세계법령정보센터

พระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ พระราชบัญญัตินี้มีบทบัญญัติบางประการเกี่ยวกับการจำกัดสิทธิและเสรีภาพของบุคคล ซึ่งมาตรา ๒๖ ประกอบกับมาตรา ๓๒ มาตรา ๓๓ และมาตรา ๓๗ ของรัฐธรรมนูญแห่งราชอาณาจักรไทย บัญญัติให้กระทำได้โดยอาศัยอำนาจตามบทบัญญัติแห่งกฎหมาย เหตุผลและความจำเป็นในการจำกัดสิทธิและเสรีภาพของบุคคลตามพระราชบัญญัตินี้ เพื่อให้การคุ้มครองข้อมูลส่วนบุคคลมีประสิทธิภาพเหมาะสมกับมาตรการที่จำเป็นและสอดคล้องกับมาตรฐานสากลในการคุ้มครองข้อมูลส่วนบุคคล ซึ่งการตราพระราชบัญญัตินี้สอดคล้องกับเงื่อนไขที่บัญญัติไว้ในมาตรา ๒๖ ของรัฐธรรมนูญแห่งราชอาณาจักรไทยแล้ว จึงทรงพระกรุณาโปรดเกล้า ให้ตราพระราชบัญญัตินี้โดยคำแนะนำและยินยอมของสภานิติบัญญัติแห่งชาติที่ทำหน้าที่รัฐสภา ดังต่อไปนี้

สำนักงานคณะกรรมการกฤษฎีกา พระบาทสมเด็จพระปรเมนทรรามาธิบดีศรีสินทรมหาวชิราลงกรณ พระวชิรเกล้าเจ้าอยู่หัว เป็นปีที่ ๔ ในรัชกาลปัจจุบัน พระบาทสมเด็จพระปรเมนทรรามาธิบดีศรีสินทรมหาวชิราลงกรณ พระวชิรเกล้าเจ้าอยู่หัว มีพระบรมราชโองการโปรดเกล้า ให้ประกาศว่า

ให้ไว้ ณ วันที่ ๒๗ พฤษภาคม พ.ศ. ๒๕๖๒

โดยที่เป็นการสมควรมีกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล

มาตรา ๑ พระราชบัญญัตินี้เรียกว่า “พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒”

มาตรา ๒ พระราชบัญญัตินี้ให้ใช้บังคับตั้งแต่วันถัดจากวันประกาศในราชกิจจานุเบกษาเป็นต้นไป เว้นแต่บทบัญญัติมาตรา ๔ หมวด ๒ หมวด ๓ หมวด ๖ หมวด ๗ หมวด ๘ และมาตรา ๙๕ และมาตรา ๙๖ ให้ใช้บังคับเมื่อพ้นกำหนดหนึ่งปีนับแต่วันประกาศในราชกิจจานุเบกษาเป็นต้นไป

มาตรา ๓ ในกรณีที่มีบทบัญญัติแห่งกฎหมายอื่นกำหนดเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลในลักษณะใด กฎหมายใด หรือบทบัญญัติใดใช้บังคับเฉพาะแล้ว ให้บังคับตามบทบัญญัติแห่งกฎหมายนั้นด้วย ทั้งนี้ แต่*

* ราชกิจจานุเบกษา เล่ม ๑๓๖ ตอนที่ ๖๙ ก หน้า ๑๓/ วันที่ ๒๗ พฤษภาคม ๒๕๖๒ (a) บทบัญญัติเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล และบทบัญญัติเกี่ยวกับสิทธิของเจ้าของข้อมูลส่วนบุคคล รวมทั้งบทกำหนดโทษที่เกี่ยวข้อง ให้บังคับตามพระราชบัญญัตินี้เป็นการเพิ่มเติม ไม่ว่าจะมีบทบัญญัติแห่งกฎหมายอื่นที่บัญญัติไว้เป็นการอื่นหรือไม่มีการบัญญัติไว้ก็ตาม (b) บทบัญญัติเกี่ยวกับการร้องเรียน บทบัญญัติที่ให้อำนาจแก่คณะกรรมการผู้เชี่ยวชาญอุทธรณ์คำสั่งหรือผู้ควบคุมข้อมูลส่วนบุคคล และบทบัญญัติที่เกี่ยวกับอำนาจหน้าที่ของคณะกรรมการผู้เชี่ยวชาญตามพระราชบัญญัตินี้ ให้บังคับใช้แก่การดำเนินการตามพระราชบัญญัตินี้ในกรณีดังต่อไปนี้ (1) ในกรณีที่กฎหมายกำหนดว่าอำนาจหน้าที่ของคณะกรรมการผู้เชี่ยวชาญหรือผู้ควบคุมข้อมูลส่วนบุคคลให้เป็นไปตามพระราชบัญญัตินี้ (2) ในกรณีที่กฎหมายกำหนดว่าอำนาจหน้าที่ของคณะกรรมการผู้เชี่ยวชาญหรือผู้ควบคุมข้อมูลส่วนบุคคลให้เป็นไปตามพระราชบัญญัตินี้

มาตรา 4 พระราชบัญญัตินี้ไม่ใช้บังคับแก่

(a) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบุคคลที่ทำการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อประโยชน์ส่วนตนหรือกิจการในครอบครัวของบุคคลนั้นเท่านั้น (b) การดำเนินการของหน่วยงานของรัฐที่มีหน้าที่ในการรักษาความมั่นคงของรัฐ ซึ่งรวมถึงความมั่นคงทางการเงินของรัฐ หรือการรักษาความปลอดภัยของประเทศ หรือการรักษาความปลอดภัยของประชาชน หรือการรักษาความปลอดภัยของระบบคอมพิวเตอร์ตามที่หน่วยงานของรัฐดังกล่าวกำหนด (1) บุคคลหรือนิติบุคคลซึ่งใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่ทำการเก็บรวบรวมไว้เฉพาะเพื่อกิจการสื่อมวลชน งานศิลปกรรม หรือการรวบรวมอื่นไปตามจริยธรรมแห่งการประกอบวิชาชีพหรือเป็นประโยชน์สาธารณะเท่านั้น (2) สภาผู้แทนราษฎร วุฒิสภา และรัฐสภา รวมถึงคณะกรรมาธิการที่แต่งตั้งโดยสภาดังกล่าว ซึ่งเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในการพิจารณาตามหน้าที่และอำนาจของสภาผู้แทนราษฎร วุฒิสภา รัฐสภา หรือคณะกรรมาธิการ แล้วแต่กรณี (3) การพิจารณาคดี การบังคับคดี และการการดำเนินการอื่นตามกระบวนการยุติธรรมทางอาญา (b) การดำเนินการของหน่วยงานของรัฐที่มีหน้าที่ในการรักษาความมั่นคงของรัฐ ซึ่งรวมถึงความมั่นคงทางการเงินของรัฐ หรือการรักษาความปลอดภัยของประเทศ หรือการรักษาความปลอดภัยของประชาชน หรือการรักษาความปลอดภัยของระบบคอมพิวเตอร์ตามที่หน่วยงานของรัฐดังกล่าวกำหนด (4) การดำเนินการของหน่วยงานของรัฐที่มีหน้าที่ในการรักษาความมั่นคงของรัฐ ซึ่งรวมถึงความมั่นคงทางการเงินของรัฐ หรือการรักษาความปลอดภัยของประเทศ หรือการรักษาความปลอดภัยของประชาชน หรือการรักษาความปลอดภัยของระบบคอมพิวเตอร์ตามที่หน่วยงานของรัฐดังกล่าวกำหนด

มาตรา 5 พระราชบัญญัตินี้ให้ใช้บังคับแก่การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยผู้ควบคุมข้อมูลส่วนบุคคลซึ่งอยู่ในราชอาณาจักรหรือผู้ควบคุมข้อมูลส่วนบุคคลซึ่งอยู่นอกราชอาณาจักร ไม่ว่าการเก็บรวบรวม ใช้ หรือเปิดเผยนั้น ได้กระทำในหรือนอกราชอาณาจักรก็ตาม

ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลซึ่งอยู่นอกราชอาณาจักรมีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลซึ่งอยู่ในราชอาณาจักร พระราชบัญญัตินี้ให้ใช้บังคับแก่การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลดังกล่าวของผู้ควบคุมข้อมูลส่วนบุคคลซึ่งอยู่นอกราชอาณาจักรด้วย โดยมีเงื่อนไขดังต่อไปนี้

(ก)

การเสนอสินค้า หรือบริการของผู้ควบคุมข้อมูลส่วนบุคคลดังกล่าวต่อเจ้าของข้อมูลส่วนบุคคลซึ่งอยู่ในราชอาณาจักร ไม่ว่าจะมีการชำระเงินของเจ้าของข้อมูลส่วนบุคคลหรือไม่ก็ตาม

(ข)

การเฝ้าติดตามพฤติกรรมของเจ้าของข้อมูลส่วนบุคคลที่เกิดขึ้นในราชอาณาจักร

มาตรา 6 ในพระราชบัญญัตินี้

“ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ “ผู้ควบคุมข้อมูลส่วนบุคคล” หมายความว่า บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล “ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายความว่า บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล โดยมิใช่ผู้ควบคุมข้อมูลส่วนบุคคล “เจ้าของข้อมูลส่วนบุคคล” หมายความว่า บุคคลซึ่งข้อมูลส่วนบุคคลนั้นระบุถึง “พนักงานเจ้าหน้าที่” หมายความว่า ผู้ซึ่งรัฐมนตรีแต่งตั้งให้ปฏิบัติการตามพระราชบัญญัตินี้ “สำนักงาน” หมายความว่า สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล “เลขาธิการ” หมายความว่า เลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล “รัฐมนตรี” หมายความว่า รัฐมนตรีผู้รักษาการตามพระราชบัญญัตินี้

มาตรา 7 ให้รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมรักษาการตามพระราชบัญญัตินี้ และให้มีอำนาจแต่งตั้งพนักงานเจ้าหน้าที่ เพื่อปฏิบัติการตามพระราชบัญญัตินี้

หมวด 2 คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

มาตรา 8 ให้มีคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ประกอบด้วย

(ก)

ประธานกรรมการ ซึ่งทรงแต่งตั้งจากผู้มีความรู้ ความเชี่ยวชาญ และประสบการณ์เป็นที่ประจักษ์ในเรื่องเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ด้านกฎหมาย ด้านการบริหารจัดการข้อมูลส่วนบุคคล ด้านเทคโนโลยีสารสนเทศและการสื่อสาร หรือด้านอื่นใด ทั้งนี้ เพื่อให้เกิดความสมดุลระหว่างการคุ้มครองข้อมูลส่วนบุคคลและการใช้ประโยชน์จากข้อมูลส่วนบุคคล (b) ปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เป็นรองประธานกรรมการ

(ค)

กรรมการโดยตำแหน่ง จำนวนหกคน ได้แก่ ปลัดสำนักนายกรัฐมนตรี เลขาธิการคณะกรรมการกฤษฎีกา เลขาธิการคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์และกิจการโทรคมนาคมแห่งชาติ อธิบดีกรมประชาสัมพันธ์ อธิบดีกรมคุ้มครองสิทธิและเสรีภาพ และอัยการสูงสุด

(ง)

กรรมการผู้ทรงคุณวุฒิ จำนวนเก้าคน ซึ่งมีรายนามและแต่งตั้งจากผู้มีความรู้ ความเชี่ยวชาญ และประสบการณ์ในด้านต่าง ๆ ได้แก่ ด้านกฎหมาย ด้านการคุ้มครองข้อมูลส่วนบุคคล ด้านเทคโนโลยีสารสนเทศและการสื่อสาร ด้านสังคมศาสตร์ ด้านการแพทย์ ด้านการเงินหรือการบัญชี ทั้งนี้ ต้องคำนึงถึงผลประโยชน์ของการคุ้มครองข้อมูลส่วนบุคคล ให้เอาคำการเสนอรายชื่อของหน่วยงานของรัฐและเอกชน และให้เลขาธิการแต่งตั้งพนักงานของสำนักงานเป็นผู้ช่วยเลขานุการได้ไม่เกินสองคน หลักเกณฑ์และวิธีการสรรหาบุคคลเพื่อแต่งตั้งเป็นประธานกรรมการและกรรมการผู้ทรงคุณวุฒิ รวมทั้งการสรรหารองประธานกรรมการและกรรมการผู้ทรงคุณวุฒิ เพื่อดำรงตำแหน่งแทนผู้ที่พ้นจากตำแหน่งก่อนวารมาครบสี่ปี ออกโดยเป็นไปตามที่คณะรัฐมนตรีประกาศกำหนด ทั้งนี้ ต้องดำเนินการตามหลักเกณฑ์และวิธีการในการสรรหา

มาตรา ๘ ให้มีคณะกรรมการสรรหาคณะหนึ่งจำนวนเก้าคนทำหน้าที่คัดเลือกบุคคลที่สมควรได้รับการแต่งตั้งเป็นประธานกรรมการตามมาตรา ๗ (๑) หรือกรรมการผู้ทรงคุณวุฒิตามมาตรา ๗ (๔) ประกอบด้วย

(๑)

บุคคลผู้ดำรงตำแหน่งประธานกรรมการ

(๒)

บุคคลผู้ดำรงตำแหน่งประธานกรรมการสิทธิมนุษยชนแห่งชาติ

(๓)

บุคคลผู้ดำรงตำแหน่งประธานกรรมการกิจการกระจายเสียง กิจการโทรทัศน์และกิจการโทรคมนาคมแห่งชาติ

(๔)

บุคคลซึ่งคณะกรรมการสิทธิมนุษยชนแห่งชาติแต่งตั้งจำนวนสองคน ในกรณีที่ผู้มีตำแหน่งตาม (๒) (๓) หรือ (๔) ไม่สามารถแต่งตั้งกรรมการสรรหาในส่วนของตนได้ภายในสิ้นรอบหกสิบวันนับแต่วันที่ว่างจากตำแหน่ง ให้สำนักงานเสนอชื่อให้นายกรัฐมนตรีพิจารณาแต่งตั้งบุคคลที่เหมาะสมเป็นกรรมการสรรหาแทนตำแหน่งดังกล่าว ให้คณะกรรมการสรรหามีอำนาจจัดการกรรมการสรรหาคณะหนึ่งเป็นประธานกรรมการสรรหา และเลือกกรรมการสรรหาคณะหนึ่งเป็นเลขานุการคณะกรรมการสรรหา และให้สำนักงานปฏิบัติหน้าที่เป็นฝ่ายธุรการของกรรมการสรรหา ในกรณีที่ตำแหน่งกรรมการสรรหาว่างลง ให้ดำเนินการเพื่อให้มีกรรมการสรรหาแทนในตำแหน่งนั้นโดยเร็ว ในกรณีที่ยังไม่ได้กรรมการสรรหาใหม่ ให้คณะกรรมการสรรหาหรือคณะกรรมการสรรหาที่เหลืออยู่ปฏิบัติหน้าที่ต่อไปได้ หรือกรรมการผู้ทรงคุณวุฒิตามมาตรา ๗ (๔)

มาตรา ๙ ในการสรรหาประธานกรรมการตามมาตรา ๗ (๑) หรือกรรมการผู้ทรงคุณวุฒิตามมาตรา ๗ (๔) ให้คณะกรรมการสรรหาหรือเลือกบุคคลผู้มีคุณสมบัติตามมาตรา ๑๐ หรือมาตรา ๑๑ แล้วแต่กรณี รวมทั้งมีลักษณะต้องห้ามตามมาตรา ๑๒ และมาตรา ๑๓ แล้วแต่กรณี และเสนอรายชื่อบุคคลดังกล่าวให้คณะรัฐมนตรีพิจารณาแต่งตั้งเป็นประธานกรรมการตามมาตรา ๗ (๑) หรือกรรมการผู้ทรงคุณวุฒิตามมาตรา ๗ (๔) ต่อไปโดยเร็ว

เมื่อได้คัดเลือกบุคคลเป็นประธานกรรมการตามมาตรา ๘ (๔) หรือกรรมการ ผู้ทรงคุณวุฒิตามมาตรา ๘ (๕) ครบจำนวนแล้ว ให้คณะกรรมการสรรหาแจ้งรายชื่อประธานกรรมการ ตามมาตรา ๘ (๔) หรือกรรมการผู้ทรงคุณวุฒิตามมาตรา ๘ (๕) พร้อมทั้งความสมบูรณ์ และการไม่มีลักษณะต้องห้าม รวมทั้งความยินยอมของบุคคลดังกล่าวต่อรัฐมนตรีเพื่อแต่งตั้งเป็น ประธานกรรมการตามมาตรา ๘ (๔) หรือกรรมการผู้ทรงคุณวุฒิตามมาตรา ๘ (๕) ให้ครบจำนวนตามที่กำหนดไว้ในมาตรา ๘ (๔) และมาตรา ๘ (๕) หรือกรรมการ ผู้ทรงคุณวุฒิตามมาตรา ๘ (๕) ที่ได้รับแต่งตั้งจากคณะรัฐมนตรีในกรณีจำเป็นตามกฎหมาย

มาตรา ๑๐ ประธานกรรมการและกรรมการผู้ทรงคุณวุฒิต้องมีคุณสมบัติและไม่มี ลักษณะต้องห้าม ดังต่อไปนี้

(ก)

มีสัญชาติไทย

(ข)

ไม่เป็นบุคคลล้มละลายหรือเคยเป็นบุคคลล้มละลายทุจริต

(ค)

ไม่เป็นคนไร้ความสามารถหรือคนเสมือนไร้ความสามารถ

(ง)

ไม่เคยต้องคำพิพากษาอันถึงที่สุดให้จำคุกไม่ว่าจะเป็นโทษจำคุกจริงหรือไม่ เว้นแต่เป็นโทษสำหรับความผิดที่ได้กระทำโดยประมาทหรือความผิดลหุโทษ

(จ)

ไม่เคยถูกไล่ออก ปลดออก หรือให้ออกจากราชการ หน่วยงานของรัฐ หรือ รัฐวิสาหกิจ หรือจากหน่วยงานเอกชนฐานกระทำผิดวินัยหรือทุจริตต่อหน้าที่

(ฉ)

ไม่เคยถูกถอดถอนจากตำแหน่งทางการเมือง

(ช)

ไม่เป็นหรือเคยเป็นกรรมการ สมาชิก สมาคม หรือมูลนิธิที่มีวัตถุประสงค์เพื่อ กิจกรรมทางการเมือง หรือเป็นหรือเคยเป็นกรรมการบริหารพรรคการเมือง หรือเจ้าหน้าที่ของพรรคการเมือง หรือเจ้าหน้าที่ของพรรคการเมือง

มาตรา ๑๑ ประธานกรรมการและกรรมการผู้ทรงคุณวุฒิมีวาระการดำรงตำแหน่ง คราวละสี่ปี

เมื่อครบกำหนดตามวาระในวรรคหนึ่ง หากยังมิได้มีการแต่งตั้งประธานกรรมการ หรือกรรมการผู้ทรงคุณวุฒิคนใหม่ ให้ประธานกรรมการหรือกรรมการผู้ทรงคุณวุฒิซึ่งพ้นจากตำแหน่ง ตามวาระแล้วอยู่ในตำแหน่งเพื่อทำหน้าที่ต่อไปจนกว่าจะมีการแต่งตั้งประธานกรรมการหรือกรรมการ ผู้ทรงคุณวุฒิซึ่งได้รับแต่งตั้งใหม่เข้ารับหน้าที่ ประธานกรรมการและกรรมการผู้ทรงคุณวุฒิซึ่งพ้นจากตำแหน่งตามวาระอาจได้รับ แต่งตั้งอีกได้ แต่ต้องไม่เกินสองวาระติดต่อกัน

มาตรา ๑๒ นอกจากการพ้นจากตำแหน่งตามวาระตามมาตรา ๑๑ ประธานกรรมการ และกรรมการผู้ทรงคุณวุฒิพ้นจากตำแหน่งเมื่อ

(ก)

ตาย

(ข)

ลาออก

(ค)

คณะรัฐมนตรีให้ออก เพราะขาดคุณสมบัติหรือมีลักษณะต้องห้าม หรือหย่อนความสามารถ

(ง)

ขาดคุณสมบัติหรือมีลักษณะต้องห้ามตามมาตรา ๑๐ ในกรณีที่ประธานกรรมการหรือกรรมการผู้ทรงคุณวุฒิพ้นจากตำแหน่งก่อนวาระ ให้ผู้ได้รับแต่งตั้งแทนดำรงตำแหน่งต่อจากตำแหน่งเดิมให้เท่ากับกำหนดที่เหลืออยู่ของประธานกรรมการ หรือกรรมการผู้ทรงคุณวุฒิซึ่งพ้นจากตำแหน่ง เว้นแต่กรณีตำแหน่งดังกล่าวว่างลงในระยะเวลาไม่ถึงหนึ่งร้อยแปดสิบวันก่อนครบกำหนดวาระหรือกรรมการผู้ทรงคุณวุฒิคนเดิม ในกรณีที่ประธานกรรมการหรือกรรมการผู้ทรงคุณวุฒิพ้นจากตำแหน่งก่อนวาระ ให้ประธานกรรมการหรือกรรมการผู้ทรงคุณวุฒิคนเดิมปฏิบัติหน้าที่ในตำแหน่งเดิมต่อไปจนกว่าจะมีการแต่งตั้งประธานกรรมการ หรือกรรมการผู้ทรงคุณวุฒิคนใหม่ เว้นแต่ในกรณีที่ประธานกรรมการหรือกรรมการผู้ทรงคุณวุฒิคนเดิมไม่สามารถปฏิบัติหน้าที่ได้ ให้รองประธานกรรมการทำหน้าที่ประธานกรรมการเป็นการชั่วคราว

มาตรา 14 การประชุมคณะกรรมการ ต้องมีกรรมการมาประชุมไม่น้อยกว่ากึ่งหนึ่งของจำนวนกรรมการที่มีอยู่ จึงจะเป็นองค์ประชุม ให้ประธานกรรมการเป็นประธานในที่ประชุม ในกรณีที่ประธานกรรมการไม่มาประชุม หรือไม่อาจปฏิบัติหน้าที่ได้ ให้รองประธานกรรมการทำหน้าที่เป็นประธานในที่ประชุม ในกรณีที่ประธานกรรมการและรองประธานกรรมการไม่มาประชุมหรือไม่อาจปฏิบัติหน้าที่ได้ ให้กรรมการที่มาประชุมเลือกกรรมการคนหนึ่งเป็นประธานในที่ประชุม

การวินิจฉัยชี้ขาดของที่ประชุมให้ถือเสียงข้างมาก กรรมการคนหนึ่งมีเสียงหนึ่งในการลงคะแนน ถ้าคะแนนเสียงเท่ากันให้ประธานในที่ประชุมออกเสียงเพิ่มขึ้นอีกหนึ่งเสียงซึ่งเป็นเสียงชี้ขาด การประชุมของคณะกรรมการอาจกระทำได้โดยวิธีการทางอิเล็กทรอนิกส์หรือวิธีการอื่นใดที่คณะกรรมการกำหนด

มาตรา 15 กรรมการผู้ใดมีส่วนได้เสียไม่ว่าโดยตรงหรือโดยอ้อมในเรื่องที่ที่ประชุมพิจารณา ให้แจ้งการมีส่วนได้เสียของตนให้คณะกรรมการทราบก่อนหน้าที่จะมีการประชุม และห้ามมิให้ผู้นั้นเข้าร่วมประชุมพิจารณาในเรื่องดังกล่าว

มาตรา 16 คณะกรรมการมีหน้าที่และอำนาจ ดังต่อไปนี้

(1) จัดทำแผนแม่บทการดำเนินงานด้านการคุ้มครองข้อมูลส่วนบุคคลที่สอดคล้องกับนโยบาย ยุทธศาสตร์ชาติ และแผนระดับชาติที่เกี่ยวข้อง เพื่อเสนอคณะกรรมการดิจิทัลเพื่อเศรษฐกิจและสังคมแห่งชาติ ตามกฎหมายว่าด้วยการพัฒนาดิจิทัลเพื่อเศรษฐกิจและสังคม (2) ส่งเสริมและสนับสนุนให้หน่วยงานของรัฐและเอกชนจัดทำแผนการดำเนินงานตามแผนแม่บทดังกล่าว (3) ร่วมพิจารณาให้ความเห็นในการดำเนินงานตามแผนแม่บทดังกล่าว (4) กำกับดูแลการดำเนินงานของสำนักงานให้เป็นไปตามแผนแม่บทดังกล่าว (5) ออกระเบียบหรือประกาศเกี่ยวกับการให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือโอนไปยังต่างประเทศ (6) ออกข้อกำหนดเกี่ยวกับวิธีปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลในแนวทางให้คุ้มครองข้อมูลส่วนบุคคลที่ประชาชนคาดหวังตามหลักความเป็นธรรม ```

(ข)

เสนอแนะต่อคณะรัฐมนตรีให้มีการตราหรือปรับปรุงกฎหมายหรือกฎที่เกี่ยวข้องกับ อยู่ในส่วนที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล

(ค)

เสนอแนะต่อคณะรัฐมนตรีในการตราพระราชกฤษฎีกาหรือทบทวนความ เหมาะสมของพระราชบัญญัตินี้อย่างน้อยทุกห้าปี

(ง)

ให้คำแนะนำและคำปรึกษาเกี่ยวกับการดำเนินการใด ๆ เพื่อให้ความคุ้มครอง ข้อมูลส่วนบุคคลของหน่วยงานของรัฐและเอกชนเป็นไปตามพระราชบัญญัตินี้

(จ)

ติดตามและวินิจฉัยข้อขัดแย้งที่เกิดจากการดำเนินการตามพระราชบัญญัตินี้

(ฉ)

ส่งเสริมและสนับสนุนให้เกิดทักษะและความรู้ในเรื่องเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลให้แก่ประชาชน

(ช)

ส่งเสริมและสนับสนุนงานวิจัย เพื่อพัฒนาเทคโนโลยีที่เกี่ยวข้องกับการ คุ้มครองข้อมูลส่วนบุคคล

(ซ)

ปฏิบัติการอื่นใดตามที่พระราชบัญญัติหรือกฎหมายอื่นกำหนดให้เป็นหน้าที่ และอำนาจของคณะกรรมการ

มาตรา 14 ให้ประธานกรรมการ รองประธานกรรมการ และกรรมการได้รับเบี้ย ประชุมและประโยชน์ตอบแทนอื่นตามหลักเกณฑ์ที่คณะรัฐมนตรีกำหนด

ประธานกรรมการ อนุกรรมการ อนุกรรมการผู้ทรงคุณวุฒิ และกรรมการ ผู้เชี่ยวชาญที่คณะกรรมการแต่งตั้ง ให้ได้รับเบี้ยประชุมและประโยชน์ตอบแทนอื่นตามหลักเกณฑ์ ที่คณะกรรมการกำหนดโดยความเห็นชอบของกระทรวงการคลัง

มาตรา 15 ให้คณะกรรมการแต่งตั้งอนุกรรมการหรือคณะอนุกรรมการเพื่อพิจารณาหรือ ปฏิบัติการอย่างใดอย่างหนึ่งตามที่คณะกรรมการมอบหมายได้

การประชุมคณะอนุกรรมการ ให้บังคับตามมาตรา 14 และมาตรา 15 มาใช้บังคับ โดยอนุโลม

หมวด 2

การคุ้มครองข้อมูลส่วนบุคคล

ส่วนที่ 1

บททั่วไป

มาตรา 17 ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคลโดยได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อน เว้นแต่ บทบัญญัติแห่งพระราชบัญญัตินี้หรือกฎหมายอื่นบัญญัติให้กระทำได้

การขอความยินยอมต้องทำโดยชัดแจ้งเป็นหนังสือหรือทำโดยระบบอิเล็กทรอนิกส์ เว้นแต่โดยสภาพไม่อาจขอความยินยอมได้ ในการขอความยินยอม ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้ง วัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลให้ชัดเจน และกระทำตามวัตถุประสงค์นั้น ``` ต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน มีแบบหรือข้อความที่เข้าใจได้ง่ายและเข้าใจได้ รวมทั้งให้การยินยอมทำง่าย และไม่เป็นการหลอกลวงหรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์ดังกล่าว ทั้งนี้ คณะกรรมการจะให้ความเห็นชอบรูปแบบของการขอความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามแบบและข้อความที่คณะกรรมการประกาศกำหนดก็ได้ ในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลให้เจ้าของข้อมูลส่วนบุคคลทราบก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคลนั้น และวัตถุประสงค์ดังกล่าวต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลต้องเป็นไปตามวัตถุประสงค์ที่ได้แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบและได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อนหรือในขณะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้ เจ้าของข้อมูลส่วนบุคคลอาจถอนความยินยอมเมื่อใดก็ได้โดยจะต้องถอนความยินยอมได้ง่ายเช่นเดียวกับการให้ความยินยอม เว้นแต่มีข้อจำกัดสิทธิในการถอนความยินยอมโดยกฎหมายหรือสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคล ทั้งนี้ การถอนความยินยอมไม่ส่งผลกระทบต่อการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมไปแล้วโดยชอบตามกฎหมายก่อนหน้านั้น ในการที่การถอนความยินยอมส่งผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลในเรื่องใด ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงผลกระทบจากการถอนความยินยอมดังกล่าว การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลที่ได้เป็นไปตามหลักเกณฑ์ที่กำหนดนี้ให้ถือว่าเป็นการขอความยินยอมที่ชอบด้วยกฎหมาย และการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้

มาตรา ๒๐ ในกรณีที่เจ้าของข้อมูลส่วนบุคคลเป็นผู้เยาว์ซึ่งยังไม่บรรลุนิติภาวะโดยการสมรส หรือไม่มีบิดาหรือมารดาซึ่งบรรลุนิติภาวะแล้วตามมาตรา ๒๗ แห่งประมวลกฎหมายแพ่งและพาณิชย์ การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลดังกล่าว ให้ดำเนินการดังต่อไปนี้

(๑)

ในกรณีที่การให้ความยินยอมของผู้เยาว์ไม่ได้กระทบใด ๆ ซึ่งผู้เยาว์อาจให้ความยินยอมโดยลำพังได้ตามที่บัญญัติไว้ในมาตรา ๒๐ หรือมาตรา ๒๔ แห่งประมวลกฎหมายแพ่งและพาณิชย์ ต่อเมื่อการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้นเป็นไปเพื่อประโยชน์สูงสุดของผู้เยาว์ที่มิอาจจัดการเองได้

(๒)

ในกรณีที่การให้ความยินยอมของผู้เยาว์ไม่เป็นไปเพื่อประโยชน์สูงสุดของผู้เยาว์ที่มิอาจจัดการเองได้ ให้ขอความยินยอมจากผู้ปกครองของผู้เยาว์ก่อนการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้น การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลที่เป็นผู้เยาว์ตามวรรคหนึ่งต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน และต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลหรือผู้ปกครองของผู้เยาว์ทราบถึงวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้น ให้เจ้าของข้อมูลส่วนบุคคล หรือผู้ปกครองของผู้เยาว์สามารถเพิกถอนความยินยอมได้โดยง่ายตามที่บัญญัติไว้ในมาตรา ๒๐ หรือมาตรา ๒๔ แห่งประมวลกฎหมายแพ่งและพาณิชย์

ส่วนบุคคล การร้องเรียนของเจ้าของข้อมูลส่วนบุคคล และการอื่นใดตามพระราชบัญญัตินี้ในกรณีที่ เจ้าของข้อมูลส่วนบุคคลเป็นผู้เยาว์ คนไร้ความสามารถ หรือคนเสมือนไร้ความสามารถ โดยอนุโลม

มาตรา ๒๐ ผู้ควบคุมข้อมูลส่วนบุคคลต้องดําเนินการเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ได้แจ้งเจ้าของข้อมูลส่วนบุคคลไว้ก่อนหรือในขณะเก็บรวบรวมข้อมูล ส่วนบุคคลเว้นแต่การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้นเป็นไปตามข้อยกเว้น ที่ได้แจ้งไว้ตามพระราชบัญญัตินี้หรือระเบียบได้ ดังนี้

(๑)

ได้แจ้งวัตถุประสงค์ใหม่แก่เจ้าของข้อมูลส่วนบุคคลและได้รับความยินยอม ก่อนเก็บรวบรวม ใช้ หรือเปิดเผยแล้ว

(๒)

บางบัญญัติแห่งพระราชบัญญัตินี้หรือกฎหมายอื่นบัญญัติให้กระทําได้

ส่วนที่ ๒

การเก็บรวบรวมข้อมูลส่วนบุคคล

มาตรา ๒๑ การเก็บรวบรวมข้อมูลส่วนบุคคล ให้เก็บรวบรวมได้เท่าที่จําเป็นภายใต้ วัตถุประสงค์อันชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล

มาตรา ๒๒ ในการเก็บรวบรวมข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้ง ให้เจ้าของข้อมูลส่วนบุคคลทราบก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคลถึงรายละเอียด ตามที่กําหนดไว้ เว้นแต่เป็นกรณีที่ไม่จําเป็นต้องแจ้งให้ทราบตามมาตรา ๒๔ หรือกรณีที่กฎหมาย กําหนดไว้ ดังต่อไปนี้

(ก)

ข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลได้เปิดเผยต่อสาธารณะโดยชัดแจ้ง ซึ่งรวมถึงวัตถุประสงค์ตามที่มาตรา ๒๔ ให้อำนาจในการเก็บรวบรวมได้โดยไม่ต้องได้รับความยินยอมจาก เจ้าของข้อมูลส่วนบุคคล

(ข)

แจ้งให้ทราบสิทธิที่เจ้าของข้อมูลส่วนบุคคลต้องให้ข้อมูลส่วนบุคคลเพื่อปฏิบัติ ตามกฎหมายหรือสัญญาหรือความจําเป็นต้องให้ข้อมูลส่วนบุคคลเพื่อทําสัญญา รวมทั้งแจ้งถึง ผลกระทบที่เป็นไปได้จากการไม่ให้ข้อมูลส่วนบุคคล

(ค)

ข้อมูลส่วนบุคคลที่เกี่ยวกับการเก็บรวบรวมและระยะเวลาในการเก็บรวบรวมได้ ทั้งนี้ ในกรณีที่ไม่สามารถแจ้งรายละเอียดได้โดยตรง ให้ทําเอกสารแสดงเหตุผลตามมาตรฐานของการเก็บรวบรวม

(ง)

ประเภทของบุคคลหรือหน่วยงานที่ข้อมูลส่วนบุคคลที่เก็บรวบรวมอาจจะถูก เปิดเผย

มาตรา ๒๓

ในกรณีที่เจ้าของข้อมูลส่วนบุคคลเป็นผู้เยาว์ คนไร้ความสามารถ หรือคนเสมือนไร้ความสามารถ ให้ดําเนินการเก็บรวบรวมข้อมูลส่วนบุคคลได้โดยได้รับความยินยอมจากผู้แทนโดยชอบธรรม ของเจ้าของข้อมูลส่วนบุคคล

มาตรา ๒๔ วรรคหนึ่ง และ วรรคสอง มาตรา ๓๓ วรรคหนึ่ง วรรคสอง วรรคสาม และ วรรคสี่ มาตรา ๓๔ วรรคหนึ่ง วรรคสอง วรรคสาม วรรคสี่ มาตรา ๓๕ วรรคหนึ่ง วรรคสอง วรรคสาม

มาตรา ๒๔ ห้ามมิให้ผู้ควบคุมข้อมูลส่วนบุคคลทำการเก็บรวบรวมข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่

(๑)

เพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ หรือที่เกี่ยวกับการศึกษาวิจัยหรือสถิติซึ่งได้จัดให้มีมาตรการปกป้องที่เหมาะสมเพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ทั้งนี้ ตามที่คณะกรรมการประกาศกำหนด

(๒)

เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล

(๓)

เป็นการดำเนินการที่เกี่ยวกับการปฏิบัติหน้าที่ในการจัดทำเอกสารที่เป็นประโยชน์สาธารณะ หรือเพื่อใช้ในการดำเนินการตามกฎหมายของเจ้าของข้อมูลส่วนบุคคลอันพึงทำสัญญานั้น หรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้น

(๔)

เป็นการดำเนินการที่เกี่ยวกับการปฏิบัติหน้าที่ในการใช้หรือปฏิบัติหน้าที่ในราชการที่ได้รับมอบให้แก่ผู้ควบคุมข้อมูลส่วนบุคคล

(๕)

เป็นการดำเนินการที่เป็นประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลหรือของบุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล เว้นแต่ประโยชน์ดังกล่าวมีความสำคัญน้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล

(๖)

เป็นการปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล

มาตรา ๒๕ ห้ามมิให้ผู้ควบคุมข้อมูลส่วนบุคคลทำการเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ได้ให้ไว้โดยตรงกับผู้ควบคุมข้อมูลส่วนบุคคล เว้นแต่

(๑)

เป็นการเก็บรวบรวมข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลได้เปิดเผยต่อสาธารณะโดยชัดแจ้ง

(๒)

เป็นการเก็บรวบรวมข้อมูลส่วนบุคคลที่ได้รับยกเว้นไม่ต้องขอความยินยอมตามมาตรา ๒๔ หรือมาตรา ๒๖

มาตรา ๒๖ ให้เจ้าของบัญชีดูแลเกี่ยวกับการแจ้งวัตถุประสงค์ใหม่ตามมาตรา ๒๓ และการแจ้งรายละเอียดตามมาตรา ๒๓ มาใช้บังคับกับการเก็บรวบรวมข้อมูลส่วนบุคคลที่ต้องได้รับความยินยอมตามวรรคหนึ่งโดยอนุโลม วันหนึ่งวันต่อไปนี้

(๑)

เจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมสำหรับการแจ้งวัตถุประสงค์ใหม่หรือรายละเอียดดังกล่าวแล้ว

(๒)

ผู้ควบคุมข้อมูลส่วนบุคคลพิสูจน์ได้ว่าการแจ้งวัตถุประสงค์ใหม่หรือรายละเอียดดังกล่าวไม่สามารถทำได้หรือมีความยุ่งยากเกินสมควรที่จะได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล โดยเฉพาะอย่างยิ่งในกรณีที่การแจ้งวัตถุประสงค์ใหม่หรือรายละเอียดดังกล่าวอาจส่งผลกระทบต่อการปฏิบัติหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล หรืออาจทำให้เกิดความเสียหายต่อการดำเนินการของผู้ควบคุมข้อมูลส่วนบุคคล หรืออาจทำให้เกิดความเสียหายต่อการดำเนินการของผู้ควบคุมข้อมูลส่วนบุคคล หรืออาจทำให้เกิดความเสียหายต่อการดำเนินการของผู้ควบคุมข้อมูลส่วนบุคคล หรืออาจทำให้เกิดความเสียหายต่อการดำเนินการของผู้ควบคุมข้อมูลส่วนบุคคล หรืออาจทำให้เกิดความเสียหายต่อการดำเนินการของผู้ควบคุมข้อมูลส่วนบุคคล หรืออาจทำให้เกิดความเสียหายต่อการดำเนินการของผู้ควบคุมข้อมูลส่วนบุคคล หรืออาจทำให้เกิดความเสียหายต่อการดำเนินการของผู้ควบคุมข้อมูลส่วนบุคคล หรืออาจทำให้เกิดความเสียหายต่อการดำเนินการของผู้ควบคุมข้อมูลส่วนบุคคล หรืออาจทำให้เกิดความเสียหายต่อการดำเนินการของผู้ควบคุมข้อมูลส่วนบุคคล หรืออาจทำให้เกิดความเสียหายต่อการดำเนินการของผู้ควบคุมข้อมูลส่วนบุคคล หรืออาจทำให้เกิดความเสียหายต่อการดำเนินการของผู้ควบคุมข้อมูลส่วนบุคคล หรืออาจทำให้เกิดความเสียหายต่อการดำเนินการของผู้ควบคุมข้อมูลส่วนบุคคล หรืออาจทำให้เกิดความเสียหายต่อการดำเนินการของผู้ควบคุมข้อมูลส่วนบุคคล หรืออาจทำให้เกิดความเสียหายต่อการดำเนินการของผู้ควบคุมข้อมูลส่วนบุคคล หรืออาจทำให้เกิดความเสียหายต่อการดำเนินการของผู้ควบคุมข้อมูลส่วนบุคคล การแจ้งรายละเอียดตามวรรคสอง ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบภายในสามสิบวันนับแต่วันที่เก็บรวบรวมข้อมูลตามที่แจ้งให้เจ้าของข้อมูลส่วนบุคคลไปใช้เพื่อการติดต่อกับเจ้าของข้อมูลส่วนบุคคลดังแจ้งในการติดต่อครั้งแรก และกรณีที่เจ้าของข้อมูลส่วนบุคคลไม่ยินยอม ต้องแจ้งเหตุที่เจ้าของข้อมูลส่วนบุคคลไม่ยินยอมไปโดยเร็วที่สุด

มาตรา 26 ห้ามมิให้เก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในศาสนา หรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งอาจกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกัน เว้นแต่ความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่

(1) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคลซึ่งเจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมได้ ไม่ว่าด้วยเหตุใดก็ตาม (2) เป็นการดำเนินการตามกฎหมายโดยองค์กรหรือตัวบุคคลที่มีการชอบด้วยกฎหมายสมาคม มูลนิธิ หรือองค์กรที่ไม่แสวงหากำไรซึ่งวัตถุประสงค์เกี่ยวกับการเมือง ศาสนา ปรัชญา หรือสภาพแรงงานให้เฉพาะสมาชิก ผู้ซึ่งเคยเป็นสมาชิก หรือผู้ซึ่งมีการติดต่ออย่างใกล้ชิดอยู่เสมอกับองค์กรนั้น สมาคม มูลนิธิ หรือองค์กรที่ไม่แสวงหากำไรดังกล่าวต้องมีการจัดให้มีการคุ้มครองข้อมูลส่วนบุคคลอย่างเหมาะสม และไม่เปิดเผยข้อมูลส่วนบุคคลนั้นออกไปภายนอกองค์กรดังกล่าวโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล (3) เป็นข้อมูลที่เปิดเผยต่อสาธารณะด้วยความยินยอมโดยชัดแจ้งของเจ้าของข้อมูลส่วนบุคคล (4) เป็นการจำเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับสิทธิรับรองหรือการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล (5) เวชศาสตร์ป้องกันหรืออาชีวศาสตร์ การประเมินความสามารถในการทำงานของลูกจ้าง การวินิจฉัยโรคทางการแพทย์ การให้บริการด้านสุขภาพหรือด้านสังคม การรักษาทางการแพทย์ การจัดการด้านสุขภาพ หรือระบบและการให้บริการด้านสังคมสงเคราะห์ ทั้งนี้ ในกรณีที่ไม่ขัดหรือปฏิบัติขัดต่อกฎหมายและข้อมูลส่วนบุคคลนั้นอยู่ในความรับผิดชอบของผู้ประกอบวิชาชีพหรือเจ้าหน้าที่ซึ่งมีหน้าที่รักษาข้อมูลส่วนบุคคลนั้นไว้เป็นความลับตามกฎหมาย ต้องได้รับการปฏิบัติตามสัญญาระหว่างเจ้าของข้อมูลส่วนบุคคลกับผู้ประกอบวิชาชีพหรือเจ้าหน้าที่ดังกล่าว (6) ประโยชน์สาธารณะด้านการสาธารณสุข เช่น การป้องกันการแพร่ระบาดจากโรคติดต่อตามระหว่างโรคจากเขตหรือพื้นที่ระบาดไปยังพื้นที่อื่น หรือการควบคุมโรคติดต่อที่อาจเป็นอันตรายต่อประชาชน หรือการคุ้มครองความปลอดภัยของประชาชนในกรณีที่มีการแพร่ระบาดของโรคติดต่อหรือโรคระบาดในพื้นที่ใดพื้นที่หนึ่ง หรือการคุ้มครองความปลอดภัยของประชาชนในกรณีที่มีการแพร่ระบาดของโรคติดต่อหรือโรคระบาดในพื้นที่ใดพื้นที่หนึ่ง หรือการคุ้มครองความปลอดภัยของประชาชนในกรณีที่มีการแพร่ระบาดของโรคติดต่อหรือโรคระบาดในพื้นที่ใดพื้นที่หนึ่ง หรือการคุ้มครองความปลอดภัยของประชาชนในกรณีที่มีการแพร่ระบาดของโรคติดต่อหรือโรคระบาดในพื้นที่ใดพื้นที่หนึ่ง หรือการคุ้มครองความปลอดภัยของประชาชนในกรณีที่มีการแพร่ระบาดของโรคติดต่อหรือโรคระบาดในพื้นที่ใดพื้นที่หนึ่ง หรือการคุ้มครองความปลอดภัยของประชาชนในกรณีที่มีการแพร่ระบาดของโรคติดต่อหรือโรคระบาดในพื้นที่ใดพื้นที่หนึ่ง หรือการคุ้มครองความปลอดภัยของประชาชนในกรณีที่มีการแพร่ระบาดของโรคติดต่อหรือโรคระบาดในพื้นที่ใดพื้นที่หนึ่ง หรือการคุ้มครองความปลอดภัยของประชาชนในกรณีที่มีการแพร่ระบาดของโรคติดต่อหรือโรคระบาดในพื้นที่ใดพื้นที่หนึ่ง หรือการคุ้มครองความปลอดภัยของประชาชนในกรณีที่มีการแพร่ระบาดของโรคติดต่อหรือโรคระบาดในพื้นที่ใดพื้นที่หนึ่ง หรือการคุ้มครองความปลอดภัยของประชาชนในกรณีที่มีการแพร่ระบาดของโรคติดต่อหรือโรคระบาดในพื้นที่ใดพื้นที่หนึ่ง หรือการคุ้มครองความปลอดภัยของประชาชนในกรณีที่มีการแพร่ระบาดของโรคติดต่อหรือโรคระบาดในพื้นที่ใดพื้นที่หนึ่ง หรือการคุ้มครองความปลอดภัยของประชาชนในกรณีที่มีการแพร่ระบาดของโรคติดต่อหรือโรคระบาดในพื้นที่ใดพื้นที่หนึ่ง หรือการคุ้มครองความปลอดภัยของประชาชนในกรณีที่มีการแพร่ระบาดของโรคติดต่อหรือโรคระบาดในพื้นที่ใดพื้นที่หนึ่ง หรือการคุ้มครองความปลอดภัยของประชาชนในกรณีที่มีการแพร่ระบาดของโรคติดต่อหรือโรคระบาดในพื้นที่ใดพื้นที่หนึ่ง หรือการคุ้มครองความปลอดภัยของประชาชนในกรณีที่มีการแพร่ระบาดของโรคติดต่อหรือโรคระบาดในพื้นที่ใดพื้นที่หนึ่ง

(จ)

การศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ หรือประโยชน์สาธารณะอื่น ทั้งนี้ ต้องกระทำเพื่อให้บรรลุวัตถุประสงค์ดังกล่าวที่แจ้งเท่านั้น และได้จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิขั้นพื้นฐานและประโยชน์ของเจ้าของข้อมูลส่วนบุคคล ตามที่คณะกรรมการประกาศกำหนด

(ฉ)

ประโยชน์สาธารณะสำคัญ โดยได้จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิขั้นพื้นฐานและประโยชน์ของเจ้าของข้อมูลส่วนบุคคลตามที่คณะกรรมการประกาศกำหนด ข้อมูลสุขภาพตามมาตรฐานที่ได้พัฒนาขึ้นสูงสุดจากวิทยาศาสตร์หรือเทคโนโลยีเกี่ยวข้องกับการศึกษาและพัฒนาทางเภสัชกรรม หรือการแพทย์ให้สามารถอธิบายตัวตนของบุคคลนั้นได้เหมือนกับบุคคลอื่นได้ เช่น ข้อมูลทางจุลกายวิภาค ข้อมูลจำลองสามมิติ หรือข้อมูลจำลองอวัยวะ ในกรณีเป็นการเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมต้องกระทำภายใต้การควบคุมของหน่วยงานที่มีอำนาจหน้าที่ตามกฎหมาย หรือได้จัดให้มีมาตรการคุ้มครองข้อมูลส่วนบุคคลตามหลักเกณฑ์และวิธีการที่คณะกรรมการประกาศกำหนด

ส่วนที่ 3

การใช้หรือเปิดเผยข้อมูลส่วนบุคคล

มาตรา 27 ห้ามมิให้ผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่เป็นไปตามมาตรา 24 หรือมาตรา 26 หรือมาตรา 27

บุคคลซึ่งควบคุมข้อมูลส่วนบุคคลได้รวบรวมข้อมูลส่วนบุคคลตามวัตถุประสงค์การเก็บรวบรวม จะต้องไม่ใช้หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์อื่นนอกเหนือจากวัตถุประสงค์ที่แจ้งไว้กับเจ้าของข้อมูลส่วนบุคคลในการขอรับข้อมูลส่วนบุคคลนั้น ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่ได้รับยกเว้นไม่ต้องขอความยินยอมตามวรรคหนึ่ง ผู้ควบคุมข้อมูลส่วนบุคคลต้องรับผิดชอบต่อการใช้หรือเปิดเผยนั้นให้เป็นไปตามมาตรา 37

มาตรา 28 ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ ประเทศปลายทางหรือองค์กรระหว่างประเทศที่ได้รับข้อมูลส่วนบุคคลต้องมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ ทั้งนี้ ต้องเป็นไปตามหลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลตามที่คณะกรรมการประกาศกำหนดตามมาตรา 16 (4) เว้นแต่

(1) เป็นการปฏิบัติตามกฎหมาย (2) ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลโดยได้แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่ไม่เพียงพอของประเทศปลายทางหรือองค์กรระหว่างประเทศที่รับข้อมูลส่วนบุคคล (3) เป็นการปฏิบัติตามสัญญาที่เจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาหรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้น

(๖)

เป็นการกระทำตามสัญญาระหว่างผู้ควบคุมข้อมูลส่วนบุคคลกับบุคคลหรือ นิติบุคคลอื่นเพื่อประโยชน์ของเจ้าของข้อมูลส่วนบุคคล

(๗)

เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของเจ้าของข้อมูล

ส่วนบุคคลหรือบุคคลอื่น เมื่อเจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมได้ในขณะนั้น

(๘)

เป็นการจำเป็นในการดำเนินภารกิจเพื่อประโยชน์สาธารณะหรือการปฏิบัติ ตามอำนาจหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล

(๙)

เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล หรือของบุคคลหรือนิติบุคคลอื่นนอกจากกรณีที่ประโยชน์ดังกล่าวมีความสำคัญน้อยกว่าสิทธิ เสรีภาพขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคล

(๑๐)

เป็นการจำเป็นเพื่อการบรรลุวัตถุประสงค์เกี่ยวกับการจัดเก็บ เอกสารจดหมายเหตุ เพื่อประโยชน์สาธารณะ การศึกษาวิจัย หรือสถิติ ซึ่งได้จัดให้มีมาตรการปกป้องที่เหมาะสม เพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคลตามที่กำหนดในกฎหมายนี้

มาตรา ๒๙ ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล

ซึ่งอยู่ในราชอาณาจักรได้กำหนดนโยบายในการคุ้มครองข้อมูลส่วนบุคคลเพื่อการส่งหรือโอนข้อมูล

ส่วนบุคคลไปยังผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งอยู่ต่างประเทศ

และอยู่ในกิจการหรือกิจกรรมเดียวกันกับที่เกี่ยวข้องกับการประกอบกิจการหรือธุรกิจนั้น หากในประเทศ หรือองค์กรระหว่างประเทศที่รับข้อมูลส่วนบุคคลดังกล่าวไม่มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคล ที่เพียงพอ ให้ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลดังกล่าวดำเนินการ การตรวจสอบและรับรองนโยบาย ให้สำนักงานตรวจสอบและรับรองตามหลักเกณฑ์ วิธีการ และเงื่อนไข ที่คณะกรรมการประกาศกำหนด ในกรณีที่ยังไม่มีคณะกรรมการตามมาตรา ๒๔ หรือยังไม่มีนโยบาย ในการคุ้มครองข้อมูลส่วนบุคคลตามวรรคหนึ่ง ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูล

ส่วนบุคคลควรหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศได้โดยได้รับการยกเว้นไม่ต้องปฏิบัติตาม

มาตรา ๒๘ เมื่อผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลได้จัดให้มีมาตรการ

คุ้มครองที่เหมาะสมสามารถรับประกันสิทธิของเจ้าของข้อมูลส่วนบุคคลได้ รวมทั้งมีการเยียวยา ทางกฎหมายที่มีประสิทธิภาพตามหลักเกณฑ์และวิธีการที่คณะกรรมการประกาศกำหนด

หมวด ๓

สิทธิของเจ้าของข้อมูลส่วนบุคคล

มาตรา ๓๐ เจ้าของข้อมูลส่วนบุคคลมีสิทธิดังต่อไปนี้

(๑)

ขอถอนความยินยอมเมื่อใดก็ได้ เว้นแต่มีข้อจำกัดสิทธินั้นโดยกฎหมายหรือสัญญา ที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคล

(๒)

ขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตนซึ่งอยู่ในความรับผิดชอบ ของผู้ควบคุมข้อมูลส่วนบุคคล หรือขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลที่ตนไม่ได้ให้ความยินยอม

(๓)

ขอรับข้อมูลส่วนบุคคลที่เกี่ยวกับตนจากผู้ควบคุมข้อมูลส่วนบุคคลในรูปแบบที่ ผู้ควบคุมข้อมูลส่วนบุคคลใช้กันโดยทั่วไปและสามารถอ่านหรือใช้งานได้ด้วยเครื่องมือหรืออุปกรณ์ โดยอัตโนมัติ และขอให้ผู้ควบคุมข้อมูลส่วนบุคคลส่งหรือโอนข้อมูลส่วนบุคคลในรูปแบบดังกล่าวไปยัง ผู้ควบคุมข้อมูลส่วนบุคคลอื่นได้โดยตรง เว้นแต่ไม่สามารถดำเนินการได้เพราะเหตุทางเทคนิค หรือขอรับ ข้อมูลส่วนบุคคลที่ผู้ควบคุมข้อมูลส่วนบุคคลส่งหรือโอนในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคล อื่นโดยตรง เว้นแต่ไม่สามารถดำเนินการได้เพราะเหตุทางเทคนิค ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลปฏิเสธคำขอของตามวรรคหนึ่ง ให้ผู้ควบคุมข้อมูลส่วนบุคคลบันทึกการปฏิเสธคำขอพร้อมด้วยเหตุผลไว้ในรายการตามมาตรา 39 เมื่อเจ้าของข้อมูลส่วนบุคคลได้ยื่นคำขอของตามวรรคหนึ่งและเป็นกรณีที่ไม่อาจปฏิเสธคำขอได้ตามวรรคสอง ให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการตามคำขอนั้นโดยไม่ชักช้า แต่ต้องไม่เกินสามสิบวันนับแต่วันที่ได้รับคำขอ การใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลตามวรรคหนึ่ง ให้เป็นไปตามหลักเกณฑ์และวิธีการที่คณะกรรมการประกาศกำหนด

มาตรา 30 เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องขอให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการตาม (1) หรือ (2) ดังต่อไปนี้

(1) ขอให้ผู้ควบคุมข้อมูลส่วนบุคคลส่งหรือโอนข้อมูลส่วนบุคคลไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่นตามที่เจ้าของข้อมูลส่วนบุคคลสามารถดำเนินการได้โดยวิธีการอัตโนมัติ (2) ขอรับข้อมูลส่วนบุคคลที่ผู้ควบคุมข้อมูลส่วนบุคคลส่งหรือโอนข้อมูลส่วนบุคคลในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่นโดยตรง เว้นแต่การดำเนินการดังกล่าวไม่สามารถทำได้เพราะเหตุผลทางเทคนิค หรือในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลปฏิเสธคำขอของตามวรรคหนึ่ง ให้ผู้ควบคุมข้อมูลส่วนบุคคลบันทึกการปฏิเสธคำขอพร้อมด้วยเหตุผลไว้ในรายการตามมาตรา 39 การใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลตามวรรคหนึ่ง ให้เป็นไปตามหลักเกณฑ์และวิธีการที่คณะกรรมการประกาศกำหนด

มาตรา 31 เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลลบ หรือทำลายข้อมูลส่วนบุคคลที่เกี่ยวกับตนเองได้โดยให้ดำเนินการดังต่อไปนี้

(ก)

กรณีที่เห็นว่าข้อมูลส่วนบุคคลที่เกี่ยวกับตนเองถูกรวบรวม ใช้ หรือเปิดเผยโดยไม่ชอบด้วยกฎหมายตามมาตรา 24 (4) หรือ (5) ให้แจ้งผู้ควบคุมข้อมูลส่วนบุคคลเพื่อดำเนินการลบ หรือทำลายข้อมูลส่วนบุคคลนั้น

(ข)

กรณีที่เห็นว่าข้อมูลส่วนบุคคลที่เกี่ยวกับตนเองถูกรวบรวม ใช้ หรือเปิดเผยโดยไม่เป็นไปตามวัตถุประสงค์ที่ได้แจ้งไว้ตามมาตรา 23 หรือไม่เป็นไปตามความยินยอมที่ได้ให้ไว้

(๓)

กรณีเป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์เกี่ยวกับการศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ รวมแต่เป็นการจำเป็นเพื่อการดำเนินการภายในขอบวัตถุประสงค์ของผู้ควบคุมข้อมูลส่วนบุคคล ในกรณีเช่นว่านี้ข้อมูลส่วนบุคคลให้สิทธิ์ดังกล่าวตามมาตรการที่ผู้ควบคุมข้อมูลส่วนบุคคลไม่สามารถเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลต่อไปได้ ทั้งนี้ ผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดให้มีมาตรการป้องกันที่เหมาะสมเพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคลให้เป็นไปตามที่คณะกรรมการกำหนด ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลปฏิเสธการดำเนินการดังกล่าวตาม (๓) หรือ (๔) ให้ผู้ควบคุมข้อมูลส่วนบุคคลบันทึกการปฏิเสธการคัดค้านพร้อมด้วยเหตุผลไว้ในรายการตามมาตรา ๓๙

มาตรา ๓๗ เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุถึงตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ ในกรณีดังต่อไปนี้

(๑)

เมื่อข้อมูลส่วนบุคคลหมดความจำเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

(๒)

เมื่อเจ้าของข้อมูลส่วนบุคคลถอนความยินยอมที่เคยให้ไว้ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลและผู้ควบคุมข้อมูลส่วนบุคคลไม่มีฐานทางกฎหมายในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลดังกล่าวได้อีกต่อไป

(๓)

เมื่อเจ้าของข้อมูลส่วนบุคคลคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามมาตรา ๓๒ (๒) หรือ (๓) ได้ หรือเป็นการคัดค้านตามมาตรา ๓๒ (๖)

(๔)

เมื่อข้อมูลส่วนบุคคลได้ถูกเก็บรวบรวม ใช้ หรือเปิดเผยโดยไม่ชอบด้วยกฎหมายตามที่กำหนดไว้ในพระราชบัญญัติ ความในวรรคหนึ่งมิให้บังคับกับการเก็บรักษาไว้เพื่อวัตถุประสงค์ในการใช้เสรีภาพในการแสดงความเห็น การเก็บรักษาไว้เพื่อวัตถุประสงค์ตามมาตรา ๒๔ (๔) หรือ (๕) หรือมาตรา ๒๖ (๒) หรือ (๓) การใช้เพื่อการดำเนินสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการดำเนินการของผู้มีสิทธิเรียกร้องตามกฎหมาย หรือการดำเนินการของผู้มีสิทธิเรียกร้องตามกฎหมาย หรือการดำเนินการของผู้มีสิทธิเรียกร้องตามกฎหมาย หรือการดำเนินการของผู้มีสิทธิเรียกร้องตามกฎหมาย หรือการดำเนินการของผู้มีสิทธิเรียกร้องตามกฎหมาย หรือการดำเนินการของผู้มีสิทธิเรียกร้องตามกฎหมาย หรือการดำเนินการของผู้มีสิทธิเรียกร้องตามกฎหมาย หรือการดำเนินการของผู้มีสิทธิเรียกร้องตามกฎหมาย หรือการดำเนินการของผู้มีสิทธิเรียกร้องตามกฎหมาย สำนักงานคณะกรรมการกฤษฎีกา - ๑๒ - คณะกรรมการอาจประกาศกำหนดหลักเกณฑ์ในการสอบหรือกำหนด หรือกำหนดให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุถึงบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลตามที่เห็นสมควรได้

มาตรา ๓๕ เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลระงับการใช้ข้อมูลส่วนบุคคลได้ ในกรณีดังต่อไปนี้

(๑)

เมื่อผู้ควบคุมข้อมูลส่วนบุคคลอยู่ในระหว่างการตรวจสอบตามคำขอของเจ้าของข้อมูลส่วนบุคคลร้องขอตามมาตรา ๓๖

(๒)

เมื่อเป็นข้อมูลส่วนบุคคลที่ต้องลบหรือทำลายตามมาตรา ๓๓ (๔) และ (๕) ของข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลนั้น

(๓)

เมื่อข้อมูลส่วนบุคคลหมดความจำเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคล แต่เจ้าของข้อมูลส่วนบุคคลมีความประสงค์ให้เก็บรักษาไว้เพื่อใช้ในการยกหรือใช้สิทธิเรียกร้องทางกฎหมาย การปฏิบัติหน้าที่หรือการใช้สิทธิเรียกร้องทางกฎหมาย หรือการกระทำอื่นซึ่งอยู่ในสิทธิเรียกร้องทางกฎหมาย

(๔)

เมื่อผู้ควบคุมข้อมูลส่วนบุคคลอยู่ในระหว่างการพิจารณาตามมาตรา ๓๖ (๑) หรือตรวจสอบตามมาตรา ๓๖ (๒) เพื่อปฏิบัติการคัดค้านของเจ้าของข้อมูลส่วนบุคคลตามมาตรา ๓๗ วรรคสาม การลบข้อมูลส่วนบุคคลหรือการทำลายข้อมูลส่วนบุคคลในกรณีดังกล่าว เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องเรียนต่อคณะกรรมการการคุ้มครองข้อมูลส่วนบุคคลเพื่อให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการได้ คณะกรรมการอาจประกาศกำหนดหลักเกณฑ์ในการลบหรือทำลายข้อมูลส่วนบุคคลที่เห็นสมควรได้

มาตรา ๓๖ ผู้ควบคุมข้อมูลส่วนบุคคลต้องทำให้ข้อมูลส่วนบุคคลที่ถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด

มาตรา ๓๗ ในกรณีที่เจ้าของข้อมูลส่วนบุคคลร้องขอให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการตามมาตรา ๓๕ หากผู้ควบคุมข้อมูลส่วนบุคคลไม่ดำเนินการตามคำร้องขอ ผู้ควบคุมข้อมูลส่วนบุคคลต้องบันทึกคำร้องของเจ้าของข้อมูลส่วนบุคคลพร้อมด้วยเหตุผลไว้ประกอบการตามมาตรา ๓๕ ให้ความตามในมาตรา ๓๕ วรรคสอง อย่างชัดเจนในบันทึกข้อมูล

มาตรา ๓๘ ผู้ควบคุมข้อมูลส่วนบุคคลที่ทำ ดังต่อไปนี้

(๑)

จัดให้มีมาตรการรักษาความปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ และต้องทบทวนมาตรการดังกล่าวเมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มีประสิทธิภาพในการรักษาความปลอดภัยของข้อมูลส่วนบุคคลนั้น ให้เป็นไปตามมาตรฐานขั้นต่ำที่คณะกรรมการประกาศกำหนด

(๒)

ในกรณีที่มีการเปิดเผยข้อมูลส่วนบุคคลในลักษณะที่อาจทำให้เจ้าของข้อมูลส่วนบุคคลได้รับความเสียหาย ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงการเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ

(๓)

จัดให้มีระบบการตรวจสอบเพื่อดำเนินการกรณีร้องขอหรือคัดค้านข้อมูลส่วนบุคคล เมื่อเจ้าของข้อมูลส่วนบุคคลมีคำร้องขอหรือคัดค้านตามมาตรา ๓๕ หรือ ๓๗ เพื่อให้เป็นไปตามวัตถุประสงค์และมาตรฐานที่กำหนด ในกรณีรวบรวมข้อมูลส่วนบุคคลนั้น หรือความเกี่ยวข้องของข้อมูลส่วนบุคคลร้องขอ หรือที่เจ้าของข้อมูลส่วนบุคคลได้ตอบตกลงยินยอม เว้นแต่เก็บรักษาไว้เพื่อจุดประสงค์ในการใช้สิทธิตามในการแสดงความคิดเห็น การเก็บรักษาไว้เพื่อวัตถุประสงค์ตามมาตรา ๒๔ (๑) หรือ (๒) หรือมาตรา ๒๖ (ก) หรือ (ข) การใช้เพื่อการอ้างสิทธิเรียกร้องทางกฎหมาย การปฏิบัติหน้าที่หรือการใช้สิทธิร้องตามกฎหมายเพื่อรักษาผลประโยชน์อันชอบด้วยกฎหมาย หรือเพื่อการปฏิบัติตามกฎหมาย ทั้งนี้ ให้เจ้าของข้อมูลส่วนบุคคลสามารถเพิกถอนความยินยอมได้โดยง่าย

(๔)

เมื่อเหตุการณ์การเก็บรวบรวมข้อมูลส่วนบุคคลเกิดขึ้นภายในเวลาที่ไม่เกินสองชั่วโมงนับแต่เหตุการณ์ที่อาจสามารถกระทำได้ ให้แสดงการลงมือยินยอมเพื่อแสดงผลกระทบต่อสิทธิและเสรีภาพของบุคคล ในกรณีที่การลงมือยินยอมได้ให้ของข้อมูลส่วนบุคคลครบถ้วนแบบการยินยอมโดยไม่จำกัดข้อจำกัด ทั้งนี้ การแจ้งคำสั่งและข้อยกเว้นไม่ให้ไปในไปตามหลักเกณฑ์และวิธีการที่คณะกรรมการประกาศกำหนด

(๕)

ในกรณีที่เป็นข้อมูลส่วนบุคคลตามมาตรา ๕ วรรคสอง ต้องแจ้งตั้งแต่ต้นของข้อมูลส่วนบุคคลที่เก็บรวบรวมและกำหนดหนึ่งของผู้ควบคุมข้อมูลส่วนบุคคลหรือมอบอำนาจให้กระทำการแทนผู้ควบคุมข้อมูลส่วนบุคคลโดยไม่มีข้อกำหนดจำกัดใด ๆ ที่เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ของผู้ควบคุมข้อมูลส่วนบุคคล

มาตรา ๓๗ บทบัญญัติที่เกี่ยวกับการแต่งตั้งคณะทำงานตามมาตรา ๔๕ (๔) นี้ให้ดำเนินการดังนี้

(ก)

ผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดให้มีการตรวจสอบข้อมูลส่วนบุคคลที่เก็บรวบรวมตามกฎหมาย กำหนด

(ข)

ผู้ควบคุมข้อมูลส่วนบุคคลซึ่งประกอบอาชีพหรือธุรกิจในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ไม่ลักษณะตามมาตรา ๒๖ และไม่มีข้อมูลส่วนบุคคลเป็นจำนวนมากตามที่คณะกรรมการประกาศกำหนดตามมาตรา ๔๕ (๒) ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลตามมาตรา ๕ วรรคสอง มีผู้ประมวลผลข้อมูลส่วนบุคคลให้ความในมาตรา ๓๗ (๔) และความในวรรคหนึ่ง มาใช้บังคับกับผู้ประมวลผลข้อมูลส่วนบุคคลนั้นโดยอนุโลม

มาตรา ๓๘ ให้ผู้ควบคุมข้อมูลส่วนบุคคลบันทึกรายการ อย่างน้อยดังต่อไปนี้ เพื่อให้เจ้าของข้อมูลส่วนบุคคลสามารถเข้าตรวจสอบได้ โดยจะบันทึกเป็นหนังสือหรือระบบอิเล็กทรอนิกส์ก็ได้

(ก)

ชื่อหรือชื่อและนามสกุลของผู้ควบคุมข้อมูลส่วนบุคคลแต่ละประเทศ

(ข)

วัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

(ค)

รายละเอียดของข้อมูลส่วนบุคคล

(ง)

สิทธิและวิธีการเข้าถึงข้อมูลส่วนบุคคล รวมทั้งข้อจำกัดเกี่ยวกับสิทธิการเข้าถึงข้อมูลส่วนบุคคลและเงื่อนไขในการเก็บรักษาข้อมูลส่วนบุคคลนั้น

(จ)

การใช้หรือเปิดเผยข้อมูลส่วนบุคคล

(ซ)

การปฏิเสธคำขอหรือการตั้งค่าตามมาตรา ๑๓ วรรคสาม มาตรา ๑๗ วรรคสาม มาตรา ๑๙ วรรคสาม และมาตรา ๒๐ วรรคหนึ่ง

(ฉ)

คำอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัยตามมาตรา ๓๗ (๑) ความในวรรคแรกให้หมายถึงเจ้าของข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคลตามมาตรา ๕ วรรคสอง โดยอนุโลม

มาตรา ๒๙ ข้อมูลใน (๑) (๒) (๓) (๔) (๕) และ (๖) ต้องเป็นข้อมูลในวันที่เริ่มนำไปใช้บังคับตามข้อมูลส่วนบุคคลที่เป็นการรวบรวมได้ตามกฎหมายที่คณะกรรมการประกาศกำหนด หรือเป็นการรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่มีการแสดงสิทธิของเจ้าของข้อมูลส่วนบุคคลต่อผู้ควบคุมข้อมูลส่วนบุคคล หรือเปิดเผยข้อมูลส่วนบุคคลในครั้งแรก หรือมีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามมาตรา ๒๖

มาตรา ๓๐ ผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่ ดังต่อไปนี้

(๑)

ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น เว้นแต่คำสั่งนั้นขัดต่อกฎหมายหรือบทบัญญัติใน การคุ้มครองข้อมูลส่วนบุคคลพระราชบัญญัติ

(๒)

จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต รวมทั้งให้ผู้ประมวลผลข้อมูลส่วนบุคคลรายงานเหตุการณ์การละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้นต่อผู้ควบคุมข้อมูลส่วนบุคคลโดยไม่ชักช้า

(๓)

จัดทำบันทึกการประมวลผลข้อมูลส่วนบุคคลตามมาตรา ๓๙ สำหรับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล การดำเนินงานตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลตามที่ได้รับมอบหมายจากผู้ควบคุมข้อมูลส่วนบุคคลนั้น ผู้ควบคุมข้อมูลส่วนบุคคลต้องดำเนินการกระทำการเพื่อควบคุมการดำเนินงานตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลให้เป็นไปตามพระราชบัญญัตินี้ ความใน (๓) อนุญาตให้ไม่ต้องนำไปใช้กับผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งเป็นองค์กรหรือหน่วยงานที่มีหน้าที่ในการจัดทำบันทึกการประมวลผลข้อมูลส่วนบุคคลตามที่คณะกรรมการประกาศกำหนด

มาตรา ๓๑ ผู้ควบคุมข้อมูลส่วนบุคคลต้องประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ได้แจ้งไว้แก่เจ้าของข้อมูลส่วนบุคคลก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคล

(ก)

ดำเนินการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้นในขอบเขตของวัตถุประสงค์ตามที่คณะกรรมการประกาศกำหนด

(ข)

ดำเนินการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้นเพื่อประสงค์ตามที่ได้แจ้งไว้ โดยให้ผู้ควบคุมข้อมูลส่วนบุคคลแจ้งต่อคณะกรรมการว่าการเก็บรวบรวมข้อมูลส่วนบุคคลนั้นเป็นไปตามวัตถุประสงค์ที่คณะกรรมการกำหนด สำนักงานคณะกรรมการกฤษฎีกา

(๔)

กิจกรรมหลักของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามมาตรา ๒๖ ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลมิได้กระทำหรือมีธุรกิจในอีกฝ่ายแต่มีการประกอบกิจการหรือร่วมกันดำเนินกิจกรรมตามกระบวนการประกาศเท่านั้น ตามมาตรา ๒๖ วรรคสอง ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลซึ่งเป็นการกระทำที่เกี่ยวข้องกับการเสนอสินค้า หรือบริการแก่เจ้าของข้อมูลส่วนบุคคลซึ่งอยู่ในราชอาณาจักร หรือกิจการติดตามพฤติกรรมดังกล่าวต้องสามารถติดต่อกับเจ้าของข้อมูลส่วนบุคคลได้อย่างน้อยในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลตามวรรคหนึ่งต้องแต่งตั้งตัวแทนตามมาตรา ๓๗ (๕) ให้กำหนดในกรรรมนั้นว่าให้บันทึกตัวแทนโดยถาวร ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลต้องแจ้งข้อมูลเกี่ยวกับหน้าที่และที่อยู่ของผู้ควบคุมข้อมูลส่วนบุคคล สถานที่ติดต่อ และวิธีการติดต่อให้เจ้าของข้อมูลส่วนบุคคลและสำนักงานทราบ ทั้งนี้ เจ้าของข้อมูลส่วนบุคคลสามารถติดต่อเจ้าหน้าที่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล หรือเป็นเจ้าหน้าที่ผู้ควบคุมข้อมูลส่วนบุคคลตามพระราชบัญญัตินี้ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลอาจกำหนดหลักเกณฑ์ได้ โดยให้คำนึงถึงลักษณะกิจกรรมของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลที่เกี่ยวข้องกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลซึ่งเป็นการกระทำที่เกี่ยวข้องกับการเสนอสินค้า หรือบริการแก่เจ้าของข้อมูลส่วนบุคคลซึ่งอยู่ในราชอาณาจักร หรือกิจการติดตามพฤติกรรมดังกล่าว

มาตรา ๒๗ เจ้าหน้าที่ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ ดังต่อไปนี้ (๑) ให้คำแนะนำแก่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งเจ้าหน้าที่หรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเกี่ยวกับการปฏิบัติตามพระราชบัญญัตินี้ (๒) ตรวจสอบการดำเนินงานของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งเจ้าหน้าที่หรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเกี่ยวกับการปฏิบัติตามพระราชบัญญัตินี้ หรือเป็นไปตามคำสั่งของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (๓) ประสานงานและให้ความร่วมมือกับสำนักงานและคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล รวมรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามที่จำเป็นหรือได้รับมอบหมายเพื่อการปฏิบัติตามพระราชบัญญัตินี้ (๔) รักษาความลับของข้อมูลส่วนบุคคลที่ตนล่วงรู้หรือได้มาเนื่องจากการปฏิบัติหน้าที่ตามพระราชบัญญัตินี้

ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลต้องสนับสนุนการปฏิบัติหน้าที่ของเจ้าหน้าที่ผู้ควบคุมข้อมูลส่วนบุคคลโดยจัดหาเครื่องมือหรืออุปกรณ์อย่างเพียงพอ รวมทั้งอำนวยความสะดวกในการเข้าถึงข้อมูลส่วนบุคคลที่เกี่ยวข้องกับการปฏิบัติหน้าที่ ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดให้เจ้าหน้าที่ผู้ควบคุมข้อมูลส่วนบุคคลออกบัตรแสดงถึงลักษณะการปฏิบัติหน้าที่ที่เจ้าหน้าที่ผู้ควบคุมข้อมูลส่วนบุคคลพึงกระทำตามพระราชบัญญัตินี้ และต้องจัดให้เจ้าหน้าที่ผู้ควบคุมข้อมูลส่วนบุคคลต้องสามารถรายงานไปยังผู้บริหารสูงสุดของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลโดยตรงได้ เจ้าหน้าที่ผู้ควบคุมข้อมูลส่วนบุคคลอาจปฏิบัติหน้าที่หรือการอำนวยอื่นใด แต่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลต้องรับรองถึงสำนักงานหน้าที่หรือการกิจดังกล่าวต้องไม่ขัดหรือมีอคติต่อการปฏิบัติหน้าที่ตามพระราชบัญญัตินี้

หมวด 4

สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

มาตรา 43 ให้มีสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลมีวัตถุประสงค์เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล รวมทั้งส่งเสริมและสนับสนุนให้เกิดการพัฒนาด้านการคุ้มครองข้อมูลส่วนบุคคลของประเทศ

สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเป็นนิติบุคคล และไม่เป็นส่วนราชการหรือหน่วยงานอื่นของรัฐตามกฎหมายว่าด้วยระเบียบบริหารราชการแผ่นดิน หรือกฎหมายอื่น กิจการของสำนักงานไม่อยู่ภายใต้บังคับแห่งกฎหมายว่าด้วยการคุ้มครองแรงงาน กฎหมายว่าด้วยแรงงานสัมพันธ์ กฎหมายว่าด้วยแรงงานรัฐวิสาหกิจสัมพันธ์ กฎหมายว่าด้วยการประกันสังคม และกฎหมายว่าด้วยเงินทดแทน แต่พนักงานและลูกจ้างของสำนักงานจะต้องได้รับประโยชน์ตอบแทนไม่น้อยกว่าที่กำหนดในกฎหมายว่าด้วยการคุ้มครองแรงงาน กฎหมายว่าด้วยการประกันสังคม และกฎหมายว่าด้วยเงินทดแทน ให้สำนักงานเป็นหน่วยงานของรัฐตามกฎหมายว่าด้วยความรับผิดทางละเมิดของเจ้าหน้าที่

มาตรา 44 นอกจากหน้าที่และอำนาจในการดำเนินการให้เป็นไปตามวัตถุประสงค์ตามมาตรา 43 วรรคหนึ่ง ให้สำนักงานมีหน้าที่ปฏิบัติการตามมติของคณะกรรมการหรือคณะอนุกรรมการ รวมทั้งหน้าที่และอำนาจ ดังต่อไปนี้

(1) ดำเนินการและเป็นศูนย์กลางในการส่งเสริมและพัฒนาการคุ้มครองข้อมูลส่วนบุคคลให้สอดคล้องกับนโยบาย ยุทธศาสตร์ชาติ และแผนแม่บทภายใต้ยุทธศาสตร์ชาติ รวมทั้งแผนการพัฒนาประเทศที่เกี่ยวข้อง ตลอดจนการปฏิบัติการตามแผนแม่บทภายใต้ยุทธศาสตร์ชาติ และแผนการพัฒนาประเทศที่เกี่ยวข้อง ``` - ๒๓ - สำนักงานคณะกรรมการกฤษฎีกา

(๖)

ส่งเสริมและสนับสนุนการวิจัย เพื่อพัฒนาเทคโนโลยีที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล

(๗)

วิเคราะห์และรับรองความสอดคล้องและความถูกต้องตามมาตรฐานหรือ ตามมาตรการหรือกฎเกณฑ์เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล รวมทั้งตรวจสอบ และรับรองหน่วยในการคุ้มครองข้อมูลส่วนบุคคลตามมาตรา ๒๔

(๘)

สำรวจ รวบรวม และวิเคราะห์ข้อมูลเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล และแนวโน้มการเปลี่ยนแปลงด้านการคุ้มครองข้อมูลส่วนบุคคล รวมทั้งจัดทำรายงาน และวิจัยประเด็นด้านการคุ้มครองข้อมูลส่วนบุคคลที่มีผลต่อการกำหนดนโยบายและการดำเนินงานของคณะกรรมการ

(๙)

ประสานงานกับส่วนราชการ รัฐวิสาหกิจ ราชการส่วนท้องถิ่น องค์การมหาชน หรือหน่วยงานอื่นของรัฐเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล

(๑๐)

ให้คำปรึกษาแก่หน่วยงานของรัฐและหน่วยงานของเอกชนเกี่ยวกับการปฏิบัติตามพระราชบัญญัตินี้

(๑๑)

เป็นศูนย์กลางในการให้บริการทางวิชาการหรือให้บริการที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลแก่หน่วยงานของรัฐ หน่วยงานของเอกชน และประชาชน รวมทั้งเผยแพร่และให้ความรู้ ความเข้าใจในเรื่องการคุ้มครองข้อมูลส่วนบุคคล

(๑๒)

กำหนดหลักเกณฑ์ วิธีการ และเงื่อนไขเกี่ยวกับการแจ้งข้อมูลส่วนบุคคลของผู้ประสงค์จะส่งข้อมูลส่วนบุคคลให้ผู้ที่มีฐานะเป็นผู้ควบคุมข้อมูลส่วนบุคคล ลูกค้า ผู้ใช้บริการ หรือบุคคลอื่นใด

(๑๓)

ดำเนินการหรือสนับสนุนการดำเนินการเพื่อให้ผู้ควบคุมข้อมูลส่วนบุคคลปฏิบัติหน้าที่ในการกำหนดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เมื่อได้มีการกำหนดหลักเกณฑ์ตามที่คณะกรรมการ

(๑๔)

ติดตามและประเมินผลการปฏิบัติตามพระราชบัญญัตินี้

(๑๕)

ปฏิบัติหน้าที่อื่นตามที่คณะกรรมการ คณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล คณะกรรมการผู้เชี่ยวชาญ หรือคณะอนุกรรมการมอบหมาย หรือตามที่กฎหมายกำหนด

มาตรา ๔๕ ในการดำเนินงานของสำนักงาน นอกจากหน้าที่และอำนาจตามที่บัญญัติในมาตรา ๔๔ แล้ว ให้สำนักงานมีหน้าที่และอำนาจ ดังต่อไปนี้

(ก)

ถือครองสินทรัพย์ มีสิทธิครอบครอง และมีทรัพย์สินสิทธิใด ๆ

(ข)

ก่อหนี้สิน หรือทำนิติกรรมทุกประเภทเพื่อหาผลกำไร หรือประโยชน์ในกิจการที่ดำเนินการ

(ค)

หารายได้และให้ผลตอบแทนจากการดำเนินกิจการ

(ง)

เรียกเก็บค่าธรรมเนียม ค่าบำรุง ค่าตอบแทน หรือค่าบริการ หรือค่าธรรมเนียมต่าง ๆ ตามวัตถุประสงค์ของสำนักงาน ทั้งนี้ ตามหลักเกณฑ์และอัตราที่สำนักงานกำหนดโดยความเห็นชอบของคณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

(จ)

ปฏิบัติการอื่นใดที่กฎหมายกำหนดให้เป็นหน้าที่และอำนาจของสำนักงาน หรืออาจที่คณะกรรมการ คณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล คณะกรรมการผู้เชี่ยวชาญ หรือคณะอนุกรรมการมอบหมาย ```

มาตรา ๕๖ ทุนและทรัพย์สินในการดำเนินงานของสำนักงานประกอบด้วย

(๑)

ทุนประเดิมที่รัฐจัดสรรให้ตามมาตรา ๔๕ วรรคหนึ่ง

(๒)

เงินอุดหนุนทั่วไปที่รัฐจัดสรรให้ตามความเหมาะสมเป็นรายปี

(๓)

เงินอุดหนุนจากหน่วยงานของรัฐทั้งในประเทศและต่างประเทศ หรือองค์กรระหว่างประเทศระดับรัฐสภา

(๔)

ค่าธรรมเนียม ค่าบำรุง ค่าบริการ ค่าปรับ หรือรายได้อื่นที่เกิดขึ้นจากการดำเนินงานตามหน้าที่และอำนาจของสำนักงาน

(๕)

ดอกผลของเงินหรือรายได้จากทรัพย์สินของสำนักงาน เงินและทรัพย์สินของสำนักงานตามวรรคหนึ่ง ต้องนำส่งคลังเป็นรายได้แผ่นดิน

มาตรา ๕๗ บรรดาอสังหาริมทรัพย์ที่สำนักงานได้มาจากการซื้อหรือแลกเปลี่ยนจากรายได้ของสำนักงานตามมาตรา ๕๖ (๔) หรือ (๕) ให้เป็นกรรมสิทธิ์ของสำนักงาน

มาตรา ๕๘ ให้คณะกรรมการกำกับสำนักงานและคณะกรรมการคุ้มครองข้อมูลข่าวสารประกอบด้วยประธานกรรมการซึ่งสรรหาแต่งตั้งจากผู้มีคุณวุฒิ ความเชี่ยวชาญ และประสบการณ์ในด้านการคุ้มครองข้อมูลข่าวสารหรือการบริหารงานที่เกี่ยวข้อง และกรรมการซึ่งเป็นผู้แทนของคณะกรรมการจัดตั้งเพื่อประโยชน์สาธารณะหรือองค์กรที่ไม่แสวงหากำไร เป็นกรรมการ และกรรมการที่รัฐสภาสรรหา จำนวนคนหนึ่งและกรรมการที่รัฐสภาแต่งตั้งจากผู้แทนขององค์กรที่เกี่ยวข้อง จำนวนคนหนึ่ง และให้ประธานกรรมการและกรรมการดังกล่าวมีวาระการดำรงตำแหน่งคราวละสี่ปี

ในกรณีที่ตำแหน่งประธานกรรมการหรือกรรมการว่างลง ให้ดำเนินการแต่งตั้งให้มีกรรมการสรรหา สำนักงานเป็นผู้ช่วยเลขานุการให้ไม่เกินสองคน ให้ดำเนินการในมาตรา ๑๓ และมาตรา ๑๓ มาใช้บังคับกับประธานกรรมการและกรรมการรัฐสภาคุณวุฒิโดยอนุโลม

มาตรา ๕๙ ให้แต่งตั้งคณะกรรมการสรรหาคณะหนึ่งประกอบด้วยคณะกรรมการแต่งตั้งจำนวนเท่ากับจำนวนที่คัดเลือกบุคคลที่สมควรได้รับการแต่งตั้งเป็นประธานกรรมการและกรรมการคุณวุฒิตามมาตรา ๕๘

ให้คณะกรรมการสรรหาดำเนินการสรรหาคณะกรรมการหนึ่งเป็นประธานกรรมการ และเลือกกรรมการสรรหาจากผู้แทนของคณะกรรมการสรรหา และให้สำนักงานปฏิบัติหน้าที่เป็นฝ่ายเลขานุการของคณะกรรมการสรรหา ในกรณีที่ตำแหน่งประธานกรรมการหรือกรรมการว่างลง ให้ดำเนินการแต่งตั้งให้มีกรรมการสรรหา สำนักงานเป็นผู้ช่วยเลขานุการให้ไม่เกินสองคน การสรรหาไม่มีผลย้อนหลังหรือกระทบต่อสิทธิและหน้าที่ของกรรมการและประธานกรรมการตามมาตรา ๕๘ หลักเกณฑ์และวิธีการสรรหาให้เป็นไปตามที่คณะกรรมการกำหนด ทั้งนี้ ต้องคำนึงถึงความโปร่งใสและความเป็นธรรมในการสรรหา

มาตรา ๕๐ ในการสรรหาประธานกรรมการและกรรมการผู้ทรงคุณวุฒิตามมาตรา ๔๘ ให้คณะกรรมการสรรหาคัดเลือกบุคคลผู้มีคุณสมบัติตามมาตรา ๔๗ วรรคหนึ่ง รวมทั้งลักษณะต้องห้ามตามมาตรา ๔๗ วรรคสาม และยินยอมให้เสนอชื่อของตนเองเพื่อคัดเลือกเท่ากับจำนวนประธานกรรมการและกรรมการผู้ทรงคุณวุฒิตามมาตรา ๔๘ ที่จะได้รับแต่งตั้ง

เมื่อได้คัดเลือกบุคคลเป็นประธานกรรมการและกรรมการผู้ทรงคุณวุฒิครบจำนวนแล้ว ให้คณะกรรมการสรรหาประกาศรายชื่อประธานกรรมการและกรรมการผู้ทรงคุณวุฒิตามมาตรา ๔๘ พร้อมหลักฐานแสดงคุณสมบัติและการไม่มีลักษณะต้องห้ามของบุคคลดังกล่าวต่อคณะกรรมการเพื่อให้คัดเลือกเป็นประธานกรรมการและกรรมการผู้ทรงคุณวุฒิตามมาตรา ๔๘ ให้คณะกรรมการประกาศรายชื่อประธานกรรมการและกรรมการผู้ทรงคุณวุฒิตามมาตรา ๔๘ ซึ่งได้รับแต่งตั้งในราชกิจจานุเบกษา

มาตรา ๕๑ ประธานกรรมการและกรรมการผู้ทรงคุณวุฒิตามมาตรา ๔๘ มีวาระการดำรงตำแหน่งคราวละสี่ปี

เมื่อครบกำหนดตามวาระในวรรคหนึ่ง ให้ดำเนินการแต่งตั้งประธานกรรมการและกรรมการผู้ทรงคุณวุฒิขึ้นแทนในทันทีเว้นแต่ประธานกรรมการหรือกรรมการผู้ทรงคุณวุฒิซึ่งพ้นจากตำแหน่งตามวาระนั้นจะได้รับแต่งตั้งให้ดำรงตำแหน่งต่อไปอีกวาระหนึ่งซึ่งให้ถือเป็นวาระใหม่ ในกรณีที่ยังมิได้มีการแต่งตั้งประธานกรรมการหรือกรรมการผู้ทรงคุณวุฒิขึ้นแทนตามวรรคสอง ให้ประธานกรรมการหรือกรรมการผู้ทรงคุณวุฒิซึ่งพ้นจากตำแหน่งตามวาระนั้นปฏิบัติหน้าที่ต่อไปจนกว่าจะมีการแต่งตั้งประธานกรรมการหรือกรรมการผู้ทรงคุณวุฒิขึ้นแทน

มาตรา ๕๒ ในกรณีที่ประธานกรรมการหรือกรรมการผู้ทรงคุณวุฒิตามมาตรา ๔๘ พ้นจากตำแหน่งก่อนวาระ ให้คณะกรรมการกำกับสำนักงานคณะกรรมการกฤษฎีกาแจ้งข้อมูลส่วนบุคคลประกอบด้วยกรรมการทั้งหมดเท่าที่มีอยู่ขณะนั้นว่าจะมีการแต่งตั้งประธานกรรมการหรือกรรมการผู้ทรงคุณวุฒิแทน และในกรณีที่ประธานกรรมการพ้นจากตำแหน่งก่อนวาระ ให้ปฏิบัติการจัดให้มีคณะกรรมการสรรหาตามที่กำหนดไว้สำหรับการสรรหา

ให้ดำเนินการแต่งตั้งประธานกรรมการหรือกรรมการผู้ทรงคุณวุฒิแทนตำแหน่งที่ว่างภายในหกสิบวันนับตั้งแต่วันที่ตำแหน่งว่างลง และให้ผู้ได้รับแต่งตั้งดำรงตำแหน่งในวาระที่เหลืออยู่ของผู้ซึ่งพ้นจากตำแหน่ง เว้นแต่กรณีของประธานกรรมการหรือกรรมการผู้ทรงคุณวุฒิซึ่งพ้นจากตำแหน่งตามวาระ

มาตรา ๕๓ การประชุมคณะกรรมการกำกับสำนักงานคณะกรรมการกฤษฎีกา ต้องมีกรรมการมาประชุมไม่น้อยกว่ากึ่งหนึ่งของจำนวนกรรมการทั้งหมดจึงจะเป็นองค์ประชุม

ให้ประธานกรรมการเป็นประธานในที่ประชุม ถ้าประธานกรรมการไม่มาประชุมหรือไม่อาจปฏิบัติหน้าที่ได้ ให้กรรมการซึ่งมาประชุมเลือกกรรมการคนหนึ่งเป็นประธานในที่ประชุม การวินิจฉัยชี้ขาดของที่ประชุมให้ถือเสียงข้างมาก กรรมการคนหนึ่งให้มีเสียงหนึ่งในการลงคะแนน ถ้าคะแนนเสียงเท่ากัน ให้ประธานในที่ประชุมออกเสียงเพิ่มขึ้นอีกเสียงหนึ่งเป็นเสียงชี้ขาด กรรมการที่มีส่วนได้เสียในเรื่องที่มีการพิจารณาจะเข้าร่วมประชุมมิได้ การประชุมของคณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลอาจกระทำโดยวิธีการประชุมผ่านสื่ออิเล็กทรอนิกส์ก็ได้

มาตรา ๔๔ คณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลมีหน้าที่และอำนาจ ดังต่อไปนี้

(ก)

กำหนดนโยบายการบริหารงาน และให้ความเห็นชอบแผนการดำเนินงานของสำนักงาน

(ข)

ออกข้อบังคับว่าด้วยการจัดองค์กร การเงิน การบริหารงานบุคคล การบริหารงานทั่วไป การตรวจสอบภายใน รวมตลอดทั้งการสรรหาและคัดเลือกข้าราชการ ผู้ของสำนักงาน

(ค)

อนุมัติแผนการดำเนินงาน แผนการใช้เงินและงบประมาณรายจ่ายประจำปีของสำนักงาน

(ง)

ควบคุมการบริหารงานและการดำเนินการของสำนักงานและเลขาธิการให้เป็นไปตามพระราชบัญญัตินี้และกฎหมายอื่นที่เกี่ยวข้อง

(จ)

แต่งตั้งคณะกรรมการสรรหาเลขาธิการ

(ฉ)

ให้ความเห็นชอบการแต่งตั้งและการถอดถอนเลขาธิการที่ได้รับการเสนอชื่อจากคณะกรรมการสรรหาเลขาธิการ

(ช)

ประเมินผลการดำเนินงานของเลขาธิการ

(ซ)

ปฏิบัติหน้าที่อื่นตามที่พระราชบัญญัตินี้หรือกฎหมายอื่นกำหนดให้เป็นหน้าที่และอำนาจของคณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลหรือคณะกรรมการหรือคณะรัฐมนตรีรวมทั้งตามที่นายกรัฐมนตรีมอบหมาย ข้อบังคับตาม (ข) ถ้ามีการกำหนดลักษณะวิธีการในการพิจารณาบุคคลภายนอกให้ประกาศในราชกิจจานุเบกษา

มาตรา ๔๕ คณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลมีอำนาจแต่งตั้งคณะอนุกรรมการ เพื่อปฏิบัติหน้าที่หรือกระทำอย่างหนึ่งอย่างใดตามที่คณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลมอบหมายก็ได้

คณะอนุกรรมการตามวรรคหนึ่ง ให้มีจำนวนและคุณสมบัติ หลักเกณฑ์ วิธีการสรรหา การแต่งตั้ง การพ้นจากตำแหน่ง และการปฏิบัติหน้าที่ตามที่คณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกำหนด การประชุมคณะอนุกรรมการ ให้ใช้บังคับมาตรา ๔๓ มาใช้บังคับโดยอนุโลม

มาตรา 56 ให้ประธานกรรมการและกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ที่ปรึกษาคณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ประธานอนุกรรมการและอนุกรรมการที่คณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลแต่งตั้ง ได้รับเบี้ยประชุมหรือค่าตอบแทนในลักษณะเดียวกับที่คณะกรรมการกำหนด โดยความเห็นชอบของกระทรวงการคลัง

มาตรา 57 ให้สำนักงานเสนอตัวกรรมการใหม่ซึ่งคณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลแต่งตั้ง ที่หมดวาระหรือพ้นจากตำแหน่งต่อคณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเพื่อพิจารณาแต่งตั้งใหม่ โดยให้ดำเนินการภายในหกสิบวันนับแต่วันที่ตำแหน่งว่างลง

มาตรา 58 ผู้ที่จะได้รับการแต่งตั้งเป็นเลขาธิการต้องมีคุณสมบัติ ดังต่อไปนี้

(ก)

มีสัญชาติไทย

(ข)

อายุไม่ต่ำกว่าสามสิบห้าปีบริบูรณ์และไม่เกินหกสิบปี

(ค)

เป็นผู้มีความรู้ ความสามารถ และประสบการณ์ในด้านที่เกี่ยวกับการกิจของสำนักงานและการบริหารจัดการ

มาตรา 59 ผู้สมัครต้องยอมโดยสมัครใจดังต่อไปนี้ ต้องไม่เป็นเลขาธิการ

(ก)

เป็นบุคคลล้มละลายหรือเคยเป็นบุคคลล้มละลายทุจริต

(ข)

เป็นผู้ที่ไร้ความสามารถหรือเสมือนไร้ความสามารถ

(ค)

เคยต้องคำพิพากษาถึงที่สุดให้จำคุกและได้รับโทษจำคุกจริงหรือไม่เว้นแต่เป็นโทษสำหรับความผิดที่กระทำโดยประมาทหรือความผิดลหุโทษ

(ง)

เป็นเจ้าของกรรมสิทธิ์ หุ้นส่วน หรือผู้จัดการของส่วนราชการหรือรัฐวิสาหกิจหรือหน่วยงานอื่นของรัฐหรือของราชการส่วนท้องถิ่น

(จ)

เป็นหรือเคยเป็นข้าราชการการเมือง ผู้ดำรงตำแหน่งทางการเมือง สมาชิกสภาท้องถิ่นหรือผู้บริหารท้องถิ่น เว้นแต่จะได้พ้นจากตำแหน่งมาแล้วไม่น้อยกว่าหนึ่งปี

(ฉ)

เป็นหรือเคยเป็นเจ้าหน้าที่ของพรรคการเมือง เว้นแต่จะได้พ้นจากตำแหน่งมาแล้วไม่น้อยกว่าหนึ่งปี

(ช)

เคยถูกไล่ออก ปลดออก หรือให้ออกจากราชการ หรือออกจากงานจากหน่วยงานของรัฐหรือเอกชนเพราะทุจริตหรือประพฤติชั่วอย่างร้ายแรง

(ซ)

เคยถูกให้ออกจากราชการไม่ว่ากรณีใด ๆ ตามระเบียบของทางราชการ

(ฌ)

เคยถูกสั่งให้เลิกใช้ใบอนุญาตประกอบวิชาชีพโดยคำสั่งที่ถึงที่สุดตามกฎหมายว่าด้วยวิชาชีพนั้น

มาตรา 60 เลขาธิการมีวาระการดำรงตำแหน่งคราวละสี่ปี และอาจได้รับแต่งตั้งได้ แต่จะดำรงตำแหน่งเกินสองวาระไม่ได้

ก่อนครบกำหนดวาระการดำรงตำแหน่งของเลขาธิการในวาระใด ๆ สามสิบวันเป็นอย่างน้อย ให้คณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลแต่งตั้งเลขาธิการคนใหม่ เพื่อสรรหาผู้อำนวยการคนใหม่ ทั้งนี้ ให้คณะกรรมการสรรหาสอบรายชื่อบุคคลที่ผ่านการสรรหาเสนอรายชื่อบุคคลที่เหมาะสมไม่เกินสามคน ต่อคณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

มาตรา ๒๖ ในแต่ละปีให้มีการประเมินผลการปฏิบัติงานของผู้อำนวยการ ทั้งนี้ ให้เป็นไปตามระยะเวลาและวิธีการที่คณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกำหนด

มาตรา ๒๗ นอกจากการพ้นจากตำแหน่งตามวาระตามมาตรา ๒๕ ผู้อำนวยการพ้นจากตำแหน่ง เมื่อ

(ก)

ตาย

(ข)

ลาออก

(ค)

ขาดคุณสมบัติตามมาตรา ๑๔ หรือมีลักษณะต้องห้ามตามมาตรา ๑๕

(ง)

คณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลให้ออก เพราะไม่สามารถปฏิบัติหน้าที่ได้ตามปกติ มีความประพฤติเสื่อมเสีย บกพร่องหรือไม่สุจริตต่อหน้าที่ หรือหย่อนความสามารถ

มาตรา ๒๘ ให้สำนักงานมีหน้าที่และอำนาจ ดังต่อไปนี้

(ก)

บริหารงานของสำนักงานให้เกิดผลสัมฤทธิ์ตามภารกิจของสำนักงาน และตามนโยบายและแผนระดับชาติ แผนยุทธศาสตร์ นโยบายของคณะรัฐมนตรี คณะกรรมการ และคณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และระเบียบ ข้อบังคับ หรือประกาศที่คณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกำหนด

(ข)

วางระเบียบเกี่ยวกับการดำเนินงานของสำนักงานโดยไม่ขัดหรือแย้งกับกฎหมาย มติของคณะรัฐมนตรี และระเบียบ ข้อบังคับ ข้อกฎหมาย นโยบาย มติ หรือประกาศที่คณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกำหนด

(ค)

เป็นผู้รับผิดชอบบัญชีทรัพย์สินและลูกจ้างของสำนักงาน และประเมินผลการปฏิบัติงานของพนักงานและลูกจ้างของสำนักงานเพื่อจัดทำรายงานประเมินผลการปฏิบัติงานของสำนักงาน

(ง)

แต่งตั้งพนักงานและลูกจ้างของสำนักงานตามระเบียบการโดยความเห็นชอบของคณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเมื่อมีผู้ปฏิบัติงานของสำนักงานครบตามอัตรากำลังที่กำหนด

(จ)

บรรจุ แต่งตั้ง เลื่อน ลด ดำรงเงินเดือนหรือค่าจ้าง ลงโทษทางวินัยพนักงานและลูกจ้างของสำนักงาน ตลอดจนให้พนักงานและลูกจ้างของสำนักงานออกจากงาน ทั้งนี้ ตามระเบียบที่คณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกำหนด

(ฉ)

ปฏิบัติการอื่นใดตามที่ระเบียบ ข้อบังคับ ข้อกฎหมาย นโยบาย มติ หรือประกาศของคณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกำหนด ให้เสนอการจัดซื้อจัดจ้างในการบริหารงานของสำนักงานต่อคณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

มาตรา ๒๔ ในกิจการของสำนักงานที่เกี่ยวกับบุคคลภายนอก ให้เลขาธิการเป็นผู้แทนของสำนักงาน เพื่อการนี้ เลขาธิการจะมอบอำนาจให้บุคคลใดปฏิบัติแทนตนเองทั้งหมดหรือบางส่วนก็ได้ แต่ต้องเป็นไปตามข้อบังคับที่คณะกรรมการกำกับสำนักงานคณะกรรมการกฤษฎีกาออกข้อบังคับอนุญาตกำหนด

มาตรา ๒๕ ให้คณะกรรมการกำกับสำนักงานคณะกรรมการกฤษฎีกาออกข้อบังคับว่าด้วยหลักเกณฑ์เป็นผู้กำหนดตัวการแต่งตั้งและประโยชน์ตอบแทนอื่นของเลขาธิการตามที่คณะรัฐมนตรีกำหนด

มาตรา ๒๖ เพื่อประโยชน์ในการบริหารงานของสำนักงาน เลขาธิการอาจขอให้ข้าราชการ พนักงาน เจ้าหน้าที่ หรือลูกจ้างของส่วนราชการ หน่วยงานของรัฐ รัฐวิสาหกิจ ราชการส่วนท้องถิ่น องค์การมหาชน หรือหน่วยงานอื่นของรัฐ มาปฏิบัติหน้าที่ในสำนักงานเป็นการชั่วคราวได้ ทั้งนี้ แต่ต้องได้รับความยินยอมจากผู้บังคับบัญชาของผู้ซึ่งจะมาปฏิบัติหน้าที่ในกรณีดังกล่าว และในกรณีที่เจ้าหน้าที่ดังกล่าวได้รับอนุญาตให้มาปฏิบัติหน้าที่ในสำนักงานเป็นการชั่วคราว ให้ถือว่าเป็นการได้รับอนุญาตให้ออกจากราชการหรือออกจากงานไปปฏิบัติหน้าที่ตามวาระหนึ่ง มีสิทธิได้รับการบรรจุและแต่งตั้งให้ดำรงตำแหน่งและรับเงินเดือนในส่วนราชการหรือหน่วยงานเดิมไม่ต่ำกว่าตำแหน่งและเงินเดือนที่ตนดำรงตำแหน่งและได้รับในกรณีดังกล่าว

ในกรณีที่มีความจำเป็นต้องขอให้บุคคลใดมาปฏิบัติหน้าที่ในสำนักงานเป็นการชั่วคราว ให้เลขาธิการทำความตกลงกับบุคคลดังกล่าวและหน่วยงานต้นสังกัดของบุคคลนั้นเพื่อกำหนดเงื่อนไขและระยะเวลาการปฏิบัติราชการหรือปฏิบัติงานเพิ่มเติมเวลาจากที่กำหนด แล้วแต่กรณี

มาตรา ๒๗ ข้าราชการหรือเจ้าหน้าที่ของรัฐซึ่งอยู่ระหว่างการปฏิบัติหน้าที่ใช้ทุนการศึกษาที่ได้รับจากส่วนราชการหรือหน่วยงานของรัฐ ที่ได้ย้ายมาปฏิบัติหน้าที่ที่สำนักงานโดยได้รับความเห็นชอบจากผู้บังคับบัญชาต้นสังกัด ให้ถือเป็นการชดใช้ทุนตามสัญญา และให้นับระยะเวลาการปฏิบัติงานในสำนักงานเป็นระยะเวลาการชดใช้ทุน

ในกรณีที่หน่วยงานของรัฐต้นสังกัดประสงค์จะให้พนักงานของสำนักงานซึ่งอยู่ระหว่างการปฏิบัติงานใช้ทุนการศึกษาที่ได้รับจากสำนักงานกลับไปเป็นข้าราชการหรือเจ้าหน้าที่ของรัฐในหน่วยงานของรัฐต้นสังกัด ให้ถือเป็นการชดใช้ทุนตามสัญญา และให้นับระยะเวลาการปฏิบัติงานในหน่วยงานของรัฐต้นสังกัดเป็นระยะเวลาการชดใช้ทุน

มาตรา ๒๘ การบัญชีซึ่งสำนักงานต้องปฏิบัติให้สอดคล้องกับหลักการ ตามแนวและหลักเกณฑ์ที่คณะกรรมการกำกับสำนักงานคณะกรรมการกฤษฎีกาออกข้อบังคับอนุญาตกำหนด

มาตรา ๒๙ ให้สำนักงานจัดทำงบการเงินและบัญชี แล้วส่งผู้สอบบัญชีภายในหนึ่งร้อยยี่สิบวันนับแต่สิ้นปีบัญชี

สำนักงานคณะกรรมการกฤษฎีกา ให้สำนักงานการตรวจเงินแผ่นดินหรือผู้สอบบัญชีรับอนุญาตที่สำนักงานการตรวจเงินแผ่นดินให้ความเห็นชอบเป็นผู้สอบบัญชีของสำนักงาน และประเมินผลการใช้งบเงินและทรัพย์สินของสำนักงานทุกรอบปีแล้วจัดทำรายงานผลการสอบบัญชีเสนอคณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเพื่อรับรอง

มาตรา ๓๐ ให้สำนักงานรายงานการดำเนินงานประจำปีเสนอต่อคณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลและรัฐมนตรีภายในกำหนดที่รัฐมนตรีกำหนดนับแต่วันสิ้นปีบัญชี และเผยแพร่รายงานดังกล่าวต่อสาธารณชน

รายงานการดำเนินงานประจำปีตามวรรคหนึ่งต้องแสดงให้เห็นถึงผลการดำเนินงานที่อยู่ในความรับผิดชอบของสำนักงาน พร้อมทั้งผลของสำนักงานและรายงานการประเมินผลการดำเนินงานของสำนักงานในปีที่ล่วงมาแล้ว การประเมินผลการดำเนินงานของสำนักงานตามวรรคสอง จะต้องดำเนินการโดยบุคคลภายนอกที่คณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลให้ความเห็นชอบ

หมวด ๕ การร้องเรียน

มาตรา ๓๑ ให้คณะกรรมการมีอำนาจแต่งตั้งคณะกรรมการผู้เชี่ยวชาญขึ้นคนหนึ่งหรือหลายคนตามที่เห็นสมควรเพื่อช่วยในแต่ละเรื่องหรือกรณีที่คณะกรรมการเห็นสมควร

คณะกรรมการผู้เชี่ยวชาญตามวรรคหนึ่งมีหน้าที่ให้คำปรึกษา ข้อเสนอแนะ และการดำเนินงานอื่นของคณะกรรมการผู้เชี่ยวชาญให้เป็นไปตามที่คณะกรรมการประกาศกำหนด

มาตรา ๓๒ คณะกรรมการผู้เชี่ยวชาญที่มีหน้าที่และอำนาจ ดังต่อไปนี้

(ก)

พิจารณาเรื่องร้องเรียนตามพระราชบัญญัตินี้

(ข)

ตรวจสอบการกระทำใด ๆ ของผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งเจ้าหน้าที่หรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล เกี่ยวกับข้อมูลส่วนบุคคลที่อาจฝ่าฝืนหรือไม่ปฏิบัติตามพระราชบัญญัตินี้

(ค)

ให้คำแนะนำหรือคำปรึกษาแก่เจ้าของข้อมูลส่วนบุคคล

(ง)

ปฏิบัติการอื่นใดตามที่คณะกรรมการบัญญัติให้ปฏิบัติในหน้าที่และอำนาจของคณะกรรมการผู้เชี่ยวชาญที่มีความเกี่ยวข้องกับการร้องเรียน

มาตรา ๓๓ เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องเรียนในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งเจ้าหน้าที่หรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล ฝ่าฝืนหรือไม่ปฏิบัติตามพระราชบัญญัตินี้ต่อคณะกรรมการหรือคณะกรรมการผู้เชี่ยวชาญที่คณะกรรมการมอบหมาย

การยื่น การไม่รับเรื่อง การยุติเรื่อง การพิจารณา และระยะเวลาในการพิจารณาคำร้องเรียนให้เป็นไปตามระเบียบที่คณะกรรมการกำหนดโดยประกาศในราชกิจจานุเบกษา และการพิจารณาคำร้องเรียนดังกล่าวให้ถือว่าเป็นการดำเนินการในทางปกครองตามกฎหมายว่าด้วยวิธีปฏิบัติราชการทางปกครอง

มาตรา ๑๕๔ ในกรณีที่ผู้ร้องเรียนไม่ได้ปฏิบัติให้ถูกต้องตามระเบียบที่กำหนดไว้ในมาตรา ๑๓๓ วรรคสอง หรือเป็นเรื่องร้องเรียนที่ระเบียบนี้กำหนดไม่ให้รับไว้พิจารณา ให้คณะกรรมการผู้เชี่ยวชาญไม่รับเรื่องร้องเรียนนั้นไว้พิจารณา

เมื่อคณะกรรมการผู้เชี่ยวชาญพิจารณาเรื่องร้องเรียนแล้วเห็นว่า (๑) หรือพิจารณาสอบกระกระทำใด ๆ ตามมาตรา ๑๓๗ (๒) แล้วมีเหตุให้ว่าเรื่องร้องเรียนนั้นกระทำด้วยความไม่สุจริต ให้คณะกรรมการผู้เชี่ยวชาญสรุปข้อเท็จจริง ในกรณีที่คณะกรรมการผู้เชี่ยวชาญพิจารณาตรวจสอบข้อเท็จจริงแล้วเห็นว่ามีมูล ให้คณะกรรมการผู้เชี่ยวชาญดำเนินการไกล่เกลี่ย แต่หากเรื่องร้องเรียนหรือการกระทำที่ไม่อาจไกล่เกลี่ยได้ หรือไกล่เกลี่ยไม่สำเร็จ ให้คณะกรรมการผู้เชี่ยวชาญมีมติออกคำสั่ง ดังต่อไปนี้

(๑)

สั่งให้ควบคุมข้อมูลส่วนบุคคลหรือใช้ข้อมูลส่วนบุคคลปฏิบัติหรือดำเนินการตามคำสั่งตามระเบียบที่กำหนดในระเบียบและกฎหมายที่กำหนด

(๒)

สั่งให้ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลกระทำการที่ก่อให้เกิดความเสียหายแก่เจ้าของข้อมูลส่วนบุคคลหรือให้กระทำการใดเพื่อระงับความเสียหายนั้นภายในระยะเวลาที่กำหนด ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลไม่ยอมดำเนินการตามคำสั่งมาตรา (๑) หรือ (๒) ให้ดำเนินคดีเกี่ยวกับการบังคับตามกฎหมายว่าด้วยวิธีปฏิบัติราชการทางปกครองหรือกฎหมายอื่นที่เกี่ยวข้องได้โดยไม่ต้องฟ้องร้องดำเนินคดีในศาล การดำเนินการตามวรรคหนึ่ง ให้คณะกรรมการผู้เชี่ยวชาญมีอำนาจสั่งให้ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลที่เกี่ยวข้องกับการกระทำที่ก่อให้เกิดความเสียหายแก่เจ้าของข้อมูลส่วนบุคคลหรือให้กระทำการใดเพื่อระงับความเสียหายนั้นภายในระยะเวลาที่กำหนด หลักเกณฑ์และวิธีการที่คณะกรรมการประกาศกำหนด คำสั่งของคณะกรรมการผู้เชี่ยวชาญ ให้ประธานกรรมการผู้เชี่ยวชาญเป็นผู้ลงนามแทน คำสั่งของคณะกรรมการผู้เชี่ยวชาญตามมาตรานี้ให้เป็นที่สุด ในการดำเนินการตามมาตรานี้ เมื่อผลการพิจารณาเป็นกรณีใด ให้คณะกรรมการผู้เชี่ยวชาญแจ้งผลการพิจารณาไปยังผู้ร้องเรียนและผู้ถูกร้องเรียนทราบ หากผู้ร้องเรียนหรือผู้ถูกร้องเรียนไม่พอใจผลการพิจารณาแล้วตามกฎหมายอื่น ให้แจ้งผลการพิจารณาไปยังหน่วยงานที่มีอำนาจหน้าที่ตามกฎหมายอื่นนั้นเพื่อดำเนินการตามกฎหมายต่อไป ประธานกรรมการผู้เชี่ยวชาญหรือกรรมการผู้เชี่ยวชาญที่ได้รับมอบหมายให้มีอำนาจหน้าที่ตามระเบียบนี้ ให้มีอำนาจหน้าที่ในการแจ้งผลการพิจารณาไปยังหน่วยงานที่มีอำนาจหน้าที่ตามกฎหมายอื่นนั้นเพื่อดำเนินการตามกฎหมายต่อไป

มาตรา ๑๕๕ คณะกรรมการผู้เชี่ยวชาญมีอำนาจสั่งให้ผู้ควบคุมข้อมูลส่วนบุคคลที่เกี่ยวข้องกับเรื่องที่มีผู้ร้องเรียนหรือผู้ถูกร้องเรียนกระทำการใด ๆ เพื่อให้ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลรวมทั้งสิ่งที่บุคคลใดแจ้งเป็นเรื่องร้องเรียนจริงหรือไม่

มาตรา ๑๕๖ ในการปฏิบัติการตามพระราชบัญญัตินี้ พนักงานเจ้าหน้าที่มีหน้าที่และอำนาจ ดังต่อไปนี้

(ก)

มีหนังสือแจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคล หรือผู้ใด มาปกข้อมูลหรือส่งเอกสารหรือหลักฐานใด ๆ เกี่ยวกับการดำเนินการหรือการกระทำความผิดตาม พระราชบัญญัตินี้

(ข)

ตรวจสอบและรวบรวมข้อเท็จจริง แล้วรายงานต่อคณะกรรมการผู้เชี่ยวชาญ ในกรณีที่มีความผิดฐานข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคล หรือผู้ใดได้กระทำหรือพยายาม กระทำการฝ่าฝืนหรือไม่ปฏิบัติตามพระราชบัญญัตินี้ ในระหว่างเวลาพระราชบัญญัตินี้มีผลบังคับใช้ หรือในเวลาทำการของสถานที่นั้น เพื่อตรวจสอบและรวบรวมข้อเท็จจริง ยึดหรืออายัดเอกสาร หลักฐาน หรือสิ่งอื่นใดที่เกี่ยวกับการกระทำความผิด หรือเมื่อจำเป็นหรือมีเหตุอันควรเชื่อได้ว่าเป็นการกระทำ ความผิด ในการนี้เจ้าพนักงานเจ้าหน้าที่ ให้มีบัตรพิสูจน์การแสดงตนตั้งแต่การเข้าตรวจหรือ เจ้าพนักงานซึ่งอยู่ในตำแหน่งไม่ต่ำกว่าระดับการพิจารณาเรื่องร้องเรียนและ มีคุณสมบัติตามที่คณะกรรมการประกาศกำหนด ในการปฏิบัติหน้าที่ตามมาตรานี้ ผู้ที่เกี่ยวข้องและผู้ที่อยู่ในสถานที่นั้นต้องอำนวยความสะดวก และให้ความร่วมมือแก่เจ้าพนักงานเจ้าหน้าที่ บัตรประจำตัวเจ้าพนักงานเจ้าหน้าที่ ให้เป็นไปตามแบบที่คณะกรรมการกำหนด

หมวด 6

ความรับผิดทางแพ่ง

มาตรา 77 ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลซึ่ง ดำเนินการใด ๆ เกี่ยวกับข้อมูลส่วนบุคคลอันเป็นการฝ่าฝืนหรือไม่ปฏิบัติตามบทบัญญัติแห่ง พระราชบัญญัตินี้อันเป็นเหตุให้เกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคล ต้องชดใช้ค่าสินไหมทดแทนเพื่อ การนั้นแก่เจ้าของข้อมูลส่วนบุคคล ไม่ว่าการดำเนินการนั้นจะเกิดจากการกระทำโดยจงใจหรือประมาท เลินเล่อหรือไม่ก็ตาม เว้นแต่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลนั้นจะพิสูจน์ ได้ว่า

(ก)

ความเสียหายนั้นเกิดจากเหตุสุดวิสัย หรือเกิดจากการกระทำหรือจะไม่กระทำการใด ๆ ของเจ้าของข้อมูลส่วนบุคคลเอง

(ข)

ความเสียหายนั้นเกิดจากการปฏิบัติตามคำสั่งหรือคำแนะนำของเจ้าของข้อมูล ส่วนบุคคล การชดใช้ค่าสินไหมทดแทนตามวรรคหนึ่ง ให้รวมถึงค่าสินไหมทดแทนเพื่อการเยียวยา ความเสียหายทางจิตใจของเจ้าของข้อมูลส่วนบุคคลด้วย ทั้งนี้ ตามที่ศาลเห็นสมควรโดยคำนึงถึง ลักษณะและขนาดของความเสียหายที่เกิดขึ้น

มาตรา 78 ให้ศาลสั่งให้ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูล ส่วนบุคคลจ่ายค่าสินไหมทดแทนแก่เจ้าของข้อมูลส่วนบุคคลในจำนวนเงินที่เหมาะสมแก่กรณี ทั้งนี้

ที่ศาลกำหนดได้ตามที่ศาลเห็นสมควร แต่ไม่เกินสองเท่าของค่าเสียหายที่แท้จริงนั้น ทั้งนี้ โดยคำนึงถึงพฤติการณ์ต่าง ๆ เช่น ความร้ายแรงของความเสียหายที่เจ้าของข้อมูลส่วนบุคคลได้รับ ผลประโยชน์ที่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลได้รับ สถานะการเงินของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล การที่ผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคลได้รับทราบความเสียหายที่เกิดขึ้น หรือการที่เจ้าของข้อมูลส่วนบุคคลมีส่วนในการก่อให้เกิดความเสียหายนั้นด้วยหรือไม่ สิทธิเรียกร้องค่าเสียหายนี้ไม่กระทบต่อสิทธิของเจ้าของข้อมูลส่วนบุคคลตามกฎหมายอื่นที่จะเรียกร้องค่าเสียหายได้ตามกฎหมายอื่นนั้น และไม่กระทบต่อสิทธิของเจ้าของข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลต่อรองผิด หรือเบี้ยวพ้นสัญญาในส่วนที่มิใช่การละเมิดข้อมูลส่วนบุคคล

หมวด 7

บทกำหนดโทษ

ส่วนที่ 1

โทษอาญา

มาตรา 79 ผู้ควบคุมข้อมูลส่วนบุคคลใดฝ่าฝืนมาตรา 27 วรรคหนึ่งหรือวรรคสอง หรือไม่ปฏิบัติตามมาตรา 37 วรรคหนึ่ง ต้องระวางโทษจำคุกไม่เกินหกเดือน หรือปรับไม่เกินห้าแสนบาท หรือทั้งจำทั้งปรับ

ผู้ควบคุมข้อมูลส่วนบุคคลใดฝ่าฝืนมาตรา 27 วรรคหนึ่งหรือวรรคสอง หรือไม่ปฏิบัติตามมาตรา 37 วรรคหนึ่ง อันเกี่ยวกับข้อมูลส่วนบุคคลตามมาตรา 26 เพื่อแสวงหาประโยชน์ที่มิควรได้โดยทุจริต ต้องระวางโทษจำคุกไม่เกินหนึ่งปี หรือปรับไม่เกินหนึ่งล้านบาท หรือทั้งจำทั้งปรับ ความผิดตามมาตรานี้เป็นความผิดอันยอมความได้

มาตรา 80 ผู้ใดล่วงรู้ข้อมูลส่วนบุคคลของผู้อื่นเนื่องจากการปฏิบัติหน้าที่ตามพระราชบัญญัตินี้ และเปิดเผยข้อมูลส่วนบุคคลนั้นโดยมิชอบ ต้องระวางโทษจำคุกไม่เกินหกเดือน หรือปรับไม่เกินห้าแสนบาท หรือทั้งจำทั้งปรับ

บทบัญญัติในวรรคหนึ่งมิให้ใช้บังคับในกรณีดังต่อไปนี้

(ก)

การเปิดเผยเพื่อประโยชน์ของการสอบสวน หรือการพิจารณาคดี

(ข)

การเปิดเผยเพื่อประโยชน์ของเจ้าของข้อมูลส่วนบุคคล

(ค)

การเปิดเผยตามหน้าที่ของหน่วยงานรัฐในประเทศหรือระหว่างประเทศที่มีฐานะเป็นองค์การ ตามกฎหมาย

(ง)

การเปิดเผยที่ได้รับความยินยอมเป็นหนังสือเฉพาะครั้งจากเจ้าของข้อมูล

ส่วนบุคคล

สาระสําคัญ

มาตรา ๑๗ ในกรณีที่ผู้กระทําความผิดตามพระราชบัญญัตินี้เป็นบุคคล ถ้าการกระทําความผิดของบุคคลนั้นเกิดจากการสั่งการหรือการกระทําของกรรมการผู้จัดการ หรือบุคคลใดซึ่งรับผิดชอบในการดําเนินงานของนิติบุคคลนั้น หรือในกรณีที่กรรมการผู้จัดการ หรือบุคคลดังกล่าวได้รู้เห็นยินยอมให้มีการกระทําความผิดนั้น ให้ถือว่ากรรมการผู้จัดการ หรือบุคคลดังกล่าวต้องร่วมกระทําความผิดและต้องได้รับโทษเช่นเดียวกับผู้กระทําความผิดนั้น ๆ ด้วย

ส่วนที่ ๒ โทษทางปกครอง

มาตรา ๑๘ ผู้ควบคุมข้อมูลส่วนบุคคลซึ่งได้ไม่ปฏิบัติตามมาตรา ๒๑ มาตรา ๒๓ วรรคหนึ่ง มาตรา ๒๗ วรรคหนึ่ง มาตรา ๒๘ วรรคหนึ่ง หรือมาตรา ๒๙ วรรคสองหรือวรรคสาม หรือไม่ขอความยินยอมตามที่คณะกรรมการกําหนดตามมาตรา ๑๙ วรรคสาม หรือไม่แจ้งเหตุผลการขอความยินยอมตามมาตรา ๑๙ วรรคห้า หรือไม่ปฏิบัติตามมาตรา ๒๔ วรรคหนึ่ง หรือวรรคสาม ต้องระวางโทษปรับทางปกครองไม่เกินหนึ่งล้านบาท

มาตรา ๑๙ ผู้ควบคุมข้อมูลส่วนบุคคลซึ่งได้ไม่ปฏิบัติตามมาตรา ๒๖ วรรคหนึ่ง หรือวรรคสอง มาตรา ๒๗ วรรคหนึ่ง หรือวรรคสอง หรือมาตรา ๒๘ วรรคหนึ่ง หรือวรรคสอง หรือมาตรา ๒๙ วรรคสอง หรือวรรคสาม หรือไม่ขอความยินยอมโดยการหลอกลวงหรือทําให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์ หรือไม่ปฏิบัติตามมาตรา ๒๖ ซึ่งได้กําหนดไว้ชัดเจนโดยอุโลมตามมาตรา ๒๕ วรรคสอง หรือส่งหรือโอนข้อมูลส่วนบุคคลโดยไม่เป็นไปตามมาตรา ๒๙ วรรคหนึ่ง หรือวรรคสาม ต้องระวางโทษปรับทางปกครองไม่เกินห้าล้านบาท

มาตรา ๒๐ ผู้ควบคุมข้อมูลส่วนบุคคลซึ่งได้ไม่ปฏิบัติตามมาตรา ๒๔ วรรคหนึ่ง หรือวรรคสอง มาตรา ๒๗ วรรคหนึ่ง หรือวรรคสอง หรือมาตรา ๒๘ วรรคหนึ่ง หรือวรรคสอง หรือมาตรา ๒๙ วรรคสอง หรือวรรคสาม หรือส่งหรือโอนข้อมูลส่วนบุคคลตามมาตรา ๒๖ โดยไม่เป็นไปตามมาตรา ๒๔ วรรคหนึ่ง หรือวรรคสาม ต้องระวางโทษปรับทางปกครองไม่เกินห้าล้านบาท

มาตรา ๒๑ ผู้ควบคุมข้อมูลส่วนบุคคลซึ่งได้ไม่ปฏิบัติตามมาตรา ๔๐ โดยไม่มีเหตุอันควรหรือส่งหรือโอนข้อมูลส่วนบุคคลโดยไม่เป็นไปตามมาตรา ๒๙ วรรคหนึ่งหรือวรรคสาม หรือไม่ปฏิบัติตามมาตรา ๔๕ (๕) ซึ่งได้กําหนดไว้ชัดเจนโดยอุโลมตามมาตรา ๔๖ วรรคสอง ต้องระวางโทษปรับทางปกครองไม่เกินห้าล้านบาท

มาตรา ๓๗ ผู้ประมวลผลข้อมูลส่วนบุคคลผู้ใดส่งหรือโอนข้อมูลส่วนบุคคลตามมาตรา ๒๘ วรรคหนึ่งหรือวรรคสาม โดยไม่เป็นไปตามมาตรา ๒๙ วรรคหนึ่งหรือวรรคสาม ต้องระวางโทษปรับทางปกครองไม่เกินห้าล้านบาท

มาตรา ๓๘ ต้นหนผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลผู้ใดไม่ปฏิบัติตามมาตรา ๓๓ วรรคหนึ่ง ซึ่งนำมาใช้บังคับโดยอนุโลมตามมาตรา ๓๓ วรรคสอง และมาตรา ๑๕ วรรคหนึ่ง ซึ่งนำมาใช้บังคับโดยอนุโลมตามมาตรา ๑๕ วรรคสี่ ต้องระวางโทษปรับทางปกครองไม่เกินหนึ่งล้านบาท

มาตรา ๓๙ ผู้ใดไม่ปฏิบัติตามคำสั่งของคณะกรรมการผู้เชี่ยวชาญหรือไม่มาเบิกข้อเท็จจริงตามมาตรา ๔๕ หรือไม่ปฏิบัติตามมาตรา ๒๖ (๑) หรือไม่อำนวยความสะดวกแก่พนักงานเจ้าหน้าที่ตามมาตรา ๒๖ วรรคสี่ ต้องระวางโทษปรับทางปกครองไม่เกินห้าแสนบาท

มาตรา ๔๐ คณะกรรมการผู้เชี่ยวชาญมีอำนาจสั่งลงโทษปรับทางปกครองตามที่กำหนดไว้ในหมวดนี้ ทั้งนี้ในการสั่งแสดงมูลคณะกรรมการผู้เชี่ยวชาญจะสั่งให้แก้ไขหรือจัดเตือนก่อนก็ได้

ในการพิจารณาออกคำสั่งลงโทษปรับทางปกครอง ให้คณะกรรมการผู้เชี่ยวชาญคำนึงถึงความร้ายแรงแห่งพฤติการณ์ที่กระทำผิด ขนาดกิจการของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล หรือผลกระทบที่เกิดขึ้นต่อเจ้าของข้อมูลส่วนบุคคลด้วย ในกรณีที่ผู้ถูกลงโทษปรับทางปกครองไม่ชำระค่าปรับภายในระยะเวลาที่กำหนด ให้พนักงานเจ้าหน้าที่มีอำนาจบังคับชำระค่าปรับทางปกครองได้ โดยให้ถือว่าคำสั่งลงโทษปรับทางปกครองเป็นคำสั่งทางปกครองตามกฎหมายว่าด้วยวิธีปฏิบัติราชการทางปกครอง และในกรณีที่ไม่สามารถบังคับชำระค่าปรับทางปกครองได้ ให้คณะกรรมการผู้เชี่ยวชาญมีอำนาจสั่งให้ยึดหรืออายัดทรัพย์สินของผู้ถูกลงโทษปรับทางปกครองได้ ให้คณะกรรมการผู้เชี่ยวชาญมีอำนาจสั่งให้ขายทอดตลาดทรัพย์สินดังกล่าวตามกฎหมายว่าด้วยการบังคับคดี และบังคับให้มีการยึดหรืออายัดทรัพย์สินขายทอดตลาดเพื่อชำระค่าปรับได้ คำสั่งลงโทษปรับทางปกครองและคำสั่งใด ๆ ในการบังคับชำระค่าปรับทางปกครอง ให้ถือว่าเป็นคำสั่งทางปกครองตามกฎหมายว่าด้วยวิธีปฏิบัติราชการทางปกครอง และให้การบังคับชำระค่าปรับทางปกครองเป็นไปตามกฎหมายว่าด้วยการบังคับคดีโดยอนุโลม

มาตรา ๔๑ วรรคแรก นำมาใช้บังคับโดยอนุโลม และให้กำหนดตามมาตรา ๔๑ วรรคสี่ นำมาใช้บังคับกับการบังคับทางปกครองตามวรรคสามโดยอนุโลม

บทเฉพาะกาล

มาตรา ๔๒ ในวาระแรกเริ่ม ให้คณะกรรมการประกอบด้วยกรรมการตามมาตรา ๘ (๒) และให้เลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเป็นกรรมการและเลขานุการ เพื่อปฏิบัติหน้าที่เท่าที่เกี่ยวข้องไปพลางก่อนจนกว่าจะมีการแต่งตั้งกรรมการอื่นเข้ามาเพิ่มเติม และให้รองประธานกรรมการคนที่หนึ่งและรองประธานกรรมการคนที่สองตามมาตรา ๘ (๓) และกรรมการผู้ทรงคุณวุฒิตามมาตรา ๘ (๔) ภายในกำหนดหกสิบวันนับแต่วันที่พระราชบัญญัตินี้ใช้บังคับ

```

มาตรา ๔๕ ให้ดำเนินการเพื่อให้คณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายในกำกับวันนับตั้งแต่วันที่มีการแต่งตั้งประธานกรรมการ และกรรมการผู้ทรงคุณวุฒิตามมาตรา ๓๑

ให้ดำเนินการแต่งตั้งเลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลพระราชบัญญัตินี้ให้แล้วเสร็จภายในกำกับวันนับตั้งแต่วันที่คณะกรรมการมีมติแต่งตั้งตามมาตรา ๓๓

มาตรา ๔๖ ให้ดำเนินการจัดตั้งสำนักงานให้แล้วเสร็จเพื่อปฏิบัติตามพระราชบัญญัตินี้ภายในหนึ่งปีนับตั้งแต่วันที่พระราชบัญญัตินี้ใช้บังคับ

ในระหว่างที่การดำเนินการจัดตั้งสำนักงานยังไม่แล้วเสร็จ ให้สำนักงานปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมทำหน้าที่สำนักงานตามพระราชบัญญัตินี้ และให้รัฐมนตรีแต่งตั้งรองปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมคนหนึ่งทำหน้าที่เลขาธิการจากข้อยกเว้นการแต่งตั้งเลขาธิการตามมาตรา ๓๒ วรรคสอง

มาตรา ๔๗ ในวาระเริ่มแรก ให้คณะรัฐมนตรีจัดสรรงบประมาณให้แก่สำนักงานตามความจำเป็น

ให้รัฐมนตรีเสนอคณะรัฐมนตรีเพื่อจัดสรรงบให้ข้าราชการ พนักงาน เจ้าหน้าที่ หรือผู้ปฏิบัติงานอื่นใดในหน่วยงานของรัฐฯ ปฏิบัติงานเป็นพนักงานของสำนักงานในการจัดสรรงบประมาณในระหว่างที่ยังไม่มีการจัดตั้งสำนักงาน ให้ข้าราชการ พนักงาน เจ้าหน้าที่ หรือผู้ปฏิบัติงานอื่นใดในหน่วยงานของรัฐฯ ที่ปฏิบัติงานในหน่วยงานของรัฐฯ ได้รับเงินเดือนหรือค่าจ้าง และเบี้ยเลี้ยง จากงบประมาณของรัฐฯ ตามที่คณะกรรมการอาจกำหนด ในระหว่างปฏิบัติงานในสำนักงานด้วยก็ได้ ภายในหนึ่งร้อยแปดสิบวันนับแต่วันที่จัดตั้งสำนักงานแล้วเสร็จ ให้สำนักงานดำเนินการคัดเลือกข้าราชการ พนักงาน เจ้าหน้าที่ หรือผู้ปฏิบัติงานอื่นใดในหน่วยงานของรัฐฯ ตามวรรคสองเพื่อบรรจุเข้าทำงานของสำนักงานต่อไป ข้าราชการ พนักงาน เจ้าหน้าที่ หรือผู้ปฏิบัติงานอื่นใดในหน่วยงานของรัฐฯ ที่ได้รับการคัดเลือกและบรรจุตามวรรคสอง ให้มีสิทธิเป็นข้าราชการพลเรือนสามัญโดยไม่ต้องคัดเลือกเนื่องรวมกับระยะเวลาทำงานในสำนักงานตามพระราชบัญญัตินี้

มาตรา ๔๘ ข้อมูลส่วนบุคคลที่ผู้ควบคุมข้อมูลส่วนบุคคลได้เก็บรวบรวมไว้ก่อนวันที่พระราชบัญญัตินี้ใช้บังคับ ให้ผู้ควบคุมข้อมูลส่วนบุคคลสามารถเก็บรวบรวมไว้ต่อไปได้

การใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่เก็บรวบรวมไว้ก่อนวันที่พระราชบัญญัตินี้ใช้บังคับ ให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการให้เป็นไปตามบทบัญญัติแห่งพระราชบัญญัตินี้ภายในกำกับวันนับแต่วันที่พระราชบัญญัตินี้ใช้บังคับ ความยินยอมและการแจ้งประสงค์ขอถอนความยินยอมที่ได้ให้ไว้ก่อนวันที่พระราชบัญญัตินี้ใช้บังคับ ให้ถือว่าความยินยอมและการแจ้งประสงค์ขอถอนความยินยอมดังกล่าวเป็นไปตามบทบัญญัติแห่งพระราชบัญญัตินี้ การเปิดเผยข้อมูลส่วนบุคคลที่เก็บรวบรวมไว้ก่อนวันที่พระราชบัญญัตินี้ใช้บังคับ ให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการให้เป็นไปตามบทบัญญัติแห่งพระราชบัญญัตินี้ ```

มาตรา ๘๖ การดำเนินการออกระเบียบ และประกาศตามพระราชบัญญัตินี้ ให้ดำเนินการให้แล้วเสร็จภายในหนึ่งปีนับแต่วันที่พระราชบัญญัตินี้ใช้บังคับ หากไม่สามารถดำเนินการได้ให้มีเหตุผลแสดงเหตุผลที่ไม่อาจดำเนินการให้คณะรัฐมนตรีทราบ

ผู้รับสนองพระบรมราชโองการ พลเอก ประยุทธ์ จันทร์โอชา นายกรัฐมนตรี หมายเหตุ :- เหตุผลในการประกาศใช้พระราชบัญญัติฉบับนี้ คือ เนื่องจากปัจจุบันมีการล่วงละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคลเป็นจำนวนมากอันเนื่องจากการเคลื่อนไหวทางธุรกิจหรือความเสี่ยงภัยที่เกิดจากข้อมูลส่วนบุคคล ประกอบกับความก้าวหน้าของเทคโนโลยีทำให้การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเป็นการล่วงละเมิดสิทธิส่วนตัว ทำได้ง่าย สะดวก และรวดเร็ว จึงให้เกิดความเสียหายต่อเจ้าของข้อมูลโดยตรง สมควรกำหนดให้มีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสม เพื่อให้เจ้าของข้อมูลส่วนบุคคลมีสิทธิควบคุมข้อมูลส่วนบุคคลของตน และเพื่อให้การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเป็นไปตามสิทธิของเจ้าของข้อมูลส่วนบุคคล การให้ความคุ้มครองข้อมูลส่วนบุคคลเป็นหลักการทั่วไป จึงจำเป็นต้องตราพระราชบัญญัตินี้ สำนักงานคณะกรรมการกฤษฎีกา ปลัดกระทรวงการคลัง/เสนอ/จัดทำ ๒๘ พฤษภาคม ๒๕๖๒ พิมพ์/ตรวจ ๓ มิถุนายน ๒๕๖๒