โปรดเกล้าฯ พ.ร.ฎ. 22 หน่วยงาน-กิจการ ไม่อยู่ใต้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล

พระบาทสมเด็จพระเจ้าอยู่หัว โปรดเกล้าฯ พ.ร.ฎ.กำหนดหน่วยงานและกิจการที่ผู้ควบคุมข้อมูลส่วนบุคคลไม่อยู่ภายใต้บังคับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล บังคับใช้ 27 พ.ค. 63 - 31 พ.ค. 64

เมื่อวันที่ 21 พ.ค. 2563 ที่ผ่านมา ราชกิจจานุเบกษา เผยแพร่ พระราชกฤษฎีกากำหนดหน่วยงานและกิจการที่ผู้ควบคุมข้อมูลส่วนบุคคลไม่อยู่ภายใต้บังคับแห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 พ.ศ. 2563 พระบาทสมเด็จพระปรเมนทรรามาธิบดีศรีสินทรมหาวชิราลงกรณ พระวชิรเกล้าเจ้าอยู่หัว ให้ไว้ ณ วันที่ 20 พฤษภาคม พ.ศ. 2563 เป็นปีที่ 5 ในรัชกาลปัจจุบัน โดยมีเนื้อหาระบุดังนี้

พระบาทสมเด็จพระปรเมนทรรามาธิบดีศรีสินทรมหาวชิราลงกรณ พระวชิรเกล้าเจ้าอยู่หัว มีพระบรมราชโองการโปรดเกล้าฯ ให้ประกาศว่า โดยที่เป็นการสมควรกำหนดหน่วยงานและกิจการที่ผู้ควบคุมข้อมูลส่วนบุคคลไม่อยู่ภายใต้บังคับแห่งกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล

อาศัยอำนาจตามความในมาตรา 175 ของรัฐธรรมนูญแห่งราชอาณาจักรไทย และมาตรา 4 วรรคสอง แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ จึงทรงพระกรุณาโปรดเกล้าฯ ให้ตราพระราชกฤษฎีกาขึ้นไว้ ดังต่อไปนี้

มาตรา 1 พระราชกฤษฎีกานี้เรียกว่า “พระราชกฤษฎีกากำหนดหน่วยงานและกิจการที่ผู้ควบคุมข้อมูลส่วนบุคคลไม่อยู่ภายใต้บังคับแห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 พ.ศ. 2563”

มาตรา 2 พระราชกฤษฎีกานี้ให้ใช้บังคับตั้งแต่วันที่ 27 พฤษภาคม พ.ศ. 2563 จนถึงวันที่ 31 พฤษภาคม พ.ศ. 2564

มาตรา 3 มิให้นำบทบัญญัติในหมวด 2 หมวด 3 หมวด 5 หมวด 6 และหมวด 7 และมาตรา 95 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาใช้บังคับแก่ผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นหน่วยงานหรือกิจการตามบัญชีท้ายพระราชกฤษฎีกานี้

เพื่อประโยชน์ในการคุ้มครองข้อมูลส่วนบุคคล ให้ผู้ควบคุมข้อมูลส่วนบุคคลตามวรรคหนึ่ง ต้องจัดให้มีมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคลให้เป็นไปตามมาตรฐานที่กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมกำหนด

มาตรา 4 ให้รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมรักษาการตามพระราชกฤษฎีกานี้

ผู้รับสนองพระบรมราชโองการ
พล.อ.ประยุทธ์ จันทร์โอชา
นายกรัฐมนตรี

ทั้งนี้ ในบัญชีท้ายพระราชกฤษฎีกาฉบับนี้ ได้ระบุหน่วยงานและกิจการไว้ รวม 22 ประเภท และให้เหตุผลในการประกาศใช้พระราชกฤษฎีกาฉบับนี้ คือ โดยที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้กำหนดหลักเกณฑ์ วิธีการ และเงื่อนไขในการคุ้มครองข้อมูลส่วนบุคคลไว้โดยละเอียด โดยผู้ควบคุมข้อมูลส่วนบุคคลทุกรายทั่วประเทศทั้งภาครัฐและภาคเอกชนมีหน้าที่ต้องดำเนินการตามหลักเกณฑ์ วิธีการ และเงื่อนไขดังกล่าวโดยเคร่งครัด

อย่างไรก็ดี โดยที่การปฏิบัติตามหลักเกณฑ์ วิธีการ และเงื่อนไขตามที่กฎหมายกำหนดนั้นมีรายละเอียดมากและซับซ้อน กับต้องใช้เทคโนโลยีขั้นสูงเพื่อให้การคุ้มครองข้อมูลส่วนบุคคลเป็นไปอย่างมีประสิทธิภาพสมดังเจตนารมณ์ของกฎหมาย ทำให้ผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งเป็นหน่วยงานและกิจการต่างๆ ทั้งภาครัฐและเอกชนจำนวนมากทั่วประเทศยังไม่พร้อมที่จะปฏิบัติตามพระราชบัญญัติดังกล่าว ประกอบกับมาตรา 4 วรรคสอง แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 บัญญัติว่า การยกเว้นไม่ให้นำบทบัญญัติแห่งพระราชบัญญัตินี้ทั้งหมดหรือ แต่บางส่วนมาใช้บังคับแก่ผู้ควบคุมข้อมูลส่วนบุคคลในลักษณะใด กิจการใด หรือหน่วยงานใด หรือ เพื่อประโยชน์สาธารณะอื่นใด ให้ตราเป็นพระราชกฤษฎีกา กรณีจึงสมควรกำหนดให้บางหน่วยงานและบางกิจการที่ผู้ควบคุมข้อมูลส่วนบุคคลไม่อยู่ภายใต้บังคับแห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ในช่วงระยะเวลาที่ยังไม่พร้อมที่จะปฏิบัติให้ถูกต้องตามกฎหมายนี้ จึงจำเป็นต้องตราพระราชกฤษฎีกานี้

(อ่านฉบับเต็ม)