วันที่ 5 ก.ค. 2565 – รายงานข่าวจากทำเนียบรัฐบาล จากการประชุมครม. เผยว่า มีมติที่น่าสนใจ คือ ครม.อนุมัติหลักการของกฎหมายลูก หรือ “ร่างพระราชกฤษฎีกา กำหนดลักษณะ กิจการ หรือหน่วยงานที่ยกเว้นมิให้นำพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล(PDPA) พ.ศ. 2562 มาใช้บังคับ .”
การกำหนดลักษณะ กิจการ หรือหน่วยงาน ที่มีการยกเว้นมิให้นำพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ตามกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม หรือ ดีอีเอส ได้รับการเสนอต่อสำนักเลขาธิการคณะรัฐมนตรี สำนักงานสภาความมั่นคงแห่งชาติ และสำนักงานอัยการสูงสุดพิจารณาเสนอการกำหนดข้อยกเว้นให้ “ผู้ควบคุมข้อมูลส่วนบุคคล” สามารถดำเนินการเก็บรวบรวม ใช้ เปิดเผย รวมถึงประมวลผลข้อมูลส่วนบุคคล เพื่อวัตถุประสงค์ในการรักษาความมั่นคง และความปลอดภัยของประเทศ รวมถึงความปลอดภัยสาธารณะ การจัดเก็บภาษีของหน่วยงานรัฐ การดำเนินการตามสัญญาผูกมัดระหว่างประเทศ การดำเนินการของหน่วยงานของศาล อัยการ และผู้บังคับใช้กฎหมาย
โดยกำหนดไม่ให้มีการนำบทบัญญัติในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาใช้บังคับกับผู้ควบคุมข้อมูลส่วนบุคคล ดังต่อไปนี้
- หมวด 2 การคุ้มครองข้อมูลส่วนบุคคล
- หมวด 3 สิทธิของเจ้าของข้อมูลส่วนบุคคล
- หมวด 5 การร้องเรียน
- หมวด 6 ความรับผิดทางแพ่ง
- หมวด 7 บทกำหนดโทษ
1.หากมีการได้รับการร้องขอจากหน่วยงานรัฐ หน่วยงานราชการที่มีกฎหมายรองรับอำนาจ ดังกล่าวดำเนินการเพื่อวัตถุประสงค์หรือภารกิจ ดังต่อไปนี้
- การป้องกันประเทศ
- การรักษาความมั่นคงและปลอดภัยของประเทศ
- การข่าวกรอง
- การรักษาความปลอดภัยแห่งชาติ
- การรักษาความมั่นคงปลอดภัยทางการคลังและเศรษฐกิจของประเทศ
- การรักษาความปลอดภัยของประชาชน และความมั่นคงปลอดภัยสาธารณะ
- การป้องกันและปราบปรามการฟอกเงิน ยาเสพติด ภัยคุกคามข้ามชาติ
- การก่อการร้าย อาชญากรรมข้ามชาติ
- การค้ามนุษย์
- การต่อต้านการทุจริต
- การรักษาความมั่นคงปลอดภัยทางไซเบอร์
- การดำเนินการด้านสาธารณสุข สุขอนามัย เพื่อป้องกันโรคระบาด ชีวิต สุขภาพ และทรัพย์สินของประชาชน
- การจัดเก็บภาษีตามกฎหมาย อยู่ในความรับผิดชอบของกรมสรรพากร กรมศุลกากร กรมสรรพสามิต
- การป้องกันความเสี่ยง การตรวจสอบ การเฝ้าระวัง มาตรการเพื่อบรรเทา การรักษาเยียวยาฟื้นฟูความเสียหายที่เกิดจากภัยคุกคามต่อความมั่นคงปลอดภัยของประเทศ
- เก็บรวบรวม ใช้ เปิดเผย และการประมวลผลข้อมูลส่วนบุคคล ให้แก่หน่วยงานรัฐหน่วยงานราชการ เพื่อประโยชน์สาธารณะ หรือเพื่อดำเนินการตามพันธกรณีความร่วมมือหรือข้อตกลงระหว่างประเทศ หรืออนุสัญญาระหว่างประเทศ
- เก็บรวมรวม ใช้ เปิดเผย ประมวลผลข้อมูลส่วนบุคคล เพื่อวัตถุประสงค์ในการพิจารณาพิพากษาคดีทุกประเภทของศาล หรือการดำเนินการเพื่อความร่วมมือทางศาลและองค์กรที่เกี่ยวข้องกระบวนการยุติธรรมในประเทศและระหว่างประเทศ
“ผู้ควบคุมข้อมูลส่วนบุคคล”
หมายความว่า บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
“ผู้ประมวลผลข้อมูลส่วนบุคคล”
หมายความว่า บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล
อย่างไรก็ตาม DES เสนอต่อที่ประชุมครม.ว่า “พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีผลใช้บังคับแล้ว ในวันที่ 1 มิถุนายน 2565 เรื่องการกำหนดหลักเกณฑ์และมาตรการกำกับดูแลเกี่ยวกับการให้ความคุ้มครองข้อมูลส่วนบุคคลที่เป็นหลักการทั่วไปในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เผยสิทธิของเจ้าของข้อมูลส่วนบุคคล กำหนดหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคล การร้องเรียน รวมถึงความรับผิดทางแพ่ง โทษอาญา และโทษทางปกครอง อย่างไรก็ตาม พ.ร.บ.นี้อาจมีเนื้อหาสาระสำคัญที่มีผลกระทบต่อการเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคลที่ดำเนินการเพื่อวัตถุประสงค์ในการป้องกัน และ การรักษาความมั่นคงของประเทศ ต่อสาธารณะ รวมถึงการจัดเก็บภาษีของหน่วยงานรัฐ การดำเนินการตามพันธกรณีระหว่างประเทศ การดำเนินการของหน่วยงาน ศาล อัยการ และผู้บังคับใช้ทางกฎหมายซึ่งถือเป็นเรื่องจำเป็นที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลในระดับสากลจะกำหนดข้อยกเว้นให้ผู้ควบคุมข้อมูลส่วนบุคคลสามารถดำเนินการเพื่อวัตถุประสงค์ดังกล่าวได้”
โดย 2 กุมภาพันธ์ 2565 มีการประชุมสรุปว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลและกฎหมายว่าด้วยข่าวกรองแห่งชาติมีผลกระทบต่อการดำเนินงานเพื่อรักษาผลประโยชน์ของชาติ จำเป็นต้องมีการกำหนดข้อยกเว้นในบางกรณี กระทรวงดีอีเอส จึงได้ยกร่างพระราชกฤษฎีกากำหนดลักษณะ กิจการ หรือหน่วยงานที่ยกเว้นมิให้นำพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาใช้บังคับ เพื่อยกเว้นการบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ไม่ให้บังคับใช้กับลักษณะหรือกิจการ หรือหน่วยงานบางส่วนได้ หากเป็นการเก็บรวบรวม ใช้ เปิดเผย ข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคลที่ดำเนินการเพื่อวัตถุประสงค์ในการป้องกันประเทศ การรักษาความมั่นคงของประเทศ ความปลอดภัยสาธารณะ การจัดเก็บภาษีของหน่วยงานรัฐ การดำเนินการตามพันธกรณีระหว่างประเทศ การดำเนินการของหน่วยงาน ศาล อัยการ และผู้บังคับใช้กฎหมาย และในการประชุมคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เมื่อวันที่ 23 พฤษภาคม 2565 ได้พิจารณาร่างพระราชกฤษฎีกากำหนดลักษณะ กิจการ หรือหน่วยงานที่ยกเว้นมิให้นำพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาใช้บังคับ พ.ศ. …. แล้ว มีมติเห็นชอบให้นำร่างพระราชกฤษฎีกาดังกล่าวเสนอต่อคณะรัฐมนตรีเพื่อพิจารณาต่อไป
