4 ประเด็นที่ไม่จริงเกี่ยวกับ กฎหมายคุ้มครองข้อมูลส่วนบุคคล มีผลบังคับใช้ 1 มิ.ย. 65 

Highlight

กฎหมายคุ้มครองข้อมูลส่วนบุคคล มีผลบังคับใช้พรุ่งนี้แล้ว (1 มิ.ย.65) สิ่งใด ทำได้ ไม่ได้หลายคนยังไม่เคลียร์ บทลงโทษค่อนข้างหนักในบางกรณี เราะการละเมิดสิทธิ์ อาจสร้างความเสียหาย เฟซบุ๊ก PDPC Thailand ได้ชี้แจง 4 ประเด็นที่อาจยังมีผู้ที่ไม่เข้าใจเกี่ยวกับ PDPA เช่น การถ่ายรูป ถ่ายคลิปติดรูปบุคคลอื่น นำคลิปหรือรูปถ่ายที่ติดคนอื่นไปโพสต์ในโซเชียลมีเดียโดยบุคคลอื่นไม่ยินยอม และข้อมูลใดที่มีความอ่อนไหว เพื่อให้ประชาชนมีความเข้าใจในกฎหมายมากขึ้น

วันที่ 31 พฤษภาคม 2565 ผู้สื่อข่าวรายงานว่า พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ กฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA) ย่อมาจากคำว่า Personal Data Protection Act B.E. 2562 (2019) เริ่มมีผลบังคับใช้วันที่ 1 มิถุนายน 2565 หลังเว็บไซต์ราชกิจจานุเบกษาได้เผยแพร่ประกาศเมื่อวันที่ 27 พฤษภาคม 2562

สำหรับกฎหมาย PDPA เป็นกฎหมายที่ว่าด้วยการให้สิทธิกับเจ้าของข้อมูลส่วนบุคคล การสร้างมาตรฐานการรักษาข้อมูลส่วนบุคคลให้ปลอดภัย และนำไปใช้อย่างถูกวัตถุประสงค์ตามคำยินยอมที่เจ้าของข้อมูลส่วนบุคคลอนุญาต 

แต่ทั้งนี้เพื่อให้เกิดความเข้าใจตรงกัน ที่เฟซบุ๊ก PDPC Thailand ได้ชี้แจง 4 ประเด็นที่อาจยังมีผู้ที่ไม่เข้าใจเกี่ยวกับ PDPA ดังนี้

1. การถ่ายรูป-ถ่ายคลิป ติดภาพคนอื่นโดยเจ้าตัวไม่ยินยอมจะผิด PDPA

ตอบ : กรณีการถ่ายรูป-ถ่ายคลิปโดยติดบุคคลอื่นโดยผู้ถ่ายรูป-ถ่ายคลิปไม่เจตนา และการถ่ายรูปถ่ายคลิปดังกล่าวไม่ได้ก่อให้เกิดความเสียหายกับผู้ถูกถ่าย สามารถทำได้ หากเป็นการใช้เพื่อวัตถุประสงค์ส่วนตัว

2. ถ้านำคลิปหรือรูปถ่ายที่ติดคนอื่นไปโพสต์ในโซเชียลมีเดียโดยบุคคลอื่นไม่ยินยอมจะผิด PDPA

ตอบ : สามารถโพสท์ได้ หากใช้เพื่อวัตถุประสงค์ส่วนตัว ไม่ใช้แสวงหากำไรทางการค้าและไม่ก่อให้เกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคล

3. ติดกล้องวงจรปิดแล้วไม่มีป้ายแจ้งเตือนผิด PDPA

ตอบ : การติดกล้องวงจรปิด ภายในบ้าน ไม่จำเป็นต้องมีป้ายแจ้งเตือน หากเพื่อป้องกันอาชญากรรม และรักษาความปลอดภัยกับตัวเจ้าของบ้าน

4. เจ้าของข้อมูลส่วนบุคคลต้องให้ความยินยอมทุกครั้งก่อนนำข้อมูลไปใช้

ตอบ : ไม่จำเป็น ต้องขอความยินยอม หากการใช้ข้อมูลดังกล่าว เป็นไปตามเงื่อนไขต่อไปนี้

• เป็นการทำตามสัญญา
• เป็นการใช้ที่มีกฎหมายให้อำนาจ
• เป็นการใช้เพื่อรักษาชีวิตและ/หรือ ร่างกายของบุคคล
• เป็นการใช้เพื่อการค้นคว้าวิจัยทางสถิติ
• เป็นการใช้เพื่อประโยชน์สาธารณะ
• เป็นการใช้เพื่อปกป้องผลประโยชน์ หรือสิทธิของตนเอง

ทั้งนี้ หลักการข้างต้น อาจเปลี่ยนแปลงตามข้อเท็จจริงที่เกิดขึ้นเป็นกรณีไป



ขอบเขตการบังคับใช้

ใช้บังคับแก่การเก็บรวบรวม การใช้ หรือการเปิดเผยข้อมูลส่วนบุคคลโดยผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งอยู่ในราชอาณาจักร
มีผลบังคับใช้ถึงกรณีผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลที่อยู่นอกราชอาณาจักร หากมีกิจกรรมดังนี้

1. เสนอขายสินค้าหรือบริการแก่เจ้าของข้อมูลซึ่งอยู่ในราชอาณาจักรไม่ว่าจะมีการชำระเงินหรือไม่
2. การเฝ้าติดตามพฤติกรรมของเจ้าของข้อมูลที่เกิดขึ้นในราชอาณาจักร

พระราชบัญญัตินี้ไม่ใช้บังคับกับ

1. การเก็บรวบรวม ใช้ หรือเปิดเผย เพื่อประโยชน์ส่วนตน หรือเพื่อกิจกรรมในครอบครัวของบุคคลนั้น
2. การดำเนินการของหน่วยงานรัฐที่มีหน้าที่ในการรักษาความมั่นคงของรัฐ ความมั่นคงทางการคลังของรัฐ การรักษาความปลอดภัยของประชาชน การป้องกันและปราบปรามการฟอกเงิน นิติวิทยาศาสตร์ การรักาาความมั่นคงปลอดภัยทางไซเบอร์
3. การเก็บรวบรวมเพื่อกิจการสื่อสารมวลชน งานศิลปกรรม หรืองานวรรณกรรมอันเป็นไปตามจริยธรรมแห่งการประกอบวิชาชีพหรือเป็นประโยชน์สาธารณะเท่านั้น
4. สภาผู้แทนราษฎร วุฒิสภา รัฐสภา คณะกรรมาธิการ ตามอำนาจและหน้าที่ของสภาผู้แทนราษฎร วุฒิสภา รัฐสภา และคณะกรรมาธิการ
5. การพิจารณาพิพากษาคดีของศาล การดำเนินการงานของเจ้าหน้าที่ในกระบวนการพิจารณาคดี การบังคับคดี การวางทรัพย์ การดำเนินงานตามกระบวนการยุติธรรมทางอาญา
6. การดำเนินการกับข้อมูลของบริษัทข้อมูลเครดิตและสมาชิกตามกฎหมายว่าด้วยการประกอบธุรกิจข้อมูลเครดิต

รู้จัก PDPA หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล คืออะไร ?

PDPA (Personal Data Protection Act) คือกฎหมายที่ใช้คุ้มครองและให้สิทธิกับเจ้าของข้อมูลส่วนบุคคลของเราเอง ตามข้อกฎหมาย พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ไม่ได้มีผลกับแค่บุคคลเท่านั้นแต่รวมไปถึงบริษัทต่าง ๆ จะต้องรักษาข้อมูลของผู้ให้บริการด้วย และการเปิดเผยข้อมูลส่วนตัวของผู้อื่นจะต้องได้รับอนุญาตจากเจ้าของข้อมูลแล้วเท่านั้น โดยเจ้าของข้อมูลมีสิทธิ ในข้อมูลส่วนตัวต่าง ๆ ดังนี้

• สิทธิในการถอนความยินยอม ในกรณีที่ได้ให้ความยินยอมไว้
• สิทธิได้รับการแจ้งให้ทราบรายละเอียด
• สิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคล
• สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคล
• สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้
• สิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคล
• สิทธิขอให้แก้ไขข้อมูลส่วนบุคคล

อะไรบ้างที่เข้าข่ายการละเมิดสิทธิข้อมูลส่วนบุคคล ?

จากนิยามความหมาย ข้อมูลส่วนบุคคลหมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม โดยสามารถแบ่งได้ดังนี้

• ชื่อ นามสกุล ชื่อเล่น
• เลขประจำตัวประชาชน, เลขหนังสือเดินทาง, เลขบัตรประกันสังคม, เลขใบอนุญาตขับขี่, เลขประจำตัวผู้เสียภาษี, เลขบัญชีธนาคาร, เลขบัตรเครดิต (การเก็บเป็นภาพสำเนาบัตรประชาชนหรือสำเนาบัตรอื่นๆที่ที่ข้อมูลส่วนบุคคล)
• ที่อยู่ อีเมล์ โทรศัพท์
• ข้อมูลอุปกรณ์หรือเครื่องมือ เช่น IP Address, MAC Address, Cookie ID
• ข้อมูลทางชีวมิติ (Bio-metric) ไม่ว่าจะเป็นรูปภาพใบหน้า ลายนิ้วมือ ฟิลม์เอ็กซ์เรย์ ข้อมูลสแกนม่านตา ข้อมูลอัตลักษณ์เสียง ข้อมูลพันธุกรรม
• ข้อมูลระบุทรัพย์สินของบุคคล เช่นทะเบียนรถ โฉนดที่ดิน
• ข้อมูลที่สามารถเชื่อมโยงไปยังข้อมูลข้างต้นได้ เช่น วันเกิด สถานที่เกิด เชื้อชาติ สัญชาติ น้ำหนัก ส่วนสูง ข้อมูลตำแหน่งที่อยู่ ข้อมูลการแพทย์ ข้อมูลการศึกษา ข้อมูลทางการเงิน ข้อมูลการจ้างงาน
• ข้อมูลหมายเลขอ้างอิงที่เก็บไว้ในไมโครฟิลม์
• ข้อมูลการประเมินผลการทำงานหรือความเห็นของนายจ้างต่อการทำงานของลูกจ้าง
• ข้อมูลบันทึกต่างๆที่ใช้ติดตามสตรวจสอบกิจกรรมต่างๆของบุคคล เช่น Log Files
• ข้อมูลมที่ใช้ค้นหาข้อมูลส่วนบุคคลอื่นในอินเตอร์เน็ต

ส่วนเรื่องการถ่ายภาพสามารถแบ่งออกเป็น 4 หัวข้อ ดังนี้

1. การถ่ายภาพเพื่อประโยชน์ส่วนตน เช่น การโพสต์ลงโซเชียลมีเดีย  ที่ไม่ได้มีจุดประสงค์ถ่ายภาพเพื่อสร้างผลกำไรทางการค้า จัดอยู่ในข้อยกเว้นของ พ.ร.บ. ฉบับนี้ แต่หากภาพดังกล่าวสร้างความเดือดร้อนให้ผู้อื่น หรือสังคม รวมทั้งเจตนา ท่าทาง ข้อความบรรยายของรูปผู้ใช้ หรือแม้แต่คอมเม้นต่าง ๆ ที่ไม่เหมาะสม ก็อาจจะเสี่ยงโดนฟ้องละเมิดได้
   
   
2. การถ่ายภาพเพื่อสร้างรายได้ เช่น การรับจ้างถ่ายภาพงานแต่ง งานรับปริญญา หรือทำ Content ใน Youtube ต่างๆ ซึ่งต่างจากข้อแรก เพราะในกรณีที่ได้รับผลตอบแทน ผู้ปฏิบัติควรทำตามขอบเขตความจำเป็นของสัญญา/ความยินยอม ถ้าเกิดผู้ที่เป็นช่างภาพอยากอัพโหลดผลงานที่ตนเป็นคนถ่าย แล้วบังเอิญไม่ได้อยู่ในสัญญาที่ระบุไว้กับผู้ที่ถูกถ่าย คนที่เป็นช่างภาพนั้นต้องได้รับอนุญาตจากเจ้าของภาพก่อนนำไปใช้เท่านั้น  ส่วนการทำ Content วิดีโอลง Youtube ก็ไม่ถือว่าอยู่ใต้การบังคับของ PDPA ถ้าเหตุผลเป็นไปตามสิ่งที่ได้กล่าวมาข้างต้น
   
   
3. งานสื่อมวลชน หรืองานนิทรรศกรรมถาพถ่ายต่างๆ ไม่ว่าจะเป็น ภาพข่าว หรือ งานศิลปะกรรม จะไม่ได้อยู่ใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล บุคคลที่ได้รับมอบหมายให้ทำกิจกรรมเหล่านี้ต้องทำตามจริยธรรมแห่งการประกอบวิชาชีพ
   
   
4. การถ่ายภาพของเจ้าหน้าที่รัฐ ที่พยายามหาหลักฐานในการสืบสวน กรณีดังกล่าวสามารถทำได้ตามข้อกำหนดและขอบเขตของกฎหมาย

หากฝ่าฝืนจะมีบทลงโทษอย่างไรบ้าง ?

รับผิดทางแพ่ง

• ผู้ได้รับความเสียหายสามารถเรียกค่าสินไหมทดแทนได้ และศาลสั่งลงโทษเพิ่มขึ้นได้ไม่เกิน 2 เท่าของสินไหมทดแทน
  

โทษทางปกครอง

• ไม่ขอความยินยอมให้ถูกต้อง ไม่แจ้งรายละเอียดให้เจ้าของข้อมูลทราบ ไม่ให้เจ้าขอข้อมูลเข้าถึงตามสิทธิ ฯลฯ ปรับไม่เกิน 1 ล้านบาท
• เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากฐานทางกฎหมาย ปรับไม่เกิน 3 ล้านบาท
• เก็บรวบรวม ใช้ เปิดเผยหรือโอนข้อมูลส่วนบุคคลอ่อนไหว โดยไม่ชอบด้วยกฎหมาย ปรับไม่เกิน 5 ล้านบาท

โทษอาญา

• ทำให้ผู้อื่นเกิดความเสียหาย เสียชื่อเสียง โทษจำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 5 แสนบาท
• เพื่อหาประโยชน์ที่มิชอบด้วยกฎหมายสำหรับตนเองหรือผู้อื่น จำคุก ไม่เกิน 1 ปี หรือปรับไม่เกิน  1 ล้านบาท
• ล่วงรู้ข้อมูลส่วนบุคคลของผู้อื่นเนื่องจากการปฏิบัติหน้าที่ ตาม พ.ร.บ. นี้ ห้ามนำไปเผยแพร่แก่ผู้อื่น (เว้นแต่มีอำนาจหน้าที่ตามกฎหมาย) จำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 5 แสนบาท

ในกรณีที่ผู้กระทำความผิด เป็นนิติบุคคล หากกรรมการผู้จัดการหรือบุคคลในความรับผิดชอบ สั่งการหรือกระทำหรือละเว้นไม่สั่งการหรือไม่กระทำ จนเป็นเหตุให้นิติบุคคลนั้นกระทำความผิด ต้องรับโทษในคดีอาญานั้นไว้ด้วย

สรุปได้ว่าถ้าเป็นข้อมูลของคนอื่น ไม่ว่าจะเป็น ชื่อ ที่อยู่ เบอร์โทรศัพท์ รูป วีดีโอ หรือข้อมูลต่าง ๆ ที่บริษัทได้เก็บรักษาไว้ก็ห้ามนำไปเผยแพร่หรือส่งต่อให้กับผู้อื่นก่อนได้รับอนุญาตเสมอ ซึ่งในกรณีที่ผู้ให้บริการทำข้อมูลต่าง ๆ ของเราหลุดออกมา เช่น ข้อมูลบัตรประชาชน หรือเบอร์โทรศัพท์ เราก็มีสิทธิที่จะฟ้องร้องบริษัทนั้น ๆ ได้หลังจากที่กฎหมาาย PDPA มีผลบังคับใช้แล้ว ทั้งนี้เรายังมีสิทธิในการขอให้ผู้บริการลบข้อมูลของเราที่เคยให้ไปแล้วได้ด้วยนะ
 
ที่มา : สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล, PDPC Thailand 
https://droidsans.com/pdpa-law-start-1-june-2022/