (๔) เม่ือผู้ควบคุมข้อมูลส่วนบุคคลเป็นผู้ซึ่งล่วงรู้หรือได้มาซ่ึงข้อมูลส่วนบุคคลจากหน้าท่ี หรือจากการประกอบอาชีพหรือวิชาชีพและต้องรักษาวัตถุประสงค์ใหม่หรือรายละเอียดบางประการ ตามมาตรา ๒๓ ไวเ้ ปน็ ความลบั ตามท่ีกฎหมายกาหนด การแจ้งรายละเอียดตามวรรคสอง ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งให้เจ้าของข้อมูล สว่ นบคุ คลทราบภายในสามสิบวนั นับแต่วนั ที่เกบ็ รวบรวมตามมาตราน้ี เวน้ แต่กรณที นี่ าขอ้ มลู สว่ นบุคคล ไปใช้เพื่อการติดต่อกับเจ้าของข้อมูลส่วนบุคคลต้องแจ้งในการติดต่อคร้ังแรก และกรณีท่ีจะนาข้อมูล สว่ นบคุ คลไปเปิดเผย ต้องแจง้ ก่อนทจ่ี ะนาขอ้ มลู สว่ นบคุ คลไปเปิดเผยเปน็ ครัง้ แรก มาตรา ๒๖ ห้ามมิใหเ้ กบ็ รวบรวมขอ้ มลู ส่วนบคุ คลเกยี่ วกบั เชอ้ื ชาติ เผา่ พนั ธ์ุ ความคิดเหน็ ทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอ่ืนใด ซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทานองเดียวกนั ตามที่คณะกรรมการประกาศกาหนด โดยไม่ได้รับ ความยนิ ยอมโดยชัดแจง้ จากเจ้าของข้อมูลส่วนบุคคล เว้นแต่ (๑) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคลซ่ึงเจ้าของข้อมูล ส่วนบุคคลไม่สามารถใหค้ วามยินยอมได้ ไมว่ า่ ด้วยเหตุใดกต็ าม (๒) เป็นการดาเนินกิจกรรมโดยชอบด้วยกฎหมายท่ีมกี ารคุม้ ครองที่เหมาะสมของมูลนิธิ สมาคม หรือองค์กรที่ไม่แสวงหากาไรที่มีวัตถุประสงค์เก่ียวกับการเมือง ศาสนา ปรัชญา หรือสหภาพแรงงาน ให้แก่สมาชิก ผู้ซึ่งเคยเป็นสมาชิก หรือผู้ซ่ึงมีการติดต่ออย่างสม่าเสมอกับมูลนิธิ สมาคม หรือองค์กร ท่ีไม่แสวงหากาไรตามวัตถุประสงค์ดังกล่าวโดยไม่ได้เปิดเผยข้อมูลส่วนบุคคลนั้นออกไปภายนอกมูลนิธิ สมาคม หรือองคก์ รทไี่ มแ่ สวงหากาไรนนั้ สำ�นกั งานพฒั นาธรุ กรรมทางอิเลก็ ทรอนิกส์ 429
เล่ม ๑๓๖ ตอนที่ ๖๙ ก ราชกหิจนจ้ าานุเ๖บ๕กษา ๒๗ พฤษภาคม ๒๕๖๒ (๓) เป็นข้อมลู ทเ่ี ปดิ เผยต่อสาธารณะด้วยความยนิ ยอมโดยชดั แจง้ ของเจ้าของขอ้ มลู ส่วนบคุ คล (๔) เป็นการจาเป็นเพื่อการก่อต้ังสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิ เรยี กรอ้ งตามกฎหมาย หรอื การยกขึน้ ต่อสู้สทิ ธิเรียกรอ้ งตามกฎหมาย (๕) เป็นการจาเป็นในการปฏบิ ัตติ ามกฎหมายเพื่อให้บรรลุวัตถปุ ระสงคเ์ กีย่ วกบั (ก) เวชศาสตรป์ ้องกนั หรอื อาชวี เวชศาสตร์ การประเมนิ ความสามารถในการทางานของ ลูกจ้าง การวินิจฉัยโรคทางการแพทย์ การให้บริการด้านสุขภาพหรือด้านสังคม การรักษาทางการแพทย์ การจัดการด้านสขุ ภาพ หรือระบบและการให้บรกิ ารด้านสังคมสงเคราะห์ ท้ังน้ี ในกรณีที่ไม่ใช่การปฏิบัติ ตามกฎหมายและข้อมูลส่วนบุคคลนั้นอยู่ในความรับผิดชอบของผู้ประกอบอาชีพหรือวิชาชีพหรือผู้มีหนา้ ท่ี รักษาข้อมูลส่วนบุคคลน้ันไว้เป็นความลับตามกฎหมาย ต้องเป็นการปฏิบัติตามสัญญาระหว่างเจ้าของ ข้อมูลส่วนบุคคลกับผู้ประกอบวิชาชพี ทางการแพทย์ (ข) ประโยชน์สาธารณะดา้ นการสาธารณสุข เชน่ การป้องกันด้านสุขภาพจากโรคตดิ ต่อ อันตรายหรือโรคระบาดที่อาจตดิ ตอ่ หรือแพร่เขา้ มาในราชอาณาจกั ร หรือการควบคุมมาตรฐานหรือคุณภาพ ของยา เวชภัณฑ์ หรือเครอื่ งมือแพทย์ ซึ่งได้จัดให้มีมาตรการที่เหมาะสมและเจาะจงเพ่ือคุม้ ครองสิทธิ และเสรีภาพของเจ้าของข้อมูลส่วนบุคคลโดยเฉพาะการรักษาความลับของข้อมูลส่วนบุคคลตามหน้าท่ีหรอื ตามจริยธรรมแห่งวิชาชพี (ค) การคุ้มครองแรงงาน การประกันสงั คม หลักประกนั สุขภาพแหง่ ชาติ สวสั ดิการเก่ยี วกับ การรกั ษาพยาบาลของผ้มู สี ทิ ธิตามกฎหมาย การค้มุ ครองผปู้ ระสบภยั จากรถ หรอื การค้มุ ครองทางสงั คม ซึ่งการเก็บรวบรวมข้อมูลส่วนบุคคลเป็นส่ิงจาเป็นในการปฏิบัติตามสิทธิหรือหน้าที่ของผู้ควบคุมข้อมูล ส่วนบุคคลหรือเจ้าของข้อมูลส่วนบุคคล โดยได้จัดให้มีมาตรการที่เหมาะสมเพ่ือคุ้มครองสิทธิข้ันพื้นฐาน และประโยชนข์ องเจา้ ของข้อมูลสว่ นบุคคล (ง) การศกึ ษาวจิ ัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรอื สถิติ หรือประโยชน์สาธารณะอื่น ทั้งนี้ ต้องกระทาเพื่อให้บรรลุวัตถุประสงค์ดังกล่าวเพียงเท่าที่จาเป็นเท่าน้ัน และได้จัดให้มีมาตรการ ที่เหมาะสมเพ่ือคุม้ ครองสิทธิข้ันพ้ืนฐานและประโยชนข์ องเจา้ ของขอ้ มลู ส่วนบุคคล ตามที่คณะกรรมการ ประกาศกาหนด (จ) ประโยชน์สาธารณะที่สาคัญ โดยได้จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครอง สทิ ธขิ ้นั พืน้ ฐานและประโยชนข์ องเจา้ ของข้อมูลสว่ นบุคคล 430 ส�ำ นกั งานพัฒนาธรุ กรรมทางอิเล็กทรอนกิ ส์
เล่ม ๑๓๖ ตอนที่ ๖๙ ก ราชกหจิ นจ้าานเุ๖บ๖กษา ๒๗ พฤษภาคม ๒๕๖๒ ข้อมูลชีวภาพตามวรรคหน่ึงให้หมายถึงข้อมูลส่วนบุคคลที่เกิดจากการใช้เทคนิคหรอื เทคโนโลยี ท่ีเก่ียวข้องกบั การนาลักษณะเด่นทางกายภาพหรอื ทางพฤตกิ รรมของบุคคลมาใช้ทาใหส้ ามารถยืนยันตัวตน ของบุคคลน้ันท่ีไม่เหมือนกับบุคคลอื่นได้ เช่น ข้อมูลภาพจาลองใบหน้า ข้อมูลจาลองม่านตา หรือ ขอ้ มลู จาลองลายน้ิวมอื ในกรณีที่เป็นการเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมต้องกระทาภายใต้ การควบคุมของหนว่ ยงานที่มอี านาจหนา้ ท่ตี ามกฎหมาย หรือได้จดั ให้มีมาตรการคุ้มครองขอ้ มูลส่วนบคุ คล ตามหลักเกณฑ์ทีค่ ณะกรรมการประกาศกาหนด สว่ นท่ี ๓ การใช้หรือเปดิ เผยข้อมลู สว่ นบุคคล มาตรา ๒๗ ห้ามมิให้ผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือเปิดเผยข้อมูลส่วนบุคคล โดยไม่ได้ รับความยนิ ยอมจากเจา้ ของขอ้ มูลส่วนบคุ คล เว้นแต่เป็นข้อมลู ส่วนบคุ คลที่เก็บรวบรวมได้โดยได้รับยกเวน้ ไม่ตอ้ งขอความยินยอมตามมาตรา ๒๔ หรือมาตรา ๒๖ บุคคลหรอื นติ ิบคุ คลทีไ่ ด้รบั ขอ้ มลู ส่วนบคุ คลมาจากการเปิดเผยตามวรรคหนง่ึ จะตอ้ งไมใ่ ช้หรือ เปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์อ่ืนนอกเหนือจากวัตถุประสงค์ที่ได้แจ้งไว้กับผู้ควบคุมข้อมูล ส่วนบคุ คลในการขอรับขอ้ มลู ส่วนบุคคลนั้น ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่ได้รับยกเว้นไม่ต้องขอ ความยินยอมตามวรรคหนึ่ง ผู้ควบคุมข้อมูลส่วนบุคคลต้องบันทึกการใช้หรือเปิดเผยนั้นไว้ในรายการ ตามมาตรา ๓๙ มาตรา ๒๘ ในกรณีท่ีผคู้ วบคุมข้อมูลส่วนบุคคลส่งหรือโอนขอ้ มูลส่วนบุคคลไปยังต่างประเทศ ประเทศปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบคุ คลต้องมีมาตรฐานการคุ้มครองข้อมูล ส่วนบุคคลที่เพียงพอ ท้ังนี้ ต้องเป็นไปตามหลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลตามที่ คณะกรรมการประกาศกาหนดตามมาตรา ๑๖ (๕) เวน้ แต่ (๑) เปน็ การปฏิบตั ติ ามกฎหมาย (๒) ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลโดยไดแ้ จ้งใหเ้ จา้ ของข้อมูลส่วนบคุ คลทราบถงึ มาตรฐานการคุ้มครองขอ้ มูลส่วนบุคคลท่ีไม่เพียงพอของประเทศปลายทางหรือองค์การระหวา่ งประเทศ ทีร่ บั ข้อมูลส่วนบคุ คลแล้ว สำ�นักงานพฒั นาธรุ กรรมทางอิเล็กทรอนกิ ส์ 431
เล่ม ๑๓๖ ตอนที่ ๖๙ ก ราชกหิจนจ้ าานเุ ๖บ๗กษา ๒๗ พฤษภาคม ๒๕๖๒ (๓) เป็นการจาเป็นเพื่อการปฏิบัติตามสัญญาซ่ึงเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาหรือ เพื่อใชใ้ นการดาเนนิ การตามคาขอของเจา้ ของข้อมลู สว่ นบคุ คลก่อนเขา้ ทาสัญญานนั้ (๔) เป็นการกระทาตามสัญญาระหว่างผู้ควบคุมข้อมูลส่วนบุคคลกับบุคคลหรือนิติบุคคลอื่น เพื่อประโยชน์ของเจา้ ของข้อมูลส่วนบคุ คล (๕) เพ่ือป้องกันหรือระงบั อนั ตรายตอ่ ชีวิต ร่างกาย หรือสุขภาพของเจ้าของข้อมูลส่วนบคุ คล หรือบคุ คลอ่นื เม่อื เจา้ ของข้อมลู ส่วนบคุ คลไม่สามารถใหค้ วามยินยอมในขณะนนั้ ได้ (๖) เปน็ การจาเป็นเพอ่ื การดาเนินภารกจิ เพอ่ื ประโยชนส์ าธารณะที่สาคญั ในกรณีทมี่ ีปญั หาเก่ียวกับมาตรฐานการค้มุ ครองขอ้ มูลส่วนบุคคลทเี่ พียงพอของประเทศปลายทาง หรือองค์การระหว่างประเทศท่ีรับข้อมูลส่วนบุคคล ให้เสนอต่อคณะกรรมการเป็นผู้วินิจฉัย ท้ังนี้ คาวนิ ิจฉัยของคณะกรรมการอาจขอใหท้ บทวนไดเ้ มื่อมหี ลักฐานใหมท่ าให้เช่ือไดว้ า่ ประเทศปลายทางหรือ องค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคลมีการพัฒนาจนมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคล ท่ีเพยี งพอ มาตรา ๒๙ ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งอยู่ ในราชอาณาจักรได้กาหนดนโยบายในการคุ้มครองข้อมูลส่วนบุคคลเพื่อการส่งหรือโอนข้อมูลส่วนบุคคล ไปยังผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งอยู่ต่างประเทศและอยู่ในเครือกิจการ หรือเครือธุรกิจเดียวกันเพื่อการประกอบกิจการหรือธุรกิจร่วมกัน หากนโยบายในการคุ้มครองข้อมูล ส่วนบุคคลดังกล่าวได้รับการตรวจสอบและรับรองจากสานักงาน การส่งหรือโอนข้อมูลส่วนบุคคลไปยัง ต่างประเทศท่ีเป็นไปตามนโยบายในการคุ้มครองข้อมลู ส่วนบุคคลท่ีได้รบั การตรวจสอบและรับรองดังกลา่ ว ใหส้ ามารถกระทาได้โดยได้รับยกเว้นไมต่ อ้ งปฏบิ ตั ิตามมาตรา ๒๘ นโยบายในการคุ้มครองข้อมูลส่วนบุคคล ลักษณะของเครือกิจการหรือเครือธุรกิจเดียวกัน เพอื่ การประกอบกจิ การหรือธุรกจิ ร่วมกนั และหลักเกณฑ์และวิธกี ารตรวจสอบและรับรองตามวรรคหนงึ่ ใหเ้ ปน็ ไปตามทีค่ ณะกรรมการประกาศกาหนด ในกรณที ่ียังไมม่ ีคาวินิจฉัยของคณะกรรมการตามมาตรา ๒๘ หรือยังไม่มนี โยบายในการคุม้ ครอง ข้อมูลส่วนบุคคลตามวรรคหนึ่ง ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลอาจส่ง หรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศได้โดยได้รับยกเว้นไม่ต้องปฏิบัติตามมาตรา ๒๘ เมื่อผู้ควบคุม ขอ้ มลู สว่ นบุคคลหรอื ผู้ประมวลผลขอ้ มลู สว่ นบุคคลไดจ้ ัดให้มมี าตรการคมุ้ ครองที่เหมาะสมสามารถบงั คบั ตามสิทธิของเจ้าของข้อมูลส่วนบุคคลได้ รวมทั้งมีมาตรการเยียวยาทางกฎหมายท่ีมีประสิทธิภาพ ตามหลกั เกณฑ์และวิธกี ารท่คี ณะกรรมการประกาศกาหนด 432 สำ�นักงานพัฒนาธรุ กรรมทางอิเลก็ ทรอนิกส์
เล่ม ๑๓๖ ตอนท่ี ๖๙ ก ราชกหิจนจ้ าานุเ๖บ๘กษา ๒๗ พฤษภาคม ๒๕๖๒ หมวด ๓ สิทธขิ องเจา้ ของข้อมลู สว่ นบคุ คล มาตรา ๓๐ เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงและขอรับสาเนาข้อมูลส่วนบุคคล ท่ีเก่ียวกับตนซึ่งอยู่ในความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล หรือขอให้เปิดเผยถึงการได้มา ซ่งึ ขอ้ มลู ส่วนบคุ คลดังกลา่ วท่ตี นไม่ไดใ้ หค้ วามยนิ ยอม ผูค้ วบคุมข้อมูลส่วนบคุ คลต้องปฏบิ ัตติ ามคาขอตามวรรคหนง่ึ จะปฏเิ สธคาขอได้เฉพาะในกรณี ท่ีเป็นการปฏิเสธตามกฎหมายหรือคาส่ังศาล และการเข้าถึงและขอรับสาเนาข้อมูลส่วนบุคคลนั้น จะสง่ ผลกระทบที่อาจก่อให้เกดิ ความเสียหายตอ่ สทิ ธิและเสรีภาพของบุคคลอ่ืน ในกรณีท่ีผู้ควบคุมข้อมูลส่วนบุคคลปฏิเสธคาขอตามวรรคหน่ึง ให้ผู้ควบคุมข้อมูลส่วนบุคคล บันทกึ การปฏิเสธคาขอดงั กลา่ วพรอ้ มด้วยเหตุผลไว้ในรายการตามมาตรา ๓๙ เม่ือเจ้าของข้อมูลส่วนบุคคลมีคาขอตามวรรคหนึ่งและเป็นกรณีที่ไม่อาจปฏิเสธคาขอได้ ตามวรรคสอง ให้ผู้ควบคุมข้อมูลส่วนบุคคลดาเนินการตามคาขอโดยไม่ชักช้า แต่ต้องไม่เกินสามสบิ วัน นับแตว่ ันทไี่ ด้รบั คาขอ คณะกรรมการอาจกาหนดหลักเกณฑ์เก่ียวกับการเข้าถึงและการขอรับสาเนาตามวรรคหน่งึ รวมทั้ง การขยายระยะเวลาตามวรรคส่หี รอื หลักเกณฑอ์ ื่นตามความเหมาะสมก็ได้ มาตรา ๓๑ เจา้ ของข้อมลู ส่วนบุคคลมีสิทธขิ อรบั ข้อมูลส่วนบุคคลที่เกี่ยวกับตนจากผู้ควบคุม ข้อมูลส่วนบุคคลได้ ในกรณีท่ีผู้ควบคุมข้อมูลส่วนบุคคลได้ทาให้ข้อมูลส่วนบุคคลนั้นอยู่ในรูปแบบ ท่ีสามารถอ่านหรือใช้งานโดยทั่วไปได้ด้วยเครื่องมือหรืออุปกรณ์ท่ีทางานได้โดยอัตโนมัติและสามารถใช้ หรอื เปิดเผยขอ้ มลู ส่วนบคุ คลไดด้ ว้ ยวิธกี ารอัตโนมตั ิ รวมท้ังมีสิทธิ ดังต่อไปนี้ (๑) ขอให้ผู้ควบคุมขอ้ มูลส่วนบุคคลส่งหรือโอนข้อมูลสว่ นบุคคลในรปู แบบดังกลา่ วไปยังผู้ควบคมุ ข้อมูลส่วนบคุ คลอืน่ เมอื่ สามารถทาไดด้ ว้ ยวธิ กี ารอตั โนมัติ (๒) ขอรับข้อมูลส่วนบุคคลที่ผู้ควบคุมขอ้ มูลส่วนบุคคลส่งหรือโอนข้อมลู ส่วนบุคคลในรปู แบบ ดังกลา่ วไปยังผู้ควบคุมขอ้ มลู ส่วนบุคคลอืน่ โดยตรง เวน้ แต่โดยสภาพทางเทคนิคไม่สามารถทาได้ ข้อมลู ส่วนบุคคลตามวรรคหนง่ึ ต้องเปน็ ข้อมลู ส่วนบคุ คลทเี่ จา้ ของขอ้ มูลสว่ นบุคคลไดใ้ หค้ วามยนิ ยอม ในการเก็บรวบรวม ใช้ หรือเปดิ เผยขอ้ มูลส่วนบุคคลตามหลักเกณฑ์แห่งพระราชบญั ญตั ินี้ หรือเป็นข้อมูล ส่วนบุคคลที่ได้รบั ยกเว้นไมต่ ้องขอความยนิ ยอมตามมาตรา ๒๔ (๓) หรือเปน็ ข้อมลู ส่วนบุคคลอ่ืนทก่ี าหนด ในมาตรา ๒๔ ตามทีค่ ณะกรรมการประกาศกาหนด สำ�นกั งานพัฒนาธรุ กรรมทางอิเล็กทรอนกิ ส์ 433
เล่ม ๑๓๖ ตอนท่ี ๖๙ ก ราชกหจิ นจ้าานเุ๖บ๙กษา ๒๗ พฤษภาคม ๒๕๖๒ การใช้สิทธิของเจ้าของขอ้ มลู ส่วนบุคคลตามวรรคหน่ึงจะใช้กับการส่งหรอื โอนข้อมูลส่วนบุคคล ของผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นการปฏิบัติหน้าที่เพื่อประโยชน์สาธารณะหรือเป็นการปฏิบัติหน้าที่ ตามกฎหมายไม่ได้ หรอื การใช้สทิ ธิน้นั ต้องไม่ละเมดิ สทิ ธิหรือเสรภี าพของบุคคลอ่ืน ท้งั นี้ ในกรณที ผี่ ้คู วบคุม ข้อมูลส่วนบุคคลปฏิเสธคาขอด้วยเหตุผลดังกล่าว ให้ผู้ควบคุมข้อมูลส่วนบุคคลบันทึกการปฏิเสธคาขอ พรอ้ มดว้ ยเหตผุ ลไวใ้ นรายการตามมาตรา ๓๙ มาตรา ๓๒ เจ้าของขอ้ มูลส่วนบคุ คลมสี ทิ ธคิ ดั คา้ นการเก็บรวบรวม ใช้ หรือเปดิ เผยขอ้ มลู สว่ นบคุ คลทีเ่ ก่ียวกับตนเมือ่ ใดก็ได้ ดงั ตอ่ ไปน้ี (๑) กรณีที่เป็นข้อมูลส่วนบุคคลท่ีเก็บรวบรวมได้โดยได้รับยกเว้นไม่ต้องขอความยินยอม ตามมาตรา ๒๔ (๔) หรอื (๕) เว้นแตผ่ ู้ควบคุมขอ้ มลู สว่ นบคุ คลพสิ จู น์ไดว้ า่ (ก) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลน้ัน ผู้ควบคุมข้อมูลส่วนบุคคล ได้แสดงให้เหน็ ถึงเหตุอนั ชอบด้วยกฎหมายทส่ี าคัญย่ิงกวา่ (ข) การเก็บรวบรวม ใช้ หรือเปดิ เผยข้อมูลส่วนบุคคลน้นั เปน็ ไปเพ่ือก่อต้งั สิทธเิ รียกร้อง ตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้อง ตามกฎหมาย (๒) กรณีที่เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพ่ือวัตถุประสงค์เกี่ยวกับ การตลาดแบบตรง (๓) กรณีท่ีเป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์เกี่ยวกับ การศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ เว้นแต่เป็นการจาเป็นเพื่อการดาเนินภารกิจ เพ่ือประโยชน์สาธารณะของผูค้ วบคุมข้อมลู สว่ นบคุ คล ในกรณีท่ีเจ้าของข้อมูลส่วนบุคคลใช้สิทธิคัดค้านตามวรรคหนึ่ง ผู้ควบคุมข้อมูลส่วนบุคคล ไม่สามารถเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้นต่อไปได้ ทั้งนี้ ผู้ควบคุมข้อมูลส่วนบคุ คล ต้องปฏิบัติโดยแยกส่วนออกจากข้อมูลอื่นอย่างชัดเจนในทันทีเมื่อเจ้าของข้อมูลส่วนบุคคลได้แจ้ง การคัดคา้ นให้ผู้ควบคุมขอ้ มูลสว่ นบุคคลทราบ ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลปฏิเสธการคัดด้านด้วยเหตุผลตาม (๑) (ก) หรือ (ข) หรือ (๓) ให้ผู้ควบคุมข้อมูลส่วนบุคคลบันทึกการปฏิเสธการคัดค้านพร้อมด้วยเหตุผลไว้ในรายการ ตามมาตรา ๓๙ มาตรา ๓๓ เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลดาเนินการลบ หรือทาลาย หรือทาให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูล ส่วนบุคคลได้ ในกรณีดงั ต่อไปน้ี 434 ส�ำ นกั งานพัฒนาธรุ กรรมทางอิเล็กทรอนิกส์
เล่ม ๑๓๖ ตอนท่ี ๖๙ ก หน้า ๗๐ ๒๗ พฤษภาคม ๒๕๖๒ ราชกจิ จานเุ บกษา (๑) เม่ือข้อมูลส่วนบุคคลหมดความจาเป็นในการเก็บรกั ษาไว้ตามวัตถปุ ระสงค์ในการเกบ็ รวบรวม ใช้ หรอื เปิดเผยขอ้ มลู ส่วนบุคคล (๒) เม่ือเจ้าของข้อมูลส่วนบุคคลถอนความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคลและผู้ควบคมุ ขอ้ มูลส่วนบุคคลไม่มีอานาจตามกฎหมายท่ีจะเก็บรวบรวม ใช้ หรือเปิดเผยขอ้ มลู สว่ นบุคคลนัน้ ได้ต่อไป (๓) เม่ือเจ้าของข้อมูลส่วนบุคคลคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามมาตรา ๓๒ (๑) และผู้ควบคุมข้อมูลส่วนบุคคลไม่อาจปฏิเสธคาขอตามมาตรา ๓๒ (๑) (ก) หรือ (ข) ได้ หรอื เป็นการคัดคา้ นตามมาตรา ๓๒ (๒) (๔) เมื่อข้อมูลส่วนบุคคลได้ถูกเก็บรวบรวม ใช้ หรือเปิดเผยโดยไม่ชอบด้วยกฎหมายตามที่ กาหนดไวใ้ นหมวดน้ี ความในวรรคหน่ึงมิให้นามาใช้บังคับกับการเก็บรักษาไว้เพ่ือวัตถุประสงค์ในกา รใช้เสรีภาพ ในการแสดงความคิดเห็น การเก็บรักษาไว้เพื่อวัตถุประสงค์ตามมาตรา ๒๔ (๑) หรือ (๔) หรือ มาตรา ๒๖ (๕) (ก) หรือ (ข) การใช้เพ่ือการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือ การใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย หรือเพ่ือการปฏิบัติ ตามกฎหมาย ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลได้ทาให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่เปิดเผยต่อสาธารณะ และผู้ควบคุมข้อมูลส่วนบุคคลถูกขอให้ลบหรือทาลายหรือทาให้ข้อมูลส่วนบุคคลเป็นข้อมูลท่ีไม่สามารถ ระบุตัวบุคคลท่ีเป็นเจ้าของข้อมูลส่วนบุคคลได้ตามวรรคหน่ึง ผู้ควบคุมข้อมูลส่วนบุคคลต้องเป็น ผู้รับผิดชอบดาเนินการทั้งในทางเทคโนโลยีและค่าใช้จ่ายเพ่ือให้เป็นไปตามคาขอน้ัน โดยแจ้งผู้ควบคุม ข้อมลู ส่วนบคุ คลอื่น ๆ เพอ่ื ให้ไดร้ ับคาตอบในการดาเนินการให้เป็นไปตามคาขอ กรณีผู้ควบคุมข้อมลู สว่ นบคุ คลไมด่ าเนนิ การตามวรรคหนึง่ หรือวรรคสาม เจา้ ของข้อมูลส่วนบุคคล มสี ทิ ธริ ้องเรียนตอ่ คณะกรรมการผเู้ ชย่ี วชาญเพอ่ื สั่งให้ผู้ควบคุมข้อมลู สว่ นบุคคลดาเนนิ การได้ คณะกรรมการอาจประกาศกาหนดหลักเกณฑ์ในการลบหรือทาลาย หรือทาให้ข้อมูลส่วนบุคคล เปน็ ขอ้ มูลท่ไี ม่สามารถระบตุ วั บคุ คลทเ่ี ปน็ เจ้าของขอ้ มูลสว่ นบคุ คลตามวรรคหนึ่งก็ได้ มาตรา ๓๔ เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลระงับการใช้ ข้อมูลสว่ นบคุ คลได้ ในกรณีดังต่อไปนี้ (๑) เม่ือผู้ควบคุมข้อมูลส่วนบุคคลอยู่ในระหว่างการตรวจสอบตามท่ีเจ้าของข้อมูลส่วนบุคคล รอ้ งขอให้ดาเนนิ การตามมาตรา ๓๖ ส�ำ นกั งานพัฒนาธรุ กรรมทางอิเลก็ ทรอนิกส์ 435
เล่ม ๑๓๖ ตอนท่ี ๖๙ ก ราชกหิจนจ้ าานเุ ๗บ๑กษา ๒๗ พฤษภาคม ๒๕๖๒ (๒) เมื่อเป็นข้อมูลส่วนบุคคลท่ีต้องลบหรือทาลายตามมาตรา ๓๓ (๔) แต่เจ้าของข้อมูล ส่วนบุคคลขอให้ระงบั การใช้แทน (๓) เม่ือข้อมลู สว่ นบุคคลหมดความจาเปน็ ในการเก็บรกั ษาไว้ตามวตั ถุประสงคใ์ นการเก็บรวบรวม ข้อมูลส่วนบุคคล แต่เจ้าของข้อมูลส่วนบุคคลมีความจาเป็นต้องขอให้เก็บรักษาไว้เพ่ือใช้ในการก่อตั้ง สิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกข้ึนต่อสู้ สิทธเิ รียกร้องตามกฎหมาย (๔) เม่ือผู้ควบคุมขอ้ มูลส่วนบคุ คลอย่ใู นระหว่างการพิสจู น์ตามมาตรา ๓๒ (๑) หรือตรวจสอบ ตามมาตรา ๓๒ (๓) เพอ่ื ปฏเิ สธการคัดค้านของเจา้ ของขอ้ มูลส่วนบคุ คลตามมาตรา ๓๒ วรรคสาม กรณีผู้ควบคุมข้อมูลส่วนบุคคลไม่ดาเนินการตามวรรคหน่ึง เจ้าของข้อมูลส่วนบุคคลมีสิทธิ ร้องเรยี นต่อคณะกรรมการผูเ้ ชย่ี วชาญเพือ่ ส่ังให้ผ้คู วบคุมขอ้ มูลส่วนบคุ คลดาเนนิ การได้ คณะกรรมการอาจประกาศกาหนดหลักเกณฑใ์ นการระงับการใช้ตามวรรคหนง่ึ กไ็ ด้ มาตรา ๓๕ ผู้ควบคุมข้อมูลส่วนบุคคลต้องดาเนินการให้ข้อมูลส่วนบุคคลน้ันถูกต้อง เปน็ ปัจจุบนั สมบรู ณ์ และไมก่ อ่ ใหเ้ กดิ ความเขา้ ใจผดิ มาตรา ๓๖ ในกรณีท่ีเจ้าของขอ้ มลู สว่ นบุคคลร้องขอใหผ้ ้คู วบคุมข้อมูลส่วนบุคคลดาเนินการ ตามมาตรา ๓๕ หากผู้ควบคมุ ข้อมูลส่วนบุคคลไม่ดาเนินการตามคารอ้ งขอ ผู้ควบคุมข้อมูลส่วนบคุ คล ต้องบนั ทึกคารอ้ งขอของเจา้ ของขอ้ มลู ส่วนบุคคลพรอ้ มด้วยเหตผุ ลไวใ้ นรายการตามมาตรา ๓๙ ใหน้ าความในมาตรา ๓๔ วรรคสอง มาใชบ้ ังคบั โดยอนุโลม มาตรา ๓๗ ผู้ควบคุมข้อมลู สว่ นบคุ คลมหี น้าท่ี ดงั ต่อไปน้ี (๑) จัดให้มีมาตรการรกั ษาความมนั่ คงปลอดภัยที่เหมาะสม เพอ่ื ปอ้ งกนั การสูญหาย เขา้ ถึง ใช้ เปลย่ี นแปลง แก้ไข หรือเปดิ เผยขอ้ มูลสว่ นบุคคลโดยปราศจากอานาจหรอื โดยมิชอบ และตอ้ งทบทวน มาตรการดงั กล่าวเม่ือมีความจาเป็นหรอื เมือ่ เทคโนโลยเี ปลีย่ นแปลงไปเพื่อใหม้ ปี ระสิทธภิ าพในการรกั ษา ความมน่ั คงปลอดภยั ทเี่ หมาะสม ทั้งนี้ ให้เป็นไปตามมาตรฐานขัน้ ต่าทคี่ ณะกรรมการประกาศกาหนด (๒) ในกรณที ี่ต้องให้ข้อมูลสว่ นบุคคลแกบ่ ุคคลหรอื นิติบุคคลอื่นท่ีไม่ใชผ่ ู้ควบคมุ ข้อมูลสว่ นบุคคล ตอ้ งดาเนนิ การเพ่อื ป้องกันมิให้ผู้น้นั ใช้หรือเปดิ เผยข้อมูลสว่ นบคุ คลโดยปราศจากอานาจหรือโดยมชิ อบ (๓) จัดให้มีระบบการตรวจสอบเพ่ือดาเนินการลบหรือทาลายข้อมูลส่วนบคุ คลเม่ือพ้นกาหนด ระยะเวลาการเก็บรักษา หรือท่ีไม่เก่ียวข้องหรือเกินความจาเป็นตามวัตถุประสงค์ในการเก็บรวบรวม ข้อมูลส่วนบุคคลนั้น หรือตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอ หรือท่ีเจ้าของข้อมูลส่วนบุคคล ได้ถอนความยินยอม เว้นแต่เก็บรักษาไว้เพื่อวัตถุประสงค์ในการใช้เสรีภาพในการแสดงความคิดเห็น 436 ส�ำ นกั งานพฒั นาธรุ กรรมทางอิเลก็ ทรอนิกส์
เล่ม ๑๓๖ ตอนที่ ๖๙ ก หน้า ๗๒ ๒๗ พฤษภาคม ๒๕๖๒ ราชกิจจานุเบกษา การเก็บรกั ษาไว้เพื่อวตั ถุประสงคต์ ามมาตรา ๒๔ (๑) หรือ (๔) หรือมาตรา ๒๖ (๕) (ก) หรือ (ข) การใช้เพ่ือการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย หรือเพื่อการปฏิบัติตามกฎหมาย ทั้งนี้ ให้นาความใน มาตรา ๓๓ วรรคห้า มาใช้บังคบั กับการลบหรอื ทาลายขอ้ มูลส่วนบคุ คลโดยอนโุ ลม (๔) แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สานักงานโดยไม่ชักช้าภายในเจ็ดสิบสองชั่วโมง นับแตท่ ราบเหตเุ ท่าที่จะสามารถกระทาได้ เว้นแต่การละเมิดดงั กล่าวไม่มคี วามเสี่ยงทจี่ ะมผี ลกระทบตอ่ สิทธิและเสรีภาพของบุคคล ในกรณีที่การละเมิดมีความเสี่ยงสูงท่ีจะมีผลกระทบต่อสิทธิและเสรีภาพ ของบุคคล ให้แจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อมกับแนวทางการเยียวยา โดยไม่ชักช้าด้วย ทั้งนี้ การแจ้งดังกล่าวและข้อยกเว้นให้เป็นไปตามหลักเกณฑ์และวิธีการที่คณะกรรมการ ประกาศกาหนด (๕) ในกรณีท่เี ปน็ ผู้ควบคมุ ขอ้ มูลส่วนบุคคลตามมาตรา ๕ วรรคสอง ตอ้ งแต่งตัง้ ตวั แทนของ ผู้ควบคุมข้อมูลส่วนบุคคลเป็นหนังสือซ่ึงตัวแทนต้องอยู่ในราชอาณาจักรและตัวแทนต้องได้รับมอบอานาจ ให้กระทาการแทนผู้ควบคุมข้อมูลส่วนบุคคลโดยไม่มีข้อจากัดความรับผิดใด ๆ ที่เก่ียวกับการเก็บรวบรวม ใช้ หรือเปดิ เผยขอ้ มูลส่วนบุคคลตามวตั ถุประสงคข์ องผู้ควบคมุ ข้อมูลส่วนบุคคล มาตรา ๓๘ บทบัญญตั ิเก่ียวกบั การแต่งตงั้ ตัวแทนตามมาตรา ๓๗ (๕) มิใหน้ ามาใช้บังคบั แก่ ผคู้ วบคมุ ขอ้ มูลส่วนบคุ คล ดงั ตอ่ ไปนี้ (๑) ผู้ควบคมุ ขอ้ มูลสว่ นบคุ คลซึง่ เปน็ หนว่ ยงานของรฐั ตามที่คณะกรรมการประกาศกาหนด (๒) ผู้ควบคุมข้อมูลส่วนบุคคลซ่ึงประกอบอาชีพหรือธุรกิจในการเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลสว่ นบุคคลทีไ่ มม่ ลี กั ษณะตามมาตรา ๒๖ และไมม่ ขี ้อมลู ส่วนบุคคลเปน็ จานวนมากตามที่คณะกรรมการ ประกาศกาหนดตามมาตรา ๔๑ (๒) ในกรณีท่ีผู้ควบคมุ ข้อมูลส่วนบคุ คลตามมาตรา ๕ วรรคสอง มีผู้ประมวลผลข้อมูลสว่ นบุคคล ให้นาความในมาตรา ๓๗ (๕) และความในวรรคหนึง่ มาใช้บังคับแก่ผปู้ ระมวลผลข้อมูลส่วนบคุ คลนัน้ โดยอนโุ ลม มาตรา ๓๙ ให้ผ้คู วบคมุ ขอ้ มูลสว่ นบคุ คลบันทกึ รายการ อย่างน้อยดังตอ่ ไปนี้ เพ่อื ให้เจ้าของ ข้อมูลส่วนบุคคลและสานักงานสามารถตรวจสอบได้ โดยจะบันทกึ เป็นหนังสือหรือระบบอิเล็กทรอนกิ ส์ กไ็ ด้ (๑) ขอ้ มลู ส่วนบุคคลท่ีมกี ารเกบ็ รวบรวม (๒) วัตถุประสงค์ของการเกบ็ รวบรวมขอ้ มลู สว่ นบุคคลแตล่ ะประเภท ส�ำ นกั งานพัฒนาธรุ กรรมทางอิเล็กทรอนกิ ส์ 437
เล่ม ๑๓๖ ตอนที่ ๖๙ ก หน้า ๗๓ ๒๗ พฤษภาคม ๒๕๖๒ ราชกิจจานุเบกษา (๓) ข้อมลู เก่ียวกับผู้ควบคุมข้อมูลสว่ นบุคคล (๔) ระยะเวลาการเก็บรักษาข้อมูลส่วนบคุ คล (๕) สิทธิและวิธีการเข้าถึงข้อมลู ส่วนบุคคล รวมท้ังเงือ่ นไขเกี่ยวกับบคุ คลที่มีสทิ ธเิ ขา้ ถงึ ขอ้ มลู สว่ นบคุ คลและเงื่อนไขในการเข้าถงึ ขอ้ มูลสว่ นบคุ คลนนั้ (๖) การใช้หรอื เปดิ เผยตามมาตรา ๒๗ วรรคสาม (๗) การปฏิเสธคาขอหรือการคัดค้านตามมาตรา ๓๐ วรรคสาม มาตรา ๓๑ วรรคสาม มาตรา ๓๒ วรรคสาม และมาตรา ๓๖ วรรคหนึ่ง (๘) คาอธบิ ายเก่ยี วกบั มาตรการรกั ษาความมนั่ คงปลอดภัยตามมาตรา ๓๗ (๑) ความในวรรคหนึ่งให้นามาใช้บังคับกับตัวแทนของผู้ควบคุมข้อมูลส่วนบุคคลตามมาตรา ๕ วรรคสอง โดยอนุโลม ความใน (๑) (๒) (๓) (๔) (๕) (๖) และ (๘) อาจยกเว้นมิให้นามาใช้บังคับกับผู้ควบคุม ข้อมูลส่วนบุคคลซึ่งเป็นกิจการขนาดเล็กตามหลักเกณฑ์ท่ีคณะกรรมการประกาศกาหนด เว้นแต่ มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบคุ คลที่มคี วามเส่ียงท่ีจะมีผลกระทบต่อสิทธแิ ละเสรภี าพ ของเจ้าของข้อมูลส่วนบุคคล หรือมิใช่กิจการท่ีเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเป็น ครัง้ คราว หรือมีการเกบ็ รวบรวม ใช้ หรอื เปดิ เผยขอ้ มูลส่วนบุคคลตามมาตรา ๒๖ มาตรา ๔๐ ผปู้ ระมวลผลขอ้ มูลสว่ นบุคคลมีหนา้ ที่ ดังตอ่ ไปน้ี (๑) ดาเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคาส่ังที่ได้รับ จากผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น เว้นแต่คาส่ังน้ันขัดต่อกฎหมายหรือบทบัญญัติในการคุ้มครอง ขอ้ มูลสว่ นบุคคลตามพระราชบญั ญตั นิ ี้ (๒) จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยท่ีเหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปล่ียนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอานาจหรือโดยมิชอบ รวมทั้ง แจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบถึงเหตุการละเมิดขอ้ มูลสว่ นบุคคลท่ีเกิดข้นึ (๓) จัดทาและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลไว้ ตามหลกั เกณฑแ์ ละวธิ กี ารที่คณะกรรมการประกาศกาหนด ผู้ประมวลผลข้อมูลส่วนบคุ คลซง่ึ ไม่ปฏิบตั ิตาม (๑) สาหรับการเกบ็ รวบรวม ใช้ หรือเปดิ เผย ข้อมูลส่วนบุคคลใด ให้ถือว่าผู้ประมวลผลข้อมูลส่วนบุคคลเป็นผู้ควบคุมข้อมูลส่วนบุคคลสาหรับ การเกบ็ รวบรวม ใช้ หรอื เปดิ เผยข้อมูลสว่ นบุคคลนน้ั 438 สำ�นักงานพัฒนาธรุ กรรมทางอิเลก็ ทรอนกิ ส์
เล่ม ๑๓๖ ตอนที่ ๖๙ ก ราชกหจิ นจ้าานเุ๗บ๔กษา ๒๗ พฤษภาคม ๒๕๖๒ การดาเนินงานตามหนา้ ท่ขี องผู้ประมวลผลข้อมูลสว่ นบุคคลตามทีไ่ ดร้ บั มอบหมายจากผู้ควบคุม ข้อมูลส่วนบุคคลตามวรรคหนง่ึ ผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดให้มีข้อตกลงระหว่างกัน เพ่ือควบคุม การดาเนินงานตามหน้าทข่ี องผูป้ ระมวลผลข้อมลู สว่ นบุคคลใหเ้ ปน็ ไปตามพระราชบัญญตั นิ ี้ ความใน (๓) อาจยกเว้นมิให้นามาใช้บังคับกับผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งเป็นกิจการ ขนาดเล็กตามหลักเกณฑ์ท่ีคณะกรรมการประกาศกาหนด เว้นแต่มีการเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคลที่มีความเส่ียงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล หรือ มิใช่กิจการที่เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเป็นคร้ังคราว หรือมีการเก็บรวบรวม ใช้ หรอื เปดิ เผยขอ้ มลู ส่วนบคุ คลตามมาตรา ๒๖ มาตรา ๔๑ ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดให้มี เจ้าหนา้ ท่ีคุ้มครองขอ้ มูลส่วนบคุ คลของตน ในกรณีดังต่อไปน้ี (๑) ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเป็นหน่วยงานของรัฐตามท่ี คณะกรรมการประกาศกาหนด (๒) การดาเนินกิจกรรมของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล ในการเก็บรวบรวม ใช้ หรือเปิดเผย จาเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่าเสมอ โดยเหตุท่มี ีขอ้ มลู สว่ นบคุ คลเปน็ จานวนมากตามที่คณะกรรมการประกาศกาหนด (๓) กิจกรรมหลักของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเป็น การเก็บรวบรวม ใช้ หรอื เปิดเผยข้อมลู สว่ นบุคคลตามมาตรา ๒๖ ในกรณีท่ีผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลอยู่ในเครือกิจการ หรือเครือธุรกิจเดียวกันเพื่อการประกอบกิจการหรือธุรกิจร่วมกันตามท่ีคณะกรรมการประกาศกาหนด ตามมาตรา ๒๙ วรรคสอง ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลดังกล่าว อาจจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลร่วมกันได้ ทั้งนี้ สถานที่ทาการแต่ละแห่งของผู้ควบคุม ข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลที่อยู่ในเครือกิจการหรือเครือธุรกิจเดียวกันดังกล่าว ตอ้ งสามารถติดตอ่ กับเจา้ หนา้ ทค่ี มุ้ ครองข้อมลู ส่วนบคุ คลได้โดยง่าย ความในวรรคสองให้นามาใช้บังคับแก่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูล ส่วนบุคคลซึ่งเปน็ หน่วยงานของรัฐตาม (๑) ซงึ่ มขี นาดใหญ่หรอื มสี ถานที่ทาการหลายแห่งโดยอนุโลม ในกรณีท่ีผู้ควบคมุ ข้อมลู ส่วนบุคคลหรือผู้ประมวลผลขอ้ มูลส่วนบคุ คลตามวรรคหนึ่งตอ้ งแต่งตั้ง ตวั แทนตามมาตรา ๓๗ (๕) ใหน้ าความในวรรคหน่ึงมาใช้บงั คบั แกต่ ัวแทนโดยอนโุ ลม สำ�นกั งานพัฒนาธรุ กรรมทางอิเล็กทรอนิกส์ 439
เล่ม ๑๓๖ ตอนท่ี ๖๙ ก ราชกหิจนจ้ าานเุ ๗บ๕กษา ๒๗ พฤษภาคม ๒๕๖๒ ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าท่ีต้องแจ้งข้อมูลเก่ียวกับ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล สถานที่ติดต่อ และวิธีการติดต่อให้เจ้าของข้อมูลส่วนบุคคลแล ะ สานักงานทราบ ท้ังนี้ เจ้าของข้อมูลส่วนบุคคลสามารถติดต่อเจ้าหน้าท่ีคุ้มครองข้อมูลส่วนบุคคลเก่ียวกบั การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลและการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล ตามพระราชบัญญัตนิ ้ีได้ ค ณ ะ ก รรม การอ าจป ระกาศ กาหนด คุณ สมบั ติของเจ้ าหน้า ที่ คุ้มค รองข้อ มูลส่วนบุคคลได้ โดยคานงึ ถึงความรหู้ รอื ความเชี่ยวชาญเกยี่ วกับการคมุ้ ครองข้อมูลส่วนบุคคล เจ้าหน้าท่ีคุ้มครองข้อมูลส่วนบุคคลอาจเป็นพนักงานของผู้ควบคุมข้อมูลส่วนบุคคลหรือ ผู้ประมวลผลข้อมูลส่วนบุคคลหรือเป็นผู้รับจ้างให้บริการตามสัญญากับผู้ควบคุมข้อมู ลส่วนบุคคลหรือ ผ้ปู ระมวลผลขอ้ มลู ส่วนบคุ คลก็ได้ มาตรา ๔๒ เจา้ หนา้ ทค่ี ุ้มครองขอ้ มลู ส่วนบคุ คลมีหน้าที่ ดงั ต่อไปนี้ (๑) ให้คาแนะนาแก่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้ง ลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเกี่ยวกับการปฏิบัติ ตามพระราชบัญญัตนิ ้ี (๒) ตรวจสอบการดาเนนิ งานของผูค้ วบคุมข้อมูลสว่ นบุคคลหรือผปู้ ระมวลผลขอ้ มูลส่วนบุคคล รวมท้ังลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเกี่ยวกับ การเก็บรวบรวม ใช้ หรือเปิดเผยขอ้ มูลสว่ นบคุ คลเพ่ือให้เป็นไปตามพระราชบัญญัติน้ี (๓) ประสานงานและให้ความร่วมมือกับสานักงานในกรณีที่มีปัญหาเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งลูกจ้างหรอื ผรู้ ับจ้างของผู้ควบคมุ ข้อมูลส่วนบุคคลหรือผู้ประมวลผลขอ้ มูลส่วนบุคคลในการปฏิบัติ ตามพระราชบัญญตั ิน้ี (๔) รักษาความลับของข้อมูลส่วนบุคคลที่ตนล่วงรู้หรือได้มาเนื่องจากการปฏิบัติหน้าท่ี ตามพระราชบัญญตั ิน้ี ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลต้องสนับสนุน การปฏิบัติหน้าท่ี ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลโดยจัดหาเคร่ืองมือหรืออุปกรณ์อย่างเพียงพอ รวมทั้งอานวย ความสะดวกในการเขา้ ถึงข้อมูลสว่ นบุคคลเพอ่ื การปฏิบัติหน้าที่ 440 ส�ำ นักงานพฒั นาธรุ กรรมทางอิเลก็ ทรอนิกส์
เล่ม ๑๓๖ ตอนที่ ๖๙ ก หน้า ๗๖ ๒๗ พฤษภาคม ๒๕๖๒ ราชกจิ จานเุ บกษา ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลจะให้เจ้าหน้าที่คุ้มครองข้อมูล ส่วนบุคคลออกจากงานหรือเลิกสญั ญาการจา้ งด้วยเหตทุ ี่เจ้าหน้าทีค่ ้มุ ครองขอ้ มูลส่วนบุคคลปฏบิ ตั หิ น้าท่ี ตามพระราชบัญญัตินี้ไม่ได้ ทั้งนี้ ในกรณีท่ีมีปัญหาในการปฏิบัติหน้าท่ี เจ้าหน้าท่ีคุ้มครองข้อมูล ส่วนบุคคลต้องสามารถรายงานไปยังผบู้ รหิ ารสูงสดุ ของผูค้ วบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูล ส่วนบุคคลโดยตรงได้ เจ้าหน้าท่ีคุ้มครองข้อมูลส่วนบุคคลอาจปฏิบัติหน้าที่หรือภารกิจอ่ืนได้ แต่ผู้ควบคุมข้อมูล ส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลต้องรับรองกับสานักงานว่าหน้าที่หรือภารกิจดังกล่าว ต้องไม่ขดั หรือแย้งต่อการปฏบิ ัติหนา้ ทต่ี ามพระราชบัญญัติน้ี หมวด ๔ สานกั งานคณะกรรมการคมุ้ ครองขอ้ มูลสว่ นบุคคล มาตรา ๔๓ ให้มีสานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลมีวตั ถุประสงค์เกี่ยวกบั การคุ้มครองข้อมูลส่วนบุคคล รวมท้ังส่งเสริมและสนับสนุนให้เกิดการพัฒนาด้านการคุ้มครองข้อมูล ส่วนบุคคลของประเทศ สานักงานเป็นหน่วยงานของรัฐมีฐานะเป็นนิติบุคคล และไม่เป็นส่วนราชการตามกฎหมาย ว่าด้วยระเบียบบริหารราชการแผ่นดิน หรือรัฐวิสาหกิจตามกฎหมายว่าด้วยวิธีการงบประมาณหรือ กฎหมายอน่ื กิจการของสานักงานไม่อยู่ภายใต้บังคับแห่งกฎหมายว่าด้วยการคุ้มครองแรงงาน กฎหมาย ว่าด้วยแรงงานสัมพันธ์ กฎหมายว่าด้วยแรงงานรัฐวิสาหกิจสัมพันธ์ กฎหมายว่าด้วยการประกันสังคม และกฎหมายว่าด้วยเงินทดแทน แต่พนักงานและลูกจ้างของสานักงานต้องได้รับประโยชน์ตอบแทน ไม่น้อยกว่าท่ีกาหนดไว้ในกฎหมายว่าด้วยการคุ้มครองแรงงาน กฎหมายว่าด้วยการประกันสังคม และ กฎหมายว่าด้วยเงนิ ทดแทน ใหส้ านกั งานเปน็ หน่วยงานของรฐั ตามกฎหมายว่าดว้ ยความรับผดิ ทางละเมิดของเจ้าหน้าที่ มาตรา ๔๔ นอกจากหน้าที่และอานาจในการดาเนินการให้เป็นไปตามวัตถุประสงค์ ตามมาตรา ๔๓ วรรคหนึง่ ให้สานักงานมหี นา้ ที่ปฏิบัติงานวิชาการและงานธรุ การให้แก่คณะกรรมการ คณะกรรมการกากับสานักงานคณะกรรมการคมุ้ ครองขอ้ มลู ส่วนบุคคล คณะกรรมการผู้เชีย่ วชาญ และ คณะอนุกรรมการ รวมทั้งใหม้ หี น้าท่แี ละอานาจ ดังตอ่ ไปนี้ ส�ำ นักงานพฒั นาธรุ กรรมทางอิเล็กทรอนิกส์ 441
Search
Read the Text Version
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
- 41
- 42
- 43
- 44
- 45
- 46
- 47
- 48
- 49
- 50
- 51
- 52
- 53
- 54
- 55
- 56
- 57
- 58
- 59
- 60
- 61
- 62
- 63
- 64
- 65
- 66
- 67
- 68
- 69
- 70
- 71
- 72
- 73
- 74
- 75
- 76
- 77
- 78
- 79
- 80
- 81
- 82
- 83
- 84
- 85
- 86
- 87
- 88
- 89
- 90
- 91
- 92
- 93
- 94
- 95
- 96
- 97
- 98
- 99
- 100
- 101
- 102
- 103
- 104
- 105
- 106
- 107
- 108
- 109
- 110
- 111
- 112
- 113
- 114
- 115
- 116
- 117
- 118
- 119
- 120
- 121
- 122
- 123
- 124
- 125
- 126
- 127
- 128
- 129
- 130
- 131
- 132
- 133
- 134
- 135
- 136
- 137
- 138
- 139
- 140
- 141
- 142
- 143
- 144
- 145
- 146
- 147
- 148
- 149
- 150
- 151
- 152
- 153
- 154
- 155
- 156
- 157
- 158
- 159
- 160
- 161
- 162
- 163
- 164
- 165
- 166
- 167
- 168
- 169
- 170
- 171
- 172
- 173
- 174
- 175
- 176
- 177
- 178
- 179
- 180
- 181
- 182
- 183
- 184
- 185
- 186
- 187
- 188
- 189
- 190
- 191
- 192
- 193
- 194
- 195
- 196
- 197
- 198
- 199
- 200
- 201
- 202
- 203
- 204
- 205
- 206
- 207
- 208
- 209
- 210
- 211
- 212
- 213
- 214
- 215
- 216
- 217
- 218
- 219
- 220
- 221
- 222
- 223
- 224
- 225
- 226
- 227
- 228
- 229
- 230
- 231
- 232
- 233
- 234
- 235
- 236
- 237
- 238
- 239
- 240
- 241
- 242
- 243
- 244
- 245
- 246
- 247
- 248
- 249
- 250
- 251
- 252
- 253
- 254
- 255
- 256
- 257
- 258
- 259
- 260
- 261
- 262
- 263
- 264
- 265
- 266
- 267
- 268
- 269
- 270
- 271
- 272
- 273
- 274
- 275
- 276
- 277
- 278
- 279
- 280
- 281
- 282
- 283
- 284
- 285
- 286
- 287
- 288
- 289
- 290
- 291
- 292
- 293
- 294
- 295
- 296
- 297
- 298
- 299
- 300
- 301
- 302
- 303
- 304
- 305
- 306
- 307
- 308
- 309
- 310
- 311
- 312
- 313
- 314
- 315
- 316
- 317
- 318
- 319
- 320
- 321
- 322
- 323
- 324
- 325
- 326
- 327
- 328
- 329
- 330
- 331
- 332
- 333
- 334
- 335
- 336
- 337
- 338
- 339
- 340
- 341
- 342
- 343
- 344
- 345
- 346
- 347
- 348
- 349
- 350
- 351
- 352
- 353
- 354
- 355
- 356
- 357
- 358
- 359
- 360
- 361
- 362
- 363
- 364
- 365
- 366
- 367
- 368
- 369
- 370
- 371
- 372
- 373
- 374
- 375
- 376
- 377
- 378
- 379
- 380
- 381
- 382
- 383
- 384
- 385
- 386
- 387
- 388
- 389
- 390
- 391
- 392
- 393
- 394
- 395
- 396
- 397
- 398
- 399
- 400
- 401
- 402
- 403
- 404
- 405
- 406
- 407
- 408
- 409
- 410
- 411
- 412
- 413
- 414
- 415
- 416
- 417
- 418
- 419
- 420
- 421
- 422
- 423
- 424
- 425
- 426
- 427
- 428
- 429
- 430
- 431
- 432
- 433
- 434
- 435
- 436
- 437
- 438
- 439
- 440
- 441
- 442
- 443
- 444
- 445
- 446
- 447
- 448
- 449
- 450
- 451
- 452
- 453
- 454
- 455
- 456
- 457
- 458
- 459
- 460
- 461
- 462
- 463
- 464
- 465
- 466
- 467
- 468
- 469
- 470
- 471
- 472
- 473
- 474
- 1 - 50
- 51 - 100
- 101 - 150
- 151 - 200
- 201 - 250
- 251 - 300
- 301 - 350
- 351 - 400
- 401 - 450
- 451 - 474
Pages:
