Digital Economy

1 มิ.ย. มีผลแล้ว ‘พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล’ โพสต์รูปลงโซเชียลต้องระวังความผิด

หลังจากมีประกาศไว้ในราชกิจจานุเบกษาเมื่อวันที่ 27 พฤษภาคม 2562 และถูกเลื่อนการบังคับใช้ออกมา ในที่สุด วันที่ 1 มิถุนายนนี้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ก็จะมีผลบังคับใช้แล้ว 

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ Personal Data Protection Act B.E. 2562 (2019)  ที่มีชื่อย่อว่า PDPA ถือเป็นกฎหมาย ที่มีบทบาทสำคัญในการคุ้มครอง และให้สิทธิ กับเจ้าของข้อมูลส่วนบุคคล

กฎหมายฉบับนี้ ยังได้สร้างมาตรฐานใหม่ให้เกิดขึ้นกับบุคคล หรือนิติบุคคลในการเก็บข้อมูล รวบรวมข้อมูลส่วนบุคคล รวมถึงการใช้ข้อมูล หรือเพื่อการเปิดเผยข้อมูลส่วนบุคคล ที่จะต้องปฏิบัติตามกฎหมายฉบับนี้ หากผู้ใดหรือองค์กรใดไม่ปฏิบัติตามนั้น มีโทษทั้งทางแพ่ง โทษทางอาญา และโทษทางปกครอง

อย่างไรก็ดี เนื่องจากเป็นกฎหมายฉบับใหม่ จึงควรที่จะต้องรู้ถึงสาระสำคัญ ก่อนที่จะมีผลบังคับใช้กัน

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล

ข้อมูลส่วนบุคคล

ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมเฉพาะ เช่น ชื่อ ที่อยู่ หมายเลขประจำตัว ข้อมูลสุขภาพ ฯลฯ (มาตรา 6)

ผู้ควบคุมข้อมูลส่วนบุคคล

ต้องเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ได้แจ้งเอาไว้ก่อหรือในขณะเก็บรวบรวม (ห้ามใช้นอกเหนือวัถตุประสงค์) (มาตรา 21 )

ผู้ควบคุมข้อมูลส่วนบุคคล

ต้องเก็บรวบรวมข้อมูลส่วนบุคคลของเราเท่าที่จำเป็น ภายใต้วัตถุประสงค์อันชอบด้วยกฎหมาย (มาตรา 22 ) ใช้ข้อมูลของเราให้น้อยที่สุด

ความยินยอม

เป็นฐานการประมวลผลฐานหนึ่งเท่านั้น “ผู้ควบคุมข้อมูลส่วนบุคคล” มีหน้าที่ในการกำหนดฐานการประมวลผลให้สอดคล้องกับลักษณะการประมวลผลและความสัมพันธ์ระหว่าง “ผู้ควบคุมข้อมูล” กับ “เจ้าของข้อมูลส่วนบุคคล” (ตามมาตร 24 หรือ มาตรา 26)

ในการขอความยินยอม “ผู้ควบคุมข้อมูลส่วนบุคคล” จะต้องคำนึงอย่างที่สุดในความเป็นอิสระของ “เจ้าของข้อมูลส่วนบุคคล” (ต้องไม่มีสภาพบังคับในการให้/ไม่ให้) (มาตรา 19 วรรคสี่)

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล

สิทธิ “เจ้าของข้อมูลส่วนบุคคล” 

  • สิทธิในการถอนความยินยอม ในกรณีที่ได้ให้ความยินยอมไว้ (มาตรา 19 วรรคห้า)
  • สิทธิได้รับการแจ้งให้ทราบรายละเอียด (Privacy Notice) (มาตรา 23)
  • สิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคล (มาตรา 30)
  • สิทธิขอให้โอนข้อมูลส่วนบุคคล (มาตรา 31)
  • สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคล (มาตรา 32)
  • สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ (มาตรา 34)
  • สิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคล (มาตรา 34)
  • สิทธิขอให้แก้ไขข้อมูลส่วนบุคคล (มาตรา 35)

กฎหมาย PDPA ให้กับการประมวลผลข้อมูลส่วนบุคคลของบุคคลที่อยู่ในประเทศไทย ไม่ว่าจะมีสัญชาติใดก็ตาม (มาตรา 5)

กรณีที่เหตุการละเมิด “ข้อมูลส่วนบุคคล”

มีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิ และเสรีภาพของ “เจ้าของข้อมูลส่วนบุคคล” กฎหมายกำหนดให้ “ผู้ควบคุมข้อมูลส่วนบุคคล” มีหน้าที่ แจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบ พร้อมกับแนวทางการเยียวยาโดยไม่ชักช้า (มาตรา 37(4))

“ผู้ควบคุมข้อมูลส่วนบุคคล” มีหน้าที่จัดทำบันทึกรายการกิจกรรม เพื่อให้สำนักงานสามารถตรวจสอบได้ โดยจะบันทึกเป็นหนังสือหรือระบบอิเล็กทรอนิกส์ก็ได้

“เจ้าของข้อมูลส่วนบุคคล” มีสิทธิร้องเรียน ต่อคณะกรรมการผู้เชี่ยวชาญในกรณีที่มีการฝ่าฝืนหรือไม่ปฏิบัติตาม PDPA หรือ ประกาศฯ ที่ออกตาม PDPA ทั้งนี้ กระบวนการร้องเรียนเป็นไปตามระเบียบที่คณะกรรมการฯ ประกาศกำหนด (มาตรา 73)

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล

โพสต์โซเชียลต้องระวัง! ติดรูปใครอาจมีความผิดได้ 

กฎหมายฉบับใหม่นี้ อาจจะทำให้บรรดาชาวเน็ตทั้งหลายต้องระวังมากขึ้น เวลาที่จะโพสต์รูปต่าง ๆ ลงบนโลกออนไลน์ โดยเฉพาะถ้าเกี่ยวกับ “บุคคล”

ห้ามถ่ายรูปติดภาพคนอื่น ถ้าเจ้าของข้อมูลส่วนบุคคลไม่ยินยอม (เจ้าของรูปที่ไปถ่าย ไม่ว่าตั้งใจหรือไม่ตั้งใจ แต่อยู่ข้างหลัง และหันหน้ามาอย่างชัดเจน รู้ว่าใครเป็นใคร โดยที่คนถ่าย ไม่จำเป็นต้องรู้จักหรือไปทำความรู้จัก)  เว้นแต่เบลอภาพไว้ หรือทำอย่างไรก็ได้ ไม่ให้รู้ว่าเป็นใคร

อย่างไรก็ดี กฎหมายไม่ได้ห้ามไว้ ถ้าจะถ่ายคู่ ติดสัตว์ สิ่งของ อาคาร ทิวทัศน์ วัตถุ อาหาร สิ่งมีชีวิต และไม่มีชีวิตที่ไม่ใช่คน แต่ต้องไม่ทำให้สิ่งที่ถ่ายไป ระบุถึงบุคคลนั้น ๆ เช่น ผลตรวจเลือด ฟิล์มเอ็กซ์เรย์ ทะเบียนรถ อีเมล์ส่วนตัว และ เบอร์โทรศัพท์ เพราะถ้าตรวจสอบย้อนกลับก็จะรู้ได้เลยว่าเป็นของใคร

ขอความยินยอม ถ้าทำเป็นหนังสือไม่ได้ (พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล มาตรา 19 วรรค 2) เช่น ตอบตกลงว่ายอมด้วยวาจา ก็ต้องระวัง เผลอ ๆ เจ้าของรูปไปฟ้องบอกว่าไม่ได้ยินยอม  ก็อาจจะกลายเป็นเรื่องยุ่งยากขึ้นมา อาจใช้วิธีให้ความยินยอมผ่านการคลิกในระบบไอทีก็ได้ หรือจะบอกโดยใช้สติกเกอร์ไลน์ ที่แสดงชัดเจนว่าตกลง หรือไม่ตกลง

แจ้งวัตถุประสงค์ ให้เจ้าของรูปรู้ด้วยว่าจะเอาไปทำอะไร (พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลมาตรา 19 วรรค 3) และไม่นำไปใช้เกินกว่าที่แจ้งไว้

ห้ามบังคับให้ความยินยอม (พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลมาตรา 19 วรรค 4) เจ้าของรูปต้องมีความเป็นอิสระที่จะให้ความยินยอม ห้ามไปบังคับ ไปขู่เข็ญหรือหลอกลวง ใช้เล่ห์เพทุบายให้ได้มา

เปลี่ยนใจได้ตลอดเวลา เจ้าของรูปขอให้เอารูปที่เคยยินยอมไปแล้ว แต่ขอเปลี่ยนใจภายหลังย่อมทำได้เสมอ (พระราชบัญญัติคุ้มครองข้อมูล
ส่วนบุคคล มาตรา 19 วรรค 5) เพราะถือว่า รูปดังกล่าวเป็นสมบัติของเจ้าของรูป เป็นข้อมูลส่วนบุคคล เจ้าของสามารถทวงคืน หรือไม่อยากให้
โชว์อีกต่อไป ก็ต้องเอาออกไป หรือต้องเบลอภาพ เพื่อให้ไม่รู้ว่าคนอื่นที่อยู่ในรูปเป็นใคร

รูปที่ถ่ายไว้แล้วเอาไปโพสต์ ถ้ามีผลกระทบกับเจ้าของรูปถ่าย ต้องแจ้งให้เจ้าของรูปรู้ตัวไว้ด้วย (พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล มาตรา 19 วรรค 6)

อ่านข่าวเพิ่มเติม