วันที่ 5 ก.ค. 65 รายงานข่าวจากทำเนียบรัฐบาล เปิดเผยว่า การประชุมครม.วันนี้ ครม.มีมติที่น่าสนใจ แต่ไม่ได้มีการแถลงรายละเอียด คือ ครม.อนุมัติหลักการของกฎหมายลูก หรือ "ร่างพระราชกฤษฎีกา(พ.ร.ฎ.)กำหนดลักษณะ กิจการ หรือหน่วยงานที่ยกเว้นมิให้นำพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล(PDPA) พ.ศ. 2562 มาใช้บังคับ พ.ศ. ...."
ซึ่งเป็นการ "กำหนดลักษณะ กิจการ หรือหน่วยงาน ที่ยกเว้นมิให้นำพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาใช้บังคับ พ.ศ. ...." ตามที่กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม หรือ ดีอีเอส เสนอ และให้ส่งสำนักงานคณะกรรมการกฤษฎีกาตรวจพิจารณา โดยให้รับความเห็นของสำนักเลขาธิการคณะรัฐมนตรี สำนักงานสภาความมั่นคงแห่งชาติ และสำนักงานอัยการสูงสุดไปประกอบการพิจารณาด้วย แล้วดำเนินการต่อไปได้
สาระสำคัญของร่างพระราชกฤษฎีกา กำหนดข้อยกเว้นให้ "ผู้ควบคุมข้อมูลส่วนบุคคล" สามารถดำเนินการเก็บรวบรวม ใช้ เปิดเผย ประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ในการป้องกันประเทศ การรักษาความมั่นคงของประเทศ ความปลอดภัยสาธารณะ การจัดเก็บภาษีของหน่วยงานรัฐ การดำเนินการตามพันธกรณีระหว่างประเทศ การดำเนินการของหน่วยงาน ศาล อัยการ และผู้บังคับใช้กฎหมาย
โดยมิให้นำบทบัญญัติใน
แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ทั้งหมดมาใช้บังคับกับผู้ควบคุมข้อมูลส่วนบุคคล ดังนี้
1.เมื่อได้รับการร้องขอจากหน่วยงานรัฐ หน่วยงานราชการที่มีกฎหมายเฉพาะหรือกฎหมายรองรับอำนาจ หากหน่วยงานดังกล่าวดำเนินการเพื่อวัตถุประสงค์หรือภารกิจ ดังต่อไปนี้
2. เก็บรวบรวม ใช้ เปิดเผย ประมวลผลข้อมูลส่วนบุคคล ให้แก่หน่วยงานรัฐหน่วยงานราชการ เพื่อประโยชน์สาธารณะ หรือเพื่อเป็นการดำเนินการตามพันธกรณีความร่วมมือหรือข้อตกลงระหว่างประเทศ ทวิภาคีหรือพหุภาคีหรืออนุสัญญาระหว่างประเทศ
3. เก็บรวมรวม ใช้ เปิดเผย ประมวลผลข้อมูลส่วนบุคคล เพื่อวัตถุประสงค์ในการพิจารณาพิพากษาคดีทุกประเภทของศาล การดำเนินการของศาล ผู้พิพากษา พนักงานอัยการหรือพนักงานสอบสวน ผู้ประกอบวิชาชีพกฎหมายหรือองค์กรหรือพนักงานเจ้าหน้าที่ของรัฐที่มีหน้าที่ที่เกี่ยวข้องกับกระบวนการยุติธรรมและบังคับคดี หรือการดำเนินการเพื่อความร่วมมือทางศาลและองค์กรที่เกี่ยวข้องกระบวนการยุติธรรมในประเทศและระหว่างประเทศ
ผู้สื่อข่าวรายงานว่า สำหรับ “ผู้ควบคุมข้อมูลส่วนบุคคล” หมายความว่า บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
อย่างไรก็ตาม วาระครม.วาระนี้ กระทรวงดีอีเอส เสนอต่อที่ประชุมครม.ว่า สืบเนื่องจากพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีผลใช้บังคับแล้ว ในวันที่ 1 มิถุนายน 2565 ซึ่งมีสาระสำคัญเป็นการกำหนดหลักเกณฑ์ กลไกและมาตรการกำกับดูแลเกี่ยวกับการให้ความคุ้มครองข้อมูลส่วนบุคคลที่เป็นหลักการทั่วไปในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล สิทธิของเจ้าของข้อมูลส่วนบุคคล หน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคล การร้องเรียน รวมถึงความรับผิดทางแพ่ง โทษอาญา และโทษทางปกครอง
แต่พ.ร.บ.ในเรื่องนี้อาจมีเนื้อหาสาระสำคัญที่มีผลกระทบต่อการเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคลที่ดำเนินการเพื่อวัตถุประสงค์ในการป้องกันประเทศ การรักษาความมั่นคงของประเทศ ความปลอดภัยสาธารณะ การจัดเก็บภาษีของหน่วยงานรัฐ การดำเนินการตามพันธกรณีระหว่างประเทศ การดำเนินการของหน่วยงาน ศาล อัยการ และผู้บังคับใช้กฎหมายอันเป็นเรื่องจำเป็นที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลในระดับสากลจะกำหนดข้อยกเว้นให้ผู้ควบคุมข้อมูลส่วนบุคคลสามารถดำเนินการเพื่อวัตถุประสงค์ดังกล่าวได้
กระทรวงดีอีเอส รายงานอีกว่า ในการประชุมหารือผู้แทนหน่วยงานด้านการรักษาความมั่นคง เมื่อวันที่ 2 กุมภาพันธ์ 2565 ได้พิจารณาและมีข้อยุติว่า สาระสำคัญของกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลและกฎหมายว่าด้วยข่าวกรองแห่งชาติมีผลกระทบต่อการดำเนินงานเพื่อรักษาผลประโยชน์ของชาติ จำเป็นต้องตราพระราชกฤษฎีกาตามมาตรา 4 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ยกเว้นมิให้นำพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาใช้บังคับ
โดยที่พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 4 วรรคสอง บัญญัติให้การยกเว้นไม่ให้นำบทบัญญัติแห่งพระราชบัญญัตินี้ทั้งหมดหรือแต่บางส่วนมาใช้บังคับแก่ผู้ควบคุมข้อมูลส่วนบุคคลในลักษณะใด กิจการใด หรือหน่วยงานใดทำนองเดียวกับผู้ควบคุมข้อมูลส่วนบุคคล หรือเพื่อประโยชน์สาธารณะอื่นใด ให้ตราเป็นพระราชกฤษฎีกา
กระทรวงดีอีเอส จึงได้ยกร่างพระราชกฤษฎีกากำหนดลักษณะ กิจการ หรือหน่วยงานที่ยกเว้นมิให้นำพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาใช้บังคับ พ.ศ. .... ขึ้น เพื่อยกเว้นการบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ไม่ให้บังคับใช้กับลักษณะหรือกิจการ หรือหน่วยงานบางส่วนได้
หากเป็นการเก็บรวบรวม ใช้ เปิดเผย ข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคลที่ดำเนินการเพื่อวัตถุประสงค์ในการป้องกันประเทศ การรักษาความมั่นคงของประเทศ ความปลอดภัยสาธารณะ การจัดเก็บภาษีของหน่วยงานรัฐ การดำเนินการตามพันธกรณีระหว่างประเทศ การดำเนินการของหน่วยงาน ศาล อัยการ และผู้บังคับใช้กฎหมาย
และในการประชุมคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เมื่อวันที่ 23 พฤษภาคม 2565 ได้พิจารณาร่างพระราชกฤษฎีกากำหนดลักษณะ กิจการ หรือหน่วยงานที่ยกเว้นมิให้นำพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาใช้บังคับ พ.ศ. .... แล้ว มีมติเห็นชอบให้นำร่างพระราชกฤษฎีกาดังกล่าวเสนอต่อคณะรัฐมนตรีเพื่อพิจารณาต่อไป