โดยพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ละเมิดข้อมูลส่วนบุคคลมีหลักการที่สำคัญตามดังนี้
- การเก็บข้อมูล ใช้ข้อมูล เปิดเผยข้อมูล ต้องได้รับความยินยอมจากเจ้าของข้อมูลเสมอ
- การขอความยินยอม ต้องทำเป็นหนังสือหรือผ่านระบบออนไลน์ตามแบบที่กำหนดไว้ กล่าวคือ ต้องทำโดยชัดแจ้ง เป็นหนังสือหรือทำโดยผ่านระบบอิเล็กทรอนิกส์ เว้นแต่ โดยสภาพไม่อาจขอความยินยอมด้วยวิธีการดังกล่าวได้”
- การเก็บข้อมูล ต้องแจ้งรายละเอียดและแจ้งสิทธิต่อเจ้าของข้อมูล แม้จะได้รับความยินยอมให้เก็บข้อมูลแล้วก็ตาม แต่ในการเก็บข้อมูลส่วนบุคคลจะต้องแจ้งให้เจ้าของข้อมูลทราบถึงรายละเอียดที่เกี่ยวข้อง
- ต้องเก็บข้อมูลจากเจ้าของข้อมูลเท่านั้น ห้ามเก็บจากแหล่งอื่น เว้นแต่รีบแจ้งแม้จะได้รับความยินยอมจากเจ้าของข้อมูลแล้วก็ตาม การเก็บข้อมูลต้องเก็บจากเจ้าของข้อมูลเท่านั้น
- ธุรกิจใหญ่ ต้องมี “เจ้าหน้าที่คุ้มครองข้อมูล” ของตัวเอง
- การเก็บและใช้ข้อมูล ถูกตรวจสอบโดยคณะกรรมการผู้เชี่ยวชาญ ตามมาตรา 71 คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจะแต่งตั้งคณะกรรมการผู้เชี่ยวชาญขึ้นมาเพื่อพิจารณาเรื่องร้องเรียนและตรวจสอบการกระทำของผู้ประกอบการ
- ข้อมูลคนตาย กฎหมายไม่คุ้มครอง ข้อมูลที่เกี่ยวข้องกับผู้ที่เสียชีวิตแล้ว ไม่อยู่ภายใต้การคุ้มครองของกฎหมายนี้ จึงไม่ต้องขอความยินยมจากทายาทก่อน
- บริษัทต่างชาติก็ไม่รอด! คุ้มครองข้อมูลของคนในประเทศ ไม่ว่าบริษัทตั้งอยู่ที่ใด
- ฝ่าฝืนกฎหมายนี้ อาจโดน “ค่าเสียหายเชิงลงโทษ” จ่ายสองเท่า
กฎหมายข้อมูลส่วนบุคคลฉบับนี้ หลักสำคัญ คือ จะต้องได้รับความยินยอมจากเจ้าของข้อมูลจึงจะจัดเก็บข้อมูลได้