สรุปสาระสำคัญของกฎหมายคุ้มครองข้อมูลส่วนบุคคล

สรุปสาระสำคัญของกฎหมายคุ้มครองข้อมูลส่วนบุคคล
-
	สรุปสาระสำคัญของกฎหมายคุ้มครองข้อมูลส่วนบุคคล และประเด็นที่เกี่ยวข้องกับการ
คุ้มครองข้อมูล ส่วนบุคคลในการทำธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ
	ตามที่กระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร ได้เสนอร่างพระราชบัญญัติ
คุ้มครองข้อมูลส่วนบุคคล พ.ศ. .... ต่อคณะรัฐมนตรี โดยที่ร่างพระราชบัญญัติดังกล่าว มีหลักการ
เพื่อให้มีกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล เนื่องจากความก้าวหน้าของ
เทคโนโลยีสารสนเทศ รวมทั้งระบบสื่อสาร ทำให้การเก็บรวบรวม การใช้ และการเปิดเผย
ข้อมูลส่วนบุคคลสามารถทำได้โดยง่าย สะดวก และรวดเร็ว อันอาจนำมาซึ่งความเดือดร้อน 
รำคาญ หรือความเสียหายในกรณีที่มีการนำไปแสวงหาประโยชน์หรือเปิดเผยโดยไม่ได้รับ
ความยินยอมหรือแจ้งล่วงหน้า ที่แม้ว่าจะได้มีกฎหมายคุ้มครองข้อมูลส่วนบุคคลในบางเรื่อง 
แต่ก็ยังไม่มีหลักเกณฑ์ กลไก หรือมาตรการกำกับดูแลเกี่ยวกับการให้ความคุ้มครองข้อมูลส่วน
บุคคลที่เป็นหลักการทั่วไป ต่อมาคณะรัฐมนตรีได้มีมติอนุมัติหลักการร่างพระราชบัญญัติ
คุ้มครองข้อมูลส่วนบุคคล พ.ศ. .... เมื่อวันที่ 6 มกราคม 2558 และส่งให้สำนักงานคณะกรรมการ
กฤษฎีกาตรวจพิจารณา โดยให้รับข้อสังเกตของส่วนราชการที่เกี่ยวข้องไปประกอบการ
พิจารณาด้วย แล้วส่งให้คณะกรรมการประสานงานสภานิติบัญญัติแห่งชาติพิจารณา ก่อนเสนอ
สภานิติบัญญัติแห่งชาติต่อไป ซึ่งบัดนี้ คณะกรรมการกฤษฎีกา (คณะที่ 11) ได้พิจารณาตรวจร่าง
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. .... เสร็จเรียบร้อยแล้ว
-
	สรุปสาระสำคัญของร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. .... ที่ผ่านการ
ตรวจพิจารณาของคณะกรรมการกฤษฎีกา (คณะที่ 11) และประเด็นที่มีความเกี่ยวข้องกับประกาศ
คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง แนวนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูล
ส่วนบุคคล ของหน่วยงานของรัฐ พ.ศ. 2553 ซึ่งสามารถสรุปสาระสำคัญได้ ดังนี้

	โครงสร้างของร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ..... ประกอบด้วย

	บททั่วไป (มาตรา 1 - มาตรา 6)

	หมวด 1 คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (มาตรา 7 – มาตรา 16)

	หมวด 2 การคุ้มครองข้อมูลส่วนบุคคล
		ส่วนที่ 1 บททั่วไป (มาตรา 17 – มาตรา 18)
		ส่วนที่ 2 การเก็บรวบรวมข้อมูลส่วนบุคคล (มาตรา 19 – มาตรา 23)
		ส่วนที่ 3 การใช้หรือเปิดเผยข้อมูลส่วนบุคคล (มาตรา 24 – มาตรา 25)

	หมวด 3 สิทธิของเจ้าของข้อมูลส่วนบุคคล (มาตรา 26 – มาตรา 30)

	หมวด 4 ข้อปฏิบัติในการคุ้มครองข้อมูล (มาตรา 31 – มาตรา 34)

	หมวด 5การร้องเรียน (มาตรา 35 – มาตรา 41)

	หมวด 6 ความรับผิดทางแพ่ง (มาตรา 42)

	หมวด 7 บทกำหนดโทษ (มาตรา 43 – มาตรา 49)

	บทเฉพาะกาล (มาตรา 50 – มาตรา 53)

	การคุ้มครองข้อมูลส่วนบุคคลในการทำธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐตาม
พระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 สรุปสาระสำคัญ ดังนี้
	ตามความในหมวด 4 ธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ มาตรา 35 แห่งพระราชบัญญัติ
ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 ได้กำหนดให้การทำ “คำขอ การอนุญาต การ
จดทะเบียน คำสั่งทางปกครอง การชำระเงิน การประกาศ หรือการดำเนินการใดๆ ตามกฎหมาย
กับหน่วยงานของรัฐหรือโดยหน่วยงานของรัฐ ถ้าได้กระทำในรูปของข้อมูลอิเล็กทรอนิกส์ตาม
หลักเกณฑ์และวิธีการที่กำหนดโดยพระราชกฤษฎีกา ให้นำพระราชบัญญัตินี้มาใช้บังคับและให้
ถือว่ามีผลโดยชอบด้วยกฎหมายเช่นเดียวกับการดำเนินการตามหลักเกณฑ์และวิธีการที่กฎหมาย
ในเรื่องนั้นกำหนด…” ทั้งนี้ เพื่อให้มีการคุ้มครองข้อมูลส่วนบุคคลของผู้ที่ติดต่อหรือทำ
ธุรกรรมทางอิเล็กทรอนิกส์ของหน่วยงานภาครัฐ โดยในมาตรา 6 แห่งพระราชกฤษฎีกากำหนด
หลักเกณฑ์และวิธีการในการทำธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ พ.ศ. 2549 (ซึ่งออกโดยอาศัย
อำนาจตามมาตรา 35) กำหนดว่า “ในกรณีที่มีการรวบรวม จัดเก็บ ใช้ หรือเผยแพร่ข้อมูล หรือ
ข้อเท็จจริงที่ทำให้สามารถระบุตัวบุคคลไม่ว่าโดยตรงหรือโดยอ้อมให้หน่วยงานของรัฐจัดทำ
แนวนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลด้วย”
-
	คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ ได้กำหนดหลักเกณฑ์และวิธีการในการ
คุ้มครองข้อมูลส่วนบุคคล ที่สอดคล้องตามความในมาตรา 6 แห่งพระราชกฤษฎีกาฯ โดยจัดทำ
เป็นประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่องแนวนโยบายและแนวปฏิบัติในการ
คุ้มครองข้อมูลส่วนบุคคลของหน่วยงานของรัฐ พ.ศ. 2553 ซึ่งมีสาระสำคัญ ที่หน่วยงานของรัฐ
จะต้องจัดทำเนื้อหาและรายละเอียดให้ครอบคลุมดังนี้
-
นโยบายในการคุ้มครองข้อมูลส่วนบุคคล จำนวน 8 ข้อ
	(1) การเก็บรวบรวมข้อมูลส่วนบุคคลอย่างจำกัด
	(2) คุณภาพของข้อมูลส่วนบุคคล
	(3) การระบุวัตถุประสงค์ในการเก็บรวบรวม
	(4) ข้อจำกัดในการนำข้อมูลส่วนบุคคลไปใช้
	(5) การรักษาความมั่นคงปลอดภัย
	(6) การเปิดเผยเกี่ยวกับการดำเนินการแนวปฏิบัติและแนวนโยบายเกี่ยวกับข้อมูลส่วน
บุคคล
	(7) การมีส่วนร่วมของเจ้าของข้อมูล	
	(8) ความรับผิดชอบของบุคคลซึ่งทำหน้าที่ควบคุมข้อมูล
-
ข้อปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล จำนวน 9 ข้อ
	(1) ข้อมูลเบื้องต้น
	(2) การเก็บรวบรวมข้อมูลส่วนบุคคล
	(3) การแสดงระบุความเชื่อมโยงให้ข้อมูลส่วนบุคคลกับหน่วยงานหรือองค์กรอื่น
	(4) การรวบรวมข้อมูลจากที่มาหลายๆ แห่ง
	(5) การให้บุคคลอื่นใช้หรือการเปิดเผยข้อมูลส่วนบุคคล
	(6) การรวบรวม จัดเก็บ ใช้ และการเปิดเผยข้อมูลเกี่ยวกับผู้ใช้บริการ
	(7) การเข้าถึง การแก้ไขให้ถูกต้อง และการปรับปรุงให้เป็นปัจจุบัน
	(8) การรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล
	(9) การติดต่อกับเว็บไซต์
-
	การคุ้มครองข้อมูลส่วนบุคคล ตามร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. .... 
สรุปสาระสำคัญ ดังนี้
	เป็นกฎหมายกลางในการคุ้มครองข้อมูลส่วนบุคคลเป็นการทั่วไป (มีขอบเขตการใช้
บังคับกับหน่วยงานของรัฐด้วย)
	หากมีกฎหมายว่าด้วยการใดบัญญัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ในลักษณะใด 
กิจการใด หรือหน่วยงานใดไว้โดยเฉพาะแล้วให้เป็นไปตามกฎหมายนั้น (มาตรา 3) เว้นแต่
บทบัญญัติเกี่ยวกับการเก็บรวบรวม การใช้ หรือการเปิดเผยข้อมูลส่วนบุคคล และบทกำหนด
โทษที่เกี่ยวข้อง จะต้องนำบทบัญญัติแห่งพระราชบัญญัตินี้ไปใช้บังคับเป็นการเพิ่มเติม ไม่ว่า 
จะซ้ำกับกฎหมายนั้นหรือไม่ก็ตาม
	บทบัญญัติในเรื่องการร้องเรียน บทบัญญัติที่ให้อำนาจแก่คณะกรรมการผู้เชี่ยวชาญออก
คำสั่งเพื่อคุ้มครองเจ้าของข้อมูลส่วนบุคคล และบทบัญญัติเกี่ยวกับอำนาจหน้าที่ของพนักงาน
เจ้าหน้าที่ รวมทั้งบทกำหนดโทษที่เกี่ยวข้อง ให้บังคับตามพระราชบัญญัตินี้ เฉพาะในกรณีที่
กฎหมายว่าด้วยการนั้นไม่มีบทบัญญัติเกี่ยวกับการร้องเรียน
-
	สำหรับข้อปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล มาตรา 31 ได้กำหนดให้
คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเป็นผู้ทำประกาศกำหนดข้อปฏิบัติในการคุ้มครอง
ข้อมูลส่วนบุคคล เพื่อเป็นแนวทางให้ผู้ควบคุมข้อมูลส่วนบุคคลปฏิบัติ
	มาตรา 42 กรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการใดๆ อันทำให้เกิดความเสียหาย
ต่อเจ้าของข้อมูลส่วนบุคคล ต้องชดใช้ค่าสินไหมทดแทนเพื่อการนั้น เว้นแต่จะพิสูจน์ได้ว่า 
	(1) ความเสียหายนั้นเกิดจากเหตุสุดวิสัย 
	(2) เป็นการปฏิบัติตามคำสั่งของเจ้าหน้าที่ซึ่งปฏิบัติตามอำนาจหน้าที่ตามกฎหมาย และ 
	(3) เป็นการปฏิบัติครบถ้วนตามข้อปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลที่
คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนดตามมาตรา 31

	จากข้างต้นการคุ้มครองข้อมูลส่วนบุคคลที่มีความเกี่ยวข้องและใกล้เคียงกันระหว่าง
ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง แนวนโยบายและแนวปฏิบัติในการ
คุ้มครองข้อมูลส่วนบุคคลของหน่วยงานของรัฐ พ.ศ. 2553 และร่างพระราชบัญญัติคุ้มครอง
ข้อมูลส่วนบุคคล พ.ศ. .... เช่น นิยามคำว่า ข้อมูลส่วนบุคคล มีหลักการสำคัญเหมือนกัน คือ 
สิ่งที่ระบุหรืออาจระบุ ตัวบุคคล (Identified and Identifiable)
	หลักการสำคัญในการคุ้มครองข้อมูลส่วนบุคคลสอดคล้องกับหลักการคุ้มครองข้อมูล 
ส่วนบุคคลตามแนวทางขององค์การเพื่อความร่วมมือทางเศรษฐกิจและการพัฒนา Organization 
for Economic Cooperation and Development (OECD) คือ ให้ความสำคัญกับ “หลักการ
ยินยอม” และ “หลักการปกปิด” เป็นหลักการทั่วไป ทั้งนี้ “การเปิดเผย” เป็นข้อยกเว้น
เนื้อหาการเก็บรวบรวม การใช้ หรือการเปิดเผยข้อมูลส่วนบุคคล ในร่างพระราชบัญญัติฯ อาจ
มีความเข้มข้นในบางประเด็นมากกว่าในประกาศคณะกรรมการฯ ทั้งนี้ อย่างไรก็ตามอาจจะต้อง
รอคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลพิจารณากำหนดและประกาศข้อปฏิบัติในการ
คุ้มครองข้อมูลส่วนบุคคลเพื่อเป็นแนวทางปฏิบัติให้แก่ผู้ควบคุมข้อมูลส่วนบุคคล ต่อไป
-
source: https://www.etcommission.go.th/article-dp-topic-conclusion-dp.html