Presented at the Medical Service Department, Bangkok Metropolitan Administration in Bangkok, Thailand on May 13, 2019

1. 1
สรุปเนื้อหาบางส่วนจาก (ร่าง) พระราชบัญญัติคุ้มครอง
ข้อมูลส่วนบุคคล พ.ศ. .... และ (ร่าง) พระราชบัญญัติ
การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. ....
นพ.นวนรรน ธีระอัมพรพันธุ์
หลักสูตรการพัฒนาผู้บริหารการเปลี่ยนแปลงทางการแพทย์และสาธารณสุข รุ่นที่ 2 (บปส.2)
ของสานักงานพัฒนาระบบบริการทางการแพทย์ สานักการแพทย์ กรุงเทพมหานคร
13 พฤษภาคม 2562

2. 2
Disclaimer: เป็นการคัดลอกหรือสรุปเนื้อหาจาก
กฎหมายเฉพาะส่วนที่เกี่ยวข้องกับการนาเสนอ
เท่านั้น ไม่รับรองความถูกต้องครบถ้วนของ
บทบัญญัติ หรือความถูกต้องของการตีความข้อ
กฎหมาย

3. 3
Timeline พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ....
• 6 ม.ค. 2558 ครม. อนุมัติหลักการร่างกฎหมายเพื่อรองรับการพัฒนาเศรษฐกิจดิจิทัลของ
ประเทศ จานวน 8 ฉบับ
• ก.ค. 2558 สานักงานคณะกรรมการกฤษฎีกาตรวจพิจารณาร่างเสร็จแล้ว
(เรื่องเสร็จที่ 1135/2558)
• 16 พ.ย. 2559 กระทรวง DE รับฟังความคิดเห็นเป็นการทั่วไป ณ โรงแรมเอทัส ลุมพินี
• 15-17 ส.ค. 2560 กระทรวง DE รับฟังความคิดเห็นโดยการจัดประชุม Focus Group ร่วมกับ
หน่วยงานภาครัฐ ภาคเอกชน ภาควิชาการ และภาคประชาสังคมที่เกี่ยวข้อง
ณ กระทรวง DE
• 24-30 ม.ค. 2561 กระทรวง DE รับฟังความคิดเห็นจากตัวแทนผู้มีส่วนได้เสีย ณ กระทรวง DE
• 22 ม.ค. - 6 ก.พ. 2561 กระทรวง DE รับฟังความคิดเห็นผ่านเว็บไซต์และ e-mail
• 22 พ.ค. 2561 ครม. อนุมัติหลักการร่าง พรบ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ....
• 5-20 ก.ย. 2561 กระทรวง DE รับฟังความคิดเห็นผ่านเว็บไซต์ (ประชุม 11 ก.ย. 2651)
• 28 ธ.ค. 2561 สนช. รับหลักการในวาระที่ 1
• 27-28 ก.พ. 2562 สนช. เห็นชอบในวาระที่ 2-3

4. 4
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ....
• หมวด 1 คณะกรรมการคุ้มครอง
ข้อมูลส่วนบุคคล
• หมวด 2 การคุ้มครองข้อมูลส่วน
บุคคล
• ส่วนที่ 1 บททั่วไป
• ส่วนที่ 2 การเก็บรวบรวมข้อมูล
ส่วนบุคคล
• ส่วนที่ 3 การใช้หรือเปิดเผย
ข้อมูลส่วนบุคคล
• หมวด 3 สิทธิของเจ้าของข้อมูล
ส่วนบุคคล
• หมวด 4 สานักงานคณะกรรมการ
คุ้มครองข้อมูลส่วนบุคคล
• หมวด 5 การร้องเรียน
• หมวด 6 ความรับผิดทางแพ่ง
• หมวด 7 บทกาหนดโทษ
• ส่วนที่ 1 โทษอาญา
• ส่วนที่ 2 โทษทางปกครอง
• บทเฉพาะกาล

5. 5
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ....
ตั้งแต่วันถัดจากวันประกาศใน
ราชกิจจานุเบกษา
• หมวด 1 คณะกรรมการคุ้มครองข้อมูล
ส่วนบุคคล
• หมวด 4 สานักงานคณะกรรมการ
คุ้มครองข้อมูลส่วนบุคคล
• บทเฉพาะกาล (ยกเว้นมาตรา 95, 96)
เมื่อพ้นกาหนดหนึ่งปีนับแต่วัน
ประกาศในราชกิจจานุเบกษา
• หมวด 2 การคุ้มครองข้อมูลส่วนบุคคล
• หมวด 3 สิทธิของเจ้าของข้อมูลส่วน
บุคคล
• หมวด 5 การร้องเรียน
• หมวด 6 ความรับผิดทางแพ่ง
• หมวด 7 บทกาหนดโทษ
• บทเฉพาะกาล เฉพาะมาตรา 95 (การ
เก็บรวบรวมและใช้ข้อมูลส่วนบุคคลที่
เก็บรวบรวมไว้ก่อนวันที่ พ.ร.บ. นี้ใช้
บังคับ), มาตรา 96 (ระยะเวลาในการ
ดาเนินการออกระเบียบ และประกาศ
ตาม พ.ร.บ. นี้)

6. 6
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ....
• ความสัมพันธ์กับกฎหมายอื่น (มาตรา 3)
• ในกรณีที่มีกฎหมายว่าด้วยการใดบัญญัติเกี่ยวกับการคุ้มครอง
ข้อมูลส่วนบุคคลในลักษณะใด กิจการใด หรือหน่วยงานใดไว้
โดยเฉพาะแล้ว ให้บังคับตามบทบัญญัติแห่งกฎหมายว่าด้วยการ
นั้น เว้นแต่
• (1) บทบัญญัติเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วน
บุคคล และบทบัญญัติเกี่ยวกับสิทธิของเจ้าของข้อมูลส่วนบุคคล
รวมทั้งบทกาหนดโทษที่เกี่ยวข้อง ให้บังคับตามบทบัญญัติแห่ง
พ.ร.บ. นี้เป็นการเพิ่มเติม ไม่ว่าจะซ้ากับบทบัญญัติแห่งกฎหมายว่า
ด้วยการนั้นหรือไม่ก็ตาม
• (2) ฯลฯ

7. 7
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ....
• ความสัมพันธ์กับกฎหมายอื่น (มาตรา 3)
• ในกรณีที่มีกฎหมายว่าด้วยการใดบัญญัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลใน
ลักษณะใด กิจการใด หรือหน่วยงานใดไว้โดยเฉพาะแล้ว ให้บังคับตามบทบัญญัติ
แห่งกฎหมายว่าด้วยการนั้น เว้นแต่
• (1) ฯลฯ
• (2) บทบัญญัติเกี่ยวกับการร้องเรียน บทบัญญัติที่ให้อานาจแก่คณะกรรมการผู้เชี่ยวชาญ
ออกคาสั่งเพื่อคุ้มครองเจ้าของข้อมูลส่วนบุคคล และบทบัญญัติเกี่ยวกับอานาจหน้าที่ของ
พนักงานเจ้าหน้าที่ รวมทั้งบทกาหนดโทษที่เกี่ยวข้อง ให้บังคับตามบทบัญญัติแห่ง พ.ร.บ.
นี้ ในกรณีดังต่อไปนี้
• (ก) ในกรณีที่กฎหมายว่าด้วยการนั้นไม่มีบทบัญญัติเกี่ยวกับการร้องเรียน
• (ข) ในกรณีที่กฎหมายว่าด้วยการนั้นมีบททบัญญัติที่ให้อานาจแก่เจ้าหน้าที่ผู้มีอานาจพิจารณาเรื่อง
ร้องเรียนตามกฎหมายดังกล่าวออกคาสั่งเพื่อคุ้มครองเจ้าของข้อมูลส่วนบุคคล แต่ไม่เพียงพอเท่ากับ
อานาจของคณะกรรมการผู้เชี่ยวชาญตาม พ.ร.บ. นี้และเจ้าหน้าที่ผู้มีอานาจตามกฎหมายดังกล่าว
ร้องขอต่อคณะกรรมการผู้เชี่ยวชาญหรือเจ้าของข้อมูลส่วนบุคคลผู้เสียหายยื่นคาร้องเรียนต่อ
คณะกรรมการผู้เชี่ยวชาญตาม พ.ร.บ. นี้ แล้วแต่กรณี

8. 8
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ....
• ข้อยกเว้นการใช้บังคับ (มาตรา 4)
• พ.ร.บ.นี้ไม่ใช้บังคับแก่
• (1) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบุคคลที่ทาการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อ
ประโยชน์ส่วนตนหรือเพื่อกิจกรรมในครอบครัวของบุคคลนั้นเท่านั้น
• (2) การดาเนินการของหน่วยงานของรัฐที่มีหน้าที่ในการรักษาความมั่นคงของรัฐ ซึ่งรวมถึงความมั่นคง
ทางการคลังของรัฐ หรือการรักษาความปลอดภัยของประชาชน รวมทั้งหน้าที่เกี่ยวกับการป้องกันและ
ปราบปรามการฟอกเงิน นิติวิทยาศาสตร์ หรือการรักษาความมั่นคงปลอดภัยไซเบอร์
• (3) บุคคลหรือนิติบุคคลซึ่งใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่ทาการเก็บรวบรวมไว้เฉพาะเพื่อกิจการ
สื่อมวลชน งานศิลปกรรม หรืองานวรรณกรรมอันเป็นไปตามจริยธรรมแห่งการประกอบวิชาชีพหรือเป็น
ประโยชน์สาธารณะเท่านั้น
• (4) สภาผู้แทนราษฎร วุฒิสภา และรัฐสภา รวมถึงคณะกรรมาธิการที่แต่งตั้งโดยสภาดังกล่าว ซึ่งเก็บรวบรวม
ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในการพิจารณาตามหน้าที่และอานาจ...
• (5) การพิจารณาพิพากษาคดีของศาลและการดาเนินงานของเจ้าหน้าที่ในกระบวนการพิจารณาคดี การ
บังคับคดี และการวางทรัพย์ รวมทั้งการดาเนินงานตามกระบวนการยุติธรรมทางอาญา
• (6) การดาเนินการกับข้อมูลของบริษัทข้อมูลเครดิตและสมาชิกตามกฎหมายว่าด้วยการประกอบธุรกิจข้อมูล
เครดิต

9. 9
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ....
• ข้อยกเว้นการใช้บังคับ (มาตรา 4)
• การยกเว้นไม่ให้นาบทบัญญัติแห่ง พ.ร.บ. นี้ทั้งหมดหรือแต่บางส่วนมาใช้บังคับแก่
ผู้ควบคุมข้อมูลส่วนบุคคลในลักษณะใด กิจการใด หรือหน่วยงานใดทานอง
เดียวกับผู้ควบคุมข้อมูลส่วนบุคคลตามวรรคหนึ่ง หรือเพื่อประโยชน์สาธารณะอื่น
ใด ให้ตราเป็นพระราชกฤษฎีกา
• ผู้ควบคุมข้อมูลส่วนบุคคลตามวรรคหนึ่ง (2) (3) (4) (5) และ (6) และผู้ควบคุม
ข้อมูลส่วนบุคคลของหน่วยงานที่ได้รับยกเว้นตามที่กาหนดในพระราชกฤษฎีกา
ตามวรรคสอง ต้องจัดให้มีการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลให้
เป็นไปตามมาตรฐานด้วย

10. 10
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ....
• ขอบเขตการใช้บังคับ (มาตรา 5)
• พ.ร.บ.นี้ให้ใช้บังคับแก่การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยผู้
ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งอยู่ในราชอาณาจักร
ไม่ว่าการเก็บรวบรวม ใช้ หรือเปิดเผยนั้น ได้กระทาในหรือนอกราชอาณาจักรก็
ตาม
• ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลอยู่นอก
ราชอาณาจักร พ.ร.บ.นี้ให้ใช้บังคับแก่การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วน
บุคคลของเจ้าของข้อมูลส่วนบุคคลซึ่งอยู่ในราชอาณาจักรโดยการดาเนินกิจกรรม
ของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลดังกล่าว เมื่อเป็น
กิจกรรม ดังต่อไปนี้
• การเสนอสินค้าหรือบริการให้แก่เจ้าของข้อมูลส่วนบุคคลซึ่งอยู่ในราชอาณาจักร ไม่ว่าจะมี
การชาระเงินของเจ้าของข้อมูลส่วนบุคคลหรือไม่ก็ตาม
• การเฝ้าติดตามพฤติกรรมของเจ้าของข้อมูลส่วนบุคคลที่เกิดขึ้นในราชอาณาจักร

11. 11
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ....
• บทนิยาม (มาตรา 6)
• “ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทาให้สามารถระบุตัว
บุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรม
โดยเฉพาะ
• “ผู้ควบคุมข้อมูลส่วนบุคคล” (Data Controller) หมายความว่า บุคคลหรือนิติ
บุคคลซึ่งมีอานาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล
ส่วนบุคคล
• “ผู้ประมวลผลข้อมูลส่วนบุคคล” (Data Processor) หมายความว่า บุคคลหรือนิติ
บุคคลซึ่งดาเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตาม
คาสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่ง
ดาเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล
• “บุคคล” หมายความว่า บุคคลธรรมดา
• ฯลฯ

12. 12
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ....
• องค์ประกอบของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (มาตรา 8)
• (1) ประธานกรรมการ ซึ่งสรรหาและแต่งตั้งจากผู้มีความรู้ ความเชี่ยวชาญ และ
ประสบการณ์เป็นที่ประจักษ์ ฯลฯ
• (2) ปลัด ดศ. เป็นรองประธานกรรมการ
• (3) กรรมการโดยตาแหน่ง 5 คน ได้แก่ ปลัดสานักนายกรัฐมนตรี เลขาธิการ
คณะกรรมการกฤษฎีกา เลขาธิการคณะกรรมการคุ้มครองผู้บริโภค อธิบดีกรม
คุ้มครองสิทธิและเสรีภาพ และอัยการสูงสุด
• (4) กรรมการผู้ทรงคุณวุฒิ 9 คน ซึ่งสรรหาและแต่งตั้งจากผู้มีความรู้ ความ
เชี่ยวชาญ และประสบการณ์เป็นที่ประจักษ์ในด้านการคุ้มครองข้อมูลส่วนบุคคล
ด้านการคุ้มครองผู้บริโภค ด้านเทคโนโลยีสารสนเทศและการสื่อสาร ด้าน
สังคมศาสตร์ ด้านกฎหมาย ด้านสุขภาพ ด้านการเงิน หรือด้านอื่น ทั้งนี้ ต้อง
เกี่ยวข้องและเป็นประโยชน์ต่อการคุ้มครองข้อมูลส่วนบุคคล
• ให้เลขาธิการเป็นกรรมการและเลขานุการ, แต่งตั้งผู้ช่วยเลขานุการได้ไม่เกิน 2 คน

13. 13
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ....
• หน้าที่และอานาจของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (มาตรา 16)
• (1) จัดทาแผนแม่บทการดาเนินงานด้านการส่งเสริม และการคุ้มครองข้อมูลส่วนบุคคล...เพื่อเสนอต่อ
คณะกรรมการดิจิทัลเพื่อเศรษฐกิจและสังคมแห่งชาติ...
• (2) ส่งเสริมและสนับสนุนหน่วยงานของรัฐและภาคเอกชน ดาเนินกิจกรรมตามแผนแม่บทตาม (1)
รวมทั้งจัดให้มีการประเมินผลการดาเนินงานตามแผนแม่บทดังกล่าว
• (3) กาหนดมาตรการหรือแนวทางการดาเนินการเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลเพื่อให้เป็นไป
ตาม พ.ร.บ. นี้
• (4) ออกประกาศหรือระเบียบเพื่อให้การดาเนินการเป็นไปตาม พ.ร.บ. นี้
• (5) ประกาศกาหนดหลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือโอนไปยังต่างประเทศ
• (6) ประกาศกาหนดข้อปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลเป็นแนวทางให้ผู้ควบคุมข้อมูลส่วน
บุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลปฏิบัติ
• (7) เสนอแนะต่อคณะรัฐมนตรีให้มีการตราหรือปรับปรุงกฎหมายหรือกฎที่ใช้บังคับอยู่ในส่วนที่
เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล

14. 14
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ....
• หน้าที่และอานาจของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (มาตรา 16)
• (8) เสนอแนะต่อคณะรัฐมนตรีในการตราพระราชกฤษฎีกาหรือทบทวนความเหมาะสมของ พ.ร.บ. นี้
อย่างน้อยทุกรอบห้าปี
• (9) ให้คาแนะนาและคาปรึกษาเกี่ยวกับการดาเนินการใด ๆ เพื่อให้ความคุ้มครองข้อมูลส่วนบุคคลของ
หน่วยงานของรัฐและภาคเอกชนในการปฏิบัติตาม พ.ร.บ. นี้
• (10) ตีความและวินิจฉัยชี้ขาดปัญหาที่เกิดจากการบังคับใช้ พ.ร.บ. นี้
• (11) ส่งเสริมและสนับสนุนให้เกิดทักษะการเรียนรู้และความเข้าใจเกี่ยวกับการคุ้มครองข้อมูลส่วน
บุคคลให้แก่ประชาชน
• (12) ส่งเสริมและสนับสนุนการวิจัย เพื่อพัฒนาเทคโนโลยีที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล
• (13) ปฏิบัติการอื่นใดตามที่ พ.ร.บ. นี้หรือกฎหมายอื่นกาหนดให้เป็นหน้าที่และอานาจของ
คณะกรรมการ

15. 15
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ....
เก็บรวบรวม
(Collection)
ใช้ (Use)
เปิดเผย
(Disclosure)
กระบวนการเกี่ยวกับข้อมูลส่วนบุคคล

16. 16
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ....
• ความยินยอม (มาตรา 19)
• ผู้ควบคุมข้อมูลส่วนบุคคลจะกระทาการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไม่ได้หาก
เจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมไว้ก่อนหรือในขณะนั้น เว้นแต่บทบัญญัติแห่ง พ.ร.บ.นี้
หรือกฎหมายอื่นบัญญัติให้กระทาได้
• การขอความยินยอมต้ตองทาโดยชัดแจ้ง เป็นหนังสือหรือทาโดยผ่านระบบอิเล็กทรอนิกส์ เว้นแต่โดย
สภาพไม่อาจขอความยินยอมด้วยวิธีการดังกล่าวได้
• ในการขอความยินยอม... ต้องแจ้งวัตถุประสสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
ไปด้วย และการขอความยินยอมนั้นต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน มีแบบหรือ
ข้อความที่เข้าถึงได้ง่ายและเข้าใจได้ รวมทั้งใช้ภาษาที่อ่านง่าย และไม่เป็นการหลอกลวงหรือทาให้
เข้าใจผิดในวัตถุประสงค์ดังกล่าว...
• ในการขอความยินยอม...ผู้ควบคุมข้อมูลส่วนบุคคลต้องคานึงอย่างถึงที่สุดในความเป็นอิสระของ
เจ้าของข้อมูลส่วนบุคคลในการให้ความยินยอม ทั้งนี้ ในการเข้าทาสัญญาซึ่งรวมถึงการให้บริการใด ๆ
ต้องไม่มีเงื่อนไขในการให้ความยินยอมเพื่อเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ไม่มีความ
จาเป็นหรือเกี่ยวข้องสาหรับการเข้าทาสัญญาซึ่งรวมถึงการให้บริการนั้น ๆ

17. 17
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ....
• ความยินยอม (มาตรา 19)
• เจ้าของข้อมูลส่วนบุคคลจะถอนความยินยอมเสียเมื่อใดก็ได้โดยจะต้องถอนความ
ยินยอมโดยกฎหมายหรือสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคล ทั้งนี้ การ
ถอนความยินยอมย่อมไม่ส่งผลกระทบต่อการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วน
บุคคลที่เจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมไปแล้วโดยชอบตามที่กาหนดไว้ใน
หมวดนี้
• ในกรณีที่การถอนความยินยอมส่งผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลในเรื่องใด ผู้
ควบคุมข้อมูลส่วนบุคคลต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงผลกระทบจากการ
ถอนความยินยอมนั้น
• การขอความยินยอมที่ไม่เป็นไปตามที่กาหนด ไม่มีผลผูกพันเจ้าของข้อมูลส่วนบุคค
และไม่ทาให้ผู้ควบคุมข้อมูลส่วนบุคคลสามารถทาการเก็บรวบรวม ใช้ หรือเปิดเผย
ข้อมูลส่วนบุคคลได้

18. 18
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ....
• การขอความยินยอมจากผู้เยาว์ซึ่งยังไม่บรรลุนิติภาวะโดยการสมรสหรือไม่มี
ฐานะเสมือนดังบุคคลซึ่งบรรลุนิติภาวะแล้วตามมาตรา 27 แห่งประมวล
กฎหมายแพ่งและพาณิชย์ (มาตรา 20)
• (1) ในกรณีที่การให้ความยินยอมของผู้เยาว์ไม่ใช่การใด ๆ ซึ่งผู้เยาว์อาจให้ความยินยอมโดยลาพังได้
ตามมาตรา 22, 23 หรือ 24 แห่งประมวลกฎหมายแพ่งและพาณิชย์ ต้องได้รับความยินยอมจากผู้ใช้
อานาจปกครองที่มีอานาจกระทาการแทนผู้เยาว์ด้วย
• (2) ในกรณีที่ผู้เยาว์มีอายุไม่เกินสิบปี ให้ขอความยินยอมจากผู้ใช้อานาจปกครองที่มีอานาจกระทาการ
แทนผู้เยาว์
• ในกรณีที่เจ้าของข้อมูลส่วนบุคคลเป็นคนไร้ความสามารถ ให้ขอความยินยอมจากผู้อนุบาล
• ในกรณีที่เจ้าของข้อมูลส่วนบุคคลเป็นคนเสมือนไร้ความสามารถ ให้ขอความยินยอมจากผู้พิทักษ์
• รวมถึงการถอนความยินยอม การแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบ การใช้สิทธิของเจ้าของข้อมูล
ส่วนบุคคล การร้องเรียน และการอื่นใด ด้วย

19. 19
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ....
• วัตถุประสงค์ (มาตรา 21)
• ผู้ควบคุมข้อมูลส่วนบุคคลต้องทาการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วน
บุคคลตามวัตถุประสงค์ที่ได้แจ้งเจ้าของข้อมูลส่วนบุคคลไว้ก่อนหรือใน
ขณะที่เก็บรวบรวม
• การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่แตกต่างไปจาก
วัตถุประสงค์ที่ได้แจ้งไว้ตามวรรคหนึ่งจะกระทามิได้ เว้นแต่
• (1) ได้แจ้งวัตถุประสงค์ใหม่นั้นให้เจ้าของข้อมูลส่วนบุคคลทราบและ
ได้รับความยินยอมก่อนเก็บรวบรวม ใช้ หรือเปิดเผยแล้ว
• (2) บทบัญญัติแห่ง พ.ร.บ.นี้หรือกฎหมายอื่นบัญญัติให้กระทาได้

20. 20
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ....
• การเก็บรวบรวมข้อมูลส่วนบุคคล
• การเก็บรวบรวมข้อมูลส่วนบุคคล ให้เก็บรวบรวมได้เท่าที่จาเป็นภายใต้วัตถุประสงค์อัน
ชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล (มาตรา 22)
• ในการเก็บรวบรวมข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งให้เจ้าของ
ข้อมูลส่วนบุคคลทราบก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคลถึงรายละเอียด
ดังต่อไปนี้ เว้นแต่ได้ทราบอยู่แล้ว (มาตรา 23) (Privacy Notice)
• (1) วัตถุประสงค์ของการเก็บรวบรวมเพื่อการนาข้อมูลส่วนบุคคลไปใช้หรือเปิดเผย
ซึ่งรวมถึงวัตถุประสงค์ตามที่มาตรา 24 ให้อานาจในการเก็บรวบรวมได้โดยไม่ได้
รับความยินยอม
• (2) แจ้งให้ทราบถึงกรณีที่เจ้าของข้อมูลส่วนบุคคลต้องให้ข้อมูลส่วนบุคคลเพื่อ
ปฏิบัติตามกฎหมายหรือสัญญาหรือมีความจาเป็นต้องให้ข้อมูลส่วนบุคคลเพื่อเข้า
ทาสัญญา รวมทั้งแจ้งถึงผลกระทบที่เป็นไปได้จากการไม่ให้ข้อมูลส่วนบุคคล
• (3) ฯลฯ

21. 21
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ....
• การเก็บรวบรวมข้อมูลส่วนบุคคล
• ในการเก็บรวบรวมข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งให้เจ้าของ
ข้อมูลส่วนบุคคลทราบก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคลถึงรายละเอียด
ดังต่อไปนี้ เว้นแต่ได้ทราบอยู่แล้ว (มาตรา 23) (Privacy Notice)
• (3) ข้อมูลส่วนบุคคลที่จะมีการเก็บรวบรวมและระยะเวลาในการเก็บรวบรวมไว้
ทั้งนี้ ในกรณีที่ไม่สามารถกาหนดระยะเวลาดังกล่าวได้ชัดเจน ให้กาหนด
ระยะเวลาที่อาจคาดหมายได้ตามมาตรฐานของการเก็บรวบรวม
• (4) ประเภทของบุคคลหรือหน่วยงานซึ่งข้อมูลส่วนบุคคลที่เก็บรวบรวมอาจจะถูก
เปิดเผย
• (5) ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล สถานที่ติดต่อ และวิธีการติดต่อ ใน
กรณีที่มีตัวแทนหรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ให้แจ้งด้วย
• (6) สิทธิของเจ้าของข้อมูลส่วนบุคคลตามมาตรา 19 วรรคห้า, 30-34, 36, 73

22. 22
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ....
• ข้อยกเว้นการเก็บรวบรวมข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอม (มาตรา 24)
• (1) เพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการจัดทาเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์
สาธารณะ หรือที่เกี่ยวกับการศึกษาวิจัยหรือสถิติซึ่งได้จัดให้มีมาตรการปกป้องที่เหมาะสมเพื่อคุ้มครอง
สิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ทั้งนี้ ตามที่คณะกรรมการประกาศกาหนด
• (2) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
• (3) เป็นการจาเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาหรือเพื่อใช้ในการ
ดาเนินการตามคาขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทาสัญญานั้น
• (4) เป็นการจาเป็นเพื่อการปฏิบัติหน้าที่ในการดาเนินภารกิจเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูล
ส่วนบุคคล หรือปฏิบัติหน้าที่ในการใช้อานาจรัฐที่ได้มอบให้แก่ผู้ควบคุมข้อมูลส่วนบุคคล
• (5) เป็นการจาเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลหรือของบุคคลหรือ
นิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล เว้นแต่ประโยชน์ดังกล่าวมีความสาคัญน้อยกว่าสิทธิขั้น
พื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล
• (6) เป็นการปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล

23. 23
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ....
• ข้อยกเว้นการเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่เจ้าของข้อมูลโดยตรง
(มาตรา 25)
• (1) ได้แจ้งถึงการเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นให้แก่เจ้าของข้อมูลส่วนบุคคล
ทราบโดยไม่ชักช้า แต่ต้องไม่เกิน 30 วันนับแต่วันที่เก็บรวบรวมและได้รับความยินยอม
จากเจ้าของข้อมูลส่วนบุคคล
• (2) เป็นการเก็บรวบรวมข้อมูลส่วนบุคคลที่ได้รับยกเว้นไม่ต้องขอความยินยอมตามมาตรา
24 หรือ 26

24. 24
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ....
• การเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่เจ้าของข้อมูลโดยตรง (มาตรา 25)
• ให้นาบทบัญญัติเกี่ยวกับการแจ้งวัตถุประสงค์ใหม่ตามมาตรา 21 และการแจ้งรายละเอียด (Privacy Notice)
ตามมาตรา 23 มาใช้บังคับกับการเก็บรวบรวมข้อมูลส่วนบุคคลที่ต้องได้รับความยินยอมตามวรรคหนึ่งโดย
อนุโลม เว้นแต่
• (1) เจ้าของข้อมูลส่วนบุคคลทราบวัตถุประสงค์ใหม่หรือรายละเอียดนั้นอยู่แล้ว
• (2) ผู้ควบคุมข้อมูลส่วนบุคคลพิสูจน์ได้ว่าการแจ้งวัตถุประสงค์ใหม่หรือรายละเอียดดังกล่าวไม่สามารถทา
ได้หรือจะเป็นอุปสรรคต่อการใช้หรือเปิดเผยข้อมูลส่วนบุคคล โดยเฉพาะอย่างยิ่งเพื่อให้บรรลุวัตถุประสงค์
เกี่ยวกับการศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ ในกรณีนี้ ผู้ควบคุมข้อมูลส่วนบุคคลต้อง
จัดให้มีมมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิ เสรีภาพ และประโยชน์ของเจ้าของข้อมูลส่วนบุคคล
• (3) การใช้หรือการเปิดเผยข้อมูลส่วนบุคคลต้องกระทาโดยเร่งด่วนตามที่กฎหมายกาหนดซึ่งได้จัดให้มี
มาตรการที่เหมาะสมเพื่อคุ้มครองประโยชน์ของเจ้าของข้อมูลส่วนบุคคล
• (4) เมื่อผู้ควบคุมข้อมูลส่วนบุคคลเป็นผู้ซึ่งล่วงรู้หรือได้มาซึ่งข้อมูลส่วนบุคคลจากหน้าที่หรือจากการ
ประกอบอาชีพหรือวิชาชีพและต้องรักษาวัตถุประสงค์ใหม่หรือรายละเอียดบางประการตามมาตรา 23 ไว้
เป็นความลับตามที่กฎหมายกาหนด

25. 25
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ....
• การเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่เจ้าของข้อมูลโดยตรง
(มาตรา 25)
• การแจ้งรายละเอียดตามวรรคสอง ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งให้
เจ้าของข้อมูลส่วนบุคคลทราบภายใน 30 วันนับแต่วันที่เก็บรวบรวมตาม
มาตรานี้ เว้นแต่กรณีที่นาข้อมูลส่วนบุคคลไปใช้เพื่อการติดต่อกับเจ้าของ
ข้อมูลส่วนบุคคลต้องแจ้งในการติดต่อครั้งแรก และกรณีที่จะนาข้อมูลส่วน
บุคคลไปเปิดเผย ต้องแจ้งก่อนที่จะนาข้อมูลส่วนบุคคลไปเปิดเผยเป็นครั้ง
แรก

26. 26
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ....
• การเก็บรวบรวมข้อมูลส่วนบุคคลที่เป็น Sensitive Data โดยไม่ได้รับความ
ยินยอมโดยชัดแจ้ง (มาตรา 26)
• ข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความ
เชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม
ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูล
ชีวภาพ หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทานอง
เดียวกันตามที่คณะกรรมการประกาศกาหนด

27. 27
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ....
• ข้อยกเว้นการเก็บรวบรวมข้อมูลส่วนบุคคลที่เป็น Sensitive Data โดยไม่ได้
รับความยินยอมโดยชัดแจ้ง (มาตรา 26)
• (1) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
ซึ่งเจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมได้ ไม่ว่าด้วยเหตุใด
ก็ตาม
• (2) เป็นการดาเนินกิจกรรมโดยชอบด้วยกฎหมายที่มีการคุ้มครองที่เหมาะสม
ของมูลนิธิ สมาคม หรือองค์กรที่ไม่แสวงหากาไรที่มีวัตถุประสงค์เกี่ยวกับ
การเมือง ศาสนา ปรัชญา หรือสหภาพแรงงานให้แก่สมาชิก ผู้ซึ่งเคยเป็น
สมาชิก หรือผู้ซึ่งมีการติดต่ออย่างสม่าเสมอกับมูลนิธิ สมาคม หรือองค์กรที่ไม่
แสวงหากาไรตามวัตถุประสงค์ดังกล่าวโดยไม่ได้เปิดเผยข้อมูลส่วนบุคคลนั้น
ออกไปภายนอกมูลนิธิ สมาคม หรือองค์กรที่ไม่แสวงหากาไรนั้น

28. 28
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ....
• ข้อยกเว้นการเก็บรวบรวมข้อมูลส่วนบุคคลที่เป็น Sensitive Data โดยไม่ได้
รับความยินยอมโดยชัดแจ้ง (มาตรา 26)
• (3) เป็นข้อมูลที่เปิดเผยต่อสาธารณะด้วยความยินยอมโดยชัดแจ้งของเจ้าของ
ข้อมูลส่วนบุคคล
• (4) เป็นการจาเป็นเพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตาม
หรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตาม
กฎหมาย

29. 29
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ....
• ข้อยกเว้นการเก็บรวบรวมข้อมูลส่วนบุคคลที่เป็น Sensitive Data โดยไม่ได้
รับความยินยอมโดยชัดแจ้ง (มาตรา 26)
• (5) เป็นการจาเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์
เกี่ยวกับ
• (ก) เวชศาสตร์ป้องกันหรืออาชีวเวชศาสตร์ การประเมินความสามารถในการทางาน
ของลูกจ้าง การวินิจฉัยโรคทางการแพทย์ การให้บริการด้านสุขภาพหรือด้านสังคม
การรักษาทางการแพทย์ การจัดการด้านสุขภาพ หรือระบบและการให้บริการด้าน
สังคมสงเคราะห์ ทั้งนี้ ในกรณีที่ไม่ใช่การปฏิบัติตามกฎหมายและข้อมูลส่วนบุคคล
นั้นอยู่ในความรับผิดชอบของผู้ประกอบอาชีพหรือวิชาชีพหรือผู้มีหน้าที่รักษาข้อมูล
ส่วนบุคคลนั้นไว้เป็นความลับตามกฎหมาย ต้องเป็นการปฏิบัติตามสัญญาระหว่าง
เจ้าของข้อมูลส่วนบุคคลกับผู้ประกอบวิชาชีพทางการแพทย์

30. 30
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ....
• ข้อยกเว้นการเก็บรวบรวมข้อมูลส่วนบุคคลที่เป็น Sensitive Data โดยไม่ได้
รับความยินยอมโดยชัดแจ้ง (มาตรา 26)
• (5) เป็นการจาเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์
เกี่ยวกับ
• (ข) ประโยชน์สาธารณะด้านการสาธารณสุข เช่น การป้องกันด้านสุขภาพจาก
โรคติดต่ออันตรายหรือโรคระบาดที่อาจติดต่อหรือแพร่เข้ามาในราชอาณาจักร หรือ
การควบคุมมาตรฐานหรือคุณภาพของยา เวชภัณฑ์ หรือเครื่องมือแพทย์ ซึ่งได้จัดให้
มีมาตรการที่เหมาะสมและเจาะจงเพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูล
ส่วนบุคคลโดยเฉพาะการรักษาความลับของข้อมูลส่วนบุคคลตามหน้าที่หรือตาม
จริยธรรมแห่งวิชาชีพ

31. 31
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ....
• ข้อยกเว้นการเก็บรวบรวมข้อมูลส่วนบุคคลที่เป็น Sensitive Data โดยไม่ได้
รับความยินยอมโดยชัดแจ้ง (มาตรา 26)
• (5) เป็นการจาเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์
เกี่ยวกับ
• (ค) การคุ้มครองแรงงาน การประกันสังคม หลักประกันสุขภาพแห่งชาติ สวัสดิการ
เกี่ยวกับการรักษาพยาบาลของผู้มีสิทธิตามกฎหมาย การคุ้มครองผู้ประสบภัยจาก
รถ หรือการคุ้มครองทางสังคม ซึ่งการเก็บรวบรวมข้อมูลส่วนบุคคลเป็นสิ่งจาเป็นใน
การปฏิบัติตามสิทธิหรือหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคลหรือเจ้าของข้อมูลส่วน
บุคคล โดยได้จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิขั้นพื้นฐานและประโยชน์
ของเจ้าของข้อมูลส่วนบุคคล

32. 32
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ....
• ข้อยกเว้นการเก็บรวบรวมข้อมูลส่วนบุคคลที่เป็น Sensitive Data โดยไม่ได้
รับความยินยอมโดยชัดแจ้ง (มาตรา 26)
• (5) เป็นการจาเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์
เกี่ยวกับ
• (ง) การศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ หรือประโยชน์
สาธารณะอื่น ทั้งนี้ ต้องกระทาเพื่อให้บรรลุวัตถุประสงค์ดังกล่าวเพียงเท่าที่จาเป็น
เท่านั้น และได้จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิขั้นพื้นฐานและ
ประโยชน์ของเจ้าของข้อมูลส่วนบุคคลตามที่คณะกรรมการประกาศกาหนด
• (จ) ประโยชน์สาธารณะที่สาคัญ โดยได้จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครอง
สิทธิขั้นพื้นฐานและประโยชน์ของเจ้าของข้อมูลส่วนบุคคล

33. 33
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ....
• การใช้หรือเปิดเผยข้อมูลส่วนบุคคล (มาตรา 27)
• ห้ามมิให้ผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับ
ความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่เป็นข้อมูลส่วนบุคคลที่เก็บ
รวบรวมได้โดยได้รับยกเว้นไม่ต้องขอความยินยอมตามมาตรา 24 หรือ 26
• บุคคลหรือนิติบุคคลที่ได้รับข้อมูลส่วนบุคคลมาจากการเปิดเผยตามวรรคหนึ่ง
จะต้องไม่ใช้หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์อื่นนอกเหนือจาก
วัตถุประสงค์ทีได้แจ้งไว้กับผู้ควบคุมข้อมูลส่วนบุคคลในการขอรับข้อมูลส่วน
บุคคลนั้น
• ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่ได้รับ
ยกเว้นไม่ต้องขอความยินยอมตามวรรคหนึ่ง ผู้ควบคุมข้อมูลส่วนบุคคลต้อง
บันทึกการใช้หรือเปิดเผยนั้นไว้ในรายการตามมาตรา 39

34. 34
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ....
• การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ (มาตรา 28)
• ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ
ประเทศปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคลต้องมีมาตรฐานการ
คุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ ทั้งนี้ ต้องเป็นไปตามหลักเกณฑ์การให้ความคุ้มครอง
ข้อมูลส่วนบุคคลตามที่คณะกรรมการประกาศกาหนดตามมาตรา 16 (5) เว้นแต่
• (1) เป็นการปฏิบัติตามกฎหมาย
• (2) ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลโดยได้แจ้งให้เจ้าของข้อมูลส่วน
บุคคลทราบถึงมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่ไม่เพียงพอของประเทศ
ปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคลแล้ว
• (3) เป็นการจาเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญา
หรือเพื่อใช้ในการดาเนินการตามคาขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทา
สัญญานั้น

35. 35
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ....
• การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ (มาตรา 28)
• ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ ประเทศ
ปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคลต้องมีมาตรฐานการคุ้มครองข้อมูล
ส่วนบุคคลที่เพียงพอ ทั้งนี้ ต้องเป็นไปตามหลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคล
ตามที่คณะกรรมการประกาศกาหนดตามมาตรา 16 (5) เว้นแต่
• (4) เป็นการกระทาตามสัญญาระหว่างผู้ควบคุมข้อมูลส่วนบุคคลกับบุคคลหรือนิติบุคคลอื่น
เพื่อประโยชน์ของเจ้าของข้อมูลส่วนบุคคล
• (5) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของเจ้าของข้อมูลส่วน
บุคคลหรือบุคคลอื่น เมื่อเจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมในขณะนั้นได้
• (6) เป็นการจาเป็นเพื่อการดาเนินภารกิจเพื่อประโยชน์สาธารณะที่สาคัญ
• ในกรณีที่มีปัญหาเกี่ยวกับมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอของประเทศ
ปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคล ให้เสนอต่อคณะกรรมการเป็นผู้
วินิจฉัย...

36. 36
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ....
• สิทธิขอเข้าถึงและขอรับสาเนาข้อมูลส่วนบุคคล (มาตรา 30)
• เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงและขอรับสาเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตนซึ่งอยูในความ
รับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล หรือขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลดังกล่าวที่ตน
ไม่ได้ให้ความยินยอม
• ผู้ควบคุมข้อมูลส่วนบุคคลต้องปฏิบัติตามคาขอตามวรรคหนึ่ง จะปฏิเสธคาขอได้เฉพาะในกรณีที่เป็นการ
ปฏิเสธตามกฎหมายหรือคาสั่งศาล และการเข้าถึงและขอรับสาเนาข้อมูลส่วนบุคคลนั้นจะส่งผลกระทบ
ที่อาจก่อให้เกิดความเสียหายต่อสิทธิและเสรีภาพของบุคคลอื่น
• ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลปฏิเสธคาขอตามวรรคหนึ่ง ให้บันทึกการปฏิเสธคาขอดังกล่าวพร้อม
ด้วยเหตุผลไว้ในรายการตามมาตรา 39
• เมื่อเจ้าของข้อมูลส่วนบุคคลมีคาขอตามวรรคหนึ่งและเป็นกรณีที่ไม่อาจปฏิเสธคาขอได้ตามวรรคสอง ให้
ผู้ควบคุมข้อมูลส่วนบุคคลดาเนินการตามคาขอโดยไม่ชักช้า แต่ต้องไม่เกิน 30 วันนับแต่วันที่ได้รับคาขอ
• คณะกรรมการอาจกาหนดหลักเกณฑ์เกี่ยวกับการเข้าถึงและการขอรับสาเนาตามวรรคหนึ่ง รวมทั้งการ
ขยายระยะเวลาตามวรรคสี่หรือหลักเกณฑ์อื่นตามความเหมาะสมก็ได้

37. 37
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ....
• สิทธิขอรับข้อมูลส่วนบุคคลที่เกี่ยวกับตน (มาตรา 31)
• เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอรับข้อมูลส่วนบุคคลที่เกี่ยวกับตนจากผู้ควบคุมข้อมูล
ส่วนบุคคลได้ ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลได้ทาให้ข้อมูลส่วนบุคคลนั้นอยู่ใน
รูปแบบที่สามารถอ่านหรือใช้งานโดยทั่วไปได้ด้วยเครื่องมือหรืออุปกรณ์ที่ทางานได้โดย
อัตโนมัติและสามารถใช้หรือเปิดเผยข้อมูลส่วนบุคคลได้ด้วยวิธีการอัตโนมัติ รวมทั้งมีสิทธิ
ดังต่อไปนี้
• (1) ขอให้ผู้ควบคุมข้อมูลส่วนบุคคลส่งหรือโอนข้อมูลส่วนบุคคลในรูปแบบดังกล่าวไปยังผู้
ควบคุมข้อมูลส่วนบุคคลอื่นเมื่อสามารถทาได้ด้วยวิธีการอัตโนมัติ
• (2) ขอรับข้อมูลส่วนบุคคลที่ผู้ควบคุมข้อมูลส่วนบุคคลส่งหรือโอนข้อมูลส่วนบุคคลใน
รูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่นโดยตรง เว้นแต่โดยสภาพทางเทคนิค
ไม่สามารถทาได้
• ฯลฯ

38. 38
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ....
• สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับตน (มาตรา 32)
• เจ้าของข้อมูลส่วนบุคคลมีสิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับตนเมื่อใดก็ได้
ดังต่อไปนี้
• (1) กรณีที่เป็นข้อมูลส่วนบุคคลที่เก็บรวบรวมได้โดยได้รับยกเว้นไม่ต้องขอความยินยอมตามมาตรา 24 (4) หรือ
(5) เว้นแต่ผู้ควบคุมข้อมูลส่วนบุคคลพิสูจน์ได้ว่า
• (ก) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้น ผู้ควบคุมข้อมูลส่วนบุคคลได้แสดงให้เห็นถึงเหตุ
อันชอบด้วยกฎหมายที่สาคัญยิ่งกว่า
• (ข) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้นเป็นไปเพื่อก่อตั้งสิทธิเรียกร้องตามกฎหมาย การ
ปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
• (2) กรณีที่เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์เกี่ยวกับการตลาดแบบตรง
• (3) กรณีที่เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์เกี่ยวกับการศึกษาวิจัยทาง
วิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ เว้นแต่เป็นการจาเป็นเพื่อการดาเนินภารกิจเพื่อประโยชน์สาธารณะของผู้
ควบคุมข้อมูลส่วนบุคคล
• ฯลฯ

39. 39
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ....
• สิทธิขอให้ลบหรือทาลาย หรือทาให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่
เป็นเจ้าของข้อมูลส่วนบุคคลได้ (มาตรา 33)
• (1) เมื่อข้อมูลส่วนบุคคลหมดความจาเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์ในการเก็บ
รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
• (2) เมื่อเจ้าของข้อมูลส่วนบุคคลถอนความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผย
ข้อมูลส่วนบุคคลและผู้ควบคุมข้อมูลส่วนบุคคลไม่มีอานาจตามกฎหมายที่จะเก็บรวบรวม
ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้นได้ต่อไป
• (3) เมื่อเจ้าของข้อมูลส่วนบุคคลคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
ตามมาตรา 32 (1) และผู้ควบคุมข้อมูลส่วนบุคคลไม่อาจปฏิเสธคาขอตามมาตรา 32 (1)
(ก) หรือ (ข) ได้ หรือเป็นการคัดค้านตามมาตรา 32 (2)
• (4) เมื่อข้อมูลส่วนบุคคลได้ถูกเก็บรวบรวม ใช้ หรือเปิดเผยโดยไม่ชอบด้วยกฎหมายตามที่
กาหนดไว้ในหมวดนี้

40. 40
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ....
• สิทธิขอให้ลบหรือทาลาย หรือทาให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถ
ระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ (มาตรา 33)
• ความในวรรคหนึ่งมิให้นามาใช้บังคับกับการเก็บรักษาไว้เพื่อวัตถุประสงค์ใน
การใช้เสรีภาพในการแสดงความคิดเห็น การเก็บรักษาไว้เพื่อวัตถุประสงค์ตาม
มาตรา 24 (1) หรือ (4) หรือมาตรา 26 (5) (ก) หรือ (ข) การใช้เพื่อการก่อตั้ง
สิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตาม
กฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย หรือเพื่อการปฏิบัติ
ตามกฎหมาย
• ฯลฯ

41. 41
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ....
• สิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคล (มาตรา 34)
• (1) เมื่อผู้ควบคุมข้อมูลส่วนบุคคลอยู่ในระหว่างการตรวจสอบตามที่เจ้าของข้อมูลส่วน
บุคคลร้องขอให้ดาเนินการตามมาตรา 36
• (2) เมื่อเป็นข้อมูลส่วนบุคคลที่ต้องลบหรือทาลายตามมาตรา 33 (4) แต่เจ้าของข้อมูล
ส่วนบุคคลขอให้ระงับการใช้แทน
• (3) เมื่อข้อมูลส่วนบุคคลหมดความจาเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์ในการเก็บ
รวบรวมข้อมูลส่วนบุคคล แต่เจ้าของข้อมูลส่วนบุคคลมีความจาเป็นต้องขอให้เก็บรักษาไว้
เพื่อใช้ในการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้อง
ตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
• (4) เมื่อผู้ควบคุมข้อมูลส่วนบุคคลอยู่ในระหว่างการพิสูจน์ตามมาตรา 32 (1) หรือ
ตรวจสอบตามมาตรา 32 (3) เพื่อปฏิเสธการคัดค้านของเจ้าของข้อมูลส่วนบุคคลตาม
มาตรา 32 วรรคสาม

42. 42
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ....
• การดาเนินการให้ข้อมูลส่วนบุคคลถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความ
เข้าใจผิด
• ผู้ควบคุมข้อมูลส่วนบุคคลต้องดาเนินการให้ข้อมูลส่วนบุคคลนั้นถูกต้อง เป็นปัจจุบัน
สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด (มาตรา 35)
• ในกรณีที่เจ้าของข้อมูลส่วนบุคคลร้องขอให้ผู้ควบคุมข้อมูลส่วนบุคคลดาเนินการตาม
มาตรา 35 หากผู้ควบคุมข้อมูลส่วนบุคคลไม่ดาเนินการตามคาร้องขอ ผู้ควบคุมข้อมูล
ส่วนบุคคลต้องบันทึกคาร้องขอของเจ้าของข้อมูลส่วนบุคคลพร้อมด้วยเหตุผลไว้ใน
รายการตามมาตรา 39... (มาตรา 36)

43. 43
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ....
• หน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล (มาตรา 37)
• (1) จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม...ทั้งนี้ ให้เป็นไปตาม
มาตรฐานขั้นต่าที่คณะกรรมการประกาศกาหนด
• (2) ในกรณีที่ต้องให้ข้อมูลส่วนบุคคลแก่บุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วน
บุคคล ต้องดาเนินการเพื่อป้องกันมิให้ผู้นั้นใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจาก
อานาจหรือโดยมิชอบ
• (3) จัดให้มีระบบการตรวจสอบเพื่อดาเนินการลบหรือทาลายข้อมูลส่วนบุคคลเมื่อพ้น
กาหนดระยะเวลาการเก็บรักษา หรือที่ไม่เกี่ยวข้องหรือเกินความจาเป็นตามวัตถุประสงค์
... หรือตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอ หรือได้ถอนความยินยอม เว้นแต่ ฯลฯ
• (4) แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สานักงานโดยไม่ชักช้าภายใน 72 ชั่วโมงนับแต่
ทราบเหตุเท่าที่จะสามารถกระทาได้ เว้นแต่ ฯลฯ
• (5) ในกรณีที่เป็นผู้ควบคุมข้อมูลส่วนบุคคลตามมาตรา 5 วรรคสอง ต้องแต่งตั้งตัวแทน
ของผู้ควบคุมข้อมูลส่วนบุคคลเป็นหนังสือซึ่งต้องอยู่ในราชอาณาจักร...

44. 44
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ....
• การบันทึกรายการของผู้ควบคุมข้อมูลส่วนบุคคล (มาตรา 39)
• ให้ผู้ควบคุมข้อมูลส่วนบุคคลบันทึกรายการ อย่างน้อยดังต่อไปนี้ เพื่อให้เจ้าของข้อมูล
ส่วนบุคคลและสานักงานสามารถตรวจสอบได้ โดยจะบันทึกเป็นหนังสือหรือระบบ
อิเล็กทรอนิกส์ก็ได้
• (1) ข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม
• (2) วัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคลแต่ละประเภท
• (3) ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล
• (4) ระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล
• (5) สิทธิและวิธีการเข้าถึงข้อมูลส่วนบุคคล รวมทั้งเงื่อนไขเกี่ยวกับบุคคลที่มีสิทธิเข้าถึงข้อมูลส่วน
บุคคลและเงื่อนไขในการเข้าถึงข้อมูลส่วนบุคคลนั้น
• (6) การใช้หรือเปิดเผยตามมาตรา 27 วรรคสาม
• (7) การปฏิเสธคาขอหรือการคัดค้าน
• (8) คาอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัยตามมาตรา 37 (1)

45. 45
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ....
• หน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคล (มาตรา 40)
• (1) ดาเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคาสั่งที่ได้รับ
จากผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น เว้นแต่คาสั่งนั้นขัดต่อกฎหมายหรือบทบัญญัติใน
การคุ้มครองข้อมูลส่วนบุคคลตาม พ.ร.บ. นี้
• (2) จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย
เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอานาจหรือโดย
มิชอบ รวมทั้งแจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคลที่
เกิดขึ้น
• (3) จัดทาและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลไว้
ตามหลักเกณฑ์และวิธีการที่คณะกรรมการประกาศกาหนด
• ...การดาเนินงานตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลตามที่ได้รับมอบหมายจาก
ผู้ควบคุมข้อมูลส่วนบุคคลตามวรรคหนึ่ง ผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดให้มีข้อตกลง
ระหว่างกันเพื่อควบคุมการดาเนินงานตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคล...

46. 46
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ....
• เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) (มาตรา 41)
• ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดให้มีเจ้าหน้าที่
คุ้มครองข้อมูลส่วนบุคคลของตน ในกรณีดังต่อไปนี้
• (1) ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเป็นหน่วยงานของรัฐ
ตามที่คณะกรรมการประกาศกาหนด
• (2) การดาเนินกิจกรรมของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล
ในการเก็บรวบรวม ใช้ หรือเปิดเผย จาเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบ
อย่างสม่าเสมอโดยเหตุที่มีข้อมูลส่วนบุคคลเป็นจานวนมากตามที่คณะกรรมการประกาศ
กาหนด
• (3) กิจกรรมหลักของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเป็น
การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามมาตรา 26
• ฯลฯ

47. 47
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ....
• หน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) (มาตรา 42)
• (1) ให้คาแนะนาแก่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้ง
ลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล
เกี่ยวกับการปฏิบัติตาม พ.ร.บ. นี้
• (2) ตรวจสอบการดาเนินงานของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วน
บุคคล รวมทั้งลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูล
ส่วนบุคคลเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อให้เป็นไปตาม
พ.ร.บ. นี้
• (3) ประสานงานและให้ความร่วมมือกับสานักงานในกรณีที่มีปัญหาเกี่ยวกับการเก็บ
รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผล
ข้อมูลส่วนบุคคล รวมทั้งลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้
ประมวลผลข้อมูลส่วนบุคคลในการปฏิบัติตาม พ.ร.บ. นี้
• (4) รักษาความลับของข้อมูลส่วนบุคคลที่ตนล่วงรู้หรือได้มาเนื่องจากการปฏิบัติหน้าที่...

48. 48
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ....
• บทเฉพาะกาล ในส่วนที่เกี่ยวข้องกับข้อมูลส่วนบุคคล (มาตรา 95)
• ข้อมูลส่วนบุคคลที่ผู้ควบคุมข้อมูลส่วนบุคคลได้เก็บรวบรวมไว้ก่อน
วันที่ พ.ร.บ. นี้ใช้บังคับ ให้ผู้ควบคุมข้อมูลส่วนบุคคลสามารถเก็บ
รวบรวมและใช้ข้อมูลส่วนบุคคลนั้นต่อไปได้ตามวัตถุประสงค์เดิม
ทั้งนี้ ผู้ควบคุมข้อมูลส่วนบุคคลต้องกาหนดวิธีการยกเลิกความ
ยินยอมและเผยแพร่ประชาสัมพันธ์ให้เจ้าของข้อมูลส่วนบุคคลที่ไม่
ประสงค์ให้ผู้ควบคุมข้อมูลส่วนบุคคลเก็บรวบรวมและใช้ข้อมูลส่วน
บุคคลดังกล่าวสามารถแจ้งยกเลิกความยินยอมได้โดยง่าย
• การเปิดเผยและการดาเนินการอื่นที่มิใช่การเก็บรวบรวมและการใช้
ข้อมูลส่วนบุคคลตามวรรคหนึ่งให้เป็นไปตามบทบัญญัติแห่ง พ.ร.บ.นี้

49. 49
พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. ....
• หมวด 1 คณะกรรมการ
• ส่วนที่ 1 คณะกรรมการรักษาความ
มั่นคงปลอดภัยไซเบอร์แห่งชาติ
• ส่วนที่ 2 คณะกรรมการกากับดูแล
ด้านความมั่นคงปลอดภัยไซเบอร์
• หมวด 2 สานักงานคณะกรรมการ
การรักษาความมั่นคงปลอดภัยไซ
เบอร์แห่งชาติ
• หมวด 3 การรักษาความมั่นคง
ปลอดภัยไซเบอร์
• ส่วนที่ 1 นโยบายและแผน
• ส่วนที่ 2 การบริหารจัดการ
• ส่วนที่ 3 โครงสร้างพื้นฐาน
สาคัญทางสารสนเทศ
• ส่วนที่ 4 การรับมือกับภัย
คุกคามทางไซเบอร์
• หมวด 4 บทกาหนดโทษ
• บทเฉพาะกาล

50. 50
พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. ....
• วันใช้บังคับ ตั้งแต่วันถัดจากวันประกาศในราชกิจจานุเบกษาเป็นต้นไป
(มาตรา 2)
• บทนิยาม (มาตรา 3)
• “การรักษาความมั่นคงปลอดภัยไซเบอร์” หมายความว่า มาตรการหรือการ
ดาเนินการที่กาหนดขึ้นเพื่อป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซ
เบอร์ ทั้งจากภายในและภายนอกประเทศอันกระทบต่อความมั่นคงของรัฐ ความ
มั่นคงทางเศรษฐกิจ ความมั่นคงทางทหาร และความสงบเรียบร้อยภายในประเทศ
• “ภัยคุกคามทางไซเบอร์” หมายความว่า การกระทาหรือการดาเนินการใด ๆ โดย
มิชอบโดยใช้คอมพิวเตอร์หรือระบบคอมพิวเตอร์หรือโปรแกรมไม่พึงประสงค์โดย
มุ่งหมายให้เกิดการประทุษร้ายต่อระบบคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ หรือ
ข้อมูลอื่นที่เกี่ยวข้อง และเป็นภยันตรายที่ใกล้จะถึงที่จะก่อให้เกิดความเสียหาย
หรือส่งผลกระทบต่อการทางานของคอมพิวเตอร์ ระบบคอมพิวเตอร์ หรือข้อมูล
อื่นที่เกี่ยวข้อง