หน้าหลัก

ข้อหารือที่ 10/2567 — สมาคมธนาคารไทย (ประวัติอาชญากรรมผู้สมัครงาน)

10 มาตราอ้างอิง
สารบัญในมาตรานี้
  1. ข้อกฎหมาย
  2. ข้อหารือ
  3. ความเห็น
  4. เอกสารต้นฉบับ

ข้อกฎหมาย

  1. พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 4 วรรคหนึ่งและวรรคสอง มาตรา 19 วรรคหนึ่ง วรรคสาม และวรรคสี่ มาตรา 20
    มาตรา 21 วรรคสอง มาตรา 23 มาตรา 26 (4) และ (5) (ก) และ (จ) มาตรา 26 วรรคสาม
    มาตรา 33 วรรคห้า มาตรา 37 (3) มาตรา 73 และ มาตรา 95
  2. พระราชบัญญัติบริษัทมหาชนจำกัด พ.ศ. 2535
    มาตรา 68 (3)
  3. พระราชบัญญัติธุรกิจสถาบันการเงิน พ.ศ. 2551 มาตรา 24 (2) และ (10) และมาตรา 58
  4. พระราชบัญญัติป้องกันและปราบปรามการสนับสนุนทางการเงินแก่การก่อการร้ายและการแพร่ขยาย อาวุธที่มีอานุภาพทำลายล้างสูง พ.ศ. 2559
  5. พระราชกำหนดมาตรการป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยี พ.ศ. 2566
  6. ประกาศธนาคารแห่งประเทศไทย ที่ สนส. 3/2564 เรื่อง หลักเกณฑ์การพิจารณาให้ความเห็นชอบ การแต่งตั้งกรรมการ ผู้จัดการ ผู้มีอำนาจในการจัดการ หรือที่ปรึกษาของสถาบันการเงิน บริษัทแม่ ของสถาบันการเงิน และบริษัทลูกที่ประกอบธุรกิจทางการเงิน ข้อ 5.3.1 (1) (2) และ (3)
  7. ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์เกี่ยวกับมาตรการคุ้มครองสำหรับ การเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมที่มิได้กระทำภายใต้การควบคุมของ หน่วยงานที่มีอำนาจหน้าที่ตามกฎหมาย พ.ศ. 2566 ข้อ 3 ข้อ 5 และข้อ 9

ข้อหารือ

สมาคมธนาคารไทยแจ้งว่า ธุรกิจสถาบันการเงินสมาชิกจัดเป็นธุรกิจอันเป็นที่ไว้วางใจ ของประชาชน ซึ่งการจัดตั้ง การขอใบอนุญาต และการประกอบธุรกิจของสถาบันการเงินสมาชิกจะอยู่ภายใต้ การกำกับดูแลโดยธนาคารแห่งประเทศไทยตามที่พระราชบัญญัติธุรกิจสถาบันการเงิน พ.ศ. 2551 กำหนด
ผู้ที่จะเป็นพนักงานของสถาบันการเงินสมาชิกจึงมีความจำเป็นที่จะต้องเกี่ยวข้องกับการบริหารจัดการทรัพย์สิน และการดูแลทรัพย์สินของผู้ฝากเงินหรือเจ้าของบัญชีอย่างไม่อาจหลีกเลี่ยงได้ ดังนั้น การเข้าเป็นพนักงาน ของสถาบันการเงินสมาชิกที่มีหน้าที่เกี่ยวข้องกับการบริหารสินทรัพย์ของประชาชนจึงต้องมีความซื่อสัตย์สุจริต อย่างยิ่งและต้องมีความรับผิดชอบต่อระบบเศรษฐกิจ ในการรับผู้สมัครงานเข้าเป็นพนักงานของสถาบันการเงิน สมาชิก สถาบันการเงินสมาชิกจึงจำเป็นต้องกำหนดให้ผู้สมัครคัดสำเนาประวัติอาชญากรรมของตนเองมายื่นต่อ สถาบันการเงินสมาชิกอย่างช้าที่สุดในวันเริ่มทำงานวันแรก หรือลงนามในหนังสือยินยอมให้สถาบันการเงินสมาชิก ตรวจสอบประวัติอาชญากรรมของผู้สมัครกับกองทะเบียนประวัติอาชญากร สำนักงานตำรวจแห่งชาติ เพื่อใช้ใน การพิจารณารับบุคคลเข้าทำงาน หรือการตรวจสอบคุณสมบัติ ลักษณะต้องห้าม หรือพิจารณาความเหมาะสม ของบุคคลที่จะให้ดำรงตำแหน่ง แต่เนื่องด้วยประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์ เกี่ยวกับมาตรการคุ้มครองสำหรับการเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมที่มิได้กระทำ ภายใต้การควบคุมของหน่วยงานที่มีอำนาจหน้าที่ตามกฎหมาย พ.ศ. 2566 (“ประกาศฯ”) ได้กำหนดหลักเกณฑ์ เกี่ยวกับมาตรการคุ้มครองสำหรับการเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมที่มิได้กระทำ ภายใต้การควบคุมของหน่วยงานที่มีอำนาจหน้าที่ตามกฎหมายซึ่งอาจมีผลกระทบต่อแนวทางการดำเนินงาน ของสถาบันการเงินสมาชิก ดังนั้น เพื่อให้การดำเนินงานของสถาบันการเงินสมาชิกต่าง ๆ ในการเก็บรวบรวมข้อมูล ส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมสอดคล้องกับเงื่อนไขที่กำหนดในประกาศฯ และหน้าที่ในฐานะองค์กร อันเป็นที่ไว้วางใจของประชาชน สมาคมธนาคารไทยในนามของสถาบันการเงินสมาชิก จึงขอหารือ มายังคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เพื่อขอให้ตีความและวินิจฉัยชี้ขาดปัญหาที่เกิดจากการบังคับใช้ ประกาศฯ ฉบับดังกล่าวเพื่อประโยชน์ของสมาชิกในการปฏิบัติให้สอดคล้องกับกฎหมายที่เกี่ยวข้องใน 5 ประเด็น

ความเห็น

คณะอนุกรรมการตอบข้อหารือและให้คำแนะนำในการปฏิบัติตามกฎหมายว่าด้วยการคุ้มครอง ข้อมูลส่วนบุคคล ในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล พิจารณาแล้วมีความเห็นในแต่ละประเด็น ดังนี้ ประเด็นที่ 1 ความหมายของ “ข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรม” 1.1 การจัดเก็บเอกสารต้นฉบับหรือสำเนาเอกสารจากกองทะเบียนประวัติอาชญากร สำนักงาน ตำรวจแห่งชาติ หรือหน่วยงานที่มีอำนาจหน้าที่ตามกฎหมาย ในกรณีดังต่อไปนี้ (ก) หากเอกสารดังกล่าวมีการบันทึกว่า “ไม่พบประวัติอาชญากรรม” หรือข้อความอื่นในทำนอง เดียวกัน เอกสารดังกล่าวถือว่าเป็นข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมตามประกาศฯ หรือไม่ บทนิยามตามข้อ 3 ของประกาศฯ ซึ่งออกตามความใน มาตรา 26 วรรคสาม แห่งพระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนดให้ข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรม หมายความถึง ข้อมูลส่วนบุคคลเกี่ยวกับการสืบสวนสอบสวนการกระทำความผิดอาญา การดำเนินคดีอาญา หรือการรับโทษทาง อาญาที่เป็นข้อมูลที่เป็นทางการหรือรับรองโดยหน่วยงานของรัฐที่มีอำนาจหน้าที่ตามกฎหมายเกี่ยวกับการ ดำเนินการดังกล่าว ทั้งนี้ ไม่ว่าการดำเนินการนั้นจะถึงที่สุดแล้วหรือไม่ก็ตาม ดังนั้น การจัดเก็บเอกสารต้นฉบับ หรือสำเนาเอกสารจากกองทะเบียนประวัติอาชญากร สำนักงานตำรวจแห่งชาติ หรือหน่วยงานที่มีอำนาจหน้าที่ ตามกฎหมาย ที่ระบุว่า “ไม่พบประวัติอาชญากรรม” หรือข้อความอื่นในทำนองเดียวกัน โดยไม่มีการเชื่อมโยง หรืออาจเชื่อมโยงไปยังข้อมูลส่วนบุคคลอื่นใดที่เกี่ยวกับการสืบสวนสอบสวนการกระทำความผิดอาญา การดำเนิน คดีอาญา หรือการรับโทษทางอาญา จึงไม่ถือเป็นการเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรม ตามประกาศนี้ และ มาตรา 26 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (ข) หากเอกสารดังกล่าวมีการบันทึกว่า “โจทก์ถอนฟ้อง” / “อัยการสั่งไม่ฟ้อง” / “พิพากษา ให้รอลงอาญา” / “อยู่ระหว่างการอุทธรณ์” หรือข้อความอื่นในทำนองเดียวกัน เอกสารดังกล่าวถือว่าเป็นข้อมูล ส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมตามประกาศฯ หรือไม่ เนื่องจากข้อเท็จจริงดังกล่าวปรากฏข้อมูลส่วนบุคคลที่เกี่ยวข้องกับการถอนฟ้อง การสั่งไม่ฟ้อง การดำเนินการที่อยู่ในกระบวนพิจารณาคดี หรือการรับโทษ หากเป็นกรณีที่เกี่ยวกับการกระทำความผิดอาญา คดีอาญา หรือโทษทางอาญา ย่อมถือเป็นส่วนหนึ่งของการสืบสวนสอบสวนการกระทำความผิดอาญา การดำเนิน คดีอาญา หรือการรับโทษทางอาญา ตามบทนิยามของคำว่า “ข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรม”
ในข้อ 3 ของประกาศฯ ดังนั้น การจัดเก็บเอกสารต้นฉบับหรือสำเนาเอกสารจากกองทะเบียนประวัติอาชญากร สำนักงานตำรวจแห่งชาติ หรือหน่วยงานที่มีอำนาจหน้าที่ตามกฎหมายในกรณีดังกล่าว จึงถือเป็นการเก็บรวบรวม ข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมตามประกาศนี้ 1.2 ในกรณีที่หน่วยงานมีการนำข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมมาบันทึกในระบบ ของสถาบันการเงินสมาชิกว่าพนักงานรายนั้น ๆ “พบประวัติอาชญากรรม” หรือ “ไม่พบประวัติอาชญากรรม” หรือ “ผ่านกระบวนการตรวจประวัติอาชญากรรมเรียบร้อยแล้ว” หรือ “ผ่านการตรวจคุณสมบัติเรียบร้อยแล้ว” โดยไม่ได้ให้รายละเอียดใด ๆ เพิ่มเติมเกี่ยวกับพฤติกรรมการกระทำความผิดหรือบทกำหนดโทษ การบันทึก ลงระบบในลักษณะดังกล่าวข้างต้น ถือว่าเป็นข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมตามประกาศฯ หรือไม่ การที่หน่วยงานที่เป็นผู้ควบคุมข้อมูลส่วนบุคคลนำข้อมูลส่วนบุคคลที่เป็นข้อมูลที่เป็นทางการ หรือรับรองโดยหน่วยงานของรัฐที่มีอำนาจหน้าที่ตามกฎหมาย มาบันทึกในระบบของสถาบันการเงินสมาชิกว่า พนักงานรายใดพบประวัติอาชญากรรมหรือไม่ หรือผ่านกระบวนการตรวจสอบประวัติอาชญากรรมแล้วหรือไม่ โดยไม่ได้ให้รายละเอียดใด ๆ เพิ่มเติมเกี่ยวกับข้อเท็จจริงและพฤติการณ์ในการกระทำความผิดหรือการรับโทษ อาจพิจารณาได้เป็น 2 กรณี ดังนี้ (1) สำหรับการบันทึกว่าพบประวัติอาชญากรรม หรือข้อความอื่นในทำนองเดียวกัน แม้ไม่ได้ ปรากฏข้อเท็จจริงและพฤติการณ์ในการกระทำความผิดอาญาหรือการรับโทษทางอาญา ก็ถือได้ว่าเป็นการเก็บ รวบรวมข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมตามประกาศนี้แล้ว เนื่องจากเป็นข้อมูลส่วนบุคคล ตามบทนิยามตามข้อ 3 ของประกาศฯ (2) สำหรับการบันทึกว่าไม่พบประวัติอาชญากรรม หรือผ่านกระบวนการตรวจประวัติ อาชญากรรมเรียบร้อยแล้ว หรือผ่านการตรวจคุณสมบัติเรียบร้อยแล้ว หรือข้อความอื่นในทำนองเดียวกัน
โดยไม่มีการเชื่อมโยงหรืออาจเชื่อมโยงไปยังข้อมูลส่วนบุคคลอื่นใดที่เกี่ยวกับการสืบสวนสอบสวนการกระทำ ความผิดอาญา การดำเนินคดีอาญา หรือการรับโทษทางอาญา ข้อมูลส่วนบุคคลดังกล่าวไม่ถือเป็นข้อมูล ส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมตามประกาศนี้ ตามที่ได้ให้ความเห็นไว้ในประเด็นที่ 1.1 (ก) ประเด็นที่ 2 ขอบเขตการใช้บังคับของประกาศฯ ในเชิงเงื่อนเวลา 2.1 ข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมที่เก็บรวบรวมมาก่อนวันที่ประกาศฯ
จะมีผลใช้บังคับ สถาบันการเงินสมาชิกมีหน้าที่ต้องดำเนินการตามเงื่อนไขต่าง ๆ ที่กำหนดในประกาศฯ หรือไม่ อาทิ ระยะเวลาการจัดเก็บไม่เกิน 6 เดือน (ในกรณีที่สถาบันการเงินสมาชิกไม่มีบทบัญญัติแห่งกฎหมายใดบัญญัติ ไว้เป็นการเฉพาะ และไม่มีความจำเป็นตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ในการเก็บรวบรวมข้อมูล ส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมตามที่กำหนดไว้ในข้อ 9 ของประกาศฯ)
กรณีที่สถาบันการเงินสมาชิกได้เก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรม ก่อนวันที่ประกาศฯ จะมีผลใช้บังคับ ซึ่งข้อมูลเหล่านี้ถูกจัดเก็บอยู่ในคลังเอกสารและไม่ได้ถูกนำออกมาใช้อีกเลย และเมื่อประกาศฯ มีผลใช้บังคับแล้ว ขอหารือว่าสถาบันการเงินสมาชิกมีความจำเป็นต้องดำเนินการลบ หรือทำลายข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมเหล่านี้ที่ครบหรือเกินกว่าระยะเวลา 6 เดือนทันทีหรือไม่ 2.2 ในกรณีที่สถาบันการเงินสมาชิกมีหน้าที่ต้องปฏิบัติตามข้อ 9 ของประกาศฯ ระยะเวลา 6 เดือน ให้นับแต่วันที่ประกาศฯ มีผลใช้บังคับ (ข้อมูลส่วนบุคคลเก็บรวบรวมมาก่อนวันที่ประกาศฯ จะมีผลใช้บังคับ) หรือให้นับจากวันที่ข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมดังกล่าวไม่มีความจำเป็นตามกฎหมายว่าด้วยการ คุ้มครองข้อมูลส่วนบุคคลในการเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมเพื่อการดำเนินการ ตามข้อ 5 วรรคหนึ่ง สำหรับประเด็นข้อหารือที่ 2.1 และที่ 2.2 เกี่ยวกับข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรม ที่ได้เก็บรวบรวมมาก่อนวันที่ประกาศฯ ใช้บังคับ อาจแยกพิจารณาได้เป็น 2 กรณี ดังนี้ (1) กรณีข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมที่ได้เก็บรวบรวมไว้ก่อนวันที่ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ใช้บังคับ ซึ่งผู้ควบคุมข้อมูลส่วนบุคคลสามารถเก็บรวบรวม และใช้ข้อมูลส่วนบุคคลนั้นต่อไปได้ตามวัตถุประสงค์เดิมตาม มาตรา 95 วรรคหนึ่ง แห่งพระราชบัญญัติคุ้มครอง ข้อมูลส่วนบุคคล พ.ศ. 2562 แต่การเปิดเผยและการดำเนินการอื่นที่มิใช่การเก็บรวบรวมและการใช้ข้อมูล ส่วนบุคคล ต้องเป็นไปตามบทบัญญัติแห่งพระราชบัญญัตินี้ ตาม มาตรา 95 วรรคสอง ดังนั้น ผู้ควบคุมข้อมูล ส่วนบุคคลจึงมีหน้าที่ในการจัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลดังกล่าวเมื่อ พ้นกำหนดระยะเวลาการเก็บรักษาตาม มาตรา 37 (3) ด้วย โดยระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคลเกี่ยวกับ ประวัติอาชญากรรมย่อมเป็นไปตามข้อ 9 ของประกาศฯ ซึ่งกำหนดว่า สำหรับการเก็บรวบรวมข้อมูลส่วนบุคคล นั้นเพื่อการดำเนินการตามวัตถุประสงค์ในข้อ 5 วรรคหนึ่งของประกาศฯ หากไม่มีบทบัญญัติแห่งกฎหมาย ใดบัญญัติไว้เป็นการเฉพาะ และไม่มีความจำเป็นตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ตลอดจน ไม่ได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคลเป็นอย่างอื่น ให้เก็บรวบรวมไว้ได้อีกไม่เกิน 6 เดือน นับแต่วันที่การดำเนินการดังกล่าวเสร็จสิ้นสำหรับเจ้าของข้อมูลส่วนบุคคลแต่ละรายตามวัตถุประสงค์ และความจำเป็นในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล อย่างไรก็ตาม เนื่องจากการเก็บรวบรวม ข้อมูลส่วนบุคคลดังกล่าวเกิดขึ้นก่อนวันที่ประกาศดังกล่าวมีผลใช้บังคับ (วันที่ 7 เมษายน 2567) ข้อกำหนด ในเรื่องระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมตามประกาศดังกล่าวจะต้องไม่มีผล ย้อนหลังเป็นโทษแก่ผู้ควบคุมข้อมูลส่วนบุคคล ดังนั้น ระยะเวลา 6 เดือนดังกล่าว จึงเริ่มนับแต่วันที่ประกาศฯ
มีผลใช้บังคับเป็นต้นไป (2) กรณีข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมที่เก็บรวบรวมมาเมื่อพระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ใช้บังคับแล้ว แต่ก่อนที่ประกาศฯ จะมีผลใช้บังคับ การดำเนินการเกี่ยวกับ ข้อมูลส่วนบุคคล รวมถึงระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคลจะอยู่ภายใต้บังคับแห่งพระราชบัญญัติดังกล่าว โดยข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมดังกล่าวที่เก็บรวบรวมมาเพื่อดำเนินการตามวัตถุประสงค์ ตามข้อ 5 วรรคหนึ่งของประกาศฯ หากไม่มีบทบัญญัติแห่งกฎหมายใดบัญญัติไว้เป็นการเฉพาะ และไม่มี ความจำเป็นตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ตลอดจนไม่ได้รับความยินยอมโดยชัดแจ้งจาก เจ้าของข้อมูลส่วนบุคคลเป็นอย่างอื่น จะอยู่ภายใต้เงื่อนไขระยะเวลาตามข้อ 9 ด้วย กล่าวคือ ให้เก็บรวบรวมไว้ได้ อีกไม่เกิน 6 เดือน นับแต่วันที่การดำเนินการดังกล่าวเสร็จสิ้นสำหรับเจ้าของข้อมูลส่วนบุคคลแต่ละราย ตามวัตถุประสงค์และความจำเป็นในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล อย่างไรก็ตาม เนื่องจากการ เก็บรวบรวมข้อมูลส่วนบุคคลดังกล่าวเกิดขึ้นก่อนวันที่ประกาศดังกล่าวมีผลใช้บังคับ (วันที่ 7 เมษายน 2567) ระยะเวลา 6 เดือนดังกล่าว จึงเริ่มนับแต่วันที่ประกาศฯ มีผลใช้บังคับเป็นต้นไปเช่นเดียวกับกรณีตาม (1) ทั้งนี้ ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่จัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบ หรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนดระยะเวลาการเก็บรักษา หรือที่ไม่เกี่ยวข้องหรือเกินความจำเป็น ตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลนั้น หรือตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอ หรือที่เจ้าของ ข้อมูลส่วนบุคคลได้ถอนความยินยอม เว้นแต่เก็บรักษาไว้เพื่อวัตถุประสงค์ที่กำหนดไว้ใน มาตรา 37 (3)
แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยในการดำเนินการลบหรือทำลาย หรือทำให้ข้อมูล ส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ ให้ปฏิบัติตามประกาศ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลที่ออกตามความใน มาตรา 33 วรรคห้าโดยอนุโลม ประเด็นที่ 3 ขอบเขตการใช้บังคับในเชิงวัตถุประสงค์ 3.1 ตามประกาศฯ ข้อ 5 กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลจะเก็บรวบรวมข้อมูล ส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมได้เฉพาะกรณีที่เป็นไปเพื่อวัตถุประสงค์ตามข้อ 5 (1) (2) (3)
แต่หากการเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมไม่ได้เป็นไปเพื่อวัตถุประสงค์ดังกล่าวข้างต้น สถาบันการเงินสมาชิกจะสามารถดำเนินการได้หรือไม่ และการดำเนินการเพื่อวัตถุประสงค์นั้นอยู่ในบังคับ ของหน้าที่ต่าง ๆ ตามประกาศฯ หรือไม่ อาทิ สถาบันการเงินสมาชิกทำการเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับ ประวัติอาชญากรรมเพื่อการก่อตั้งสิทธิเรียกร้องหรือการฟ้องร้องดำเนินคดีทุจริตของพนักงาน เป็นต้น ข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมเป็นข้อมูลส่วนบุคคลตาม มาตรา 26
แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 การเก็บรวบรวมข้อมูลส่วนบุคคลดังกล่าวจึงต้อง พิจารณาฐานทางกฎหมายให้สอดคล้องกับ มาตรา 26 วรรคหนึ่ง โดยหากไม่ใช่กรณีที่เป็นข้อยกเว้นตาม (1)
ถึง (5) (ก) (ข) (ค) (ง) หรือ (จ) จะต้องได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล
ซึ่งวัตถุประสงค์ตามที่กำหนดไว้ในข้อ 5 วรรคหนึ่ง (1) (2) และ (3) ของประกาศฯ เป็นเพียงวัตถุประสงค์ ที่ถูกกำหนดขึ้นอย่างเฉพาะเจาะจงเพื่อให้ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ปฏิบัติตามมาตรการคุ้มครอง
เฉพาะสำหรับกรณีที่เป็นการเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมเพื่อวัตถุประสงค์ดังกล่าว เท่านั้น ทั้งนี้ ตามความในข้อ 5 วรรคหนึ่งของประกาศนี้ ดังนั้น การเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมที่เป็นไปตามพระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จึงไม่ได้จำกัดวัตถุประสงค์แต่เพียงตามที่ระบุในข้อ 5 วรรคหนึ่ง ของประกาศดังกล่าวเท่านั้น แต่ต้องเป็นไปตามหลักการของการเก็บรวบรวมข้อมูลส่วนบุคคลภายใต้วัตถุประสงค์ อันชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลตามที่พระราชบัญญัตินี้กำหนด การเก็บรวบรวมข้อมูล ส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมจึงสามารถกระทำได้แม้ไม่ได้เป็นไปตามวัตถุประสงค์ที่ระบุไว้ในข้อ 5
วรรคหนึ่ง (1) (2) และ (3) ของประกาศฯ และหากวัตถุประสงค์ดังกล่าวไม่ได้เป็นวัตถุประสงค์ตามที่ระบุไว้ ในข้อ 5 ดังกล่าว ก็จะไม่ต้องปฏิบัติตามหลักเกณฑ์เรื่องระยะเวลาในการเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับ ประวัติอาชญากรรมตามข้อ 9 ของประกาศแต่อย่างใด แต่ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่จัดให้มีระบบ การตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลตามที่กำหนดไว้ใน มาตรา 37 (3)
แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และมีหน้าที่ปฏิบัติให้สอดคล้องกับบทบัญญัติอื่น ๆ ของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ด้วย 3.2 หากในขณะที่ทำการเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรม
สถาบันการเงินสมาชิกดำเนินการเพื่อบรรลุวัตถุประสงค์ตามข้อ 5 (1) (2) (3) ของประกาศฯ แล้วแต่กรณี
แต่ต่อมาต้องการเปลี่ยนแปลงวัตถุประสงค์การใช้หรือการเปิดเผยซึ่งไม่สอดคล้องกับวัตถุประสงค์ตามข้อ 5 (1) (2) (3) ของประกาศฯ กรณีนี้สถาบันการเงินสมาชิกจะต้องดำเนินการอย่างไรให้สอดคล้องกับหน้าที่ ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และประกาศฯ ฉบับดังกล่าว ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลประสงค์จะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เกี่ยวกับประวัติอาชญากรรมในวัตถุประสงค์ที่แตกต่างไปจากวัตถุประสงค์เดิมที่ได้แจ้งเจ้าของข้อมูลส่วนบุคคลไว้ ก่อนหรือในขณะที่เก็บรวบรวม ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องพิจารณาฐานทางกฎหมายในการเก็บรวบรวม ข้อมูลส่วนบุคคลให้เป็นไปตาม มาตรา 26 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และจะต้อง แจ้งวัตถุประสงค์ใหม่นั้นและรายละเอียดตาม มาตรา 23 ให้เจ้าของข้อมูลส่วนบุคคลทราบและได้รับความยินยอม ก่อนตาม มาตรา 21 วรรคสอง (1) เว้นแต่กรณีที่บทบัญญัติแห่งพระราชบัญญัตินี้หรือกฎหมายอื่นบัญญัติให้ สามารถเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับประวัติอาชญากรรมได้ ผู้ควบคุมข้อมูลส่วนบุคคล ก็สามารถเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมนั้นได้ตาม มาตรา 21
วรรคสอง (2) อย่างไรก็ตาม ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ปฏิบัติให้สอดคล้องกับบทบัญญัติต่าง ๆ
ของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ด้วย นอกจากนี้ ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ดำเนินการให้เป็นไปตามประกาศฯ ด้วย
และหากวัตถุประสงค์ใหม่เป็นไปตามวัตถุประสงค์ที่ระบุไว้ในข้อ 5 วรรคหนึ่ง (1) (2) หรือ (3) ของประกาศฯ จะต้องปฏิบัติตามข้อ 5 และข้อ 9 ของประกาศนี้ด้วย โดยในกรณีดังกล่าว ระยะเวลาการเก็บรวบรวมข้อมูล ส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมตามข้อ 9 ของประกาศฯ ย่อมเริ่มนับใหม่เมื่อการดำเนินการ ตามวัตถุประสงค์ใหม่นั้นเสร็จสิ้นสำหรับเจ้าของข้อมูลส่วนบุคคลแต่ละราย ประเด็นที่ 4 ฐานทางกฎหมายตาม มาตรา 26 ในการเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับ ประวัติอาชญากรรม 4.1 เพื่อบรรลุวัตถุประสงค์ตามข้อ 5 (1), (2), (3) ของประกาศฯ สถาบันการเงินสมาชิก สามารถใช้ฐานทางกฎหมายอื่น ๆ ตามที่กำหนดไว้ใน มาตรา 26 โดยไม่ต้องขอความยินยอมได้หรือไม่ ดังนี้ (ก) ฐานประโยชน์สาธารณะที่สำคัญตาม มาตรา 26 (5) (จ) เนื่องจากธุรกิจสถาบันการเงิน สมาชิกเป็นธุรกิจที่ถูกกำกับดูแลและมีความสำคัญต่อความมั่นคงทางการเงินและระบบเศรษฐกิจของประเทศ ความเชื่อมั่นของผู้ฝากเงินในระบบสถาบันการเงินสมาชิกจึงมีความสำคัญอย่างยิ่ง พนักงานหรือบุคลากร ของสถาบันการเงินสมาชิกทุกแห่งจึงจำเป็นต้องถูกตรวจสอบประวัติอาชญากรรมเพื่อสร้างและธำรงไว้ ซึ่งความเชื่อมั่นของผู้ใช้บริการในระบบสถาบันการเงินสมาชิก (ข) ฐานประโยชน์สาธารณะที่สำคัญตาม มาตรา 26 (5) (จ) ในกรณีที่ธนาคารแห่งประเทศไทย หรือหน่วยงานบังคับใช้กฎหมาย หน่วยงานกำกับดูแล หรือมีกฎหมายกำหนดคุณสมบัติหรือลักษณะต้องห้าม เฉพาะตำแหน่ง อาทิ พระราชบัญญัติบริษัทมหาชนจำกัด พ.ศ. 2535 มาตรา 68 (3) ซึ่งกำหนดให้กรรมการ ต้องไม่เคยรับโทษจำคุกโดยคำพิพากษาถึงที่สุดให้จำคุกในความผิดเกี่ยวกับทรัพย์ที่ได้กระทำโดยทุจริต
หรือตามประกาศธนาคารแห่งประเทศไทย ที่ สนส. 3/2564 เรื่อง หลักเกณฑ์การพิจารณาให้ความเห็นชอบการ แต่งตั้งกรรมการ ผู้จัดการ ผู้มีอำนาจในการจัดการ หรือที่ปรึกษาของสถาบันการเงินสมาชิก บริษัทแม่ของสถาบัน การเงินสมาชิก และบริษัทลูกที่ประกอบธุรกิจทางการเงิน ข้อ 5.3.1 (1) (2) (3) ซึ่งกำหนดให้กรรมการ ผู้จัดการ ผู้มีอำนาจในการจัดการ หรือที่ปรึกษาของสถาบันการเงินสมาชิก บริษัทแม่ของสถาบันการเงินสมาชิก และบริษัท ลูกที่ประกอบธุรกิจทางการเงิน จะต้องไม่เคยได้รับโทษจำคุกโดยคำพิพากษาถึงที่สุดให้จำคุกในความผิดตามที่ ประกาศธนาคารแห่งประเทศไทยกำหนด เป็นต้น (ค) ฐานการประเมินความสามารถในการทำงานของลูกจ้างตาม มาตรา 26 (5) (ก)
หากมีการกำหนดคุณสมบัติเฉพาะตำแหน่งนั้น ๆ โดยสถาบันการเงินสมาชิกว่าพนักงานหรือบุคลากร ต้องไม่เป็นผู้เคยได้รับโทษจำคุกโดยคำพิพากษาถึงที่สุดให้จำคุกสำหรับความผิดเกี่ยวกับทรัพย์ หรือความผิด ตามกฎหมายว่าด้วยการพนัน หรือความผิดตามกฎหมายเกี่ยวกับยาเสพติด เว้นแต่เป็นโทษสำหรับความผิดที่ได้ กระทำโดยประมาทหรือความผิดลหุโทษ หรือพ้นโทษมาแล้วไม่น้อยกว่าสามปีก่อนวันสมัครงาน เป็นต้น กรณีที่หารือตามประเด็นที่ 4.1 (ก) ที่เป็นการจำเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุ วัตถุประสงค์เกี่ยวกับประโยชน์สาธารณะที่สำคัญตาม มาตรา 26 (5) (จ) แห่งพระราชบัญญัติคุ้มครองข้อมูล ส่วนบุคคล พ.ศ. 2562 จะต้องเป็นกรณีที่มีกฎหมายกำหนดหน้าที่หรือเงื่อนไขในการปฏิบัติไว้ ซึ่งเป็นไปเพื่อให้ บรรลุวัตถุประสงค์ที่เกี่ยวกับประโยชน์สาธารณะที่สำคัญ และการปฏิบัติตามกฎหมายดังกล่าวของผู้ควบคุมข้อมูล ส่วนบุคคลจำเป็นจะต้องมีการเก็บรวบรวมข้อมูลส่วนบุคคลดังกล่าว ไม่เช่นนั้นจะไม่สามารถปฏิบัติให้เป็นไป ตามกฎหมายนั้นได้ ดังนั้น หากผู้ควบคุมข้อมูลส่วนบุคคลจะใช้ฐานทางกฎหมายตาม มาตรา 26 (5) (จ) ในการ เก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมโดยไม่ได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูล ส่วนบุคคล เนื่องจากเห็นว่าธุรกิจสถาบันการเงินสมาชิกเป็นธุรกิจที่มีความสำคัญต่อความมั่นคงทางการเงิน และระบบเศรษฐกิจของประเทศ ความเชื่อมั่นของผู้ฝากเงินในระบบสถาบันการเงินสมาชิกมีความสำคัญอย่างยิ่ง อันเป็นประโยชน์สาธารณะที่สำคัญ จึงจำเป็นต้องตรวจสอบประวัติอาชญากรรมของพนักงานหรือบุคลากร ของสถาบันการเงินสมาชิกเพื่อสร้างและธำรงไว้ซึ่งความเชื่อมั่นของผู้ใช้บริการในระบบสถาบันการเงินสมาชิก จะต้องมีกฎหมายกำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลต้องดำเนินการตรวจสอบประวัติอาชญากรรมของพนักงาน หรือบุคลากรของสถาบันการเงินสมาชิก เพื่อให้บรรลุวัตถุประสงค์ในการสร้างและธำรงไว้ซึ่งความเชื่อมั่น ของผู้ใช้บริการในระบบสถาบันการเงินสมาชิก จึงจะถือเป็นกรณีที่เป็นการจำเป็นในการปฏิบัติตามกฎหมาย เพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับประโยชน์สาธารณะที่สำคัญตาม มาตรา 26 (5) (จ) สำหรับประเด็นที่หารือตาม 4.1 (ข) นั้น หากเป็นกรณีที่สถาบันการเงินสมาชิกมีความจำเป็นต้อง ปฏิบัติตามบทบัญญัติแห่งกฎหมาย เช่น มาตรา 68 (3) แห่งพระราชบัญญัติบริษัทมหาชนจำกัด พ.ศ. 2535
ซึ่งกำหนดให้กรรมการของบริษัทมหาชนจำกัดต้องไม่เคยรับโทษจำคุกโดยคำพิพากษาถึงที่สุดให้จำคุกในความผิด เกี่ยวกับทรัพย์ที่ได้กระทำโดยทุจริต หรือมาตรา 24 (2) และ (10) และมาตรา 58 แห่งพระราชบัญญัติธุรกิจ สถาบันการเงิน พ.ศ. 2551 ประกอบประกาศธนาคารแห่งประเทศไทย ที่ สนส. 3/2564 เรื่อง หลักเกณฑ์ การพิจารณาให้ความเห็นชอบการแต่งตั้งกรรมการ ผู้จัดการ ผู้มีอำนาจในการจัดการ หรือที่ปรึกษาของสถาบัน การเงิน บริษัทแม่ของสถาบันการเงิน และบริษัทลูกที่ประกอบธุรกิจทางการเงิน ข้อ 5.3.1 (1) (2) และ (3)
ซึ่งกำหนดให้กรรมการ ผู้จัดการ ผู้มีอำนาจในการจัดการ หรือที่ปรึกษาของสถาบันการเงิน บริษัทแม่ของสถาบัน การเงิน และบริษัทลูกที่ประกอบธุรกิจทางการเงิน จะต้องไม่เคยได้รับโทษจำคุกโดยคำพิพากษาถึงที่สุดให้จำคุก ในความผิดตามที่กำหนด อันเป็นมาตรการในการกำกับดูแลสถาบันการเงินให้มีประสิทธิภาพและส่งเสริม ความเชื่อมั่นของประชาชนและผู้ฝากเงินที่มีต่อระบบสถาบันการเงินโดยรวม การเก็บรวบรวมข้อมูลส่วนบุคคล เกี่ยวกับประวัติอาชญากรรมเพื่อวัตถุประสงค์ในการตรวจสอบคุณสมบัติ ลักษณะต้องห้าม หรือพิจารณา ความเหมาะสมของบุคคลที่จะให้ดำรงตำแหน่งที่มีเงื่อนไขดังกล่าว ก็ย่อมถือได้ว่าเป็นการจำเป็นในการปฏิบัติ ตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับประโยชน์สาธารณะที่สำคัญ ตาม มาตรา 26 (5) (จ) จึงไม่ต้องได้รับ ความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล กรณีตามประเด็นที่ 4.1 (ค) กรณีที่จะถือว่าเป็นการจำเป็นในการปฏิบัติตามกฎหมาย เพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับการประเมินความสามารถในการทำงานของลูกจ้างตาม มาตรา 26 (5) (ก) จะต้องเป็นกรณีที่มีกฎหมายกำหนดหน้าที่หรือเงื่อนไขในการปฏิบัติไว้ ซึ่งเป็นไปเพื่อให้บรรลุวัตถุประสงค์ ที่เกี่ยวกับการประเมินความสามารถในการทำงานของลูกจ้าง และการปฏิบัติตามกฎหมายดังกล่าว ของผู้ควบคุมข้อมูลส่วนบุคคลจำเป็นจะต้องมีการเก็บรวบรวมข้อมูลส่วนบุคคลดังกล่าว ไม่เช่นนั้นจะไม่สามารถ ปฏิบัติให้เป็นไปตามกฎหมายนั้นได้ ดังนั้น หากสถาบันการเงินมีการกำหนดคุณสมบัติเฉพาะตำแหน่ง ของพนักงานหรือบุคลากรในตำแหน่งใดไว้ โดยกำหนดว่าต้องไม่เป็นผู้เคยได้รับโทษจำคุกโดยคำพิพากษา ถึงที่สุดให้จำคุกสำหรับความผิดเกี่ยวกับทรัพย์ หรือความผิดตามกฎหมายว่าด้วยการพนัน หรือความผิด ตามกฎหมายเกี่ยวกับยาเสพติด แต่ไม่ใช่การประเมินความสามารถในการทำงานของลูกจ้างที่มีบทบัญญัติ แห่งกฎหมายกำหนดไว้ ย่อมไม่ใช่กรณีตาม มาตรา 26 (5) (ก) ที่จะสามารถเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับ ประวัติอาชญากรรมได้โดยไม่ต้องได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล 4.2 การขอความยินยอมให้สอดคล้องกับประกาศฯ (ก) ในขั้นตอนการประกาศหรือประชาสัมพันธ์การรับสมัคร การสรรหา การเสนอชื่อหรือรับเรื่อง สำหรับการดำเนินการเช่นว่านั้น กรณีที่สถาบันการเงินสมาชิกมีการกำหนดคุณสมบัติของบุคคลเกี่ยวกับการพบ/ ไม่พบประวัติอาชญากรรมที่อาจมีความเสี่ยงต่อการปฏิบัติหน้าที่ความรับผิดชอบ ดังนั้น สถาบันการเงินสมาชิก จึงต้องแจ้งความจำเป็นในการเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมดังกล่าวให้ผู้สมัครในฐานะ เจ้าของข้อมูลส่วนบุคคลทราบตั้งแต่ขั้นตอนการประกาศหรือประชาสัมพันธ์การรับสมัคร การสรรหา การเสนอชื่อ หรือการรับเรื่องสำหรับการดำเนินการเช่นว่านั้นแล้ว ซึ่งกรณีดังกล่าวสถาบันการเงินสมาชิกต้องขอความยินยอม โดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคลก่อนการเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรม ตามข้อ 5 และข้อ 9 ของประกาศฯ การขอความยินยอมดังกล่าวของสถาบันการเงินสมาชิก ถือได้ว่าจำเป็นในการ เข้าทำสัญญาจ้างแรงงานกับผู้ที่ผ่านการคัดเลือกให้เข้ามาทำงานซึ่งเป็นเจ้าของข้อมูลส่วนบุคคล ซึ่งผู้ได้รับ การคัดเลือกไม่ให้ความยินยอม สถาบันการเงินสมาชิกอาจไม่สามารถดำเนินการพิจารณารับผู้สมัครเข้ามา เป็นพนักงานได้ ดังนี้แล้วการดำเนินการขอความยินยอมดังกล่าวของสถาบันการเงินสมาชิกจะถือว่าเป็นการขัดต่อ เจตนารมณ์ มาตรา 19 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่ว่าต้องไม่มีเงื่อนไขในการให้ ความยินยอมหรือไม่ อย่างไร ในการเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมที่ต้องได้รับความยินยอม โดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคลตาม มาตรา 26 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
พ.ศ. 2562 และ/หรือข้อ 5 ของประกาศฯ เช่น กรณีที่สถาบันการเงินสมาชิกมีความจำเป็นต้องตรวจสอบประวัติ อาชญากรรมในการพิจารณารับบุคคลเข้าทำงาน หรือการตรวจสอบคุณสมบัติ ลักษณะต้องห้าม หรือพิจารณา ความเหมาะสมของบุคคลที่จะให้ดำรงตำแหน่งใด แต่ไม่ใช่กรณีที่มีกฎหมายกำหนดให้ต้องดำเนินการเช่นนั้น ซึ่งจะได้รับยกเว้นไม่ต้องขอความยินยอม ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องดำเนินการให้เป็นไปตาม มาตรา 19 และ มาตรา 20 โดย มาตรา 19 วรรคสี่ บัญญัติว่า ในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ผู้ควบคุม ข้อมูลส่วนบุคคลต้องคำนึงอย่างถึงที่สุดในความเป็นอิสระของเจ้าของข้อมูลส่วนบุคคลในการให้ความยินยอม
ทั้งนี้ ในการเข้าทำสัญญาซึ่งรวมถึงการให้บริการใด ๆ ต้องไม่มีเงื่อนไขในการให้ความยินยอมเพื่อเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ไม่มีความจำเป็นหรือเกี่ยวข้องกับการเข้าทำสัญญาซึ่งรวมถึงการให้บริการนั้น ๆ ดังนั้น ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลเห็นว่า การให้ความยินยอมเพื่อเก็บรวบรวม ใช้
หรือเปิดเผยข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมนั้น มีความจำเป็นหรือเกี่ยวข้องกับการเข้าทำสัญญา หรือการให้บริการ เช่น การพิจารณารับบุคคลเข้าทำงาน หรือการให้ดำรงตำแหน่งใด ผู้ควบคุมข้อมูลส่วนบุคคล ก็อาจกำหนดเงื่อนไขในการให้ความยินยอมเพื่อเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้น เป็นส่วนหนึ่ง ของข้อกำหนดในการเข้าทำสัญญาหรือการให้บริการที่เกี่ยวข้องได้ หากเห็นว่าเป็นกรณีที่มีเหตุผลเกี่ยวกับ ความจำเป็นหรือเกี่ยวข้องกับการเข้าทำสัญญาหรือการให้บริการนั้นเพียงพอ ซึ่งเป็นไปตาม มาตรา 19 วรรคสี่ แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 อย่างไรก็ตาม เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องเรียน ในกรณีที่เห็นว่าผู้ควบคุมข้อมูลส่วนบุคคลฝ่าฝืนหรือไม่ปฏิบัติตามพระราชบัญญัตินี้ ตามนัย มาตรา 73 (ข) ภายหลังกระบวนการสรรหาเสร็จสิ้น และรับพนักงานเข้าทำงานแล้ว สถาบันการเงินสมาชิก สามารถขอความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคลเพื่อเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับประวัติ อาชญากรรมไว้เกินกว่า 6 เดือนได้หรือไม่ตามเงื่อนไขที่กำหนดไว้ในประกาศฯ ข้อ 9 ตอนท้าย แม้จะไม่ปรากฏว่า มีความจำเป็นตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลในการเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับ ประวัติอาชญากรรมเพื่อการดำเนินการตามข้อ 5 วรรคหนึ่ง อาทิ ประสงค์จะเก็บไว้จนกว่าจะพ้นสภาพการ เป็นพนักงานและอีก 10 ปี ตามเงื่อนไขอายุความการฟ้องร้องดำเนินคดีต่าง ๆ ที่อาจมีหลังสิ้นสุดสภาพการจ้าง เป็นต้น
ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลประสงค์จะเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับประวัติ อาชญากรรมซึ่งได้เก็บรวบรวมเพื่อการดำเนินการตามวัตถุประสงค์ในข้อ 5 วรรคหนึ่งไว้เกิน 6 เดือนนับแต่วันที่ การดำเนินการดังกล่าวเสร็จสิ้นสำหรับเจ้าของข้อมูลส่วนบุคคลแต่ละราย ตามที่กำหนดในข้อ 9 ของประกาศฯ โดยไม่มีบทบัญญัติแห่งกฎหมายใดบัญญัติไว้เป็นการเฉพาะ และไม่มีความจำเป็นตามพระราชบัญญัติคุ้มครอง ข้อมูลส่วนบุคคล พ.ศ. 2562 ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูล ส่วนบุคคล ดังนั้น สถาบันการเงินสมาชิกสามารถขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลเพื่อเก็บรวบรวม ข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมไว้เกินระยะเวลา 6 เดือนตามข้อ 9 ของประกาศฯ ได้ โดยการ ขอความยินยอมจะต้องปฏิบัติให้เป็นไปตาม มาตรา 19 และ มาตรา 20 แห่งพระราชบัญญัติคุ้มครองข้อมูล ส่วนบุคคล พ.ศ. 2562 ทั้งนี้ ต้องคำนึงอย่างถึงที่สุดในความเป็นอิสระของเจ้าของข้อมูลส่วนบุคคลในการให้ ความยินยอม และในการเข้าทำสัญญาหรือการให้บริการใด ๆ ต้องไม่มีเงื่อนไขในการให้ความยินยอม เพื่อเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ไม่มีความจำเป็นหรือเกี่ยวข้องสำหรับการเข้าทำสัญญา หรือการให้บริการนั้น ๆ ตาม มาตรา 19 วรรคสี่ด้วย อนึ่ง คณะอนุกรรมการตอบข้อหารือฯ มีข้อสังเกตว่า ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคล มีความจำเป็นในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมไว้ เพื่อเป็นหลักฐานทางกฎหมายตามระยะเวลาในอายุความการฟ้องร้องดำเนินคดีต่าง ๆ ที่อาจมีขึ้นในระหว่าง ที่เจ้าของข้อมูลส่วนบุคคลเป็นพนักงานหรือลูกจ้าง หรือภายหลังสิ้นสุดสภาพการจ้าง ซึ่งเกินระยะเวลา ที่กำหนดในข้อ 9 ของประกาศฯ อาจถือเป็นกรณีที่เป็นการจำเป็นเพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย
การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
ตาม มาตรา 26 (4) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งถือเป็นกรณีที่มีความจำเป็น ตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ที่จะสามารถเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับประวัติ อาชญากรรมไว้เป็นระยะเวลาเกินกว่าที่กำหนดในข้อ 9 ได้ โดยไม่ต้องได้รับความยินยอมโดยชัดแจ้งจากเจ้าของ ข้อมูลส่วนบุคคล (ค) ความยินยอมโดยชัดแจ้งตามข้อ (ข) สามารถขอพร้อมกันกับการขอความยินยอม โดยชัดแจ้งตามข้อ (ก) ได้หรือไม่ ในกรณีที่ต้องได้รับความยินยอมโดยชัดแจ้งในการเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับประวัติ อาชญากรรมไว้เกินระยะเวลาตามข้อ 9 ของประกาศฯ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
พ.ศ. 2562 และประกาศดังกล่าว ไม่ได้กำหนดว่าจะต้องดำเนินการเมื่อใด ผู้ควบคุมข้อมูลส่วนบุคคล จึงพิจารณาตามหลักเกณฑ์ในการขอความยินยอมตาม มาตรา 19 วรรคหนึ่ง ที่กำหนดว่าผู้ควบคุมข้อมูล ส่วนบุคคลจะกระทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไม่ได้หากเจ้าของข้อมูลส่วนบุคคล ไม่ได้ให้ความยินยอมไว้ก่อนหรือในขณะนั้น หากผู้ควบคุมข้อมูลส่วนบุคคลเห็นสมควร จึงอาจขอความยินยอม โดยชัดแจ้งในการเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมไว้เกินระยะเวลาตามข้อ 9
ของประกาศฯ พร้อมกับการขอความยินยอมโดยชัดแจ้งในการเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับประวัติ อาชญากรรมเพื่อดำเนินการตามวัตถุประสงค์ในข้อ 5 วรรคหนึ่ง (1) (2) หรือ (3) ของประกาศฯ ตามประเด็น 4.2 (ก) ที่หารือได้ แต่เนื่องจากเป็นการขอความยินยอมคนละกรณีกัน การขอความยินยอมทั้งสอง กรณีดังกล่าวจึงต้องแยกส่วนออกจากกันและแยกส่วนออกจากข้อความอื่นอย่างชัดเจน ตาม มาตรา 19
วรรคสาม นอกจากนี้ ในการขอความยินยอมดังกล่าว จะต้องคำนึงอย่างถึงที่สุดในความเป็นอิสระของเจ้าของ ข้อมูลส่วนบุคคลในการให้ความยินยอม โดยในการเข้าทำสัญญาหรือการให้บริการใด ๆ ต้องไม่มีเงื่อนไขในการ ให้ความยินยอมเพื่อเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ไม่มีความจำเป็นหรือเกี่ยวข้องสำหรับ การเข้าทำสัญญาหรือการให้บริการนั้น ๆ ตาม มาตรา 19 วรรคสี่ด้วย เว้นแต่กรณีที่ผู้ควบคุมข้อมูลส่วนบุคคล เห็นว่า การให้ความยินยอมนั้น มีความจำเป็นหรือเกี่ยวข้องกับการเข้าทำสัญญาหรือการให้บริการเพียงพอ
จึงอาจกำหนดเงื่อนไขในการให้ความยินยอมเป็นส่วนหนึ่งของข้อกำหนดในการเข้าทำสัญญาหรือการให้บริการ ที่เกี่ยวข้องได้ ประเด็นที่ 5 ประเด็นอื่น ๆ ที่เกี่ยวเนื่องกับประกาศแต่ไม่ใช่เรื่องการตรวจประวัติอาชญากรรม ของผู้สมัคร 5.1 นอกเหนือจากการจัดเก็บข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมจากหน่วยงาน ตามข้อ 1.1 แล้ว ยังมีการจัดเก็บข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมจากหน่วยงานอื่นใดบ้างที่เข้าข่าย ตามนิยามในประกาศฉบับนี้ เช่น การจัดเก็บรายชื่อบุคคลที่ถูกกำหนดตามพระราชบัญญัติป้องกัน และปราบปรามการสนับสนุนทางการเงินแก่การก่อการร้ายและการแพร่ขยายอาวุธที่มีอานุภาพทำลายล้างสูง
พ.ศ. 2559 การได้รับหมายหรือหนังสือจากตำรวจ ศาล สำนักงานป้องกันและปราบปรามการทุจริตแห่งชาติ ฐานข้อมูลระบบ Central Fraud Registry (CFR) ตามพระราชกำหนดมาตรการป้องกันและปราบปราม อาชญากรรมทางเทคโนโลยี พ.ศ. 2566 รวมถึงการได้รับและจัดเก็บประวัติอาชญากรรมจากหน่วยงาน ต่างประเทศเพื่อนำมาเก็บรวบรวมในฐานข้อมูลของสถาบันการเงินสมาชิกสำหรับการตรวจสอบ KYC/CDD
และ Sanction List จะถือเป็นข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมหรือไม่ และหากถือเป็นข้อมูล ส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมจะเข้าข้อยกเว้นว่าต้องปฏิบัติตามกฎหมายอื่นที่ไม่ต้องขอความยินยอมได้ หรือไม่ การพิจารณาว่าข้อมูลส่วนบุคคลเกี่ยวกับการสืบสวนสอบสวนการกระทำความผิดอาญา
การดำเนินคดีอาญา หรือการรับโทษทางอาญาในแต่ละกรณีที่หารือ จะเป็นข้อมูลส่วนบุคคลเกี่ยวกับประวัติ อาชญากรรมตามประกาศฯ หรือไม่ ต้องพิจารณาจากความหมายในบทนิยามคำว่า “ข้อมูลส่วนบุคคลเกี่ยวกับ ประวัติอาชญากรรม” ตามข้อ 3 ของประกาศดังกล่าว ว่าข้อมูลส่วนบุคคลนั้นเป็นข้อมูลที่เป็นทางการ หรือรับรองโดยหน่วยงานของรัฐที่มีอำนาจหน้าที่ตามกฎหมายเกี่ยวกับการดำเนินการดังกล่าวหรือไม่
หากข้อมูลส่วนบุคคลเกี่ยวกับการสืบสวนสอบสวนการกระทำความผิดอาญา การดำเนินคดีอาญา หรือการรับโทษ ทางอาญาในกรณีใด เป็นข้อมูลที่ได้รับและเก็บรวบรวมจากหน่วยงานต่างประเทศ จะต้องพิจารณา ถึงกฎหมายอื่นที่เกี่ยวข้อง ตลอดจนสถานการณ์เป็นข้อมูลที่เป็นทางการหรือการรับรองโดยหน่วยงานของรัฐ ของไทยที่มีอำนาจหน้าที่ตามกฎหมายเกี่ยวกับการดำเนินการดังกล่าวด้วยเป็นรายกรณีไป เช่น สำนักงานตำรวจ แห่งชาติ สำนักงานอัยการสูงสุด กรมราชทัณฑ์ และศาล เป็นต้น โดยหากข้อเท็จจริงปรากฏว่าข้อมูลส่วนบุคคล ดังกล่าวมีลักษณะที่เป็นทางการหรือรับรองโดยหน่วยงานของรัฐของไทยที่มีอำนาจหน้าที่ตามกฎหมายในเรื่องนั้น ก็จะถือเป็นข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมตามนัยข้อ 3 ของประกาศฯ
สำหรับประเด็นที่หารือว่า หากเป็นข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรม
จะเข้าข้อยกเว้นว่าต้องปฏิบัติตามกฎหมายอื่นที่ไม่ต้องขอความยินยอมได้หรือไม่ นั้น เห็นว่า หากเป็นกรณีที่ได้รับ ยกเว้นไม่ให้นำพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาใช้บังคับตาม มาตรา 4 เช่น กรณีที่เป็น การดำเนินการของหน่วยงานของรัฐที่มีหน้าที่ในการรักษาความมั่นคงของรัฐตาม มาตรา 4 (2) หรือเป็นผู้ควบคุม ข้อมูลส่วนบุคคลที่ได้รับยกเว้นไม่ให้นำบทบัญญัติแห่งพระราชบัญญัตินี้ทั้งหมดหรือแต่บางส่วนมาใช้บังคับ ตามพระราชกฤษฎีกาที่ออกตามความใน มาตรา 4 วรรคสอง ก็จะไม่ต้องปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูล ส่วนบุคคล พ.ศ. 2562 ในส่วนที่ได้รับยกเว้น อย่างไรก็ตาม หากไม่ใช่กรณีที่ได้รับยกเว้นไม่ให้นำพระราชบัญญัตินี้ มาใช้บังคับ แต่การดำเนินการนั้นมีกฎหมายกำหนดไว้ให้ผู้ควบคุมข้อมูลส่วนบุคคลเก็บรวบรวมข้อมูลส่วนบุคคล เกี่ยวกับประวัติอาชญากรรม โดยมีเจตนารมณ์เพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับประโยชน์สาธารณะที่สำคัญ
ก็ย่อมถือเป็นกรณีที่เป็นการจำเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับประโยชน์ สาธารณะที่สำคัญ ตาม มาตรา 26 (5) (จ) ซึ่งได้รับยกเว้นไม่ต้องขอความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูล ส่วนบุคคล และหากเป็นการดำเนินการตามวัตถุประสงค์ในข้อ 5 วรรคหนึ่ง (1) (2) หรือ (3) ของประกาศฯ
ซึ่งมีบทบัญญัติแห่งกฎหมายบัญญัติให้ต้องตรวจสอบประวัติอาชญากรรมหรือตรวจสอบคุณสมบัติหรือลักษณะ ต้องห้ามเกี่ยวกับการกระทำความผิดทางอาญาหรือการรับโทษทางอาญา ตามข้อ 5 ของประกาศฉบับนี้ ผู้ควบคุม ข้อมูลส่วนบุคคลก็ย่อมเก็บรวบรวมข้อมูลส่วนบุคคลดังกล่าวได้โดยไม่ต้องได้รับความยินยอมโดยชัดแจ้งจาก เจ้าของข้อมูลส่วนบุคคล 5.2 กรณีที่สถาบันการเงินสมาชิกจะต้องดำเนินการตรวจสอบประวัติอาชญากรรมของบุคคล ที่จะดำรงตำแหน่งกรรมการของสถาบันการเงินสมาชิกตามประกาศของธนาคารแห่งประเทศไทย สถาบันการเงิน สมาชิกสามารถเก็บรวบรวมข้อมูลดังกล่าวได้โดยที่ไม่ต้องขอความยินยอมตามที่กำหนดไว้ในประกาศฯ ข้อ 5 วรรคหนึ่ง หรือไม่ ตามที่ได้ให้ความเห็นไว้แล้วในประเด็นที่หารือตาม 4.1 (ข) หากเป็นกรณีที่สถาบันการเงิน สมาชิกมีความจำเป็นต้องตรวจสอบประวัติอาชญากรรม เพื่อปฏิบัติตามบทบัญญัติแห่งกฎหมาย ซึ่งมีเจตนารมณ์เพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับประโยชน์สาธารณะที่สำคัญ การเก็บรวบรวมข้อมูล ส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมเพื่อวัตถุประสงค์ดังกล่าว ย่อมถือเป็นกรณีตาม มาตรา 26 (5) (จ)
แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่ได้รับยกเว้นไม่ต้องขอความยินยอมโดยชัดแจ้งจาก เจ้าของข้อมูลส่วนบุคคล และถือเป็นกรณีที่มีบทบัญญัติแห่งกฎหมายบัญญัติให้ต้องตรวจสอบประวัติอาชญากรรม หรือตรวจสอบคุณสมบัติหรือลักษณะต้องห้ามเกี่ยวกับการกระทำความผิดอาญาหรือการรับโทษทางอาญา
ที่ไม่ต้องขอความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล ตามนัยข้อ 5 ของประกาศฯ แล้ว อย่างไรก็ดี หากสถาบันการเงินสมาชิกประสงค์จะเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับประวัติ อาชญากรรมเพื่อตรวจสอบประวัติอาชญากรรมหรือตรวจสอบคุณสมบัติหรือลักษณะต้องห้ามเกี่ยวกับการกระทำ ความผิดอาญาหรือการรับโทษทางอาญาในตำแหน่งอื่น ๆ ซึ่งไม่มีบทบัญญัติแห่งกฎหมายบัญญัติ ให้ต้องกระทำ ก็จะต้องได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคลตามข้อ 5 ของประกาศฯ

เอกสารต้นฉบับ