พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล

พระราชบัญญัติ
คุ้มครองข้อมูลส่วนบุคคล
พ.ศ. ๒๕๖๒
พระบาทสมเด็จพระปรเมนทรรามาธิบดีศรีสินทรมหาวชิราลงกรณ
พระวชิรเกล้าเจ้าอยู่หัว
ให้ไว้
ณ วันที่ ๒๔ พฤษภาคม พ.ศ. ๒๕


เป็นปีที่
๔ ในรัชกาลปัจจุบัน
พระบาทสมเด็จพระปรเมนทรรามาธิบดีศรีสินทรมหาวชิราลงกรณ พระวชิรเกล้าเจ้าอยู่หัว
มีพระบรมราชโองการโปรดเกล้าฯ ให้ประกาศว่า
โดยที่เป็นการสมควรมีกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
พระราชบัญญัตินี้มีบทบัญญัติบางประการเกี่ยวกับการจ ากัดสิทธิและเสรีภาพของบุคคล
ซึ่งมาตรา ๒๖ ประกอบกับมาตรา ๓๒ มาตรา ๓๓ และมาตรา ๓๗ ของรัฐธรรมนูญ
แห่งราชอาณาจักรไทย บัญญัติให้กระท าได้โดยอาศัยอ านาจตามบทบัญญัติแห่งกฎหมาย
เหตุผลและความจ าเป็นในการจ ากัดสิทธิและเสรีภาพของบุคคลตามพระราชบัญญัตินี้ เพื่อให้
การคุ้มครองข้อมูลส่วนบุคคลมีประสิทธิภาพและเพื่อให้มีมาตรการเยียวยาเจ้าของข้อมูลส่วนบุคคลจาก
การถูกละเมิดสิทธิในข้อมูลส่วนบุคคลที่มีประสิทธิภาพ ซึ่งการตราพระราชบัญญัตินี้สอดคล้องกับเงื่อนไข
ที่บัญญัติไว้ในมาตรา ๒๖ ของรัฐธรรมนูญแห่งราชอาณาจักรไทยแล้ว
จึงทรงพระกรุณาโปรดเกล้าฯ ให้ตราพระราชบัญญัติขึ้นไว้โดยค าแนะน าและยินยอมของ
สภานิติบัญญัติแห่งชาติท าหน้าที่รัฐสภา ดังต่อไปนี้
มาตรา
๑ พระราชบัญญัตินี้เรียกว่า
“พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
พ.ศ. ๒๕๖๒

หนา ๕๒ ้ ่
เลม ๑๓๖ ตอนที่ ๖๙ ก ราชกิจจานุเบกษา ๒๗ พฤษภาคม ๒๕๖๒
มาตรา
๒ พระราชบัญญัตินี้ให้ใช้บังคับตั้งแต่วันถัดจากวันประกาศในราชกิจจานุเบกษา
เป็นต้นไป เว้นแต่บทบัญญัติในหมวด ๒ หมวด ๓ หมวด ๕ หมวด ๖ หมวด ๗ และความใน
มาตรา ๙๕ และมาตรา ๙๖ ให้ใช้บังคับเมื่อพ้นก าหนดหนึ่งปีนับแต่วันประกาศในราชกิจจานุเบกษา
เป็นต้นไป
มาตรา
๓ ในกรณีที่มีกฎหมายว่าด้วยการใดบัญญัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล
ในลักษณะใด กิจการใด หรือหน่วยงานใดไว้โดยเฉพาะแล้ว ให้บังคับตามบทบัญญัติแห่งกฎหมาย
ว่าด้วยการนั้น เว้นแต่
(๑) บทบัญญัติเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล และบทบัญญัติ
เกี่ยวกับสิทธิของเจ้าของข้อมูลส่วนบุคคล รวมทั้งบทก าหนดโทษที่เกี่ยวข้อง ให้บังคับตามบทบัญญัติ
แห่งพระราชบัญญัตินี้เป็นการเพิ่มเติม ไม่ว่าจะซ้ ากับบทบัญญัติแห่งกฎหมายว่าด้วยการนั้นหรือไม่ก็ตาม
(๒) บทบัญญัติเกี่ยวกับการร้องเรียน บทบัญญัติที่ให้อ านาจแก่คณะกรรมการผู้เชี่ยวชาญ
ออกค าสั่งเพื่อคุ้มครองเจ้าของข้อมูลส่วนบุคคล และบทบัญญัติเกี่ยวกับอ านาจหน้าที่ของพนักงานเจ้าหน้าที่
รวมทั้งบทก าหนดโทษที่เกี่ยวข้อง ให้บังคับตามบทบัญญัติแห่งพระราชบัญญัตินี้ ในกรณีดังต่อไปนี้
(ก) ในกรณีที่กฎหมายว่าด้วยการนั้นไม่มีบทบัญญัติเกี่ยวกับการร้องเรียน
(ข) ในกรณีที่กฎหมายว่าด้วยการนั้นมีบทบัญญัติที่ให้อ านาจแก่เจ้าหน้าที่ผู้มีอ านาจพิจารณา
เรื่องร้องเรียนตามกฎหมายดังกล่าวออกค าสั่งเพื่อคุ้มครองเจ้าของข้อมูลส่วนบุคคล แต่ไม่เพียงพอเท่ากับ
อ านาจของคณะกรรมการผู้เชี่ยวชาญตามพระราชบัญญัตินี้และเจ้าหน้าที่ผู้มีอ านาจตามกฎหมายดังกล่าว
ร้องขอต่อคณะกรรมการผู้เชี่ยวชาญหรือเจ้าของข้อมูลส่วนบุคคลผู้เสียหายยื่นค าร้องเรียนต่อคณะกรรมการ
ผู้เชี่ยวชาญตามพระราชบัญญัตินี้ แล้วแต่กรณี
มาตรา
๔ พระราชบัญญัตินี้ไม่ใช้บังคับแก่
(๑) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบุคคลที่ท าการเก็บรวบรวมข้อมูล
ส่วนบุคคลเพื่อประโยชน์ส่วนตนหรือเพื่อกิจกรรมในครอบครัวของบุคคลนั้นเท่านั้น
(๒) การด าเนินการของหน่วยงานของรัฐที่มีหน้าที่ในการรักษาความมั่นคงของรัฐ ซึ่งรวมถึง
ความมั่นคงทางการคลังของรัฐ หรือการรักษาความปลอดภัยของประชาชน รวมทั้งหน้าที่เกี่ยวกับ
การป้องกันและปราบปรามการฟอกเงิน นิติวิทยาศาสตร์ หรือการรักษาความมั่นคงปลอดภัยไซเบอร์
(๓) บุคคลหรือนิติบุคคลซึ่งใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่ท าการเก็บรวบรวมไว้เฉพาะ
เพื่อกิจการสื่อมวลชน งานศิลปกรรม หรืองานวรรณกรรมอันเป็นไปตามจริยธรรมแห่งการประกอบวิชาชีพ
หรือเป็นประโยชน์สาธารณะเท่านั้น
หนา ๕๓ ้ ่
เลม ๑๓๖ ตอนที่ ๖๙ ก ราชกิจจานุเบกษา

(๔) สภาผู้แทนราษฎร วุฒิสภา และรัฐสภา รวมถึงคณะกรรมาธิการที่แต่งตั้งโดยสภาดังกล่าว
ซึ่งเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในการพิจารณาตามหน้าที่และอ านาจของสภาผู้แทนราษฎร
วุฒิสภา รัฐสภา หรือคณะกรรมาธิการ แล้วแต่กรณี
(๕) การพิจารณาพิพากษาคดีของศาลและการด าเนินงานของเจ้าหน้าที่ในกระบวนการพิจารณาคดี
การบังคับคดี และการวางทรัพย์ รวมทั้งการด าเนินงานตามกระบวนการยุติธรรมทางอาญา
(๖) การด าเนินการกับข้อมูลของบริษัทข้อมูลเครดิตและสมาชิกตามกฎหมายว่าด้วย
การประกอบธุรกิจข้อมูลเครดิต
การยกเว้นไม่ให้น าบทบัญญัติแห่งพระราชบัญญัตินี้ทั้งหมดหรือแต่บางส่วนมาใช้บังคับแก่
ผู้ควบคุมข้อมูลส่วนบุคคลในลักษณะใด กิจการใด หรือหน่วยงานใดท านองเดียวกับผู้ควบคุมข้อมูล
ส่วนบุคคลตามวรรคหนึ่ง หรือเพื่อประโยชน์สาธารณะอื่นใด ให้ตราเป็นพระราชกฤษฎีกา
ผู้ควบคุมข้อมูลส่วนบุคคลตามวรรคหนึ่ง (๒) (๓) (๔) (๕) และ (๖) และผู้ควบคุมข้อมูล
ส่วนบุคคลของหน่วยงานที่ได้รับยกเว้นตามที่ก าหนดในพระราชกฤษฎีกาตามวรรคสอง ต้องจัดให้มี
การรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลให้เป็นไปตามมาตรฐานด้วย
มาตรา
๕ พระราชบัญญัตินี้ให้ใช้บังคับแก่การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล
ส่วนบุคคลโดยผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งอยู่ในราชอาณาจักร ไม่ว่า
การเก็บรวบรวม ใช้ หรือเปิดเผยนั้น ได้กระท าในหรือนอกราชอาณาจักรก็ตาม
ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลอยู่นอกราชอาณาจักร
พระราชบัญญัตินี้ให้ใช้บังคับแก่การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูล
ส่วนบุคคลซึ่งอยู่ในราชอาณาจักรโดยการด าเนินกิจกรรมของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผล
ข้อมูลส่วนบุคคลดังกล่าว เมื่อเป็นกิจกรรม ดังต่อไปนี้
(๑) การเสนอสินค้าหรือบริการให้แก่เจ้าของข้อมูลส่วนบุคคลซึ่งอยู่ในราชอาณาจักร ไม่ว่า
จะมีการช าระเงินของเจ้าของข้อมูลส่วนบุคคลหรือไม่ก็ตาม
(๒) การเฝ้าติดตามพฤติกรรมของเจ้าของข้อมูลส่วนบุคคลที่เกิดขึ้นในราชอาณาจักร
มาตรา
๖ ในพระราชบัญญัตินี้
“ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งท าให้สามารถระบุตัวบุคคลนั้นได้
ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ “ผู้ควบคุมข้อมูลส่วนบุคคล” หมายความว่า บุคคลหรือนิติบุคคลซึ่งมีอ านาจหน้าที่ตัดสินใจ
เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

“ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายความว่า บุคคลหรือนิติบุคคลซึ่งด าเนินการเกี่ยวกับ
การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามค าสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล
ทั้งนี้ บุคคลหรือนิติบุคคลซึ่งด าเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล “บุคคล” หมายความว่า บุคคลธรรมดา “คณะกรรมการ” หมายความว่า คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล “พนักงานเจ้าหน้าที่” หมายความว่า ผู้ซึ่งรัฐมนตรีแต่งตั้งให้ปฏิบัติการตามพระราชบัญญัตินี้ “ส านักงาน” หมายความว่า ส านักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล “เลขาธิการ” หมายความว่า เลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล “รัฐมนตรี” หมายความว่า รัฐมนตรีผู้รักษาการตามพระราชบัญญัตินี้
มาตรา
๗ ให้รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมรักษาการตาม
พระราชบัญญัตินี้ และให้มีอ านาจแต่งตั้งพนักงานเจ้าหน้าที่ เพื่อปฏิบัติการตามพระราชบัญญัตินี้