ข้อหารือที่ 1/2567 — สำนักงาน ป.ป.ช. (ข้อยกเว้น ม.4(5) + DPO + privacy notice)
สารบัญในมาตรานี้
ข้อกฎหมาย
- พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 — มาตรา 4 (5), มาตรา 4 วรรคสาม, มาตรา 6, มาตรา 23, มาตรา 24, มาตรา 26, มาตรา 41 และ มาตรา 93
- พระราชบัญญัติประกอบรัฐธรรมนูญว่าด้วยการป้องกันและปราบปรามการทุจริต พ.ศ. 2561 — มาตรา 28
- พระราชกฤษฎีกากำหนดหน่วยงานและกิจการที่ผู้ควบคุมข้อมูลส่วนบุคคลไม่อยู่ภายใต้บังคับ PDPA พ.ศ. 2563 (สิ้นผลใช้บังคับแล้ว)
- พระราชกฤษฎีกากำหนดหน่วยงานและกิจการที่ผู้ควบคุมข้อมูลส่วนบุคคลไม่อยู่ภายใต้บังคับ PDPA (ฉบับที่ 2) พ.ศ. 2564 (สิ้นผลใช้บังคับแล้ว)
ข้อหารือ
สำนักงาน ป.ป.ช. ขอให้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลตีความและวินิจฉัยชี้ขาดปัญหาการบังคับใช้ PDPA 9 ประเด็น:
- "การดำเนินงานตามกระบวนการยุติธรรมทางอาญา" รวมถึงการลงโทษทางวินัยด้วยหรือไม่
- ภารกิจ คกก. ป.ป.ช. ตามมาตรา 28 พ.ร.บ.ประกอบรัฐธรรมนูญ ป.ป.ช. = กระบวนการยุติธรรมทางอาญาตาม มาตรา 4 (5) หรือไม่
- ถ้า คกก. ป.ป.ช. ไม่ต้องปฏิบัติ PDPA · สำนักงาน ป.ป.ช. (งานธุรการ) ได้รับยกเว้นด้วยหรือไม่
- ถ้าสำนักงาน ป.ป.ช. ต้องปฏิบัติตาม PDPA ต้องกำหนดผู้ควบคุม/ผู้ประมวลผล/DPO อย่างไร
- ต้องกำหนดนโยบายคุ้มครองข้อมูลกับข้อมูลที่ได้รับยกเว้นตาม มาตรา 4 หรือไม่
- ข้อมูลส่วนบุคคลทุกข้อมูลของหน่วยงานรัฐ + ข้อมูลที่ยกเว้นตาม มาตรา 4 ต้องมีฐาน มาตรา 24 หรือไม่
- ขอให้สำนักงาน คคส. เผยแพร่นโยบายคุ้มครองข้อมูลเป็นแนวทาง
- มี พ.ร.ฎ. ยกเว้น PDPA แก่ผู้ควบคุมข้อมูลหรือไม่
- ขอสำเนารายงานคณะกรรมาธิการวิสามัญร่าง PDPA
ความเห็น
ข้อ 1 การดำเนินงานตามกระบวนการยุติธรรมทางอาญา = การดำเนินงานของเจ้าหน้าที่เพื่อกำหนดโทษที่จะลงแก่ผู้กระทำความผิดตามประมวลกฎหมายอาญา · กรณีเก็บ/ใช้/เปิดเผยข้อมูลเพื่อกระบวนการที่นำไปสู่การลงโทษอาญา = ได้รับยกเว้นตาม มาตรา 4 (5) — ไม่ต้องปฏิบัติ PDPA แต่ต้องจัดให้มีการรักษาความมั่นคงปลอดภัยตาม มาตรา 4 วรรคสาม · กรณีโทษทางวินัยที่ไม่เกี่ยวเนื่องกับการกระทำผิดทางอาญา ไม่ถือเป็นการดำเนินงานตามกระบวนการยุติธรรมทางอาญา จึงไม่ได้รับยกเว้นตาม มาตรา 4 (5) — ต้องปฏิบัติตาม มาตรา 24 และ มาตรา 26
ข้อ 2 หากภารกิจใดของ คกก. ป.ป.ช. ตามมาตรา 28 พ.ร.บ. ประกอบรัฐธรรมนูญ ป.ป.ช. เป็นการใช้อำนาจในการสอบสวนเช่นเดียวกับพนักงานสอบสวนตาม ป.วิ.อ. เพื่อกำหนดโทษอาญา = ดำเนินงานตามกระบวนการยุติธรรมทางอาญา ได้รับยกเว้นตาม มาตรา 4 (5) · การดำเนินการอื่นๆ ที่มิใช่กระบวนการยุติธรรมทางอาญา = ต้องปฏิบัติตาม PDPA
ข้อ 3 กรณีสำนักงาน ป.ป.ช. ใช้หน้าที่และอำนาจเพื่อดำเนินงานตามกระบวนการยุติธรรมทางอาญา = ได้รับยกเว้นตาม มาตรา 4 (5) แต่ต้องปฏิบัติตาม มาตรา 4 วรรคสาม · กรณีงานธุรการอื่น = ต้องปฏิบัติตาม PDPA
ข้อ 4 มาตรา 6 กำหนดให้บุคคลหรือนิติบุคคลซึ่งมีอำนาจตัดสินใจ = ผู้ควบคุม · บุคคลที่ดำเนินการตามคำสั่งหรือในนามของผู้ควบคุม = ผู้ประมวลผล · ดังนั้น สำนักงาน ป.ป.ช. (นิติบุคคล) ที่เก็บ/ใช้/เปิดเผยข้อมูลในหน้าที่ของตน = ผู้ควบคุมข้อมูลโดยตัวเอง โดยไม่ต้องกำหนดบุคคลใดอีก
มาตรา 41 กำหนดกรณีต้องมี DPO รวมถึงเมื่อกิจกรรมหลักเป็นการเก็บข้อมูลตาม มาตรา 26 (เช่น ประวัติอาชญากรรม) · สำนักงาน ป.ป.ช. ต้องจัดให้มี DPO โดยคำนึงถึงความรู้ความเชี่ยวชาญและไม่ขัดกับการปฏิบัติหน้าที่
ข้อ 5 กรณีข้อมูลที่ได้รับยกเว้นตาม มาตรา 4 = ไม่ต้องแจ้ง privacy notice ตาม มาตรา 23 แต่ต้องรักษาความมั่นคงปลอดภัยตาม มาตรา 4 วรรคสาม · ข้อมูลอื่นที่ไม่ยกเว้น = ต้องแจ้ง privacy notice · สำหรับ privacy policy (นโยบายภายในองค์กร) PDPA ไม่กำหนดให้ต้องจัดทำ แต่ถือเป็นมาตรการเชิงองค์กรที่ผู้ควบคุมข้อมูลควรพิจารณาจัดทำ
ข้อ 6 การเก็บข้อมูลส่วนบุคคลต้องขอความยินยอม หรือมีฐานตาม มาตรา 24 และ/หรือ มาตรา 26 เว้นแต่เป็นการดำเนินงานตาม มาตรา 4 · ดังนั้น สำนักงาน ป.ป.ช. เก็บข้อมูลเพื่อการอื่นที่ไม่ใช่ มาตรา 4 = ต้องปฏิบัติตาม มาตรา 24 / มาตรา 26 · กรณี มาตรา 4 = มีอำนาจตามกฎหมาย ไม่ต้องขอความยินยอม ไม่ต้องมีฐานทางกฎหมาย แต่ต้องรักษาความมั่นคงปลอดภัย
ข้อ 7 ปัจจุบัน (กันยายน 2565) สำนักงานปลัดกระทรวงดิจิทัลฯ ทำหน้าที่ สำนักงาน คคส. ชั่วคราวเพื่อจัดตั้งสำนักงาน คคส. ตาม มาตรา 93 · เผยแพร่นโยบายการคุ้มครองข้อมูลทาง https://www.mdes.go.th/mission/82
ข้อ 8 ปัจจุบัน (กันยายน 2565) ยังไม่มี พ.ร.ฎ. ยกเว้น PDPA ที่ใช้บังคับ · พ.ร.ฎ. กำหนดหน่วยงานและกิจการฯ พ.ศ. 2563 และ (ฉบับที่ 2) พ.ศ. 2564 ได้สิ้นผลใช้บังคับแล้ว · ร่างใหม่อยู่ระหว่างการตรวจพิจารณาของสำนักงานคณะกรรมการกฤษฎีกา
ข้อ 9 จะจัดส่งทางระบบอิเล็กทรอนิกส์