ถอดรหัส‘กม.พีดีพีเอ’
คุ้มครองข้อมูลส่วนบุคคล
ความผิด-ข้อยกเว้น-โทษ
หมายเหตุ – เนื้อหาส่วนหนึ่งในบทความของนายสันติ ผิวทองคำ ผู้พิพากษาศาลเยาวชนและครอบครัวจังหวัดระยอง ที่ให้ความรู้ ความเข้าใจเกี่ยวกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือกฎหมายพีดีพีเอ ถึงสิทธิของเจ้าของข้อมูล การกระทำที่เข้าข่ายความผิด ข้อยกเว้น และบทลงโทษ
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ประกาศราชกิจจานุเบกษาเมื่อวันที่ 27 พฤษภาคม 2562 แต่ถูกเลื่อนการบังคับใช้กว่า 3 ปี มีผลบังคับใช้เมื่อวันที่ 1 มิถุนายน 2565 ที่ผ่านมา
ข้อมูลส่วนบุคคลที่ได้รับความคุ้มครอง
ข้อมูลเกี่ยวกับบุคคลซึ่งทําให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม ซึ่งได้แก่ ข้อมูลส่วนบุคคลทั่วไป (Personal Data) เช่น ชื่อ, ชื่อสกุล, เลขประจําตัวประชาชน, เลขหนังสือเดินทาง, เลขบัญชีธนาคาร เลขโทรศัพท์, ที่อยู่, ที่อยู่อีเมล์, ข้อมูลที่สามารถระบุตัวบุคคลได้จากอุปกรณ์สื่อสาร เช่น เลข IP Address, MAC Address, Cookie ID, ID LINE รวมถึงภาพถ่ายบุคคล ภาพถ่ายสําเนาบัตรประชาชน หรือสําเนาบัตรอื่นๆ ที่มีรายละเอียดข้อมูลบุคคลอันสามารถระบุตัวบุคคลได้ และข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) เช่น ข้อมูลเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ เป็นต้น
ข้อมูลที่กล่าวมานี้ได้รับความคุ้มครอง นั่นหมายความว่าบุคคลอื่นใดที่ไม่ใช่เจ้าของข้อมูลจะเก็บหรือนําข้อมูลส่วนบุคคลดังกล่าวไปใช้หรือเปิดเผยโดยไม่ได้รับความยินยอมหรือการอนุญาตจากเจ้าของข้อมูลไม่ได้
มาตรการคุ้มครองข้อมูลส่วนบุคคล
1.การเก็บรวบรวมข้อมูลส่วนบุคคล มี “หลักสําคัญ” คือต้องได้รับความยินยอมจากเจ้าของข้อมูล และผู้ควบคุมข้อมูลหรือผู้ประมวลผลข้อมูล ต้องแจ้งให้เจ้าของข้อมูลทราบก่อนหรือขณะเก็บข้อมูลถึงวัตถุประสงค์ในการเก็บรวบรวมข้อมูล ระยะเวลาที่เก็บข้อมูล การเปิดเผยข้อมูล รายละเอียด สถานที่ติดต่อของผู้ควบคุมข้อมูล สิทธิของเจ้าของข้อมูล โดยมี “ข้อยกเว้นไม่ต้องได้รับความยินยอมจากเจ้าของข้อมูล” และผู้ควบคุมข้อมูลหรือผู้ประมวลผลข้อมูล ไม่ต้องแจ้งให้เจ้าของข้อมูลทราบก่อนหรือขณะเก็บข้อมูลถึงวัตถุประสงค์ในการเก็บรวบรวมข้อมูล หากเป็นการเก็บข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ในการจัดทําเอกสารประวัติศาสตร์ จดหมายเหตุ การศึกษาวิจัย เพื่อป้องกันอันตรายต่อชีวิต ร่างกาย ของบุคคล เพื่อดําเนินการตามสัญญา เพื่อการปฏิบัติหน้าที่ในภารกิจประโยชน์สาธารณะ เพื่อการปฏิบัติหน้าที่ในการใช้อํานาจของรัฐ เพื่อการปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูลข่าวสาร เป็นต้น
2.การใช้หรือเปิดเผยข้อมูลส่วนบุคคลมี “หลักสําคัญ” คือผู้ควบคุมข้อมูลหรือผู้ประมวลผลข้อมูล “ต้องได้รับความยินยอมจากเจ้าของข้อมูล” ก่อนที่จะนําข้อมูลไปใช้หรือเปิดเผยข้อมูลส่วนบุคคลนั้น โดยมี “ข้อยกเว้น” ที่ผู้ควบคุมข้อมูลหรือผู้ประมวลผลข้อมูล “ไม่ต้องได้รับความยินยอมจากเจ้าของข้อมูล” ก่อนจะนําข้อมูลไปใช้หรือเปิดเผยข้อมูลส่วนบุคคล หากเป็นการใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่เก็บรวบรวมเพื่อการจัดทําเอกสารประวัติศาสตร์ จดหมายเหตุ การศึกษาวิจัย เพื่อป้องกันอันตรายต่อชีวิต ร่างกาย ของบุคคล เพื่อดําเนินการตามสัญญา เพื่อการปฏิบัติหน้าที่ในภารกิจประโยชน์สาธารณะ เพื่อการปฏิบัติหน้าที่ในการใช้อํานาจของรัฐ เพื่อการปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูลข่าวสาร เป็นต้น
3.สิทธิเจ้าของข้อมูลส่วนบุคคลมีต่อไปนี้
(1) มีสิทธิได้รับแจ้งรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคล (Right to be informed) จากผู้เก็บรวบรวมข้อมูลหรือผู้ควบคุมข้อมูล
(2) มีสิทธิเข้าถึงและขอรับสําเนาข้อมูลส่วนบุคคล (Right of access) จากผู้ควบคุมข้อมูล
(3) มีสิทธิขอให้โอนข้อมูลส่วนบุคคล (Right to data portability) ไปยังผู้ควบคุมข้อมูลอื่นด้วยวิธีการอัตโนมัติ
(4) มีสิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Right to object) เมื่อใดก็ได้
(5) มีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลทําการลบ ทําลาย หรือทําให้ข้อมูลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ (Right to erasure and right to be forgotten)
(6) มีสิทธิขอให้ผู้ควบคุมข้อมูลระงับการใช้ข้อมูลส่วนบุคคล (Right to restrict processing)
(7) มีสิทธิขอให้ผู้ควบคุมข้อมูลแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง ไม่ก่อให้เกิดความเข้าใจผิด (Right to rectification)
(8) มีสิทธิร้องเรียนต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล กรณีมีการละเมิดสิทธิตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล
บทกําหนดโทษและความรับผิด
-โทษทางอาญา
(1) ความผิดสําหรับ “ผู้ควบคุมข้อมูลส่วนบุคคล” กรณีใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล และการเปิดเผยข้อมูลนั้น “น่าจะ” ทําให้ผู้อื่นเสียหาย เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย ต้องระวางโทษจําคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 500,000 บาท หรือทั้งจําทั้งปรับ ความผิดฐานนี้เป็นความผิดอันยอมความได้
(2) ความผิดสําหรับ “บุคคลหรือนิติบุคคลทั่วไป” กรณีได้รับข้อมูลจากผู้ควบคุมแล้วนําไปเปิดเผยเพื่อการอื่นซึ่งผิดไปจากวัตถุประสงค์ที่ขอรับข้อมูลส่วนบุคคลจากผู้ควบคุม และการเปิดเผยนั้น “น่าจะ” ทําให้ผู้อื่นเสียหาย เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย ต้องระวางโทษจําคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 500,000 บาท หรือทั้งจําทั้งปรับ และความผิดฐานนี้เป็นความผิดอันยอมความได้
(3) ความผิดสําหรับ “ผู้ปฏิบัติหน้าที่ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล” กรณีนําข้อมูลส่วนบุคคลที่ล่วงรู้จากการปฏิบัติหน้าที่ไปเปิดเผยแก่ผู้อื่น ไม่ว่าจะทําให้ผู้อื่นเสียหายหรือไม่ก็ตาม ต้องระวางโทษจําคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 500,000 บาท หรือทั้งจําทั้งปรับ
-โทษทางปกครอง
(1) ความรับผิดสําหรับ “ผู้ควบคุมข้อมูลส่วนบุคคล” (ก) กรณีไม่แจ้งวัตถุประสงค์รายละเอียดก่อนหรือขณะเก็บรวบรวมข้อมูลส่วนบุคคลให้แก่เจ้าของข้อมูลทราบ ต้องระวางโทษปรับไม่เกิน 1,000,000 บาท (ข) กรณีทําการเก็บรวบรวมข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล หรือ (ค) กรณีใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล โดยประการที่ “น่าจะ” ทําให้ผู้อื่นเสียหาย เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอายต้องระวางโทษปรับไม่เกิน 3,000,000 บาท
-ความรับผิดทางแพ่ง
(1) ความรับผิดสําหรับ “ผู้ควบคุมข้อมูลส่วนบุคคล” ดําเนินการใดเกี่ยวกับข้อมูลส่วนบุคคลอันเป็นการฝ่าฝืนทําให้เกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคลต้องรับผิดชดใช้ค่าสินไหมทดแทนให้เจ้าของข้อมูล
(2) ความรับผิดสําหรับ “ผู้ประมวลผลข้อมูลส่วนบุคคล” ดําเนินการใดเกี่ยวกับข้อมูลส่วนบุคคลอันเป็นการฝ่าฝืนทําให้เกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคลต้องรับผิดชดใช้ค่าสินไหมทดแทนให้แก่เจ้าของข้อมูล
(3) ค่าสินไหมทดแทนที่ต้องรับผิด หมายรวมถึงค่าใช้จ่ายทั้งหมดที่เจ้าของข้อมูลได้ใช้จ่ายไปตามความจําเป็นในการป้องกันความเสียหายที่กําลังจะเกิดขึ้นหรือระงับความเสียหายที่เกิดขึ้นแล้ว และค่าสินไหมทดแทนเพื่อการลงโทษที่ศาลสั่งให้ชําระเพิ่มขึ้นอีกไม่เกิน 2 เท่าของค่าสินไหมทดแทนที่แท้จริง
(4) อายุความเรียกร้องค่าสินไหมทดแทนมีกําหนด 3 ปี นับแต่วันที่ผู้เสียหายรู้ถึงความเสียหายและรู้ตัวผู้ควบคุมหรือผู้ประมวลผลข้อมูลที่ต้องรับผิด แต่ไม่เกิน 10 ปี นับแต่วันที่มีการละเมิดข้อมูลส่วนบุคคล
หน่วยงานและการกระทําที่ได้รับการยกเว้น
1.การเก็บรวบรวมข้อมูล การใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของตนเอง เพื่อประโยชน์ส่วนตนหรือเพื่อกิจกรรมในครอบครัวของตนเอง
2.การเก็บรวบรวมข้อมูล การใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เพื่อกิจการสื่อมวลชน, งานศิลปกรรม, งานวรรณกรรม ตามจริยธรรมแห่งการประกอบวิชาชีพ หรือเพื่อประโยชน์สาธารณะ
3.การเก็บรวบรวมข้อมูล การใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ของรัฐสภา สภาผู้แทนราษฎร วุฒิสภา คณะกรรมาธิการของสภา เพื่อการพิจารณาตามอํานาจหน้าที่
4.การดําเนินการของหน่วยงานรัฐ ที่มีหน้าที่รักษาความมั่นคงของรัฐ, ความมั่นคงทางการคลัง, การรักษาความปลอดภัยของประชาชน, การป้องกันและปราบปรามการฟอกเงิน, การนิติวิทยาศาสตร์, การรักษาความมั่นคงปลอดภัยไซเบอร์
5.การพิจารณาพิพากษาคดีของศาล
6.การดําเนินงานของเจ้าหน้าที่ในกระบวนการพิจารณาคดี การบังคับคดี และการวางทรัพย์
7.การดําเนินงานตามกระบวนการยุติธรรมทางอาญา
8.การดําเนินการกับข้อมูลของบริษัทข้อมูลบัตรเครดิตและสมาชิกตามกฎหมายว่าด้วยการประกอบธุรกิจข้อมูลบัตรเครดิต
อุทาหรณ์
1.การเก็บข้อมูลส่วนบุคคลของตนเอง และหรือครอบครัว ด้วยการถ่ายภาพ ถ่ายวิดีโอ หรือการ Live บนสื่อออนไลน์ โดยมีภาพถ่าย ภาพเคลื่อนไหว ของบุคคลอื่นซึ่งเป็นข้อมูลส่วนบุคคลของผู้อื่นรวมอยู่ด้วย ไม่ถือเป็นการเก็บข้อมูลส่วนบุคคลโดยมิชอบหรือโดยไม่ได้รับความยินยอมจากบุคคลอื่นผู้เป็นเจ้าของข้อมูลตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล มาตรา 83 เพราะกรณีดังกล่าวเป็นการเก็บข้อมูลเพื่อประโยชน์ส่วนตนหรือกิจกรรมในครอบครัวของตนโดยเฉพาะไม่อยู่ในบังคับของกฎหมาย ตามมาตรา 4 (1)
2.การใช้หรือเปิดเผยข้อมูลส่วนบุคคลของตนเอง และครอบครัว ด้วยการโพสต์ภาพ วิดีโอบนสื่อออนไลน์ หรือการ Live ส่วนตัวของตนเอง และหรือครอบครัวโดยมีภาพถ่าย ภาพเคลื่อนไหว ของบุคคลอื่นซึ่งถือเป็นข้อมูลส่วนบุคคลของผู้อื่นรวมอยู่ด้วย ไม่ถือเป็นการใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล มาตรา 79 เพราะกรณีดังกล่าว เป็นการใช้หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อประโยชน์ส่วนตนหรือกิจกรรมในครอบครัวของตนโดยเฉพาะ ไม่อยู่ในบังคับของกฎหมาย ตามมาตรา 4 (1)
อีกทั้งลําพังเพียงการโพสต์ภาพวิดีโอ หรือการ Live ส่วนตัวของตนเองและหรือครอบครัวบนสื่อออนไลน์ โดยมีภาพถ่าย ภาพเคลื่อนไหวของบุคคลอื่นติดรวมอยู่ด้วยยังไม่ถือว่าเป็นการกระทําถึงขนาดโดยประการที่ “น่าจะ” ทําให้ผู้อื่นนั้นเสียหาย เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย ตามมาตรา 79
3.การเก็บข้อมูล การใช้ข้อมูล และการเปิดเผยข้อมูลส่วนบุคคลของผู้อื่น กรณีหน่วยงานของรัฐถ่ายภาพเจ้าหน้าที่ในสังกัด แล้วนําไปเปิดเผยด้วยการทําข่าวประชาสัมพันธ์กิจกรรมของหน่วยงาน เช่น ลงภาพถ่ายของเจ้าหน้าที่ในสังกัด พร้อมชื่อ ชื่อสกุล และข้อความกิจกรรมในสื่อออนไลน์หรือสื่อสารอื่นใด ไม่ถือเป็นการเก็บข้อมูลส่วนบุคคล และใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยมิชอบตามมาตรา 79 มาตรา 83 เพราะกรณีดังกล่าวเป็นการเก็บ การใช้หรือเปิดเผยข้อมูลส่วนบุคคล เพื่อการปฏิบัติหน้าที่ในการดําเนินภารกิจเพื่อประโยชน์สาธารณะของหน่วยงานรัฐ ตามมาตรา 24 (4)
อีกทั้งลําพังเพียงการโพสต์ภาพหรือวิดีโอเพื่อประชาสัมพันธ์ข่าวสารของหน่วยงานรัฐ ยังไม่ถือว่าเป็นการกระทําถึงขนาดโดยประการที่ “น่าจะ” ทําให้เจ้าหน้าที่หรือบุคคลผู้อยู่ในข่าวสื่อสารประชาสัมพันธ์เสียหาย เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย ตามมาตรา 79
4.การเก็บข้อมูล การใช้ข้อมูล และการเปิดเผยข้อมูลส่วนบุคคลของผู้อื่น ด้วยการถ่ายภาพ ถ่ายวิดีโอ หรือการ Live บนสื่อออนไลน์ โดยมีภาพถ่าย ภาพเคลื่อนไหว ซึ่งเป็นข้อมูลส่วนบุคคลของผู้อื่น เพื่อประโยชน์ของผู้กระทําเอง เช่น การถ่ายภาพผู้อื่นแล้วโพสต์ลงเว็บไซต์ เฟซบุ๊ก หรือแชร์ภาพไปยังแอพพลิเคชั่นไลน์ หรือการถ่ายทอดภาพและเสียงผู้อื่น หรือการ Live ภาพและเสียงผู้อื่นขณะปฏิบัติภารกิจในชีวิตประจําวันของเน็ตไอดอล หรือยูทูบเบอร์ ผ่านสื่อออนไลน์ไปยังบุคคลอื่น อันมีลักษณะเป็นการเก็บ การใช้และเปิดเผยข้อมูลส่วนบุคคล โดยบุคคลผู้เป็นเจ้าของข้อมูลส่วนบุคคลที่ถูกถ่ายภาพ หรือถ่ายวิดีโอไม่ยินยอม หรือไม่อนุญาตให้กระทําเช่นนั้น และมิใช่การกระทําในกรณีที่ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ยกเว้นให้กระทําได้
แม้เจ้าของข้อมูลไม่ให้ความยินยอม ย่อมถือว่าผู้กระทํา กระทําการเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล และการกระทํานั้นเข้าข่าย “น่าจะ” ทําให้เจ้าของข้อมูลเสียหาย ถือเป็นการละเมิด พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ตามมาตรา 79 และมาตรา 83 ต้องรับผิดทางอาญา ทางปกครอง และทางแพ่ง
