ประกาศ เรื่อง หลักเกณฑ์มาตรการคุ้มครองการเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรม พ.ศ. 2566

3 แนวคิดที่เกี่ยวข้อง · 3 มาตราอ้างอิง

สารบัญในหน้านี้

ใจความสำคัญ
ตัวบท
เหตุผลและฐานอำนาจ
เอกสารต้นฉบับ
แนวคิดที่เกี่ยวข้อง

ใจความสำคัญ

ข้อมูลประวัติอาชญากรรมเป็นข้อมูลอ่อนไหวตาม มาตรา 26 ซึ่งวรรคสามกำหนดว่าการเก็บรวบรวมต้องกระทำภายใต้การควบคุมของหน่วยงานที่มีอำนาจหน้าที่ตามกฎหมาย หรือมีมาตรการคุ้มครองตามหลักเกณฑ์ที่คณะกรรมการกำหนด — ประกาศฉบับนี้คือหลักเกณฑ์สำหรับกรณีหลัง (การเก็บรวบรวมที่ "มิได้" อยู่ใต้การควบคุมของหน่วยงานรัฐ เช่น นายจ้างเอกชนตรวจประวัติผู้สมัครงาน) ประกาศในราชกิจจานุเบกษาเมื่อ 8 มกราคม 2567 และมีผลใช้บังคับเมื่อพ้นกำหนด 90 วันนับแต่วันประกาศ คือตั้งแต่ 7 เมษายน 2567

"ข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรม" ครอบคลุมข้อมูลการสืบสวนสอบสวน การดำเนินคดีอาญา และการรับโทษทางอาญา ที่เป็นข้อมูลทางการหรือรับรองโดยหน่วยงานรัฐ ไม่ว่าคดีถึงที่สุดแล้วหรือไม่ (ข้อ 3)
เก็บรวบรวมได้เฉพาะ 2 ฐาน: มีบทบัญญัติแห่งกฎหมายให้ต้องตรวจสอบประวัติอาชญากรรม/คุณสมบัติ/ลักษณะต้องห้าม หรือได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูล (ข้อ 5 วรรคหนึ่ง)
และต้องอยู่ในวัตถุประสงค์ 3 กลุ่มเท่านั้น: (1) การพิจารณารับบุคคลเข้าทำงานหรือพิจารณาความเหมาะสมในการดำรงตำแหน่ง (2) การตรวจสอบคุณสมบัติในกระบวนการอนุญาต ทะเบียน สวัสดิการ หรือบริการ โดยหน่วยงานรัฐหรือผู้ได้รับมอบหมายให้ใช้อำนาจแทนหน่วยงานรัฐ (3) การตรวจสอบทำนองเดียวกันโดยผู้ควบคุมข้อมูลส่วนบุคคลอื่น (ข้อ 5 (1)-(3))
ถ้าการเก็บประวัติอาชญากรรมสำคัญและจำเป็นต่อการดำเนินการ ต้องแจ้งความจำเป็นตั้งแต่ขั้นตอนประกาศรับสมัคร สรรหา หรือรับเรื่อง (ข้อ 5 วรรคสอง)
กรณีใช้ฐานความยินยอม ต้องแจ้งผลกระทบของการไม่ให้หรือถอนความยินยอมด้วย (ข้อ 6)
ต้องมีมาตรการเชิงองค์กรและเชิงเทคนิค (อาจรวมทางกายภาพ) เพื่อคุมให้การเก็บรวบรวม ใช้ เปิดเผย เป็นไปเท่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมาย (ข้อ 7) และมาตรการรักษาความมั่นคงปลอดภัยตามมาตรฐานขั้นต่ำที่คณะกรรมการประกาศกำหนดตาม มาตรา 37 (1) (ข้อ 8)
เพดานการเก็บรักษา: เมื่อภารกิจตามข้อ 5 วรรคหนึ่งเสร็จสิ้นและไม่มีกฎหมายเฉพาะ/ความจำเป็นอื่น เก็บต่อได้ไม่เกิน 6 เดือนต่อเจ้าของข้อมูลแต่ละราย เว้นแต่ได้รับความยินยอมโดยชัดแจ้งเป็นอย่างอื่น เมื่อพ้นระยะหรือหมดความจำเป็นต้องลบ ทำลาย หรือทำให้ระบุตัวบุคคลไม่ได้ (ข้อ 9)

ตัวบท

ข้อ 1 ประกาศนี้เรียกว่า "ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์เกี่ยวกับมาตรการคุ้มครองสำหรับการเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมที่มิได้กระทำภายใต้การควบคุมของหน่วยงานที่มีอำนาจหน้าที่ตามกฎหมาย พ.ศ. 2566"

ข้อ 2 ประกาศนี้ให้ใช้บังคับเมื่อพ้นกำหนดเก้าสิบวันนับแต่วันประกาศในราชกิจจานุเบกษาเป็นต้นไป

ข้อ 3 ในประกาศนี้

"ข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรม" หมายความว่า ข้อมูลส่วนบุคคลเกี่ยวกับการสืบสวนสอบสวนการกระทำความผิดอาญา การดำเนินคดีอาญา หรือการรับโทษทางอาญา ที่เป็นข้อมูลที่เป็นทางการหรือรับรองโดยหน่วยงานของรัฐที่มีอำนาจหน้าที่ตามกฎหมายเกี่ยวกับการดำเนินการดังกล่าว ทั้งนี้ ไม่ว่าการดำเนินการนั้นจะถึงที่สุดแล้วหรือไม่ก็ตาม

ข้อ 4 ประกาศนี้ให้ใช้บังคับแก่การเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมที่มิได้กระทำภายใต้การควบคุมของหน่วยงานที่มีอำนาจหน้าที่ตามกฎหมายตาม มาตรา 26 วรรคสาม แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

ข้อ 5 ผู้ควบคุมข้อมูลส่วนบุคคลจะเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมได้เฉพาะเมื่อมีบทบัญญัติแห่งกฎหมายบัญญัติให้ต้องตรวจสอบประวัติอาชญากรรมหรือตรวจสอบคุณสมบัติหรือลักษณะต้องห้ามเกี่ยวกับการกระทำความผิดอาญาหรือการรับโทษทางอาญา หรือได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคลเท่านั้น สำหรับกรณีที่เป็นไปเพื่อวัตถุประสงค์ดังต่อไปนี้

(1) การพิจารณารับบุคคลเข้าทำงาน หรือการตรวจสอบคุณสมบัติ ลักษณะต้องห้าม หรือพิจารณาความเหมาะสมของบุคคลที่จะให้ดำรงตำแหน่งใด

(2) การตรวจสอบคุณสมบัติหรือลักษณะต้องห้ามของบุคคลในการอนุญาต ออกใบอนุญาต อนุมัติ จดทะเบียน ขึ้นทะเบียน รับแจ้ง รับจดแจ้ง ออกอาชญาบัตร รับรอง เห็นชอบ ให้ความเห็น พิจารณา พิจารณาอุทธรณ์ ร้องทุกข์ หรือร้องเรียน ดำเนินการ จ่ายเงิน ให้ได้รับสวัสดิการ หรือให้บริการอื่นแก่บุคคล โดยหน่วยงานของรัฐหรือผู้ควบคุมข้อมูลส่วนบุคคลที่ได้รับมอบหมายให้ปฏิบัติหน้าที่ในการใช้อำนาจแทนหน่วยงานของรัฐ

(3) การตรวจสอบคุณสมบัติหรือลักษณะต้องห้ามของบุคคลในการอนุญาต อนุมัติ รับรอง เห็นชอบ ให้ความเห็น พิจารณา พิจารณาอุทธรณ์ ร้องทุกข์ หรือร้องเรียน ดำเนินการ จ่ายเงิน ให้ได้รับสวัสดิการ หรือให้บริการอื่นแก่บุคคล โดยผู้ควบคุมข้อมูลส่วนบุคคลอื่นนอกเหนือจากที่กำหนดใน (2)

ในกรณีที่การเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมมีความสำคัญอย่างยิ่งและมีความจำเป็นต่อการดำเนินการตามวรรคหนึ่ง ให้ผู้ควบคุมข้อมูลส่วนบุคคลแจ้งความจำเป็นในการเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมดังกล่าวตั้งแต่ขั้นตอนการประกาศหรือประชาสัมพันธ์การรับสมัคร การสรรหา การเสนอชื่อ หรือการรับเรื่องสำหรับการดำเนินการเช่นว่านั้น

ข้อ 6 ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลขอความยินยอมในการเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมจากเจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งผลกระทบของการไม่ให้ความยินยอมหรือการถอนความยินยอม ในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลด้วย

ข้อ 7 ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องจัดให้มีมาตรการเชิงองค์กร (organizational measures) และมาตรการเชิงเทคนิค (technical measures) ที่เหมาะสม ซึ่งอาจรวมถึงมาตรการทางกายภาพ (physical measures) ที่จำเป็นด้วย เพื่อควบคุมให้การเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลตามประกาศนี้ เป็นไปเท่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล

ข้อ 8 ในการเก็บรวบรวมข้อมูลส่วนบุคคลตามประกาศนี้ ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยให้เหมาะสมกับความเสี่ยงที่มีต่อสิทธิและเสรีภาพของบุคคล ซึ่งจะต้องเป็นไปตามมาตรฐานขั้นต่ำที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนดตาม มาตรา 37 (1)

ข้อ 9 ในกรณีที่ไม่มีบทบัญญัติแห่งกฎหมายใดบัญญัติไว้เป็นการเฉพาะ และไม่มีความจำเป็นตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ในการเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมเพื่อการดำเนินการตามข้อ 5 วรรคหนึ่ง เมื่อการดำเนินการดังกล่าวเสร็จสิ้นแล้ว ให้ผู้ควบคุมข้อมูลส่วนบุคคลเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมนั้นไว้ได้อีกไม่เกินหกเดือนนับแต่วันที่การดำเนินการดังกล่าวเสร็จสิ้นสำหรับเจ้าของข้อมูลส่วนบุคคลแต่ละราย ตามวัตถุประสงค์และความจำเป็นในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เว้นแต่จะได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคลเป็นอย่างอื่น

เมื่อสิ้นสุดระยะเวลาในการเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมตามวรรคหนึ่ง หรือหมดความจำเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ให้ผู้ควบคุมข้อมูลส่วนบุคคลลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลดังกล่าวเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ ด้วยวิธีการที่เหมาะสม

ข้อ 10 ให้ประธานกรรมการคุ้มครองข้อมูลส่วนบุคคลเป็นผู้รักษาการตามประกาศนี้

ประกาศ ณ วันที่ 28 ธันวาคม พ.ศ. 2566

เธียรชัย ณ นคร

ประธานกรรมการคุ้มครองข้อมูลส่วนบุคคล

เหตุผลและฐานอำนาจ

โดยที่ มาตรา 26 วรรคสาม แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 บัญญัติว่าการเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมต้องกระทำภายใต้การควบคุมของหน่วยงานที่มีอำนาจหน้าที่ตามกฎหมาย หรือได้จัดให้มีมาตรการคุ้มครองข้อมูลส่วนบุคคลตามหลักเกณฑ์ที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด

อาศัยอำนาจตามความใน มาตรา 16 (4) และ มาตรา 26 วรรคสาม แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล จึงออกประกาศกำหนดหลักเกณฑ์เกี่ยวกับมาตรการคุ้มครองสำหรับการเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมที่มิได้กระทำภายใต้การควบคุมของหน่วยงานที่มีอำนาจหน้าที่ตามกฎหมาย