มาตรา ๒๖

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒

ศูนย์สารสนเทศและนวัตกรรมข้อมูลศิริราช (SiData+) จัดทำ website นี้ขึ้นเพื่ออำนวยความสะดวกในการศึกษาและใช้งาน พ.ร.บ. PDPA ด้วยรูปแบบใหม่ อย่างไม่เป็นทางการ โดยเมื่อท่านเข้าชมบนจอคอมพิวเตอร์ หรือหน้าจออุปกรณ์ที่มีความกว้างอย่างน้อย 768 px (เช่น tablet) ท่านสามารถคลิกที่ link มาตรา เ

มาตรา ๒๕

ห้ามมิให้ผู้ควบคุมข้อมูลส่วนบุคคลทำการเก็บรวบรวมข้อมูลส่วนบุคคลจาก แหล่งอื่นที่ไม่ใช่จากเจ้าของข้อมูลส่วนบุคคลโดยตรง เว้นแต่ (๑) ได้แจ้งถึงการเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นให้แก่เจ้าของข้อมูลส่วนบุคคลทราบ โดยไม่ชักช้า แต่ต้องไม่เกินสามสิบวันนับแต่วันที่เก็บรวบรวมและได้รับค

มาตรา ๒๗

ห้ามมิให้ผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือเปิดเผยข้อมูลส่วนบุคคล โดยไม่ได้ รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่เป็นข้อมูลส่วนบุคคลที่เก็บรวบรวมได้โดยได้รับยกเว้น ไม่ต้องขอความยินยอมตามมาตรา ๒๔ หรือมาตรา ๒๖ บุคคลหรือนิติบุคคลที่ได้รับข้อมูลส่วนบุคคลมาจากการเปิดเผยตามวรรคหน

มาตรา ๓๓

เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการลบ หรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูล ส่วนบุคคลได้ ในกรณีดังต่อไปนี้ (๑) เมื่อข้อมูลส่วนบุคคลหมดความจำเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์ในการเก็บรวบรวม ใช้ ห

มาตรา ๓๗

ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ ดังต่อไปนี้ (๑) จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ และต้องทบทวน มาตรการดังกล่าวเมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไป

มาตรา ๓๘

บทบัญญัติเกี่ยวกับการแต่งตั้งตัวแทนตามมาตรา ๓๗ (๕) มิให้นำมาใช้บังคับแก่ ผู้ควบคุมข้อมูลส่วนบุคคล ดังต่อไปนี้ (๑) ผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นหน่วยงานของรัฐตามที่คณะกรรมการประกาศกำหนด (ฉบับที่ 2) (๒) ผู้ควบคุมข้อมูลส่วนบุคคลซึ่งประกอบอาชีพหรือธุรกิจในการเก็บรวบรวม ใช้ หรือเปิ

มาตรา ๓๙

ให้ผู้ควบคุมข้อมูลส่วนบุคคลบันทึกรายการ อย่างน้อยดังต่อไปนี้ เพื่อให้เจ้าของ ข้อมูลส่วนบุคคลและสำนักงานสามารถตรวจสอบได้ โดยจะบันทึกเป็นหนังสือหรือระบบอิเล็กทรอนิกส์ ก็ได้ (๑) ข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม (๒) วัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคลแต่ละประเภท (๓) ข้อมูลเก

มาตรา ๔๐

ผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่ ดังต่อไปนี้ (๑) ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งที่ได้รับ จากผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น เว้นแต่คำสั่งนั้นขัดต่อกฎหมายหรือบทบัญญัติในการคุ้มครอง ข้อมูลส่วนบุคคลตามพระราชบัญญัตินี้ (๒) จัดให้มีมาตรการร

มาตรา ๔๑

มาตรา ๔๑ ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดให้มี เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของตน ในกรณีดังต่อไปนี้ (๑) ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเป็นหน่วยงานของรัฐตามที่ คณะกรรมการประกาศกำหนด (ฉบับที่ 2) (๒) การดำเนินกิจกรรมของผู้ควบค

มาตรา ๗๙

ผู้ควบคุมข้อมูลส่วนบุคคลผู้ใดฝ่าฝืนมาตรา ๒๗ วรรคหนึ่งหรือวรรคสอง หรือไม่ปฏิบัติตามมาตรา ๒๘ อันเกี่ยวกับข้อมูลส่วนบุคคลตามมาตรา ๒๖ โดยประการที่น่าจะทำให้ ผู้อื่นเกิดความเสียหาย เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย ต้องระวางโทษ จำคุกไม่เกินหกเดือน หรือปรับไม่เ

มาตรา ๘๔

ผู้ควบคุมข้อมูลส่วนบุคคลผู้ใดฝ่าฝืนมาตรา ๒๖ วรรคหนึ่งหรือวรรคสาม หรือฝ่าฝืนมาตรา ๒๗ วรรคหนึ่งหรือวรรคสอง หรือมาตรา ๒๘ อันเกี่ยวกับข้อมูลส่วนบุคคล ตามมาตรา ๒๖ หรือส่งหรือโอนข้อมูลส่วนบุคคลตามมาตรา ๒๖ โดยไม่เป็นไปตามมาตรา ๒๙ วรรคหนึ่งหรือวรรคสาม ต้องระวางโทษปรับทางปกครองไม่เกินห้าล

มาตรา ๘๗

ผู้ประมวลผลข้อมูลส่วนบุคคลผู้ใดส่งหรือโอนข้อมูลส่วนบุคคลตามมาตรา ๒๖ วรรคหนึ่งหรือวรรคสาม โดยไม่เป็นไปตามมาตรา ๒๙ วรรคหนึ่งหรือวรรคสาม ต้องระวางโทษปรับ ทางปกครองไม่เกินห้าล้านบาท