มีผลใช้บังคับตั้งแต่วันถัดจากวันประกาศในราชกิจจานุเบกษาเป็นต้นไป (ประกาศลงในราชกิจจานุเบกษา วันที่ 27 พฤษภาคม 2562) ➢ หมวด 1 คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ➢ หมวด 4 ส านักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ยกเว้น หมวด 2 (การคุ้มครองข้อมูลส่วนบุคคล) หมวด 3 (สิทธิของเจ้าของข้อมูลส่วนบุคคล) หมวด 5 (การร้องเรียน) หมวด 6 (ความรับผิดทางแพ่ง) หมวด 7 (บทกำหนดโทษ) และความในมาตรา 95 (การด าเนินการกับข้อมูลเดิม) และมาตรา 96 (การตรากฎหมายลำดับรอง) ให้ใช้บังคับเมื่อพ้นกำหนดหนึ่งปีนับแต่วันประกาศในราชกิจจานุเบกษาเป็นต้นไป
กฎหมายคุ้มครองข้อมูลส่วนบุคคล ใช้ตามกำหนด 27 พ.ค. ยกเว้นให้หน่วยงานรัฐและกิจการ 22 ประเภท
ในวันที่ 20 พฤษภาคม 2563 ได้มีการประกาศพระราชกฤษฎีกา ไม่ใช่การเลื่อนการใช้บังคับแต่เป็นการกำหนดหน่วยงานและกิจการที่ผู้ควบคุมข้อมูลส่วนบุคคลไม่อยู่ภายใต้บังคับแห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 พ.ศ. 2563 โดยกำหนดให้หน่วยงานภาครัฐและองค์กรธุรกิจรวม 22 กิจการไม่ต้องอยู่ภายใต้บังคับพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ตั้งแต่วันที่ 27 พฤษภาคม 2563 ถึง 31 พฤษภาคม 2564 โดยมีกิจการดังต่อไปนี้ 1. หน่วยงานของรัฐ 2. หน่วยงานของรัฐต่างประเทศและองค์การระหว่างประเทศ 3. มูลนิธิ สมาคม องค์กรศาสนา และองค์กรไม่แสวงหากำไร 4. กิจการด้านเกษตรกรรม 5. กิจการด้านอุตสาหกรรม 6. กิจการด้านพาณิชยกรรม 7. กิจการด้านการแพทย์และสาธารณสุข 8. กิจการด้านพลังงาน ไอน้ำ น้ำ และการกำจัดของเสีย รวมทั้งกิจการที่เกี่ยวข้อง 9. กิจการด้านการก่อสร้าง 10. กิจการด้านการซ่อมและการบำรุงรักษา 11. […]
ค่าสินไหมทดแทน/อายุความ
ศาลมีอำนาจสั่งให้ชดใช้ค่าสินไหมทดแทนได้ไม่เกินสองเท่าของค่าสินไหมทดแทน ที่แท้จริง • อายุความฟ้องคดีสามปีนับแต่วันที่ผู้เสียหายรู้ถึงความเสียหายและรู้ตัวผู้ควบคุม ข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลที่ต้องรับผิดหรือเมื่อพ้นสิบปี นับแต่วันที่มีการละเมิดข้อมูลส่วนบุคคล
ความรับผิดทางแพ่ง ความรับผิดโดยเคร่งครัด (Strict Liability)
ผู้ควบคุมข้อมูลส่วนบุคคล/ผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งท าให้เกิด ความเสียหายต่อเจ้าของข้อมูลส่วนบุคคล ต้องชดใช้ค่าสินไหมทดแทน ไม่ว่าการดำเนินการนั้นจะเกิดจากการกระทำโดยจงใจหรือประมาทเลินเล่อ หรือไม่ก็ตาม เว้นแต่จะพิสูจน์ได้ว่า • (1) เหตุสุดวิสัย หรือเกิดจากการกระทำหรือละเว้นการกระทำของเจ้าของข้อมูล ส่วนบุคคล • (2) เป็นการปฏิบัติตามคำสั่งของเจ้าหน้าที่ซึ่งปฏิบัติการตามหน้าที่และอานาจตาม กฎหมาย
การร้องเรียน
คณะกรรมการผู้เชี่ยวชาญ • พิจารณาเรื่องร้องเรียน • ตรวจสอบการกระทำใด ๆ ของผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งลูกจ้าง หรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล • ไกล่เกลี่ยข้อพิพาทเกี่ยวกับข้อมูลส่วนบุคคล พนักงานเจ้าหน้าที่ • (1) มีหนังสือแจ้งให้บุคคลมาให้ข้อมูล หรือส่งเอกสารหรือหลักฐานใด ๆ • (2) ตรวจสอบและรวบรวมข้อเท็จจริง แล้วรายงานต่อคณะกรรมการผู้เชี่ยวชาญ • ในกรณีตามข้อ (2) หากมีความจำเป็นเพื่อคุ้มครองประโยชน์ของเจ้าของข้อมูล หรือเพื่อประโยชน์สาธารณะ ให้พนักงานเจ้าหน้าที่ยื่นขอหมายศาล เพื่อเข้าไปในสถานที่ของผู้ควบคุม ผู้ประมวลผลหรรือผู้ใด ในระหว่าง พระอาทิตย์ขึ้นถึงพระอาทิตย์ตกหรือในเวลาทำการของสถานที่นั้น
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer : DPO)
ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผล ข้อมูลส่วนบุคคลจัดให้มี DPO (1) หน่วยงานของรัฐ ตามที่ประกาศกำหนด (2) การดำเนินกิจกรรมในการเก็บรวบรวม ใช้ หรือเปิดเผยจ าเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่ำเสมอ โดยเหตุที่มีข้อมูลส่วนบุคคลเป็นจำนวนมากตามที่ประกาศกำหนด (3) กิจกรรมหลักของผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคลเป็นการเก็บ รวบรวม ใช้ หรือเปิดเผย Sensitive Personal Data หน้าที่ DPO (1) ให้คำแนะนำ (2) ตรวจสอบการดำเนินงานเกี่ยวกับ การเก็บรวบรวม การใช้ หรือการเปิดเผยข้อมูล่วนบุคคล (3) ประสานงานและให้ความร่วมมือกับสำนักงานฯ (4) รักษาความลับของข้อมูลส่วนบุคคลที่ตน ล่วงรู้หรือได้มาเนื่องจากการปฏิบัติหน้าที่ตาม กฎหมายน
หน้าที่ผู้ประมวลผลข้อมูลส่วนบุคคล
หน้าที่ผู้ประมวลผลข้อมูลส่วนบุคคล >ดำเนินการตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น >เว้นแต่คำสั่งนั้นขัดต่อกฎหมายหรือบทบัญญัติในการคุ้มครองข้อมูลส่วนบุคคล >จัดให้มีมาตรการรักษาความมั่นคงปลอดภัย รวมทั้งแจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบถึงเหตุ การละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น >จัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคล >แต่งตั้งตัวแทนภายในราชอาณาจักร >ผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งไม่ปฏิบัติตามค าสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคล ให้ถือว่า ผู้ประมวลผลข้อมูลส่วนบุคคลเป็นผู้ควบคุมข้อมูลส่วนบุคคล
หน้าที่ผู้ควบคุมข้อมูลส่วนบุคคล
หน้าที่ผู้ควบคุมข้อมูลส่วนบุคคล -จัดให้มีมาตรการรักษาความมั่นคงปลอดภัย -ดำเนินการเพื่อป้องกันมิให้ผู้อื่นใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยมิชอบ -จัดให้มีระบบการตรวจสอบเพื่อด าเนินการลบหรือท าลายข้อมูลส่วนบุคคล -แจ้งเหตุการละเมิดข้อมูลส่วนบุคคล -แต่งตั้งตัวแทนภายในราชอาณาจักร -จัดทำบันทึกรายการ
Binding Corporate Rules (BCR)
กำหนดหลักการเกี่ยวกับกฎเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลไปยังต่างประเทศและ อยู่ในเครือกิจการหรือเครือธุรกิจเดียวกันเพื่อการประกอบกิจการหรือธุรกิจร่วมกัน หากมีนโยบาย การคุ้มครองข้อมูลส่วนบุคคลที่ได้รับการตรวจสอบและรับรองจากสำนักงานคณะกรรมการ คุ้มครองข้อมูลส่วนบุคคล สามารถโอนข้อมูลไปยังต่างประเทศได้ สิทธิของเจ้าของข้อมูลส่วนบุคคล -สิทธิได้รับการแจ้งให้ทราบ -สิทธิขอเข้าถึงข้อมูลส่วนบุคคล -สิทธิในการขอให้โอนข้อมูลส่วนบุคคล -สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล -สิทธิขอให้ลบหรือท าลาย หรือท าให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคล -สิทธิขอให้ระงับการใช้ข้อมูล -สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล
