ข่าวรอบวัน

PDPA พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลคืออะไร ? รวมเรื่องต้องรู้ โทษสูงสุด

ภาพจาก Pixabay

ทำความรู้จัก PDPA พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีประโยชน์อย่างไร หากฝ่าฝืนมีโทษปรับเท่าไร ก่อนกฎหมายมีผลบังคับใช้ 1 มิ.ย. นี้ 

วันที่ 27 พฤษภาคม 2565 ผู้สื่อข่าวรายงานว่า พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Thailand’s Personal Data Protection Act B.E. 2562 (2019) : PDPA) ที่ให้ความคุ้มครองเกี่ยวกับข้อมูลส่วนบุคคลและเพื่อช่วยส่งเสริมเศรษฐกิจระหว่างประเทศให้เป็นที่ยอมรับในสากล จะมีผลบังคับใช้เต็มรูปแบบในวันที่ 1 มิถุนายน 2565 นี้ หลังจากเลื่อนมากว่า 2 ปี

“ประชาชาติธุรกิจ” รวบรวมเรื่องควรรู้เกี่ยวกับ PDPA เพื่อเป็นประโยชน์สำหรับผู้ที่เป็นเจ้าของข้อมูลทุกคน และองค์กรต่าง ๆ ที่ต้องเตรียมความพร้อม

PDPA คืออะไร ?

PDPA เป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคล ที่ให้ความคุ้มครองเกี่ยวกับข้อมูลส่วนบุคคลและเพื่อช่วยส่งเสริมเศรษฐกิจระหว่างประเทศให้เป็นที่ยอมรับในสากล ว่าประเทศไทยเองมีการคุ้มครองข้อมูลส่วนบุคคลอย่างดี และเพื่อช่วยให้หน่วยงานต่าง ๆ ทั้งภาครัฐและเอกชน ไม่ว่าจะเป็นบริษัทต่าง ๆ หรือเว็บไซต์ก็ตาม จำเป็นที่จะต้องมีการเก็บข้อมูลส่วนบุคคล และการนำข้อมูลส่วนบุคคลที่เก็บเอาไว้ไปใช้งานจะต้องได้รับความยินยอมจากเจ้าของข้อมูลเสียก่อน

ประโยชน์ที่ได้รับจาก PDPA

ประชาชน

  • รับทราบวัตถุประสงค์ของการจัดเก็บ ใช้ หรือเผยแพร่ข้อมูลส่วนบุคคลอย่างชัดเจน
  • ขอให้ลบ ทำลาย หรือขอให้ระงับการใช้ข้อมูลส่วนบุคคลได้
  • สามารถร้องเรียนและขอให้ชดใช้ค่าสินไหมทดแทน หากมีการใช้ข้อมูลฯ นอกเหนือจากวัตถุประสงค์ที่แจ้งไว้แต่แรก
  • ลดความเดือดร้อนรำคาญ หรือความเสียหายอันเกิดจากการละเมิดข้อมูลส่วนบุคคล

หน่วยงานรัฐและเอกชน 

  • ยกระดับความเชื่อมั่นในมาตรฐานการจัดเก็บ ใช้ หรือเผยแพร่ข้อมูลส่วนบุคคลในระดับนานาชาติ
  • มีขอบเขตในการจัดเก็บ ใช้ หรือเผยแพร่ข้อมูลส่วนบุคคลที่ชัดเจน
  • การดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลมีความโปร่งใส รับผิดชอบต่อสังคม ตรวจสอบได้

ประเทศ 

  • มีมาตรการในการกำกับดูแลการคุ้มครองข้อมูลส่วนบุคคล ส่งเสริมภาพลักษณ์ที่ดีของประเทศ
  • มีเครื่องมือในการกำกับการดำเนินงานด้านการคุ้มครองข้อมูลส่วนบุคคล
  • สามารถสร้างสังคมที่เข้มแข็ง เนื่องจากสามารถตรวจสอบการดำเนินงานภาครัฐและภาคธุรกิจเกี่ยวกับการคุ้มครองข้อมุลส่วนบุคคลให้มีความถูกต้องเหมาะสม

ขอบเขตการบังคับใช้

  • ใช้บังคับแก่การเก็บรวบรวม การใช้ หรือการเปิดเผยข้อมูลส่วนบุคคลโดยผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งอยู่ในราชอาณาจักร
  • มีผลบังคับใช้ถึงกรณีผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลที่อยู่นอกราชอาณาจักร หากมีกิจกรรมดังนี้

(1) เสนอขายสินค้าหรือบริการแก่เจ้าของข้อมูลซึ่งอยู่ในราชอาณาจักรไม่ว่าจะมีการชำระเงินหรือไม่

(2) การเฝ้าติดตามพฤติกรรมของเจ้าของข้อมูลที่เกิดขึ้นในราชอาณาจักร

พระราชบัญญัตินี้ไม่ใช้บังคับกับ

  1. การเก็บรวบรวม ใช้ หรือเปิดเผย เพื่อประโยชน์ส่วนตน หรือเพื่อกิจกรรมในครอบครัวของบุคคลนั้น
  2. การดำเนินการของหน่วยงานรัฐที่มีหน้าที่ในการรักษาความมั่นคงของรัฐ ความมั่นคงทางการคลังของรัฐ การรักษาความปลอดภัยของประชาชน การป้องกันและปราบปรามการฟอกเงิน นิติวิทยาศาสตร์ การรักาาความมั่นคงปลอดภัยทางไซเบอร์
  3. การเก็บรวบรวมเพื่อกิจการสื่อสารมวลชน งานศิลปกรรม หรืองานวรรณกรรมอันเป็นไปตามจริยธรรมแห่งการประกอบวิชาชีพหรือเป็นประโยชน์สาธารณะเท่านั้น
  4. สภาผู้แทนราษฎร วุฒิสภา รัฐสภา คณะกรรมาธิการ ตามอำนาจและหน้าที่ของสภาผู้แทนราษฎร วุฒิสภา รัฐสภา และคณะกรรมาธิการ
  5. การพิจารณาพิพากษาคดีของศาล การดำเนินการงานของเจ้าหน้าที่ในกระบวนการพิจารณาคดี การบังคับคดี การวางทรัพย์ การดำเนินงานตามกระบวนการยุติธรรมทางอาญา
  6. การดำเนินการกับข้อมูลของบริษัทข้อมูลเครดิตและสมาชิกตามกฎหมายว่าด้วยการประกอบธุรกิจข้อมูลเครดิต

คำนิยาม

ข้อมูลส่วนบุคคล (Personal Data) 

ตามมาตรา 6 ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวตนบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ และไม่รวมข้อมูลของนิติบุคคล เช่น ชื่อ นามสกุล ที่อยู่ เบอร์โทรศัพท์ อีเมล์ ฯลฯ

ข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Personal Data)

ตามมาตรา 26 ข้อมูลที่ต้องระมัดระวังเป็นพิเศษในการเก็บรวบรวม หรือประมวลผล เช่น เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ ทั้งนี้ กฎหมายให้การคุ้มครองข้อมูลที่อ่อนไหวเข้มงวดกว่าข้อมูลส่วนบุคคธรรมดา

ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)

ตามมาตรา 6 บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เช่น ธนาคารแห่งประเทศไทย บริษัท บัตรกดเงินสด จำกัด, บริษัท รับแลกเงินตรา จำกัด (มหาชน), ห้างหุ้นส่วนจำกัด, ตู้เติมเงิน, เจ้าของเพจร้านขายทุกอย่าง

ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)

ตามมาตรา 6 บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล (และไม่ใช่เจ้าหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล) เช่น ห้างหุ้นส่วนจำกัดรับทำนามบัตร, freelance รับดูแลเพจร้านค้า, บริษัท รับจัดการออร์เดอร์สินค้า จำกัด, บริษัท รับทำบัญชี จำกัด

ใครเป็นใครใน PDPA

1.เจ้าของข้อมูลส่วนบุคคล (Data Subject)

ประชาชนทุกคน หากเป็นหน่วยงานทั่วไปหมายถึง ลูกค้า พนักงาน รวมถึง Outsource ด้วย กล่าวอีกนัยคือเป็นบุคคลที่ข้อมูลชี้ไปถึง แต่ไม่รวมถึงคนตายและนิติบุคคล ทั้งนี้ เจ้าของข้อมูลส่วนบุคคลไม่ใช่เจ้าของกรรมสิทธิ์ในข้อมูลนั้น

2.ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) 

หน่วยงาน/องค์กร/สถาบัน ที่กำหนดวัตถุประสงค์ วิธีการประมวลผล และใช้ประโยชน์จากข้อมูลส่วนบุคคล บุคคลธรรมดาก็อาจเป็นผู้ควบคุมข้อมูลได้เช่นเดียวกัน

3.ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) 

ผู้ที่ทำตามคำสั่งของผู้ควบคุมข้อมูลส่วนบุคคล โดยหลักคือ Outsource ที่รับจ้าง ไม่ใช่พนักงานหรือส่วนหนึ่งของหน่วยงาน/องค์กร/สถาบัน

4.เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) 

คนที่ได้รับมอบหมายเพื่อทำหน้าที่ให้คำแนะนำ หรือตรวจสอบการคุ้มครองข้อมูลส่วนบุคคลของหน่วยงาน/องค์กร/สถาบัน ให้เป็นไปตามกฎหมาย

หลักการ เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลทั่วไป

ตามมาตรา 24 และ 27 ห้ามมิให้ผู้ควบคุมข้อมูลส่วนบุคคลเก็บรวบรวมข้อมูลส่วนบุคคล โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่

  1. เพื่อจัดทำเอกสารประวัติศาสตร์ จดหมายเหตุ วิจัย สถิติ (Scientific or research)
  2. เพื่อป้องกันหรือระงับอันตรายต่อชีวิต (Vital Interest)
  3. มีความจำเป็นเพื่อปฏิบัติตามสัญญาระหว่างผู้ควบคุมข้อมูลกับเจ้าของข้อมูล (Necessary for the performance of contracts)
  4. มีความจำเป็นเพื่อดำเนินการเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูล (Public Task)
  5. มีความจำเป็นในการดำเนินการเพื่อผลประโยชน์อันชอบด้วยกฎหมายของผุ้ควบคุมข้อมูล แต่ต้องไม่ก่อให้เกิดการละเมิดสิทธิและเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูล (Legitimate Interest)
  6. เป็นการปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูล (Legal Obligation)

ทั้งนี้ พนักงานไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคล ตามนิยามในกฎหมาย แต่พนักงานต้องปฏิบัติตามข้อกำหนดและหลักเกณฑ์การคุ้มครองข้อมูลส่วนบุคคลตามที่องค์กรกำหนด

หลักการเก็บรวบรวมข้อมูลส่วนบุคคลตาม PDPA (Lawful Basis for Processing)

  1. ความยินยอม (Consent)
  2. ป้องกันหรือระงับอันตรายต่อชีวิต ร่างกายหรือสุขภาพ (Vital Interest)
  3. ปฏิบัติตามสัญญา (Contract)
  4. ประโยชน์สาธารณะ (Public Task)
  5. จำเป็น/ชอบด้วยกฎหมาย (Legitimate Interest)
  6. ปฏิบัติตามกฎหมาย (Legal Obligations)
  7. เอกสารประวัติศาสตร์/วิจัย/สถิติ (Research) เป็นกรณีเฉพาะ รอคณะกรรมการประกาศกำหนด

การขอความยินยอมกรณีผู้เยาว์

หลักการ ขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล กลุ่มพิเศษ มาตรา 20

ผู้เยาว์ 

  • ผู้เยาว์อายุน้อยกว่า 10 ปี ให้ขอความยินยอมจากผู้ใช้อำนาจปกครอง
  • ผู้เยาว์อายุ 10-20 ปี หากเป็นการให้ความยินยอมโดยลำพังได้ตามประมวลกฎหมายแพ่ง สามารถให้ความยินยอมได้เอง ไม่ต้องขอจากผู้ใช้อำนาจปกครอง

คนไร้ความสามารถ 

  • ให้ขอความยินยอมจากผู้อนุบาลที่มีอำนาจกระจำการแทนคนไร้ความสามารถ

คนเสมือนไร้ความสามารถ 

  • ให้ขอความยินยอมจากผู้พิทักษ์ที่มีอำนาจกระทำการแทนคนเสมือนไร้ความสามารถ

หลักการ เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่อ่อนไหว มาตรา 26 และ 27

ห้ามมิให้เก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูล ส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการประกาศกำหนด โดยไม่ได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่

  1. ป้องกันหรือระงับอันตรายต่อชีวิต
  2. ชอบด้วยกฎหมายของมูลนิธิ สมาคม องค์กร
  3. เป็นข้อมูลที่เปิดเผยต่อสาธารณะด้วยความยินยอมโดยชัดแจ้ง
  4. การก่อตั้งสิทธิเรียกร้องตามกฎหมาย
  5. จำเป็นในการปฏิบัติตามกฎหมาย

หลักการ เก็บข้อมูลส่วนบุคคลจากแหล่งอื่น มาตรา 25

ห้ามเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่จากเจ้าของข้อมูลส่วนบุคคลโดยตรง

ข้อยกเว้น

(1) แจ้งเจ้าของข้อมูลส่วนบุคคลทราบโดยไม่ชักช้า แต่ต้องไม่เกิน 30 วันนับแต่วันที่เก็บรวบรวม และได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล

(2) เป็นการเก็บรวบรวมข้อมูลส่วนบุคคลที่ได้รับการยกเว้นไม่ต้องขอความยินยอม

สิทธิของเจ้าของข้อมูลส่วนบุคคล

สิทธิขอเข้าถึงและขอรับสำเนา มาตรา 30

เจ้าของข้อมูลมีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลที่เกี่ยวกับตนหรือขอให้เปิดเผยถึงการได้มาของข้อมูลที่ไม่ได้ให้ความยินยอม ผู้ควบคุมข้อมูลส่วนบุคคลจะปฏิเสธได้ก็เฉพาะเมื่อเป็นการปฏิเสธตามคำสั่งศาลหรือตามกฎหมาย หรือเป็นการขอเข้าถึงที่อาจก่อให้เกิดความเสียหายต่อสิทธิและเสรีภาพผู้อื่น

สิทธิขอให้โอนข้อมูล มาตรา 31

จะใช้สิทธินี้ได้ต้องเป็นข้อมูลที่เก็บรวบรวมจากการให้ความยินยอมหรือฐานสัญญาตามมาตรา 24 (3) เท่านั้น

สิทธิคัดค้าน มาตรา 32

จะใช้สิทธินี้ได้ต้องเป็นข้อมูลที่เก็บรวบรวมจากฐานภารกิจของรัฐตามมาตรา 24 (4) และฐานการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายตามมาตรา 24 (5) หรือเก็บรวบรวมเพื่อการตลาดแบบตรง หรือเพื่อการศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติเท่านั้น

สิทธิขอให้ลบหรือทำลาย มาตรา 33 

ไม่สามารถใช้สิทธินี้ได้หากเก็บข้อมูลไว้เพื่อการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุ หรือเป็นการศึกษาวิจัยหรือสถิติตามมาตรา 24 (1) หรือเพื่อการดำเนินภารกิจของรัฐตามมาตรา 24 (4) หรือเป็นข้อมูลอ่อนไหว เพื่อประโยชน์ทางการแพทย์หรือการสาธารณสุขตามมาตรา 26 (5) (ก) หรือ (ข)

สิทธิขอให้แก้ไขข้อมูลให้ถูกต้อง มาตรา 25,36 

มีสิทธิขอให้ผู้ควบคุมแก้ไขข้อมูลให้ถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด

สิทธิขอให้ระงับการใช้ มาตรา 34

มีสิทธิขอให้ระงับการใช้ได้ชั่วคราว เมื่ออยู่ระหว่างตรวจสอบเพื่อแก้ไขข้อมูลให้ถูกต้อง หรือระหว่างตรวจสอบเกี่ยวกับสิทธิการคัดค้าน

บทลงโทษ

ความผิดรับผิดทางแพ่ง 

ค่าสินไหมทดแทนจากความเสียหายที่ได้รับจริง และศาลสั่งลงโทษเพิ่มขึ้นได้แต่ไม่เกินสองเท่าของสินไหมทดแทนที่แท้จริง

โทษทางปกครอง 

ไม่ขอความยินยอมให้ถูกต้อง ไม่แจ้งรายละเอียดให้เจ้าของข้อมูลทราบ ไม่ให้เจ้าของข้อมูลเข้าถึงข้อมูลตามสิทธิ ไม่จัดทำบันทึกรายการ ไม่จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ไม่จัดให้มีการสนับสนุนการปฏิบัติหน้าที่ของ DPO โทษปรับไม่เกิน 1,000,000 บาท

เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากฐานทางกฎหมาย ไม่ได้แจ้งวัตถุประสงค์การใช้งานใหม่ เก็บข้อมูลเกินความจำเป็น ขอความยินยอมที่เป็นการหลอกลวงให้เข้าใจผิด ไม่ขัดให้มีมาตรการรักษาความปลอดภัยที่เหมาะสม ไม่แจ้งเหตุเมื่อมีการละเมิดข้อมูล โอนข้อมูลไปต่างประเทศโดยไม่ชอบด้วยกฎหมาย ไม่ตั้งตัวแทนในราชอาณาจักร โทษปรับไม่เกิน 3,000,000 บาท

เก็บรวบรวม ใช้ เปิดเผยหรือโอนข้อมูลส่วนบุคคลอ่อนไหวโดยไม่ชอบด้วยกฎหมาย โทษปรับไม่เกิน 5,000,000 บาท

โทษอาญา 

ผู้ควบคุมข้อมูลส่วนบุคคล ใช้หรือเปิดเผยข้อมูลส่วนบุคคลอ่อนไหว โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล หรือผิดจากวัตถุประสงค์ที่ได้แจ้งไว้ หรือ โอนข้อมูลส่วนบุคคลอ่อนไหวไปยังต่างประเทศโดยไม่ชอบด้วยกฎหมาย

ทำให้ผู้อื่นเกิดความเสียหาย เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชั หรือได้รับความอับอาย จำคุกไม่เกิน 6 เดือน หรือไม่เกิน 500,000 บาท เพื่อแสวงหาประโยชน์ที่มิควรได้โดยชอบด้วยกฎหมายสำหรับตนเองหรือผู้อื่น จำคุกไม่เกิน 1 ปี หรือปรับไม่เกิน 1,000,000 บาท

ผู้ใดล่วงรู้ข้อมูลส่วนบุคคลของผู้อื่นเนื่องจากการปฏิบัติหน้าที่ ตาม พ.ร.บ.นี้ ห้ามนำไปเปิดเผยแก่ผู้อื่น เว้นแต่เปิดเผยตามหน้าที่หรือเพื่อประโยชน์แก่การสอบสวนหรือพิจารณาคดี หรือได้รับความยินยอมเป็นหนังสือเฉพาะครั้งจากเจ้าของข้อมูลส่วนบุคคล หรือเปิดเผยให้หน่วยงานที่มีอำนาจหน้าที่ตามกฎหมาย หรือข้อมูลคดีต่าง ๆ ที่เปิดเผยต่อสาธารณะ จำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 500,000 บาท

ผู้กระทำความผิดที่เป็นนิติบุคคล หากกรรมการหรือผู้จัดการ หรือบุคคลใดซึ่งรับผิดชอบในการดำเนินงานของนิติบุคคลนั้น สั่งการหรือกระทำหรือละเว้นไม่สั่งการหรือไม่กระทำการจนเป็นเหตุให้นิติบุคคลนั้นกระทำความผิด ต้องรับโทษในส่วนที่กำหนดโทษอาญาไว้ด้วย

ข้อมูลส่วนบุคคลที่เก็บรวบรวมไว้ก่อนวันที่ พ.ร.บ.นี้บังคับใช้

  1. ผู้ควบคุมข้อมูลส่วนบุคคลสามารถเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลนั้นต่อไปได้ตามวัตถุประสงค์เดิม
  2. ต้องกำหนดวิธีการยกเลิกความยินยอมและเผยแพร่ประชาสัมพันธ์ให้เจ้าของข้อมูลส่วนบุคคลที่ไม่ประสงค์ให้ผู้ควบคุมข้อมูลส่วนบุคคลเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลดังกล่าวสามารถแจ้งยกเลิกความยินยอมได้โดยง่าย
  3. การเปิดเผยและการดำเนินการอื่นที่มิใช่การเก็บรวบรวมและการใช้ข้อมูลส่วนบุคคลให้เป็นไปตามพระราชบัญญัตินี้