ครม.มีมติ อนุมัติหลักการร่าง พ.ร.ฎ.กำหนดลักษณะ กิจการ หรือหน่วยงาน ที่ยกเว้นไม่ให้นำ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ กฎหมาย PDPA มาใช้บังคับ

ผู้สื่อข่าวรายงานว่า การประชุมคณะรัฐมนตรี (ครม.) วันนี้ (5 ก.ค. 2565) หนึ่งในเรื่องที่น่าสนใจคือ ร่างพระราชกฤษฎีกากำหนดลักษณะ กิจการ หรือหน่วยงานที่ยกเว้นมิให้นำพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาใช้บังคับ พ.ศ. .... โดย ครม. มีมติอนุมัติหลักการร่าง พ.ร.ฎ.ดังกล่าว ตามที่กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดศ.) เสนอ และให้ส่งสำนักงานคณะกรรมการกฤษฎีกาตรวจพิจารณา โดยให้รับความเห็นของสำนักเลขาธิการคณะรัฐมนตรี สำนักงานสภาความมั่นคงแห่งชาติ และสำนักงานอัยการสูงสุด ไปประกอบการพิจารณาด้วย แล้วดำเนินการต่อไปได้

ทั้งนี้ กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เสนอว่า

1. สืบเนื่องจาก พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (กฎหมาย PDPA) มีผลใช้บังคับแล้ว ในวันที่ 1 มิ.ย. 2565 ซึ่งมีสาระสำคัญเป็นการกำหนดหลักเกณฑ์ กลไกและมาตรการกำกับดูแลเกี่ยวกับการให้ความคุ้มครองข้อมูลส่วนบุคคลที่เป็นหลักการทั่วไปในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล สิทธิของเจ้าของข้อมูลส่วนบุคคล หน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคล การร้องเรียน รวมถึงความรับผิดทางแพ่ง โทษอาญา และโทษทางปกครอง แต่โดยที่ พ.ร.บ.ในเรื่องนี้อาจมีเนื้อหาสาระสำคัญที่มีผลกระทบต่อการเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคลที่ดำเนินการเพื่อวัตถุประสงค์ในการป้องกันประเทศ การรักษาความมั่นคงของประเทศ ความปลอดภัยสาธารณะ การจัดเก็บภาษีของหน่วยงานรัฐ การดำเนินการตามพันธกรณีระหว่างประเทศ การดำเนินการของหน่วยงาน ศาล อัยการ และผู้บังคับใช้กฎหมายอันเป็นเรื่องจำเป็นที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลในระดับสากลจะกำหนดข้อยกเว้นให้ผู้ควบคุมข้อมูลส่วนบุคคลสามารถดำเนินการเพื่อวัตถุประสงค์ดังกล่าวได้

...

2. ในคราวการประชุมหารือผู้แทนหน่วยงานด้านการรักษาความมั่นคง เมื่อวันที่ 2 ก.พ. 2565 ได้พิจารณาและมีข้อยุติว่า สาระสำคัญของกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลและกฎหมายว่าด้วยข่าวกรองแห่งชาติ มีผลกระทบต่อการดำเนินงานเพื่อรักษาผลประโยชน์ของชาติ จำเป็นต้องตรา พ.ร.ฎ. ตามมาตรา 4 แห่ง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ยกเว้นมิให้นำพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาใช้บังคับ

3. โดยที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 4 วรรคสอง บัญญัติให้การยกเว้นไม่ให้นำบทบัญญัติแห่งพระราชบัญญัตินี้ทั้งหมดหรือแต่บางส่วนมาใช้บังคับแก่ผู้ควบคุมข้อมูลส่วนบุคคลในลักษณะใด กิจการใด หรือหน่วยงานใดทำนองเดียวกับผู้ควบคุมข้อมูลส่วนบุคคล หรือเพื่อประโยชน์สาธารณะอื่นใด ให้ตราเป็น พ.ร.ฎ. กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม จึงได้ยกร่าง พ.ร.ฎ.กำหนดลักษณะ กิจการ หรือหน่วยงานที่ยกเว้นมิให้นำพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาใช้บังคับ พ.ศ. .... ขึ้น เพื่อยกเว้นการบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ไม่ให้บังคับใช้กับลักษณะหรือกิจการ หรือหน่วยงานบางส่วนได้ หากเป็นการเก็บรวบรวม ใช้ เปิดเผย ข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคลที่ดำเนินการเพื่อวัตถุประสงค์ในการป้องกันประเทศ การรักษาความมั่นคงของประเทศ ความปลอดภัยสาธารณะ การจัดเก็บภาษีของหน่วยงานรัฐ การดำเนินการตามพันธกรณีระหว่างประเทศ การดำเนินการของหน่วยงาน ศาล อัยการ และผู้บังคับใช้กฎหมาย

4. ในคราวประชุมคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เมื่อวันที่ 23 พ.ค. 2565 ได้พิจารณาร่าง พ.ร.ฎ.กำหนดลักษณะ กิจการ หรือหน่วยงานที่ยกเว้นมิให้นำพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาใช้บังคับ พ.ศ. .... แล้ว มีมติเห็นชอบให้กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมนำร่าง พ.ร.ฎ.ดังกล่าวเสนอต่อ ครม. เพื่อพิจารณาต่อไป

สำหรับสาระสำคัญของร่าง พ.ร.ฎ.กำหนดข้อยกเว้นให้ “ผู้ควบคุมข้อมูลส่วนบุคคล” สามารถดำเนินการเก็บรวบรวม ใช้ เปิดเผย ประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ในการป้องกันประเทศ การรักษาความมั่นคงของประเทศ ความปลอดภัยสาธารณะ การจัดเก็บภาษีของหน่วยงานรัฐ การดำเนินการตามพันธกรณีระหว่างประเทศ การดำเนินการของหน่วยงาน ศาล อัยการ และผู้บังคับใช้กฎหมาย โดยมิให้นำบทบัญญัติในหมวด 2 (การคุ้มครองข้อมูลส่วนบุคคล) หมวด 3 (สิทธิของเจ้าของข้อมูลส่วนบุคคล) หมวด 5 (การร้องเรียน) หมวด 6 (ความรับผิดทางแพ่ง) และหมวด 7 (บทกำหนดโทษ) แห่ง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ทั้งหมดมาใช้บังคับกับผู้ควบคุมข้อมูลส่วนบุคคล ดังนี้

1. เมื่อได้รับการร้องขอจากหน่วยงานรัฐ หน่วยงานราชการที่มีกฎหมายเฉพาะหรือกฎหมายรองรับอำนาจ หากหน่วยงานดังกล่าวดำเนินการเพื่อวัตถุประสงค์หรือภารกิจ ดังต่อไปนี้

1.1 การป้องกันประเทศ การรักษาความมั่นคงและปลอดภัยของประเทศ การข่าวกรอง การรักษาความปลอดภัยแห่งชาติ การรักษาความมั่นคงปลอดภัยทางการคลังและเศรษฐกิจของประเทศ การรักษาความปลอดภัยของประชาชน และความมั่นคงปลอดภัยสาธารณะ การป้องกันและปราบปรามการฟอกเงิน ยาเสพติด ภัยคุกคามข้ามชาติ การก่อการร้าย อาชญากรรมข้ามชาติ การค้ามนุษย์ การต่อต้านการทุจริต การรักษาความมั่นคงปลอดภัยทางไซเบอร์ การดำเนินการด้านสาธารณสุข สุขอนามัย เพื่อป้องกันโรคระบาด ชีวิต สุขภาพ และทรัพย์สินของประชาชน

1.2 การจัดเก็บภาษีตามกฎหมายที่อยู่ในความรับผิดชอบของกรมสรรพากร กรมศุลกากร กรมสรรพสามิต การดำเนินการใดๆ อันเกี่ยวกับการบังคับแก่บรรดาธรรมเนียมทางภาษีอากร ค่าฤชาธรรมเนียม หรือค่าอากรใดๆ ให้แก่หน่วยงานรัฐที่เกี่ยวข้อง และการดำเนินการที่เกี่ยวข้องกับประกันสังคม รวมถึงการเก็บรวบรวมใช้เปิดเผยหรือประมวลผล หรือส่งผ่านข้อมูลเพื่อดำเนินการดังกล่าวและการดำเนินการตามพันธกรณี หรือความร่วมมือระหว่างประเทศ

1.3 การป้องกันความเสี่ยง การตรวจสอบ การเฝ้าระวัง มาตรการเพื่อบรรเทา การรักษาเยียวยาฟื้นฟูความเสียหายที่เกิดจากภัยคุกคามต่อความมั่นคงปลอดภัยของประเทศ ซึ่งดำเนินการโดยพนักงานเจ้าหน้าที่ หน่วยงานรัฐที่มีกฎหมายรองรับสิทธิเพื่อป้องกันภัยสาธารณะ หรือภัยคุกคามใดๆ ที่ส่งผลต่อสาธารณชนในวงกว้าง

2. เก็บรวบรวม ใช้ เปิดเผย ประมวลผลข้อมูลส่วนบุคคล ให้แก่หน่วยงานรัฐหน่วยงานราชการ เพื่อประโยชน์สาธารณะ หรือเพื่อเป็นการดำเนินการตามพันธกรณีความร่วมมือหรือข้อตกลงระหว่างประเทศ ทวิภาคีหรือพหุภาคีหรืออนุสัญญาระหว่างประเทศ

3. เก็บรวมรวม ใช้ เปิดเผย ประมวลผลข้อมูลส่วนบุคคล เพื่อวัตถุประสงค์ในการพิจารณาพิพากษาคดีทุกประเภทของศาล การดำเนินการของศาล ผู้พิพากษา พนักงานอัยการหรือพนักงานสอบสวน ผู้ประกอบวิชาชีพกฎหมายหรือองค์กรหรือพนักงานเจ้าหน้าที่ของรัฐที่มีหน้าที่ที่เกี่ยวข้องกับกระบวนการยุติธรรมและบังคับคดี หรือการดำเนินการเพื่อความร่วมมือทางศาลและองค์กรที่เกี่ยวข้องกระบวนการยุติธรรมในประเทศและระหว่างประเทศ

พร้อมกันนี้ ยังได้มีการขยายความ “ผู้ควบคุมข้อมูลส่วนบุคคล” มีหมายความว่า บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล.