พ.ร.บ.ข้อมูลส่วนบุคคลฯ ใหม่ วางหลักสวยหรู แต่ไม่คุ้มครองประชาชนจากรัฐ/ทหาร

ข้อมูลของแต่ละคนย่อมเป็นสมบัติส่วนตัวของเจ้าของข้อมูลนั้นๆ ผู้อื่นจะมารับรู้หรือเอาข้อมูลไปใช้โดยพลการไม่ได้ และเพื่อให้สิทธิในข้อมูลของทุกคนได้รับการคุ้มครองอย่างเป็นระบบในทางปฏิบัติ จึงต้องมีกฎหมายที่กำหนดกลไกขึ้นมาทำหน้าที่คุ้มครอง โดยเฉพาะในยุคที่ติดต่อสื่อสารกันผ่านโลกดิจิทัลและผู้ใช้งานเทคโนโลยีต่างเปิดเผยข้อมูลส่วนตัวเพื่อแลกมาซึ่งความสะดวกสบาย ไม่ว่า จะเป็นข้อมูลเกี่ยวกับชื่อ ที่อยู่ หมายเลขโทรศัพท์ พฤติกรรมการติดต่อสื่อสาร การเลือกรับชมเนื้อหาแต่ละประเภท ฯลฯ ข้อมูลเหล่านี้เมื่อรวมกันมากๆ จะเป็นประโยชน์มาหาศาลต่อผู้ถือครองข้อมูล แต่ก็เป็นเรื่องละเอียดอ่อนที่อาจเปิดช่องให้เกิดการละเมิดความเป็นส่วนตัวได้อย่างง่ายดาย

27 พฤษภาคม 2562 ราชกิจจานุเบกษาเผยแพร่ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ พ.ร.บ.ข้อมูลส่วนบุคคลฯ ซึ่งผ่านการพิจารณาโดยสภานิติบัญญัติแห่งชาติ (สนช.) ในช่วงโค้งสุดท้ายที่ก่อนสภาแต่งตั้งแห่งนี้จะหมดอายุลง กฎหมายคุ้มครองข้อมูลส่วนบุคคลเป็นสิ่งที่ประชาชนเฝ้ารออย่างใจจดใจจ่อเพื่อจะได้ใช้ชีวิตในโลกออนไลน์ได้อย่างสบายใจมากขึ้น แต่ร่างฉบับที่ผ่านในยุคของรัฐบาลทหารกลับเขียนข้อยกเว้นไว้กว้างขวาง จนแทบจะไม่เหลือที่ใช้เพื่อคุ้มครองข้อมูลของประชาชนจริงๆ โดยเฉพาะการยกเว้นไม่คุ้มครองข้อมูลในกิจการของหน่วยงานรัฐ

พ.ร.บ.ข้อมูลส่วนบุคคลฯ มาตรา 19 วางหลักการทั่วไปของการคุ้มครองข้อมูลส่วนบุคคลชัดเจนว่า การเก็บรวมรวม การใช้ หรือการเปิดเผยข้อมูลส่วนบุคคลของผู้ใด จะทำได้ก็ต่อเมื่อเจ้าของข้อมูลได้ให้ความยินยอมไว้ โดยการขอความยินยอมต้องทำเป็นหนังสือ อาจจะทำผ่านระบบอิเล็กทรอนิกส์ก็ได้ ต้องมีแบบหรือมีข้อความที่เข้าใจได้ ใช้ภาษาอ่านง่าย ให้เจ้าของข้อมูลมีอิสระในการตัดสินใจว่าจะยินยอมให้เก็บข้อมูลหรือนำข้อมูลไปใช้ได้หรือไม่ โดยไม่เป็นเงื่อนไขในการให้บริการ

การขอความยินยอมต้องแจ้งวัตถุประสงค์ของการเก็บรวบรวม การใช้ หรือการเปิดเผยข้อมูลให้เจ้าของข้อมูลทราบด้วย และตามมาตรา 21 ก็กำหนดว่า ผู้ควบคุมข้อมูลจะต้องเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลเฉพาะตามวัตถุประสงค์ที่ได้แจ้งไว้ สำหรับเจ้าของข้อมูลที่ได้ให้ความยินยอมไปแล้วถ้าหากเปลี่ยนใจอยากจะถอนความยินยอมเมื่อใดก็ได้

หากเป็นข้อมูลส่วนบุคคลของเด็กอายุไม่เกินสิบปีต้องขอความยินยอมจากผู้ปกครองเสมอ ถ้าหากเป็นเด็กอายุไม่เกิน 20 ปี เด็กอาจให้ความยินยอมเองได้ในเรื่องเล็กๆ ที่สมควรแก่ฐานานุรูป ถ้าหากเป็นเรื่องใหญ่ก็จะต้องขอความยินยอมจากผู้ปกครอง 

แม้พ.ร.บ.ข้อมูลส่วนบุคคลฯ จะวางหลักการว่า เจ้าของข้อมูลต้องให้ "ความยินยอม" ทุกกรณีคนอื่นถึงเข้ามายุ่งเกี่ยวกับข้อมูลได้ แต่ขณะเดียวกันก็กำหนดข้อยกเว้นไว้มากมาย โดยเฉพาะกิจการสำคัญๆ ของรัฐซึ่งที่ผ่านมาเข้ามายุ่งเกี่ยวกับข้อมูลของประชาชนก็ได้รับการยกเว้นไว้แล้วให้สามารถเดินหน้าต่อไปได้โดยไม่ต้องขอความยินยอมจากประชาชนก่อน และกลายเป็นการเข้าถึงข้อมูลโดยไม่ต้องขอความยินยอมที่มีกฎหมายรองรับด้วย โดยการกำหนดข้อยกเว้นแบ่งได้เป็น 3 ระดับ ดังนี้

มาตรา 4 กำหนดประเภทกิจการที่พระราชบัญญัตินี้จะไม่ใช้บังคับไว้ 6 ประเภท ดังนี้

(1) การเก็บข้อมูล การใช้ข้อมูล และการเปิดเผยข้อมูล เพื่อประโยชน์ของตัวเองหรือกิจกรรมในครอบครัว

(2) การดำเนินงานของหน่วยงานของรัฐที่มีหน้าที่รักษาความมั่นคงของรัฐ ซึ่งรวมถึง ความมั่นคงทางการคลังของรัฐ หรือการรักษาความปลอดภัยของประชาชน รวมทั้งหน้าที่เกี่ยวกับ การป้องกันและปราบปรามการฟอกเงิน นิติวิทยาศาสตร์ หรือการรักษาความมั่นคงปลอดภัยไซเบอร์

(3) การเปิดเผยข้อมูลส่วนบุคคลเพื่อกิจการสื่อมวลชน ศิลปกรรม หรือวรรณกรรม ตามจริยธรรมของวิชาชีพเพื่อประโยชน์สาธารณะ

(4) การทำงานของสภาผู้แทนราษฎร วุฒิสภา และรัฐสภา ในการพิจารณาตามอำนาจหน้าที่ ซึ่งองค์กรของรัฐสภามีอำนาจหน้าที่พิจารณาให้ความเห็นชอบบุคคลเพื่อดำรงตำแหน่งสำคัญๆ ด้วย

(5) การพิจารณาคดีของศาล และเจ้าหน้าที่ในกระบวนการยุติธรรม

(6) การดำเนินการกับข้อมูลของบริษัทข้อมูลเครดิตและสมาชิก

จะเห็นว่า กิจการที่ไม่ต้องอยู่ภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคลนั้นมีหลากหลายมาก เรียกได้ว่า ข้อกังวลหลักๆ ของประชาชนเกี่ยวกับข้อมูลของตัวเองบนโลกออนไลน์ได้รับการยกเว้นไม่ต้องปฏิบัติตามกฎหมายนี้ไว้ทั้งหมดแล้ว ไม่ว่าจะเป็น งานสอดส่องประชาชนของหน่วยงานความมั่นคง หรือการเปิดเผยข้อมูลโดยสื่อมวลชน บุคคลที่เกี่ยวข้องสามารถเข้ามาเก็บข้อมูลของประชาชนและนำไปใช้ได้โดยไม่ต้องขอความยินยอมก่อน และเจ้าของข้อมูลอาจจะไม่ทราบเลยก็ได้ว่า ข้อมูลของตัวเองถูกนำไปใช้อย่างไรบ้าง 

ส่วนข้อมูลจากการใช้บริการบัตรเครดิตนั้น ถูกคุ้มครองด้วยหลักการที่แตกต่างไปตาม พ.ร.บ.การประกอบธุรกิจข้อมูลเครดิต พ.ศ.2545
 

แม้ว่า กิจการสำคัญๆ จะได้รับการยกเว้นตามมาตรา 4 ให้ไม่ต้องปฏิบัติตามกฎหมายนี้ไปแล้วชั้นหนึ่ง แต่กิจการที่เหลืออยู่โดยเฉพาะกิจการของภาครัฐก็แทบจะไม่ต้อง "ขอความยินยอม" เมื่อกระทำการใดๆ กับข้อมูล เพราะยังมีมาตรา 24 และ มาตรา 27 ยกเว้นไว้อีกว่า การเก็บข้อมูลและใช้ข้อมูลในกิจการต่อไปนี้ ไม่ต้องขอความยินยอมจากเจ้าของข้อมูลก็ได้ 

(1) เพื่อการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุ หรือที่เกี่ยวกับการศึกษาวิจัยหรือสถิติ ซึ่งได้จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิของเจ้าของข้อมูล

(2) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล

(3) เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญา หรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูล

(4) เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะ หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่ผู้ควบคุมข้อมูลส่วนบุคคล

(5) เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล เว้นแต่ประโยชน์ดังกล่าวมีความสำคัญ น้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล

(6) เป็นการปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล

สำหรับข้อยกเว้นข้อ (2) เพื่อป้องกันอันตรายต่อชีวิต ร่างกาย หรือสุขภาพ เป็นเรื่องที่จำเป็นในกรณีที่ต้องช่วยชีวิตบุคคลนั้นๆ ก็อาจจะต้องเข้าถึงข้อมูลที่เกี่ยวข้องทางสุขภาพ เช่น กรุ๊ปเลือด ประวัติการแพ้ยา ฯลฯ แต่มาตรา 24 ก็กลับเขียนเปิดช่องโดยใช้คำว่า "สุขภาพของบุคคล" ไม่ได้คุ้มครองเฉพาะ "สุขภาพของเจ้าของข้อมูล" ซึ่งเป็นเรื่องของตัวเอง ดังนั้นมาตรา 24 ก็เปิดช่องให้นำข้อมูลของคนหนึ่งๆ ไปใช้เพื่อประโยชน์ทางสุขภาพของคนอื่นได้ด้วย

สำหรับข้อยกเว้นข้อ (4) และ (6) เมื่อพิจารณาถ้อยคำที่ว่า "การดำเนินภารกิจเพื่อประโยชน์สาธารณะ" "ปฏิบัติหน้าที่ในการใช้อำนาจรัฐ" "การปฏิบัติตามกฎหมาย" ก็เห็นได้ว่า กินความอย่างกว้างขวาง เพราะกิจการของรัฐทุกประเภทก็เป็นกิจการเพื่อประโยชน์สาธารณะและเป็นการปฏิบัติหน้าที่ตามที่กฎหมายให้อำนาจไว้ทั้งหมด ส่วนการ "ปฏิบัติหน้าที่ในการใช้อำนาจรัฐ" นั้นยังรวมถึงกิจการที่ภาครัฐมอบอำนาจให้เอกชนเข้าร่วมดำเนินการบางประเภทด้วย เท่ากับว่า กิจการของรัฐและที่รัฐมอบหมายให้เอกชนทำแทนทั้งหมดก็ได้รับการยกเว้นไว้แล้วว่า การเก็บข้อมูลและการใช้ข้อมูลไม่ต้องขอความยินยอมจากเจ้าของข้อมูลก่อน 

อย่างไรก็ดี หากเจ้าของข้อมูลไม่ต้องการถูกเก็บข้อมูลหรือถูกใช้ข้อมูลโดยกิจการของภาครัฐก็อาจต้องต่อสู้ว่า การยุ่งเกี่ยวกับข้อมูลนั้นๆ "เป็นการจำเป็น" ตาม (4) หรือไม่ และกฎหมายที่ให้อำนาจในการปฏิบัติตาม (6) นั้น กำหนดขอบเขตการเก็บข้อมูลไว้ชัดเจนหรือกว้างขวางเพียงใด เมื่อเทียบกับหลักการทั่วไปในมาตรา 19 ของกฎหมายนี้แล้ว กฎหมายใดจะมีค่าสูงกว่ากัน

ข้อมูลส่วนบุคคลบางประเภทมีความอ่อนไหวเป็นพิเศษ เพราะการที่บุคคลอื่นเข้าถึงข้อมูลเหล่านี้อาจจะนำไปสู่อันตรายต่อเจ้าของข้อมูล หรือนำไปสู่การเลือกปฏิบัติ การกีดกันที่ไม่เป็นธรรมได้ เช่น ข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ ฯลฯ ซึ่งข้อมูลที่มีความอ่อนไหวก็จะต้องได้รับการคุ้มครองอีกระดับหนึ่ง

มาตรา 26 กำหนดความคุ้มครองไว้เพิ่มเติมเพียงว่า ผู้อื่นจะเก็บข้อมูลเหล่านี้ได้ต้องได้รับ "ความยินยอมโดยชัดแจ้ง" จากเจ้าของข้อมูล ซึ่งกฎหมายยังไม่ได้ให้นิยามเอาไว้ว่า ความยินยอมโดยชัดแจ้งต่างจากความยินยอมในกรณีปกติอย่างไร เพราะความยินยอมในกรณีปกติก็ต้องเป็นความยินยอมที่ทำเป็นหนังสืออยู่แล้ว

แต่มาตรา 26 และมาตรา 27 ก็ได้กำหนดข้อยกเว้นไว้อีกหลายประการว่า การเก็บข้อมูลและใช้ข้อมูลที่มีความอ่อนไหวในกิจการต่อไปนี้ ไม่ต้องขอความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูล

(1) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล ซึ่งเจ้าของข้อมูลไม่สามารถให้ความยินยอมได้

(2) การดำเนินกิจการขององค์กรไม่แสวงหาผลกำไร เช่น มูลนิธิ สมาคม ที่ทำงานด้านการเมือง ศาสนา ปรัชญา สหภาพแรงงาน ให้แก่สมาชิกหรือผู้ที่ติดต่ออย่างสม่ำเสมอ และองค์กรนั้นๆ ไม่ได้เปิดเผยข้อมูลออกไปภายนอก

(3) ข้อมูลที่เปิดเผยต่อสาธารณะด้วยความยินยอมโดยชัดแจ้งของเจ้าของข้อมูล

(4) เป็นการจำเป็นเพื่อก่อตั้งสิทธิเรียกร้อง หรือการดำเนินคดี การต่อสู้คดีตามกฎหมาย

(5) เป็นการจำเป็นในการปฏิบัติตามกฎหมาย เพื่อประเมินความสามารถของลูกจ้างในการทำงาน การวินิจฉัยโรคทางการแพทย์ การให้บริการสุขภาพ การรักษาทางการแพทย์ การป้องกันโรคติดต่อ การคุ้มครองแรงงาน สวัสดิการรักษาพยาบาล การวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ สถิติ ฯลฯ และเพื่อประโยชน์สาธารณะที่สำคัญ โดยจัดให้มีมาตรการคุ้มครองข้อมูลที่เหมาะสมด้วย 

สำหรับข้อมูลที่มีความอ่อนไหวควรได้รับความคุ้มครองเป็นพิเศษที่เข้มข้นขึ้นข้อมูลอื่นๆ แต่เมื่อมาตรา 24 (5) กำหนดยกเว้นสำหรับกิจการ "เพื่อประโยชน์สาธารณะที่สำคัญ" ให้สามารถเก็บข้อมูลและใช้ข้อมูลได้โดยไม่ต้องได้รับความยินยอมอย่างชัดแจ้ง ก็เท่ากับเปิดช่องให้กิจการของหน่วยงานรัฐทั้งหลายหยิบขึ้นมาอ้างได้ว่า งานของตัวเองนั้น "สำคัญ" จนข้อมูลที่มีความอ่อนไหวแทบไม่เหลือพื้นที่ที่จะถูกคุ้มครองจากการสอดส่องของภาครัฐได้ อาจคุ้มครองได้เพียงจากภาคธุรกิจบางประเภทเท่านั้น 

ส่วนมาตรการที่คุ้มครองข้อมูลอย่างไรจะถือว่า มีความเหมาะสมก็ยังขึ้นอยู่กับหลักเกณฑ์ในรายละเอียดที่จะประกาศออกมา และการตีความที่จะเกิดขึ้นต่อไปในอนาคต ดังนั้น หน่วยงานที่เกี่ยวข้องกับการตีความบังคับใช้กฎหมายนี้ก็จึงมีความสำคัญต่อความปลอดภัยของข้อมูลของประชาชนอย่างมาก

พ.ร.บ.ข้อมูลส่วนบุคคลฯ เป็นกฎหมายใหม่ที่เพิ่งมีขึ้นในประเทศไทยโดยที่ยังไม่มีกฎหมายลูกกำหนดทางปฏิบัติในรายละเอียด ไม่มีแนวการตีความหรือบังคับใช้กฎหมายมาก่อน บุคคลที่จะมาทำหน้าที่บังคับใช้กฎหมายนี้จึงมีความสำคัญมากที่จะเริ่มต้นวางบรรทัดฐานการใช้กฎหมายว่า จะใช้เพื่อให้การคุ้มครองข้อมูลส่วนบุคคลเกิดขึ้นได้จริง หรือ จะใช้เพื่อตีความข้อยกเว้นให้กว้างขวางจนเป็นประโยชน์ต่อฝ่ายรัฐหรือธุรกิจขนาดใหญ่

กฎหมายฉบับนี้ออกแบบระบบบริหารงานโดยฉีกกรอบคิดของระบบราชการเดิมๆ ที่มักเขียนกฎหมายกำหนดโควต้าที่นั่งให้หน่วยงานราชการต่างๆ ส่งคนเข้ามานั่งเป็นกรรมการ และให้ตำแหน่งประธานเป็นนายกรัฐมนตรีหรือรองนายกรัฐมนตรี โดยเปลี่ยนใหม่วางโครงสร้างให้ผู้มีอำนาจตัดสินใจส่วนใหญ่เป็น "คนนอก" ที่มาจากผู้เชี่ยวชาญในด้านต่างๆ โดยแบ่งโครงสร้างการบริหารเป็นสามระดับ ด้วยกรรมการสามชุด ดังนี้

คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เป็นคณะกรรมการชุดใหญ่ที่มีอำนาจสูงสุดในกฎหมายฉบับนี้ มีหน้าที่ออกประกาศหรือระเบียบ กำหนดมาตรการหรือแนวทางเพื่อคุ้มครองข้อมูลส่วนบุคคล กำหนดข้อปฏิบัติเพื่อให้ผู้ควบคุมข้อมูลส่วนบุคคลปฏิบัติได้ในแนวทางเดียวกัน จัดทำแผนแม่บทการดำเนินงาน ตีความและวินิจฉัยปัญหาที่เกิดขึ้นตามกฎหมายฉบับนี้

ตามมาตรา 8 คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ประกอบด้วยกรรมการรวม 16 คน ได้แก่ ประธานกรรมการ ซึ่งสรรหาจากผู้มีความรู้ความเชี่ยวชาญด้านการคุ้มครองข้อมูลส่วนบุคคล ปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เป็นรองประธาน กรรมการโดยตำแหน่งจากฝ่ายราชการ 5 คน ได้แก่ ปลัดสำนักนายกรัฐมนตรี เลขาธิการคณะกรรมการกฤษฎีกา เลขาธิการคณะกรรมการคุ้มครองผู้บริโภค อธิบดีกรมคุ้มครองสิทธิและเสรีภาพ และอัยการสูงสุด กรรมการผู้ทรงคุณวุฒิ 9 คน สรรหาจากผู้มีความรู้ ความเชี่ยวชาญ และประสบการณ์เป็นที่ประจักษ์ในด้านการคุ้มครองข้อมูลส่วนบุคคล ด้านการคุ้มครองผู้บริโภค ด้านเทคโนโลยีสารสนเทศและการสื่อสาร ด้านสังคมศาสตร์ ด้านกฎหมาย ด้านสุขภาพ ด้านการเงิน ฯลฯ

กระบวนการสรรหาประธานกรรมการและกรรมการผู้ทรงคุณวุฒิ ให้ทำโดยคณะกรรมการสรรหา 8 คน มาจากนายกรัฐมนตรีแต่งตั้ง 2 คน ประธานรัฐสภาแต่งตั้ง 2 คน ผู้ตรวจการแผ่นดินแต่งตั้ง 2 คน คณะกรรมการสิทธิมนุษยชนแห่งชาติแต่งตั้ง 2 คน เมื่อคณะกรรมการสรรหาได้คัดเลือกบุคคลที่มีคุณสมบัติแล้วให้เสนอต่อคณะรัฐมนตรีเป็นผู้แต่งตั้ง

คณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หรือ คณะกรรมการสำนักงานฯ มีหน้าที่กำหนดนโยบายการบริหารงาน ออกข้อบังคับว่าด้วยการจัดการองค์กร อนุมัติการใช้จ่ายเงิน วินิจฉัยอุทธรณ์คำสั่ง ซึ่งจัดตั้งขึ้นเพื่อกำกับการทำงานของสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ที่มีหน้าที่เป็นศูนย์กลางทางวิชาการเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ติดตามประเมินผลการปฏิบัติตามกฎหมายนี้

ตามมาตรา 48 คณะกรรมการสำนักงานฯ ประกอบด้วยกรรมการ 9 คน ได้แก่ ประธานกรรมการ ซึ่งสรรหาจากผู้มีความรู้ความเชี่ยวชาญด้านการคุ้มครองข้อมูลส่วนบุคคล มีกรรมการโดยตำแหน่งจากฝ่ายราชการ 2 คน ได้แก่ ปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม และเลขาธิการคณะกรรมการดิจิทัลเพื่อเศรษฐกิจและสังคมแห่งชาติ กรรมการผู้ทรงคุณวุฒิ 6 คน สรรหาจากผู้มีความรู้ความเชี่ยวชาญด้านการคุ้มครองข้อมูลส่วนบุคคล อย่างน้อย 3 คน และด้านอื่นที่เกี่ยวข้อง

กระบวนการสรรหาประธานกรรมการและกรรมการผู้ทรงคุณวุฒิให้ทำโดยคณะกรรมการสรรหา 8 คน มาจากการแต่งตั้งของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล 

ในกรณีที่เจ้าของข้อมูลส่วนบุคคลเห็นว่า ตัวเองถูกละเมิด หรือมีผู้ใดเก็บข้อมูลของตัวเองหรือเอาข้อมูลไปใช้โดยไม่ได้รับความยินยอม มีสิทธิยื่นเรื่องร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญ และคณะกรรมการผู้เชี่ยวชาญมีหน้าที่พิจารณาเรื่องร้องเรียนตามกฎหมายนี้ ตรวจสอบการกระทำใดๆ ที่ก่อให้เกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคล ไกล่เกลี่ยข้อพิพาท สั่งให้ผู้ควบคุมข้อมูลแก้ไขการกระทำหรือห้ามการกระทำที่อาจเป็นการละเมิดต่อข้อมูลส่วนบุคคล รวมทั้งมีอำนาจสั่งปรับได้ 

ในกระบวนการพิจารณาเรื่องร้องเรียนและแก้ไขเพื่อบังคับใช้หลักเกณฑ์ต่างๆ ตามกฎหมายนี้ คณะกรรมการผู้เชี่ยวชาญจะเป็นหน่วยงานที่มีบทบาทสูงมาก โดยคณะกรรมการผู้เชี่ยวชาญมีอำนาจสั่งให้ส่งเอกสาร หรือส่งข้อมูลให้ หรือสั่งให้บุคคลมาชี้แจงข้อเท็จจริงตามที่มีเรื่องร้องเรียน รวมทั้งสามารถขอหมายศาลเพื่อเข้าไปในสถานที่เพื่อตรวจสอบรวบรวมข้อเท็จจริง ยึดหรืออายัดเอกสารได้

ตามมาตรา 71 คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจะเป็นผู้แต่งตั้งคณะกรรมการผู้เชี่ยวชาญขึ้นอาจจะมีหลายคณะก็ได้ โดยกฎหมายไม่ได้กำหนดว่า คณะกรรมการผู้เชี่ยวชาญจะมีจำนวนกี่คน และมีที่มาจากไหนบ้าง แต่จะเป็นไปตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเป็นผู้กำหนดต่อไป

เนื่องจากพ.ร.บ.ข้อมูลส่วนบุคคลฯ เป็นกฎหมายใหม่ ที่ยังไม่มีหน่วยงานหรือคณะกรรมการที่จะมาทำหน้าที่บังคับใช้กฎหมายนี้ มาตรา 2 จึงกำหนดว่า เมื่อกฎหมายนี้ประกาศใช้ ให้เริ่มมีผลบังคับใช้เพียงแค่ หมวด 1 คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หมวด 4 สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และบทเฉพาะกาล ส่วนหลักการในหมวดอื่นๆ ที่เป็นการคุ้มครองข้อมูลส่วนบุคคลและเป็นโทษทั้งทางแพ่ง ทางปกครอง ทางอาญา สำหรับผู้ละเมิดข้อมูลส่วนบุคคลจะให้มีผลบังคับใช้เมื่อพ้นหนึ่งปีนับตั้งแต่วันประกาศในราชกิจจานุเบกษา หรือมีผลเริ่มคุ้มครองตั้งแต่วันที่ 28 พฤษภาคม 2563 เป็นต้นไป

ก่อนจะถึงวันที่กฎหมายเริ่มมีผลคุ้มครอง บทเฉพาะกาลก็กำหนดให้ดำเนินกระบวนการเพื่อสรรหาและแต่งตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายใน 90 วัน และให้จัดตั้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลให้แล้วเสร็จภายใน 1 ปี โดยมีรัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ซึ่งคือ พุทธิพงษ์ ปุณณกันต์ จากพรรคพลังประชารัฐ เป็นผู้รักษาการให้เป็นไปตามกฎหมายนี้ 

หลังจากได้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลแล้ว จึงจะแต่งตั้งคณะกรรมการสรรหาคณะกรรมการสำนักงานฯ และคณะกรรมการผู้เชี่ยวชาญต่อไป ส่วนการร่างและออกระเบียบ ประกาศ ที่เกี่ยวข้องในรายละเอียดให้ดำเนินการภายใน 1 ปี