หน้าหลัก

ข้อหารือที่ 15/2567 — ธนาคาร Y (พระราชกฤษฎีกายกเว้น PDPA บางส่วน 2566)

5 มาตราอ้างอิง
สารบัญในมาตรานี้
  1. ข้อกฎหมาย
  2. ข้อหารือ
  3. ความเห็น
  4. เอกสารต้นฉบับ

ข้อกฎหมาย

  1. พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 24 (3) มาตรา 35 มาตรา 36 มาตรา 39 และ มาตรา 73
  2. พระราชกฤษฎีกากำหนดลักษณะ กิจการ หรือหน่วยงานที่ได้รับการยกเว้นไม่ให้นำพระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 บางส่วนมาใช้บังคับ พ.ศ. 2566 มาตรา 3 มาตรา 7 และมาตรา 11

ข้อหารือ

ธนาคาร Y ขอหารือในประเด็นที่เกี่ยวข้องกับพระราชกฤษฎีกากำหนดลักษณะ กิจการ หรือ หน่วยงานที่ได้รับการยกเว้นไม่ให้นำพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 บางส่วนมาใช้บังคับ พ.ศ. 2566 ดังนี้ ประเด็นข้อหารือที่ 1 กรณีตามมาตรา 7 วรรคสอง แห่งพระราชกฤษฎีกาดังกล่าว ในกรณีที่ ลูกค้ามาขอแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง เป็นปัจจุบัน (update) โดยตรงกับธนาคาร ธนาคารจำเป็นต้อง แก้ไขข้อมูลส่วนบุคคลของลูกค้าที่ถูกต้องและเป็นปัจจุบัน (update) ให้แก่กรมสรรพากรหรือไม่ หากไม่ได้ มีคำขอเพิ่มเติมจากกรมสรรพากร ประเด็นข้อหารือที่ 2 หารือประเด็นตามมาตรา 11 แห่งพระราชกฤษฎีกาดังกล่าว ดังนี้

  1. มาตรา 11 จะใช้บังคับกับผู้ควบคุมข้อมูลส่วนบุคคลทุกประเภท ไม่จำกัดเฉพาะผู้ควบคุม ข้อมูลส่วนบุคคลที่เป็นหน่วยงานของรัฐใช่หรือไม่
  2. หากธนาคารได้รับการร้องขอจากธนาคารตัวแทนต่างประเทศ (correspondent bank) ที่อยู่ ในต่างประเทศ โดยเป็นกรณีที่ธนาคารตัวแทนต่างประเทศแจ้งว่า เงินที่โอนเข้ามาสงสัยว่าเข้าข่ายการฉ้อโกง (fraud) ซึ่งธนาคารต้องดำเนินการตอบกลับไปยังธนาคารตัวแทนต่างประเทศ โดยจะมีข้อมูล เช่น ชื่อและเลขที่ บัญชีของลูกค้า ส่งให้แก่ธนาคารตัวแทนต่างประเทศ จะถือว่าธนาคารได้รับยกเว้นตามมาตรานี้หรือไม่
  3. การที่ธนาคารส่งเงินไปยังธนาคารตัวแทนต่างประเทศ (correspondent bank) แล้วภายหลัง ลูกค้ามาแจ้งว่า กรณีที่ส่งเงินดังกล่าวไป สงสัยว่าจะเข้าข่ายฉ้อโกง (fraud) เนื่องจากลูกค้าโดน hack e-mail ธนาคารจึงได้ดำเนินการส่งข้อความ (message) แจ้งไปยังธนาคารตัวแทนต่างประเทศเพื่อขอเงินคืน จะถือว่า ธนาคารได้รับยกเว้นตามมาตรานี้หรือไม่

ความเห็น

คณะอนุกรรมการตอบข้อหารือและให้คำแนะนำในการปฏิบัติตามกฎหมายว่าด้วยการคุ้มครอง ข้อมูลส่วนบุคคล ในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ได้พิจารณาข้อหารือดังกล่าวแล้ว มีความเห็น ดังนี้ ประเด็นข้อหารือที่ 1 เห็นว่า เมื่อพิจารณาจากบทบัญญัติตามมาตรา 7 แห่งพระราชกฤษฎีกา กำหนดลักษณะ กิจการ หรือหน่วยงานที่ได้รับการยกเว้นไม่ให้นำพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 บางส่วนมาใช้บังคับ พ.ศ. 2566 แล้ว การเปิดเผยข้อมูลส่วนบุคคลที่ธนาคาร Y ในฐานะผู้ควบคุม ข้อมูลส่วนบุคคลจะได้รับการยกเว้นการปฏิบัติตามบทบัญญัติหมวด 2 และหมวด 3 แห่งพระราชบัญญัติคุ้มครอง ข้อมูลส่วนบุคคล พ.ศ. 2562 ดังกล่าว จะต้องเป็นกรณีที่กรมสรรพากร กรมศุลกากร หรือกรมสรรพสามิต ร้องขอข้อมูลส่วนบุคคลไปยังธนาคาร Y โดยอาศัยอำนาจตามกฎหมายในการขอข้อมูลส่วนบุคคลเพื่อดำเนินการ ตามวัตถุประสงค์หรือภารกิจตามกฎหมายที่อยู่ในความรับผิดชอบเกี่ยวกับการจัดเก็บภาษีอากร การดำเนินการใด ๆ อันเกี่ยวกับการบังคับแก่บรรดาค่าธรรมเนียมทางภาษีอากร ค่าฤชาธรรมเนียม หรือค่าอากรใด ๆ รวมทั้ง การดำเนินการตามพันธกรณีหรือความร่วมมือระหว่างประเทศในเรื่องดังกล่าว ตามมาตรา 7 วรรคหนึ่ง แห่งพระราชกฤษฎีกาฯ ก่อน และเมื่อธนาคาร Y ได้มีการเปิดเผยข้อมูลส่วนบุคคลแก่กรมสรรพากร กรมศุลกากร หรือกรมสรรพสามิตตามที่ได้รับการร้องขอแล้ว ต่อมาเจ้าของข้อมูลส่วนบุคคลขอใช้สิทธิขอให้แก้ไขข้อมูล ให้ถูกต้องและเป็นปัจจุบัน และเป็นกรณีที่หน่วยงานของรัฐนั้นได้รับข้อมูลมาจากธนาคาร Y ธนาคาร Y ในฐานะ ผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นผู้เก็บรวบรวมและเปิดเผยข้อมูลนั้น จึงมีหน้าที่แก้ไขข้อมูลให้ถูกต้องและ เป็นปัจจุบัน และส่งข้อมูลที่ถูกต้องและเป็นปัจจุบันให้กับหน่วยงานของรัฐเพิ่มเติม ตามมาตรา 7 วรรคสอง เมื่อเจ้าของข้อมูลส่วนบุคคลขอใช้สิทธิดังกล่าว แต่จากประเด็นตามข้อหารือกรณีที่ลูกค้าใช้สิทธิขอแก้ไขข้อมูล ส่วนบุคคลให้ถูกต้องและเป็นปัจจุบันโดยตรงกับธนาคาร Y โดยกรมสรรพากร กรมศุลกากร หรือกรมสรรพสามิต ไม่ได้ร้องขอให้ธนาคาร Y แก้ไขข้อมูลส่วนบุคคลให้ถูกต้องและเป็นปัจจุบันแล้วส่งข้อมูลที่ถูกต้องและเป็นปัจจุบัน ให้กับตนอีกครั้ง และเจ้าของข้อมูลส่วนบุคคลไม่ได้แจ้งในการขอใช้สิทธิดังกล่าวกับธนาคาร Y โดยตรงว่าเป็นกรณี ที่ต้องการใช้สิทธิเพื่อให้ข้อมูลที่ธนาคาร Y เปิดเผยให้กับหน่วยงานของรัฐอื่นใดที่ร้องขอได้รับการแก้ไขให้ถูกต้อง และเป็นปัจจุบัน ก็จะไม่ใช่กรณีตามมาตรา 7 แห่งพระราชกฤษฎีกาดังกล่าว อย่างไรก็ตาม ธนาคาร Y ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล มีหน้าที่ตาม มาตรา 35 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ในการดำเนินการให้ข้อมูลส่วนบุคคลถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด ดังนั้น ธนาคาร Y จึงต้องแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิดตามที่ลูกค้าในฐานะเจ้าของข้อมูลส่วนบุคคลร้องขอ หากข้อมูลส่วนบุคคลดังกล่าวไม่ถูกต้อง ไม่เป็นปัจจุบัน ไม่สมบูรณ์ หรืออาจก่อให้เกิดความเข้าใจผิด และหาก ธนาคาร Y ไม่ดำเนินการตามคำร้องขอ ธนาคาร Y ต้องบันทึกคำร้องขอของเจ้าของข้อมูลส่วนบุคคลพร้อมด้วย เหตุผลที่ปฏิเสธการขอแก้ไขข้อมูลนั้นไว้ในรายการที่ต้องบันทึกตาม มาตรา 39 (Records of Processing Activities: ROPA) ตามนัย มาตรา 36 วรรคหนึ่งด้วย อย่างไรก็ดี เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องเรียนต่อ คณะกรรมการผู้เชี่ยวชาญเพื่อสั่งให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการได้ ตาม มาตรา 36 วรรคสอง ประกอบ มาตรา 73 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ประเด็นข้อหารือที่ 2 สำหรับประเด็นตามมาตรา 11 แห่งพระราชกฤษฎีกากำหนดลักษณะ กิจการ หรือหน่วยงานที่ได้รับการยกเว้นไม่ให้นำพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 บางส่วน มาใช้บังคับ พ.ศ. 2566 นั้น เห็นว่า

  1. ในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคล ในการดำเนินการเกี่ยวกับวัตถุประสงค์ตามมาตรา 11 แห่งพระราชกฤษฎีกาฯ นั้น มาตรา 3 แห่งพระราชกฤษฎีกาฯ บัญญัติบทนิยามของคำว่า "ผู้ควบคุมข้อมูลส่วนบุคคล" ในความหมายว่า ผู้ควบคุมข้อมูลส่วนบุคคลทั้งในภาครัฐ และภาคเอกชน ดังนั้น ผู้ควบคุมข้อมูลส่วนบุคคลตามมาตรา 11 ดังกล่าว จึงไม่จำกัดเฉพาะกับหน่วยงานของรัฐ เท่านั้น แต่ยังรวมถึงผู้ควบคุมข้อมูลส่วนบุคคลที่เป็นภาคเอกชนด้วย แต่ผู้ควบคุมข้อมูลส่วนบุคคลใดจะได้รับการ ยกเว้นตามมาตรา 11 แห่งพระราชกฤษฎีกาฯ หรือไม่ จะต้องพิจารณาเงื่อนไขตามมาตรา 11 แห่งพระราชกฤษฎีกานี้ ประกอบกับกฎหมายอื่นที่เกี่ยวข้องในเรื่องนั้น ๆ เช่น กฎหมายว่าด้วยการป้องกันและปราบปรามการมีส่วนร่วม ในองค์กรอาชญากรรมข้ามชาติ ประกอบด้วย
  2. สำหรับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลในการดำเนินการเกี่ยวกับ การเนรเทศ การส่งผู้ร้ายข้ามแดน ความร่วมมือระหว่างประเทศเกี่ยวกับกระบวนการยุติธรรมทางอาญา การป้องกันและปราบปรามการมีส่วนร่วมในองค์กรอาชญากรรมข้ามชาติ ความร่วมมืออื่นทางศาล หรือ กระบวนการยุติธรรมระหว่างประเทศ ที่ได้รับการยกเว้นการปฏิบัติตามบทบัญญัติหมวด 2 และหมวด 3 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ตามมาตรา 11 แห่งพระราชกฤษฎีกาดังกล่าวนั้น จะต้องพิจารณากฎหมายอื่นที่เกี่ยวข้องในเรื่องนั้นประกอบด้วย ซึ่งการดำเนินการของผู้ควบคุมข้อมูลส่วนบุคคล ตามวัตถุประสงค์ในมาตรา 11 โดยทั่วไปจะต้องอาศัยอำนาจรัฐหรือกระบวนการตามกฎหมายที่เกี่ยวข้อง ซึ่งรวมถึงกฎหมายระหว่างประเทศและความตกลงระหว่างประเทศ ดังนั้น การดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลระหว่างธนาคารตัวแทนต่างประเทศ (correspondent bank) ที่อยู่ นอกราชอาณาจักรและธนาคารในราชอาณาจักร ซึ่งต่างมีฐานะเป็นผู้ควบคุมข้อมูลส่วนบุคคลด้วยกัน หากการดำเนินการของธนาคารทั้งสองฝ่ายไม่ได้ใช้อำนาจรัฐและไม่ได้เป็นการปฏิบัติหน้าที่ตามที่กฎหมายได้ กำหนดไว้เป็นการเฉพาะเพื่อวัตถุประสงค์ตามมาตรา 11 ของพระราชกฤษฎีกาดังกล่าว ย่อมไม่ได้รับการยกเว้น การปฏิบัติตามบทบัญญัติหมวด 2 และหมวด 3 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 แต่อย่างไรก็ตาม แม้จะไม่ได้รับการยกเว้นการบังคับใช้พระราชบัญญัตินี้ ธนาคาร Y ก็อาจพิจารณาดำเนินการ เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในกรณีดังกล่าวให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูล ส่วนบุคคล พ.ศ. 2562 ได้ เช่น กรณีที่ธนาคาร Y เห็นว่า การดำเนินการร่วมกันระหว่างธนาคาร Y กับธนาคาร ตัวแทนต่างประเทศ เกี่ยวกับธุรกรรมทางการเงินในกรณีใดเป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของ ข้อมูลส่วนบุคคลเป็นคู่สัญญา เป็นต้น
  3. สำหรับการดำเนินการที่เกี่ยวข้องกับธุรกรรมทางการเงินระหว่างธนาคาร Y กับธนาคาร ตัวแทนต่างประเทศ (correspondent bank) เช่น การขอเงินคืนเมื่อสงสัยว่าเงินที่โอนไปยังธนาคารตัวแทน ต่างประเทศจะเข้าข่ายฉ้อโกง (fraud) นั้น เห็นว่า กรณีที่การดำเนินการของธนาคารทั้งสองฝ่ายไม่ได้ใช้อำนาจรัฐ และไม่ได้เป็นการปฏิบัติหน้าที่ตามที่กฎหมายกำหนดไว้เป็นการเฉพาะเพื่อวัตถุประสงค์ตามมาตรา 11 แห่งพระราชกฤษฎีกาดังกล่าว การดำเนินการนั้นย่อมไม่ได้รับการยกเว้นการปฏิบัติตามบทบัญญัติหมวด 2 และหมวด 3 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ในทำนองเดียวกันกับข้อ 2

เอกสารต้นฉบับ