มาตรา 4

ตัวบท

มาตรา 4 พระราชบัญญัตินี้ไม่ใช้บังคับแก่

(1) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบุคคลที่ทำการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อประโยชน์ส่วนตนหรือเพื่อกิจกรรมในครอบครัวของบุคคลนั้นเท่านั้น

(2) การดำเนินการของหน่วยงานของรัฐที่มีหน้าที่ในการรักษาความมั่นคงของรัฐ ซึ่งรวมถึงความมั่นคงทางการคลังของรัฐ หรือการรักษาความปลอดภัยของประชาชน รวมทั้งหน้าที่เกี่ยวกับการป้องกันและปราบปรามการฟอกเงิน นิติวิทยาศาสตร์ หรือการรักษาความมั่นคงปลอดภัยไซเบอร์

(3) บุคคลหรือนิติบุคคลซึ่งใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่ทำการเก็บรวบรวมไว้เฉพาะเพื่อกิจการสื่อมวลชน งานศิลปกรรม หรืองานวรรณกรรมอันเป็นไปตามจริยธรรมแห่งการประกอบวิชาชีพหรือเป็นประโยชน์สาธารณะเท่านั้น

(4) สภาผู้แทนราษฎร วุฒิสภา และรัฐสภา รวมถึงคณะกรรมาธิการที่แต่งตั้งโดยสภาดังกล่าว ซึ่งเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในการพิจารณาตามหน้าที่และอำนาจของสภาผู้แทนราษฎร วุฒิสภา รัฐสภา หรือคณะกรรมาธิการ แล้วแต่กรณี

(5) การพิจารณาพิพากษาคดีของศาลและการดำเนินงานของเจ้าหน้าที่ในกระบวนการพิจารณาคดี การบังคับคดี และการวางทรัพย์ รวมทั้งการดำเนินงานตามกระบวนการยุติธรรมทางอาญา

(6) การดำเนินการกับข้อมูลของบริษัทข้อมูลเครดิตและสมาชิกตามกฎหมายว่าด้วยการประกอบธุรกิจข้อมูลเครดิต

การยกเว้นไม่ให้นำบทบัญญัติแห่งพระราชบัญญัตินี้ทั้งหมดหรือแต่บางส่วนมาใช้บังคับแก่ผู้ควบคุมข้อมูลส่วนบุคคลในลักษณะใด กิจการใด หรือหน่วยงานใดทำนองเดียวกับผู้ควบคุมข้อมูลส่วนบุคคลตามวรรคหนึ่ง หรือเพื่อประโยชน์สาธารณะอื่นใด ให้ตราเป็นพระราชกฤษฎีกา

ผู้ควบคุมข้อมูลส่วนบุคคลตามวรรคหนึ่ง (2) (3) (4) (5) และ (6) และผู้ควบคุมข้อมูลส่วนบุคคลของหน่วยงานที่ได้รับยกเว้นตามที่กำหนดในพระราชกฤษฎีกาตามวรรคสอง ต้องจัดให้มีการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลให้เป็นไปตามมาตรฐานด้วย

สรุป

มาตรานี้กำหนด ขอบเขตที่ พ.ร.บ. นี้ไม่ใช้บังคับ — มี 6 ประเภทกิจกรรม/หน่วยงานที่ได้รับยกเว้น เปิดทางให้ออกพระราชกฤษฎีกาเพื่อยกเว้นเพิ่มเติม และยังบังคับให้ผู้ที่ได้รับยกเว้นใน (2)-(6) ต้องมีมาตรการความมั่นคงปลอดภัยข้อมูลตามมาตรฐาน

องค์ประกอบสำคัญ

6 ประเภทที่ได้รับยกเว้น (วรรคหนึ่ง):

• (1) การใช้ข้อมูลเพื่อประโยชน์ส่วนตนหรือกิจกรรมในครอบครัว
• (2) หน่วยงานของรัฐ ที่มีหน้าที่รักษาความมั่นคง (รวมถึงความมั่นคงทางการคลัง การปราบปรามการฟอกเงิน นิติวิทยาศาสตร์ ความมั่นคงปลอดภัยไซเบอร์)
• (3) สื่อมวลชน งานศิลปกรรม งานวรรณกรรม ตามจริยธรรมวิชาชีพ หรือเพื่อประโยชน์สาธารณะ
• (4) สภาผู้แทนราษฎร วุฒิสภา รัฐสภา และคณะกรรมาธิการ ในการปฏิบัติหน้าที่
• (5) การพิจารณาพิพากษาของศาล กระบวนการบังคับคดี และกระบวนการยุติธรรมทางอาญา
• (6) บริษัทข้อมูลเครดิต ตามกฎหมายว่าด้วยการประกอบธุรกิจข้อมูลเครดิต

กลไกขยาย (วรรคสอง): ครม. สามารถออกพระราชกฤษฎีกาเพื่อยกเว้นเพิ่มเติม สำหรับผู้ควบคุมข้อมูลในลักษณะคล้ายกับ (1)-(6) หรือเพื่อประโยชน์สาธารณะอื่นใด

ข้อจำกัด (วรรคสาม): แม้ได้รับยกเว้นใน (2)-(6) หรือยกเว้นเพิ่มเติมตามพระราชกฤษฎีกา → ยังต้องจัดให้มีการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคลตามมาตรฐาน ((1) การใช้ส่วนตัว/ครอบครัว ไม่อยู่ภายใต้หน้าที่นี้)

มาตราที่อ้างอิง

ไม่มี — มาตรานี้กำหนดขอบเขตยกเว้นจากการบังคับใช้ พ.ร.บ. นี้ (ไม่อ้างมาตราภายใน พ.ร.บ.)

หมายเหตุ

• เหตุผลของยกเว้น: แต่ละข้อสะท้อนหลักการสำคัญที่ขัดกับการใช้บังคับ พ.ร.บ. คุ้มครองข้อมูลทั่วไป — เช่น ความมั่นคงของรัฐ (2), เสรีภาพสื่อ (3), เอกสิทธิ์รัฐสภา (4), ความเป็นอิสระของศาล (5), หรือกฎหมายเฉพาะของบริษัทข้อมูลเครดิต (6)
• ยกเว้น ≠ ไม่มีหน้าที่ใดเลย: วรรคสามบังคับว่าผู้ที่ได้รับยกเว้นใน (2)-(6) ยังต้องมีมาตรการความมั่นคงปลอดภัยข้อมูล — แม้ไม่ต้องปฏิบัติตามบทบัญญัติอื่นของ พ.ร.บ. นี้
• (1) การใช้ส่วนตัว/ในครอบครัว ได้รับยกเว้นแบบเต็ม เพราะการใช้ข้อมูลในครอบครัวอยู่นอกขอบเขตที่กฎหมายควรเข้าไปกำกับ — สอดคล้องกับ GDPR (กฎหมายคุ้มครองข้อมูลของ EU) ที่มีหลักการคล้ายกัน
• กลไกพระราชกฤษฎีกา (วรรคสอง) ทำให้ ครม. สามารถปรับขอบเขตยกเว้นได้ตามสถานการณ์ โดยไม่ต้องแก้ไข พ.ร.บ. — ลดความเสี่ยงของกฎหมายล้าสมัย