เมื่อเร็ว ๆ นี้มีประเด็นเกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA) ที่เพิ่งประกาศใช้ไม่กี่วันที่ผ่านมาว่าการถ่ายรูปในที่สาธารณะแล้วติดหน้าคนอื่นมาด้วยโดยไม่ขอความยินยอมเขาเป็นความผิดตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทยหรือไม่ วันนี้เพจ NEZ Legal Translation จะขออธิบายประเด็นนี้ในแบบ "นักกฎหมาย" กันครับโดยแยกออกเป็น 2 ตอน
โพสต์นี้ขออนุญาตอธิบายเฉพาะในส่วนบทนำ ส่วนโพสต์ต่อไปจะขออธิบายเพื่อตอบคำถามว่าการกระทำข้างต้นผิดหรือไม่ผิดกฎหมาย
1. ข้อมูลส่วนบุคคลคืออะไร
ก่อนจะตอบคำถามข้างต้น ผู้เขียนขอเริ่มจาก “หลัก” ก่อนว่าอะไรคือข้อมูลส่วนบุคคลเพื่อให้ทราบว่าการถ่ายรูปบุคคลเป็นการ “ประมวลผล” ข้อมูลส่วนบุคคลตามกฎหมาย PDPA หรือไม่
มาตรา 6 ของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 นิยามคำว่า “ข้อมูลส่วนบุคคล” ไว้ว่า “ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ”
จากนิยามข้างต้น ผู้เขียนขอแยกองค์ประกอบของข้อมูลส่วนบุคคลออกเป็นข้อ ๆ และอธิบายคร่าว ๆ ดังนี้ครับ
1) เป็นข้อมูลเกี่ยวกับบุคคล (information relating to natural persons) หมายความว่า ข้อมูลส่วนบุคคล เป็น “ข้อมูล” ชนิดหนึ่ง และต้องเป็นข้อมูลที่ “เกี่ยวกับ” (relates/relating to) “บุคคล” โดยเฉพาะ ไม่ใช่ข้อมูลที่เกี่ยวกับสิ่งของหรือวัตถุแต่อย่างใด ดังนั้น ข้อมูล “เกี่ยวกับ” วัตถุหรือสิ่งของย่อมไม่ใช่ข้อมูลส่วนบุคคลตามกฎหมาย
ส่วนคำว่า “เกี่ยวกับ” (relates to/relating to) หมายความว่า สื่อถึง ระบุถึง หรือเกี่ยวกับ (concern) บุคคลใดบุคคลหนึ่งที่ระบุตัวตนได้ เช่น ชื่อ นามสกุล อีเมล์ สเตทเมนท์ธนาคาร ลายนิ้วมือ หรือเลขป้ายทะเบียนรถของบุคคลธรรมดา เป็นต้น หากไม่สื่อถึง ระบุถึง หรือเกี่ยวกับบุคคลที่ระบุตัวตนได้โดยเฉพาะ แต่สื่อถึงวัตถุหรือสิ่งของแทน ข้อมูลนั้นก็ไม่ใช่ข้อมูลส่วนบุคคล เช่น ชื่อผลิตภัณฑ์หรือบริการ เป็นต้น
ส่วนคำว่า บุคคลในที่นี้หมายถึง “บุคคลธรรมดา” (natural person) ที่ยังมีชีวิตอยู่เท่านั้น เช่น นาย ก. นาย ข. แต่ไม่รวมถึง “นิติบุคคล” เช่น บริษัท สมาคม ห้างหุ้นส่วนจดทะเบียน หรือกระทรวงต่าง ๆ แต่อย่างใด ข้อมูลเกี่ยวกับบริษัทหรือนิติบุคคลจึง "ไม่ใช่" ข้อมูลส่วนบุคคลทั้งตามกฎหมายไทยและกฎหมายต่างประเทศ
2) เป็นข้อมูลที่ทำให้สามารถระบุตัวบุคคลนั้นได้ (identified or identifiable natural person) หมายความว่า ข้อมูลตามข้อ 1) ต้องทำให้เรา "จำแนก" (distinguish) บุคคลหนึ่งออกจากบุคคลหนึ่งได้ เช่น ชื่อจริงนามสกุลจริงหรือเลขประจำตัวประชาชนซึ่งช่วยให้เราจำแนกบุคคลหนึ่งออกจากบุคคลหนึ่งได้ เป็นต้น
ถ้าข้อมูลนั้นไม่ช่วยให้เราจำแนกบุคคลหนึ่งออกจากบุคคลหนึ่งได้ ข้อมูลนั้นก็ไม่มีคุณลักษณะเป็นข้อมูลส่วนบุคคลเพราะระบุตัวบุคคลไม่ได้ เช่น ภาพหน้าบุคคลที่เลือนมาก ๆ จนดูไม่ออกว่าเป็นใคร เป็นต้น
3) ไม่ว่าทางตรงหรือทางอ้อม (directly or indirectly) หมายความว่า ข้อมูลตามข้อ 2) ต้องระบุตัวบุคคลได้ไม่ว่าโดยทันที เช่น ชื่อจริงนามสกุลจริง หรือรูปถ่ายหน้าตรงของบุคคล เป็นต้น หรือโดยอ้อม เช่น ชื่อย่อของบุคคลซึ่งสื่อถึงบุคคลผู้เป็นเจ้าของชื่อได้โดยอ้อม เป็นต้น
ถ้าข้อมูลนั้นระบุตัวบุคคลไม่ได้เลย ไม่ว่าทางตรงหรือทางอ้อม ข้อมูลนั้นก็ไม่ใช่ข้อมูลส่วนบุคคล เช่น ภาพคนที่เห็นจากไกล ๆ จนไม่รู้ว่าเป็นใคร เป็นต้น
4) ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรม (deceased person) หมายความว่า กฎหมาย PDPA คุ้มครองเฉพาะข้อมูลส่วนบุคคลของ “คนเป็น” ไม่คุ้มครองข้อมูลของ “คนตาย” เพราะคนตายไม่มีสภาพบุคคลและไม่อาจใช้สิทธิต่าง ๆ ตามกฎหมายได้
สรุปคือ ข้อมูลส่วนบุคคลต้องเป็นข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะนั่นเอง
“ข้อสังเกต” แม้ข้อมูลจะผิดหรือไม่ถูกต้อง (inaccurate information) แต่หากดูรวม ๆ ประกอบกับข้อมูลอื่นแล้วสื่อถึงบุคคลใดบุคคลหนึ่งที่ระบุตัวตนได้ ข้อมูลนั้นก็เป็นข้อมูลส่วนบุคคลครับ
เช่น สมมติว่า ในเอกสารสะกดนามสกุลผมว่า NES ทั้งที่จริง ๆ แล้วต้องสะกดเป็นคำว่า NEZ แต่หากดูรวม ๆ กับเอกสารฉบับอื่นแล้วสื่อได้ว่าคำว่า NES หมายถึง NEZ ที่เป็นเจ้าของเพจ คำว่า NES ก็เป็นข้อมูลส่วนบุคคลได้แม้สะกดอักษรผิดจาก Z เป็น S ก็ตาม
2. ทำไมการเป็นหรือไม่เป็นข้อมูลส่วนบุคคลจึงสำคัญ
ข้อมูลส่วนบุคคลได้รับความคุ้มครองตามกฎหมายชื่อ “พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562” ซึ่งมีผลบังคับใช้เมื่อวันที่ 1 มิถุนายน 2565 ที่ผ่านมา กฎหมายตัวนี้กำหนดให้เรามีสิทธิประมวลผล (process) ข้อมูลส่วนบุคคลของคนอื่นได้ "ต่อเมื่อ" มี “ฐานทางกฎหมาย” (legal/lawful basis) อันชอบธรรมรองรับ ฐานทางกฎหมายดังกล่าว ได้แก่
1) ความยินยอม (consent)
2) อำนาจตามสัญญา (contract)
3) หน้าที่ตามกฎหมาย (legal obligation)
4) การป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล (vital interests)
5) ภารกิจสาธารณะ (public task) หรือ
6) ประโยชน์โดยชอบด้วยกฎหมาย (legitimate interests)
หากประมวลผลข้อมูลส่วนบุคคลของคนอื่นโดยปราศจากฐานทางกฎหมายอย่างใดอย่างหนึ่งข้างต้นรองรับแล้ว การประมวลผลข้อมูลก็ไม่ชอบด้วยกฎหมายทันที ผลก็คือเราซึ่งเป็นผู้ประมวลผลข้อมูลก็จะมีความรับผิดทางกฎหมายตามมา ส่วนเจ้าของข้อมูลส่วนบุคคลก็มีสิทธิคัดค้านหรือขอให้ลบข้อมูลที่เราประมวลผลนั้นได้
แต่หากประมวลผลโดยชอบด้วยกฎหมายแล้ว เราก็ไม่ต้องกังวลเรื่องความรับผิดตามกฎหมายแต่อย่างใด เช่น หากจะถ่ายรูปหมู่ตอนกินอาหารที่ร้าน เราหรือเจ้าของร้านก็สามารถ “ขอความยินยอม” จากคนกลุ่มนั้นก่อนได้แล้วแจ้งเขาให้ชัดเจนด้วยว่าจะนำรูปไปใช้เผยแพร่ประชาสัมพันธ์ร้านของเราบนโลกออนไลน์ หากคนกลุ่มนั้นยินยอม เราหรือเจ้าของร้านก็ไม่ต้องรับผิดใด ๆ ตามกฎหมายเลยทั้งสิ้น และไม่จำเป็นต้องเบลอหน้าคนกลุ่มนั้นด้วย
เพียงแต่ว่าเราหรือเจ้าของร้านต้องยอมลบภาพนั้นออกหากวันใดคนในรูปภาพบอกถอนความยินยอมและขอให้ลบรูปออกเป็นต้น ดังนั้น การเป็นหรือไม่เป็นข้อมูลส่วนบุคคลจึงสำคัญมาก เพราะหากเป็นข้อมูลส่วนบุคคลแล้ว การจัดการกับข้อมูลนั้น เช่น “การเก็บรวบรวม ใช้ หรือเผยแพร่” ก็ต้องทำด้วยความระมัดระวัง หากทำถูกต้องก็ไม่มีความผิดตามกฎหมาย แต่หากทำไม่ถูกต้องก็จะมีความรับผิดทางกฎหมายตามมา
เช่น เอาข้อมูลส่วนบุคคลของคนอื่นไป “เผยแพร่” (เช่น โพสต์ในสื่อสังคมออนไลน์) โดยไม่ขอความยินยอมจากเจ้าของข้อมูลก่อนและปราศจากฐานทางกฎหมายข้ออื่นรองรับ ก็มีความผิดตามมาตรา 79 ต้องระวางโทษจำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 500,000 บาท หรือทั้งจำทั้งปรับทันที เป็นต้น
ดังนั้น เมื่อกฎหมาย PDPA มีผลบังคับใช้แล้ว เราก็ควรทราบสักนิดว่าแบบไหนทำได้หรือแบบไหนทำไม่ได้นะครับ
ส่วนคำถามที่ถามค้างไว้ข้างบน “เดี๋ยวโพสต์หน้าจะมาตอบครับ”
ป.ล. บทความนี้เป็นเพียงคำแนะนำเท่านั้น ไม่ใช่ความเห็นทางกฎหมาย ผู้อ่านจึงควรอ่านเพื่อเป็นแนวทางและไม่ควรนำไปใช้อ้างในทางคดีกับใครนะครับ
ขอบคุณครับ
พุทธพจน์ นนตรี (เนส)
ทนายความและนักแปลเอกสารทางกฎหมาย
- 2
โฆษณา
- ดาวน์โหลดแอปพลิเคชัน
- © 2024 Blockdit
