- อารัมภบท
- มาตรา ๑
- มาตรา ๒
- มาตรา ๓
- มาตรา ๔
- มาตรา ๕
- มาตรา ๖
- มาตรา ๗
- มาตรา ๘
- มาตรา ๙
- มาตรา ๑๐
- มาตรา ๑๑
- มาตรา ๑๒
- มาตรา ๑๓
- มาตรา ๑๔
- มาตรา ๑๕
- มาตรา ๑๖
- มาตรา ๑๗
- มาตรา ๑๘
- มาตรา ๑๙
- มาตรา ๒๐
- มาตรา ๒๑
- มาตรา ๒๒
- มาตรา ๒๓
- มาตรา ๒๔
- มาตรา ๒๕
- มาตรา ๒๖
- มาตรา ๒๗
- มาตรา ๒๘
- มาตรา ๒๙
- มาตรา ๓๐
- มาตรา ๓๑
- มาตรา ๓๒
- มาตรา ๓๓
- มาตรา ๓๔
- มาตรา ๓๕
- มาตรา ๓๖
- มาตรา ๓๗
- มาตรา ๓๘
- มาตรา ๓๙
- มาตรา ๔๐
- มาตรา ๔๑
- มาตรา ๔๒
- มาตรา ๔๓
- มาตรา ๔๔
- มาตรา ๔๕
- มาตรา ๔๖
- มาตรา ๔๗
- มาตรา ๔๘
- มาตรา ๔๙
- มาตรา ๕๐
- มาตรา ๕๑
- มาตรา ๕๒
- มาตรา ๕๓
- มาตรา ๕๔
- มาตรา ๕๕
- มาตรา ๕๖
- มาตรา ๕๗
- มาตรา ๕๘
- มาตรา ๕๙
- มาตรา ๖๐
- มาตรา ๖๑
- มาตรา ๖๒
- มาตรา ๖๓
- มาตรา ๖๔
- มาตรา ๖๕
- มาตรา ๖๖
- มาตรา ๖๗
- มาตรา ๖๘
- มาตรา ๖๙
- มาตรา ๗๐
- มาตรา ๗๑
- มาตรา ๗๒
- มาตรา ๗๓
- มาตรา ๗๔
- มาตรา ๗๕
- มาตรา ๗๖
- มาตรา ๗๗
- มาตรา ๗๘
- มาตรา ๗๙
- มาตรา ๘๐
- มาตรา ๘๑
- มาตรา ๘๒
- มาตรา ๘๓
- มาตรา ๘๔
- มาตรา ๘๕
- มาตรา ๘๖
- มาตรา ๘๗
- มาตรา ๘๘
- มาตรา ๘๙
- มาตรา ๙๐
- มาตรา ๙๑
- มาตรา ๙๒
- มาตรา ๙๓
- มาตรา ๙๔
- มาตรา ๙๕
- มาตรา ๙๖
มาตรา ๓๗
ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ ดังต่อไปนี้
- (๑) จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ และต้องทบทวน มาตรการดังกล่าวเมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มีประสิทธิภาพในการรักษา ความมั่นคงปลอดภัยที่เหมาะสม ทั้งนี้ ให้เป็นไปตามมาตรฐานขั้นต่ำที่คณะกรรมการประกาศกำหนด
- (๒) ในกรณีที่ต้องให้ข้อมูลส่วนบุคคลแก่บุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล ต้องดำเนินการเพื่อป้องกันมิให้ผู้นั้นใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ
- (๓) จัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนด ระยะเวลาการเก็บรักษา หรือที่ไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวม ข้อมูลส่วนบุคคลนั้น หรือตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอ หรือที่เจ้าของข้อมูลส่วนบุคคล ได้ถอนความยินยอม เว้นแต่เก็บรักษาไว้เพื่อวัตถุประสงค์ในการใช้เสรีภาพในการแสดงความคิดเห็น การเก็บรักษาไว้เพื่อวัตถุประสงค์ตามมาตรา ๒๔ (๑) หรือ (๔) หรือมาตรา ๒๖ (๕) (ก) หรือ (ข) การใช้เพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย หรือเพื่อการปฏิบัติตามกฎหมาย ทั้งนี้ ให้นำความใน มาตรา ๓๓ วรรคห้า มาใช้บังคับกับการลบหรือทำลายข้อมูลส่วนบุคคลโดยอนุโลม
- (๔) แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สำนักงานโดยไม่ชักช้าภายในเจ็ดสิบสองชั่วโมง นับแต่ทราบเหตุเท่าที่จะสามารถกระทำได้ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อ สิทธิและเสรีภาพของบุคคล ในกรณีที่การละเมิดมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพ ของบุคคล ให้แจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อมกับแนวทางการเยียวยา โดยไม่ชักช้าด้วย ทั้งนี้ การแจ้งดังกล่าวและข้อยกเว้นให้เป็นไปตามหลักเกณฑ์และวิธีการที่คณะกรรมการ ประกาศกำหนด
- (๕) ในกรณีที่เป็นผู้ควบคุมข้อมูลส่วนบุคคลตามมาตรา ๕ วรรคสอง ต้องแต่งตั้งตัวแทนของ ผู้ควบคุมข้อมูลส่วนบุคคลเป็นหนังสือซึ่งตัวแทนต้องอยู่ในราชอาณาจักรและตัวแทนต้องได้รับมอบอำนาจ ให้กระทำการแทนผู้ควบคุมข้อมูลส่วนบุคคลโดยไม่มีข้อจำกัดความรับผิดใด ๆ ที่เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ของผู้ควบคุมข้อมูลส่วนบุคคล
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ มาตรา ๓๗
Citation Copied
