ปัจจุบันประเทศไทยมีกฎหมายที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลที่สำคัญได้แก่ (1) รัฐธรรมนูญแห่งราชอาณาจักรไทย พ.ศ. 2560 มาตรา 32 (2) ประมวลกฎหมายแพ่งและพาณิชย์ว่าด้วยการละเมิด ตามมาตรา 420 มาตรา 422 และมาตรา 423 (3) ประมวลฎหมายอาญาว่าด้วยความผิดฐานเปิดเผยความลับ ตามมาตรา 322 และมาตรา 323 (4) พระราชบัญญัติข้อมูลข่าวสารของทางราชการ พ.ศ. 2540 หมวดที่ 3 ว่าด้วยข้อมูลข่าวสารส่วนบุคคล (5) พระราชบัญญัติการประกอบธุรกิจข้อมูลเครดิต พ.ศ. 2545 6) พระราชบัญญัติการประกอบกิจการโทรคมนาคม พ.ศ. 2544 มาตรา 50 และมาตรา 51 และ 7) พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
สำหรับในบทนี้จะขอกล่าวถึงเฉพาะพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และพระราชบัญญัติข้อมูลข่าวสารของทางราชการ พ.ศ. 2540 ซึ่งถือว่ามีความเกี่ยวข้องกับการปฏิบัติงานของหน่วยงานของศาลฯ
2.2.1) พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และพระราชกฤษฎีกาที่เกี่ยวข้อง
(1) พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีสาระสำคัญสามารถสรุปได้ ดังนี้
1.1) วัตถุประสงค์ เพื่อแก้ปัญหาการละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคลที่ก่อให้เกิดความเดือดร้อนรำคาญหรือสร้างความเสียหายให้แก่เจ้าของข้อมูลส่วนบุคคล เนื่องจากความก้าวหน้าของเทคโนโลยีในปัจจุบันทำให้การเก็บรวบรวม การใช้ หรือการเปิดเผยข้อมูลส่วนบุคคลที่สามารถได้โดยง่าย สะดวก และรวดเร็ว ส่งผลให้เกิดความเสียหายต่อเศรษฐกิจโดยรวม[1]
1.2) ขอบเขตการใช้บังคับ กฎหมายฉบับนี้ถือเป็นกฎหมายทั่วไปที่ใช้คุ้มครองข้อมูลส่วนบุคคล โดยมีหลักการบังคับใช้ดังนี้[2]
– มีผลใช้บังคับหลังจากประกาศในราชกิจจานุเบกษา 1 ปี นับแต่วันประกาศในราชกิจจานุเบกษา (ประกาศในราชกิจจานุเบกษาเมื่อวันที่ 27 พฤษภาคม 2562) แต่มีข้อยกเว้นในหมวด 1 สำหรับคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และหมวด 4 สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล มีผลใช้บังคับทันที
– หลักการทั่วไป ในส่วนที่เกี่ยวข้องกับหน่วยงานของรัฐ มี 2 ประการ ได้แก่ กฎหมายทั่วไปในการคุ้มครองข้อมูลส่วนบุคคล และข้อยกเว้นในการไม่นำกฎหมายคุ้มครองข้อมูลส่วนบุคคลมาใช้บังคับ
ในกรณีที่มีกฎหมายอื่นที่บัญญัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลเป็นการเฉพาะให้บังคับตามบทบัญญัติแห่งกฎหมายนั้น เว้นแต่
1) บทบัญญัติที่เกี่ยวกับการเก็บรวบรวม การใช้ หรือการเปิดเผยข้อมูลส่วนบุคคล และบทบัญญัติเกี่ยวกับสิทธิของเจ้าของข้อมูลส่วนบุคคล รวมถึงบทกำหนดโทษที่เกี่ยวข้องกับการใช้ข้อมูลส่วนบุคคลให้บังคับตามบทบัญญัติแห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลเป็นการเพิ่มเติม ไม่ว่าจะซ้ำกับบทบัญญัติแห่งกฎหมายว่าด้วยการนั้นหรือไม่ก็ตาม
2) บทบัญญัติเกี่ยวกับการร้องเรียน บทบัญญัติที่ให้อำนาจหน้าที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลออกคำสั่งเพื่อคุ้มครองเจ้าของข้อมูลส่วนบุคคล และบทบัญญัติเกี่ยวกับอำนาจหน้าที่ของพนักงานเจ้าหน้าที่ รวมทั้งบทกำหนดโทษที่เกี่ยวข้อง ให้บังคับตามบทบัญญัติแห่งพระราชบัญญัตินี้ ในกรณีดังต่อไปนี้
(ก) ในกรณีที่กฎหมายอื่นไม่มีบทบัญญัติเกี่ยวกับการร้องเรียน
(ข) ในกรณีที่กฎหมายอื่นมีบทบัญญัติที่ให้อำนาจแก่เจ้าหน้าที่ผู้มีอำนาจพิจารณาเรื่องที่ร้องเรียนตามกฎหมายจะออกคำสั่งเพื่อคุ้มครองเจ้าของข้อมูลส่วนบุคคล แต่ไม่เพียงพอเท่ากับอำนาจของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลตามพระราชบัญญัตินี้ และเจ้าหน้าที่ผู้มีอำนาจร้องขอต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หรือเจ้าของข้อมูลส่วนบุคคลซึ่งเป็นผู้เสียหายดำเนินการยื่นคำร้องต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลตามพระราชบัญญัตินี้ แล้วแต่กรณี
สำหรับข้อยกเว้นที่ไม่นำกฎหมายคุ้มครองข้อมูลส่วนบุคคลมาบังคับใช้ ได้แก่ [3]
1) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ใช้เพื่อประโยชน์ส่วนตน หรือเพื่อดำเนินกิจกรรมภายในครอบครัว
2) การดำเนินการของหน่วยงานของรัฐที่มีหน้าที่ในการรักษาเพื่อความมั่นคงของรัฐ รวมถึงความมั่นคงทางการคลัง หรือการรักษาความปลอดภัยของประชาชน รวมทั้งการป้องกันและปราบปรามการฟอกเงิน การดำเนินการด้านนิติวิทยาศาสตร์ หรือการรักษาปลอดภัยด้านไซเบอร์
3) บุคคลหรือนิติบุคคลใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เก็บรวบรวมไว้เพื่อกิจการด้านสื่อมวลชน งานศิลปกรรม หรืองานวรรณกรรมอันเป็นไปตามจริยธรรมแห่งการประกอบวิชาชีพหรือเป็นประโยชน์สาธารณะเท่านั้น
4) สภาผู้แทนราษฎร วุฒิสภา และรัฐสภา รวมถึงคณะกรรมาธิการที่แต่งตั้งโดยสภาใช้ข้อมูลส่วนบุคคลในการพิจารณาหน้าที่และอำนาจของสภาผู้แทนราษฎรวุฒิสภา รัฐสภา หรือคณะกรรมาธิการ
5) การพิจารณาพิพากษาคดีของศาล และการดำเนินงานของเจ้าหน้าที่ในการพิจารณาคดีการบังคับคดี การวางหลักทรัพย์ รวมทั้งการดำเนินงานตามกระบวนการยุติธรรมทางอาญา
6) การดำเนินการเกี่ยวกับข้อมูลของบริษัทข้อมูลเครดิตตามกฎหมายว่าด้วยการประกอบธุรกิจข้อมูลเครดิต
การยกเว้นไม่นำบทบัญญัติแห่งพระราชบัญญัตินี้มาใช้บังคับสำหรับผู้ที่ควบคุมข้อมูลส่วนบุคคลในกิจการลักษณะใด หรือหน่วยงานใด หรือดำเนินการเพื่อประโยชน์สาธารณะนั้นให้ตราเป็นพระราชกฤษฎีกา ทั้งนี้ผู้ควบคุมข้อมูลส่วนบุคคลของหน่วยงานต้องจัดให้มีการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลให้เป็นไปตามมาตรฐาน
สำหรับกรณีของการดำเนินกระบวนพิจารณาคดีของศาลฯ จะเข้าเงื่อนไขข้อยกเว้นตาม (5) คือ การพิจารณาพิพากษาคดีของศาลและการดำเนินงานของเจ้าหน้าที่ในกระบวนการพิจารณาคดีการบังคับคดี และการวางทรัพย์ รวมทั้งการดำเนินงานตามกระบวนการยุติธรรมทางอาญา
อย่างไรก็ตาม กฎหมายฉบับนี้ได้กำหนดให้ศาลฯ มีหน้าที่ในการจัดให้มีการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลให้เป็นไปตามมาตรฐานด้วย
1.3) ข้อมูลส่วนบุคคล หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรม[4]และข้อมูลนิติบุคคล
1.4) บุคคลเกี่ยวข้องที่สำคัญตามกฎหมาย ได้แก่
– “เจ้าของข้อมูลส่วนบุคคล” (Data Subject) หมายถึง บุคคลที่ข้อมูลระบุถึง
– “ผู้ควบคุมข้อมูลส่วนบุคคล” (Data Controller) หมายถึง บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล[5]
– “ผู้ประมวลผลข้อมูลส่วนบุคคล” (Data Processor) หมายถึง บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล[6]
ทั้งนี้ กฎหมายฉบับนี้ใช้บังคับแก่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลที่อยู่นอกราชอาณาจักร ในกรณีที่การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลอยู่ในราชอาณาจักร โดยการดำเนินกิจกรรมของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเมื่อเป็นกรณีที่มีการนำเสนอสินค้า หรือการให้บริการแก่เจ้าของข้อมูลส่วนบุคคลซึ่งอยู่ในราชอาณาจักร ไม่ว่ากิจกรรมนั้นจะมีการชำระเงินของเจ้าของข้อมูลส่วนบุคคลหรือไม่ก็ตาม และการติดตามพฤติกรรมของเจ้าของข้อมูลส่วนบุคคล[7]
1.5) หลักการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่สามารถทำได้โดยชอบด้วยกฎหมาย[8] ได้แก่ การเก็บรวบรวมข้อมูลตามวัตถุประสงค์ดังต่อไปนี้ซึ่งไม่จำเป็นต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล
– การกระทำที่ได้รับความยินยอมจากเจ้าของข้อมูล (Consent)
– การดำเนินการตามสัญญา (Contract)
– การดำเนินการเพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกายหรือสุขภาพ (Vital Interest)
– การดำเนินการเพื่อประโยชน์สาธารณะ (Public Task)
– การดำเนินการเพื่อประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest)
– การดำเนินการเพื่อปฏิบัติตามกฎหมาย (Legal Obligations)
– การดำเนินการเพื่อจัดทำเอกสารประวัติศาสตร์ วิจัย หรือสถิติ (Scientific / Historical Research)
1.6) สิทธิของเจ้าของข้อมูลส่วนบุคคล กรณีดังต่อไปนี้ถือเป็นสิทธิที่เจ้าของข้อมูลส่วนบุคคลทุกคน ได้รับโดยไม่ต้องมีการร้องขอ
– สิทธิในการได้รับแจ้ง (Right to be Informed)[9]
– สิทธิในการเพิกถอนความยินยอม (Right to Withdraw Consent)[10]
– สิทธิในการเข้าถึงข้อมูลส่วนบุคคล (Right of Access)[11]
– สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง (Right to Rectification)[12]
– สิทธิในการขอลบข้อมูลส่วนบุคคล (Right to be Forgotten)[13]
– สิทธิในการห้ามมิให้ประมวลผลข้อมูลส่วนบุคคล (Right to Restrict of Processing)[14]
– สิทธิในการให้โอนย้ายข้อมูลส่วนบุคคล (Right of Data Portability)[15]
– สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล (Right to Object)[16]
1.7) หน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล[17] ได้แก่
– การจัดให้มีมาตรการรักษาข้อมูลส่วนบุคคล
– การดำเนินการเพื่อป้องกันมิให้ผู้อื่นใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยมิชอบ
– การจัดให้มีระบบในการตรวจสอบเพื่อดำเนินการลบ หรือทำลายข้อมูลส่วนบุคคล
– การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลให้เจ้าของข้อมูลส่วนบุคคลทราบ
– การแต่งตั้ง DPO เพื่อทำหน้าที่ในการคุ้มครองข้อมูลส่วนบุคคลหรือป้องกันและแก้ไขเหตุละเมิดข้อมูลส่วนบุคคล
– การจัดทำบันทึกรายการกิจกรรมของการประมวลผลข้อมูลส่วนบุคคล
1.8) หน้าที่ผู้ประมวลผลข้อมูลส่วนบุคคล[18] ได้แก่
– ดำเนินการตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคลเว้นแต่คำสั่งนั้นขัดต่อกฎหมายหรือบทบัญญัติในการคุ้มครองข้อมูลส่วนบุคคล
– จัดให้มีมาตรการรักษาความมั่นคงปลอดภัย รวมทั้งแจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น
– การจัดทำบันทึกรายการกิจกรรมของการประมวลผลข้อมูลส่วนบุคคล
– การแต่งตั้ง DPO เพื่อทำหน้าที่ในการคุ้มครองข้อมูลส่วนบุคคลหรือป้องกันและแก้ไขเหตุละเมิดข้อมูลส่วนบุคคล
(2) พระราชกฤษฎีกากำหนดให้หน่วยงานและกิจการที่ผู้ควบคุมข้อมูลส่วนบุคคลไม่อยู่ภายใต้บังคับแห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และ พ.ศ. 2563 ได้กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลทั้งภาครัฐและภาคเอกชนมีหน้าที่ต้องดำเนินการตามพระราชบัญญัตินี้สำหรับกิจการ หรือหน่วยงานในลักษณะดังนี้ (1) หน่วยงานของรัฐ (2) หน่วยงานของรัฐต่างประเทศและองค์การระหว่างประเทศ (3) มูลนิธิ สมาคม องค์กรศาสนา และองค์กรไม่แสวงหากำไร (4) กิจการด้านเกษตรกรรม (5) กิจการด้านอุตสาหกรรม (6) กิจการด้านพาณิชยกรรม (7) กิจการด้านการแพทย์และสาธารณสุข (8) กิจการด้านพลังงาน ไอน้ำ น้ำ และการกำจัดของเสีย รวมทั้งกิจการที่เกี่ยวข้อง (9) กิจการด้านการก่อสร้าง (10) กิจการด้านการซ่อมและการบำรุงรักษา (11) กิจการด้านการคมนาคม ขนส่ง และการเก็บสินค้า (12) กิจการด้านการท่องเที่ยว (13) กิจการด้านการสื่อสาร โทรคมนาคม คอมพิวเตอร์ และดิจิทัล (14) กิจการด้านการเงิน การธนาคาร และการประกันภัย (15) กิจการด้านอสังหาริมทรัพย์ (16) กิจการด้านการประกอบวิชาชีพ (17) กิจการด้านการบริหารและบริการสนับสนุน (18) กิจการด้านวิทยาศาสตร์และเทคโนโลยี วิชาการ สังคมสงเคราะห์ และศิลปะ (19) กิจการด้านการศึกษา (20) กิจการด้านความบันเทิงและนันทนาการ (21) กิจการด้านการรักษาความปลอดภัย (22) กิจการในครัวเรือนและวิสาหกิจชุมชนที่ไม่สามารถจำแนกกิจกรรมได้อย่างชัดเจน ซึ่งเป็นผู้ควบคุมข้อมูลส่วนบุคคลไม่อยู่ภายใต้บังคับแห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ในช่วงระยะเวลาตามที่ประกาศในพระราชกฤษฎีกาฉบับนี้[19]
(3) พระราชกฤษฎีกากำหนดหน่วยงานและกิจการที่ผู้ควบคุมข้อมูลส่วนบุคคลไม่อยู่ภายใต้บังคับแห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (ฉบับที่ 2) พ.ศ. 2564 กำหนดข้อยกเว้นที่ไม่ต้องนำบทบัญญัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลมาใช้บังคับสำหรับบางหน่วยงานและบางกิจการในช่วงระยะเวลาระหว่างวันที่ 27 พฤษภาคม พ.ศ. 2563 จนถึงวันที่ 31 พฤษภาคม พ.ศ. 2564 เนื่องจากการปฏิบัติตามหลักเกณฑ์ วิธีการ และเงื่อนไขตามกฎหมายนั้นมีรายละเอียดเป็นจำนวนมากและมีความซับซ้อน รวมถึงต้องใช้เทคโนโลยีขั้นสูงเพื่อใช้ในการคุ้มครองข้อมูลส่วนบุคคลให้เป็นไปอย่างมีประสิทธิภาพตามเจตนารมณ์ของกฎหมาย ทำให้ผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นหน่วยงานและกิจการต่าง ๆ ทั้งภาครัฐและเอกชนทั่วประเทศยังไม่พร้อมที่จะปฏิบัติตามพระราชบัญญัติดังกล่าว ทั้งนี้ เพื่อบรรเทาผลกระทบที่จะเกิดขึ้นจึงมีการขยายระยะเวลาในการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลออกไปอีกจนถึงวันที่ 31 พฤษภาคม พ.ศ. 2565[20]
(4) ประกาศกระทรวงดิจิทัลฯ มาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล พ.ศ. 2564 กำหนดให้หน่วยงานและกิจการ (22 หน่วยงาน/ กิจการที่กล่าวมาข้างต้น) ที่เป็นผู้ควบคุมข้อมูลส่วนบุคคลไม่ต้องตกอยู่ภายใต้บังคับแห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีหน้าที่ต้องจัดให้มีมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคลให้เป็นไปตามมาตรฐานที่กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมกำหนด[21]
2.2.2) พระราชบัญญัติข้อมูลข่าวสารของทางราชการ พ.ศ. 2540
วัตถุประสงค์ของกฎหมายฉบับนี้เพื่อให้ประชาชนมีโอกาสในการเข้าถึงข้อมูลข่าวสารเกี่ยวกับการดําเนินการต่าง ๆ ของรัฐ รวมถึงการแสดงความคิดเห็นและการใช้สิทธิทางการเมืองได้โดยถูกต้องกับความเป็นจริง เป็นการส่งเสริมให้มีความเป็นรัฐบาลโดยประชาชน กําหนดให้ประชาชนมีสิทธิได้รู้ข้อมูลข่าวสารของราชการ ทั้งนี้ หลักการที่สำคัญของกฎหมายฉบับนี้ คือ “เปิดเผยเป็นหลัก ปกปิดเป็นข้อยกเว้น” ในส่วนของข้อมูลข่าวสารของราชการ มีข้อยกเว้นที่ไม่ต้องเปิดเผยที่มาชัดแจ้งและจํากัดเฉพาะ ข้อมูลข่าวสารที่หากเปิดเผยแล้วจะเกิดความเสียหายต่อประเทศชาติ หรือต่อประโยชน์ที่สําคัญ ทั้งนี้ เพื่อการพัฒนาระบอบประชาธิปไตยให้มั่นคงและส่งผลให้ประชาชนมีโอกาสรู้ถึงสิทธิหน้าที่ของตน รักษาประโยชน์ของตน ประกอบกับการคุ้มครองสิทธิส่วนบุคคลในส่วนที่เกี่ยวข้องกับข้อมูลข่าวสารของราชการ[22]
หลักการสำคัญของการคุ้มครองข้อมูลส่วนบุคคลตามกฎหมายฉบับนี้ มี 3 ประการ ดังนี้
1) การกำหนดหน้าที่ในการจัดการฐานระบบข้อมูลส่วนบุคคลของหน่วยงานภาครัฐ เพื่อให้การคุ้มครองข้อมูลข่าวสารส่วนบุคคลเป็นไปอย่างมีประสิทธิภาพและปลอดภัย
2) การเปิดข่าวสารข้อมูลส่วนบุคคลต้องได้รับความยินยอมเป็นลายลักษณ์อักษรจากเจ้าของข้อมูลก่อน เว้นแต่มีกฎหมายบัญญัติเป็นอย่างอื่น
3) สิทธิของเจ้าของข้อมูลในการตรวจสอบข้อมูลข่าวสารส่วนบุคคลของตนเองที่อยู่ในความครอบครองของหน่วยงานของรัฐ และสิทธิในการขอแก้ไขข้อมูลให้ถูกต้องตามความเป็นจริง[23] รวมถึงสิทธิในการอุทธรณ์ต่อคณะกรรมการวินิจฉัยในการเปิดเผยข้อมูลข่าวสาร[24]
[1] หมายเหตุท้ายพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
[2] มาตรา 3 พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
[3] มาตรา 4 พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
[4] มาตรา 6 พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
[5] เรื่องเดียวกัน
[6] เรื่องเดียวกัน
[7] มาตรา 5 พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
[8] มาตรา 24 พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
[9] มาตรา 23 พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
[10] มาตรา 19 พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
[11] มาตรา 30 พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
[12] มาตรา 35-36 พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
[13] มาตรา 33 พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
[14] มาตรา 34 พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
[15] มาตรา 31 พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
[16] มาตรา 32 พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
[17] มาตรา 37 พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
[18] มาตรา 40 พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
[19] พระราชกฤษฎีกากำหนดหน่วยงานและกิจการที่ผู้ควบคุมข้อมูลส่วนบุคคลไม่อยู่ภายใต้บังคับแห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และ พ.ศ. 2563
[20] เรื่องเดียวกัน
[21] ประกาศกระทรวงดิจิทัลฯ มาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล พ.ศ. 2564. เล่มที่ 138 ตอนพิเศษ 111ง ลงวันที่ 24 พฤษภาคม 2564
[22] พระราชบัญญัติข้อมูลข่าวสารของทางราชการ พ.ศ. 2540
[23] สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (ICT Law Center), พระราชบัญญัติข้อมูลข่าวสารของทางราชการ พ.ศ. 2540 [ออนไลน์], 29 มกราคม 2565, https://ictlawcenter.etda.or.th/laws.