ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์เกี่ยวกับมาตรการคุ้มครองสําหรับการเก็บรวบรวมข้อมูลส่วนบุคคล เกี่ยวกับประวัติอาชญากรรมที่มิได้กระทําภายใต้การควบคุมของหน่วยงานที่มีอํานาจหน้าที่ตามกฎหมาย พ.ศ. ๒๕๖๖ โดยที่มาตรา ๒๖ วรรคสาม แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ บัญญัติว่าการเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมต้องกระทําภายใต้การควบคุม ของหน่วยงานที่มีอํานาจหน้าที่ตามกฎหมาย หรือได้จัดให้มีมาตรการคุ้มครองข้อมูลส่วนบุคคล ตามหลักเกณฑ์ที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกําหนด อาศัยอํานาจตามความในมาตรา ๑๖ (๔) และมาตรา ๒๖ วรรคสาม แห่งพระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล จึงออกประกาศไว้ ดังต่อไปนี้ ข้อ ๑ ประกาศนี้เรียกว่า “ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์ เกี่ยวกับมาตรการคุ้มครองสําหรับการเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรม ที่มิได้กระทําภายใต้การควบคุมของหน่วยงานที่มีอํานาจหน้าที่ตามกฎหมาย พ.ศ. ๒๕๖๖” ข้อ ๒ ประกาศนี้ให้ใช้บังคับเมื่อพันกําหนดเก้าสิบวันนับแต่วันประกาศในราชกิจจานุเบกษา เป็นต้นไป ข้อ ๓ ในประกาศนี้ “ข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรม” หมายความว่า ข้อมูลส่วนบุคคลเกี่ยวกับ การสืบสวนสอบสวนการกระทําความผิดอาญา การดําเนินคดีอาญา หรือการรับโทษทางอาญา ที่เป็นข้อมูลที่เป็นทางการหรือรับรองโดยหน่วยงานของรัฐที่มีอํานาจหน้าที่ตามกฎหมายเกี่ยวกับ การดําเนินการดังกล่าว ทั้งนี้ ไม่ว่าการดําเนินการนั้นจะถึงที่สุดแล้วหรือไม่ก็ตาม ข้อ ๔ ประกาศนี้ให้ใช้บังคับแก่การเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรม ที่มิได้กระทําภายใต้การควบคุมของหน่วยงานที่มีอํานาจหน้าที่ตามกฎหมายตามมาตรา ๒๖ วรรคสาม แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๖ ข้อ ๕ ผู้ควบคุมข้อมูลส่วนบุคคลจะเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรม ได้เฉพาะเมื่อมีบทบัญญัติแห่งกฎหมายบัญญัติให้ต้องตรวจสอบประวัติอาชญากรรมหรือตรวจสอบ คุณสมบัติหรือลักษณะต้องห้ามเกี่ยวกับการกระทําความผิดอาญาหรือการรับโทษทางอาญา หรือได้รับ ความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคลเท่านั้น สําหรับกรณีที่เป็นไปเพื่อวัตถุประสงค์ ดังต่อไปนี้ (๑) การพิจารณารับบุคคลเข้าทํางาน หรือการตรวจสอบคุณสมบัติ ลักษณะต้องห้าม หรือพิจารณาความเหมาะสมของบุคคลที่จะให้ดํารงตําแหน่งใด (๒) การตรวจสอบคุณสมบัติหรือลักษณะต้องห้ามของบุคคลในการอนุญาต ออกใบอนุญาต อนุมัติ จดทะเบียน ขึ้นทะเบียน รับแจ้ง รับจดแจ้ง ออกอาชญาบัตร รับรอง เห็นชอบ ให้ความเห็น พิจารณา พิจารณาอุทธรณ์ ร้องทุกข์ หรือร้องเรียน ดําเนินการ จ่ายเงิน ให้ได้รับสวัสดิการ หรือให้บริการอื่นแก่บุคคล โดยหน่วยงานของรัฐหรือผู้ควบคุมข้อมูลส่วนบุคคลที่ได้รับมอบหมาย ให้ปฏิบัติหน้าที่ในการใช้อํานาจแทนหน่วยงานของรัฐ (๓) การตรวจสอบคุณสมบัติหรือลักษณะต้องห้ามของบุคคลในการอนุญาต อนุมัติ รับรอง เห็นชอบ ให้ความเห็น พิจารณา พิจารณาอุทธรณ์ ร้องทุกข์ หรือร้องเรียน ดําเนินการ จ่ายเงิน ให้ได้รับสวัสดิการ หรือให้บริการอื่นแก่บุคคล โดยผู้ควบคุมข้อมูลส่วนบุคคลอื่นนอกเหนือจากที่กําหนด ใน (๒) ในกรณีที่การเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมมีความสําคัญอย่างยิง และมีความจําเป็นต่อการดําเนินการตามวรรคหนึ่ง ให้ผู้ควบคุมข้อมูลส่วนบุคคลแจ้งความจําเป็นในการ เก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมดังกล่าวตั้งแต่ขั้นตอนการประกาศหรือ ประชาสัมพันธ์การรับสมัคร การสรรหา การเสนอชื่อ หรือการรับเรื่องสําหรับการดําเนินการเช่นว่านั้น ข้อ ๖ ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลขอความยินยอมในการเก็บรวบรวมข้อมูล ส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมจากเจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคล จะต้องแจ้งผลกระทบของการไม่ให้ความยินยอมหรือการถอนความยินยอม ในการขอความยินยอม จากเจ้าของข้อมูลส่วนบุคคลด้วย ข้อ ๗ ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องจัดให้มีมาตรการเชิงองค์กร (organizational measures) และมาตรการเชิงเทคนิค (technical measures) ที่เหมาะสม ซึ่งอาจรวมถึงมาตรการทางกายภาพ (physical measures) ที่จําเป็นด้วย เพื่อควบคุมให้การเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ตามประกาศนี้ เป็นไปเท่าที่จําเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล ข้อ ๘ ในการเก็บรวบรวมข้อมูลส่วนบุคคลตามประกาศนี้ ผู้ควบคุมข้อมูลส่วนบุคคลจะต้อง จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยให้เหมาะสมกับความเสี่ยงที่มีต่อสิทธิและเสรีภาพของบุคคล ซึ่งจะต้องเป็นไปตามมาตรฐานขั้นตําที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกําหนด ตามมาตรา ๓๗ (๑) ข้อ ๙ ในกรณีที่ไม่มีบทบัญญัติแห่งกฎหมายใดบัญญัติไว้เป็นการเฉพาะ และไม่มี ความจําเป็นตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ในการเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับ ประวัติอาชญากรรมเพื่อการดําเนินการตามข้อ ๕ วรรคหนึ่ง เมื่อการดําเนินการดังกล่าวเสร็จสิ้นแล้ว ให้ผู้ควบคุมข้อมูลส่วนบุคคลเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมนั้นไว้ได้อีกไม่เกิน หกเดือนนับแต่วันที่การดําเนินการดังกล่าวเสร็จสิ้นสําหรับเจ้าของข้อมูลส่วนบุคคลแต่ละราย ตามวัตถุประสงค์และความจําเป็นในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เว้นแต่จะได้รับ ความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคลเป็นอย่างอื่น เมื่อสิ้นสุดระยะเวลาในการเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมตามวรรคหนึ่ง หรือหมดความจําเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคล ให้ผู้ควบคุมข้อมูลส่วนบุคคลลบหรือทําลาย หรือทําให้ข้อมูลส่วนบุคคลดังกล่าวเป็นข้อมูล ที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ ด้วยวิธีการที่เหมาะสม ข้อ ๑๐ ให้ประธานกรรมการคุ้มครองข้อมูลส่วนบุคคลเป็นผู้รักษาการตามประกาศนี้ ประกาศ ณ วันที่ ๒๘ ธันวาคม พ.ศ. ๒๕๖๖ เธียรชัย ณ นคร ประธานกรรมการคุ้มครองข้อมูลส่วนบุคคล
หากท่านต้องการเอกสาร พ.ร.บ. นี้อย่างเป็นทางการ กรุณาใช้ ไฟล์ pdf จาก website สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สำรอง)
Website นี้พัฒนาขึ้นแบบ open source ท่านสามารถร่วมแก้ไข ปรับปรุงได้ บน GitHub