19 ประเด็นสำคัญที่เปลี่ยนแปลงในร่าง พ.ร.บ.คุ้มครอง Privacy (ฉบับความมั่นคงดิจิทัล)

ร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล เป็นหนึ่งใน "ชุดกฎหมายความมั่นคงดิจิทัล 10+3 ฉบับ" ที่คณะรัฐมนตรีอนุมติหลักการไปแล้ว เพื่อรองรับ “การพัฒนาเศรษฐกิจดิจิทัล”
แต่ เมื่อวันที่ 7 ตุลาคม 2557 ร่าง ก็มีร่างพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ที่เสนอโดยสำนักงานคณะกรรมการข้อมูลข่าวสารของราชการ (สขร.) ถูกบรรจุเข้าไปในวาระของสภานิติบัญญัติแห่งชาติ (สนช.) ไปแล้วหนึ่งฉบับ ซึ่งเป็นกฎหมายที่เสนอโดยสำนักนายกรัฐมนตรี ค้างพิจารณามาจากสภาชุดที่แล้ว เท่ากับว่า สนช.อาจจะมีร่างกฎหมายสองฉบับแต่ชื่อเดียวกันที่ต้องพิจารณา
ร่างกฎหมายทั้งสองฉบับมุ่งหมายที่จะ "พัฒนาเศรษฐกิจดิจิทัล" และ "ป้องกันการเก็บรวบรวม การใช้ และการเปิดเผยข้อมูลส่วนบุคคล" เพื่อไม่ให้เกิดความเดือดร้อนเสียหาย จากการนำข้อมูลส่วนบุคคลไปใช้เพื่อแสวงหาประโยชน์โดยไม่ได้รับการยินยอมจากเจ้าของข้อมูลที่แท้จริง รวมไปถึง "พัฒนามาตรฐานการคุ้มครองข้อมูลส่วนบุคคลให้เป็นมาตรฐานสากล"
เมื่อเปรียบดูทั้งร่างกฎหมายใหม่และร่างกฎใหม่เดิม จะเห็นหลักการที่เปลี่่ยนแปลงไปในร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฉบับใหม่ ดังนี้
                                                                                          
ประเด็นที่หนึ่ง : แก้ไขความหมายของคำว่า “ข้อมูลส่วนบุคคล” ใหม่ให้สั้นแต่ตีความได้กว้าง
แก้ไขนิยามศัพท์ ของคำว่า “ข้อมูลส่วนบุคคล” จาก ข้อมูลส่วนบุคคลที่เกี่ยวกับสิ่งเฉพาะตัวของบุคคล เช่น การศึกษา ฐานะการเงิน ประวัติสุขภาพ ประวัติอาชญากรรม ประวัติการทำงาน หรือประวัติกิจกรรม และเลขหมาย รหัส หรือสิ่งที่บอกลักษณะอื่นที่จะทำให้รู้ตัวบุคคลนั้นได้ เช่น ลายนิ้วมือแผ่นบันทึกลักษณะเสียงของคน รูปถ่าย เหลือเพียง “ข้อมูลเกี่ยวกับบุคคล ซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม”
                                                                                          
ประเด็นที่สอง : ลดนิยาม “เจ้าของข้อมูลส่วนบุคคล” ไม่ให้สิทธิทายาทและคู่สมรสเมื่อเจ้าของข้อมูลถึงแก่กรรม
แก้ไขนิยามคำว่า “เจ้าของข้อมูลส่วนบุคคล” ใหม่ เหลือเพียง บุคคลซึ่งเป็นเจ้าของข้อมูลเท่านั้น ทั้งที่ ในร่างกฎหมายเดิมถ้าเจ้าของข้อมูลเสียชีวิต ทายาทและคู่สมรส รวมถึงผู้ซึ่งมีหน้าที่เกี่ยวข้องกับข้อมูลส่วนบุคคลจะถือว่าเป็นเจ้าของข้อมูลด้วย
                                                                                          
ประเด็นที่สาม : เปลี่ยน “ผู้ควบคุมข้อมูลส่วนบุคคล” จากผู้มีหน้าที่รับผิดชอบเป็นผู้มีอำนาจตัดสินใจ
แก้ไขนิยามคำว่า “ผู้ควบคุมข้อมูลส่วนบุคคล” จากเดิมหมายความว่า “ผู้ซึ่งมีหน้าที่รับผิดชอบ ในการเก็บรวบรวม ควบคุมการใช้และการเปิดเผยข้อมูลส่วนบุคคล” กลายเป็น “ผู้ซึ่งมีอำนาจตัดสินใจ เกี่ยวกับการบริหารจัดการข้อมูลส่วนบุคคล ซึ่งรวมถึงการเก็บรวบรวม การใช้และเปิดเผยข้อมูลส่วนบุคคล”
                                                                                          
ประเด็นที่สี่ : ย้ายงานข้อมูลส่วนบุคคลไปสังกัด "ความมั่นคงไซเบอร์" 
จากเดิม “สำนักงาน” คือ สำนักงานคณะกรรมการข้อมูลข่าวสารของราชการ แต่ร่างกฎหมายใหม่เปลี่ยนเป็น สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ แทน
และตัดคำว่า “ผู้อำนวยการ” หรือ ผู้อำนวยการคณะกรรมการข้อมูลข่าวสารของราชการ และเปลี่ยนเป็น “เลขาธิการ” ซึ่งก็คือ เลขาธิการสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ
                                                                                          
ประเด็นที่ห้า : สัดส่วนของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเปลี่ยนไปเน้นด้าน “ความมั่นคง”
ในร่างพ.ร.บ.ข้อมูลส่วนบุคคลฉบับใหม่ จะตัดตัวแทนด้านคุ้มครองผู้บริโภค สิทธิเสรีภาพของประชาชน และข้อมูลข่าวสารของทางราชการ ออกจากที่นั่งในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลแห่งชาติ  และเพิ่มตัวแทนด้านความมั่นคงเข้ามาแทน โดยกำหนดให้
กรรมการจำนวน 6-7 คนมาจากการแต่งตั้งของคณะรัฐมนตรี กรรมการโดยตำแหน่งมาจาก ปลัดสำนักนายกรัฐมนตรี ปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและลังคม ปลัดกระทรวงมหาดไทย เลขาธิการสภาความมั่นคงแห่งชาติ และ เลขาธิการสำนักงานคณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ เป็นคณะกรรมการและเลาขานุการด้วย
ในขณะที่สัดส่วนคณะกรรมการชุดเก่าประกอบไปด้วย ปลัดสำนักนายกฯ ปลัดกระทรวงไอซีที เลขากฤษฎีกา อธิบดีกรมคุ้มครองสิทธิและเสรีภาพ ผู้ว่า ธปท. ตัวแทนคณะกรรมการคุ้มครองผู้บริโภค ตัวแทนหอการค้าไทย ตัวแทนสมาคมธนาคารไทย และ กรรมการผู้ทรงคุณวุฒิที่นายกฯแต่งตั้งจากผู้เชี่ยวชาญด้านกฎหมายและเทคโนโลยี โดยมี ผู้อำนวยการคณะกรรมการข้อมูลข่าวสารของราชการ เป็นกรรมการและเลขานุการ
เมื่อเปรียบเทียบกับในร่างที่กระทรวงไอซีทีเคยเสนอเมื่อหลายปีก่อน จะมีตัวแทนจาก คณะกรรมการข้อมูลข่าวสารของราชการ คณะกรรมการทางธุรกรรมอิเล็กทรอนิกส์ สมาคมสมาพันธ์เทคโนโลยีสารสนเทศ หอการค้านานาชาติแห่งประเทศไทย สภาทนายความ และคณะกรรมการสิทธิฯ อีกด้วย
                                                                                          
ประเด็นที่หก : อำนาจหน้าที่ของกรรมการคุ้มครองข้อมูลส่วนบุคคลมีรายละเอียดมากขึ้น
สาระสำคัญเรื่องอำนาจหน้าที่ของคณะกรรมการตามร่างกฎหมายฉบับเดิม ได้แก่ เสนอความเห็นต่อนายกรัฐมนตรีในการวางมาตรการ ตรา หรือ ปรับปรุงกฎหมายที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล และกำหนดหลักเกณฑ์การได้ใบรับรองเพื่อมีสิทธิใช้เครื่องหมายรับรองมาตรฐานการคุ้มครองข้อมูลส่วนบุคคล
แต่ในร่างกฎหมายฉบับใหม่ แม้ว่าเนื้อหาสาระไม่ได้แตกต่างกันมาก แต่เพิ่มอำนาจ การกำกับดูแลพนักงานเจ้าหน้าที่ หน่วยงานของรัฐ และผู้ควบคุมข้อมูลให้ทำงานภายใต้ขอบเขตที่กำหนด อำนาจพิจารณาคำร้องทุกข์ และมีอำนาจในการวินิจฉัยข้อพิพาทระหว่างบุคคลฝ่ายต่างๆ
                                                                                          
ประเด็นที่เจ็ด : เปลี่ยนบทบาทของสำนักงานคณะกรรมการข้อมูลข่าวสารของทางราชการ
ในร่างกฎหมายฉบับเดิม กำหนดอำนาจหน้าที่ของสำนักงานคณะกรรมการข้อมูลข่าวสารของราชการ ในการประสานงานกับส่วนราชการ รัฐวิสาหกิจ องค์การมหาชน และหน่วยงานรัฐอื่นๆ ที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล จัดทำบัญชีรายชื่อ "ผู้ควบคุมข้อมูล" และติตตามการประเมินผลการทำงาน
แต่ในร่างกฎหมายฉบับใหม่ ให้อำนาจในการกำกับดูแลพนักงานเจ้าหน้าที่ หน่วยงานของรัฐ และผู้ควบคุมข้อมูลให้ทำงานตามที่กำหนดไว้ สามารถพิจารณาคำร้องทุกข์ มีอำนาจวินิจฉัยข้อพิพาท และสามารถแต่งตั้งอนุกรรมการ พนักงานเจ้าหน้าที่ของรัฐ แต่จำกัดอำนาจเหล่านี้เฉพาะกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลเป็นหน่วยงานของรัฐ
                                                                                          
ประเด็นที่แปด : เปลี่ยนแนวคิดจากการ "ขอความยินยอม" เป็น "แจ้งให้ทราบ"
ในร่างกฎหมายเดิม ผู้ควบคุมข้อมูลจะเก็บรวบรวมไม่ได้ หากเจ้าของไม่ได้ให้ความยินยอม ในร่างกฎหมายใหม่ ไม่ได้มีบทบัญญัติเกี่ยวกับการขอความยินยอมในการเก็บรวบรวมข้อมูลส่วนบุคคลกับเจ้าของข้อมูลส่วนบุคคล แต่บังคับให้ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งให้เจ้าของข้อมูลทราบ ก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคลถึงรายละเอียดดังต่อไปนี้ (มาตรา 22) 
(1) วัตถุประสงค์ของการเก็บรวบรวม (2) ข้อมูลที่จะมีการเก็บรวบรวม (3) ประเภทของบุคคลหรือหน่วยงานที่ซึ่งข้อมูลส่วนบุคคลที่เก็บรวบรวมอาจจะถูกเปิดเผย (4) ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล สถานที่ติดต่อ และวิธีการติดต่อ (5) สิทธิของเจ้าของข้อมูล
เท่ากับเปลี่ยนแนวคิดจากการ "ขอความยินยอม" เป็นการ "แจ้งให้ทราบ"
                                                                                          
ประเด็นที่เก้า : เปิดช่องเก็บข้อมูลได้อิสระ โดยไม่ต้องขอและไม่ต้องแจ้ง
ในร่างกฎหมายเดิมกำหนดเก็บข้อมูลอย่างไรที่ไม่ต้องขอความยินยอม แต่ร่างกฎหมายใหม่กำหนดการเก็บข้อมูลแบบไหนที่ไม่ต้องแจ้งรายละเอียดตาม มาตรา22 หมายความว่า ในร่างกฎหมายใหม่ นอกจากไม่ต้องขอความยินยอม ยังมีการเก็บข้อมูลที่ไม่ต้องแจ้งวัตถุประสงค์ในการเก็บ ข้อมูลที่จะเก็บ บุคลหรือหน่วยงานที่จะเข้าถึงข้อมูลส่วนบุคคล หรือข้อมูลเกี่ยวกับผู้ควบคุมข้อมูล และสิทธิของเจ้าของข้อมูล
ซึ่งเหตุผลการเก็บข้อมูลที่ได้รับการยกเว้นไม่ต้องแจ้งรายละเอียดตามมาตรา 22 ได้แก่
(1) เพื่อประโยชน์ที่เกี่ยวกับการวางแผนหรือการสถิติหรือสำมะโนต่าง ๆ ของหน่วยงานของรัฐ (2) เพื่อประโยชน์แก่การสืบสวน สอบสวนของพนักงานเจ้าหน้าที่ตามกฎหมาย หรือการ พิจารณาพิพากษาคดีของศาล (3) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกายหรือสุขภาพของบุคคล (4) เป็นข้อมูลที่เปิดเผยต่อสาธารณะโดยชอบด้วยกฎหมาย (5) เป็นการปฏิบัติตามที่กฎหมายกำหนด หรือตามคำสั่งศาล (6) กรณีอื่นตามที่กำหนดในกฎกระทรวง
อย่างไรก็ดี สิ่งที่หายไปจากกฎหมายฉบับเดิม คือ การเก็บข้อมูลเพื่อการศึกษาวิจัย และสถิติที่ผู้เก็บจะเก็บข้อมูลเป็นความลับถ้าจะเปิดเผยให้แจ้งสำนักงานข้อมูลข่าวสารของทางราชการ กับ ตัดเรื่องการเก็บข้อมูลที่เป็นประโยชน์ต่อเจ้าของ และ กรณีไม่สามารถขอความยินยอมได้ทันออกไป
                                                                                          
ประเด็นที่สิบ : การเก็บข้อมูลจากแหล่งอื่นที่ไม่ใช่เจ้าของข้อมูล แค่แจ้งให้ทราบก็พอ
เมื่อหลักการของร่างกฎหมายใหม่ ไม่เน้นเรื่องการขอความยินยอม เพราะฉะนั้นในร่างกฎหมายใหม่กำหนดให้การเก็บข้อมูลจากแหล่งอื่นที่ไม่ใช่เจ้าของข้อมูล ผู้เก็บเพียงแค่แจ้งให้เจ้าของข้อมูลทราบก่อนจะเก็บหรือในขณะเก็บก็ได้
ซึ่งการเก็บข้อมูลที่ได้รับการยกเว้นไม่ต้องแจ้งให้เจ้าของข้อมูลทราบ มาตรา 22 ถือเป็นเหตุในการเก็บข้อมูลจากแหล่งอื่นที่ไม่ใช่เจ้าของข้อมูลได้เลยทันที หมายความว่า การเก็บข้อมูลบางประเภทจะได้รับการยกเว้นไม่ต้องแจ้งให้เจ้าของข้อมูลทราบ และยังเก็บข้อมูลจากที่ไหนก็ได้ด้วย 
ในขณะที่ร่างกฎหมายเดิมการจะเก็บข้อมูลจากแหล่งอื่นโดยไม่ขอความยินยอมนั้น ต้องเป็นการเก็บที่ได้รับการยกเว้นไม่ต้องขอความยินยอมตามที่กฎหมายกำหนด
                                                                                          
ประเด็นที่สิบเอ็ด : การเก็บข้อมูลที่มีเนื้อหาอ่อนไหวต้องขอความยินยอมก่อน แต่มีข้อยกเว้น
ร่างกฎหมายทั้งสองฉบับยังให้การคุ้มครองข้อมูลที่มีความอ่อนไหว อย่างเช่น พฤติกรรมทางเพศ ประวัติอาชญากรรม การกระทำผิดหรือการรับโทษ ประวัติสุขภาพ เชื้อชาติ ความคิดเห็นทางการเมือง ความเชื่อทางศาสนา โดยระบุอย่างชัดเจนว่าข้อมูลเหล่านี้ห้ามเก็บโดยเด็ดขาด แต่ทั้งสองร่างต่างก็มีข้อยกเว้นที่ใกล้เคียงกัน
ในร่างกฎหมายเดิม กำหนดว่า ถ้าเหตุผลการเก็บเป็นไปตามข้อยกเว้นที่ไม่ต้องขอความยินยอมก็สามารถเก็บได้ หรือ เพื่อ จุดประสงค์ทางการแพทย์และการรักษาพยาบาลที่เก็บข้อมูลเป็นความลับก็สามารถเก็บได้
แต่ร่างกฎหมายใหม่ ซึ่งการเก็บข้อมูลตามปกติไม่ต้องขอความยินยอมอยู่แล้ว มีข้อยกเว้นให้สามารถเก็บข้อมูลที่อ่อนไหวได้โดยไม่ต้องขอความยินยอม และไม่ต้องแจ้งรายละเอียดการเก็บให้เจ้าของข้อมูลทราบด้วย ในกรณีที่เป็นการเก็บเพื่อการสอบสวน การพิจารณาคดีของศาล เพื่อป้องกันอันตรายหรือสุขภาพของเจ้าของข้อมูล
                                                                                          
ประเด็นที่สิบสอง : ข้อมูลที่ตอนเก็บไม่ต้องแจ้งให้ทราบ ตอนใช้ต้องทำบันทึกหมายเหตุและแจ้งเจ้าของข้อมูล
ในร่างกฎหมายเดิม กำหนดให้การใช้หรือเปิดเผยข้อมูลจะทำไม่ได้ หากไม่มีการแสดงความยินยอมเป็นหนังสือจากเจ้าของข้อมูลส่วนบุคคล ยกเว้น เป็นข้อมูลที่ใช้ได้โดยไม่ต้องขอความยินยอมตามที่กฎหมายกำหนด หรือ เพื่อประโยชน์ทางการแพทย์และการรักษาพยาบาล หรือ เปิดเผยต่อทนาย เพื่อการเรียกเก็บหนี้ หรือ ผู้ควบคุมข้อมูลที่บันทึกเป็นข้อมูลทางประวัติศาสาตร์ หรือ เหตุผลด้านความมั่นคง
แต่ในร่างกฎหมายใหม่ กำหนดแค่เพียงว่า การใช้หรือเปิดเผยข้อมูลกรณีปกติต้องได้รับความยินยอมและใช้ตามวัตถุประสงค์ที่เก็บรวบรวม หากเป็นการใช้หรือเปิดเผยข้อมูลที่ได้รับการยกเว้นไม่ต้องแจ้งรายละเอียด ให้ทำบันทึกหมายเหตุการใช้และแจ้งให้เจ้าของข้อมูลทราบ
                                                                                          
ประเด็นที่สิบสาม : เปลี่ยนวัตถุประสงค์ของการดำเนินการใดเกี่ยวกับข้อมูลส่วนบุคคล ไม่ต้องขอความยินยอม แต่ต้องแจ้งให้เจ้าของข้อมูลทราบ
ในร่างกฎหมายใหม่ กำหนดให้การดำเนินการใดๆ เกี่ยวกับข้อมูลจะกระทำได้ต่อเมื่อเป็นไปตามวัตถุประสงค์ หากมีการเปลี่ยนแปลงวัตถุประสงค์ต้องแจ้งให้เจ้าของข้อมูลทราบ หรือ ของความยินยอมจากเจ้าของข้อมูล
แต่ในร่างกฎหมายเดิม หากหากมีการเปลี่ยนแปลงวัตถุประสงค์ต้องแจ้งให้เจ้าของข้อมูลทราบ และ ของความยินยอมจากเจ้าของข้อมูล
                                                                                          
ประเด็นที่สิบสี่ : ตัดหน้าที่พิเศษของผู้ควบคุมข้อมูลส่วนบุคคลในเชิงธุรกิจหรือการพาณิชย์
ในร่างกฎหมายเดิม มีนิยามความหมายของผู้ควบคุมข้อมูลส่วนบุคคลในเชิงธุรกิจหรือการพาณิชย์ และกำหนดหลักเกณฑ์ทั่วไปเกี่ยวกับการเก็บรวมรวบ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล โดยต้องมีมาตรการคุ้มครองไม่น้อยกว่าที่กำหนดไว้ตามประมวลจริยธรรมที่คณะกรรมการกำหนด
นอกจากนี้ ผู้ควบคุมข้อมูลส่วนบุคคลในเชิงธุรกิจหรือการพาณิชย์ ต้องมีมาตรการคุ้มครองข้อมูลส่วนบุคคล มีรายงานการดำเนินงานเพื่อคุ้มครองข้อมูลส่วนบุคคล มีการฝึกอบรมเจ้าหน้าที่ และหากมีการเลิกกิจการหรือควบรวมกิจการต้องแจ้งให้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลทราบด้วย ซึ่งร่างกฎหมายใหม่ได้ตัดเนื้อหาในส่วนนี้ออกไป
                                                                                          
ประเด็นที่สิบห้า : เจ้าของข้อมูลมีมีสิทธิขอตรวจดูข้อมูลที่เกี่ยวกับตน แต่มีข้อยกเว้น
ตามร่างกฎหมายเดิม กำหนดให้เจ้าของข้อมูลมีสิทธิขอตรวจดูข้อมูลที่เกี่ยวกับตน และ ขอให้แจ้งถึงการมีอยู่ การใช้ หรือการเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับตน และขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลที่เกี่ยวกับตนในกรณีที่เป็นข้อมูลซึ่งตนไม่ได้ให้ความยินยอม หากผู้ควบคุมข้อมูลจะปฎิเสธ ต้องเป็นการดำเนินการที่เสียค่าใช้จ่ายสูงมาก และเป็นข้อมูลส่วนบุคคลที่ปฎิเสธคำขอได้
แต่ร่างกฎหมายใหม่ ตัดสิทธิเรื่อง การขอให้แจ้งถึงการมีอยู่ การใช้ หรือการเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับตน และขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลที่เกี่ยวกับตนในกรณีที่เป็นข้อมูลซึ่งตนไม่ได้ให้ความยินยอม และกำหนดข้อยกเว้นให้ผู้ควบคุมข้อมูลสามารถปฎิเสธการตรวจดูข้อมูลได้ หาก ขัดแย้งต่อบทบัญญัติทางกฎหมาย คำสั่งศาล กระทบความั่นคง กระทบเศรษฐกิจ หรือมีผลต่อการสืบสวน สอบสวน และเพื่อคุ้มครองสิทธิเสรีภาพของบุคคลอื่น
                                                                                          
ประเด็นที่สิบหก : คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลมีอำนาจเต็ม ไม่มีไกล่เกลี่ย ไม่มีอุทธรรณ์คำสั่ง 
ตามร่างกฎหมายเดิม คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลต้องแต่งตั้งคณะกรรมการตรวจสอบข้อมูลขึ้นมา ทำหน้าที่ในการพิจาณาเรื่องร้องเรียน ตรวจสอบการกระทำที่เกี่ยวข้องกับข้อมูลส่วนบุคคล โดยคณะกรรมการตรวจสอบต้องมีความเชี่ยวชาญในแต่ละเรื่องและมีหลายคณะก็ได้
เมื่อได้รับเรื่องร้องเรียนและเห็นว่าผู้ควบคุมข้อมูลทำความผิดจริง คณะกรรมการตรวจสอบข้อมูล สามารถให้ผู้ควบคุมข้อมูลและเจ้าของข้อมูลไกล่เกลี่ยกัน หากไม่เป็นผลสำเร็จ คณะกรรมการตรวจสอบข้อมูล อาจสั่งให้ผู้ควบคุมข้อมูลแก้ไข เปลี่ยนแปลงให้ถูกต้อง และถ้าเกิดความเสียหายให้ผู้ควบคุมข้อมูลระงับความเสียหายนั้น หากคณะกรรมการตรวจสอบข้อมูลไม่รับเรื่องร้องเรียน สามารถยื่นอุทธรณ์โดยให้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเป็นผู้วินิจฉัยก็ได้
ในร่างกฎหมายใหม่ เพิ่มอำนาจให้กับคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลที่จะรับเรื่องร้องทุกข์ และมีอำนาจวินิจฉัยข้อพิพาท ตัดกระบวนการไกล่เกลี่ยและกระบวนการอุทธรณ์คำสั่งออก ให้คณะกรรมการมีอำนาจสั่งให้บุคคลมาให้ข้อมูลหรือส่งเอกสารเมื่อมีการร้องเรียน และ เมื่อมีเหตุสงสัยว่าการดำเนินการใดๆ ก่อให้เกิดความเสียหายกับเจ้าของข้อมูลที่พิสูจน์ได้ว่าก่อให้เกิดความเสียหายจริง คณะกรรมการมีอำนาจสั่งห้ามดำเนินการใดๆ แก้ไขเปลี่ยนแปลง รวมถึงทำลายข้อมูลนั้น นอกจากนี้ ในกรณีเร่งด่วนสามารถสั่งให้ผู้ควบคุมข้อมูลแก้ไขเปลี่ยนแปลง รวมถึงทำลายข้อมูลนั้น โดยไม่ต้องพิสูจน์ก็ได้
                                                                                          
ประเด็นที่สิบเจ็ด : ให้เจ้าหน้าที่มีอำนาจตรวจค้นสถานที่ ยึดหรืออายัดทรัพย์ 
ในร่างกฎหมายใหม่ ให้อำนาจเจ้าพนักงานในการตรวจสถานที่ที่มีการร้องเรียนโดยให้เจ้าของหรือผู้ครอบครองสถานที่ทราบล่วงหน้า และให้อำนาจในการยึด หรือ อายัดทรัพย์ เอกสารที่เกี่ยวข้องกับการกระทำความผิดเกี่ยวกับข้อมูลส่วนบุคคล
แต่ในร่างกฎหมายเดิม อำนาจในการยึด หรือ อายัดทรัพย์เป็นของคณะกรรมการตรวจสอบข้อมูล และไม่มีอำนาจค้นสถานที่
                                                                                          
ประเด็นที่สิบแปด : เพิ่มโทษปรับหนักกว่า โดยไม่แยกประเภทผู้ควบคุมข้อมูล
ในร่างกฎหมายฉบับใหม่ เปลี่ยนโทษปรับกรณีไม่ปฏิบัติตามคำสั่งของคณะกรรมการ เป็นไม่เกิน 200,000 บาท และปรับรายวันอีกไม่เกินวันละ 5,000 บาท ขณะที่ตามร่างกฎหมายเดิมกำหนดให้การปรับนั้นเป็นโทษปรับทางปกครองมีโทษสูงสุดปรับไม่เกินห้าหมื่นบาท นอกจากนี้ ยังไม่มีการแยกกรณีผู้ควบคุมข้อมูลส่วนบุคคลเชิงธุรกิจหรือการพาณิชย์
                                                                                          
ประเด็นที่สิบเก้า : เปิดเผยข้อมูลส่วนบุคคลแก่หน่วยงานรัฐในประเทศหรือต่างประเทศ ไม่เป็นความผิด
ในร่างกฎหมายฉบับใหม่ กำหนดว่า ผู้ใดล่วงรู้ข้อมูลส่วนบุคคลของผู้อื่นเนื่องจากปฎิบัติตามอำนาจหน้าที่ที่กำหนดในพระราชบัญญัตินี้ และนำไปเปิดเผยแก่ผู้อื่น ต้องระวางโทษจำคุกไม่เกินหนึ่งปี หรือ ปรับไม่เกินสองหมื่นบาท
ยกเว้นว่า (1) เป็นการกระทำตามหน้าที่ (2) เพื่อประโยชน์แก่การสืบสวน สอบสวน หรือการพิจารณาคดีของศาล (3) เพื่อประโยชน์ในการดำเนินความผิดตามกฎหมายนื้ (4) เพื่อประโยชน์ในการแก้ไขข้อมูล (5) เปิดเผยแก่หน่วยงานของรัฐในประเทศหรือต่างประเทศที่เกี่ยวข้องกับเรื่องดังกล่าว และ (6) ได้รับความเห็นชอบจากบุคคลดังกล่าวเป็นหนังสือ