พร บ คุ้มครองข้อมูลส่วน บุคคล มาตรา 27

สรุปสาระสำคัญกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Act (PDPA))

บททั่วไป  (General Provisions)  ผู้ควบคุมข้อมูลส่วนบุคคลจะทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไม่ได้หากเจ้าของ ข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอม    การขอความยินยอมต้องทำโดยชัดแจ้ง  เป็นหนังสือ หรือทำโดยผ่านระบบอิเล็กทรอนิกส์  การขอความยินยอม ต้องแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้หรือเปิดเผยข้อส่วนบุคคลไปด้วย   เจ้าของข้อมูลส่วนบุคคลจะถอนความยินยอมเมื่อใดก็ได้เว้นแต่มีข้อจำกัดสิทธิในการถอนความยินยอม     การขอความยินยอมจากผู้เยาว์ต้องได้รับความยินยอมจากผู้ใช้อำนาจปกครอง ผู้เยาว์จะขอถอนความยินยอมต้องได้รับความยินยอมจากผู้ใช้อำนาจปกครอง การขอความยินยอมจากคนไร้ความสามารถต้องได้รับความยินยอมจากผู้อนุบาล คนไร้ความสามารถจะถอนความยินยอมต้องได้รับความยินยอมจากผู้อนุบาล การขอความยินยอมจากคนเสมือนไร้ความสามารถต้องได้รับความยินยอมจากผู้พิทักษ์  คนเสมือนไร้ความสามารถจะถอนความยินยอมจะต้องได้รับความยินยอมจากผู้พิทักษ์ 
 
การเก็บรวบรวมข้อมูลส่วนบุคคล  (collection of Personal Data)   ให้เก็บได้เท่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล  การเก็บข้อมูลส่วนบุคคลจะต้องแจ้งวัตถุประสงค์และรายละเอียด  การเก็บรวบรวมข้อมูลส่วนบุคคลต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่จะเข้าข้อยกเว้นตามกฎหมาย  ห้ามเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่จากเจ้าของข้อมูลส่วนบุคคลโดยตรง เว้นแต่จะเข้าข้อยกเว้นตามกฎหมาย  การเก็บรวบรวมข้อมูลส่วนบุคคลที่มีความอ่อนไหว เช่นเกี่ยวกับเชื้อชาติ  เผ่าพันธุ์ ความคิดเห็นทางการเมือง ประวัติอาชญากรรม  ฯลฯ ทำไม่ได้ เว้นแต่จะเข้าข้อยกเว้นตามกฎหมาย

การใช้หรือเปิดเผยข้อมูลส่วนบุคคล  (Use or Disclosure of Personal Data)  โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลไม่สามารถทำได้เว้นแต่เป็นข้อมูลส่วนบุคคลที่เก็บรวบรวมได้โดยได้รับยกเว้นไม่ต้องขอความยินยอม  การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ  ประเทศปลายทางหรือองค์การระหว่างประเทศต้องมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ เว้นแต่เข้าข้อยกเว้นตามกฎหมาย  การส่งหรือโอนข้อมูลไปยังผู้ควบคุมข้อมูลส่วนบุคคลซึ่งอยู่ต่างประเทศและอยู่ในเครือเดียวกันหรือเครือธุรกิจเดียวกัน หากนโยบายคุ้มครองข้อมูลส่วนบุคคลได้รับการรับรองจากสำนักงาน สามารถกระทำได้โดยประเทศปลายทางไม่ต้องมีมาตรฐานการคุ้มครองที่เพียงพอก็ได้

สิทธิของเจ้าของข้อมูลส่วนบุคคล (Rights of the data subject) เจ้าของข้อมูลส่วนบุคคลมีสิทธิดังต่อไปนี้ (1) มีสิทธิขอเข้าถึงและรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตนซึ่งอยู่ในความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคลหรือขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลที่ตนไม่ได้ให้ความยินยอม  (2) มีสิทธิขอรับข้อมูลส่วนบุคคลที่เกี่ยวกับตนจากผู้ควบคุมข้อมูลส่วนบุคคล และขอให้ส่งหรือโอนข้อมูลส่วนบุคคลได้ (3) มีสิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเกี่ยวกับตนเมื่อใดก็ได้  (4) มีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการลบหรือทำลายหรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้  (5)มีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลระงับการใช้ข้อมูลส่วนบุคคลได้ (6) สิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการให้ข้อมูลส่วนบุคคลถูกต้อง เป็นปัจจุบัน  สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด  (7) ขอถอนความยินยอมเสียเมื่อใดก็ได้ เว้นแต่มีข้อจำกัดสิทธิในการถอนความยินยอม  และ(8) มีสิทธิร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญ

ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) มีหน้าที่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม  เพื่อป้องกันการสูญหาย  เข้าถึง ใช้ เปลี่ยน แก้ไข หรือเปิดเผยข้อมูลโดยปราศจากอำนาจหรือโดยมิชอบ ประกอบด้วยมาตรการเชิงองค์กรและมาตรการเชิงเทคนิคที่เหมาะสม  ซึ่งอาจรวมถึงมาตรการทางกายภาพ ที่จำเป็นด้วย   จัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนดระยะเวลาการเก็บรักษาหรือที่ไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนยุคคลนั้น

ผู้ประมวลผลข้อมูลส่วนบุคคล  (Data Processor) มีหน้าที่ ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น ผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของตน เมื่อเข้าหลักเกณฑ์ตามที่กฎหมายกำหนด  เช่นเป็นหน่วยงานของรัฐตามที่คณะกรรมการกำหนด เป็นต้น

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer :DPO) มีหน้าที่ให้คำแนะนำแก่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งลูกจ้าหรือผู้รับจ้างเกี่ยวกับการปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล  ตรวจสอบ การดำเนินงานของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล  รวมทั้งลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเกี่ยวกับการเก็บรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อให้เป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล เป็นต้น

สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (Office of the Personal Data Protection Committee) มีวัตถุประสงค์เกี่ยวกับการ
คุ้มครองข้อมูลส่วนบุคคล รวมทั้งส่งเสริมและสนับสนุนให้เกิดการพัฒนาด้านการคุ้มครองข้อมูลส่วนบุคคลของประเทศ สำนักงานเป็นหน่วยงานของรัฐมีฐานะเป็นนิติบุคคล และไม่เป็นส่วนราชการตามกฎหมายว่าด้วยระเบียบบริหารราชการแผ่นดิน หรือ รัฐวิสาหกิจตามกฎหมายว่าด้วยวิธีการงบประมาณหรือกฎหมายอื่น

การร้องเรียน ( Complaints) เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล  รวมทั้งลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล  ฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลหรือประกาศที่ออกตามกฎหมายนี้ คณะกรรมการผู้เชี่ยวชาญมีอำนาจสั่งให้ผู้ฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายปฏิบัติหรือดำเนินการแก้ไขการกระทำของตนให้ถูกต้องภายในระยะเวลาที่กำหนด หรือสั่งห้ามผู้ฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายกระทำการที่ก่อให้เกิดความเสียหายแก่เจ้าของข้อมูลส่วนบุคคลหรือให้กระทำการใดเพื่อระงับความเสียหายนั้นภายในระยะเวลาที่กำหนด

ความรับผิดทางแพ่ง (Civil Liability)ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งดำเนินการใด ๆ  เกี่ยวกับข้อมูล
ส่วนบุคคลอันเป็นการฝ่าฝืนหรือไม่ปฏิบัติตามบทบัญญัติแห่งกฎหมายนี้ ทำให้เกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคล  ศาลมีอำนาจสั่งให้ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลจ่ายค่าสินไหมทดแทนเพื่อการลงโทษเพิ่มขึ้นจากจำนวนค่าสินไหมทดแทนที่แท้จริงที่ศาลกำหนดไว้ตามที่ศาลเห็นสมควร

โทษอาญา (Criminal Liability) การฝ่าฝืนกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล โดยประการที่น่าจะทำให้ผู้อื่นเกิดความเสียหาย 
เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย การล่วงรู้ข้อมูลส่วนบุคคลของผู้อื่นเนื่องจากการปฏิบัติหน้าที่ แล้วนำไปเปิดเผย
ในกรณีที่ผู้กระทำความผิดเป็นนิติบุคคล ถ้าการกระทำความผิดของนิติบุคคลนั้นเกิดจากการสั่งการหรือการกระทำของกรรมการหรือ
ผู้จัดการ หรือบุคคลใดซึ่งรับผิดชอบในการดำเนินงานของนิติบุคคลนั้น หรือกระทำการและละเว้นไม่สั่งการหรือไม่กระทำการจนเป็นเหตุให้นิติบุคคลนั้นกระทำความผิด ผู้นั้นต้องรับโทษตามที่บัญญัติไว้สำหรับความผิดนั้น ๆ ด้วย กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนดโทษทางอาญาแก่ผู้ที่ฝ่าฝืนกฎหมายไว้ต่ำสุดจำคุกไม่เกินหกเดือนหรือปรับไม่เกินห้าแสนบาทหรือทั้งจำทั้งปรับและโทษสูงสุดจำคุกไม่เกินหนึ่งปี หรือปรับไม่เกินห้าล้านบาท หรือทั้งจำทั้งปรับ

โทษทางปกครอง  (Administrative Liability)  กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนดโทษทางปกครองแก่ผู้ที่ฝ่าฝืนหรือไม่
ปฏิบัติตามกฎหมาย ไว้ต่ำสุดห้าแสนบาทและสูงสุดไม่เกินห้าล้านบาท