พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
 | หน้านี้ได้ทำลิงก์สารบัญไว้ แต่ยังไม่ได้ทำสารบัญ คุณสามารถช่วยทำได้ โดยดูตัวอย่างจากหน้าอื่น (เช่น พระราชบัญญัติลิขสิทธิ์ พ.ศ. 2537) |
พระวชิรเกล้าเจ้าอยู่หัว
พระบาทสมเด็จพระปรเมนทรรามาธิบดีศรีสินทรมหาวชิราลงกรณ พระวชิรเกล้าเจ้าอยู่หัว มีพระบรมราชโองการโปรดเกล้าฯ ให้ประกาศว่า
โดยที่เป็นการสมควรมีกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
พระราชบัญญัตินี้มีบทบัญญัติบางประการเกี่ยวกับการจำกัดสิทธิและเสรีภาพของบุคคล ซึ่งมาตรา ๒๖ ประกอบกับมาตรา ๓๒ มาตรา ๓๓ และมาตรา ๓๗ ของรัฐธรรมนูญแห่งราชอาณาจักรไทย บัญญัติให้กระทำได้โดยอาศัยอำนาจตามบทบัญญัติแห่งกฎหมาย
เหตุผลและความจำเป็นในการจำกัดสิทธิและเสรีภาพของบุคคลตามพระราชบัญญัตินี้ เพื่อให้การคุ้มครองข้อมูลส่วนบุคคลมีประสิทธิภาพและเพื่อให้มีมาตรการเยียวยาเจ้าของข้อมูลส่วนบุคคลจากการถูกละเมิดสิทธิในข้อมูลส่วนบุคคลที่มีประสิทธิภาพ ซึ่งการตราพระราชบัญญัตินี้สอดคล้องกับเงื่อนไขที่บัญญัติไว้ในมาตรา ๒๖ ของรัฐธรรมนูญแห่งราชอาณาจักรไทยแล้ว
จึงทรงพระกรุณาโปรดเกล้าฯ ให้ตราพระราชบัญญัติขึ้นไว้โดยคำแนะนำและยินยอมของสภานิติบัญญัติแห่งชาติทำหน้าที่รัฐสภา ดังต่อไปนี้
มาตรา๑พระราชบัญญัตินี้เรียกว่า “พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒”
มาตรา๒พระราชบัญญัตินี้ให้ใช้บังคับตั้งแต่วันถัดจากวันประกาศในราชกิจจานุเบกษาเป็นต้นไป เว้นแต่บทบัญญัติในหมวด ๒ หมวด ๓ หมวด ๕ หมวด ๖ หมวด ๗ และความในมาตรา ๙๕ และมาตรา ๙๖ ให้ใช้บังคับเมื่อพ้นกำหนดหนึ่งปีนับแต่วันประกาศในราชกิจจานุเบกษาเป็นต้นไป
มาตรา๓ในกรณีที่มีกฎหมายว่าด้วยการใดบัญญัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลในลักษณะใด กิจการใด หรือหน่วยงานใดไว้โดยเฉพาะแล้ว ให้บังคับตามบทบัญญัติแห่งกฎหมายว่าด้วยการนั้น เว้นแต่
(๑)บทบัญญัติเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล และบทบัญญัติเกี่ยวกับสิทธิของเจ้าของข้อมูลส่วนบุคคล รวมทั้งบทกำหนดโทษที่เกี่ยวข้อง ให้บังคับตามบทบัญญัติแห่งพระราชบัญญัตินี้เป็นการเพิ่มเติม ไม่ว่าจะซ้ำกับบทบัญญัติแห่งกฎหมายว่าด้วยการนั้นหรือไม่ก็ตาม
(๒)บทบัญญัติเกี่ยวกับการร้องเรียน บทบัญญัติที่ให้อำนาจแก่คณะกรรมการผู้เชี่ยวชาญออกคำสั่งเพื่อคุ้มครองเจ้าของข้อมูลส่วนบุคคล และบทบัญญัติเกี่ยวกับอำนาจหน้าที่ของพนักงานเจ้าหน้าที่ รวมทั้งบทกำหนดโทษที่เกี่ยวข้อง ให้บังคับตามบทบัญญัติแห่งพระราชบัญญัตินี้ ในกรณีดังต่อไปนี้
(ก)ในกรณีที่กฎหมายว่าด้วยการนั้นไม่มีบทบัญญัติเกี่ยวกับการร้องเรียน
(ข)ในกรณีที่กฎหมายว่าด้วยการนั้นมีบทบัญญัติที่ให้อำนาจแก่เจ้าหน้าที่ผู้มีอำนาจพิจารณาเรื่องร้องเรียนตามกฎหมายดังกล่าวออกคำสั่งเพื่อคุ้มครองเจ้าของข้อมูลส่วนบุคคล แต่ไม่เพียงพอเท่ากับอำนาจของคณะกรรมการผู้เชี่ยวชาญตามพระราชบัญญัตินี้และเจ้าหน้าที่ผู้มีอำนาจตามกฎหมายดังกล่าวร้องขอต่อคณะกรรมการผู้เชี่ยวชาญหรือเจ้าของข้อมูลส่วนบุคคลผู้เสียหายยื่นคำร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญตามพระราชบัญญัตินี้ แล้วแต่กรณี
มาตรา๔พระราชบัญญัตินี้ไม่ใช้บังคับแก่
(๑)การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบุคคลที่ทำการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อประโยชน์ส่วนตนหรือเพื่อกิจกรรมในครอบครัวของบุคคลนั้นเท่านั้น
(๒)การดำเนินการของหน่วยงานของรัฐที่มีหน้าที่ในการรักษาความมั่นคงของรัฐ ซึ่งรวมถึงความมั่นคงทางการคลังของรัฐ หรือการรักษาความปลอดภัยของประชาชน รวมทั้งหน้าที่เกี่ยวกับการป้องกันและปราบปรามการฟอกเงิน นิติวิทยาศาสตร์ หรือการรักษาความมั่นคงปลอดภัยไซเบอร์
(๓)บุคคลหรือนิติบุคคลซึ่งใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่ทำการเก็บรวบรวมไว้เฉพาะเพื่อกิจการสื่อมวลชน งานศิลปกรรม หรืองานวรรณกรรมอันเป็นไปตามจริยธรรมแห่งการประกอบวิชาชีพ หรือเป็นประโยชน์สาธารณะเท่านั้น
(๔)สภาผู้แทนราษฎร วุฒิสภา และรัฐสภา รวมถึงคณะกรรมาธิการที่แต่งตั้งโดยสภาดังกล่าว ซึ่งเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในการพิจารณาตามหน้าที่และอำนาจของสภาผู้แทนราษฎร วุฒิสภา รัฐสภา หรือคณะกรรมาธิการ แล้วแต่กรณี
(๕)การพิจารณาพิพากษาคดีของศาลและการดำเนินงานของเจ้าหน้าที่ในกระบวนการพิจารณาคดี การบังคับคดี และการวางทรัพย์ รวมทั้งการดำเนินงานตามกระบวนการยุติธรรมทางอาญา
(๖)การดำเนินการกับข้อมูลของบริษัทข้อมูลเครดิตและสมาชิกตามกฎหมายว่าด้วยการประกอบธุรกิจข้อมูลเครดิต
การยกเว้นไม่ให้นำบทบัญญัติแห่งพระราชบัญญัตินี้ทั้งหมดหรือแต่บางส่วนมาใช้บังคับแก่ผู้ควบคุมข้อมูลส่วนบุคคลในลักษณะใด กิจการใด หรือหน่วยงานใดทำนองเดียวกับผู้ควบคุมข้อมูลส่วนบุคคลตามวรรคหนึ่ง หรือเพื่อประโยชน์สาธารณะอื่นใด ให้ตราเป็นพระราชกฤษฎีกา
ผู้ควบคุมข้อมูลส่วนบุคคลตามวรรคหนึ่ง (๒) (๓) (๔) (๕) และ (๖) และผู้ควบคุมข้อมูลส่วนบุคคลของหน่วยงานที่ได้รับยกเว้นตามที่กำหนดในพระราชกฤษฎีกาตามวรรคสอง ต้องจัดให้มีการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลให้เป็นไปตามมาตรฐานด้วย
มาตรา๕พระราชบัญญัตินี้ให้ใช้บังคับแก่การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคลโดยผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งอยู่ในราชอาณาจักร ไม่ว่าการเก็บรวบรวม ใช้ หรือเปิดเผยนั้น ได้กระทำในหรือนอกราชอาณาจักรก็ตาม
ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลอยู่นอกราชอาณาจักร พระราชบัญญัตินี้ให้ใช้บังคับแก่การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลซึ่งอยู่ในราชอาณาจักรโดยการดำเนินกิจกรรมของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลดังกล่าว เมื่อเป็นกิจกรรม ดังต่อไปนี้
(๑)การเสนอสินค้าหรือบริการให้แก่เจ้าของข้อมูลส่วนบุคคลซึ่งอยู่ในราชอาณาจักร ไม่ว่าจะมีการชำระเงินของเจ้าของข้อมูลส่วนบุคคลหรือไม่ก็ตาม
(๒)การเฝ้าติดตามพฤติกรรมของเจ้าของข้อมูลส่วนบุคคลที่เกิดขึ้นในราชอาณาจักร
มาตรา๖ในพระราชบัญญัตินี้
“ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
“ผู้ควบคุมข้อมูลส่วนบุคคล” หมายความว่า บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
“ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายความว่า บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล
“บุคคล” หมายความว่า บุคคลธรรมดา
“คณะกรรมการ” หมายความว่า คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
“พนักงานเจ้าหน้าที่” หมายความว่า ผู้ซึ่งรัฐมนตรีแต่งตั้งให้ปฏิบัติการตามพระราชบัญญัตินี้
“สำนักงาน” หมายความว่า สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
“เลขาธิการ” หมายความว่า เลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
“รัฐมนตรี” หมายความว่า รัฐมนตรีผู้รักษาการตามพระราชบัญญัตินี้
มาตรา๗ให้รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมรักษาการตามพระราชบัญญัตินี้ และให้มีอำนาจแต่งตั้งพนักงานเจ้าหน้าที่ เพื่อปฏิบัติการตามพระราชบัญญัตินี้
มาตรา๘ให้มีคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ประกอบด้วย
(๑)ประธานกรรมการ ซึ่งสรรหาและแต่งตั้งจากผู้มีความรู้ ความเชี่ยวชาญ และประสบการณ์เป็นที่ประจักษ์ในด้านการคุ้มครองข้อมูลส่วนบุคคล ด้านการคุ้มครองผู้บริโภค ด้านเทคโนโลยีสารสนเทศและการสื่อสาร ด้านสังคมศาสตร์ ด้านกฎหมาย ด้านสุขภาพ ด้านการเงิน หรือด้านอื่น ทั้งนี้ ต้องเกี่ยวข้องและเป็นประโยชน์ต่อการคุ้มครองข้อมูลส่วนบุคคล
(๒)ปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เป็นรองประธานกรรมการ
(๓)กรรมการโดยตำแหน่ง จำนวนห้าคน ได้แก่ ปลัดสำนักนายกรัฐมนตรี เลขาธิการคณะกรรมการกฤษฎีกา เลขาธิการคณะกรรมการคุ้มครองผู้บริโภค อธิบดีกรมคุ้มครองสิทธิและเสรีภาพ และอัยการสูงสุด
(๔)กรรมการผู้ทรงคุณวุฒิ จำนวนเก้าคน ซึ่งสรรหาและแต่งตั้งจากผู้มีความรู้ ความเชี่ยวชาญ และประสบการณ์เป็นที่ประจักษ์ในด้านการคุ้มครองข้อมูลส่วนบุคคลด้านการคุ้มครองผู้บริโภค ด้านเทคโนโลยีสารสนเทศและการสื่อสาร ด้านสังคมศาสตร์ ด้านกฎหมาย ด้านสุขภาพ ด้านการเงิน หรือด้านอื่น ทั้งนี้ ต้องเกี่ยวข้องและเป็นประโยชน์ต่อการคุ้มครองข้อมูลส่วนบุคคล
ให้เลขาธิการเป็นกรรมการและเลขานุการ และให้เลขาธิการแต่งตั้งพนักงานของสำนักงานเป็นผู้ช่วยเลขานุการได้ไม่เกินสองคน
หลักเกณฑ์และวิธีการสรรหาบุคคลเพื่อแต่งตั้งเป็นประธานกรรมการและกรรมการผู้ทรงคุณวุฒิ รวมทั้งการสรรหาประธานกรรมการและกรรมการผู้ทรงคุณวุฒิเพื่อดำรงตำแหน่งแทนผู้ที่พ้นจากตำแหน่งก่อนวาระตามมาตรา ๑๓ ให้เป็นไปตามที่คณะรัฐมนตรีประกาศกำหนด ทั้งนี้ ต้องคำนึงถึงความโปร่งใสและความเป็นธรรมในการสรรหา
มาตรา๙ให้มีคณะกรรมการสรรหาคณะหนึ่งจำนวนแปดคนทำหน้าที่คัดเลือกบุคคลที่สมควรได้รับการแต่งตั้งเป็นประธานกรรมการตามมาตรา ๘ (๑) หรือกรรมการผู้ทรงคุณวุฒิตามมาตรา ๘ (๔) ประกอบด้วย
(๑)บุคคลซึ่งนายกรัฐมนตรีแต่งตั้งจำนวนสองคน
(๒)บุคคลซึ่งประธานรัฐสภาแต่งตั้งจำนวนสองคน
(๓)บุคคลซึ่งผู้ตรวจการแผ่นดินแต่งตั้งจำนวนสองคน และ
(๔)บุคคลซึ่งคณะกรรมการสิทธิมนุษยชนแห่งชาติแต่งตั้งจำนวนสองคน
ในกรณีที่ผู้มีอำนาจแต่งตั้งตาม (๒) (๓) หรือ (๔) ไม่สามารถแต่งตั้งกรรมการสรรหาในส่วนของตนได้ภายในสี่สิบห้าวันนับแต่วันที่ได้รับแจ้งจากสำนักงาน ให้สำนักงานเสนอชื่อให้นายกรัฐมนตรีพิจารณาแต่งตั้งบุคคลที่เหมาะสมเป็นกรรมการสรรหาแทนผู้มีอำนาจแต่งตั้งนั้น
ให้คณะกรรมการสรรหาเลือกกรรมการสรรหาคนหนึ่งเป็นประธานกรรมการสรรหาและเลือกกรรมการสรรหาอีกคนหนึ่งเป็นเลขานุการคณะกรรมการสรรหา และให้สำนักงานปฏิบัติหน้าที่เป็นหน่วยธุรการของคณะกรรมการสรรหา
ในกรณีที่ตำแหน่งกรรมการสรรหาว่างลง ให้ดำเนินการเพื่อให้มีกรรมการสรรหาแทนในตำแหน่งนั้นโดยเร็ว ในระหว่างที่ยังไม่ได้กรรมการสรรหาใหม่ ให้คณะกรรมการสรรหาประกอบด้วยกรรมการสรรหาเท่าที่มีอยู่
กรรมการสรรหาไม่มีสิทธิได้รับการเสนอชื่อเป็นประธานกรรมการตามมาตรา ๘ (๑) หรือกรรมการผู้ทรงคุณวุฒิตามมาตรา ๘ (๔)
มาตรา๑๐ในการสรรหาประธานกรรมการตามมาตรา ๘ (๑) หรือกรรมการผู้ทรงคุณวุฒิตามมาตรา ๘ (๔) ให้คณะกรรมการสรรหาคัดเลือกบุคคลผู้มีคุณสมบัติตามมาตรา ๘ (๑) หรือตามมาตรา ๘ (๔) แล้วแต่กรณี รวมทั้งมีคุณสมบัติและไม่มีลักษณะต้องห้ามตามมาตรา ๑๑ และยินยอมให้เสนอชื่อเข้ารับคัดเลือกเท่ากับจำนวนประธานกรรมการตามมาตรา ๘ (๑) หรือกรรมการผู้ทรงคุณวุฒิตามมาตรา ๘ (๔) ที่จะได้รับแต่งตั้ง
เมื่อได้คัดเลือกบุคคลเป็นประธานกรรมการตามมาตรา ๘ (๑) หรือกรรมการผู้ทรงคุณวุฒิตามมาตรา ๘ (๔) ครบจำนวนแล้ว ให้คณะกรรมการสรรหาแจ้งรายชื่อประธานกรรมการตามมาตรา ๘ (๑) หรือกรรมการผู้ทรงคุณวุฒิตามมาตรา ๘ (๔) พร้อมหลักฐานแสดงคุณสมบัติและการไม่มีลักษณะต้องห้าม รวมทั้งความยินยอมของบุคคลดังกล่าวต่อคณะรัฐมนตรีเพื่อแต่งตั้งเป็นประธานกรรมการตามมาตรา ๘ (๑) หรือกรรมการผู้ทรงคุณวุฒิตามมาตรา ๘ (๔)
ให้นายกรัฐมนตรีประกาศรายชื่อประธานกรรมการตามมาตรา ๘ (๑) หรือกรรมการผู้ทรงคุณวุฒิตามมาตรา ๘ (๔) ซึ่งได้รับแต่งตั้งจากคณะรัฐมนตรีในราชกิจจานุเบกษา
มาตรา๑๑ประธานกรรมการและกรรมการผู้ทรงคุณวุฒิต้องมีคุณสมบัติและไม่มีลักษณะต้องห้าม ดังต่อไปนี้
(๑)มีสัญชาติไทย
(๒)ไม่เป็นบุคคลล้มละลายหรือเคยเป็นบุคคลล้มละลายทุจริต
(๓)ไม่เป็นคนไร้ความสามารถหรือคนเสมือนไร้ความสามารถ
(๔)ไม่เคยต้องคำพิพากษาถึงที่สุดให้จำคุกไม่ว่าจะได้รับโทษจำคุกจริงหรือไม่ เว้นแต่เป็นโทษสำหรับความผิดที่ได้กระทำโดยประมาทหรือความผิดลหุโทษ
(๕)ไม่เคยถูกไล่ออก ปลดออก หรือให้ออกจากราชการ หน่วยงานของรัฐ หรือรัฐวิสาหกิจ หรือจากหน่วยงานของเอกชน เพราะทุจริตต่อหน้าที่หรือประพฤติชั่วอย่างร้ายแรง
(๖)ไม่เคยถูกถอดถอนออกจากตำแหน่งตามกฎหมาย
(๗)ไม่เป็นผู้ดำรงตำแหน่งทางการเมือง สมาชิกสภาท้องถิ่น หรือผู้บริหารท้องถิ่น กรรมการ หรือผู้ดำรงตำแหน่งซึ่งรับผิดชอบการบริหารพรรคการเมือง ที่ปรึกษาพรรคการเมือง หรือเจ้าหน้าที่พรรคการเมือง
มาตรา๑๒ประธานกรรมการและกรรมการผู้ทรงคุณวุฒิมีวาระการดำรงตำแหน่งคราวละสี่ปี เมื่อครบกำหนดตามวาระในวรรคหนึง่ หากยังมิได้มีการแต่งตั้งประธานกรรมการหรือกรรมการผู้ทรงคุณวุฒิขึ้นใหม่ ให้ประธานกรรมการหรือกรรมการผู้ทรงคุณวุฒิซึ่งพ้นจากตำแหน่งตามวาระนั้นอยู่ในตำแหน่งเพื่อดำเนินงานต่อไปจนกว่าประธานกรรมการหรือกรรมการผู้ทรงคุณวุฒิซึ่งได้รับแต่งตั้งใหม่เข้ารับหน้าที่
ประธานกรรมการและกรรมการผู้ทรงคุณวุฒิซึ่งพ้นจากตำแหน่งตามวาระอาจได้รับแต่งตั้งอีกได้ แต่จะดำรงตำแหน่งเกินสองวาระไม่ได้
มาตรา๑๓นอกจากการพ้นจากตำแหน่งตามวาระตามมาตรา ๑๒ ประธานกรรมการและกรรมการผู้ทรงคุณวุฒิพ้นจากตำแหน่ง เมื่อ
(๑)ตาย
(๒)ลาออก
(๓)คณะรัฐมนตรีให้ออก เพราะบกพร่องต่อหน้าที่ มีความประพฤติเสื่อมเสีย หรือหย่อนความสามารถ
(๔)ขาดคุณสมบัติหรือมีลักษณะต้องห้ามตามมาตรา ๑๑
ในกรณีที่ประธานกรรมการหรือกรรมการผู้ทรงคุณวุฒิพ้นจากตำแหน่งก่อนวาระ ให้ผู้ที่ได้รับแต่งตั้งแทนตำแหน่งที่ว่างนั้นดำรงตำแหน่งได้เท่ากับวาระที่เหลืออยู่ของประธานกรรมการหรือกรรมการผู้ทรงคุณวุฒิซึ่งตนแทน เว้นแต่วาระที่เหลืออยู่ไม่ถึงเก้าสิบวันจะไม่แต่งตั้งประธานกรรมการหรือกรรมการผู้ทรงคุณวุฒิแทนก็ได้
ในกรณีที่ประธานกรรมการหรือกรรมการผู้ทรงคุณวุฒิพ้นจากตำแหน่งก่อนวาระ ให้คณะกรรมการประกอบด้วยกรรมการทั้งหมดเท่าที่มีอยู่จนกว่าจะมีการแต่งตั้งประธานกรรมการหรือกรรมการผู้ทรงคุณวุฒิตามวรรคสอง และในกรณีที่ประธานกรรมการพ้นจากตำแหน่งก่อนวาระ ให้รองประธานกรรมการทำหน้าที่ประธานกรรมการเป็นการชั่วคราว
มาตรา๑๔การประชุมคณะกรรมการ ต้องมีกรรมการมาประชุมไม่น้อยกว่ากึ่งหนึ่งของจำนวนกรรมการที่มีอยู่ จึงจะเป็นองค์ประชุม
ให้ประธานกรรมการเป็นประธานในที่ประชุม ในกรณีที่ประธานกรรมการไม่มาประชุมหรือไม่อาจปฏิบัติหน้าที่ได้ ให้รองประธานกรรมการทำหน้าที่เป็นประธานในที่ประชุม ในกรณีที่ประธานกรรมการและรองประธานกรรมการไม่มาประชุมหรือไม่อาจปฏิบัติหน้าที่ได้ ให้กรรมการซึ่งมาประชุมเลือกกรรมการคนหนึ่งเป็นประธานในที่ประชุม
การวินิจฉัยชี้ขาดของที่ประชุมให้ถือเสียงข้างมาก กรรมการคนหนึ่งให้มีเสียงหนึ่งในการลงคะแนน ถ้าคะแนนเสียงเท่ากัน ให้ประธานในที่ประชุมออกเสียงเพิ่มขึ้นอีกเสียงหนึ่งเป็นเสียงชี้ขาด
การประชุมของคณะกรรมการอาจกระทำได้โดยวิธีการทางอิเล็กทรอนิกส์หรือวิธีการอื่นได้ตามที่คณะกรรมการกาหนด
มาตรา๑๕กรรมการผู้ใดมีส่วนได้เสียไม่ว่าโดยตรงหรือโดยอ้อมในเรื่องที่ที่ประชุมพิจารณาให้แจ้งการมีส่วนได้เสียของตนให้คณะกรรมการทราบล่วงหน้าก่อนการประชุม และห้ามมิให้ผู้นั้นเข้าร่วมประชุมพิจารณาในเรื่องดังกล่าว
มาตรา๑๖คณะกรรมการมีหน้าที่และอำนาจ ดังต่อไปนี้
(๑)จัดทำแผนแม่บทการดำเนินงานด้านการส่งเสริม และการคุ้มครองข้อมูลส่วนบุคคลที่สอดคล้องกับนโยบาย ยุทธศาสตร์ชาติ และแผนระดับชาติที่เกี่ยวข้อง เพื่อเสนอต่อคณะกรรมการดิจิทัลเพื่อเศรษฐกิจและสังคมแห่งชาติตามกฎหมายว่าด้วยการพัฒนาดิจิทัลเพื่อเศรษฐกิจและสังคม
(๒)ส่งเสริมและสนับสนุนหน่วยงานของรัฐและภาคเอกชน ดำเนินกิจกรรมตามแผนแม่บทตาม (๑) รวมทั้งจัดให้มีการประเมินผลการดำเนินงานตามแผนแม่บทดังกล่าว
(๓)กำหนดมาตรการหรือแนวทางการดำเนินการเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลเพื่อให้เป็นไปตามพระราชบัญญัตินี้
(๔)ออกประกาศหรือระเบียบเพื่อให้การดำเนินการเป็นไปตามพระราชบัญญัตินี้
(๕)ประกาศกำหนดหลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือโอนไปยังต่างประเทศ
(๖)ประกาศกำหนดข้อปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลเป็นแนวทางให้ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลปฏิบัติ
(๗)เสนอแนะต่อคณะรัฐมนตรีให้มีการตราหรือปรับปรุงกฎหมายหรือกฎที่ใช้บังคับอยู่ในส่วนที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล
(๘)เสนอแนะต่อคณะรัฐมนตรีในการตราพระราชกฤษฎีกาหรือทบทวนความเหมาะสมของพระราชบัญญัตินี้อย่างน้อยทุกรอบห้าปี
(๙)ให้ คำแนะนาและคำปรึกษาเกี่ยวกับการดำเนินการใด ๆ เพื่อให้ความคุ้มครองข้อมูลส่วนบุคคลของหน่วยงานของรัฐและภาคเอกชนในการปฏิบัติตามพระราชบัญญัตินี้
(๑๐)ตีความและวินิจฉัยชี้ขาดปัญหาที่เกิดจากการบังคับใช้พระราชบัญญัตินี้
(๑๑)ส่งเสริมและสนับสนุนให้เกิดทักษะการเรียนรู้และความเข้าใจเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลให้แก่ประชาชน
(๑๒)ส่งเสริมและสนับสนุนการวิจัย เพื่อพัฒนาเทคโนโลยีที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล
(๑๓)ปฏิบัติการอื่นใดตามที่พระราชบัญญัตินี้หรือกฎหมายอื่นกำหนดให้เป็นหน้าที่และอำนาจของคณะกรรมการ
มาตรา๑๗ให้ประธานกรรมการ รองประธานกรรมการ และกรรมการได้รับเบี้ยประชุมและประโยชน์ตอบแทนอื่นตามหลักเกณฑ์ที่คณะรัฐมนตรีกำหนด
ประธานอนุกรรมการ อนุกรรมการ ประธานกรรมการผู้เชี่ยวชาญ และกรรมการผู้เชี่ยวชาญที่คณะกรรมการแต่งตั้ง ให้ได้รับเบี้ยประชุมและประโยชน์ตอบแทนอื่นตามหลักเกณฑ์ที่คณะกรรมการกำหนดโดยความเห็นชอบของกระทรวงการคลัง
มาตรา๑๘คณะกรรมการมีอำนาจแต่งตั้งคณะอนุกรรมการเพื่อพิจารณาหรือปฏิบัติการอย่างใดอย่างหนึ่งตามที่คณะกรรมการมอบหมายได้
การประชุมคณะอนุกรรมการ ให้นำความในมาตรา ๑๔ และมาตรา ๑๕ มาใช้บังคับโดยอนุโลม
มาตรา๑๙ผู้ควบคุมข้อมูลส่วนบุคคลจะกระทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไม่ได้หากเจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมไว้ก่อนหรือในขณะนั้น เว้นแต่บทบัญญัติแห่งพระราชบัญญัตินี้หรือกฎหมายอื่นบัญญัติให้กระทำได้
การขอความยินยอมต้องทำโดยชัดแจ้ง เป็นหนังสือหรือทำโดยผ่านระบบอิเล็กทรอนิกส์ เว้นแต่โดยสภาพไม่อาจขอความยินยอมด้วยวิธีการดังกล่าวได้
ในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไปด้วย และการขอความยินยอมนั้น ต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน มีแบบหรือข้อความที่เข้าถึงได้ง่ายและเข้าใจได้ รวมทั้งใช้ภาษาที่อ่านง่าย และไม่เป็นการหลอกลวงหรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์ดังกล่าว ทั้งนี้ คณะกรรมการจะให้ผู้ควบคุมข้อมูลส่วนบุคคลขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลตามแบบและข้อความที่คณะกรรมการประกาศกำหนดก็ได้
ในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลต้องคำนึงอย่างถึงที่สุดในความเป็นอิสระของเจ้าของข้อมูลส่วนบุคคลในการให้ความยินยอม ทั้งนี้ ในการเข้าทำสัญญา ซึ่งรวมถึงการให้บริการใด ๆ ต้องไม่มีเงื่อนไขในการให้ความยินยอมเพื่อเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ไม่มีความจำเป็นหรือเกี่ยวข้องสำหรับการเข้าทำสัญญาซึ่งรวมถึงการให้บริการนั้น ๆ
เจ้าของข้อมูลส่วนบุคคลจะถอนความยินยอมเสียเมื่อใดก็ได้โดยจะต้องถอนความยินยอมได้ง่ายเช่นเดียวกับการให้ความยินยอม เว้นแต่มีข้อจำกัดสิทธิในการถอนความยินยอมโดยกฎหมายหรือสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคล ทั้งนี้ การถอนความยินยอมย่อมไม่ส่งผลกระทบต่อการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมไปแล้ว โดยชอบตามที่กำหนดไว้ในหมวดนี้
ในกรณีที่การถอนความยินยอมส่งผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลในเรื่องใด ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงผลกระทบจากการถอนความยินยอมนั้น การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลที่ไม่เป็นไปตามที่กำหนดไว้ในหมวดนี้ ไม่มีผลผูกพันเจ้าของข้อมูลส่วนบุคคล และไม่ทำให้ผู้ควบคุมข้อมูลส่วนบุคคลสามารถทำการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลได้
มาตรา๒๐ในกรณีที่เจ้าของข้อมูลส่วนบุคคลเป็นผู้เยาว์ซึ่งยังไม่บรรลุนิติภาวะโดยการสมรสหรือไม่มีฐานะเสมือนดังบุคคลซึ่งบรรลุนิติภาวะแล้วตามมาตรา ๒๗ แห่งประมวลกฎหมายแพ่งและพาณิชย์ การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลดังกล่าว ให้ดำเนินการ ดังต่อไปนี้
(๑)ในกรณีที่การให้ความยินยอมของผู้เยาว์ไม่ใช่การใด ๆ ซึ่งผู้เยาว์อาจให้ความยินยอมโดยลำพังได้ตามที่บัญญัติไว้ในมาตรา ๒๒ มาตรา ๒๓ หรือมาตรา ๒๔ แห่งประมวลกฎหมายแพ่งและพาณิชย์ ต้องได้รับความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ด้วย
(๒)ในกรณีที่ผู้เยาว์มีอายุไม่เกินสิบปี ให้ขอความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์
ในกรณีที่เจ้าของข้อมูลส่วนบุคคลเป็นคนไร้ความสามารถ การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลดังกล่าว ให้ขอความยินยอมจากผู้อนุบาลที่มีอำนาจกระทำการแทนคนไร้ความสามารถ
ในกรณีที่เจ้าของข้อมูลส่วนบุคคลเป็นคนเสมือนไร้ความสามารถ การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลดังกล่าว ให้ขอความยินยอมจากผู้พิทักษ์ที่มีอำนาจกระทำการแทนคนเสมือนไร้ความสามารถ
ให้นำความในวรรคหนึ่ง วรรคสอง และวรรคสาม มาใช้บังคับกับการถอนความยินยอมของเจ้าของข้อมูลส่วนบุคคล การแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบ การใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล การร้องเรียนของเจ้าของข้อมูลส่วนบุคคล และการอื่นใดตามพระราชบัญญัตินี้ในกรณีที่เจ้าของข้อมูลส่วนบุคคลเป็นผู้เยาว์ คนไร้ความสามารถ หรือคนเสมือนไร้ความสามารถ โดยอนุโลม
มาตรา๒๑ผู้ควบคุมข้อมูลส่วนบุคคลต้องทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ได้แจ้งเจ้าของข้อมูลส่วนบุคคลไว้ก่อนหรือในขณะที่เก็บรวบรวม
การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่แตกต่างไปจากวัตถุประสงค์ที่ได้แจ้งไว้ตามวรรคหนึ่งจะกระทำมิได้ เว้นแต่
(๑)ได้แจ้งวัตถุประสงค์ใหม่นั้นให้เจ้าของข้อมูลส่วนบุคคลทราบและได้รับความยินยอมก่อนเก็บรวบรวม ใช้ หรือเปิดเผยแล้ว
(๒)บทบัญญัติแห่งพระราชบัญญัตินี้หรือกฎหมายอื่นบัญญัติให้กระทำได้
มาตรา๒๒การเก็บรวบรวมข้อมูลส่วนบุคคล ให้เก็บรวบรวมได้เท่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล
มาตรา๒๓ในการเก็บรวบรวมข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคลถึงรายละเอียด ดังต่อไปนี้ เว้นแต่เจ้าของข้อมูลส่วนบุคคลได้ทราบถึงรายละเอียดนั้นอยู่แล้ว
(๑)วัตถุประสงค์ของการเก็บรวบรวมเพื่อการนำข้อมูลส่วนบุคคลไปใช้หรือเปิดเผยซึ่งรวมถึงวัตถุประสงค์ตามที่มาตรา ๒๔ ให้อำนาจในการเก็บรวบรวมได้โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล
(๒)แจ้งให้ทราบถึงกรณีที่เจ้าของข้อมูลส่วนบุคคลต้องให้ข้อมูลส่วนบุคคลเพื่อปฏิบัติตามกฎหมายหรือสัญญาหรือมีความจำเป็นต้องให้ข้อมูลส่วนบุคคลเพื่อเข้าทำสัญญา รวมทั้งแจ้งถึงผลกระทบที่เป็นไปได้จากการไม่ให้ข้อมูลส่วนบุคคล
(๓)ข้อมูลส่วนบุคคลที่จะมีการเก็บรวบรวมและระยะเวลาในการเก็บรวบรวมไว้ ทั้งนี้ ในกรณีที่ไม่สามารถกำหนดระยะเวลาดังกล่าวได้ชัดเจน ให้กำหนดระยะเวลาที่อาจคาดหมายได้ตามมาตรฐานของการเก็บรวบรวม
(๔)ประเภทของบุคคลหรือหน่วยงานซึ่งข้อมูลส่วนบุคคลที่เก็บรวบรวมอาจจะถูกเปิดเผย
(๕)ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล สถานที่ติดต่อ และวิธีการติดต่อในกรณีที่มีตัวแทนหรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ให้แจ้งข้อมูล สถานที่ติดต่อ และวิธีการติดต่อของตัวแทนหรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลด้วย
(๖)สิทธิของเจ้าของข้อมูลส่วนบุคคลตามมาตรา ๑๙ วรรคห้า มาตรา ๓๐ วรรคหนึ่ง มาตรา ๓๑ วรรคหนึ่ง มาตรา ๓๒ วรรคหนึ่ง มาตรา ๓๓ วรรคหนึ่ง มาตรา ๓๔ วรรคหนึ่ง มาตรา ๓๖ วรรคหนึ่ง และมาตรา ๗๓ วรรคหนึ่ง
มาตรา๒๔ห้ามมิให้ผู้ควบคุมข้อมูลส่วนบุคคลทำการเก็บรวบรวมข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่
(๑)เพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ หรือที่เกี่ยวกับการศึกษาวิจัยหรือสถิติซึ่งได้จัดให้มีมาตรการปกป้องที่เหมาะสมเพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ทั้งนี้ ตามที่คณะกรรมการประกาศกำหนด
(๒)เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
(๓)เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาหรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้น
(๔)เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคล หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่ผู้ควบคุมข้อมูลส่วนบุคคล
(๕)เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล หรือของบุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล เว้นแต่ประโยชน์ดังกล่าวมีความสำคัญน้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล
(๖)เป็นการปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล
มาตรา๒๕ห้ามมิให้ผู้ควบคุมข้อมูลส่วนบุคคลทำการเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่จากเจ้าของข้อมูลส่วนบุคคลโดยตรง เว้นแต่
(๑)ได้แจ้งถึงการเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นให้แก่เจ้าของข้อมูลส่วนบุคคลทราบโดยไม่ชักช้า แต่ต้องไม่เกินสามสิบวันนับแต่วันที่เก็บรวบรวมและได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล
(๒)เป็นการเก็บรวบรวมข้อมูลส่วนบุคคลที่ได้รับยกเว้นไม่ต้องขอความยินยอมตามมาตรา ๒๔ หรือมาตรา ๒๖
ให้นำบทบัญญัติเกี่ยวกับการแจ้งวัตถุประสงค์ใหม่ตามมาตรา ๒๑ และการแจ้งรายละเอียดตามมาตรา ๒๓ มาใช้บังคับกับการเก็บรวบรวมข้อมูลส่วนบุคคลที่ต้องได้รับความยินยอมตามวรรคหนึ่งโดยอนุโลม เว้นแต่กรณีดังต่อไปนี้
(๑)เจ้าของข้อมูลส่วนบุคคลทราบวัตถุประสงค์ใหม่หรือรายละเอียดนั้นอยู่แล้ว
(๒)ผู้ควบคุมข้อมูลส่วนบุคคลพิสูจน์ได้ว่าการแจ้งวัตถุประสงค์ใหม่หรือรายละเอียดดังกล่าว ไม่สามารถทำได้หรือจะเป็นอุปสรรคต่อการใช้หรือเปิดเผยข้อมูลส่วนบุคคล โดยเฉพาะอย่างยิ่งเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับการศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ ในกรณีนี้ผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิ เสรีภาพ และประโยชน์ของเจ้าของข้อมูลส่วนบุคคล
(๓)การใช้หรือการเปิดเผยข้อมูลส่วนบุคคลต้องกระทำโดยเร่งด่วนตามที่กฎหมายกำหนด ซึ่งได้จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองประโยชน์ของเจ้าของข้อมูลส่วนบุคคล
(๔)เมื่อผู้ควบคุมข้อมูลส่วนบุคคลเป็นผู้ซึ่งล่วงรู้หรือได้มาซึ่งข้อมูลส่วนบุคคลจากหน้าที่หรือจากการประกอบอาชีพหรือวิชาชีพและต้องรักษาวัตถุประสงค์ใหม่หรือรายละเอียดบางประการตามมาตรา ๒๓ ไว้เป็นความลับตามที่กฎหมายกำหนด
การแจ้งรายละเอียดตามวรรคสอง ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบภายในสามสิบวันนับแต่วันที่เก็บรวบรวมตามมาตรานี้ เว้นแต่กรณีที่นำข้อมูลส่วนบุคคลไปใช้เพื่อการติดต่อกับเจ้าของข้อมูลส่วนบุคคลต้องแจ้งในการติดต่อครั้งแรก และกรณีที่จะนำข้อมูลส่วนบุคคลไปเปิดเผย ต้องแจ้งก่อนที่จะนำข้อมูลส่วนบุคคลไปเปิดเผยเป็นครั้งแรก
มาตรา๒๖ห้ามมิให้เก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใด ซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการประกาศกำหนด โดยไม่ได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่
(๑)เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคลซึ่งเจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมได้ ไม่ว่าด้วยเหตุใดก็ตาม
(๒)เป็นการดำเนินกิจกรรมโดยชอบด้วยกฎหมายที่มีการคุ้มครองที่เหมาะสมของมูลนิธิ สมาคม หรือองค์กรที่ไม่แสวงหากำไรที่มีวัตถุประสงค์เกี่ยวกับการเมือง ศาสนา ปรัชญา หรือสหภาพแรงงาน ให้แก่สมาชิก ผู้ซึ่งเคยเป็นสมาชิก หรือผู้ซึ่งมีการติดต่ออย่างสม่ำเสมอกับมูลนิธิ สมาคม หรือองค์กรที่ไม่แสวงหากำไรตามวัตถุประสงค์ดังกล่าวโดยไม่ได้เปิดเผยข้อมูลส่วนบุคคลนั้นออกไปภายนอกมูลนิธิ สมาคม หรือองค์กรที่ไม่แสวงหากำไรนั้น
(๓)เป็นข้อมูลที่เปิดเผยต่อสาธารณะด้วยความยินยอมโดยชัดแจ้งของเจ้าของข้อมูลส่วนบุคคล
(๔)เป็นการจำเป็นเพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
(๕)เป็นการจำเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับ
(ก)เวชศาสตร์ป้องกันหรืออาชีวเวชศาสตร์ การประเมินความสามารถในการทำงานของลูกจ้าง การวินิจฉัยโรคทางการแพทย์ การให้บริการด้านสุขภาพหรือด้านสังคม การรักษาทางการแพทย์ การจัดการด้านสุขภาพ หรือระบบและการให้บริการด้านสังคมสงเคราะห์ ทั้งนี้ ในกรณีที่ไม่ใช่การปฏิบัติตามกฎหมายและข้อมูลส่วนบุคคลนั้นอยู่ในความรับผิดชอบของผู้ประกอบอาชีพหรือวิชาชีพหรือผู้มีหน้าที่รักษาข้อมูลส่วนบุคคลนั้นไว้เป็นความลับตามกฎหมาย ต้องเป็นการปฏิบัติตามสัญญาระหว่างเจ้าของข้อมูลส่วนบุคคลกับผู้ประกอบวิชาชีพทางการแพทย์
(ข)ประโยชน์สาธารณะด้านการสาธารณสุข เช่น การป้องกันด้านสุขภาพจากโรคติดต่อ อันตรายหรือโรคระบาดที่อาจติดต่อหรือแพร่เข้ามาในราชอาณาจักร หรือการควบคุมมาตรฐานหรือคุณภาพของยา เวชภัณฑ์ หรือเครื่องมือแพทย์ ซึ่งได้จัดให้มีมาตรการที่เหมาะสมและเจาะจงเพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคลโดยเฉพาะการรักษาความลับของข้อมูลส่วนบุคคลตามหน้าที่หรือตามจริยธรรมแห่งวิชาชีพ
(ค)การคุ้มครองแรงงาน การประกันสังคม หลักประกันสุขภาพแห่งชาติ สวัสดิการเกี่ยวกับการรักษาพยาบาลของผู้มีสิทธิตามกฎหมาย การคุ้มครองผู้ประสบภัยจากรถ หรือการคุ้มครองทางสังคม ซึ่งการเก็บรวบรวมข้อมูลส่วนบุคคลเป็นสิ่งจำเป็นในการปฏิบัติตามสิทธิหรือหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคลหรือเจ้าของข้อมูลส่วนบุคคล โดยได้จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิขั้นพื้นฐานและประโยชน์ของเจ้าของข้อมูลส่วนบุคคล
(ง)การศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ หรือประโยชน์สาธารณะอื่น ทั้งนี้ ต้องกระทำเพื่อให้บรรลุวัตถุประสงค์ดังกล่าวเพียงเท่าที่จำเป็นเท่านั้น และได้จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิขั้นพื้นฐานและประโยชน์ของเจ้าของข้อมูลส่วนบุคคล ตามที่คณะกรรมการประกาศกำหนด
(จ)ประโยชน์สาธารณะที่สำคัญ โดยได้จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิขั้นพื้นฐานและประโยชน์ของเจ้าของข้อมูลส่วนบุคคล
ข้อมูลชีวภาพตามวรรคหนึ่งให้หมายถึงข้อมูลส่วนบุคคลที่เกิดจากการใช้เทคนิคหรือเทคโนโลยีที่เกี่ยวข้องกับการนำลักษณะเด่นทางกายภาพหรือทางพฤติกรรมของบุคคลมาใช้ทำให้สามารถยืนยันตัวตนของบุคคลนั้นที่ไม่เหมือนกับบุคคลอื่นได้ เช่น ข้อมูลภาพจำลองใบหน้า ข้อมูลจำลองม่านตา หรือข้อมูลจำลองลายนิ้วมือ
ในกรณีที่เป็นการเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมต้องกระทำภายใต้การควบคุมของหน่วยงานที่มีอำนาจหน้าที่ตามกฎหมาย หรือได้จัดให้มีมาตรการคุ้มครองข้อมูลส่วนบุคคลตามหลักเกณฑ์ที่คณะกรรมการประกาศกำหนด
มาตรา๒๗ห้ามมิให้ผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือเปิดเผยข้อมูลส่วนบุคคล โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่เป็นข้อมูลส่วนบุคคลที่เก็บรวบรวมได้โดยได้รับยกเว้นไม่ต้องขอความยินยอมตามมาตรา ๒๔ หรือมาตรา ๒๖
บุคคลหรือนิติบุคคลที่ได้รับข้อมูลส่วนบุคคลมาจากการเปิดเผยตามวรรคหนึ่ง จะต้องไม่ใช้หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์อื่นนอกเหนือจากวัตถุประสงค์ที่ได้แจ้งไว้กับผู้ควบคุมข้อมูลส่วนบุคคลในการขอรับข้อมูลส่วนบุคคลนั้น
ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่ได้รับยกเว้นไม่ต้องขอความยินยอมตามวรรคหนึ่ง ผู้ควบคุมข้อมูลส่วนบุคคลต้องบันทึกการใช้หรือเปิดเผยนั้นไว้ในรายการตามมาตรา ๓๙
มาตรา๒๘ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ ประเทศปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคลต้องมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ ทั้งนี้ ต้องเป็นไปตามหลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลตามที่คณะกรรมการประกาศกำหนดตามมาตรา ๑๖ (๕) เว้นแต่
(๑)เป็นการปฏิบัติตามกฎหมาย
(๒)ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลโดยได้แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่ไม่เพียงพอของประเทศปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคลแล้ว
(๓)เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาหรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้น
(๔)เป็นการกระทำตามสัญญาระหว่างผู้ควบคุมข้อมูลส่วนบุคคลกับบุคคลหรือนิติบุคคลอื่นเพื่อประโยชน์ของเจ้าของข้อมูลส่วนบุคคล
(๕)เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของเจ้าของข้อมูลส่วนบุคคลหรือบุคคลอื่น เมื่อเจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมในขณะนั้นได้
(๖)เป็นการจำเป็นเพื่อการดำเนินภารกิจเพื่อประโยชน์สาธารณะที่สำคัญ
ในกรณีที่มีปัญหาเกี่ยวกับมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอของประเทศปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคล ให้เสนอต่อคณะกรรมการเป็นผู้วินิจฉัย ทั้งนี้ คำวินิจฉัยของคณะกรรมการอาจขอให้ทบทวนได้เมื่อมีหลักฐานใหม่ทำให้เชื่อได้ว่าประเทศปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคลมีการพัฒนาจนมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ
มาตรา๒๙ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งอยู่ในราชอาณาจักรได้กำหนดนโยบายในการคุ้มครองข้อมูลส่วนบุคคลเพื่อการส่งหรือโอนข้อมูลส่วนบุคคลไปยังผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งอยู่ต่างประเทศและอยู่ในเครือกิจการหรือเครือธุรกิจเดียวกันเพื่อการประกอบกิจการหรือธุรกิจร่วมกัน หากนโยบายในการคุ้มครองข้อมูลส่วนบุคคลดังกล่าวได้รับการตรวจสอบและรับรองจากสำนักงาน การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศที่เป็นไปตามนโยบายในการคุ้มครองข้อมูลส่วนบุคคลที่ได้รับการตรวจสอบและรับรองดังกล่าว ให้สามารถกระทำได้โดยได้รับยกเว้นไม่ต้องปฏิบัติตามมาตรา ๒๘
นโยบายในการคุ้มครองข้อมูลส่วนบุคคล ลักษณะของเครือกิจการหรือเครือธุรกิจเดียวกันเพื่อการประกอบกิจการหรือธุรกิจร่วมกัน และหลักเกณฑ์และวิธีการตรวจสอบและรับรองตามวรรคหนึ่ง ให้เป็นไปตามที่คณะกรรมการประกาศกำหนด
ในกรณีที่ยังไม่มีคำวินิจฉัยของคณะกรรมการตามมาตรา ๒๘ หรือยังไม่มีนโยบายในการคุ้มครองข้อมูลส่วนบุคคลตามวรรคหนึ่ง ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลอาจส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศได้โดยได้รับยกเว้นไม่ต้องปฏิบัติตามมาตรา ๒๘ เมื่อผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลได้จัดให้มีมาตรการคุ้มครองที่เหมาะสมสามารถบังคับตามสิทธิของเจ้าของข้อมูลส่วนบุคคลได้ รวมทั้งมีมาตรการเยียวยาทางกฎหมายที่มีประสิทธิภาพตามหลักเกณฑ์และวิธีการที่คณะกรรมการประกาศกำหนด
มาตรา๓๐เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตนซึ่งอยู่ในความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล หรือขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลดังกล่าวที่ตนไม่ได้ให้ความยินยอม
ผู้ควบคุมข้อมูลส่วนบุคคลต้องปฏิบัติตามคำขอตามวรรคหนึ่ง จะปฏิเสธคำขอได้เฉพาะในกรณีที่เป็นการปฏิเสธตามกฎหมายหรือคำสั่งศาล และการเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลนั้นจะส่งผลกระทบที่อาจก่อให้เกิดความเสียหายต่อสิทธิและเสรีภาพของบุคคลอื่น
ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลปฏิเสธคำขอตามวรรคหนึ่ง ให้ผู้ควบคุมข้อมูลส่วนบุคคลบันทึกการปฏิเสธคำขอดังกล่าวพร้อมด้วยเหตุผลไว้ในรายการตามมาตรา ๓๙
เมื่อเจ้าของข้อมูลส่วนบุคคลมีคำขอตามวรรคหนึ่งและเป็นกรณีที่ไม่อาจปฏิเสธคำขอได้ตามวรรคสอง ให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการตามคำขอโดยไม่ชักช้า แต่ต้องไม่เกินสามสิบวันนับแต่วันที่ได้รับคำขอ
คณะกรรมการอาจกำหนดหลักเกณฑ์เกี่ยวกับการเข้าถึงและการขอรับสำเนาตามวรรคหนึ่ง รวมทั้งการขยายระยะเวลาตามวรรคสี่หรือหลักเกณฑ์อื่นตามความเหมาะสมก็ได้
มาตรา๓๑เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอรับข้อมูลส่วนบุคคลที่เกี่ยวกับตนจากผู้ควบคุมข้อมูลส่วนบุคคลได้ ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลได้ทำให้ข้อมูลส่วนบุคคลนั้นอยู่ในรูปแบบที่สามารถอ่านหรือใช้งานโดยทั่วไปได้ด้วยเครื่องมือหรืออุปกรณ์ที่ทำงานได้โดยอัตโนมัติและสามารถใช้หรือเปิดเผยข้อมูลส่วนบุคคลได้ด้วยวิธีการอัตโนมัติ รวมทั้งมีสิทธิ ดังต่อไปนี้
(๑)ขอให้ผู้ควบคุมข้อมูลส่วนบุคคลส่งหรือโอนข้อมูลส่วนบุคคลในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่นเมื่อสามารถทำได้ด้วยวิธีการอัตโนมัติ
(๒)ขอรับข้อมูลส่วนบุคคลที่ผู้ควบคุมข้อมูลส่วนบุคคลส่งหรือโอนข้อมูลส่วนบุคคลในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่นโดยตรง เว้นแต่โดยสภาพทางเทคนิคไม่สามารถทำได้
ข้อมูลส่วนบุคคลตามวรรคหนึ่งต้องเป็นข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามหลักเกณฑ์แห่งพระราชบัญญัตินี้ หรือเป็นข้อมูลส่วนบุคคลที่ได้รับยกเว้นไม่ต้องขอความยินยอมตามมาตรา ๒๔ (๓) หรือเป็นข้อมูลส่วนบุคคลอื่นที่กำหนดในมาตรา ๒๔ ตามที่คณะกรรมการประกาศกำหนด
การใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลตามวรรคหนึ่งจะใช้กับการส่งหรือโอนข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นการปฏิบัติหน้าที่เพื่อประโยชน์สาธารณะหรือเป็นการปฏิบัติหน้าที่ตามกฎหมายไม่ได้ หรือการใช้สิทธินั้นต้องไม่ละเมิดสิทธิหรือเสรีภาพของบุคคลอื่น ทั้งนี้ ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลปฏิเสธคำขอด้วยเหตุผลดังกล่าว ให้ผู้ควบคุมข้อมูลส่วนบุคคลบันทึกการปฏิเสธคำขอพร้อมด้วยเหตุผลไว้ในรายการตามมาตรา ๓๙
มาตรา๓๒เจ้าของข้อมูลส่วนบุคคลมีสิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับตนเมื่อใดก็ได้ ดังต่อไปนี้
(๑)กรณีที่เป็นข้อมูลส่วนบุคคลที่เก็บรวบรวมได้โดยได้รับยกเว้นไม่ต้องขอความยินยอมตามมาตรา ๒๔ (๔) หรือ (๕) เว้นแต่ผู้ควบคุมข้อมูลส่วนบุคคลพิสูจน์ได้ว่า
(ก)การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้น ผู้ควบคุมข้อมูลส่วนบุคคลได้แสดงให้เห็นถึงเหตุอันชอบด้วยกฎหมายที่สาคัญยิ่งกว่า
(ข)การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้นเป็นไปเพื่อก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
(๒)กรณีที่เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์เกี่ยวกับการตลาดแบบตรง
(๓)กรณีที่เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์เกี่ยวกับการศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ เว้นแต่เป็นการจำเป็นเพื่อการดำเนินภารกิจเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคล
ในกรณีที่เจ้าของข้อมูลส่วนบุคคลใช้สิทธิคัดค้านตามวรรคหนึ่ง ผู้ควบคุมข้อมูลส่วนบุคคลไม่สามารถเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้นต่อไปได้ ทั้งนี้ ผู้ควบคุมข้อมูลส่วนบุคคลต้องปฏิบัติโดยแยกส่วนออกจากข้อมูลอื่นอย่างชัดเจนในทันทีเมื่อเจ้าของข้อมูลส่วนบุคคลได้แจ้งการคัดค้านให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบ
ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลปฏิเสธการคัดด้านด้วยเหตุผลตาม (๑) (ก) หรือ (ข) หรือ (๓) ให้ผู้ควบคุมข้อมูลส่วนบุคคลบันทึกการปฏิเสธการคัดค้านพร้อมด้วยเหตุผลไว้ในรายการตามมาตรา ๓๙
มาตรา๓๓เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการลบ หรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ ในกรณีดังต่อไปนี้
(๑)เมื่อข้อมูลส่วนบุคคลหมดความจำเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
(๒)เมื่อเจ้าของข้อมูลส่วนบุคคลถอนความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลและผู้ควบคุมข้อมูลส่วนบุคคลไม่มีอำนาจตามกฎหมายที่จะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้นได้ต่อไป
(๓)เมื่อเจ้าของข้อมูลส่วนบุคคลคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามมาตรา ๓๒ (๑) และผู้ควบคุมข้อมูลส่วนบุคคลไม่อาจปฏิเสธคำขอตามมาตรา ๓๒ (๑) (ก) หรือ (ข) ได้ หรือเป็นการคัดค้านตามมาตรา ๓๒ (๒)
(๔)เมื่อข้อมูลส่วนบุคคลได้ถูกเก็บรวบรวม ใช้ หรือเปิดเผยโดยไม่ชอบด้วยกฎหมายตามที่กำหนดไว้ในหมวดนี้
ความในวรรคหนึ่งมิให้นำมาใช้บังคับกับการเก็บรักษาไว้เพื่อวัตถุประสงค์ในการใช้เสรีภาพในการแสดงความคิดเห็น การเก็บรักษาไว้เพื่อวัตถุประสงค์ตามมาตรา ๒๔ (๑) หรือ (๔) หรือมาตรา ๒๖ (๕) (ก) หรือ (ข) การใช้เพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย หรือเพื่อการปฏิบัติตามกฎหมาย
ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลได้ทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่เปิดเผยต่อสาธารณะและผู้ควบคุมข้อมูลส่วนบุคคลถูกขอให้ลบหรือทำลายหรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ตามวรรคหนึ่ง ผู้ควบคุมข้อมูลส่วนบุคคลต้องเป็นผู้รับผิดชอบดำเนินการทั้งในทางเทคโนโลยีและค่าใช้จ่ายเพื่อให้เป็นไปตามคำขอนั้น โดยแจ้งผู้ควบคุมข้อมูลส่วนบุคคลอื่น ๆ เพื่อให้ได้รับคำตอบในการดำเนินการให้เป็นไปตามคำขอ
กรณีผู้ควบคุมข้อมูลส่วนบุคคลไม่ดำเนินการตามวรรคหนึ่งหรือวรรคสาม เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญเพื่อสั่งให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการได้
คณะกรรมการอาจประกาศกำหนดหลักเกณฑ์ในการลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลตามวรรคหนึ่งก็ได้
มาตรา๓๔เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลระงับการใช้ข้อมูลส่วนบุคคลได้ ในกรณีดังต่อไปนี้
(๑)เมื่อผู้ควบคุมข้อมูลส่วนบุคคลอยู่ในระหว่างการตรวจสอบตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอให้ดำเนินการตามมาตรา ๓๖
(๒)เมื่อเป็นข้อมูลส่วนบุคคลที่ต้องลบหรือทำลายตามมาตรา ๓๓ (๔) แต่เจ้าของข้อมูลส่วนบุคคลขอให้ระงับการใช้แทน
(๓)เมื่อข้อมูลส่วนบุคคลหมดความจำเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคล แต่เจ้าของข้อมูลส่วนบุคคลมีความจำเป็นต้องขอให้เก็บรักษาไว้เพื่อใช้ในการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
(๔)เมื่อผู้ควบคุมข้อมูลส่วนบุคคลอยู่ในระหว่างการพิสูจน์ตามมาตรา ๓๒ (๑) หรือตรวจสอบตามมาตรา ๓๒ (๓) เพื่อปฏิเสธการคัดค้านของเจ้าของข้อมูลส่วนบุคคลตามมาตรา ๓๒ วรรคสาม
กรณีผู้ควบคุมข้อมูลส่วนบุคคลไม่ดำเนินการตามวรรคหนึ่ง เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญเพื่อสั่งให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการได้
คณะกรรมการอาจประกาศกำหนดหลักเกณฑ์ในการระงับการใช้ตามวรรคหนึ่งก็ได้
มาตรา๓๕ผู้ควบคุมข้อมูลส่วนบุคคลต้องดำเนินการให้ข้อมูลส่วนบุคคลนั้นถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด
มาตรา๓๖ในกรณีที่เจ้าของข้อมูลส่วนบุคคลร้องขอให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการตามมาตรา ๓๕ หากผู้ควบคุมข้อมูลส่วนบุคคลไม่ดำเนินการตามคำร้องขอ ผู้ควบคุมข้อมูลส่วนบุคคลต้องบันทึกคำร้องขอของเจ้าของข้อมูลส่วนบุคคลพร้อมด้วยเหตุผลไว้ในรายการตามมาตรา ๓๙
ให้นำความในมาตรา ๓๔ วรรคสอง มาใช้บังคับโดยอนุโลม
มาตรา๓๗ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ ดังต่อไปนี้
(๑)จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ และต้องทบทวนมาตรการดังกล่าวเมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม ทั้งนี้ ให้เป็นไปตามมาตรฐานขั้นต่ำที่คณะกรรมการประกาศกำหนด
(๒)ในกรณีที่ต้องให้ข้อมูลส่วนบุคคลแก่บุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคลต้องดำเนินการเพื่อป้องกันมิให้ผู้นั้นใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ
(๓)จัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนดระยะเวลาการเก็บรักษา หรือที่ไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลนั้น หรือตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอ หรือที่เจ้าของข้อมูลส่วนบุคคลได้ถอนความยินยอม เว้นแต่เก็บรักษาไว้เพื่อวัตถุ ประสงค์ในการใช้เสรีภาพในการแสดงความคิดเห็น การเก็บรักษาไว้เพื่อวัตถุประสงค์ตามมาตรา ๒๔ (๑) หรือ (๔) หรือมาตรา ๒๖ (๕) (ก) หรือ (ข) การใช้เพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย หรือเพื่อการปฏิบัติตามกฎหมาย ทั้งนี้ ให้นำความในมาตรา ๓๓ วรรคห้า มาใช้บังคับกับการลบหรือทำลายข้อมูลส่วนบุคคลโดยอนุโลม
(๔)แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สำนักงานโดยไม่ชักช้าภายในเจ็ดสิบสองชั่วโมงนับแต่ทราบเหตุเท่าที่จะสามารถกระทำได้ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ในกรณีที่การละเมิดมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ให้แจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อมกับแนวทางการเยียวยาโดยไม่ชักช้าด้วย ทั้งนี้ การแจ้งดังกล่าวและข้อยกเว้นให้เป็นไปตามหลักเกณฑ์และวิธีการที่คณะกรรมการประกาศกำหนด
(๕)ในกรณีที่เป็นผู้ควบคุมข้อมูลส่วนบุคคลตามมาตรา ๕ วรรคสอง ต้องแต่งตั้งตัวแทนของผู้ควบคุมข้อมูลส่วนบุคคลเป็นหนังสือซึ่งตัวแทนต้องอยู่ในราชอาณาจักรและตัวแทนต้องได้รับมอบอำนาจให้กระทำการแทนผู้ควบคุมข้อมูลส่วนบุคคลโดยไม่มีข้อจำกัดความรับผิดใด ๆ ที่เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ของผู้ควบคุมข้อมูลส่วนบุคคล
มาตรา๓๘บทบัญญัติเกี่ยวกับการแต่งตั้งตัวแทนตามมาตรา ๓๗ (๕) มิให้นำมาใช้บังคับแก่ผู้ควบคุมข้อมูลส่วนบุคคล ดังต่อไปนี้
(๑)ผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นหน่วยงานของรัฐตามที่คณะกรรมการประกาศกำหนด
(๒)ผู้ควบคุมข้อมูลส่วนบุคคลซึ่งประกอบอาชีพหรือธุรกิจในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ไม่มีลักษณะตามมาตรา ๒๖ และไม่มีข้อมูลส่วนบุคคลเป็นจำนวนมากตามที่คณะกรรมการประกาศกำหนดตามมาตรา ๔๑ (๒)
ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลตามมาตรา ๕ วรรคสอง มีผู้ประมวลผลข้อมูลส่วนบุคคล ให้นำความในมาตรา ๓๗ (๕) และความในวรรคหนึ่ง มาใช้บังคับแก่ผู้ประมวลผลข้อมูลส่วนบุคคลนั้นโดยอนุโลม
มาตรา๓๙ให้ผู้ควบคุมข้อมูลส่วนบุคคลบันทึกรายการ อย่างน้อยดังต่อไปนี้ เพื่อให้เจ้าของข้อมูลส่วนบุคคลและสำนักงานสามารถตรวจสอบได้ โดยจะบันทึกเป็นหนังสือหรือระบบอิเล็กทรอนิกส์ก็ได้
(๑)ข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม
(๒)วัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคลแต่ละประเภท
(๓)ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล
(๔)ระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล
(๕)สิทธิและวิธีการเข้าถึงข้อมูลส่วนบุคคล รวมทั้งเงื่อนไขเกี่ยวกับบุคคลที่มีสิทธิเข้าถึงข้อมูลส่วนบุคคลและเงื่อนไขในการเข้าถึงข้อมูลส่วนบุคคลนั้น
(๖)การใช้หรือเปิดเผยตามมาตรา ๒๗ วรรคสาม
(๗)การปฏิเสธคำขอหรือการคัดค้านตามมาตรา ๓๐ วรรคสาม มาตรา ๓๑ วรรคสาม มาตรา ๓๒ วรรคสาม และมาตรา ๓๖ วรรคหนึ่ง
(๘)คำอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัยตามมาตรา ๓๗ (๑)
ในวรรคหนึ่งให้นำมาใช้บังคับกับตัวแทนของผู้ควบคุมข้อมูลส่วนบุคคลตามมาตรา ๕ วรรคสอง โดยอนุโลม
ความใน (๑) (๒) (๓) (๔) (๕) (๖) และ (๘) อาจยกเว้นมิให้นำมาใช้บังคับกับผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นกิจการขนาดเล็กตามหลักเกณฑ์ที่คณะกรรมการประกาศกำหนด เว้นแต่มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล หรือมิใช่กิจการที่เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเป็นครั้งคราว หรือมีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามมาตรา ๒๖
มาตรา๔๐ผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่ ดังต่อไปนี้
(๑)ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น เว้นแต่คำสั่งนั้นขัดต่อกฎหมายหรือบทบัญญัติในการคุ้มครองข้อมูลส่วนบุคคลตามพระราชบัญญัตินี้
(๒)จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ รวมทั้งแจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น
(๓)จัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลไว้ตามหลักเกณฑ์และวิธีการที่คณะกรรมการประกาศกำหนด
ผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งไม่ปฏิบัติตาม (๑) สำหรับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลใด ให้ถือว่าผู้ประมวลผลข้อมูลส่วนบุคคลเป็นผู้ควบคุมข้อมูลส่วนบุคคลสำหรับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้น
การดำเนินงานตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลตามที่ได้รับมอบหมายจากผู้ควบคุมข้อมูลส่วนบุคคลตามวรรคหนึ่ง ผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดให้มีข้อตกลงระหว่างกัน เพื่อควบคุมการดำเนินงานตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลให้เป็นไปตามพระราชบัญญัตินี้
ความใน (๓) อาจยกเว้นมิให้นำมาใช้บังคับกับผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งเป็นกิจการขนาดเล็กตามหลักเกณฑ์ที่คณะกรรมการประกาศกำหนด เว้นแต่มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล หรือมิใช่กิจการที่เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเป็นครั้งคราว หรือมีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามมาตรา ๒๖
มาตรา๔๑ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของตน ในกรณีดังต่อไปนี้
(๑)ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเป็นหน่วยงานของรัฐตามที่คณะกรรมการประกาศกำหนด
(๒)การดำเนินกิจกรรมของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลในการเก็บรวบรวม ใช้ หรือเปิดเผย จำเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่ำเสมอ โดยเหตุที่มีข้อมูลส่วนบุคคลเป็นจำนวนมากตามที่คณะกรรมการประกาศกำหนด
(๓)กิจกรรมหลักของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามมาตรา ๒๖
ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลอยู่ในเครือกิจการหรือเครือธุรกิจเดียวกันเพื่อการประกอบกิจการหรือธุรกิจร่วมกันตามที่คณะกรรมการประกาศกำหนดตามมาตรา ๒๙ วรรคสอง ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลดังกล่าวอาจจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลร่วมกันได้ ทั้งนี้ สถานที่ทำการแต่ละแห่งของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลที่อยู่ในเครือกิจการหรือเครือธุรกิจเดียวกันดังกล่าว ต้องสามารถติดต่อกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลได้โดยง่าย
ความในวรรคสองให้นำมาใช้บังคับแก่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งเป็นหน่วยงานของรัฐตาม (๑) ซึ่งมีขนาดใหญ่หรือมีสถานที่ทำการหลายแห่งโดยอนุโลม
ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลตามวรรคหนึ่งต้องแต่งตั้งตัวแทนตามมาตรา ๓๗ (๕) ให้นำความในวรรคหนึ่งมาใช้บังคับแก่ตัวแทนโดยอนุโลม
ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่ต้องแจ้งข้อมูลเกี่ยวกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล สถานที่ติดต่อ และวิธีการติดต่อให้เจ้าของข้อมูลส่วนบุคคลและสำนักงานทราบ ทั้งนี้ เจ้าของข้อมูลส่วนบุคคลสามารถติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลและการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลตามพระราชบัญญัตินี้ได้
คณะกรรมการอาจประกาศกำหนดคุณสมบัติของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลได้ โดยคำนึงถึงความรู้หรือความเชี่ยวชาญเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลอาจเป็นพนักงานของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลหรือเป็นผู้รับจ้างให้บริการตามสัญญากับผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลก็ได้
มาตรา๔๒เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลมีหน้าที่ ดังต่อไปนี้
(๑)ให้คำแนะนำแก่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเกี่ยวกับการปฏิบัติตามพระราชบัญญัตินี้
(๒)ตรวจสอบการดำเนินงานของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อให้เป็นไปตามพระราชบัญญัตินี้
(๓)ประสานงานและให้ความร่วมมือกับสำนักงานในกรณีที่มีปัญหาเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลในการปฏิบัติตามพระราชบัญญัตินี้
(๔)รักษาความลับของข้อมูลส่วนบุคคลที่ตนล่วงรู้หรือได้มาเนื่องจากการปฏิบัติหน้าที่ตามพระราชบัญญัตินี้
ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลต้องสนับสนุนการปฏิบัติหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลโดยจัดหาเครื่องมือหรืออุปกรณ์อย่างเพียงพอ รวมทั้งอำนวยความสะดวกในการเข้าถึงข้อมูลส่วนบุคคลเพื่อการปฏิบัติหน้าที่
ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลจะให้เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลออกจากงานหรือเลิกสัญญาการจ้างด้วยเหตุที่เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลปฏิบัติหน้าที่ตามพระราชบัญญัตินี้ไม่ได้ ทั้งนี้ ในกรณีที่มีปัญหาในการปฏิบัติหน้าที่ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลต้องสามารถรายงานไปยังผู้บริหารสูงสุดของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลโดยตรงได้
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลอาจปฏิบัติหน้าที่หรือภารกิจอื่นได้ แต่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลต้องรับรองกับสำนักงานว่าหน้าที่หรือภารกิจดังกล่าว ต้องไม่ขัดหรือแย้งต่อการปฏิบัติหน้าที่ตามพระราชบัญญัตินี้
มาตรา๔๓ให้มีสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลมีวัตถุประสงค์เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล รวมทั้งส่งเสริมและสนับสนุนให้เกิดการพัฒนาด้านการคุ้มครองข้อมูลส่วนบุคคลของประเทศ
สำนักงานเป็นหน่วยงานของรัฐมีฐานะเป็นนิติบุคคล และไม่เป็นส่วนราชการตามกฎหมายว่าด้วยระเบียบบริหารราชการแผ่นดิน หรือรัฐวิสาหกิจตามกฎหมายว่าด้วยวิธีการงบประมาณหรือกฎหมายอื่น
กิจการของสำนักงานไม่อยู่ภายใต้บังคับแห่งกฎหมายว่าด้วยการคุ้มครองแรงงาน กฎหมายว่าด้วยแรงงานสัมพันธ์ กฎหมายว่าด้วยแรงงานรัฐวิสาหกิจสัมพันธ์ กฎหมายว่าด้วยการประกันสังคมและกฎหมายว่าด้วยเงินทดแทน แต่พนักงานและลูกจ้างของสำนักงานต้องได้รับประโยชน์ตอบแทนไม่น้อยกว่าที่กำหนดไว้ในกฎหมายว่าด้วยการคุ้มครองแรงงาน กฎหมายว่าด้วยการประกันสังคม และกฎหมายว่าด้วยเงินทดแทน
ให้สำนักงานเป็นหน่วยงานของรัฐตามกฎหมายว่าด้วยความรับผิดทางละเมิดของเจ้าหน้าที่
มาตรา๔๔นอกจากหน้าที่และอำนาจในการดำเนินการให้เป็นไปตามวัตถุประสงค์ตามมาตรา ๔๓ วรรคหนึ่ง ให้สำนักงานมีหน้าที่ปฏิบัติงานวิชาการและงานธุรการให้แก่คณะกรรมการ คณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล คณะกรรมการผู้เชี่ยวชาญ และคณะอนุกรรมการ รวมทั้งให้มีหน้าที่และอำนาจ ดังต่อไปนี้
(๑)จัดทำร่างแผนแม่บทการดำเนินงานด้านการส่งเสริม และการคุ้มครองข้อมูลส่วนบุคคลที่สอดคล้องกับนโยบาย ยุทธศาสตร์ชาติ และแผนระดับชาติที่เกี่ยวข้อง รวมทั้งร่างแผนแม่บทและมาตรการแก้ไขปัญหาอุปสรรคการปฏิบัติการตามนโยบาย ยุทธศาสตร์ชาติ และแผนระดับชาติดังกล่าว เพื่อเสนอต่อคณะกรรมการ
(๒)ส่งเสริมและสนับสนุนการวิจัย เพื่อพัฒนาเทคโนโลยีที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล
(๓)วิเคราะห์และรับรองความสอดคล้องและความถูกต้องตามมาตรฐานหรือตามมาตรการหรือกลไกการกำกับดูแลที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล รวมทั้งตรวจสอบและรับรองนโยบายในการคุ้มครองข้อมูลส่วนบุคคลตามมาตรา ๒๙
(๔)สำรวจ เก็บรวบรวมข้อมูล ติดตามความเคลื่อนไหวของสถานการณ์ด้านการคุ้มครองข้อมูลส่วนบุคคล และแนวโน้มการเปลี่ยนแปลงด้านการคุ้มครองข้อมูลส่วนบุคคล รวมทั้งวิเคราะห์และวิจัยประเด็นทางด้านการคุ้มครองข้อมูลส่วนบุคคลที่มีผลต่อการพัฒนาประเทศเพื่อเสนอต่อคณะกรรมการ
(๕)ประสานงานกับส่วนราชการ รัฐวิสาหกิจ ราชการส่วนท้องถิ่น องค์การมหาชน หรือหน่วยงานอื่นของรัฐเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล
(๖)ให้คำปรึกษาแก่หน่วยงานของรัฐและหน่วยงานของเอกชนเกี่ยวกับการปฏิบัติตามพระราชบัญญัตินี้
(๗)เป็นศูนย์กลางในการให้บริการทางวิชาการหรือให้บริการที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลแก่หน่วยงานของรัฐ หน่วยงานของเอกชน และประชาชน รวมทั้งเผยแพร่และให้ความรู้ความเข้าใจในเรื่องการคุ้มครองข้อมูลส่วนบุคคล
(๘)กำหนดหลักสูตรและฝึกอบรมการปฏิบัติหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคล เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ลูกจ้าง ผู้รับจ้าง หรือประชาชนทั่วไป
(๙)ทำความตกลงและร่วมมือกับองค์การหรือหน่วยงานทั้งในประเทศและต่างประเทศในกิจการที่เกี่ยวกับการดำเนินการตามหนาที่และอำนาจของสำนักงาน เมื่อได้รับความเห็นชอบจากคณะกรรมการ
(๑๐)ติดตามและประเมินผลการปฏิบัติตามพระราชบัญญัตินี้
(๑๑)ปฏิบัติหน้าที่อื่นตามที่คณะกรรมการ คณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล คณะกรรมการผู้เชี่ยวชาญ หรือคณะอนุกรรมการมอบหมาย หรือตามที่กฎหมายกำหนด
มาตรา๔๕ในการดำเนินงานของสำนักงาน นอกจากหน้าที่และอำนาจตามที่บัญญัติในมาตรา ๔๔ แล้ว ให้สำนักงานมีหน้าที่และอำนาจทั่วไป ดังต่อไปนี้ด้วย
(๑)ถือกรรมสิทธิ์ มีสิทธิครอบครอง และมีทรัพยสิทธิต่าง ๆ
(๒)ก่อตั้งสิทธิ หรือทำนิติกรรมทุกประเภทผูกพันทรัพย์สิน ตลอดจนทำนิติกรรมอื่นใด เพื่อประโยชน์ในการดำเนินกิจการของสำนักงาน
(๓)จัดให้มีและให้ทุนเพื่อสนับสนุนการดำเนินกิจการของสำนักงาน
(๔)เรียกเก็บค่าธรรมเนียม ค่าบำรุง ค่าตอบแทน หรือค่าบริการในการดำเนินงานต่าง ๆ ตามวัตถุประสงค์ของสำนักงาน ทั้งนี้ ตามหลักเกณฑ์และอัตราที่สำนักงานกำหนดโดยความเห็นชอบของคณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
(๕)ปฏิบัติการอื่นใดที่กฎหมายกำหนดให้เป็นหน้าที่และอำนาจของสำนักงาน หรือตามที่คณะกรรมการ คณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล คณะกรรมการ ผู้เชี่ยวชาญ หรือคณะอนุกรรมการมอบหมาย
มาตรา๔๖ทุนและทรัพย์สินในการดำเนินงานของสำนักงานประกอบด้วย
(๑)ทุนประเดิมที่รัฐบาลจัดสรรให้ตามมาตรา ๙๔ วรรคหนึ่ง
(๒)เงินอุดหนุนทั่วไปที่รัฐบาลจัดสรรให้ตามความเหมาะสมเป็นรายปี
(๓)เงินอุดหนุนจากหน่วยงานของรัฐทั้งในประเทศและต่างประเทศ หรือองค์การระหว่างประเทศระดับรัฐบาล
(๔)ค่าธรรมเนียม ค่าบำรุง ค่าตอบแทน ค่าบริการ หรือรายได้อันเกิดจากการดำเนินการตามหน้าที่และอำนาจของสำนักงาน
(๕)ดอกผลของเงินหรือรายได้จากทรัพย์สินของสำนักงาน
เงินและทรัพย์สินของสำนักงานตามวรรคหนึ่ง ต้องนำส่งคลังเป็นรายได้แผ่นดิน
มาตรา๔๗บรรดาอสังหาริมทรัพย์ที่สำนักงานได้มาจากการซื้อหรือแลกเปลี่ยนจากรายได้ของสำนักงานตามมาตรา ๔๖ (๔) หรือ (๕) ให้เป็นกรรมสิทธิ์ของสำนักงาน
มาตรา๔๘ให้มีคณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ประกอบด้วยประธานกรรมการซึ่งสรรหาและแต่งตั้งจากผู้มีความรู้ ความเชี่ยวชาญ และประสบการณ์ในด้านการคุ้มครองข้อมูลส่วนบุคคล ปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม และเลขาธิการคณะกรรมการดิจิทัลเพื่อเศรษฐกิจและสังคมแห่งชาติ เป็นกรรมการ และกรรมการผู้ทรงคุณวุฒิจำนวนหกคนซึ่งสรรหาและแต่งตั้งจากผู้มีความรู้ ความเชี่ยวชาญ และประสบการณ์ในด้านการคุ้มครองข้อมูลส่วนบุคคลอย่างน้อยสามคน และด้านอื่นที่เกี่ยวข้องอันเป็นประโยชน์ต่อการดำเนินงานของสำนักงาน
ให้เลขาธิการเป็นกรรมการและเลขานุการ และให้เลขาธิการแต่งตั้งพนักงานของสำนักงานเป็นผู้ช่วยเลขานุการได้ไม่เกินสองคน
ให้นำความในมาตรา ๑๑ และมาตรา ๑๓ มาใช้บังคับกับประธานกรรมการและกรรมการผู้ทรงคุณวุฒิโดยอนุโลม
มาตรา๔๙ให้มีคณะกรรมการสรรหาคณะหนึ่งประกอบด้วยบุคคลซึ่งคณะกรรมการแต่งตั้งจำนวนแปดคนทำหน้าที่คัดเลือกบุคคลที่สมควรได้รับการแต่งตั้งเป็นประธานกรรมการและกรรมการผู้ทรงคุณวุฒิตามมาตรา ๔๘
ให้คณะกรรมการสรรหาเลือกกรรมการสรรหาคนหนึ่งเป็นประธานกรรมการสรรหาและเลือกกรรมการสรรหาอีกคนหนึ่งเป็นเลขานุการคณะกรรมการสรรหา และให้สำนักงานปฏิบัติหน้าที่เป็นหน่วยธุรการของคณะกรรมการสรรหา
ในกรณีที่ตำแหน่งกรรมการสรรหาว่างลง ให้ดำเนินการเพื่อให้มีกรรมการสรรหาแทนในตำแหน่งนั้นโดยเร็ว ในระหว่างที่ยังไม่ได้กรรมการสรรหาใหม่ ให้คณะกรรมการสรรหาประกอบด้วยกรรมการสรรหาเท่าที่มีอยู่
กรรมการสรรหาไม่มีสิทธิได้รับการเสนอชื่อเป็นประธานกรรมการและกรรมการผู้ทรงคุณวุฒิตามมาตรา ๔๘
หลักเกณฑ์และวิธีการสรรหาให้เป็นไปตามที่คณะกรรมการกำหนด ทั้งนี้ ต้องคำนึงถึงความโปร่งใสและความเป็นธรรมในการสรรหา
มาตรา๕๐ในการสรรหาประธานกรรมการและกรรมการผู้ทรงคุณวุฒิตามมาตรา ๔๘ ให้คณะกรรมการสรรหาคัดเลือกบุคคลผู้มีคุณสมบัติตามมาตรา ๔๘ วรรคหนึ่ง รวมทั้งมีคุณสมบัติและไม่มีลักษณะต้องห้ามตามมาตรา ๔๘ วรรคสาม และยินยอมให้เสนอชื่อเข้ารับคัดเลือกเท่ากับจำนวนประธานกรรมการและกรรมการผู้ทรงคุณวุฒิตามมาตรา ๔๘ ที่จะได้รับแต่งตั้ง
เมื่อได้คัดเลือกบุคคลเป็นประธานกรรมการและกรรมการผู้ทรงคุณวุฒิตามมาตรา ๔๘ ครบจำนวนแล้ว ให้คณะกรรมการสรรหาแจ้งรายชื่อประธานกรรมการและกรรมการผู้ทรงคุณวุฒิตามมาตรา ๔๘ พร้อมหลักฐานแสดงคุณสมบัติและการไม่มีลักษณะต้องห้าม รวมทั้งความยินยอมของบุคคลดังกล่าวต่อคณะกรรมการเพื่อแต่งตั้งเป็นประธานกรรมการและกรรมการผู้ทรงคุณวุฒิตามมาตรา ๔๘
ให้คณะกรรมการประกาศรายชื่อประธานกรรมการและกรรมการผู้ทรงคุณวุฒิตามมาตรา ๔๘ ซึ่งได้รับแต่งตั้งในราชกิจจานุเบกษา
มาตรา๕๑ประธานกรรมการและกรรมการผู้ทรงคุณวุฒิตามมาตรา ๔๘ มีวาระการดำรงตำแหน่งคราวละสี่ปี
เมื่อครบกำหนดตามวาระในวรรคหนึ่ง ให้ดำเนินการแต่งตั้งประธานกรรมการและกรรมการผู้ทรงคุณวุฒิขึ้นใหม่ภายในหกสิบวัน ในระหว่างที่ยังมิได้มีการแต่งตั้งประธานกรรมการหรือกรรมการผู้ทรงคุณวุฒิขึ้นใหม่ ให้ประธานกรรมการหรือกรรมการผู้ทรงคุณวุฒิซึ่งพ้นจากตำแหน่งตามวาระนั้นอยู่ในตำแหน่งเพื่อดำเนินงานต่อไปจนกว่าประธานกรรมการหรือกรรมการผู้ทรงคุณวุฒิซึ่งได้รับแต่งตั้งใหม่เข้ารับหน้าที่
ประธานกรรมการและกรรมการผู้ทรงคุณวุฒิซึ่งพ้นจากตำแหน่งตามวาระอาจได้รับแต่งตั้งอีกได้ แต่จะดำรงตำแหน่งเกินสองวาระไม่ได้
มาตรา๕๒ในกรณีที่ประธานกรรมการหรือกรรมการผู้ทรงคุณวุฒิตามมาตรา ๔๘ พ้นจากตำแหน่งก่อนวาระ ให้คณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกอบด้วยกรรมการทั้งหมดเท่าที่มีอยู่จนกว่าจะมีการแต่งตงประธานกรรมการหรือกรรมการผู้ทรงคุณวุฒิแทน และในกรณีที่ประธานกรรมการพ้นจากตำแหน่งก่อนวาระ ให้ปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมทำหน้าที่ประธานกรรมการเป็นการชั่วคราว
ให้ดำเนินการแต่งตั้งประธานกรรมการหรือกรรมการผู้ทรงคุณวุฒิแทนตำแหน่งที่ว่างภายในหกสิบวันนับแต่วันที่ตำแหน่งว่างลง และให้ผู้ที่ได้รับแต่งตั้งให้ดำรงตำแหน่งแทนอยู่ในตำแหน่งเท่ากับวาระที่เหลืออยู่ของผู้ซึ่งตนแทน เว้นแต่วาระของประธานกรรมการหรือกรรมการผู้ทรงคุณวุฒิเหลือไม่ถึงเก้าสิบวันจะไม่แต่งตั้งประธานกรรมการหรือกรรมการผู้ทรงคุณวุฒิแทนก็ได้
มาตรา๕๓การประชุมคณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลต้องมีกรรมการมาประชุมไม่น้อยกว่ากึ่งหนึ่งของจำนวนกรรมการที่มีอยู่ จึงจะเป็นองค์ประชุม
ให้ประธานกรรมการเป็นประธานในที่ประชุม ถ้าประธานกรรมการไม่มาประชุมหรือไม่อาจปฏิบัติหน้าที่ได้ ให้กรรมการซึ่งมาประชุมเลือกกรรมการคนหนึ่งเป็นประธานในที่ประชุม
การวินิจฉัยชี้ขาดของที่ประชุมให้ถือเสียงข้างมาก กรรมการคนหนึ่งให้มีเสียงหนึ่งในการลงคะแนน ถ้าคะแนนเสียงเท่ากัน ให้ประธานในที่ประชุมออกเสียงเพิ่มขึ้นอีกเสียงหนึ่งเป็นเสียงชี้ขาด
กรรมการที่มีส่วนได้เสียในเรื่องที่มีการพิจารณาจะเข้าร่วมประชุมมิได้
การประชุมของคณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลอาจกระทำโดยวิธีการทางอิเล็กทรอนิกส์ตามที่คณะกรรมการกำหนดก็ได้
มาตรา๕๔คณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลมีหน้าที่และอำนาจ ดังต่อไปนี้
(๑)กำหนดนโยบายการบริหารงาน และให้ความเห็นชอบแผนการดำเนินงานของสำนักงาน
(๒)ออกข้อบังคับว่าด้วยการจัดองค์กร การเงิน การบริหารงานบุคคล การบริหารงานทั่วไป การตรวจสอบภายใน รวมตลอดทั้งการสงเคราะห์และสวัสดิการต่าง ๆ ของสำนักงาน
(๓)อนุมัติแผนการดำเนินงาน แผนการใช้จ่ายเงินและงบประมาณรายจ่ายประจำปีของ สำนักงาน
(๔)ควบคุมการบริหารงานและการดำเนินการของสำนักงานและเลขาธิการให้เป็นไปตามพระราชบัญญัตินี้และกฎหมายอื่นที่เกี่ยวข้อง
(๕)แต่งตั้งคณะกรรมการสรรหาเลขาธิการ
(๖)วินิจฉัยอุทธรณ์คำสั่งทางปกครองของเลขาธิการในส่วนที่เกี่ยวกับการบริหารงานของสำนักงาน
(๗)ประเมินผลการดำเนินการของสำนักงาน และการปฏิบัติงานของเลขาธิการ
(๘)ปฏิบัติหน้าที่อื่นตามที่พระราชบัญญัตินี้หรือกฎหมายอื่นกำหนดให้เป็นหน้าที่และอำนาจของคณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลหรือตามที่คณะกรรมการหรือคณะรัฐมนตรีมอบหมาย
ข้อบังคับตาม (๒) ถ้ามีการจำกัดอำนาจเลขาธิการในการทำนิติกรรมกับบุคคลภายนอก ให้ประกาศในราชกิจจานุเบกษา
มาตรา๕๕คณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลมีอำนาจแต่งตั้งคณะอนุกรรมการ เพื่อปฏิบัติหน้าที่หรือกระทำการอย่างหนึ่งอย่างใดตามที่คณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลมอบหมายได้
คณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลอาจแต่งตั้งบุคคลซึ่งมีความเชี่ยวชาญหรือประสบการณ์ที่จะเป็นประโยชน์ในการปฏิบัติหน้าที่ของคณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เป็นที่ปรึกษาคณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้
การปฏิบัติหน้าที่และจำนวนของคณะอนุกรรมการตามวรรคหนึ่งหรือบุคคลตามวรรคสอง ให้เป็นไปตามที่คณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกำหนด
การประชุมคณะอนุกรรมการ ให้นำความในมาตรา ๕๓ มาใช้บังคับโดยอนุโลม
มาตรา๕๖ให้ประธานกรรมการและกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ที่ปรึกษาคณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ประธาน อนุกรรมการและอนุกรรมการที่คณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลแต่งตั้ง ได้รับเบี้ยประชุมหรือค่าตอบแทนตามหลักเกณฑ์ที่คณะกรรมการกำหนดโดยความเห็นชอบของกระทรวงการคลัง
มาตรา๕๗ให้สำนักงานมีเลขาธิการคนหนึ่งซึ่งคณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลแต่งตั้ง มีหน้าที่บริหารกิจการของสำนักงาน
การแต่งตั้งเลขาธิการตามวรรคหนึ่ง ให้เป็นไปตามหลักเกณฑ์และวิธีการสรรหาตามที่คณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกำหนด
มาตรา๕๘ผู้ที่จะได้รับการแต่งตั้งเป็นเลขาธิการต้องมีคุณสมบัติ ดังต่อไปนี้
(๑)มีสัญชาติไทย
(๒)อายุไม่ต่ำกว่าสามสิบห้าปีแต่ไม่เกินหกสิบปี
(๓)เป็นผู้มีความรู้ ความสามารถ และประสบการณ์ในด้านที่เกี่ยวกับภารกิจของสำนักงานและการบริหารจัดการ
มาตรา๕๙ผู้มีลักษณะอย่างใดอย่างหนึ่งดังต่อไปนี้ ต้องห้ามมิให้เป็นเลขาธิการ
(๑)เป็นบุคคลล้มละลายหรือเคยเป็นบุคคลล้มละลายทุจริต
(๒)เป็นคนไร้ความสามารถหรือคนเสมือนไร้ความสามารถ
(๓)เคยต้องคำพิพากษาถึงที่สุดให้จำคุกไม่ว่าจะได้รับโทษจำคุกจริงหรือไม่ เว้นแต่เป็นโทษสำหรับความผิดที่ได้กระทำโดยประมาทหรือความผิดลหุโทษ
(๔)เป็นข้าราชการ พนักงาน หรือลูกจ้าง ของส่วนราชการหรือรัฐวิสาหกิจหรือหน่วยงานอื่นของรัฐหรือของราชการส่วนท้องถิ่น
(๕)เป็นหรือเคยเป็นข้าราชการการเมือง ผู้ดำรงตำแหน่งทางการเมือง สมาชิกสภาท้องถิ่น หรือผู้บริหารท้องถิ่น เว้นแต่จะได้พ้นจากตำแหน่งมาแล้วไม่น้อยกว่าหนึ่งปี
(๖)เป็นหรือเคยเป็นกรรมการหรือผู้ดำรงตำแหน่งอื่นในพรรคการเมืองหรือเจ้าหน้าที่ของพรรคการเมือง เว้นแต่จะได้พ้นจากตำแหน่งมาแล้วไม่น้อยกว่าหนึ่งปี
(๗)เคยถูกไล่ออก ปลดออก หรือให้ออกจากราชการ หรือออกจากงานจากหน่วยงานที่เคยปฏิบัติหน้าที่ เพราะทุจริตต่อหน้าที่หรือประพฤติชั่วอย่างร้ายแรง หรือเคยถูกถอดถอนจากตำแหน่ง
(๘)เคยถูกให้ออกเพราะไม่ผ่านการประเมินผลการปฏิบัติงานตามมาตรา ๖๒ (๔)
(๙)เป็นผู้มีส่วนได้เสียในกิจการที่เกี่ยวข้องกับสำนักงานไม่ว่าโดยทางตรงหรือทางอ้อม
มาตรา๖๐เลขาธิการมีวาระการดำรงตำแหน่งคราวละสี่ปี และอาจได้รับแต่งตั้งอีกได้ แต่จะดำรงตำแหน่งเกินสองวาระไม่ได้
ก่อนครบกำหนดตามวาระการดำรงตำแหน่งของเลขาธิการเป็นเวลาไม่น้อยกว่าสามสิบวันแต่ไม่เกินหกสิบวัน หรือภายในสามสิบวันนับแต่วันที่เลขาธิการพ้นจากตำแหน่งก่อนครบวาระ ให้คณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลแต่งตั้งคณะกรรมการสรรหาเพื่อสรรหาเลขาธิการคนใหม่ ทั้งนี้ ให้คณะกรรมการสรรหาเสนอรายชื่อบุคคลที่เหมาะสมไม่เกินสามคนต่อคณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
มาตรา๖๑ในแต่ละปีให้มีการประเมินผลการปฏิบัติงานของเลขาธิการ ทั้งนี้ ให้เป็นไปตามระยะเวลาและวิธีการที่คณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกำหนด
มาตรา๖๒นอกจากการพ้นจากตำแหน่งตามวาระตามมาตรา ๖๐ เลขาธิการพ้นจากตำแหน่ง เมื่อ
(๑)ตาย
(๒)ลาออก
(๓)ขาดคุณสมบัติตามมาตรา ๕๘ หรือมีลักษณะต้องห้ามตามมาตรา ๕๙
(๔)คณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลให้ออก เพราะไม่ผ่านการประเมินผลการปฏิบัติงาน มีความประพฤติเสื่อมเสีย บกพร่องหรือไม่สุจริตต่อหน้าที่ หรือหย่อนความสามารถ
มาตรา๖๓ให้เลขาธิการมีหน้าที่และอำนาจ ดังต่อไปนี้
(๑)บริหารงานของสำนักงานให้เกิดผลสัมฤทธิ์ตามภารกิจของสำนักงาน และตามนโยบาย และแผนระดับชาติ แผนยุทธศาสตร์ นโยบายของคณะรัฐมนตรี คณะกรรมการ และคณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และระเบียบ ข้อบังคับหรือมติของคณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
(๒)วางระเบียบเกี่ยวกับการดำเนินงานของสำนักงานโดยไม่ขัดหรือแย้งกับกฎหมาย มติของคณะรัฐมนตรี และระเบียบ ข้อบังคับ ข้อกำหนด นโยบาย มติ หรือประกาศที่คณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกำหนด
(๓)เป็นผู้บังคับบัญชาพนักงานและลูกจ้างของสำนักงาน และประเมินผลการปฏิบัติงานของพนักงานและลูกจ้างของสำนักงานตามระเบียบหรือข้อบังคับของสำนักงาน
(๔)แต่งตั้งรองเลขาธิการและผู้ช่วยเลขาธิการโดยความเห็นชอบของคณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเพื่อเป็นผู้ช่วยปฏิบัติงานของเลขาธการตามที่เลขาธการ มอบหมาย
(๕)บรรจุ แต่งตั้ง เลื่อน ลด ตัดเงินเดือนหรือค่าจ้าง ลงโทษทางวินัยพนักงาน และลูกจ้างของสำนักงาน ตลอดจนให้พนักงานและลูกจ้างของสำนักงานออกจากตำแหน่ง ทั้งนี้ ตามระเบียบหรือข้อบังคับที่คณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกำหนด
(๖)ปฏิบัติการอื่นใดตามระเบียบ ข้อบังคับ ข้อกำหนด นโยบาย มติ หรือประกาศของคณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
ให้เลขาธิการรับผิดชอบในการบริหารงานของสำนักงานขึ้นตรงต่อคณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
มาตรา๖๔ในกิจการของสำนักงานที่เกี่ยวกับบุคคลภายนอก ให้เลขาธิการเป็นผู้แทนของสำนักงาน เพื่อการนี้ เลขาธิการจะมอบอำนาจให้บุคคลใดปฏิบัติงานเฉพาะอย่างแทนก็ได้ แต่ต้องเป็นไปตามข้อบังคับที่คณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกำหนด
มาตรา๖๕ให้คณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเป็นผู้กำหนดอัตราเงินเดือนและประโยชน์ตอบแทนอื่นของเลขาธิการตามหลักเกณฑ์ที่คณะรัฐมนตรีกำหนด
มาตรา๖๖เพื่อประโยชน์ในการบริหารงานของสำนักงาน เลขาธิการอาจขอให้ข้าราชการ พนักงาน เจ้าหน้าที่ หรือลูกจ้างของส่วนราชการ หน่วยงานของรัฐ รัฐวิสาหกิจ ราชการส่วนท้องถิ่น องค์การมหาชน หรือหน่วยงานอื่นของรัฐ มาปฏิบัติงานเป็นพนักงานหรือลูกจ้างเป็นการชั่วคราวได้ ทั้งนี้ เมื่อได้รับอนุมัติจากผู้บังคับบัญชาหรือนายจ้างของผู้นั้น และมีข้อตกลงที่ทำไว้ในการอนุมัติ และในกรณีที่เจ้าหน้าที่ของรัฐได้รับอนุมัติให้มาปฏิบัติงานเป็นพนักงานหรือลูกจ้างเป็นการชั่วคราว ให้ถือว่าเป็นการได้รับอนุญาตให้ออกจากราชการหรือออกจากงานไปปฏิบัติงานใด ๆ
เมื่อสิ้นสุดระยะเวลาที่ได้รับอนุมัติให้มาปฏิบัติงานในสำนักงาน ให้เจ้าหน้าที่ของรัฐตามวรรคหนึ่งมีสิทธิได้รับการบรรจุและแต่งตั้งให้ดำรงตำแหน่งและรับเงินเดือนในส่วนราชการหรือหน่วยงานเดิมไม่ต่ำกว่าตำแหน่งและเงินเดือนเดิมตามข้อตกลงที่ทำไว้ในการอนุมัติ
ในกรณีที่เจ้าหน้าที่ของรัฐผู้นั้นกลับมาบรรจุและได้รับแต่งตั้งในส่วนราชการหรือหน่วยงานเดิมตามวรรคสองแล้ว ให้นับระยะเวลาของเจ้าหน้าที่ของรัฐผู้นั้นระหว่างที่มาปฏิบัติงานในสำนักงานสำหรับการคำนวณบำเหน็จบำนาญหรือประโยชน์ตอบแทนอื่นทำนองเดียวกันเสมือนอยู่ปฏิบัติราชการหรือปฏิบัติงานเต็มเวลาดังกล่าว แล้วแต่กรณี
มาตรา๖๗ข้าราชการหรือเจ้าหน้าที่ของรัฐซึ่งอยู่ระหว่างการปฏิบัติงานชดใช้ทุนการศึกษาที่ได้รับจากส่วนราชการหรือหน่วยงานของรัฐ ที่ได้ย้ายมาปฏิบัติหน้าที่ที่สำนักงานโดยได้รับความเห็นชอบจากผู้บังคับบัญชาต้นสังกัด ให้ถือเป็นการชดใช้ทุนตามสัญญา และให้นับระยะเวลาการปฏิบัติงานในสำนักงานเป็นระยะเวลาในการชดใช้ทุน
ในกรณีที่หน่วยงานของรัฐแห่งใดประสงค์จะขอให้พนักงานของสำนักงานซึ่งอยู่ระหว่างการปฏิบัติงานชดใช้ทุนการศึกษาที่ได้รับจากสำนักงานไปเป็นข้าราชการหรือเจ้าหน้าที่ของรัฐในหน่วยงานของรัฐแห่งนั้น ต้องได้รับความเห็นชอบจากเลขาธิการก่อน และให้ถือว่าการไปปฏิบัติงานในหน่วยงานของรัฐแห่งนั้นเป็นการชดใช้ทุนตามสัญญา และให้นับระยะเวลาการปฏิบัติงานในหน่วยงานของรัฐแห่งนั้นเป็นระยะเวลาในการชดใช้ทุน
มาตรา๖๘การบัญชีของสำนักงานให้จัดทำตามหลักสากล ตามแบบและหลักเกณฑ์ที่คณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกำหนด
มาตรา๖๙ให้สำนักงานจัดทำงบการเงินและบัญชี แล้วส่งผู้สอบบัญชีภายในหนึ่งร้อยยี่สิบวัน นับแต่วันสิ้นปีบัญชี
ให้สำนักงานการตรวจเงินแผ่นดินหรือผู้สอบบัญชีรับอนุญาตที่สำนักงานการตรวจเงินแผ่นดินให้ความเห็นชอบเป็นผู้สอบบัญชีของสำนักงาน และประเมินผลการใช้จ่ายเงินและทรัพย์สินของสำนักงานทุกรอบปีแล้วทำรายงานผลการสอบบัญชีเสนอต่อคณะกรรมการกากับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเพื่อรับรอง
มาตรา๗๐ให้สำนักงานจัดทำรายงานการดำเนินงานประจำปีเสนอคณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลและรัฐมนตรีภายในหนึ่งร้อยแปดสิบวันนับแต่วันสิ้นปีบัญชี และเผยแพร่รายงานนี้ต่อสาธารณชน
รายงานการดำเนินงานประจำปีตามวรรคหนึ่ง ให้แสดงรายละเอียดของงบการเงินที่ผู้สอบบัญชีให้ความเห็นแล้ว พร้อมทั้งผลงานของสำนักงานและรายงานการประเมินผลการดำเนินงานของสำนักงานในปีที่ล่วงมาแล้ว
การประเมินผลการดำเนินงานของสำนักงานตามวรรคสอง จะต้องดำเนินการโดยบุคคลภายนอกที่คณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลให้ความเห็นชอบ
มาตรา๗๑ให้คณะกรรมการแต่งตั้ง คณะกรรมการผู้เชี่ยวชาญขึ้นคณะหนึ่งหรือหลายคณะก็ได้ ตามความเชี่ยวชาญในแต่ละเรื่องหรือตามที่คณะกรรมการเห็นสมควร
คุณสมบัติและลักษณะต้องห้าม วาระการดำรงตำแหน่ง การพ้นจากตำแหน่ง และการดำเนินงานอื่นของคณะกรรมการผู้เชี่ยวชาญให้เป็นไปตามที่คณะกรรมการประกาศกำหนด
มาตรา๗๒คณะกรรมการผู้เชี่ยวชาญมีหน้าที่และอำนาจ ดังต่อไปนี้
(๑)พิจารณาเรื่องร้องเรียนตามพระราชบัญญัตินี้
(๒)ตรวจสอบการกระทำใด ๆ ของผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเกี่ยวกับข้อมูลส่วนบุคคลที่ก่อให้เกิดความเสียหายแก่เจ้าของข้อมูลส่วนบุคคล
(๓)ไกล่เกลี่ยข้อพิพาทเกี่ยวกับข้อมูลส่วนบุคคล
(๔)ปฏิบัติการอื่นใดตามที่พระราชบัญญัตินี้กำหนดให้เป็นหน้าที่และอำนาจของคณะกรรมการผู้เชี่ยวชาญหรือตามที่คณะกรรมการมอบหมาย
มาตรา๗๓เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องเรียนในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล ฝ่าฝืนหรือไม่ปฏิบัติตามพระราชบัญญัติหรือประกาศที่ออกตามพระราชบัญญัตินี้
การยื่น การไม่รับเรื่อง การยุติเรื่อง การพิจารณา และระยะเวลาในการพิจารณาคำร้องเรียน ให้เป็นไปตามระเบียบที่คณะกรรมการประกาศกำหนดโดยคำนึงถึงการกำหนดให้ไม่รับเรื่องร้องเรียนหรือยุติเรื่องในกรณีที่มีผู้มีอำนาจพิจารณาในเรื่องนั้นอยู่แล้วตามกฎหมายอื่นด้วย
มาตรา๗๔ในกรณีที่ผู้ร้องเรียนไม่ได้ปฏิบัติให้ถูกต้องตามระเบียบที่กาหนดไว้ในมาตรา ๗๓ วรรคสอง หรือเป็นเรื่องร้องเรียนที่ระเบียบนั้นได้กำหนดไม่ให้รับไว้พิจารณา ให้คณะกรรมการผู้เชี่ยวชาญไม่รับเรื่องร้องเรียนไว้พิจารณา
มื่อคณะกรรมการผู้เชี่ยวชาญพิจารณาเรื่องร้องเรียนตามมาตรา ๗๒ (๑) หรือตรวจสอบการกระทำใด ๆ ตามมาตรา ๗๒ (๒) แล้วรับฟังได้ว่า เรื่องร้องเรียนหรือการกระทำนั้นไม่มีมูล ให้คณะกรรมการผู้เชี่ยวชาญมีคำสั่งยุติเรื่อง
ในกรณีที่คณะกรรมการผู้เชี่ยวชาญพิจารณาหรือตรวจสอบตามวรรคสองแล้วรับฟังได้ว่า เรื่องร้องเรียนหรือการกระทำนั้นเป็นกรณีซึ่งอาจไกล่เกลี่ยได้และคู่กรณีประสงค์จะให้ไกล่เกลี่ย ให้คณะกรรมการผู้เชี่ยวชาญดำเนินการไกล่เกลี่ย แต่หากเรื่องร้องเรียนหรือการกระทำนั้นไม่อาจไกล่เกลี่ยได้ หรือไกล่เกลี่ยไม่สำเร็จ ให้คณะกรรมการผู้เชี่ยวชาญมีอำนาจออกคำสั่ง ดังต่อไปนี้
(๑)สั่งให้ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลปฏิบัติหรือดำเนินการแก้ไขการกระทำของตนให้ถูกต้องภายในระยะเวลาที่กำหนด
(๒)สั่งห้ามผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลกระทำการที่ก่อให้เกิดความเสียหายแก่เจ้าของข้อมูลส่วนบุคคลหรือให้กระทำการใดเพื่อระงับความเสียหายนั้นภายในระยะเวลาที่กำหนด
ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลไม่ยอมดำเนินการตามคำสั่งตามวรรคสาม (๑) หรือ (๒) ให้นำบทบัญญัติเกี่ยวกับการบังคับทางปกครองตามกฎหมายว่าด้วยวิธีปฏิบัติราชการทางปกครองมาใช้บังคับโดยอนุโลม ทั้งนี้ ในกรณีที่ต้องมีการยึด อายัด หรือ ขายทอดตลาดทรัพย์สินของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเพื่อบังคับตามหลักเกณฑ์ที่กำหนดไว้ในกฎหมายว่าด้วยวิธีปฏิบัติราชการทางปกครอง ให้คณะกรรมการผู้เชี่ยวชาญเป็นผู้มีอำนาจสั่งยึด อายัด หรือขายทอดตลาดทรัพย์สินเพื่อการนั้น
การจัดทำคำสั่งตามวรรคหนึ่ง วรรคสอง หรือวรรคสาม (๑) หรือ (๒) ให้เป็นไปตามหลักเกณฑ์และวิธีการที่คณะกรรมการประกาศกำหนด
คำสั่งของคณะกรรมการผู้เชี่ยวชาญ ให้ประธานกรรมการผู้เชี่ยวชาญเป็นผู้ลงนามแทน
คำสั่งของคณะกรรมการผู้เชี่ยวชาญตามมาตรานี้ให้เป็นที่สุด
ในการดำเนินการตามมาตรานี้ เมื่อผลการพิจารณาเป็นประการใด ให้คณะกรรมการผู้เชี่ยวชาญแจ้งให้ผู้ร้องเรียนทราบพร้อมด้วยเหตุผล และในกรณีที่ไม่รับเรื่องร้องเรียนหรือยุติเรื่องที่มีผู้มีอำนาจพิจารณาในเรื่องนั้นอยู่แล้วตามกฎหมายอื่น ให้แจ้งผู้ร้องเรียนทราบ หากผู้ร้องเรียนประสงค์จะให้ส่งเรื่องให้ผู้มีอำนาจพิจารณาในเรื่องนั้นตามกฎหมายอื่น ให้ดำเนินการตามความประสงค์ดังกล่าว และให้ถือว่าผู้มีอำนาจพิจารณาได้รับเรื่องร้องเรียนนับแต่วันที่คณะกรรมการผู้เชี่ยวชาญได้รับเรื่องร้องเรียนนั้น
มาตรา๗๕คณะกรรมการผู้เชี่ยวชาญมีอำนาจสั่งให้บุคคลใดส่งเอกสารหรือข้อมูลเกี่ยวกับเรื่องที่มีผู้ร้องเรียน หรือเรื่องอื่นใดที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลตามพระราชบัญญัตินี้ รวมทั้งจะสั่งให้บุคคลใดมาชี้แจงข้อเท็จจริงด้วยก็ได้
มาตรา๗๖ในการปฏิบัติการตามพระราชบัญญัตินี้ พนักงานเจ้าหน้าที่มีหน้าที่และอำนาจดังต่อไปนี้
(๑)มีหนังสือแจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคล หรือผู้ใดมาให้ข้อมูลหรือส่งเอกสารหรือหลักฐานใด ๆ เกี่ยวกับการดำเนินการหรือการกระทำความผิดตามพระราชบัญญัตินี้
(๒)ตรวจสอบและรวบรวมข้อเท็จจริง แล้วรายงานต่อคณะกรรมการผู้เชี่ยวชาญ ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคล หรือผู้ใดได้กระทำผิดหรือทำให้เกิดความเสียหายเพราะฝ่าฝืนหรือไม่ปฏิบัติตามพระราชบัญญัติหรือประกาศที่ออกตามพระราชบัญญัตินี้
ในการดำเนินการตาม (๒) หากมีความจำเป็นเพื่อคุ้มครองประโยชน์ของเจ้าของข้อมูลส่วนบุคคลหรือเพื่อประโยชน์สาธารณะ ให้พนักงานเจ้าหน้าที่ยื่นคำร้องต่อศาลที่มีเขตอำนาจเพื่อมีคำสั่งอนุญาตให้พนักงานเจ้าหน้าที่เข้าไปในสถานที่ของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ใดเกี่ยวกับการกระทำความผิดตามพระราชบัญญัตินี้ ในระหว่างเวลาพระอาทิตย์ขึ้นถึงพระอาทิตย์ตกหรือในเวลาทำการของสถานที่นั้น เพื่อตรวจสอบและรวบรวมข้อเท็จจริง ยึดหรืออายัดเอกสารหลักฐาน หรือสิ่งอื่นใดที่เกี่ยวกับการกระทำความผิด หรือมีเหตุอันควรเชื่อได้ว่ามีไว้หรือใช้เพื่อกระทำความผิด
ในการแต่งตั้งพนักงานเจ้าหน้าที่ ให้รัฐมนตรีพิจารณาแต่งตั้งจากข้าราชการหรือเจ้าหน้าที่อื่นของรัฐซึ่งดำรงตำแหน่งไม่ต่ำกว่าข้าราชการพลเรือนระดับปฏิบัติการหรือเทียบเท่าและมีคุณสมบัติตามที่คณะกรรมการประกาศกำหนด
ในการปฏิบัติหน้าที่ของพนักงานเจ้าหน้าที่ตามมาตรานี้ ต้องแสดงบัตรประจำตัวต่อผู้ที่เกี่ยวข้อง และให้ผู้ที่เกี่ยวข้องอำนวยความสะดวกตามสมควร
บัตรประจำตัวพนักงานเจ้าหน้าที่ ให้เป็นไปตามแบบที่คณะกรรมการประกาศกำหนด
มาตรา๗๗ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งดำเนินการใด ๆ เกี่ยวกับข้อมูลส่วนบุคคลอันเป็นการฝ่าฝืนหรือไม่ปฏิบัติตามบทบัญญัติแห่งพระราชบัญญัตินี้ทำให้เกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคล ต้องชดใช้ค่าสินไหมทดแทนเพื่อการนั้นแก่เจ้าของข้อมูลส่วนบุคคล ไม่ว่าการดำเนินการนั้นจะเกิดจากการกระทำโดยจงใจหรือประมาทเลินเล่อหรือไม่ก็ตาม เว้นแต่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลนั้นจะพิสูจน์ได้ว่า
(๑)ความเสียหายนั้นเกิดจากเหตุสุดวิสัย หรือเกิดจากการกระทำหรือละเว้นการกระทำของเจ้าของข้อมูลส่วนบุคคลนั้นเอง
(๒)เป็นการปฏิบัติตามคำสั่งของเจ้าหน้าที่ซึ่งปฏิบัติการตามหน้าที่และอำนาจตามกฎหมาย
ค่าสินไหมทดแทนตามวรรคหนึ่ง ให้หมายความรวมถึงค่าใช้จ่ายทั้งหมดที่เจ้าของข้อมูลส่วนบุคคลได้ใช้จ่ายไปตามความจำเป็นในการป้องกันความเสียหายที่กำลังจะเกิดขึ้นหรือระงับความเสียหายที่เกิดขึ้นแล้วด้วย
มาตรา๗๘ให้ศาลมีอำนาจสั่งให้ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลจ่ายค่าสินไหมทดแทนเพื่อการลงโทษเพิ่มขึ้นจากจำนวนค่าสินไหมทดแทนที่แท้จริงที่ศาลกำหนดได้ตามที่ศาลเห็นสมควร แต่ไม่เกินสองเท่าของค่าสินไหมทดแทนที่แท้จริงนั้น ทั้งนี้ โดยคำนึงถึงพฤติการณ์ต่าง ๆ เช่น ความร้ายแรงของความเสียหายที่เจ้าของข้อมูลส่วนบุคคลได้รับ ผลประโยชน์ที่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลได้รับ สถานะทางการเงินของผู้ควบคุม ข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล การที่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลได้บรรเทาความเสียหายที่เกิดขึ้น หรือการที่เจ้าของข้อมูลส่วนบุคคลมีส่วนในการก่อให้เกิดความเสียหายด้วย
สิทธิเรียกร้องค่าเสียหายอันเกิดจากการละเมิดข้อมูลส่วนบุคคลตามพระราชบัญญัตินี้เป็นอันขาดอายุความเมื่อพ้นสามปีนับแต่วันที่ผู้เสียหายรู้ถึงความเสียหายและรู้ตัวผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลที่ต้องรับผิด หรือเมื่อพ้นสิบปีนับแต่วันที่มีการละเมิดข้อมูลส่วนบุคคล
มาตรา๗๙ผู้ควบคุมข้อมูลส่วนบุคคลผู้ใดฝ่าฝืนมาตรา ๒๗ วรรคหนึ่งหรือวรรคสอง หรือไม่ปฏิบัติตามมาตรา ๒๘ อันเกี่ยวกับข้อมูลส่วนบุคคลตามมาตรา ๒๖ โดยประการที่น่าจะทำให้ผู้อื่นเกิดความเสียหาย เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย ต้องระวางโทษจำคุกไม่เกินหกเดือน หรือปรับไม่เกินห้าแสนบาท หรือทั้งจำทั้งปรับ
ผู้ควบคุมข้อมูลส่วนบุคคลผู้ใดฝ่าฝืนมาตรา ๒๗ วรรคหนึ่งหรือวรรคสอง หรือไม่ปฏิบัติตามมาตรา ๒๘ อันเกี่ยวกับข้อมูลส่วนบุคคลตามมาตรา ๒๖ เพื่อแสวงหาประโยชน์ที่มิควรได้โดยชอบด้วยกฎหมายสำหรับตนเองหรือผู้อื่น ต้องระวางโทษจำคุกไม่เกินหนึ่งปี หรือปรับไม่เกินหนึ่งล้านบาท หรือทั้งจำทั้งปรับ
ความผิดตามมาตรานี้เป็นความผิดอันยอมความได้
มาตรา๘๐ผู้ใดล่วงรู้ข้อมูลส่วนบุคคลของผู้อื่นเนื่องจากการปฏิบัติหน้าที่ตามพระราชบัญญัตินี้ ถ้าผู้นั้นนำไปเปิดเผยแก่ผู้อื่น ต้องระวางโทษจำคุกไม่เกินหกเดือน หรือปรับไม่เกินห้าแสนบาท หรือทั้งจำทั้งปรับ
ความในวรรคหนึ่ง มิให้นำมาใช้บังคับแก่การเปิดเผย ในกรณีดังต่อไปนี้
(๑)การเปิดเผยตามหน้าที่
(๒)การเปิดเผยเพื่อประโยชน์แก่การสอบสวน หรือการพิจารณาคดี
(๓)การเปิดเผยแก่หน่วยงานของรัฐในประเทศหรือต่างประเทศที่มีอำนาจหน้าที่ตามกฎหมาย
(๔)การเปิดเผยที่ได้รับความยินยอมเป็นหนังสือเฉพาะครั้งจากเจ้าของข้อมูลส่วนบุคคล
(๕)การเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับการฟ้องร้องคดีต่าง ๆ ที่เปิดเผยต่อสาธารณะ
มาตรา๘๑ในกรณีที่ผู้กระทำความผิดตามพระราชบัญญัตินี้เป็นนิติบุคคล ถ้าการกระทำความผิดของนิติบุคคลนั้นเกิดจากการสั่งการหรือการกระทำของกรรมการหรือผู้จัดการ หรือบุคคลใดซึ่งรับผิดชอบในการดำเนินงานของนิติบุคคลนั้น หรือในกรณีที่บุคคลดังกล่าวมีหน้าที่ต้องสั่งการหรือกระทำการและละเว้นไม่สั่งการหรือไม่กระทำการจนเป็นเหตุให้นิติบุคคลนั้นกระทำความผิด ผู้นั้นต้องรับโทษตามที่บัญญัติไว้สำหรับความผิดนั้น ๆ ด้วย
มาตรา๘๒ผู้ควบคุมข้อมูลส่วนบุคคลผู้ใดไม่ปฏิบัติตามมาตรา ๒๓ มาตรา ๓๐ วรรคสี่ มาตรา ๓๙ วรรคหนึ่ง มาตรา ๔๑ วรรคหนึ่ง หรือมาตรา ๔๒ วรรคสองหรือวรรคสาม หรือไม่ขอความยินยอมตามแบบหรือข้อความที่คณะกรรมการประกาศกำหนดตามมาตรา ๑๙ วรรคสาม หรือไม่แจ้งผลกระทบจากการถอนความยินยอมตามมาตรา ๑๙ วรรคหก หรือไม่ปฏิบัติตามมาตรา ๒๓ ซึ่งได้นำมาใช้บังคับโดยอนุโลมตามมาตรา ๒๕ วรรคสอง ต้องระวางโทษปรับทางปกครองไม่เกินหนึ่งล้านบาท
มาตรา๘๓ผู้ควบคุมข้อมูลส่วนบุคคลผู้ใดฝ่าฝืนหรือไม่ปฏิบัติตามมาตรา ๒๑ มาตรา ๒๒ มาตรา ๒๔ มาตรา ๒๕ วรรคหนึ่ง มาตรา ๒๗ วรรคหนึ่งหรือวรรคสอง มาตรา ๒๘ มาตรา ๓๒ วรรคสอง หรือมาตรา ๓๗ หรือขอความยินยอมโดยการหลอกลวงหรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์ หรือไม่ปฏิบัติตามมาตรา ๒๑ ซึ่งได้นำมาใช้บังคับโดยอนุโลมตามมาตรา ๒๕ วรรคสอง หรือส่งหรือโอนข้อมูลส่วนบุคคลโดยไม่เป็นไปตามมาตรา ๒๙ วรรคหนึ่งหรือวรรคสาม ต้องระวางโทษปรับทางปกครองไม่เกินสามล้านบาท
มาตรา๘๔ผู้ควบคุมข้อมูลส่วนบุคคลผู้ใดฝ่าฝืนมาตรา ๒๖ วรรคหนึ่งหรือวรรคสาม หรือฝ่าฝืนมาตรา ๒๗ วรรคหนึ่งหรือวรรคสอง หรือมาตรา ๒๘ อันเกี่ยวกับข้อมูลส่วนบุคคลตามมาตรา ๒๖ หรือส่งหรือโอนข้อมูลส่วนบุคคลตามมาตรา ๒๖ โดยไม่เป็นไปตามมาตรา ๒๙ วรรคหนึ่งหรือวรรคสาม ต้องระวางโทษปรับทางปกครองไม่เกินห้าล้านบาท
มาตรา๘๕ผู้ประมวลผลข้อมูลส่วนบุคคลผู้ใดไม่ปฏิบัติตามมาตรา ๔๑ วรรคหนึ่ง หรือมาตรา ๔๒ วรรคสองหรือวรรคสาม ต้องระวางโทษปรับทางปกครองไม่เกินหนึ่งล้านบาท
มาตรา๘๖ผู้ประมวลผลข้อมูลส่วนบุคคลผู้ใดไม่ปฏิบัติตามมาตรา ๔๐ โดยไม่มีเหตุอันควร หรือส่งหรือโอนข้อมูลส่วนบุคคลโดยไม่เป็นไปตามมาตรา ๒๙ วรรคหนึ่งหรือวรรคสาม หรือไม่ปฏิบัติตามมาตรา ๓๗ (๕) ซึ่งได้นำมาใช้บังคับโดยอนุโลมตามมาตรา ๓๘ วรรคสอง ต้องระวางโทษปรับทางปกครองไม่เกินสามล้านบาท
มาตรา๘๗ผู้ประมวลผลข้อมูลส่วนบุคคลผู้ใดส่งหรือโอนข้อมูลส่วนบุคคลตามมาตรา ๒๖ วรรคหนึ่งหรือวรรคสาม โดยไม่เป็นไปตามมาตรา ๒๙ วรรคหนึ่งหรือวรรคสาม ต้องระวางโทษปรับทางปกครองไม่เกินห้าล้านบาท
มาตรา๘๘ตัวแทนผู้ควบคุมข้อมูลส่วนบุคคลหรือตัวแทนผู้ประมวลผลข้อมูลส่วนบุคคลผู้ใดไม่ปฏิบัติตามมาตรา ๓๙ วรรคหนึ่ง ซึ่งได้นำมาใช้บังคับโดยอนุโลมตามมาตรา ๓๙ วรรคสอง และมาตรา ๔๑ วรรคหนึ่ง ซึ่งได้นำมาใช้บังคับโดยอนุโลมตามมาตรา ๔๑ วรรคสี่ ต้องระวางโทษปรับ ทางปกครองไม่เกินหนึ่งล้านบาท
มาตรา๘๙ผู้ใดไม่ปฏิบัติตามคำสั่งของคณะกรรมการผู้เชี่ยวชาญหรือไม่มาชี้แจงข้อเท็จจริงตามมาตรา ๗๕ หรือไม่ปฏิบัติตามมาตรา ๗๖ (๑) หรือไม่อำนวยความสะดวกแก่พนักงานเจ้าหน้าที่ตามมาตรา ๗๖ วรรคสี่ ต้องระวางโทษปรับทางปกครองไม่เกินห้าแสนบาท
มาตรา๙๐คณะกรรมการผู้เชี่ยวชาญมีอำนาจสั่งลงโทษปรับทางปกครองตามที่กำหนดไว้ในส่วนนี้ ทั้งนี้ ในกรณีที่เห็นสมควรคณะกรรมการผู้เชี่ยวชาญจะสั่งให้แก้ไขหรือตักเตือนก่อนก็ได้
ในการพิจารณาออกคำสั่งลงโทษปรับทางปกครอง ให้คณะกรรมการผู้เชี่ยวชาญคำนึงถึงความร้ายแรงแห่งพฤติกรรมที่กระทำผิด ขนาดกิจการของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล หรือพฤติการณ์ต่าง ๆ ประกอบด้วย ทั้งนี้ ตามหลักเกณฑ์ที่คณะกรรมการกำหนด
ในกรณีที่ผู้ถูกลงโทษปรับทางปกครองไม่ยอมชำระค่าปรับทางปกครอง ให้นำบทบัญญัติเกี่ยวกับการบังคับทางปกครองตามกฎหมายว่าด้วยวิธีปฏิบัติราชการทางปกครองมาใช้บังคับโดยอนุโลม และในกรณีที่ไม่มีเจ้าหน้าที่ดำเนินการบังคับตามคำสั่ง หรือมีแต่ไม่สามารถดำเนินการบังคับทางปกครองได้ให้คณะกรรมการผู้เชี่ยวชาญมีอำนาจฟ้องคดีต่อศาลปกครองเพื่อบังคับชำระค่าปรับ ในการนี้ ถ้าศาลปกครองเห็นว่าคำสั่งให้ชำระค่าปรับนั้นชอบด้วยกฎหมาย ให้ศาลปกครองมีอำนาจพิจารณาพิพากษา และบังคับให้มีการยึดหรืออายัดทรัพย์สินขายทอดตลาดเพื่อชำระค่าปรับได้
คำสั่งลงโทษปรับทางปกครองและคำสั่งในการบังคับทางปกครอง ให้นำความในมาตรา ๗๔ วรรคหก มาใช้บังคับโดยอนุโลม และให้นำความในมาตรา ๗๔ วรรคสี่ มาใช้บังคับกับการบังคับทางปกครองตามวรรคสามโดยอนุโลม
มาตรา๙๑ในวาระเริ่มแรก ให้คณะกรรมการประกอบด้วยกรรมการตามมาตรา ๘ (๒) (๓) และให้เลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเป็นกรรมการและเลขานุการ เพื่อปฏิบัติหน้าที่เท่าที่จำเป็นไปพลางก่อนแต่ไม่เกินเก้าสิบวันนับแต่วันที่พระราชบัญญัตินี้ใช้บังคับ และให้รองประธานกรรมการทำหน้าที่ประธานกรรมการเป็นการชั่วคราว
ให้สำนักงานดำเนินการให้มีการแต่งตั้งประธานกรรมการตามมาตรา ๘ (๑) และกรรมการผู้ทรงคุณวุฒิตามมาตรา ๘ (๔) ภายในเก้าสิบวันนับแต่วันที่พระราชบัญญัตินี้ใช้บังคับ
มาตรา๙๒ให้ดำเนินการเพื่อให้มีคณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายในเก้าสิบวันนับแต่วันที่ได้มีการแต่งตั้งประธานกรรมการ และกรรมการผู้ทรงคุณวุฒิตามมาตรา ๙๑
ให้ดำเนินการแต่งตั้งเลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลตามพระราชบัญญัตินี้ให้แล้วเสร็จภายในเก้าสิบวันนับแต่วันที่จัดตั้งสำนักงานแล้วเสร็จตามมาตรา ๙๓
มาตรา๙๓ให้ดำเนินการจัดตั้งสำนักงานให้แล้วเสร็จเพื่อปฏิบัติงานตามพระราชบัญญัตินี้ภายในหนึ่งปีนับแต่วันที่พระราชบัญญัตินี้ใช้บังคับ
ในระหว่างที่การดำเนินการจัดตั้งสำนักงานยังไม่แล้วเสร็จ ให้สำนักงานปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมทำหน้าที่สำนักงานตามพระราชบัญญัตินี้ และให้รัฐมนตรีแต่งตั้งรองปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมคนหนึ่งทำหน้าที่เลขาธิการจนกว่าจะมีการแต่งตั้งเลขาธิการตามมาตรา ๙๒ วรรคสอง
มาตรา๙๔ในวาระเริ่มแรก ให้คณะรัฐมนตรีจัดสรรทุนประเดิมให้แก่สำนักงานตามความจำเป็น
ให้รัฐมนตรีเสนอต่อคณะรัฐมนตรีเพื่อพิจารณาให้ข้าราชการ พนักงาน เจ้าหน้าที่ หรือผู้ปฏิบัติงานอื่นใดในหน่วยงานของรัฐ มาปฏิบัติงานเป็นพนักงานของสำนักงานเป็นการชั่วคราวภายในระยะเวลาที่คณะรัฐมนตรีกำหนด
ให้ถือว่าข้าราชการ พนักงาน เจ้าหน้าที่ หรือผู้ปฏิบัติงานอื่นใดในหน่วยงานของรัฐที่มาปฏิบัติงานในสำนักงานเป็นการชั่วคราวตามวรรคสองไม่ขาดจากสถานภาพเดิมและคงได้รับเงินเดือนหรือค่าจ้าง แล้วแต่กรณี จากสังกัดเดิม ทั้งนี้ คณะกรรมการอาจกำหนดค่าตอบแทนพิเศษให้แก่ข้าราชการ พนักงาน เจ้าหน้าที่ หรือผู้ปฏิบัติงานอื่นใดในหน่วยงานของรัฐตามวรรคสอง ในระหว่างปฏิบัติงานในสำนักงานด้วยก็ได้
ภายในหนึ่งร้อยแปดสิบวันนับแต่วันที่จัดตั้งสำนักงานแล้วเสร็จ ให้สำนักงานดำเนินการคัดเลือกข้าราชการ พนักงาน เจ้าหน้าที่ หรือผู้ปฏิบัติงานอื่นใดในหน่วยงานของรัฐตามวรรคสองเพื่อบรรจุเป็นพนักงานของสำนักงานต่อไป
ข้าราชการ พนักงาน เจ้าหน้าที่ หรือผู้ปฏิบัติงานอื่นใดในหน่วยงานของรัฐผู้ใดได้รับการคัดเลือกและบรรจุตามวรรคสี่ ให้มีสิทธินับระยะเวลาทำงานที่เคยทำงานอยู่ในสังกัดเดิมต่อเนื่องรวมกับระยะเวลาทำงานในสำนักงานตามพระราชบัญญัตินี้
มาตรา๙๕ข้อมูลส่วนบุคคลที่ผู้ควบคุมข้อมูลส่วนบุคคลได้เก็บรวบรวมไว้ก่อนวันที่พระราชบัญญัตินี้ใช้บังคับ ให้ผู้ควบคุมข้อมูลส่วนบุคคลสามารถเก็บรวมรวมและใช้ข้อมูลส่วนบุคคลนั้นต่อไปได้ตามวัตถุประสงค์เดิม ทั้งนี้ ผู้ควบคุมข้อมูลส่วนบุคคลต้องกำหนดวิธีการยกเลิกความยินยอม และเผยแพร่ประชาสัมพันธ์ให้เจ้าของข้อมูลส่วนบุคคลที่ไม่ประสงค์ให้ผู้ควบคุมข้อมูลส่วนบุคคลเก็บรวมรวมและใช้ข้อมูลส่วนบุคคลดังกล่าวสามารถแจ้งยกเลิกความยินยอมได้โดยง่าย
การเปิดเผยและการดำเนินการอื่นที่มิใช่การเก็บรวบรวมและการใช้ข้อมูลส่วนบุคคลตามวรรคหนึ่ง ให้เป็นไปตามบทบัญญัติแห่งพระราชบัญญัตินี้
มาตรา๙๖การดำเนินการออกระเบียบ และประกาศตามพระราชบัญญัตินี้ ให้ดำเนินการให้แล้วเสร็จภายในหนึ่งปีนับแต่วันที่พระราชบัญญัตินี้ใช้บังคับ หากไม่สามารถดำเนินการได้ให้รัฐมนตรีรายงานเหตุผลที่ไม่อาจดำเนินการได้ต่อคณะรัฐมนตรีเพื่อทราบ
- ผู้รับสนองพระราชโองการ
- พลเอก ประยุทธ์ จันทร์โอชา
- นายกรัฐมนตรี
บรรณานุกรม
[แก้ไข]- "พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562". (2562, 24 พฤษภาคม). ราชกิจจานุเบกษา. เล่ม 136, ตอน 69 ก. หน้า 52–95.
งานนี้ไม่มีลิขสิทธิ์ เพราะเป็นงานตามมาตรา 7 (2) แห่งพระราชบัญญัติลิขสิทธิ์ พ.ศ. 2537 ของประเทศไทย ซึ่งบัญญัติว่า
- "มาตรา 7 สิ่งต่อไปนี้ไม่ถือว่าเป็นงานอันมีลิขสิทธิ์ตามพระราชบัญญัตินี้
- (1)ข่าวประจำวัน และข้อเท็จจริงต่าง ๆ ที่มีลักษณะเป็นเพียงข่าวสาร อันมิใช่งานในแผนกวรรณคดี แผนกวิทยาศาสตร์ หรือแผนกศิลปะ
- (2)รัฐธรรมนูญ และกฎหมาย
- (3)ระเบียบ ข้อบังคับ ประกาศ คำสั่ง คำชี้แจง และหนังสือโต้ตอบของกระทรวง ทบวง กรม หรือหน่วยงานอื่นใดของรัฐหรือของท้องถิ่น
- (4)คำพิพากษา คำสั่ง คำวินิจฉัย และรายงานของทางราชการ
- (5)คำแปลและการรวบรวมสิ่งต่าง ๆ ตาม (1) ถึง (4) ที่กระทรวง ทบวง กรม หรือหน่วยงานอื่นใดของรัฐหรือของท้องถิ่น จัดทำขึ้น"
