สรุปสาระสำคัญกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Act (PDPA)) บททั่วไป (General Provisions) ผู้ควบคุมข้อมูลส่วนบุคคลจะทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไม่ได้หากเจ้าของ ข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอม
การขอความยินยอมต้องทำโดยชัดแจ้ง เป็นหนังสือ หรือทำโดยผ่านระบบอิเล็กทรอนิกส์ การขอความยินยอม ต้องแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้หรือเปิดเผยข้อส่วนบุคคลไปด้วย เจ้าของข้อมูลส่วนบุคคลจะถอนความยินยอมเมื่อใดก็ได้เว้นแต่มีข้อจำกัดสิทธิในการถอนความยินยอม การขอความยินยอมจากผู้เยาว์ต้องได้รับความยินยอมจากผู้ใช้อำนาจปกครอง ผู้เยาว์จะขอถอนความยินยอมต้องได้รับความยินยอมจากผู้ใช้อำนาจปกครอง การขอความยินยอมจากคนไร้ความสามารถต้องได้รับความยินยอมจากผู้อนุบาล
คนไร้ความสามารถจะถอนความยินยอมต้องได้รับความยินยอมจากผู้อนุบาล การขอความยินยอมจากคนเสมือนไร้ความสามารถต้องได้รับความยินยอมจากผู้พิทักษ์ คนเสมือนไร้ความสามารถจะถอนความยินยอมจะต้องได้รับความยินยอมจากผู้พิทักษ์ การใช้หรือเปิดเผยข้อมูลส่วนบุคคล (Use or Disclosure of Personal Data) โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลไม่สามารถทำได้เว้นแต่เป็นข้อมูลส่วนบุคคลที่เก็บรวบรวมได้โดยได้รับยกเว้นไม่ต้องขอความยินยอม การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ ประเทศปลายทางหรือองค์การระหว่างประเทศต้องมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ เว้นแต่เข้าข้อยกเว้นตามกฎหมาย การส่งหรือโอนข้อมูลไปยังผู้ควบคุมข้อมูลส่วนบุคคลซึ่งอยู่ต่างประเทศและอยู่ในเครือเดียวกันหรือเครือธุรกิจเดียวกัน หากนโยบายคุ้มครองข้อมูลส่วนบุคคลได้รับการรับรองจากสำนักงาน สามารถกระทำได้โดยประเทศปลายทางไม่ต้องมีมาตรฐานการคุ้มครองที่เพียงพอก็ได้ สิทธิของเจ้าของข้อมูลส่วนบุคคล (Rights of the data subject) เจ้าของข้อมูลส่วนบุคคลมีสิทธิดังต่อไปนี้ (1) มีสิทธิขอเข้าถึงและรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตนซึ่งอยู่ในความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคลหรือขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลที่ตนไม่ได้ให้ความยินยอม (2) มีสิทธิขอรับข้อมูลส่วนบุคคลที่เกี่ยวกับตนจากผู้ควบคุมข้อมูลส่วนบุคคล และขอให้ส่งหรือโอนข้อมูลส่วนบุคคลได้ (3) มีสิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเกี่ยวกับตนเมื่อใดก็ได้ (4) มีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการลบหรือทำลายหรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ (5)มีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลระงับการใช้ข้อมูลส่วนบุคคลได้ (6) สิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการให้ข้อมูลส่วนบุคคลถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด (7) ขอถอนความยินยอมเสียเมื่อใดก็ได้ เว้นแต่มีข้อจำกัดสิทธิในการถอนความยินยอม และ(8) มีสิทธิร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญ ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) มีหน้าที่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยน แก้ไข หรือเปิดเผยข้อมูลโดยปราศจากอำนาจหรือโดยมิชอบ ประกอบด้วยมาตรการเชิงองค์กรและมาตรการเชิงเทคนิคที่เหมาะสม ซึ่งอาจรวมถึงมาตรการทางกายภาพ ที่จำเป็นด้วย จัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนดระยะเวลาการเก็บรักษาหรือที่ไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนยุคคลนั้น ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) มีหน้าที่ ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น ผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของตน เมื่อเข้าหลักเกณฑ์ตามที่กฎหมายกำหนด เช่นเป็นหน่วยงานของรัฐตามที่คณะกรรมการกำหนด เป็นต้น เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer :DPO) มีหน้าที่ให้คำแนะนำแก่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งลูกจ้าหรือผู้รับจ้างเกี่ยวกับการปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ตรวจสอบ การดำเนินงานของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเกี่ยวกับการเก็บรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อให้เป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล เป็นต้น สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (Office of the Personal Data Protection Committee) มีวัตถุประสงค์เกี่ยวกับการ การร้องเรียน ( Complaints) เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล ฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลหรือประกาศที่ออกตามกฎหมายนี้ คณะกรรมการผู้เชี่ยวชาญมีอำนาจสั่งให้ผู้ฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายปฏิบัติหรือดำเนินการแก้ไขการกระทำของตนให้ถูกต้องภายในระยะเวลาที่กำหนด หรือสั่งห้ามผู้ฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายกระทำการที่ก่อให้เกิดความเสียหายแก่เจ้าของข้อมูลส่วนบุคคลหรือให้กระทำการใดเพื่อระงับความเสียหายนั้นภายในระยะเวลาที่กำหนด ความรับผิดทางแพ่ง (Civil Liability)ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งดำเนินการใด ๆ เกี่ยวกับข้อมูล โทษอาญา (Criminal Liability) การฝ่าฝืนกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล โดยประการที่น่าจะทำให้ผู้อื่นเกิดความเสียหาย โทษทางปกครอง (Administrative Liability) กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนดโทษทางปกครองแก่ผู้ที่ฝ่าฝืนหรือไม่ |