พระราชกฤษฎีกากำหนดลักษณะ กิจการ หรือหน่วยงานที่ได้รับการยกเว้นไม่ให้นำพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 บางส่วนมาใช้บังคับ พ.ศ. 2566

พระราชกฤษฎีกา กำหนดลักษณะ กิจการ หรือหน่วยงาน ที่ได้รับการยกเว้นไม่ให้นำพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 บางส่วนมาใช้บังคับ พ.ศ. 2566 พระบาทสมเด็จพระปรเมนทรรามาธิบดีศรีสินทรมหาวชิราลงกรณ พระวชิรเกล้าเจ้าอยู่หัว ให้ไว้ ณ วันที่ 15 สิงหำคม พ.ศ. 256 6 เป็นปีที่ 8 ในรัชกาลปัจจุบัน พระบาทสมเด็จพระปรเมนทรรามาธิบดีศรีสินทรมหาวชิราลงกรณ พระวชิรเกล้าเจ้าอยู่หัว มีพระบรมราชโองการโปรดเกล้าฯ ให้ประกาศว่า โดยที่เป็นการสมควรกำหนดลักษณะ กิจการ หรือหน่วยงานที่ได้รับการยกเว้น ไม่ให้นำพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 บางส่วนมาใช้บังคับ อาศัยอานาจตามความในมาตรา 175 ของรัฐธรรมนูญแห่งราชอาณาจักรไทย และ มาตรา 4 วรรคสอง แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จึงทรงพระกรุณาโปรดเกล้าฯ ให้ตราพระราชกฤษฎีกาขึ้นไว้ ดังต่อไปนี้ มาตรา 1 พระราชกฤษฎีกานี้เรียกว่า “ พระราชกฤษฎีกากำหนดลักษณะ กิจการ หรือหน่วยงานที่ได้รับการยกเว้นไม่ให้นำพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 บางส่วนมาใช้บังคับ พ.ศ. 2566 ” มาตรา 2 พระราชกฤษฎีกานี้ให้ใช้บังคับเมื่อพ้นกาหนดหนึ่งร้อยห้าสิบวันนับแต่วันประกาศ ในราชกิจจานุเบกษาเป็นต้นไป ้ หนา 45 ่ เลม 140 ตอนที่ 48 ก ราชกิจจานุเบกษา 17 สิงหาคม 2566

มาตรา 3 ในพระราชกฤษฎีกานี้ “ หน่วยงานของรัฐ ” หมายความว่า หน่วยงานที่เป็นของรัฐไม่ว่าจะเป็นส่วนราชการ รัฐวิสาหกิจ องค์การมหาชน หรือในรูปแบบอื่นใด และไม่ว่าจะเป็นองค์กรในฝ่ายบริหาร ฝ่ายนิติบัญญัติ ฝ่ายตุลาการ หรือเป็นองค์กรอิสระหรือองค์กรอัยการ “ คณะกรรมการ ” หมายความว่า ค ณะกรรมการคุ้มครองข้อมูลส่วนบุคคล “ ผู้ควบคุมข้อมูลส่วนบุคคล ” หมายความว่า ผู้ควบคุมข้อมูลส่วนบุคคลทั้งในภาครัฐและภาคเอกชน มาตรา 4 พระราชกฤษฎีกานี้มุ่งหมายให้ผู้ควบคุมข้อมูลส่วนบุคคลที่เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามที่ระบุไว้ในแต่ละมาตราในพ ระราชกฤษฎีกานี้ ได้รับการยกเว้น ไม่ให้นาพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 บางส่วนมาใช้บังคับภายใต้เงื่อนไข ที่กำหนด โดยมีหลักการสำคัญดังต่อไปนี้ (1) การร้องขอข้อมูลส่วนบุคคลตามพระราชกฤษฎีกานี้ ต้องเป็นไปเพื่อประโยชน์สาธารณะ ตามวัตถุประสงค์และขอบเขตซึ่งกฎหมายที่ให้อานาจหน่วยงานของรัฐกาหนดไว้ โดยไม่สร้างภาระเกินสมควร แก่ผู้ควบคุมข้อมูลส่วนบุคคลซึ่งมีหน้าที่เปิดเผยข้อมูลส่วนบุคคล (2) หน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคลในการเปิดเผยข้อมูลส่วนบุคคลโดยไม่ต้องได้รับ ความยินยอมจากเจ้า ของข้อมูลส่วนบุคคล เมื่อได้รับการร้องขอข้อมูลดังกล่าวจากหน่วยงานของรัฐ ซึ่งมีกฎหมายให้อานาจในการร้องขอข้อมูลนั้น โดยหน่วยงานของรัฐได้ระบุบทบัญญัติแห่งกฎหมาย ที่ให้อำนาจในการร้องขอ เพื่อปฏิบัติงานตามหน้าที่และอำนาจของหน่วยงานของรัฐที่ร้องขอนั้น (3) การรั บรองสิทธิของเจ้าของข้อมูลส่วนบุคคลหรือผู้ควบคุมข้อมูลส่วนบุคคลที่ถูกร้องขอ ข้อมูลส่วนบุคคลในการร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญหรือขอให้คณะกรรมการตีความหรือวินิจฉัยชี้ขาด แล้วแต่กรณี (4) การยกเว้นความผิดและโทษอาญาตามพระราชกฤษฎีกานี้ ไม่คุ้มครองการดาเนิ นการ โดยมิชอบด้วยพระราชกฤษฎีกานี้ มาตรา 5 ผู้ควบคุมข้อมูลส่วนบุคคลที่ได้รับการยกเว้นโดยพระราชกฤษฎีกานี้ ยังคงมีหน้าที่ต้องจัดให้มีการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ทั้งนี้ เพื่อมิให้กระทบกับ หลักการคุ้มครองข้อมูลส่วนบุคคลจนเกินสมควร การรักษา ความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลตามวรรคหนึ่ง ให้เป็นไปตามมาตรฐาน ที่คณะกรรมการประกาศกำหนด ้ หนา 46 ่ เลม 140 ตอนที่ 48 ก ราชกิจจานุเบกษา 17 สิงหาคม 2566

มาตรา 6 เมื่อผู้ควบคุมข้อมูลส่วนบุคคลได้รับการร้องขอข้อมูลส่วนบุคคลจาก คณะกรรมการป้องกันและปราบปรามการทุจริตแห่งชาติ หรือหน่วยงานของรัฐที่ได้รับมอบหมาย ให้ดาเนิน การจากคณะกรรมการป้องกันและปราบปรามการทุจริตแห่งชาติตามกฎหมายประกอบรัฐธรรมนูญ ว่าด้วยการป้องกันและปราบปรามการทุจริต สานักงานคณะกรรมการป้องกันและปราบปรามการทุจริตแห่งชาติ คณะกรรมการป้องกันและปราบปรามการทุจริตในภาครัฐหรือสำนักงานคณะกรรมการป้องกัน และปราบปรำมการทุจริตในภาครัฐ หรือหน่วยงานของรัฐที่คณะกรรมการประกาศกำหนด บรรดาที่มีกฎหมายให้อำนาจขอข้อมูลส่วนบุคคลเพื่อดำเนินการตามวัตถุประสงค์หรือภารกิจ ตามกฎหมายเกี่ยวกับการป้องกันและปราบปรามการทุจริต ผู้ควบคุมข้อมูลส่วนบุคคลดังกล่าวย่อมได้รับ การยกเว้นการปฏิบัติตามบทบัญญัติหมวด 2 และหมวด 3 แห่งพระราชบัญญัติคุ้มครองข้อมูล ส่วนบุคคล พ.ศ. 2562 มาตรา 7 เมื่อผู้ควบคุมข้อมูลส่วนบุคคลได้รับการร้องขอข้อมูลส่วนบุคคลจากกรมสรรพากร กรมศุลกากร หรือกรมสรรพสามิต บรรดาที่มีกฎหมายให้อานาจขอข้อมูลส่วนบุ คคลเพื่อดาเนินการ ตามวัตถุประสงค์หรือภารกิจตามกฎหมายที่อยู่ในความรับผิดชอบเกี่ยวกับการจัดเก็บภาษีอากร การดาเนินการใด ๆ อันเกี่ยวกับการบังคับแก่บรรดาค่าธรรมเนียมทางภาษีอากร ค่าฤชาธรรมเนียม หรือค่าอากรใด ๆ รวมทั้งการดาเนินการตามพันธกรณีหรือความร่วมมื อระหว่างประเทศในเรื่องดังกล่าว ผู้ควบคุมข้อมูลส่วนบุคคลดังกล่าวย่อมได้รับการยกเว้นการปฏิบัติตามบทบัญญัติหมวด 2 และหมวด 3 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เจ้าของข้อมูลส่วนบุคคลมีสิทธิที่จะรู้ว่าหน่วยงานของรัฐตามวรรคหนึ่งเก็บข้อมูลใดเกี่ยวกับตนไว้ และมีสิทธิขอให้หน่วยงานของรัฐนั้นแก้ไขข้อมูลให้ถูกต้องและเป็นปัจจุบัน แต่ในกรณีที่หน่วยงานของรัฐ ได้รับข้อมูลมาจากผู้ควบคุมข้อมูลส่วนบุคคลอื่น การแก้ไขข้อมูลให้ ถูกต้องและเป็นปัจจุบันเป็นหน้าที่ และอานาจของผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นผู้เก็บรวบรวมและเปิดเผยข้อมูลนั้น และให้ผู้ควบคุม ข้อมูลส่วนบุคคลดังกล่าวส่งข้อมูลที่ถูกต้องและเป็นปัจจุบันให้กับหน่วยงานของรัฐที่ร้องขอตามวรรคหนึ่ง มาตรา 8 เมื่อผู้ควบคุมข้อมูล ส่วนบุคคลได้รับการร้องขอข้อมูลส่วนบุคคลจาก องค์กรปกครองส่วนท้องถิ่นซึ่งคณะกรรมการประกาศกาหนด บรรดาที่มีกฎหมายให้อานาจขอข้อมูล ส่วนบุคคลเพื่อดาเนินการตามวัตถุประสงค์หรือภารกิจตามกฎหมายที่อยู่ในความรับผิดชอบเกี่ยวกับ การจัดเก็บภาษีตามกฎหมายว่าด้วยภาษีที่ดิน และสิ่งปลูกสร้าง ผู้ควบคุมข้อมูลส่วนบุคคลดังกล่าว ย่อมได้รับการยกเว้นการปฏิบัติตามบทบัญญัติหมวด 2 และหมวด 3 แห่งพระราชบัญญัติคุ้มครอง ข้อมูลส่วนบุคคล พ.ศ. 2562 ้ หนา 47 ่ เลม 140 ตอนที่ 48 ก ราชกิจจานุเบกษา 17 สิงหาคม 2566

ก่อนที่คณะกรรมการจะประกาศกำหนดองค์กรปกครองส่วนท้องถิ่นตามวรรคหนึ่ง คณะกรรมการต้องจัดให้ มีการประเมินความพร้อมในการเก็บรวบรวม การใช้ และการเปิดเผยข้อมูล ส่วนบุคคลขององค์กรปกครองส่วนท้องถิ่นแต่ละแห่งตามมาตรฐานการรักษาความมั่นคงปลอดภัย ของข้อมูลส่วนบุคคลก่อน เจ้าของข้อมูลส่วนบุคคลมีสิทธิที่จะรู้ว่าองค์กรปกครองส่วนท้องถิ่นตามวรรคหนึ่งเก็บข้อมูลใ ด เกี่ยวกับตนไว้ และมีสิทธิขอให้องค์กรปกครองส่วนท้องถิ่นนั้นแก้ไขข้อมูลให้ถูกต้องและเป็นปัจจุบัน แต่ในกรณีที่องค์กรปกครองส่วนท้องถิ่นได้รับข้อมูลมาจากผู้ควบคุมข้อมูลส่วนบุคคลอื่น การแก้ไขข้อมูล ให้ถูกต้องและเป็นปัจจุบันเป็นหน้าที่และอานาจของผู้ควบคุมข้ อมูลส่วนบุคคลซึ่งเป็นผู้เก็บรวบรวม และเปิดเผยข้อมูลนั้น และให้ผู้ควบคุมข้อมูลส่วนบุคคลดังกล่าวส่งข้อมูลที่ถูกต้องและเป็นปัจจุบันให้แก่ องค์กรปกครองส่วนท้องถิ่นที่ร้องขอตามวรรคหนึ่ง มาตรา 9 เมื่อผู้ควบคุมข้อมูลส่วนบุคคลได้รับการร้องขอข้อมูลส่วนบุคคลจาก สำนักเลขาธิการคณะรัฐมนตรี เพื่อดำเนินการตามวัตถุประสงค์หรือภารกิจตามกฎหมายที่อยู่ใน ความรับผิดชอบเกี่ยวกับการสถาปนาสมณศักดิ์ การแต่งตั้งหรือถอดถอนข้าราชการ บุคคลหรือคณะบุคคล ซึ่งเป็นพระราชอานาจของพระมหากษัตริย์ หรือที่ต้องเสนอคณะรัฐมนตรี และการขอพระ ราชทาน หรือเรียกคืนเครื่องราชอิสริยาภรณ์ ฎีกาซึ่งมีผู้ทูลเกล้าฯ ถวาย หรือการขอพระราชทานพระมหากรุณา ในเรื่องต่าง ๆ ผู้ควบคุมข้อมูลส่วนบุคคลดังกล่าวย่อมได้รับการยกเว้นการปฏิบัติตามบทบัญญัติหมวด 2 และหมวด 3 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ . 2562 เจ้าของข้อมูลส่วนบุคคลมีสิทธิที่จะรู้ว่าสำนักเลขาธิการคณะรัฐมนตรีเก็บข้อมูลใดเกี่ยวกับตนไว้ และมีสิทธิขอให้สำนักเลขาธิการคณะรัฐมนตรีแก้ไขข้อมูลให้ถูกต้องและเป็นปัจจุบัน แต่ในกรณี ที่สำนักเลขาธิการคณะรัฐมนตรีได้รับข้อมูลมาจากผู้ควบคุมข้อมูลส่วน บุคคลอื่น การแก้ไขข้อมูล ให้ถูกต้องและเป็นปัจจุบันเป็นหน้าที่และอานาจของผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นผู้เก็บรวบรวม และเปิดเผยข้อมูลนั้น และให้ผู้ควบคุมข้อมูลส่วนบุคคลดังกล่าวส่งข้อมูลที่ถูกต้องและเป็นปัจจุบัน ให้แก่สำนักเลขาธิการคณะรัฐมนตรีที่ร้องขอตามวรรคหนึ่ง มาตรา 10 เมื่อผู้ควบคุมข้อมูลส่วนบุคคลได้รับการร้องขอข้อมูลส่วนบุคคลจากหน่วยงานของรัฐ ที่มีกฎหมายให้อำนาจในการขอข้อมูลส่วนบุคคลเพื่อดำเนินการตามวัตถุประสงค์หรือภารกิจ ตามกฎหมายเกี่ยวกับประโยชน์สาธารณะที่ สาคัญซึ่งคณะกรรมการประกาศกาหนด ผู้ควบคุมข้อมูล ส่วนบุคคลดังกล่าวย่อมได้รับการยกเว้นการปฏิบัติตามบทบัญญัติหมวด 2 และหมวด 3 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ้ หนา 48 ่ เลม 140 ตอนที่ 48 ก ราชกิจจานุเบกษา 17 สิงหาคม 2566

การประกาศกาหนดหน่วยงานของรัฐซึ่งมีหน้าที่และอำนาจเกี่ยวกับประโยชน์สาธารณะ ที่สาคัญ ตามวรรคหนึ่ง คณะกรรมการอาจกำหนดหลักเกณฑ์ วิธีการ หรือเงื่อนไขที่จำเป็นและสมควร ให้หน่วยงานของรัฐนั้นปฏิบัติ เพื่อคุ้มครองสิทธิขั้นพื้นฐานและประโยชน์ของเจ้าของข้อมูลส่วนบุคคลด้วยก็ได้ การดาเนินการตามวรรคหนึ่งต้องสอดคล้องกับหลักความพอสมควรแก่เหตุ โดยไม่สร้างขั้นตอน ที่ไม่จาเป็นหรือสร้างภาระจนเกินสมควร และได้สัดส่วนระหว่างประโยชน์ที่ส่วนรวมจะได้รับกับสิทธิเสรีภาพ และประโยชน์ที่บุคคลต้องเสียไป มาตรา 11 การเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคล ในการดาเนินการเกี่ยวกั บการเนรเทศ การส่งผู้ร้ายข้ามแดน ความร่วมมือระหว่างประเทศเกี่ยวกับ กระบวนการยุติธรรมทางอาญา การป้องกันและปราบปรามการมีส่วนร่วมในองค์กรอาชญากรรมข้ามชาติ ความร่วมมืออื่นทางศาล หรือกระบวนการยุติธรรมระหว่างประเทศ ผู้ควบคุมข้อมูลส่วนบุคคลดังกล่าว ย่อมได้รั บการยกเว้นการปฏิบัติตามบทบัญญัติหมวด 2 และหมวด 3 แห่งพระราชบัญญัติคุ้มครอง ข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 12 การเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของหน่วยงานของรัฐ ตามพระราชกฤษฎีกานี้ บรรดาที่มีกฎหมายหรือพระราชกฤษฎีกานี้ให้อานาจในการขอข้อมูลส่วนบุคคล เพื่อดาเนินการตามหน้าที่และอานาจที่กฎหมายกาหนดไว้ หน่วยงานของรัฐซึ่งเป็นผู้ควบคุมข้อมูล ส่วนบุคคลดังกล่าวย่อมได้รับการยกเว้นการปฏิบัติตามบทบัญญัติหมวด 2 และหมวด 3 แห่งพระราชบัญญัติคุ้ มครองข้อมูลส่วนบุคคล พ.ศ. 2562 คณะกรรมการอาจประกาศกาหนดหลักเกณฑ์ วิธีการ และเงื่อนไขให้หน่วยงานของรัฐ ตามวรรคหนึ่งหน่วยงานใดหน่วยงานหนึ่งถือปฏิบัติ เพื่อคุ้มครองสิทธิขั้นพื้นฐานและประโยชน์ ของเจ้าของข้อมูลส่วนบุคคลด้วยก็ได้ มาตรา 13 ในกรณีที่มีปัญหา ว่าลักษณะ กิจการ หรือหน่วยงานใดอยู่ภายใต้บังคับ แห่งพระราชกฤษฎีกานี้ ผู้มีหน้าที่เกี่ยวข้องอาจขอให้คณะกรรมการตีความและวินิจฉัยชี้ขาดปัญหา ที่เกิดขึ้นได้ ให้คณะกรรมการตีความและวินิจฉัยชี้ขาดปัญหาตามวรรคหนึ่งให้แล้วเสร็จภายในหกสิบวัน และแจ้งให้ผู้มีหน้าที่ เกี่ยวข้องทราบ คณะกรรมการอาจขยายระยะเวลาตามวรรคสองออกไปอีกได้ไม่เกินสามสิบวัน ให้คณะกรรมการประกาศการตีความและวินิจฉัยชี้ขาดปัญหาตามวรรคสองให้ทราบเป็นการทั่วไป ้ หนา 49 ่ เลม 140 ตอนที่ 48 ก ราชกิจจานุเบกษา 17 สิงหาคม 2566

ในกรณีที่คณะกรรมการตีความและวินิจฉัยชี้ขาดปัญหาในเรื่องใดแล้ว หากผู้เกี่ยวข้อง ขอให้คณะกรรมการตีความและวินิจฉัยชี้ขาดปัญหาเรื่องในลักษณะหรือทำนองเดียวกัน สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลอาจส่งคำวินิจฉัยในเรื่องนั้นให้ผู้นั้นถือปฏิบัติได้ มาตรา 14 เพื่อประโยชน์ในการคุ้มครองข้อมูลส่วนบุคคลและเป็นไปตามเจตนารมณ์ ของมาตรา 4 ใ ห้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนดมาตรฐานการรักษา ความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลให้แล้วเสร็จภายในหนึ่งร้อยยี่สิบวันนับแต่วันที่พระราชกฤษฎีกา ประกาศในราชกิจจานุเบกษา แต่จะให้มีผลใช้บังคับก่อนวันที่พระราชกฤษฎีกานี้มีผลใช้บังคับมิได้ ทั้งนี้ เพื่อให้ผู้ควบคุมข้อมูลส่วนบุคคลซึ่งได้รับการยกเว้นไม่ให้นาพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาใช้บังคับ และตามพระราชกฤษฎีกานี้ ถือปฏิบัติ ผู้ควบคุมข้อมูลส่วนบุคคลตามวรรคหนึ่ง ต้องจัดให้มีการรักษาความมั่นคงปลอดภัย ของข้อมูลส่วนบุคคล ตามมาตรฐานที่กำหนดตามวรรคหนึ่งให้แล้วเสร็จภายในระยะเวลา ที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด มาตรา 15 ให้รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมรักษาการ ตามพระราชกฤษฎีกานี้ ผู้รับสนองพระ บรม ราชโองการ พลเอก ประยุทธ์ จันทร์โอชา นายกรัฐมนตรี ้ หนา 50 ่ เลม 140 ตอนที่ 48 ก ราชกิจจานุเบกษา 17 สิงหาคม 2566

หมายเหตุ : - เหตุผลในการประกาศใช้พระราชกฤษฎีกาฉบับนี้ คือ โดยที่มาตรา 4 วรรคสอง แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ให้อำนาจตราพระราชกฤษฎีกายกเว้น ไม่ให้นำพระราชบัญญัตินี้ทั้งหมดหรือแต่บางส่วนมาใช้บังคับแก่ผู้ควบคุมข้อมูลส่วนบุคคลในบางลักษณะ บางกิจการ หรือบางหน่วยงาน เช่นเดียวกับผู้ควบคุมข้อมูลส่วนบุคคลที่ได้รับการยกเว้นตามมาตรา 4 วรรคหนึ่ง และให้อานาจยกเว้นไม่ให้นาพระราชบัญญัตินี้ทั้งหมดหรือแต่ บางส่วนมาใช้บังคับแก่ผู้ควบคุมข้อมูลส่วนบุคคล ที่ดาเนินการเพื่อประโยชน์สาธารณะอื่นใด สมควรกาหนดลักษณะ กิจการ หรือหน่วยงานบางประเภท ได้รับการยกเว้นไม่ให้นาพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาใช้บังคับ ภายใต้เงื่อนไข ที่กาหนดในแต่ละกรณี โดยผู้ควบคุมข้อมูลส่วนบุคคลที่ได้รับการยกเว้นตามพระราชกฤษฎีกานี้ ยังคงมีหน้าที่ ต้องจัดให้มีการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลตามที่กำหนดในมาตรา 4 วรรคสาม แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ด้วย ทั้งนี้ เพื่อมิให้กระทบกั บหลักการคุ้มครอง ข้อมูลส่วนบุคคลจนเกินสมควร จึงจำเป็นต้องตรา พระราชกฤษฎีกานี้ ้ หนา 51 ่ เลม 140 ตอนที่ 48 ก ราชกิจจานุเบกษา 17 สิงหาคม 2566