ครม. คลอดกฎหมายลูก "เว้นบังคับใช้ PDPA" ภารกิจความมั่นคง-ภาษี

วันที่ 5 ก.ค. 65 รายงานข่าวจากทำเนียบรัฐบาล เปิดเผยว่า การประชุมครม.วันนี้ ครม.มีมติที่น่าสนใจ แต่ไม่ได้มีการแถลงรายละเอียด คือ ครม.อนุมัติหลักการของกฎหมายลูก หรือ "ร่างพระราชกฤษฎีกา(พ.ร.ฎ.)กำหนดลักษณะ กิจการ หรือหน่วยงานที่ยกเว้นมิให้นำพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล(PDPA) พ.ศ. 2562 มาใช้บังคับ พ.ศ. ...." 

ซึ่งเป็นการ "กำหนดลักษณะ กิจการ หรือหน่วยงาน ที่ยกเว้นมิให้นำพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาใช้บังคับ พ.ศ. ...."  ตามที่กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม หรือ ดีอีเอส เสนอ และให้ส่งสำนักงานคณะกรรมการกฤษฎีกาตรวจพิจารณา โดยให้รับความเห็นของสำนักเลขาธิการคณะรัฐมนตรี สำนักงานสภาความมั่นคงแห่งชาติ และสำนักงานอัยการสูงสุดไปประกอบการพิจารณาด้วย แล้วดำเนินการต่อไปได้ 

 
สาระสำคัญของร่างพระราชกฤษฎีกา กำหนดข้อยกเว้นให้ "ผู้ควบคุมข้อมูลส่วนบุคคล" สามารถดำเนินการเก็บรวบรวม ใช้ เปิดเผย ประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ในการป้องกันประเทศ การรักษาความมั่นคงของประเทศ ความปลอดภัยสาธารณะ การจัดเก็บภาษีของหน่วยงานรัฐ การดำเนินการตามพันธกรณีระหว่างประเทศ การดำเนินการของหน่วยงาน ศาล อัยการ และผู้บังคับใช้กฎหมาย 

 

โดยมิให้นำบทบัญญัติใน 

• หมวด 2 การคุ้มครองข้อมูลส่วนบุคคล
• หมวด 3 สิทธิของเจ้าของข้อมูลส่วนบุคคล
• หมวด 5 การร้องเรียน 
• หมวด 6 ความรับผิดทางแพ่ง
• หมวด 7 บทกำหนดโทษ 

 

แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ทั้งหมดมาใช้บังคับกับผู้ควบคุมข้อมูลส่วนบุคคล ดังนี้

 

1.เมื่อได้รับการร้องขอจากหน่วยงานรัฐ หน่วยงานราชการที่มีกฎหมายเฉพาะหรือกฎหมายรองรับอำนาจ หากหน่วยงานดังกล่าวดำเนินการเพื่อวัตถุประสงค์หรือภารกิจ ดังต่อไปนี้

• การป้องกันประเทศ การรักษาความมั่นคงและปลอดภัยของประเทศ การข่าวกรอง การรักษาความปลอดภัยแห่งชาติ การรักษาความมั่นคงปลอดภัยทางการคลังและเศรษฐกิจของประเทศ การรักษาความปลอดภัยของประชาชน และความมั่นคงปลอดภัยสาธารณะ การป้องกันและปราบปรามการฟอกเงิน ยาเสพติด ภัยคุกคามข้ามชาติ การก่อการร้าย อาชญากรรมข้ามชาติ การค้ามนุษย์ การต่อต้านการทุจริต การรักษาความมั่นคงปลอดภัยทางไซเบอร์ การดำเนินการด้านสาธารณสุข สุขอนามัย เพื่อป้องกันโรคระบาด ชีวิต สุขภาพ และทรัพย์สินของประชาชน

 

• การจัดเก็บภาษีตามกฎหมายที่อยู่ในความรับผิดชอบของกรมสรรพากร กรมศุลกากร กรมสรรพสามิต การดำเนินการใด ๆ อันเกี่ยวกับการบังคับแก่บรรดาธรรมเนียมทางภาษีอากร ค่าฤชาธรรมเนียม หรือค่าอากรใด ๆ ให้แก่หน่วยงานรัฐที่เกี่ยวข้อง และการดำเนินการที่เกี่ยวข้องกับประกันสังคม รวมถึงการเก็บรวบรวมใช้เปิดเผยหรือประมวลผล หรือส่งผ่านข้อมูลเพื่อดำเนินการดังกล่าวและการดำเนินการตามพันธกรณี หรือความร่วมมือระหว่างประเทศ

 

• การป้องกันความเสี่ยง การตรวจสอบ การเฝ้าระวัง มาตรการเพื่อบรรเทา การรักษาเยียวยาฟื้นฟูความเสียหายที่เกิดจากภัยคุกคามต่อความมั่นคงปลอดภัยของประเทศ ซึ่งดำเนินการโดยพนักงานเจ้าหน้าที่ หน่วยงานรัฐที่มีกฎหมายรองรับสิทธิเพื่อป้องกันภัยสาธารณะ หรือภัยคุกคามใด ๆ ที่ส่งผลต่อสาธารณชนในวงกว้าง

 

2. เก็บรวบรวม ใช้ เปิดเผย ประมวลผลข้อมูลส่วนบุคคล ให้แก่หน่วยงานรัฐหน่วยงานราชการ เพื่อประโยชน์สาธารณะ หรือเพื่อเป็นการดำเนินการตามพันธกรณีความร่วมมือหรือข้อตกลงระหว่างประเทศ ทวิภาคีหรือพหุภาคีหรืออนุสัญญาระหว่างประเทศ

 

3. เก็บรวมรวม ใช้ เปิดเผย ประมวลผลข้อมูลส่วนบุคคล เพื่อวัตถุประสงค์ในการพิจารณาพิพากษาคดีทุกประเภทของศาล การดำเนินการของศาล ผู้พิพากษา พนักงานอัยการหรือพนักงานสอบสวน ผู้ประกอบวิชาชีพกฎหมายหรือองค์กรหรือพนักงานเจ้าหน้าที่ของรัฐที่มีหน้าที่ที่เกี่ยวข้องกับกระบวนการยุติธรรมและบังคับคดี หรือการดำเนินการเพื่อความร่วมมือทางศาลและองค์กรที่เกี่ยวข้องกระบวนการยุติธรรมในประเทศและระหว่างประเทศ

ผู้สื่อข่าวรายงานว่า สำหรับ “ผู้ควบคุมข้อมูลส่วนบุคคล” หมายความว่า บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

 

อย่างไรก็ตาม วาระครม.วาระนี้ กระทรวงดีอีเอส เสนอต่อที่ประชุมครม.ว่า สืบเนื่องจากพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีผลใช้บังคับแล้ว ในวันที่ 1 มิถุนายน 2565 ซึ่งมีสาระสำคัญเป็นการกำหนดหลักเกณฑ์ กลไกและมาตรการกำกับดูแลเกี่ยวกับการให้ความคุ้มครองข้อมูลส่วนบุคคลที่เป็นหลักการทั่วไปในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล สิทธิของเจ้าของข้อมูลส่วนบุคคล หน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคล การร้องเรียน รวมถึงความรับผิดทางแพ่ง โทษอาญา และโทษทางปกครอง 

 

แต่พ.ร.บ.ในเรื่องนี้อาจมีเนื้อหาสาระสำคัญที่มีผลกระทบต่อการเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคลที่ดำเนินการเพื่อวัตถุประสงค์ในการป้องกันประเทศ การรักษาความมั่นคงของประเทศ ความปลอดภัยสาธารณะ การจัดเก็บภาษีของหน่วยงานรัฐ การดำเนินการตามพันธกรณีระหว่างประเทศ การดำเนินการของหน่วยงาน ศาล อัยการ และผู้บังคับใช้กฎหมายอันเป็นเรื่องจำเป็นที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลในระดับสากลจะกำหนดข้อยกเว้นให้ผู้ควบคุมข้อมูลส่วนบุคคลสามารถดำเนินการเพื่อวัตถุประสงค์ดังกล่าวได้

 

กระทรวงดีอีเอส รายงานอีกว่า ในการประชุมหารือผู้แทนหน่วยงานด้านการรักษาความมั่นคง เมื่อวันที่ 2 กุมภาพันธ์ 2565 ได้พิจารณาและมีข้อยุติว่า สาระสำคัญของกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลและกฎหมายว่าด้วยข่าวกรองแห่งชาติมีผลกระทบต่อการดำเนินงานเพื่อรักษาผลประโยชน์ของชาติ จำเป็นต้องตราพระราชกฤษฎีกาตามมาตรา 4 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ยกเว้นมิให้นำพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาใช้บังคับ

 

โดยที่พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 4 วรรคสอง บัญญัติให้การยกเว้นไม่ให้นำบทบัญญัติแห่งพระราชบัญญัตินี้ทั้งหมดหรือแต่บางส่วนมาใช้บังคับแก่ผู้ควบคุมข้อมูลส่วนบุคคลในลักษณะใด กิจการใด หรือหน่วยงานใดทำนองเดียวกับผู้ควบคุมข้อมูลส่วนบุคคล หรือเพื่อประโยชน์สาธารณะอื่นใด ให้ตราเป็นพระราชกฤษฎีกา 

 

กระทรวงดีอีเอส จึงได้ยกร่างพระราชกฤษฎีกากำหนดลักษณะ กิจการ หรือหน่วยงานที่ยกเว้นมิให้นำพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาใช้บังคับ พ.ศ. .... ขึ้น เพื่อยกเว้นการบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ไม่ให้บังคับใช้กับลักษณะหรือกิจการ หรือหน่วยงานบางส่วนได้ 

 

หากเป็นการเก็บรวบรวม ใช้ เปิดเผย ข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคลที่ดำเนินการเพื่อวัตถุประสงค์ในการป้องกันประเทศ การรักษาความมั่นคงของประเทศ ความปลอดภัยสาธารณะ การจัดเก็บภาษีของหน่วยงานรัฐ การดำเนินการตามพันธกรณีระหว่างประเทศ การดำเนินการของหน่วยงาน ศาล อัยการ และผู้บังคับใช้กฎหมาย
        
และในการประชุมคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เมื่อวันที่ 23  พฤษภาคม 2565 ได้พิจารณาร่างพระราชกฤษฎีกากำหนดลักษณะ กิจการ หรือหน่วยงานที่ยกเว้นมิให้นำพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาใช้บังคับ พ.ศ. .... แล้ว มีมติเห็นชอบให้นำร่างพระราชกฤษฎีกาดังกล่าวเสนอต่อคณะรัฐมนตรีเพื่อพิจารณาต่อไป