1. ประกาศในราชกิจจานุเบกษาเมื่อ 27 พฤษภาคม 2562
2. หมวด 1 คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และ หมวด 4 สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล มีผลบังคับใช้เมื่อ 28 พฤษภาคม 2562
3. มีผลบังคับใช้ทั้งฉบับในวันที่ 27 พฤษภาคม 2563
4. ข้อมูลส่วนบุคคล (Personal Data) หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
5. ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) ได้แก่ ข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ร้องเรียน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคล ในทำนองเดียวกันตามที่คุณะกรรมการประกาศกำหนด
6. สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject)
– สิทธิได้รับการแจ้งให้ทราบ (Right to be informed)
– สิทธิขอเข้าถึงข้อมูลส่วนบุคคล (Right of access)
– สิทธิในการขอให้โอนข้อมูลส่วนบุคคล (Right to data portability)
– สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Right to object)
– สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคล (Right to erasure (also known as right to be forgotten)
– สิทธิขอให้ระงับการใช้ข้อมูล (Right to restrict processing)
– สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล (Right of rectification)
7. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
8. ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าว ไม่เป็นผู้ควบคุมส่วนบุคคล
9. การเก็บรวบรวม ใช้ หรือเปิดผยข้อมูลส่วนบุคคลโดยชอบ
– ความยินยอม
– จัดทำเอกสารประวัติศาสตร์ หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ หรือที่เกี่ยวกับการศึกษาวิจัยหรือสถิติ
– ป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
– จำเป็นเพื่อปฏิบัติตามสัญญา
– การปฏิบัติตามกฎหมาย
– จำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลหรือของบุคคลอื่น
– จำเป็นเพื่อประโยชน์สาธารณะ และการปฏิบัติหน้าที่ในการใช้อำนาจรัฐ
10. การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ (Cross-border Personal Data Transfer) ประเทศปลายทางหรือองค์การระหว่างประเทศ ที่รับข้อมูลส่วนบุคลต้องมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ เว้นแต่
– การปฏิบัติตามกฎหมาย
– ได้รับความยินยอมจากเจ้าของข้อมูล
– การปฏิบัติตามสัญญา
– การทำตามสัญญาระหว่างผู้ควบคุมข้อมูลกับบุคคลหรือนิติบุคคลอื่น
– ประโยชน์สาธารณะที่สำคัญ
11. การร้องเรียน ถ้าไกลเกลี่ยไม่ได้
– สั่งให้แก้ไข
– ห้ามกระทำที่ก่อให้เกิดความเสียหาย
– การบังคับทางปกครอง
12. ความรับผิดและบทลงโทษ
– ความรับผิดทางแพ่ง
– โทษอาญา
– โทษทางปกครอง
ดาวน์โหลดภาพนี้ได้ที่ https://drive.google.com/open?id=1tyjaTwe2sdBuHULyHCs9Pbx00G25uMpi
ขอขอบคุณที่มาและภาพประกอบ
: Facebook ETDA Thailand (โดย สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์)