PDPA (พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562) มี กฎหมายลำดับรอง (กฎกระทรวง/ประกาศ/ระเบียบของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล) เพื่อกำหนดรายละเอียดการบังคับใช้ เช่น
☑ สิทธิของเจ้าของข้อมูล (Data Subject Rights): วิธีการใช้สิทธิ เช่น ขอเข้าถึงข้อมูล ขอแก้ไข ลบ ระงับใช้ หรือเพิกถอนความยินยอม
☑ การแจ้งเหตุละเมิดข้อมูลส่วนบุคคล (Data Breach Notification): เกณฑ์ เวลา และขั้นตอนในการแจ้งต่อคณะกรรมการและเจ้าของข้อมูล
☑ มาตรการรักษาความมั่นคงปลอดภัยของข้อมูล: มาตรฐานการจัดเก็บ ป้องกัน และทำลายข้อมูล
☑ การกำกับดูแลผู้ควบคุมและประมวลผลข้อมูล (Controller / Processor): ระเบียบในการทำสัญญาและกำหนดบทบาทหน้าที่
☑ การจัดตั้งคณะอนุกรรมการ/หน่วยงานกลางเพื่อพิจารณาเรื่องร้องเรียน: ออกระเบียบว่าด้วยการไต่สวน การสืบสวน และการบังคับโทษ
กระบวนการพิจารณาเรื่องร้องเรียน PDPA
เจ้าของข้อมูลสามารถ ยื่นเรื่องร้องเรียน หากเห็นว่ามีการละเมิดสิทธิ โดยมีขั้นตอน ดังนี้
➤ ยื่นคำร้องเรียน
● ผู้ยื่น: ประชาชนหรือเจ้าของข้อมูลส่วนบุคคลที่เห็นว่ามีการละเมิดสิทธิของตนเองตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
● การดำเนินการ: ยื่นคำร้องเรียนต่อ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) หรือหน่วยงานที่รับผิดชอบ โดยต้องระบุรายละเอียดของการกระทำที่ถูกกล่าวหาว่าเป็นการละเมิด PDPA อย่างชัดเจน
➤ รับเรื่องและพิจารณาเบื้องต้น
● การดำเนินการ: เจ้าหน้าที่ของ สคส. จะดำเนินการตรวจสอบคำร้องเรียนในเบื้องต้น เพื่อดูว่า:
เรื่องที่ร้องเรียน อยู่ในอำนาจ ของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลหรือไม่
คำร้องเรียนนั้น มีมูลความจริง หรือมีพยานหลักฐานเบื้องต้นที่สมเหตุสมผลหรือไม่
หากคำร้องเรียนไม่เข้าหลักเกณฑ์ อาจมีการสั่งไม่รับเรื่อง หรือให้ผู้ร้องเรียนแก้ไขเพิ่มเติมข้อมูล
➤ ไต่สวน / สอบข้อเท็จจริง
● การดำเนินการ: เมื่อรับเรื่องแล้ว คณะอนุกรรมการร้องเรียน (หรือคณะกรรมการผู้เชี่ยวชาญที่ได้รับมอบหมาย) จะมีอำนาจดำเนินการ ไต่สวน และ สืบสวนสอบสวน ข้อเท็จจริงที่เกิดขึ้น
● อำนาจ: สามารถเรียกให้คู่กรณี, ผู้ควบคุมข้อมูลส่วนบุคคล, ผู้ประมวลผลข้อมูลส่วนบุคคล, พยาน, หรือผู้ที่เกี่ยวข้องเข้ามาให้ถ้อยคำ ส่งมอบเอกสาร หรือพยานหลักฐานอื่น ๆ ที่เกี่ยวข้อง เพื่อประกอบการพิจารณา
➤ มีคำวินิจฉัย
คณะอนุกรรมการจะประมวลผลข้อมูลและมี คำวินิจฉัย ซึ่งอาจมีคำสั่งให้ผู้ถูกร้องเรียนดำเนินการดังนี้:
แก้ไข ปรับปรุง หรือระงับการประมวลผลข้อมูล
ดำเนินการอื่นใดเพื่อให้การคุ้มครองข้อมูลส่วนบุคคลถูกต้องตามกฎหมาย
➤ บทลงโทษ
● โทษทางปกครอง: ปรับเป็นเงินโดยคณะกรรมการผู้เชี่ยวชาญ ใชักับการไม่ปฏิบัติตามข้อกำหนดในกฎหมาย/ประกาศ โทษปรับสูงสุดไม่เกิน 1 ล้านบาท (ต่อกรณี)
● โทษทางอาญา: โทษจำคุกและ/หรือปรับ ใช้กับกรณีที่ เจตนา ใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่อ่อนไหว หรือแสวงหาประโยชน์โดยมิชอบ โทษปรับสูงสุด ไม่เกิน 1 ล้านบาท (และจำคุกไม่เกิน 1 ปี)
● โทษทางแพ่ง: การฟ้องร้องเรียกค่าเสียหายจากเจ้าของข้อมูลส่วนบุคคล กรณีเจตนาหรือสร้างความเสียหายร้ายแรง โทษปรับสูงสุด ชดใช้ค่าเสียหายตามจริง บวกค่าเสียหายเชิงลงโทษไม่เกิน 2 เท่า ของค่าเสียหายจริง
