หน้าหลัก

ข้อหารือที่ 20/2567 — กระทรวงกลาโหม (ความมั่นคง+privacy notice+DPO+controller-processor)

6 มาตราอ้างอิง
สารบัญในมาตรานี้
  1. ข้อกฎหมาย
  2. ข้อหารือ
  3. ความเห็น
  4. เอกสารต้นฉบับ

ข้อกฎหมาย

  1. พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 4 วรรคหนึ่ง (2) วรรคสอง และวรรคสาม มาตรา 6 มาตรา 21 มาตรา 23 มาตรา 40 (1) และ มาตรา 41 (1) (2) และ (3)
  2. พระราชบัญญัติจัดระเบียบราชการกระทรวงกลาโหม พ.ศ. 2551 และที่แก้ไขเพิ่มเติม มาตรา 10 และมาตรา 22
  3. พระราชบัญญัติระเบียบบริหารราชการแผ่นดิน พ.ศ. 2534 มาตรา 7 วรรคสาม
  4. พระราชกฤษฎีกากำหนดลักษณะ กิจการ หรือหน่วยงานที่ได้รับการยกเว้นไม่ให้นำพระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 บางส่วนมาใช้บังคับ พ.ศ. 2566 มาตรา 6 มาตรา 7 มาตรา 8 มาตรา 9 มาตรา 10 มาตรา 11 และมาตรา 12
  5. ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของ ข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคลซึ่งได้รับการยกเว้นไม่ให้นำพระราชบัญญัติคุ้มครอง ข้อมูลส่วนบุคคล พ.ศ. 2562 มาใช้บังคับ พ.ศ. 2566
  6. ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผล ข้อมูลส่วนบุคคลที่เป็นหน่วยงานของรัฐ ซึ่งต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2566 คำปรารภ และข้อ 3
  7. ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง การจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ตามมาตรา 41 (2) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 พ.ศ. 2566
  8. แนวทางการดำเนินการในการแจ้งวัตถุประสงค์และรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคล จากเจ้าของข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

ข้อหารือ

สำนักงานปลัดกระทรวงกลาโหม แจ้งว่า ในฐานะหน่วยรับผิดชอบดำเนินการให้การปฏิบัติ เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของกระทรวงกลาโหมมีแนวปฏิบัติที่ชัดเจน ถูกต้องตามหลักการและ เจตนารมณ์แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ขอหารือต่อคณะกรรมการคุ้มครองข้อมูล ส่วนบุคคล ดังนี้

  1. กระทรวงกลาโหมเป็นหน่วยงานด้านความมั่นคง ซึ่งได้รับการยกเว้นตาม มาตรา 4 (2) หรือ มาตรา 4 วรรคสอง โดยไม่นำบทบัญญัติแห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ทั้งหมด หรือบางส่วนมาใช้บังคับ หรือไม่ อย่างไร และกระทรวงกลาโหมจะต้องดำเนินการประการใด เพื่อปฏิบัติตาม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ดังกล่าว รวมทั้งแนวทางการพิจารณากิจกรรม หรืองานใด หากไม่เข้าข่ายได้รับการยกเว้น
  2. พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 6 บัญญัติว่า "ผู้ควบคุมข้อมูล ส่วนบุคคล" หมายความว่า บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคล มีหน้าที่ต้องแจ้งวัตถุประสงค์และรายละเอียดต่าง ๆ ในการเก็บรวบรวมข้อมูลส่วนบุคคลให้เจ้าของ ข้อมูลส่วนบุคคลทราบก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคล ตาม มาตรา 23 แห่งพระราชบัญญัติคุ้มครอง ข้อมูลส่วนบุคคล พ.ศ. 2562 ดังกล่าวนั้น ส่วนราชการที่มีฐานะเป็นนิติบุคคลในสังกัดกระทรวงกลาโหมสามารถ ดำเนินการในภาพรวมของส่วนราชการ ที่มีความครอบคลุมทุกหน่วยงานในสังกัด หรือสามารถจัดทำเป็นการเฉพาะของ หน่วยงานภายใต้ส่วนราชการที่เป็นนิติบุคคลนั้น ได้หรือไม่ และผู้ใดมีอำนาจลงนามของหน่วยงาน
  3. ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผล ข้อมูลส่วนบุคคลที่เป็นหน่วยงานของรัฐ ซึ่งต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2566 มิได้กำหนด ให้กระทรวงกลาโหมหรือหน่วยงานในสังกัด ต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของตน ดังนั้น กระทรวงกลาโหมได้รับการยกเว้นไม่ต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของตนหรือไม่ อย่างไร หรือจะต้อง จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลในภาพรวมของส่วนราชการที่มีฐานะเป็นนิติบุคคล หรือสามารถดำเนินการ เป็นการเฉพาะของหน่วยงานภายใต้ส่วนราชการที่เป็นนิติบุคคลนั้น
  4. พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 6 บัญญัติว่า "ผู้ประมวลผล ข้อมูลส่วนบุคคล" หมายความว่า บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็น ผู้ควบคุมข้อมูลส่วนบุคคล ดังนั้น "ผู้ประมวลผลข้อมูลส่วนบุคคล" ของส่วนราชการที่มีฐานะเป็นนิติบุคคลในสังกัด กระทรวงกลาโหม ได้แก่หน่วยงานใด หรือผู้ดำรงตำแหน่งใด
  5. พระราชบัญญัติจัดระเบียบราชการกระทรวงกลาโหม พ.ศ. 2551 และที่แก้ไขเพิ่มเติม มิได้กำหนดให้สำนักงานรัฐมนตรี มีฐานะเป็นนิติบุคคล ดังนั้น "ผู้ควบคุมข้อมูลส่วนบุคคล" ของสำนักงานรัฐมนตรี ตาม มาตรา 6 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้แก่ส่วนราชการใด และผู้ที่มีอำนาจ หน้าที่ในการปฏิบัติหรือดำเนินการตาม มาตรา 6 แห่งพระราชบัญญัติดังกล่าว ได้แก่ผู้ดำรงตำแหน่งใด และผู้ดำรง ตำแหน่งดังกล่าว ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลของสำนักงานรัฐมนตรี สามารถมอบอำนาจการดำเนินการใด ๆ ตามกฎหมาย ให้แก่ผู้ดำรงตำแหน่งอื่นปฏิบัติราชการแทนได้หรือไม่

ความเห็น

คณะอนุกรรมการตอบข้อหารือและให้คำแนะนำในการปฏิบัติตามกฎหมายว่าด้วยการคุ้มครอง ข้อมูลส่วนบุคคล ในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ได้พิจารณาข้อหารือดังกล่าวแล้ว มีความเห็น ดังนี้ ประเด็นตามข้อหารือที่ 1 เห็นว่า บทบัญญัติตาม มาตรา 4 (2) แห่งพระราชบัญญัติคุ้มครอง ข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งกำหนดกรณีที่ได้รับการยกเว้นไม่ให้นำพระราชบัญญัตินี้มาใช้บังคับสำหรับ การดำเนินการของหน่วยงานของรัฐที่มีหน้าที่ในการรักษาความมั่นคงของรัฐนั้น หมายความถึงเฉพาะ การดำเนินการในกิจกรรมหรือภารกิจใดที่มีหน้าที่หรือวัตถุประสงค์เกี่ยวข้องกับการรักษาความมั่นคงของรัฐเท่านั้น ดังนั้น การดำเนินการของส่วนราชการในสังกัดของกระทรวงกลาโหมที่ไม่ได้มีหน้าที่หลักในการรักษาความมั่นคง ของรัฐโดยตรง หรือกิจกรรมใดของกระทรวงกลาโหมที่ไม่เกี่ยวข้องกับการรักษาความมั่นคงของรัฐโดยตรง เช่น การให้บริการสุขภาพของสถานพยาบาลในสังกัดกระทรวงกลาโหม หรือการดำเนินงานด้านการประชาสัมพันธ์ ย่อมไม่เข้าลักษณะตาม มาตรา 4 (2) กรณีจึงไม่ได้รับการยกเว้นไม่ให้นำพระราชบัญญัตินี้มาใช้บังคับ ส่วนการดำเนินการในกิจกรรมหรือภารกิจใดของกระทรวงกลาโหมที่จะมีหน้าที่หรือวัตถุประสงค์เกี่ยวข้องกับ การรักษาความมั่นคงของรัฐ อันจะได้รับการยกเว้นไม่ให้นำพระราชบัญญัตินี้มาใช้บังคับ กระทรวงกลาโหมย่อม ต้องพิจารณาตามข้อเท็จจริงเป็นรายกรณี นอกจากนี้ การดำเนินการที่จะได้รับการยกเว้นไม่ให้นำพระราชบัญญัตินี้ มาใช้บังคับตาม มาตรา 4 วรรคสอง จะต้องเป็นกรณีที่กำหนดในพระราชกฤษฎีกา ซึ่งปัจจุบันพระราชกฤษฎีกา กำหนดลักษณะ กิจการ หรือหน่วยงานที่ได้รับการยกเว้นไม่ให้นำพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 บางส่วนมาใช้บังคับ พ.ศ. 2566 ได้กำหนดกรณีที่จะได้รับการยกเว้นไว้เป็นการเฉพาะในมาตรา 6 ถึงมาตรา 12 ดังนั้น หากการดำเนินการในกิจกรรมหรือภารกิจใดของกระทรวงกลาโหมไม่เข้าเงื่อนไขในกรณีใด ตามพระราชกฤษฎีกาดังกล่าว ย่อมไม่ได้รับการยกเว้นไม่ให้นำพระราชบัญญัตินี้มาใช้บังคับตาม มาตรา 4 วรรคสอง แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ทั้งนี้ สำหรับการดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในกิจกรรม หรือภารกิจใดของกระทรวงกลาโหมที่มีหน้าที่หรือวัตถุประสงค์เกี่ยวข้องกับการรักษาความมั่นคงของรัฐ ซึ่งได้รับ การยกเว้นไม่ให้นำพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาใช้บังคับตาม มาตรา 4 (2) กระทรวงกลาโหมยังต้องจัดให้มีการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลให้เป็นไปตามมาตรฐานด้วย ทั้งนี้ ตาม มาตรา 4 วรรคสาม แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ประกอบ ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูล ส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคลซึ่งได้รับการยกเว้นไม่ให้นำพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาใช้บังคับ พ.ศ. 2566 ประเด็นตามข้อหารือที่ 2 เห็นว่า ส่วนราชการที่มีฐานะเป็นนิติบุคคลในสังกัดกระทรวงกลาโหม ที่ไม่ได้รับการยกเว้นไม่ให้นำพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาใช้บังคับ ตาม มาตรา 4 (2) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ย่อมมีฐานะเป็นผู้ควบคุมข้อมูลส่วนบุคคล โดยผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ตาม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งรวมถึงหน้าที่ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคลตามวัตถุประสงค์ที่ได้แจ้งเจ้าของข้อมูลส่วนบุคคลไว้ก่อนหรือในขณะที่เก็บรวบรวม ตาม มาตรา 21 และการแจ้งวัตถุประสงค์และรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคลให้เจ้าของข้อมูลส่วนบุคคลทราบ ก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคล ตาม มาตรา 23 ด้วย โดยส่วนราชการที่มีฐานะเป็นนิติบุคคล ในสังกัดกระทรวงกลาโหมจะต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบก่อนหรือในขณะเก็บรวบรวมข้อมูล ส่วนบุคคลถึงวัตถุประสงค์และรายละเอียดเกี่ยวกับการเก็บรวบรวมข้อมูลส่วนบุคคล (privacy information) โดย อาจพิจารณาแจ้งในรูปแบบประกาศการคุ้มครองข้อมูลส่วนบุคคล (privacy notice) ก็ได้ โดยทั้งนี้ พระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ไม่ได้กำหนดรูปแบบหรือวิธีการแจ้งวัตถุประสงค์และรายละเอียดดังกล่าว ไว้เป็นการเฉพาะ แต่กำหนดรายละเอียดที่ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบ ตาม มาตรา 23 โดยผู้ควบคุมข้อมูลส่วนบุคคลอาจพิจารณาดำเนินการตามแนวทางการดำเนินการในการแจ้ง วัตถุประสงค์และรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคลตามพระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกำหนดได้ สำหรับประกาศการคุ้มครองข้อมูลส่วนบุคคล (privacy notice) นั้น อาจมีการลงนามหรือไม่ก็ได้ หากประสงค์จะให้มีการลงนาม หน่วยงานที่เป็นผู้ควบคุมข้อมูลส่วนบุคคลอาจพิจารณากำหนดหรือมอบหมาย บุคคลที่เหมาะสมเป็นผู้ลงนามก็ได้ โดยกระทรวงกลาโหมและส่วนราชการในสังกัดที่มีฐานะเป็นผู้ควบคุมข้อมูล ส่วนบุคคลควรพิจารณาว่า การแจ้งวัตถุประสงค์และรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคลดังกล่าว กระทรวงกลาโหมสามารถดำเนินการให้ครอบคลุมทุกกิจกรรมหรือภารกิจของแต่ละหน่วยงานภายใต้สังกัดได้ หรือไม่ หากสามารถดำเนินการได้ กระทรวงกลาโหมจะเป็นผู้จัดทำแล้วให้หน่วยงานในสังกัดนำไปเผยแพร่หรือ แจ้งเจ้าของข้อมูลส่วนบุคคลก็ได้ หรือกระทรวงกลาโหมอาจให้หน่วยงานในสังกัดที่มีฐานะเป็นผู้ควบคุมข้อมูล ส่วนบุคคลเป็นผู้จัดทำเป็นการเฉพาะของหน่วยงานเองก็ได้ โดยการแจ้งวัตถุประสงค์และรายละเอียดในการเก็บรวบรวม ข้อมูลส่วนบุคคลดังกล่าวควรมีความชัดเจนและเจ้าของข้อมูลส่วนบุคคลสามารถเข้าใจได้โดยง่าย ประเด็นตามข้อหารือที่ 3 เห็นว่า มาตรา 41 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนดว่า "ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูล ส่วนบุคคลของตน ในกรณีดังต่อไปนี้ (1) ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเป็นหน่วยงาน ของรัฐตามที่คณะกรรมการประกาศกำหนด ฯลฯ" เมื่อพิจารณาตามบัญชีท้ายประกาศคณะกรรมการคุ้มครองข้อมูล ส่วนบุคคล เรื่อง ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลที่เป็นหน่วยงานของรัฐ ซึ่งต้องจัดให้มี เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2566 แล้ว จะเห็นว่า คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล มิได้กำหนดให้กระทรวงกลาโหมหรือหน่วยงานในสังกัดต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ดังนั้น กระทรวงกลาโหมหรือหน่วยงานในสังกัดยังไม่ต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามประกาศดังกล่าว จึงอาจไม่ต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามบทบัญญัติใน มาตรา 41 (1) เว้นแต่กรณีสถาบันอุดมศึกษา ของรัฐที่มีสถานพยาบาลในสังกัด ภายใต้กระทรวงกลาโหม (หรือส่วนราชการต้นสังกัดที่มีฐานะเป็นนิติบุคคล ในสังกัดกระทรวงกลาโหมของสถาบันอุดมศึกษานั้น) ที่ต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามข้อ 3 ของประกาศดังกล่าว ประกอบข้อ 14.23 ของบัญชีท้ายประกาศนั้น แต่เมื่อพิจารณาจากคำปรารภของประกาศ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลที่เป็น หน่วยงานของรัฐ ซึ่งต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2566 ที่กำหนดว่า "…โดยในระยะแรก เห็นควรกำหนดให้หน่วยงานของรัฐที่มีความพร้อมและมีลักษณะที่จำเป็นต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูล ส่วนบุคคล ซึ่งจะได้กำหนดหน่วยงานของรัฐแห่งอื่นเพิ่มเติมตามความเหมาะสมต่อไป" จะเห็นได้ว่า คณะกรรมการ คุ้มครองข้อมูลส่วนบุคคลอาจมีการประกาศกำหนดหน่วยงานของรัฐที่ต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เพิ่มเติมในอนาคตตามความเหมาะสมได้ อย่างไรก็ตาม มาตรา 41 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนด กรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลไว้ 3 กรณี แม้กระทรวงกลาโหมหรือส่วนราชการที่มีฐานะเป็นนิติบุคคลในสังกัดอาจไม่เข้ากรณีตาม มาตรา 41 (1) แต่หากกระทรวงกลาโหมและส่วนราชการที่มีฐานะเป็นนิติบุคคลในสังกัดพิจารณาแล้วเห็นว่า การดำเนินกิจกรรม ของตนในการเก็บรวบรวม ใช้ หรือเปิดเผย จำเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่ำเสมอโดยเหตุ ที่มีข้อมูลส่วนบุคคลเป็นจำนวนมากตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด ตาม มาตรา 41 (2) ประกอบประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง การจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตาม มาตรา 41 (2) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 พ.ศ. 2566 หรือเป็นกรณีที่กิจกรรม หลักของตนเป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามมาตรา 26 ตามนัย มาตรา 41 (3) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ก็ต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลด้วย กระทรวงกลาโหมและส่วนราชการที่มีฐานะเป็นนิติบุคคลในสังกัดจึงต้องพิจารณาว่าตนเข้าเงื่อนไขที่ต้องจัด ให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตาม มาตรา 41 (2) และ/หรือ มาตรา 41 (3) หรือไม่ ในการดำเนินการ ที่ไม่ได้รับการยกเว้นไม่ให้นำบทบัญญัติแห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาใช้บังคับ ตาม มาตรา 4 (2) อนึ่ง ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลที่ไม่เข้าเงื่อนไขตาม มาตรา 41 (1) ถึง (3) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และไม่มีหน้าที่ต้องจัดให้มี เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตาม มาตรา 41 อาจพิจารณาจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลได้ เพื่อทำหน้าที่ให้คำแนะนํา ตรวจสอบการดำเนินงาน และประสานงานและให้ความร่วมมือกับสำนักงาน คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ในการปฏิบัติตามพระราชบัญญัตินี้ ทั้งนี้ เพื่อส่งเสริมการคุ้มครอง ข้อมูลส่วนบุคคล และลดความเสี่ยงที่จะมีการฝ่าฝืนหรือไม่ปฏิบัติตามพระราชบัญญัติดังกล่าวในหน่วยงานของตน ประเด็นตามข้อหารือที่ 4 เห็นว่า สำหรับการดำเนินการของกระทรวงกลาโหมหรือส่วนราชการ ที่มีฐานะเป็นนิติบุคคลในสังกัดที่อยู่ในบังคับของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กระทรวงกลาโหมและส่วนราชการที่มีฐานะเป็นนิติบุคคลในสังกัดกระทรวงกลาโหมดังกล่าว จะมีฐานะเป็นผู้ควบคุม ข้อมูลส่วนบุคคล ส่วนหน่วยงานในสังกัดที่ไม่มีฐานะเป็นนิติบุคคล ตลอดจนข้าราชการ พนักงาน และบุคลากร ของหน่วยงานดังกล่าวจะไม่มีฐานะเป็นผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล แยกต่างหากจากกระทรวงกลาโหมหรือส่วนราชการที่มีฐานะเป็นนิติบุคคลนั้น แต่กระทรวงกลาโหม และส่วนราชการที่มีฐานะเป็นนิติบุคคลในสังกัดอาจพิจารณามอบหมายหน้าที่หรือสั่งการให้หน่วยงานใด หรือผู้ดำรงตำแหน่งใดในสังกัดรับผิดชอบการดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลให้เป็นไปตามพระราชบัญญัตินี้ ก็ได้ ทั้งนี้ หน่วยงานหรือบุคคลที่ได้รับมอบหมายหน้าที่หรือข้อสั่งการดังกล่าวไม่ถือเป็นผู้ควบคุมข้อมูลส่วนบุคคลหรือ ผู้ประมวลผลข้อมูลส่วนบุคคลแยกต่างหากจากกระทรวงกลาโหมหรือส่วนราชการที่มีฐานะเป็นนิติบุคคลใน สังกัดกระทรวงกลาโหม ส่วนกรณีที่จะถือเป็นผู้ประมวลผลข้อมูลส่วนบุคคล ของกระทรวงกลาโหมหรือส่วนราชการ ที่มีฐานะเป็นนิติบุคคลในสังกัดกระทรวงกลาโหม ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล นั้น เมื่อพิจารณาจากบทนิยาม ของคำว่า "ผู้ประมวลผลข้อมูลส่วนบุคคล" ตาม มาตรา 6 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จะต้องเป็นกรณีที่บุคคลธรรมดาหรือนิติบุคคลภายนอกสังกัด (ที่ไม่ใช่ส่วนหนึ่งของกระทรวงกลาโหมหรือส่วนราชการ ในสังกัด) มีการดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนาม ของกระทรวงกลาโหมหรือส่วนราชการในสังกัด และมีหน้าที่ดำเนินการตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคล ตาม มาตรา 40 (1) เท่านั้น เช่น กรณีที่กระทรวงกลาโหมหรือส่วนราชการในสังกัดว่าจ้างหรือมอบหมายให้บุคคล หรือหน่วยงานใดภายนอกดำเนินการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ที่เป็นภารกิจหรือหน้าที่ ในความรับผิดชอบของตน โดยเป็นการดำเนินการตามคำสั่งหรือในนามของตน ประเด็นตามข้อหารือที่ 5 ในประเด็นว่า "ผู้ควบคุมข้อมูลส่วนบุคคล" ตาม มาตรา 6 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ของสำนักงานรัฐมนตรี กระทรวงกลาโหม คือส่วนราชการใด นั้น เห็นว่า มาตรา 10 แห่งพระราชบัญญัติจัดระเบียบราชการกระทรวงกลาโหม พ.ศ. 2551 ซึ่งแก้ไขเพิ่มเติมโดยพระราชบัญญัติจัดระเบียบราชการกระทรวงกลาโหม (ฉบับที่ 2) พ.ศ. 2556 กำหนดให้ สำนักงานรัฐมนตรีเป็นส่วนราชการในกระทรวงกลาโหม แต่มาตรา 22 แห่งพระราชบัญญัติจัดระเบียบราชการ กระทรวงกลาโหม พ.ศ. 2551 ซึ่งแก้ไขเพิ่มเติมโดยพระราชบัญญัติจัดระเบียบราชการกระทรวงกลาโหม (ฉบับที่ 2) พ.ศ. 2556 ไม่ได้กำหนดให้สำนักงานรัฐมนตรี กระทรวงกลาโหม เป็นนิติบุคคล ประกอบกับมาตรา 7 วรรคสาม แห่งพระราชบัญญัติระเบียบบริหารราชการแผ่นดิน พ.ศ. 2534 กำหนดให้กระทรวงมีฐานะเป็นนิติบุคคล ดังนั้น กระทรวงกลาโหมซึ่งเป็นหน่วยงานต้นสังกัดของสำนักงานรัฐมนตรีจึงเป็นผู้ควบคุมข้อมูลส่วนบุคคลตาม มาตรา 6 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และมีหน้าที่ตามพระราชบัญญัติดังกล่าวเกี่ยวกับ การเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของสำนักงานรัฐมนตรี กระทรวงกลาโหม เท่าที่พระราชบัญญัติดังกล่าว ใช้บังคับแก่สำนักงานรัฐมนตรี สำหรับประเด็นที่ว่า ผู้ที่มีอำนาจหน้าที่ในการปฏิบัติหรือดำเนินการเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคลในฐานะผู้ควบคุมข้อมูลส่วนบุคคล ของสำนักงานรัฐมนตรี กระทรวงกลาโหม ได้แก่ผู้ดำรง ตำแหน่งใด และสามารถมอบอำนาจการดำเนินการใด ๆ ตามกฎหมาย ให้แก่ผู้ดำรงตำแหน่งอื่นปฏิบัติราชการแทน ได้หรือไม่ นั้น เห็นว่า เมื่อพิจารณาถึงเจตนารมณ์ของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ประกอบบทนิยามคำว่า "ผู้ควบคุมข้อมูลส่วนบุคคล" ใน มาตรา 6 ที่หมายความว่า บุคคลธรรมดาหรือนิติบุคคล ซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล จะเห็นว่า สถานภาพความเป็น ผู้ควบคุมข้อมูลส่วนบุคคลเกิดขึ้นจากองค์ประกอบตามบทนิยามดังกล่าวตามข้อเท็จจริง มิได้เกิดจากการได้รับ แต่งตั้งหรือมอบหมายโดยผู้ใด ดังนั้น หากหน่วยงานใดที่มีฐานะเป็นนิติบุคคลมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล หน่วยงานนั้นย่อมถือเป็นผู้ควบคุมข้อมูลส่วนบุคคลแล้ว โดยไม่ต้องมีการแต่งตั้งหรือมอบหมายบุคคลใดเพื่อปฏิบัติหน้าที่นั้นอีก และผู้บริหาร ข้าราชการ พนักงาน หรือบุคลากรของหน่วยงานดังกล่าวจะไม่มีฐานะเป็นผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล แยกต่างหากจากหน่วยงานนั้น จึงไม่มีกรณีที่จะสามารถมอบอำนาจการดำเนินการของหน่วยงานในฐานะผู้ควบคุม ข้อมูลส่วนบุคคลให้บุคคลใดปฏิบัติหน้าที่และรับผิดชอบในฐานะผู้ควบคุมข้อมูลส่วนบุคคลแทนหน่วยงานนั้นได้

เอกสารต้นฉบับ