ทั่วไป

หน่วยงานที่ได้รับการยกเว้นไม่ให้นำ PDPA มาใช้บังคับ

By สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล30 ก.ย. 2023 เวลา 8:00 น.
หน่วยงานที่ได้รับการยกเว้นไม่ให้นำ PDPA มาใช้บังคับ

PDPA กำหนดยกเว้นไม่ให้นำบทบัญญัติแห่งพระราชบัญญัตินี้ทั้งหมดหรือแต่บางส่วนมาใช้บังคับแก่ผู้ควบคุมข้อมูลส่วนบุคคล
ในลักษณะใด กิจการใด หรือหน่วยงานใดทำนองเดียวกับผู้ควบคุมข้อมูลส่วนบุคคลตามวรรคหนึ่ง 
หรือเพื่อประโยชน์สาธารณะอื่นใด ให้ตราเป็นพระราชกฤษฎีกา

ปัจจุบันได้มีการตรา “พระราชกฤษฎีกากำหนดลักษณะ กิจการ หรือหน่วยงานที่ได้รับการยกเว้นไม่ให้นำพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 บางส่วนมาใช้บังคับ พ.ศ. 2566” ขึ้น และได้ประกาศในราชกิจจานุเบกษาเมื่อวันที่ 17 สิงหาคม 2566

โดยให้มีผลใช้บังคับเมื่อพ้นกำหนด 150 วันนับแต่วันประกาศในราชกิจจานุเบกษา ดังนั้น พระราชกฤษฎีกานี้จะมีผลบังคับใช้ในวันที่ 13 มกราคม 2567

ตามพระราชกฤษฎีกาฯ ได้กำหนดหลักเกณฑ์ให้ผู้ควบคุมข้อมูลส่วนบุคคลทั้งในภาครัฐและภาคเอกชนที่ได้รับการร้องขอข้อมูลส่วนบุคคลจากหน่วยงานของรัฐ ซึ่งมีกฎหมายให้อำนาจในการร้องขอข้อมูลส่วนบุคคล เพื่อปฏิบัติงานตามหน้าที่และเป็นไปเพื่อประโยชน์สาธารณะ

โดยผู้ควบคุมข้อมูลส่วนบุคคลที่ได้รับการร้องขอข้อมูลส่วนบุคคล และหน่วยงานของรัฐผู้ร้องขอข้อมูลส่วนบุคคลได้รับยกเว้นการปฏิบัติตามหมวด 2 และหมวด 3 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยมีหลักการที่สำคัญคือ

1. หน่วยงานของรัฐที่ร้องขอข้อมูลส่วนบุคคล ต้องเป็นไปเพื่อประโยชน์สาธารณะตามวัตถุประสงค์และขอบเขตซึ่งกฎหมายที่ให้อำนาจหน่วยงานของรัฐกำหนดไว้

2. ผู้ควบคุมข้อมูลส่วนบุคคลที่ได้รับการร้องขอข้อมูลส่วนบุคคลจากหน่วยงานของรัฐ ซึ่งมีกฎหมายให้อำนาจในการร้องขอข้อมูลตามพระราชกฤษฎีกาฯ มีหน้าที่เปิดเผยข้อมูลส่วนบุคคลโดยไม่ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล

เนื้อหาที่เกี่ยวข้อง

3. รับรองสิทธิของเจ้าของข้อมูลส่วนบุคคลหรือผู้ควบคุมข้อมูลส่วนบุคคลที่ถูกร้องขอข้อมูลส่วนบุคคลจากหน่วยงานของรัฐฯ ในการร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญ หรือขอให้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลตีความหรือวินิจฉัยชี้ขาด

4. การยกเว้นความผิดและโทษอาญาตามพระราชกฤษฎีกาฯ ไม่คุ้มครองการดำเนินการโดยมิชอบด้วยพระราชกฤษฎีกาฯ

อย่างไรก็ตาม มาตรา 5 กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลที่ได้รับการยกเว้นตามพระราชกฤษฎีกานี้ ต้องปฏิบัติตามมาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด

เพื่อมิให้กระทบกับหลักการคุ้มครองข้อมูลส่วนบุคคลจนเกินสมควร
โดยมาตรา 14 กำหนดให้คณะกรรมการฯ ต้องดำเนินการให้แล้วเสร็จภายใน 120 วัน นับแต่วันที่พระราชกฤษฎีกาฯ ประกาศในราชกิจจานุเบกษา กล่าวคือ ก่อนวันที่ 13 ธันวาคม 2566 แต่จะให้มีผลใช้บังคับก่อนวันที่พระราชกฤษฎีกานี้มีผลใช้บังคับมิได้

พระราชกฤษฎีกาฯ กำหนดประเภทของ “หน่วยงานของรัฐที่ร้องขอข้อมูลส่วนบุคคล” ไว้ดังนี้

1. หน่วยงานของรัฐที่ร้องขอข้อมูลส่วนบุคคล เพื่อดำเนินการตามวัตถุประสงค์หรือภารกิจตามกฎหมายเกี่ยวกับการป้องกันและปราบปรามการทุจริต (มาตรา 6) ได้แก่

  •   คณะกรรมการป้องกันและปราบปรามการทุจริตแห่งชาติ
  • หน่วยงานของรัฐที่ได้รับมอบหมายให้ดำเนินการจากคณะกรรมการป้องกันและปราบปรามการทุจริตแห่งชาติ
  • สำนักงานคณะกรรมการป้องกันและปราบปรามการทุจริตแห่งชาติ
  • คณะกรรมการป้องกันและปราบปรามการทุจริตในภาครัฐ
  • สำนักงานคณะกรรมการป้องกันและปราบปรามการทุจริตในภาครัฐ

2. หน่วยงานของรัฐที่ร้องขอข้อมูลส่วนบุคคล เพื่อดำเนินการตามวัตถุประสงค์หรือภารกิจตามกฎหมายที่อยู่ในความรับผิดชอบเกี่ยวกับการจัดเก็บภาษีอากร การดำเนินการใด ๆ อันเกี่ยวกับการบังคับแก่บรรดาค่าธรรมเนียมทางภาษีอากร ค่าฤชาธรรมเนียมหรือค่าอากรใด ๆ รวมทั้งการดำเนินการตามพันธกรณีหรือความร่วมมือระหว่างประเทศในเรื่องดังกล่าว (มาตรา 7) ได้แก่

  • กรมสรรพากร
  • กรมศุลกากร
  • กรมสรรพสามิต

3. หน่วยงานของรัฐที่ร้องขอข้อมูลส่วนบุคคลเพื่อดำเนินการตามวัตถุประสงค์หรือภารกิจตามกฎหมาย ที่อยู่ในความรับผิดชอบเกี่ยวกับการจัดเก็บภาษีตามกฎหมายว่าด้วยภาษีที่ดินและสิ่งปลูกสร้าง จากองค์กรปกครองส่วนท้องถิ่นซึ่งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด

โดยก่อนที่จะมีประกาศกำหนดคณะกรรมการฯ จะต้องจัดให้มีการประเมินความพร้อมในการเก็บรวบรวม การใช้และการเปิดเผยข้อมูลส่วนบุคคลขององค์กรปกครองส่วนท้องถิ่นแต่ละแห่งตามมาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลเสียก่อน (มาตรา 8)

4. หน่วยงานของรัฐที่ร้องขอข้อมูลส่วนบุคคลเพื่อดำเนินการตามวัตถุประสงค์หรือภารกิจตามกฎหมายที่อยู่ในความรับผิดชอบเกี่ยวกับการสถาปนาสมณศักดิ์ การแต่งตั้งหรือถอดถอนข้าราชการ บุคคลหรือคณะบุคคลซึ่งเป็นพระราชอำนาจของพระมหากษัตริย์ หรือที่ต้องเสนอคณะรัฐมนตรี

และการขอพระราชทานหรือเรียกคืนเครื่องราชอิสริยาภรณ์ ฎีกาซึ่งมีผู้ทูลเกล้าฯ ถวาย หรือการขอพระราชทานพระมหากรุณาในเรื่องต่าง ๆ จากสำนักเลขาธิการคณะรัฐมนตรี (มาตรา 9)

5. หน่วยงานของรัฐที่มีกฎหมายให้อำนาจในการขอข้อมูลส่วนบุคคลเพื่อดำเนินการตามวัตถุประสงค์หรือภารกิจตามกฎหมายเกี่ยวกับประโยชน์สาธารณะที่สำคัญซึ่งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด

โดยการดำเนินการต้องสอดคล้องกับหลักความพอสมควรแก่เหตุโดยไม่สร้างขั้นตอนที่ไม่จำเป็นหรือสร้างภาระจนเกินสมควร และได้สัดส่วนระหว่างประโยชน์ที่ส่วนรวมจะได้รับกับสิทธิเสรีภาพและประโยชน์ที่บุคคลต้องเสียไป (มาตรา 10)

ทั้งนี้ พระราชกฤษฎีกาฯ ยังได้กำหนดยกเว้นการปฏิบัติตามหมวด 2 และหมวด 3 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ไว้สำหรับกรณีผู้ควบคุมข้อมูลส่วนบุคคลทั้งในภาครัฐและภาคเอกชน

ซึ่งดำเนินการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลเกี่ยวกับการเนรเทศ การส่งผู้ร้ายข้ามแดนความร่วมมือระหว่างประเทศเกี่ยวกับกระบวนการยุติธรรมทางอาญา การป้องกันและปราบปราม การมีส่วนร่วมในองค์กรอาชญากรรมข้ามชาติ ความร่วมมืออื่นทางศาล หรือกระบวนการยุติธรรมระหว่างประเทศ (มาตรา 11)

และสำหรับในส่วนของการตีความและวินิจฉัยชี้ขาดตามพระราชกฤษฎีกาฯ ในกรณีที่มีปัญหาว่าลักษณะ กิจการ หรือหน่วยงานใดอยู่ภายใต้บังคับแห่งพระราชกฤษฎีกาฯ ผู้มีหน้าที่เกี่ยวข้องอาจขอให้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลตีความและวินิจฉัยชี้ขาดปัญหาที่เกิดขึ้นได้ (มาตรา 13).