รีเซต

"PDPA" กฎหมายนี้เกี่ยวข้องกับเราอย่างไร? จริงไหมที่ว่า ห้ามถ่ายรูปติดคนอื่น

"PDPA" กฎหมายนี้เกี่ยวข้องกับเราอย่างไร? จริงไหมที่ว่า ห้ามถ่ายรูปติดคนอื่น
TNN ช่อง16
1 มิถุนายน 2565 ( 15:13 )
217

หลาย ๆ วันมานี้ อาจมีกระแสข่าวระดับ Talk of the town เรื่องกฎหมาย 'PDPA' หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่จะเริ่มบังคับใช้วันนี้ หลายคนตื่นกลัวว่า กฎหมายใหม่ฉบับนี้เป็นกฎหมายที่ดูมีการบังคับใช้ในแนวทางที่ค่อนข้าง “รุนแรง” บางคนถึงกับพูดว่า จะไม่สามารถถ่ายรูปในพื้นที่สาธารณะได้อีกต่อไป 


ทาง TNN Tech ขอมาแจกแจงรายละเอียดเกี่ยวกับกฎหมาย PDPA เพื่อให้เห็นภาพที่ถูกต้อง หลีกเลี่ยงความเข้าใจผิด ๆ ที่อาจจะสร้างความเสียหาย หรือความตื่นตระหนกโดยไม่จำเป็น


PDPA คืออะไร


พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA (Personal Data Protection Act) ซึ่งหมายถึง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่มีขึ้นเพื่อให้ภาคเอกชนและภาครัฐ (บุคคล/นิติบุคคล) ที่เก็บรวมรวม ใช้ เปิดเผย และ/หรือ โอนข้อมูลส่วนบุคคลในไทยให้เป็นไปตามมาตรการปกป้องข้อมูลของผู้อื่นจากการถูกละเมิดสิทธิส่วนตัว โดย PDPA เรียกได้ว่าถอดแบบมาจากกฎหมายต้นแบบอย่างกฎหมาย GDPR (General Data Protection Regulation) ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (EU) โดยมีเป้าหมายหลัก ๆ ที่จะใช้กับทางผู้ประกอบการเอกชน


โดยหลักเกณฑ์หลัก ๆ คือกฎหมายฉบับนี้ ระบุให้ต้องขอความยินยอมจากเจ้าของข้อมูล ก่อนการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลเสมอ เป็นกฎหมายแรกของไทยในการคุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นกฎหมายว่าด้วยการให้สิทธิกับเจ้าของข้อมูลส่วนบุคคล สร้างมาตรฐานการรักษาข้อมูลส่วนบุคคลให้ปลอดภัย และนำไปใช้ให้ถูกวัตถุประสงค์ตามคำยินยอมที่เจ้าของข้อมูลส่วนบุคคลอนุญาต


 โดยการประกาศใช้ครั้งแรก มีกำหนดการว่าจะเริ่มใช้ตั้งแต่วันที่ 21 พฤษภาคม 2019 แต่ก็เลื่อนไปบังคับใช้วันที่ 1 มิถุนายน 2021 จนสุดท้ายก็เลื่อนเป็น 1 มิถุนายน 2022 จึงได้ประกาศใช้ในที่สุด


กฎหมายฉบับนี้ มีผลบังคับใช้ผูกพันระหว่างผู้ที่เป็นเจ้าของข้อมูล กับผู้เอาไปใช้ ทั้งภาครัฐ, เอกชน หน่วยงานที่ไม่แสวงหากำไร, คนธรรมดา และนิติบุคคล ที่อาศัยอยู่ในไทยและต่างประเทศ ซึ่งเกี่ยวข้องกับการเปิดเผย, ใช้, ถ่ายโอนข้อมูลส่วนบุคคลในไทย 


ใจความหลักคือเจ้าของข้อมูล ต้องยินยอม และผู้เก็บ ต้องแจ้ง ส่วนเจ้าของข้อมูลมีสิทธิ์เข้าถึง ขอสำเนา แก้ไข ทำลาย ยกเลิกข้อมูล เช่นการเข้าไปในเว็บไซต์ จะมีข้อความแจ้งนโยบายความเป็นส่วนตัว 


เราจะเจอสิ่งที่เกี่ยวข้องกับ PDPA ได้ที่ไหนบ้าง


หากเราใช้อินเทอร์เน็ตเป็นประจำอยู่ทุกวัน แน่นอนว่าต้องเจอการแชร์ลิงก์ผ่านแพลตฟอร์มโซเชียลเน็ตเวิร์กอยู่แล้ว และหากเว็บใดที่เมื่อคลิกเข้าไปแล้ว ปรากฏกล่องข้อความ (Pop-Up) ขึ้นมาว่า “เว็บไซต์นี้มีการเก็บคุกกี้ เพื่อพัฒนาประสบการณ์การใช้งาน” ข้อความเหล่านี้ คือการแจ้งเตือนผู้ใช้ว่า มีการเก็บข้อมูลร่องรอยการเยี่ยมชม (Cookie) อยู่ ซึ่งผู้ใช้สามารถเลือกได้ว่าจะยินยอมให้ข้อมูลอย่างไรบ้าง โดยสามารถปรับแต่งว่าจะยินยอมเปิดเผยข้อมูลเหล่านี้ หรือไม่ยินยอมให้เว็บไซต์ดังกล่าวใช้ได้เลยก็ตาม ตัวอย่างง่าย ๆ เช่นนี้ คือการแจ้งเพื่อขอความยินยอมในการเก็บข้อมูล ซึ่งเข้าข่ายกฎหมาย PDPA โดยตรง 


ส่วนข้อมูลที่อยู่ภายใต้การคุ้มครองของกฎหมาย PDPA นั้น โดยหลัก ๆ แล้วจะเป็นข้อมูลส่วนบุคคลทั่วไป เช่น ชื่อ นามสกุล เลขบัตรประจำตัวประชาชน ข้อมูลทางการแพทย์ เป็นต้น แต่ที่น่าสนใจก็คือ ข้อมูลส่วนบุคคลที่มีความอ่อนไหว เช่น เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง หรือพฤติกรรมทางเพศ เป็นต้น ข้อมูลเหล่านี้ก็อยู่ภายใต้กฎหมาย PDPA เช่นกัน


สิทธิ์พึงมีของเจ้าของข้อมูลส่วนบุคคล 


ในรายละเอียดของกฎหมาย PDPA ระบุไว้ว่า เจ้าของข้อมูลส่วนบุคคล มีสิทธิต่าง  ๆ ดังนี้  


- สิทธิในการถอนความยินยอม ในกรณีที่ได้ให้ความยินยอมไว้ 

- สิทธิได้รับการแจ้งให้ทราบรายละเอียด 

- สิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคล 

- สิทธิขอให้โอนข้อมูลส่วนบุคคล

- สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคล 

- สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ 

- สิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคล 

- สิทธิขอให้แก้ไขข้อมูลส่วนบุคคล 


และหากมีคำถามว่า กฎหมายนี้เป็นเพียงการตั้งรับรอเหตุหรือไม่ ขอยกตัวอย่างไปที่รายละเอียดกฎหมาย PDPA มาตรา 37(4) ซึ่งระบุไว้ว่า 


“ในกรณีที่เหตุการละเมิดข้อมูลส่วนบุคคล มีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล กฎหมายกำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคล มีหน้าที่ แจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบ พร้อมกับแนวทางการเยียวยาโดยไม่ชักช้า (มาตรา 37(4))”


ดังนั้นจะเห็นได้ว่าตัวกฎหมายดังกล่าวมีแนวทางเป็นเชิงรุก และอยู่ในทิศทางของการปกป้องผู้บริโภคโดยกำหนดให้ฝ่ายผู้ใช้งานข้อมูล ต้องแจ้งเจ้าของข้อมูลทันทีหากมีเหตุการณ์ที่มีผลกระทบเกี่ยวข้องกับตัวเจ้าของข้อมูลเกิดขึ้น


PDPA สั่งห้ามเอกชนเก็บข้อมูลส่วนตัวโดยเด็ดขาดเลยหรือ? 


ดร. อรรถสิทธิ์ พัฒนะศิริ รองผู้อำนวยการสำนักคอมพิวเตอร์ มหาวิทยาลัยศรีนครินทรวิโรฒ อธิบายผ่านช่องยูทูบ (Youtube) iT24Hrs ว่า ตัวกฎหมาย PDPA นั้น ไม่ได้ห้ามเก็บข้อมูล แต่เพียงต้องเก็บให้ดี และต้องใช้ข้อมูลเหล่านั้น ตามที่กฎหมายระบุเท่านั้น 


หากอธิบายคือ บริษัท หรือห้างร้านต่าง ๆ ที่ต้องบริหารจัดการข้อมูลของประชาชน จะต้องจัดหาเจ้าหน้าที่ข้อมูลส่วนบุคคล และธุรกิจต่าง ๆ จะอยู่ในฐานะของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล และจำเป็นต้องทำตามเงื่อนไขในการจัดการข้อมูลส่วนบุคคลของลูกค้าที่มีอยู่ให้ไม่ละเมิดสิทธิของลูกค้า ทั้งยังต้องได้รับความยินยอมตามกฎหมายก่อนด้วย 


ธุรกิจเกี่ยวข้องกับข้อมูลส่วนบุคคลอย่างไร? 


PDPA ระบุถึงผู้ที่เกี่ยวข้องกับ "ข้อมูลส่วนบุคคล" ตามกฎหมายไว้ 3 กลุ่ม ได้แก่


กลุ่มแรกคือ เจ้าของข้อมูลส่วนบุคคล


กลุ่มที่ 2 คือ ผู้ควบคุมข้อมูลส่วนบุคคล หมายถึง บุคคลหรือนิติบุคคลที่มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวมหรือ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล


กลุ่มที่ 3 คือ "ผู้ประมวลผลข้อมูลส่วนบุคคล" หมายถึง บุคคลหรือนิติบุคคลที่ดำเนินการเกี่ยวกับการรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล


นั่นก็หมายความว่า ห้างร้าน ธุรกิจคือกลุ่มที่สอง กับกลุ่มที่สามนั่นเอง และมีหน้าที่จะต้องจัดการข้อมูลส่วนบุคคลเหล่านี้ เพื่อไม่ให้เกิดความเสียหายแก่เจ้าของข้อมูลส่วนบุคคลนั่นเอง 


และหากใคร หรือกิจการใด ๆ ฝ่าฝืนกฎหมาย PDPA จะมีโทษอยู่สามประเภท คือโทษปรับทางปกครอง โทษทางแพ่ง โทษทางอาญา โดยโทษสูงสุด สามารถลงโทษได้ทั้งสามประเภทพร้อมกัน ขึ้นอยู่กับดุลยพินิจของศาล


บทลงโทษของกฎหมาย PPDA


1. ความผิดทางแพ่ง ผู้เสียหายสามารถเรียกค่าสินไหมทดแทนจากความเสียหายที่ได้รับจริง และศาลสั่งลงโทษเพิ่มขึ้นได้ไม่เกิน 2 เท่าของสินไหมทดแทน


2. โทษทางปกครอง กรณีนี้ศาลสามารถสั่งลงโทษได้เลย ไม่ต้องให้ผู้เสียหายเป็นผู้แจ้ง โดยกำหนดบทลงโทษไว้ดังนี้


- หากผู้ใช้งานข้อมูล ไม่ขอความยินยอมให้ถูกต้อง ไม่แจ้งรายละเอียดให้เจ้าของข้อมูลทราบ ไม่ให้เจ้าขอข้อมูลเข้าถึงตามสิทธิ ฯลฯ ปรับไม่เกิน 1 ล้านบาท


- หากผู้ใช้งานข้อมูล เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากฐานทางกฎหมาย ปรับไม่เกิน 3 ล้านบาท


- หากผู้ใช้งานข้อมูลเก็บรวบรวม ใช้ เปิดเผยหรือโอนข้อมูลส่วนบุคคลอ่อนไหว โดยไม่ชอบด้วยกฎหมาย ปรับไม่เกิน 5 ล้านบาท


3. โทษทางอาญา


- หากผู้ใช้งานข้อมูลทำให้ผู้อื่นเกิดความเสียหาย เสียชื่อเสีย ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย จำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 5 แสนบาท


- หากผู้ใช้งานข้อมูล ทำเพื่อแสวงหาประโยชน์ที่มิควรได้โดยชอบด้วยกฎหมายสำหรับตนเองหรือผู้อื่น จำคุก ไม่เกิน 1 ปี หรือปรับไม่เกิน  1 ล้านบาท


- หากผู้ใช้งานข้อมูล ล่วงรู้ข้อมูลส่วนบุคคลของผู้อื่นเนื่องจากการปฏิบัติหน้าที่ ตาม พ.ร.บ. นี้ ห้ามนำไปเผยแพร่แก่ผู้อื่น (เว้นแต่มีอำนาจหน้าที่ตามกฎหมาย) หากฝ่าฝืนจำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 5 แสนบาท


ทั้งนี้ในกรณีที่ผู้กระทำความผิด เป็นนิติบุคคล หากกรรมการผู้จัดการ หรือบุคคลที่ได้รับผิดชอบ สั่งการหรือกระทำหรือละเว้นไม่สั่งการหรือไม่กระทำ จนเป็นเหตุให้นิติบุคคลนั้นกระทำความผิด ต้องรับโทษในคดีอาญานั้นไว้ด้วย


ความเข้าใจผิดเกี่ยวกับ PDPA 


มีคำถามเกิดขึ้นว่า กรณีการถ่ายภาพติดบุคคลที่ 3 อาจผิดกฎหมาย PDPA หรือไม่ ล่าสุด เพจเฟซบุ๊ก สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล PDPC Thailand ออกมาเปิดเผยข้อมูล “4 เรื่องไม่จริงเกี่ยวกับ PDPA” ดังนี้ 


การถ่ายรูป-ถ่ายคลิป ติดภาพคนอื่นโดยเจ้าตัวไม่ยินยอมจะผิด PDPA

กรณีการถ่ายรูป-ถ่ายคลิปโดยติดบุคคลอื่นโดยผู้ถ่ายรูป-ถ่ายคลิปไม่เจตนา และการถ่ายรูปถ่ายคลิปดังกล่าวไม่ได้ก่อให้เกิดความเสียหายกับผู้ถูกถ่าย สามารถทำได้ หากเป็นการใช้เพื่อวัตถุประสงค์ส่วนตัว


ถ้านำคลิปหรือรูปถ่ายที่ติดคนอื่นไปโพสต์ในโซเชียลมีเดียโดยบุคคลอื่นไม่ยินยอมจะผิด PDPA 

สามารถโพสต์ได้ หากใช้เพื่อวัตถุประสงค์ส่วนตัว ไม่ใช้แสวงหากำไรทางการค้าและไม่ก่อให้เกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคล 


ติดกล้องวงจรปิดแล้วไม่มีป้ายแจ้งเตือนผิด PDPA 

การติดกล้องวงจรปิด ภายในบ้าน ไม่จำเป็นต้องมีป้ายแจ้งเตือน หากเพื่อป้องกันอาชญากรรม และรักษาความปลอดภัยกับตัวเจ้าของบ้าน 


เจ้าของข้อมูลส่วนบุคคลต้องให้ความยินยอมทุกครั้งก่อนนำข้อมูลไปใช้ 

ไม่จำเป็น ต้องขอความยินยอม หากการใช้ข้อมูลดังกล่าว 

(1) เป็นการทำตามสัญญา 

(2) เป็นการใช้ที่มีกฎหมายให้อำนาจ 

(3) เป็นการใช้เพื่อรักษาชีวิตและ/หรือ ร่างกายของบุคคล 

(4) เป็นการใช้เพื่อการค้นคว้าวิจัยทางสถิติ 

(5) เป็นการใช้เพื่อประโยชน์สาธารณะ

(6) เป็นการใช้เพื่อปกป้องผลประโยชน์ หรือสิทธิของตนเอง 

ทั้งนี้ หลักการข้างต้น อาจเปลี่ยนแปลงตามข้อเท็จจริงที่เกิดขึ้นเป็นกรณีๆไป 


หากกล่าวโดยสรุปก็คือ ในกรณีสายงานสื่อมวลชน  หากบันทึกภาพติดผู้อื่น การจะนำไปใช้ได้ ต้องเป็นไปตามประโยชน์สาธารณะ เช่นไปถ่ายรูปในงานศพ หรือการถ่ายรูปนักการเมืองที่จำเป็นต้องถ่ายติดประชาชนที่เข้ามาร่วมงาน ก็ทำได้ หากเป็นงานข่าวที่เป็นไปเพื่อประโยชน์สาธารณะ ก็จะไม่เข้าข่ายผิดหลักเกณฑ์ของกฎหมาย PDPA หรือกรณีของประชาชนที่ถ่ายรูป หรือถ่ายวิดีโอผู้อื่น นำไปลงโซเชียลเน็ตเวิร์ก หากนำใช้เพื่อวัตถุประสงค์ส่วนบุคคล ไม่ใช่เพื่อการค้า ก็สามารถทำได้โดยไม่ผิดกฎหมาย ไม่ต้องขออนุญาต


ประโยชน์ที่แท้จริงของ PDPA


จากสถานการณ์ปัจจุบัน ที่มีกลุ่มมิจฉาชีพ Call Center จากประเทศเพื่อนบ้านกำลังระบาดอย่างหนัก ทำเอาหลาย ๆ คนสงสัยว่า เหล่าแก๊งมิจฉาชีพไปได้เบอร์โทรหรือข้อมูลส่วนตัวของเป้าหมายจากไหน

 

คำตอบคือ จากช่องโหว่ที่ไม่เคยมีกฎหมายเช่น PDPA มาก่อน ตัวอย่างเช่น ก่อนนี้ หลายครั้งมีข่าวว่าบริษัทขนาดใหญ่ หรือหน่วยงานราชการบางแห่ง ทำข้อมูลส่วนตัวของคนจำนวนมากรั่วไหล โดยข้อมูลเหล่านี้ตกเป็นเป้าหมายของแฮกเกอร์ ที่มักเจาะเอาข้อมูลส่วนบุคคลของประชาชนไปใช้ประโยชน์ คือนำไปขายในวงการใต้ดิน และจะมีกลุ่มมิจฉาชีพ ซื้อข้อมูลเหล่านี้ไป เพื่อนำมาใช้งานในลักษณะหลอกลวง หรือใช้ในทางมิชอบหลากหลายกรณี 


การมีกฎหมาย PDPA ออกมา จะทำให้บริษัท หน่วยงานต่าง ๆ สร้างมาตรการคุ้มครองข้อมูลส่วนบุคคลเพิ่มเติมออกมา เพื่อพยายามไม่ให้ขัดกับหลักกฎหมายดังกล่าวที่มีอัตราโทษกำกับชัดเจน เช่นกรณีที่ 'สำเนาบัตรประจำตัวประชาชน' ที่กลายมาเป็นถุงกล้วยแขกอยู่บ่อยครั้ง กรณีเช่นนี้ก็จะไม่มีต่อไป เพราะห้างร้านและ หน่วยงานต่าง ๆ จะพยายามปกป้องข้อมูลเหล่านี้มากขึ้น  ซึ่งเป็นการยกระดับการปกป้องข้อมูลส่วนบุคคล ยิ่งเพิ่มความน่าเชื่อถือ และลดผลร้ายจากการถูกเอาข้อมูลเหล่านี้ไปใช้งานมากขึ้น ด้วยกฎหมายนี้บังคับใช้กับทุกองค์กร ทุกขนาด 


ทั้งนี้ เราอาจยังยืนยันไม่ได้ว่ากฎหมายนี้ มีผลดีมากกว่าผลเสีย เพราะนับเป็นครั้งแรกของไทยที่มีกฎหมายปกป้องข้อมูลส่วนบุคคลเช่นนี้ออกมา แต่ก็นับเป็นก้าวครั้งสำคัญที่กฎหมายไทยพยายามปรับตัวให้เข้าทันโลกยุคดิจิตอล ที่สินทรัพย์ไม่ได้จำกัดอยู่เพียงแค่เม็ดเงิน หรือสิ่งของจับต้องได้อีกต่อไป แต่ข้อมูลส่วนบุคคลก็กลายเป็นของที่มีมูลค่า ที่หากยุติวงจรการนำเอาข้อมูลเหล่านี้ไปใช้ในทางมิชอบได้ ก็จะยุติความเสียหายหลักแสนหลักล้านบาทที่เกิดขึ้นบ่อยครั้งได้ในที่สุด


ที่มาของข้อมูล bangkokbiznews.com droidsans.com bangkokbiznews.com ilaw.or.th it24hrs

ที่มาของรูปภาพ unsplash

ยอดนิยมในตอนนี้

แท็กยอดนิยม

ข่าวที่เกี่ยวข้อง