หน้าหลัก

ข้อหารือที่ 13/2567 — สมาคมธนาคารไทย (ประวัติอาชญากรรมจาก CFR/AOC/หมายคำสั่ง)

3 มาตราอ้างอิง
สารบัญในมาตรานี้
  1. ข้อกฎหมาย
  2. ข้อหารือ
  3. ความเห็น
  4. เอกสารต้นฉบับ

ข้อกฎหมาย

  1. พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 4 (2) และ (5) มาตรา 26 (5) (จ) มาตรา 26 วรรคสาม และ มาตรา 27 วรรคหนึ่ง
  2. พระราชกำหนดมาตรการป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยี พ.ศ. 2566 มาตรา 4 และมาตรา 12
  3. ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์เกี่ยวกับมาตรการคุ้มครองสำหรับ การเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมที่มิได้กระทำภายใต้การควบคุมของ หน่วยงานที่มีอำนาจหน้าที่ตามกฎหมาย พ.ศ. 2566 ข้อ 3 ข้อ 4 ข้อ 5 ข้อ 6 ข้อ 7 ข้อ 8 และข้อ 9
  4. ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของ ข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคลซึ่งได้รับการยกเว้นไม่ให้นำพระราชบัญญัติคุ้มครอง ข้อมูลส่วนบุคคล พ.ศ. 2562 มาใช้บังคับ พ.ศ. 2566

ข้อหารือ

สมาคมธนาคารไทย ("สมาคมฯ") แจ้งว่า สถาบันการเงินได้มีการเก็บรวบรวม ใช้ และเปิดเผย ข้อมูลเกี่ยวกับบัญชีและธุรกรรมของลูกค้าที่เกี่ยวข้อง กรณีที่มีเหตุอันควรสงสัยว่ามีหรืออาจมีการกระทำความผิด อาชญากรรมทางเทคโนโลยี ผ่านระบบ Central Fraud Registry (CFR) และข้อมูลที่มีอยู่กับสถาบันการเงิน เช่น ข้อมูล เกี่ยวกับบัญชีและธุรกรรมของลูกค้าที่เกี่ยวข้อง รวมถึงข้อมูลเส้นทางการเงินตามพระราชกำหนดมาตรการป้องกัน และปราบปรามอาชญากรรมทางเทคโนโลยี พ.ศ. 2566 ("พระราชกำหนดฯ") และ/หรือข้อมูลที่ได้รับจาก หนังสือของกองบังคับการปราบปรามการกระทำความผิดเกี่ยวกับอาชญากรรมทางเศรษฐกิจ หรือคณะอนุกรรมการ ขับเคลื่อนการบูรณาการศูนย์ปฏิบัติการแก้ไขปัญหาอาชญากรรมออนไลน์ (Anti Online Scam Operation Center : AOC) เพื่อให้พิจารณาดำเนินการตรวจสอบเพื่อทราบข้อเท็จจริงเกี่ยวกับลูกค้า และ/หรือข้อมูลที่ปรากฏ ในหมายคำสั่งให้อายัดบัญชีและธุรกรรมของลูกค้าที่เกี่ยวข้อง และหมายคำสั่งให้ตรวจสอบข้อมูลที่ได้รับจากตำรวจ หรือหน่วยงานทางการที่มีอำนาจหน้าที่ตามกฎหมาย เพื่อกำหนดเป็นมาตรการเชิงรุกภายในของแต่ละสถาบัน การเงินที่เพิ่มเติมขึ้นกว่าการระงับธุรกรรมตามระยะเวลาที่พระราชกำหนดฯ บัญญัติไว้ เช่น การกำหนดให้ลูกค้า ตามรายชื่อที่เข้าข่ายและไม่ผ่านการตรวจสอบเพื่อทราบข้อเท็จจริงเกี่ยวกับลูกค้า (Customer Due Diligence: CDD) จะต้องดำเนินการให้มีการยุติความสัมพันธ์ในผลิตภัณฑ์/บริการที่มีอยู่กับสถาบันการเงิน และ/หรือเพื่อไม่ให้ มีการสร้างความสัมพันธ์ใหม่โดยไม่สามารถเปิดบัญชีใหม่ได้ หรือให้เปิดบัญชีใหม่ได้ แต่จำกัดช่องทางไม่ให้สามารถ ใช้บริการผ่านช่องทางอิเล็กทรอนิกส์ได้ เป็นต้น สมาคมธนาคารไทยจึงขอหารือการตีความเนื้อหาของประกาศ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์เกี่ยวกับมาตรการคุ้มครองสำหรับการเก็บรวบรวมข้อมูล ส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมที่มิได้กระทำภายใต้การควบคุมของหน่วยงานที่มีอำนาจหน้าที่ ตามกฎหมาย พ.ศ. 2566 ("ประกาศฯ") ต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ในประเด็นดังต่อไปนี้ (1) ข้อมูลดังต่อไปนี้ ถือเป็น "ข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรม" ตามคำนิยาม ในข้อ 3 ของประกาศฯ หรือไม่ (1.1) ข้อมูลเกี่ยวกับบัญชีและธุรกรรมของลูกค้าที่เกี่ยวข้อง รวมถึงข้อมูลเส้นทางการเงิน ที่สถาบันการเงินแลกเปลี่ยนกันผ่านระบบ Central Fraud Registry (CFR) ตามข้อกำหนดของพระราชกำหนดฯ (1.2) ข้อมูลที่สถาบันการเงินได้รับจากกองบังคับการปราบปรามการกระทำความผิด เกี่ยวกับอาชญากรรมทางเศรษฐกิจ หรือคณะอนุกรรมการขับเคลื่อนการบูรณาการศูนย์ปฏิบัติการแก้ไขปัญหา อาชญากรรมออนไลน์ (Anti Online Scam Operation Center : AOC) ตามตัวอย่างหนังสือของกองบังคับการ ปราบปรามการกระทำความผิดเกี่ยวกับอาชญากรรมทางเศรษฐกิจที่ส่งมายังสถาบันการเงิน เพื่อขอทราบข้อมูล บัญชีธนาคาร และขอให้ตรวจสอบเพื่อทราบข้อเท็จจริงเกี่ยวกับลูกค้า (1.3) ข้อมูลที่ปรากฏในหมายคำสั่งให้อายัดบัญชีและธุรกรรมของลูกค้าที่เกี่ยวข้อง และหมายคำสั่งให้ตรวจสอบข้อมูลที่ได้รับจากตำรวจ หรือหน่วยงานทางการที่มีอำนาจหน้าที่ตามกฎหมาย (2) หากคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลพิจารณาแล้วเห็นว่า ข้อมูลตามข้อหารือ ในข้อ (1) ข้างต้น ถือเป็นข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรม สมาคมฯ ขอหารือเพิ่มเติม ในกรณีดังนี้ (2.1) กรณีที่สถาบันการเงินนำข้อมูลดังกล่าวไปกำหนดเป็นมาตรการภายในของธนาคาร เพื่อประโยชน์โดยชอบด้วยกฎหมายในการบริหารความเสี่ยงจากภัยทุจริตที่อาจเกิดกับลูกค้าทั่วไปในการป้องกัน อาชญากรรมทางเทคโนโลยี และเพื่อดำเนินการตามนโยบายภายในของแต่ละสถาบันการเงินภายใต้ประกาศ ธนาคารแห่งประเทศไทย ที่ ธปท.ฝนช. (02) ว.224/2566 เรื่อง นำส่งแนวนโยบายการบริหารจัดการภัยทุจริต จากการทำธุรกรรมทางการเงิน ลงวันที่ 29 มีนาคม 2566 จะเข้าข้อยกเว้นตามกรณีดังต่อไปนี้หรือไม่ (ก) การปฏิบัติงานดังกล่าวของสถาบันการเงินถือว่าเป็นการเก็บรวบรวม และใช้ข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมที่ได้กระทำภายใต้การควบคุมของหน่วยงานที่มีอำนาจหน้าที่ ตามกฎหมาย ตาม มาตรา 26 วรรคสาม แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งจะมีผลให้ การเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมของสถาบันการเงินในกรณีนี้ไม่อยู่ภายใต้ การบังคับของประกาศฯ หรือไม่ (ข) การเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรม ของสถาบันการเงินในกรณีนี้ สามารถตีความว่าเป็นการดำเนินการที่จำเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุ วัตถุประสงค์เกี่ยวกับประโยชน์สาธารณะที่สำคัญ โดยได้จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิ ขั้นพื้นฐานและประโยชน์ของเจ้าของข้อมูลส่วนบุคคล ตาม มาตรา 26 (5) (จ) แห่งพระราชบัญญัติคุ้มครองข้อมูล ส่วนบุคคล พ.ศ. 2562 ซึ่งจะมีผลให้สถาบันการเงินสามารถเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลเกี่ยวกับประวัติ อาชญากรรมในกรณีนี้ โดยไม่ต้องได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล หรือไม่ (2.2) กรณีที่สถาบันการเงินเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลเกี่ยวกับประวัติ อาชญากรรม โดยปฏิบัติตามพระราชกำหนดฯ และ/หรือปฏิบัติตามหมายคำสั่งให้อายัดบัญชีและธุรกรรมของลูกค้า ที่เกี่ยวข้อง และหมายคำสั่งให้ตรวจสอบข้อมูลที่ได้รับจากตำรวจ หรือหน่วยงานทางการที่มีอำนาจหน้าที่ตามกฎหมาย ถือเป็นกรณีที่เข้าข้อยกเว้นตามเหตุผลดังต่อไปนี้หรือไม่ (ก) การเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมที่ได้กระทำ ภายใต้การควบคุมของหน่วยงานที่มีอำนาจหน้าที่ตามกฎหมาย ตาม มาตรา 26 วรรคสาม แห่งพระราชบัญญัติคุ้มครอง ข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งจะมีผลให้การเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรม ของสถาบันการเงินในกรณีนี้ไม่อยู่ภายใต้การบังคับของประกาศฯ หรือไม่ (ข) กรณีการปฏิบัติตามพระราชกำหนดฯ เป็นการดำเนินการที่จำเป็นในการปฏิบัติ ตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับประโยชน์สาธารณะที่สำคัญ โดยได้จัดให้มีมาตรการ ที่เหมาะสมเพื่อคุ้มครองสิทธิขั้นพื้นฐานและประโยชน์ของเจ้าของข้อมูลส่วนบุคคล ตาม มาตรา 26 (5) (จ) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือไม่อยู่ภายใต้การบังคับตามประกาศฯ และพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เนื่องด้วยมาตรา 12 แห่งพระราชกำหนดฯ บัญญัติให้การเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลตามพระราชกำหนดฯ ไม่อยู่ภายใต้บังคับ ของกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ซึ่งจะมีผลให้สถาบันการเงินสามารถเก็บรวบรวม และใช้ข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมในกรณีนี้ โดยไม่ต้องได้รับความยินยอมโดยชัดแจ้ง จากเจ้าของข้อมูลส่วนบุคคล หรือไม่ (2.3) หากการที่สถาบันการเงินเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลเกี่ยวกับประวัติ อาชญากรรม โดยกำหนดเป็นมาตรการภายในของธนาคารเพื่อประโยชน์โดยชอบด้วยกฎหมาย และ/หรือปฏิบัติ ตามพระราชกำหนดฯ และ/หรือปฏิบัติตามหมายคำสั่ง ถือเป็นกรณีที่เข้าข้อยกเว้นตามข้อหารือในข้อ (2.1) และ/หรือข้อ (2.2) ข้างต้น ระยะเวลาในการจัดเก็บข้อมูลที่สถาบันการเงินแลกเปลี่ยนกันผ่านระบบ Central Fraud Registry (CFR) และ/หรือที่สถาบันการเงินจะเก็บรักษาข้อมูลการปฏิบัติตามมาตรการภายใน ของธนาคาร หรือการปฏิบัติตามหมายคำสั่ง สามารถอ้างอิงอายุความตามกฎหมายอื่นใดที่เกี่ยวข้อง รวมถึงแต่ไม่ จำกัดเพียงระยะเวลาตามกฎหมายว่าด้วยการป้องกันและปราบปรามการฟอกเงิน หรือระยะเวลาอายุความ คดีอาญาตามมาตรา 95 แห่งประมวลกฎหมายอาญาได้หรือไม่

ความเห็น

คณะอนุกรรมการตอบข้อหารือและให้คำแนะนำในการปฏิบัติตามกฎหมายว่าด้วยการคุ้มครอง ข้อมูลส่วนบุคคล ในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้พิจารณาข้อหารือดังกล่าวแล้วเห็นว่า ตามข้อ 3 ของประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์เกี่ยวกับมาตรการคุ้มครองสำหรับการเก็บรวบรวม ข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมที่มิได้กระทำภายใต้การควบคุมของหน่วยงานที่มีอำนาจหน้าที่ ตามกฎหมาย พ.ศ. 2566 ซึ่งออกตามความใน มาตรา 26 วรรคสาม แห่งพระราชบัญญัติคุ้มครองข้อมูล ส่วนบุคคล พ.ศ. 2562 คำว่า "ข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรม" หมายความว่า ข้อมูลส่วนบุคคล เกี่ยวกับการสืบสวนสอบสวนการกระทำความผิดอาญา การดำเนินคดีอาญา หรือการรับโทษทางอาญา ที่เป็นข้อมูลที่เป็นทางการหรือรับรองโดยหน่วยงานของรัฐที่มีอำนาจหน้าที่ตามกฎหมายเกี่ยวกับการดำเนินการ ดังกล่าว ทั้งนี้ ไม่ว่าการดำเนินการนั้นจะถึงที่สุดแล้วหรือไม่ก็ตาม ดังนั้น ข้อมูลส่วนบุคคลเกี่ยวกับการกระทำ ความผิดอาญา การดำเนินคดีอาญา หรือการรับโทษทางอาญา ที่สถาบันการเงินได้รับจากกองบังคับการปราบปราม การกระทำความผิดเกี่ยวกับอาชญากรรมทางเศรษฐกิจ หรือคณะอนุกรรมการขับเคลื่อนการบูรณาการศูนย์ปฏิบัติการ แก้ไขปัญหาอาชญากรรมออนไลน์ (Anti Online Scam Operation Center : AOC) ตามประเด็นที่หารือ (1.2) และข้อมูลที่ปรากฏในหมายคำสั่งให้อายัดบัญชีและธุรกรรมของลูกค้าที่เกี่ยวข้องและหมายคำสั่งให้ตรวจสอบ ข้อมูลที่ได้รับจากตำรวจหรือหน่วยงานของรัฐที่มีอำนาจหน้าที่ตามกฎหมาย ตามประเด็นที่หารือ (1.3) จึงถือเป็น ข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมตามบทนิยามในข้อ 3 ของประกาศฯ ส่วนกรณีข้อมูลเกี่ยวกับบัญชีและธุรกรรมของลูกค้าที่เกี่ยวข้อง รวมถึงข้อมูลเส้นทางการเงิน ที่สถาบันการเงินแลกเปลี่ยนกันผ่านระบบ Central Fraud Registry (CFR) ตามข้อกำหนดในมาตรา 4 แห่งพระราชกำหนดมาตรการป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยี พ.ศ. 2566 ที่กำหนดให้สถาบัน การเงินและผู้ประกอบธุรกิจมีหน้าที่เปิดเผยหรือแลกเปลี่ยนข้อมูลดังกล่าวในระหว่างสถาบันการเงินและผู้ประกอบ ธุรกิจนั้นผ่านระบบหรือกระบวนการเปิดเผยหรือแลกเปลี่ยนข้อมูลที่กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม สำนักงานตำรวจแห่งชาติ กรมสอบสวนคดีพิเศษ สำนักงานป้องกันและปราบปรามการฟอกเงิน และธนาคาร แห่งประเทศไทย เห็นชอบร่วมกัน ในกรณีที่มีเหตุอันควรสงสัยว่ามีหรืออาจมีการกระทำความผิดอาชญากรรม ทางเทคโนโลยี ตามประเด็นที่หารือ (1.1) นั้น เห็นว่า หากข้อมูลส่วนบุคคลที่เปิดเผยหรือแลกเปลี่ยนผ่านระบบ หรือกระบวนการดังกล่าว ถูกนำไปใช้ในการสืบสวนสอบสวนการกระทำความผิดอาญา การดำเนินคดีอาญา หรือการรับโทษทางอาญา และเป็นข้อมูลที่เป็นทางการหรือรับรองโดยหน่วยงานของรัฐที่มีอำนาจหน้าที่ ตามกฎหมายเกี่ยวกับการดำเนินการนั้น จะถือเป็นข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมตามนิยามในข้อ 3 ของประกาศฯ แต่หากเป็นเพียงข้อมูลที่สถาบันการเงินและผู้ประกอบธุรกิจเปิดเผยหรือแลกเปลี่ยนระหว่างกัน เนื่องจากมีเหตุอันควรสงสัยว่ามีหรืออาจมีการกระทำความผิดอาชญากรรมทางเทคโนโลยี แต่ไม่ได้ถูกนำไปใช้ใน การสืบสวนสอบสวนการกระทำความผิดอาญา การดำเนินคดีอาญา หรือการรับโทษทางอาญา หรือไม่ใช่ข้อมูล ที่เป็นทางการหรือรับรองโดยหน่วยงานของรัฐที่มีอำนาจหน้าที่ตามกฎหมายในเรื่องนั้น ก็อาจยังไม่ถือเป็นข้อมูล ส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมตามประกาศดังกล่าว การจะพิจารณาว่าข้อมูลส่วนบุคคลที่เปิดเผย หรือแลกเปลี่ยนกันผ่านระบบหรือกระบวนการดังกล่าวเป็นข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมหรือไม่ จึงต้องพิจารณาข้อเท็จจริงเป็นรายกรณี สำหรับประเด็นที่หารือ (2.1) (ก) และ (ข) นั้น เห็นว่า ในกรณีที่สถาบันการเงินประสงค์ จะนำข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมที่สถาบันการเงินได้ล่วงรู้หรือทราบมาจากการดำเนินการ ตามพระราชกำหนดมาตรการป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยี พ.ศ. 2566 หรือแหล่งอื่นใด ไปเก็บรวบรวมและใช้โดยกำหนดเป็นมาตรการภายในของธนาคารเพื่อวัตถุประสงค์ในการบริหารความเสี่ยงจาก ภัยทุจริตที่อาจเกิดกับลูกค้าทั่วไป และเพื่อดำเนินการตามนโยบายภายในของแต่ละสถาบันการเงินเอง หากไม่ใช่ การดำเนินการตามที่บทบัญญัติแห่งพระราชกำหนดดังกล่าวหรือกฎหมายอื่นกำหนดภายใต้การควบคุม ของหน่วยงานของรัฐที่มีอำนาจหน้าที่ตามกฎหมายโดยตรง ก็ไม่ถือเป็นการเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับ ประวัติอาชญากรรมที่กระทำภายใต้การควบคุมของหน่วยงานที่มีอำนาจหน้าที่ตามกฎหมาย ตามนัย มาตรา 26 วรรคสาม แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่จะได้รับยกเว้นไม่ต้องปฏิบัติตามประกาศฯ ตามข้อ 4 ของประกาศดังกล่าว จึงต้องปฏิบัติตามประกาศฯ โดยเฉพาะข้อ 6 ข้อ 7 และข้อ 8 ที่ครอบคลุม การเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมที่มิได้กระทำภายใต้การควบคุมของหน่วยงานที่มี อำนาจหน้าที่ตามกฎหมายทุกกรณี ส่วนการพิจารณาว่าจะต้องปฏิบัติตามข้อ 5 และข้อ 9 ของประกาศฯ ด้วย หรือไม่นั้น ขึ้นอยู่กับวัตถุประสงค์ในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรม ว่าเข้าข่ายวัตถุประสงค์ตามที่ระบุในข้อ 5 วรรคหนึ่ง (1) (2) หรือ (3) หรือไม่ หากเข้าข่ายวัตถุประสงค์ในข้อ 5 วรรคหนึ่ง (1) (2) หรือ (3) ก็จะต้องปฏิบัติตามข้อ 5 และข้อ 9 ของประกาศนี้ด้วย นอกจากนี้ การพิจารณาว่า การเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมเพื่อวัตถุประสงค์ดังกล่าว จะเป็นกรณีที่ได้รับ ยกเว้นไม่ต้องขอความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคลหรือไม่ สถาบันการเงินที่เป็นผู้ควบคุมข้อมูล ส่วนบุคคลจะต้องพิจารณาตาม มาตรา 26 วรรคหนึ่ง ประกอบ มาตรา 27 วรรคหนึ่ง แห่งพระราชบัญญัติคุ้มครอง ข้อมูลส่วนบุคคล พ.ศ. 2562 เช่น พิจารณาตาม มาตรา 26 (5) (จ) ประกอบ มาตรา 27 วรรคหนึ่งว่า การดำเนินการดังกล่าวมีกฎหมายกำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลต้องดำเนินการ โดยมีเจตนารมณ์ หรือวัตถุประสงค์ที่เกี่ยวกับประโยชน์สาธารณะที่สำคัญหรือไม่ และผู้ควบคุมข้อมูลส่วนบุคคลมีความจำเป็นต้อง เก็บรวบรวมและใช้ข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมในการปฏิบัติตามกฎหมายเพื่อให้บรรลุ วัตถุประสงค์ดังกล่าวหรือไม่ หากเข้าเงื่อนไขดังกล่าว ก็ย่อมถือเป็นกรณีที่เป็นการจำเป็นในการปฏิบัติ ตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับประโยชน์สาธารณะที่สำคัญ ตาม มาตรา 26 (5) (จ) ซึ่งได้รับ ยกเว้นไม่ต้องขอความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล โดยจะต้องจัดให้มีมาตรการที่เหมาะสม เพื่อคุ้มครองสิทธิขั้นพื้นฐานและประโยชน์ของเจ้าของข้อมูลส่วนบุคคลด้วย แต่หากไม่เข้าเงื่อนไขดังกล่าว และไม่ใช่กรณีอื่นตาม มาตรา 26 (1) ถึง (5) ก็จะต้องได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล ในประเด็นที่หารือ (2.2) (ก) และ (ข) หากการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล เกี่ยวกับประวัติอาชญากรรมตามที่หารือ เป็นการปฏิบัติตามพระราชกำหนดมาตรการป้องกันและปราบปราม อาชญากรรมทางเทคโนโลยี พ.ศ. 2566 ย่อมถือเป็นกรณีที่ไม่อยู่ภายใต้บังคับของพระราชบัญญัติคุ้มครองข้อมูล ส่วนบุคคล พ.ศ. 2562 ทั้งนี้ ตามมาตรา 12 ของพระราชกำหนดดังกล่าว นอกจากนี้ การดำเนินการ ของหน่วยงานของรัฐตามพระราชกำหนดดังกล่าว อาจถือเป็นการดำเนินการของหน่วยงานของรัฐที่มีหน้าที่ในการ รักษาความมั่นคงทางการคลังของรัฐ รวมทั้งหน้าที่เกี่ยวกับการป้องกันและปรามปรามการฟอกเงิน ซึ่งเป็นกรณีที่ได้รับยกเว้นไม่ให้นำบทบัญญัติแห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาใช้บังคับตาม มาตรา 4 (2) และหากเป็นการสืบสวนสอบสวนเพื่อให้รู้ถึงการกระทำความผิดอาญา ผู้กระทำ ความผิดอาญา ข้อเท็จจริงและรายละเอียดแห่งความผิดอาญา การติดตามหาตัวผู้กระทำความผิดอาญา ตลอดจน การพิจารณาความผิดอาญา หรือการลงโทษผู้กระทำความผิดอาญา ก็ถือเป็นการดำเนินงานตามกระบวนการ ยุติธรรมทางอาญา ที่ได้รับยกเว้นตาม มาตรา 4 (5) ด้วย ทั้งนี้ ผู้ควบคุมข้อมูลส่วนบุคคลที่ได้รับยกเว้นไม่ให้นำ บทบัญญัติแห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาใช้บังคับตาม มาตรา 4 ยังคงมีหน้าที่ ต้องจัดให้มีการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลให้เป็นไปตามประกาศคณะกรรมการคุ้มครองข้อมูล ส่วนบุคคล เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งได้รับการยกเว้นไม่ให้นำพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาใช้บังคับ พ.ศ. 2566 ด้วย ส่วนการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรม ของสถาบันการเงิน เพื่อดำเนินการตามกฎหมายอื่นนอกเหนือจากพระราชกำหนดดังกล่าว หรือเป็นการปฏิบัติ ตามหมายหรือคำสั่งของตำรวจ ศาล หรือหน่วยงานของรัฐที่มีอำนาจหน้าที่ตามกฎหมาย ที่ไม่ได้รับยกเว้น การบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ย่อมถือเป็นกรณีที่เป็นการจำเป็นในการปฏิบัติ ตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับประโยชน์สาธารณะที่สำคัญ ซึ่งได้รับยกเว้นไม่ต้องขอความยินยอม โดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคลตาม มาตรา 26 (5) (จ) ประกอบ มาตรา 27 วรรคหนึ่ง แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เนื่องจากเป็นมาตรการบังคับใช้กฎหมาย ที่มีความสำคัญเพื่อความสงบเรียบร้อยและศีลธรรมอันดีของประชาชน รวมทั้งอาจถือเป็นการกระทำภายใต้การ ควบคุมของหน่วยงานที่มีอำนาจหน้าที่ตามกฎหมายตาม มาตรา 26 วรรคสามด้วย หากเป็นการดำเนินการ ที่หน่วยงานที่มีอำนาจหน้าที่ดังกล่าวเป็นผู้สั่งการหรือควบคุมโดยตรง เว้นแต่จะมีการเก็บรวบรวมข้อมูลส่วนบุคคล เกี่ยวกับประวัติอาชญากรรมดังกล่าวเพื่อใช้หรือเปิดเผยในวัตถุประสงค์อื่น

เอกสารต้นฉบับ