พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ลงประกาศในราชกิจจานุเบกษาเมื่อวันที่ 27 พฤษภาคม 2562

บุคคลที่เกี่ยวข้องกับข้อมูลส่วนบุคคลตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ
– เจ้าของข้อมูลส่วนบุคคล (Data Subject) ตามกฎหมายไม่ได้ให้คำนิยามไว้ แต่โดยหลักการทั่วไปแล้วหมายถึงบุคคลที่ข้อมูลนั้นระบุไปถึง
– ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) หมายถึงบุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เช่น หน่วยงานของรัฐ หรือเอกชนโดยทั่วไป ที่เก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลของประชาชนหรือลูกค้าที่มาใช้บริการ
-ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) หมายถึง บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล เช่น บริการ cloud service เป็นต้น

ขอบเขตการบังคับใช้กฎหมาย
– ใช้บังคับกับกรณที่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลอยู่ในประเทศไทย
– ใช้บังคับกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลอยู่นอกประเทศไทย หากมีกิจกรรมดังนี้
1. เสนอขายสินค้าหรือบริการให้เจ้าของข้อมูลส่วนบุคคลที่อยู่ในประเทศไทย
2. เฝ้าติดตามเจ้าของข้อมูลส่วนบุคคลที่เกิดขึ้นในประเทศไทย

ข้อยกเว้นการบังคับใช้พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ไม่ใช่บังคับกับกรณี ดังต่อไปนี้
1. การเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อประโยชน์ส่วนตนหรือเพื่อกิจกรรมในครอบครัว
2. การดำเนินการของหน่วยงานของรัฐที่มีหน้าที่ในการรักษาความมั่นคงของรัฐ
3. การใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่ทำการเก็บรวบรวมไว้เฉพาะเพื่อกิจการสื่อมวลชน งานศิลปกรรม หรืองานวรรณกรรม
4. การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามหน้าที่และอำนาจของสภาผู้แทนราษฎรวุฒิสภา รัฐสภา หรือคณะกรรมาธิการ
5. การพิจารณาพิพากษาคดีของศาลและการดำเนินงานของเจ้าหน้าที่ในกระบวนการพิจารณาคดี
6. การดำเนินการกับข้อมูลของบริษัทข้อมูลเครดิตและสมาชิกตามกฎหมายว่าด้วยการประกอบธุรกิจข้อมูลเครดิต

หลักการการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลจะต้องมีการดำเนินการดังนี้
• เจ้าของข้อมูลส่วนบุคคลต้องให้ความยินยอม
• ต้องแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
• Consent ต้องแยกออกจากส่วนอื่นชัดเจน
• มีแบบหรือข้อความที่อ่านแล้วเข้าใจได้โดยง่ายและต้องไม่เป็นการหลอกลวง
• เจ้าของข้อมูลส่วนบุคคลจะถอนความยินยอมเมื่อใดก็ได้

สิทธิของเจ้าของข้อมูลส่วนบุคคล
1. สิทธิได้รับแจ้งรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคล (Right to be informed)
2. สิทธิขอเข้าถึงข้อมูลส่วนบุคคล (Right of access)
3. สิทธิขอให้โอนข้อมูลส่วนบุคคล (Right to data portability)
4. สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Right to object)
5. สิทธิขอให้ลบหรือทำลาย หรือท าให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ (Right to erasure/right to be forgotten)
6. สิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคล (Right to restrict processing)
7. สิทธิขอให้แก้ไขข้อมูลส่วนบุคคล (Right to rectification)
8. สิทธิในการร้องเรียนกรณีที่ผู้ควบคุมหรือผู้ประมวลผลไม่ปฏิบัติตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล

หน้าที่ผู้ควบคุมข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคล และหน้าที่เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
หน้าที่ควบคุมข้อมูลส่วนบุคคล (Data Controller)
• จัดให้มีมาตราการรักษาความมั่นคงปลอดภัย
• มีระบบตรวจสอบการลบ/ทำลายข้อมูล เมื่อพ้นกำหนดระยะเวลาเก็บรักษา
• แจ้งเหตุละเมิดแก่สำนักงานภายใน 72 ช.ม.
• ป้องกันการใช้หรือเปิดเผยข้อมูลโดยมิชอบ
• บันทึกรายการเมื่อมีการเก็บรวบรวม การใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
• แต่งตั้งตัวแทนในราชอาณาจักร (กรณีอยู่ที่ต่างประเทศ)
หน้าที่ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)
• ดำเนินการตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคล
• จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม รวมทั้งแจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคล
• จัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคล
หน้าที่เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer)
• ให้คำแนะนำแก่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล
• ตรวจสอบการดำเนินงานของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูล
• ประสานงานและให้ความร่วมมือกับสำนักงานในกรณีที่มีปัญหาเกี่ยวกับการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคล
• รักษาความลับของข้อมูลที่รู้หรือได้มาจากการปฏิบัติหน้าที่

ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล ต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ในกรณีดังนี้

1. ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเป็นหน่วยงานของรัฐ

2. มีการเก็บรวบรวม ใช้ หรือเปิดเผย จำเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่ำเสมอโดยเหตุที่มีข้อมูลส่วนบุคคลเป็นจำนวนมาก

3. กิจกรรมหลักเป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ซึ่งข้อมูลละเอียดอ่อน (Sensitive personal data)
หมายเหตุ: ในกิจการเครือธุรกิจเดียวกันผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลอาจจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลร่วมกันได้

ความรับผิดและบทลงโทษ
ความรับผิดทางแพ่ง
ผู้กระทำละเมิดข้อมูลส่วนบุคคลต้องชดใช้ค่าสินไหมทดแทนให้กับเจ้าของข้อมูลส่วนบุคคล ไม่ว่าการดำเนินการนั้นจะเกิดจากการกระทำโดยจงใจหรือประมาทเลินเล่อหรือไม่ก็ตาม ศาลมีอำนาจสั่งให้ชดใช้ค่าสินไหมทดแทนเพิ่มเติมได้สองเท่าของค่าสินไหมทดแทนที่แท้จริง

โทษอาญา
– กำหนดบทลงโทษทางอาญาไว้สำหรับความผิดร้ายแรง เช่น การใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่มีความละเอียดอ่อนโดยมิชอบ ล่วงรู้ข้อมูลส่วนบุคคลของผู้อื่นแล้วนำไปเปิดเผยแก่ผู้อื่นโดยมิชอบระวางโทษสูงสุดจำคุกไม่เกิน 1 ปีหรือปรับไม่เกิน 1,000,000 บาทหรือทั้งจำทั้งปรับ
– ในกรณีที่ผู้กระทำความผิดเป็นนิติบุคคล กรรมการหรือผู้จัดการ หรือบุคคลใดซึ่งรับผิดชอบในการดำเนินงานของนิติบุคคลนั้นอาจต้องร่วมรับผิดในความผิดอาญาที่เกิดขึ้น

โทษทางปกครอง
กำหนดโทษปรับทางปกครองสำหรับการกระทำความผิดที่เป็นการฝ่าฝืนหรือไม่ปฏิบัติตามที่กฎหมายกำหนด เช่น ไม่แจ้งวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลให้เจ้าของข้อมูลส่วนบุคคลทราบ ขอความยินยอมโดยหลอกลวงเจ้าของข้อมูลส่วนบุคคล ไม่แต่งตั้ง DPO เป็นต้น โทษปรับทางปกครองสูงสุด 5,000,000 บาท