ตระหนักรู้การป้องกันข้อมูลส่วนบุคคล 

ข่าวประชาสัมพันธ์

 2024-03-01  28

พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

มาทำความรู้จัก “การคุ้มครองข้อมูลส่วนบุคคล” ตามกฎหมายฉบับนี้

          พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ประกาศในราชกิจจานุเบกษาเมื่อ 27 พฤษภาคม 2562 โดย หมวด 1 คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และ หมวด 4 สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล มีผลบังคับใช้เมื่อ 28 พฤษภาคม 2562 และมีผลบังคับใช้ทั้งฉบับในวันที่ 27 พฤษภาคม 2563

ข้อมูลส่วนบุคคล มีะไรบ้าง ?

          ข้อมูลบุคคล เป็นข้อมูลเกี่ยวกับบุคคลซี่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ ข้อมูลส่วนบุคคลของเรานั้นถูกเก็บรวบรวมเพื่อใช้งานในด้านต่างๆ ไม่ว่าเป็นการแสดงผลในโซเชียลเน็ตเวิร์กต่างๆ เพื่อบอกเอกลักษณ์ของเรา เช่น เพศ, อายุ, ชื่อ, วันเกิด, ลายนิ้วมือ หรือประวัติการท่องเว็บ Cookie, Location,  Browsing History, ที่อยู่, เบอร์โทร, รายชื่อเพื่อน, E – mai,l รหัสประจำตัว ฯลฯ ล้วนแต่ก็เป็นข้อมูลส่วนบุคคลทั้งสิ้น กฎหมายฉบับนี้คุ้มครองข้อมูลส่วนบุคคลของบุคคลธรรมดาเท่านั้น

สาระสำคัญของ พ.ร.บ.

• • • เจ้าของข้อมูลส่วนบุคคลต้องยินยอมก่อน
      • การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลจะต้องได้รับการยินยอมจากเจ้าของข้อมูลส่วนบุคคลนั้น โดยทำให้ชัดแจ้ง เป็นหนังสือหรือทำโดยผ่านระบบอิเล็กทรอนิกส์
    • ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งวัตถุประสงค์ให้ชัดเจน
      • ต้องแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลให้เจ้าของข้อมูลทราบ โดยการขอความยินยอมนั้นต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน มีแบบหรือข้อความที่เข้าถึงได้ง่าย เข้าใจได้ รวมถึงใช้ภาษาที่อ่านง่าย ไม่ทำให้เจ้าของข้อมูลเข้าใจผิดในวัตถุประสงค์ดังกล่าว ทั้งนี้ในการให้ความยินยอมต้องไม่มีเงื่อนไขที่ไม่มีความเกี่ยวข้องสำหรับการเข้าทำสัญญา ซึ่งรวมถึงการให้บริการนั้น ๆ
      • ถ้าการถอนความยินยอมส่งผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลในเรื่องใด ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงผลกระทบจากการถอนความยินยอมนั้น
    • สิทธิเจ้าของข้อมูล (Data Owner)
      • เจ้าของข้อมูลส่วนบุคคลมีสิทธิถอนความยินยอมเมื่อใดก็ได้และต้องถอนความยินยอมได้ง่าย เช่นเดียวกับการให้ความยินยอม
      • เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตนซึ่งอยู่ในความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล หรือขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลดังกล่าวที่ตนไม่ได้ให้ความยินยอม
      • เจ้าของข้อมูลส่วนบุคคลมีสิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับตนเมื่อใดก็ได้ ดังนี้
        • กรณีได้รับยกเว้นไม่ต้องขอความยินยอม
        • เพื่อวัตถุประสงค์เกี่ยวกับการตลาดแบบตรง
        • เพื่อวัตถุประสงค์เกี่ยวกับการศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ เว้นแต่เป็นการจำเป็นเพื่อการดำเนินภารกิจเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคล
      • เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลได้
    • หน้าที่ผู้ควบคุมข้อมูล (Data Controller)
      • ต้องดำเนินการให้ข้อมูลส่วนบุคคลนั้นถูกต้องเป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด
      • จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม
      • ดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนดระยะเวลาการเก็บรักษา
      • แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สานักงานโดยไม่ชักช้าภายในเจ็ดสิบสอง (72) ชั่วโมง
      • กำหนดหน้าที่และควบคุมการดำเนินงานของผู้ประมวลผลข้อมูลส่วนบุคคล
      • จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของตน
      • บันทึกรายการ
        • ข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม
        • วัตถุประสงค์ของการเก็บรวบรวม
        • ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล
        • ระยะเวลาการเก็บรักษาข้อมูล
        • สิทธิวิธีการเข้าถึงข้อมูลรวมทั้งเงื่อนไขเกี่ยวกับบุคคลที่มีสิทธิเข้าถึงข้อมูล
        • การใช้หรือเปิดเผยข้อมูล
        • การปฏิเสธคำขอหรือการคัดค้าน
        • คำอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัย
    • หน้าที่ผู้ประมวลผลข้อมูลส่วนบุคคล  (Data Processor)
      • เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น
      • จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม รวมทั้งแจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น
      • จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของตน
      • จัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคล
    • เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
      • ให้คำแนะนำผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเกี่ยวกับการปฏิบัติตามพระราชบัญญัตินี้
      • ตรวจสอบเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
      • ประสานงานและให้ความร่วมมือกับสำนักงานในการปฏิบัติตามพระราชบัญญัตินี้
      • รักษาความลับของข้อมูลส่วนบุคคลที่ตนล่วงรู้
    • บทลงโทษ
      • ความรับผิดทางแพ่ง
        • ชดใช้ค่าสินไหมทดแทนแก่เจ้าของข้อมูลส่วนบุคคล และให้หมายความรวมถึงค่าใช้จ่ายทั้งหมดที่เจ้าของข้อมูลส่วนบุคคลได้ใช้จ่ายไปตามความจำเป็นในการป้องกันความเสียหายที่กำลังจะเกิดขึ้นหรือระงับความเสียหายที่เกิดขึ้นแล้วด้วย
      • โทษอาญา
        • ผู้ควบคุมข้อมูลส่วนบุคคลผู้ใดฝ่าฝืน น่าจะทำให้ผู้อื่นเกิดความเสียหาย เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย มีโทษจำคุกไม่เกินหกเดือน ( 6 เดือน ) หรือปรับไม่เกินห้าแสน ( 500,000 ) บาท หรือทั้งจำทั้งปรับ
        • ผู้ควบคุมข้อมูลส่วนบุคคลผู้ใดฝ่าฝืน เพื่อแสวงหาประโยชน์ที่มิควรได้โดยชอบด้วยกฎหมายสำหรับตนเองหรือผู้อื่น มีโทษจำคุกไม่เกินหนึ่งปี ( 1 ปี ) หรือปรับไม่เกินหนึ่งล้าน ( 1,000,000 )บาท หรือทั้งจำทั้งปรับ
        • ล่วงรู้ข้อมูลส่วนบุคคลของผู้อื่นเนื่องจากการปฏิบัติหน้าที่และนำไปเปิดเผยแก่ผู้อื่น มีโทษจำคุกไม่เกินหกเดือน ( 6 เดือน ) หรือปรับไม่เกินห้าแสน ( 500,000 ) บาท หรือทั้งจำทั้งปรับ
      • โทษทางปกครอง
        • ไม่ขอความยินยอมตามแบบหรือข้อความที่คณะกรรมการประกาศ หรือไม่แจ้งผลกระทบจากการถอนความยินยอม มีโทษปรับทางปกครองไม่เกินหนึ่งล้าน ( 1,000,000 ) บาท
        • ขอความยินยอมโดยการหลอกลวงหรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์ ส่งหรือโอนข้อมูลส่วนบุคคลโดยไม่มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ มีโทษปรับทางปกครองไม่เกินสามล้าน ( 3,000,000 ) บาท
        • เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอม มีโทษปรับทางปกครองไม่เกินห้าล้าน ( 5,000,000 ) บาท
        • ต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ไม่ปฏิบัติตามมีโทษปรับทางปกครองไม่เกินหนึ่ง ( 1,000,000 ) ล้านบาท
        • ผู้ประมวลผลข้อมูลส่วนบุคคลผู้ใดไม่ปฏิบัติตามมาตรา ๔๐ โดยไม่มีเหตุอันควรหรือส่งหรือโอนข้อมูลส่วนบุคคลโดยไม่เป็นไปตามมาตรา ๒๙ วรรคหนึ่งหรือวรรคสาม หรือไม่ปฏิบัติ ตามมาตรา ๓๗ (๕) ซึ่งได้นำมาใช้บังคับโดยอนุโลมตามมาตรา ๓๘ วรรคสอง ต้องระวางโทษปรับทางปกครองไม่เกินสามล้าน ( 3,000,000 ) บาท
        • ผู้ประมวลผลข้อมูลส่วนบุคคลผู้ใดส่งหรือโอนข้อมูลส่วนบุคคลโดยไม่เป็นไปตามนโยบายในการคุ้มครองข้อมูลส่วนบุคคลที่ได้รับการตรวจสอบและรับรอง หรือไม่มีมาตรการคุ้มครองที่เหมาะสมตามหลักเกณฑ์ที่คณะกรรมการประกาศกำหนด มีโทษปรับทางปกครองไม่เกินห้าล้าน ( 5,000,000 ) บาท
        • ตัวแทนผู้ควบคุมข้อมูลส่วนบุคคลหรือตัวแทนผู้ประมวลผลข้อมูลส่วนบุคคล ผู้ใดไม่ปฏิบัติตามมาตรา ๓๙ วรรคหนึ่ง ซึ่งได้นำมาใช้บังคับโดยอนุโลมตามมาตรา ๓๙ วรรคสอง และมาตรา ๔๑ วรรคหนึ่ง ซึ่งได้นำมาใช้บังคับโดยอนุโลมตามมาตรา ๔๑ วรรคสี่ ต้องระวางโทษปรับทางปกครองไม่เกินหนึ่งล้าน ( 1,000,000 ) บาท
        • ผู้ใดไม่ปฏิบัติตามคำสั่งของคณะกรรมการผู้เชี่ยวชาญหรือไม่อำนวยความสะดวกแก่พนักงานเจ้าหน้าที่ มีโทษปรับทางปกครองไม่เกินห้าแสน ( 500,000 ) บาท
        • กรณีที่เห็นสมควรคณะกรรมการผู้เชี่ยวชาญจะสั่งให้แก้ไขหรือตักเตือนก่อนก็ได้
      •  
      •  
  • • •  
      • • ลิงค์ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 
        • 20240301094950_1_file.pdf (fisheries.go.th)20240301094950_1_file.pdf (fisheries.go.th)

• ← เก่ากว่า
• ใหม่กว่า →