พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล มีจำนวนทั้งสิ้น 96 มาตรา แต่สาระสำคัญที่มีผลกระทบต่อประชาชนทั่วไปสามารถสรุปได้คร่าว ๆ ดังนี้
– กฎหมายบังคับใช้กับผู้ประกอบการที่อยู่ในประเทศไทยไม่ว่ากิจกรรมเกี่ยวกับข้อมูลจะเกิดที่ใดก็ตาม (มาตรา 5)
– การเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคลต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลนั้นโดชัดแจ้ง ทำเป็นหนังสือหรือผ่านระบบอิเล็กทรอนิกส์ โดยเจ้าของข้อมูลจะถอนความยินยอมเมื่อใดก็ได้ และการถอนความยินยอมต้องทำได้โดยง่ายเช่นเดียวกับการให้ความยินยอม (มาตรา 19)
– การเก็บข้อมูลต้องแจ้งรายละเอียดที่เกี่ยวข้อง เช่น วัตถุประสงค์ ข้อมูลที่จะเก็บ ระยะเวลาที่จะเก็บ หน่วยงานที่ข้อมูลจะถูกเปิดเผย ฯลฯ และแจ้งสิทธิต่อเจ้าของข้อมูล (มาตรา 23)
– ห้ามเก็บข้อมูลส่วนบุคคลจากแหล่งอื่นที่มิใช่จากเข้าของข้อมูลส่วนบุคคลโดยตรง (มาตรา 25)
– ธุรกิจที่ดำเนินกิจกรรมรวบรวม ใช้ เปิดเผย หรือตรวจสอบข้อมูลส่วนบุคคลจำนวนมากอย่างสม่ำเสมอ เช่น ธุรกิจขนาดใหญ่ จะต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลภายในหน่วยงาน (มาตรา 41)
– มีคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลขึ้นมาเพื่อกำกับการดำเนินการเกี่ยวกับข้อมูลส่วนบุคคล
– ผู้ฝ่าฝืนมีโทษทางอาญา ทั้งจำและปรับ และมีโทษปรับทางปกครองด้วย
– กฎหมายกำหนดให้ผู้ฝ่าฝืนและทำให้เกิดความเสียหายแก่เจ้าของข้อมูลส่วนบุคคลต้องชดใช้ความเสียหายทางแพ่ง ซึ่งรวมถึงค่าใช้จ่ายทั้งหมดที่เจ้าของข้อมูลส่วนบุคคลได้ใช้จ่ายไปตามความจำเป็นเพื่อป้องกันความเสียหายที่กำลังจะเกิดขึ้นหรือระงับความเสียหายที่เกิดขึ้นแล้วด้วย ไม่ว่าจะกระทำโดยจงใจหรือประมาทเลินเล่อก็ตาม (มาตรา 77)
– ศาลสามารถกำหนดค่าเสียหายเชิงลงโทษได้สูงสุดสองเท่าของค่าเสียหายที่แท้จริง (มาตรา 78)
– สิทธิเรียกร้องค่าเสียหายมีอายุความสามปีนับจากวันที่รู้ถึงความเสียหายและรู้ตัวผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลที่ต้องรับผิด แต่ไม่เกินสิบปีนับแต่วันที่มีการละเมิดข้อมูลส่วนบุคคล (มาตรา 78)
