Home
Education
Classroom
Knowledge
Blog
TV
ธรรมะ
กิจกรรม
โครงการทรูปลูกปัญญา

กฎหมาย PDPA กินเที่ยวแชะ โพสต์แชร์ชีวิตประจำวันในโลกออนไลน์

Posted By รศ. คณาธิป ทองรวีวงศ์ | 20 ต.ค. 65
6,834 Views

  Favorite

          บทความนี้จะพูดถึง การสร้างกระแสความกังวล และคำแนะนำ เกี่ยวกับ กฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือที่ชอบเรียกกันว่า “PDPA” (Personal Data Protection Act) ซึ่งอันที่จริงตราขึ้นตั้งแต่ก่อนเดือนมีนาคม 2562 ประกาศใช้ในเดือนพฤษภาคม 2562 โดยมีการขยายเวลา และบังคับใช้ 1 มิถุนายน 2565 

 

    

          กฎหมาย PDPA นี้มีหลักการสองส่วนคือ ผู้ประกอบการหรือที่กฎหมายเรียกว่า “ผู้ควบคุมข้อมูล” ที่ใช้ข้อมูลลูกค้าในทางธุรกิจต่าง ๆ จะต้องดูแลข้อมูลให้ปลอดภัย เช่น ป้องกันการโจรกรรมข้อมูลโดยแฮกเกอร์  ฯลฯ และอีกส่วนหนึ่งคือ “ก่อนจะใช้ข้อมูลลูกค้า” ต้องแจ้งรายละเอียดว่าเอาไปทำอะไร เพื่ออะไร หรือที่เรียกว่า Privacy notice และจะต้องขอความยินยอมก่อน แต่ก็มีข้อยกเว้นมากมาย นอกจากนี้ ผู้ควบคุมข้อมูลก็ยังมีหน้าที่อื่น ๆ  เช่น ทำการบันทึกรายละเอียดว่า วัน ๆ หนึ่งทำอะไรกับข้อมูลลูกค้าบ้าง ฯลฯ  

          PDPA จึงอยู่ในกลุ่มของกฎหมายควบคุมการประกอบธุรกิจต่าง ๆ ที่ผู้ประกอบการต้องมีงานจัดทำระบบ การทำเอกสาร รายงานสรุป การตรวจประเมิน ฯลฯ จึงไม่น่าเป็นกระแสหวาดหวั่นกับประชาชนทั่วไปในชีวิตประจำวัน แต่ทำไมถึงกลายเป็นกระแสได้นั้น เนื่องมาจากหลายเหตุ เช่น หลักการหรือข้อห้าม เขียนไว้กว้าง เช่น ห้ามเก็บรวบรวมใช้เปิดเผยข้อมูลส่วนบุคคลผู้อื่น เว้นแต่จะขอความยินยอม.

หากอ่านแค่นี้ แล้วนำมาตีความขยายความ สร้างอินโฟกราฟฟิกจะดูน่ากลัวขึ้นมา เพราะการถ่ายภาพที่ติดหน้าคนอื่นและเอามาโพสต์ก็เป็นการ “เก็บรวบรวมและเปิดเผยข้อมูลบุคคลอื่น” จึงเกิดการสร้างกระแส เช่น 

- ไปเที่ยวถ่ายรูปยืนข้างรถตัวเองแต่ติดรถคันข้าง ๆ ต้องเบลอทะเบียน เพราะทะเบียนรถอาจระบุตัวบุคคลเจ้าของรถ และเป็นข้อมูลส่วนบุคคลได้  

- จะถ่ายรูปน้ำท่วมรถติดโพสต์บอกเพื่อนในเฟซ มีคนยืนเข้าแถวรอรถ ก็ต้องมาหาสติกเกอร์ไล่แปะตามหน้าคน 

- กินข้าวในร้านอาหาร ถ่ายติดโต๊ะข้าง ๆ ต้องไล่เบลอหน้าหรือหาตัวการ์ตูนมาปิดทับหัวทุกคน 

 

เรากำลังทำอะไรอยู่ ทำไปทำไม  

          ไม่มีมาตราใดในกฎหมาย PDPA บอกว่าต้อง “ปิดสติกเกอร์หรือเบลอหน้าคน” โดยเฉพาะอย่างยิ่งในกรณี คนถ่ายรูปเป็นประชาชนและถ่ายภาพ แชะแชร์โพสต์ในชีวิตประจำวัน แนวปฎิบัติดังกล่าวเกิดจากคำแนะนำการตีความกฎหมายที่ “โอเวอร์แอคชั่น” และพวก “How to” หรือ อินโฟกราฟฟิกต่าง ๆ ที่สร้างกระแสว่า เราห้ามทำแบบนั้นแบบนี้ อันเกิดมาจากการตีความโดยจับเอาข้อความเฉพาะบางมาตราและบางส่วนของกฎหมาย โดยไม่ได้อ่านกฎหมายอย่างเป็นระบบโครงสร้างทั้งหมด   

จริงอยู่ว่า การถ่ายรูปเป็นการ “เก็บรวบรวมข้อมูล” และหน้าคนหรือทะเบียนรถ เข้าข่ายเป็นข้อมูลส่วนบุคคลได้ จริงอยู่ว่าเบลอหน้าคน การปิดสติกเกอร์ เท่ากับไม่ได้ทำการ เก็บรวบรวมข้อมูลส่วนบุคคล เพราะตามนิยามของข้อมูลส่วนบุคคลคือ ข้อมูลที่ระบุตัวบุคคลได้พอเอาอะไรไปเขียนทับ มันก็ไม่มี “ข้อมูลส่วนบุคคล” ก็ไม่ต้องขอความยินยอมหรือทำอย่างอื่นตามมา 

คำแนะนำ การตีความ อินโฟกราฟฟิกที่ส่งกันมาจากไหนก็ไม่ทราบนั้น บางอันจึงขู่ว่า ถ้าไม่ทำเบลอ เท่ากับเป็นการเก็บรวบรวมข้อมูลผู้อื่นจะต้องขอความยินยอม ดังนั้นเรากลัวว่าจะต้องเอาแบบยินยอมไปให้คนในร้านอาหารที่กำลังนั่งปิ้งชาบูแล้วติดเป็นแบกกราวด์ตอนเราถ่ายรูป เราจึงต้องมาก้มหน้าก้มตาแปะสติกเกอร์กระต่ายบนหัวคนต่อไป 

          ลองคิดดูว่า ถ้าเราในฐานะประชาชนทั่วไป ต้องมาบริหารจัดการว่า ทำอะไรได้หรือห้ามทำอะไร ตาม PDPA แสดงว่าเรามองว่าตนเองเป็น “ผู้ควบคุมข้อมูล” ซึ่งส่งผลต่อไปว่า มันไม่ได้มีแค่หน้าที่ “ขอความยินยอม” เท่านั้น เรายังต้องหน้าที่อื่นด้วย เช่น ทำรายงาน ทำบันทึกการดำเนินการกับข้อมูลส่วนบุคคลที่เราทำไปแต่ละวัน เราต้องรับการตรวจประเมิน เราต้องจัดทำระบบรักษาความปลอดภัยข้อมูล ฯลฯ เราต้องทำแบบนั้นเช่นเดียวกับผู้ประกอบการธุรกิจต่าง ๆ คิดว่าการใช้ชีวิตประจำวัน ต้องทำแบบนั้นหรือ 

 

          PDPA มีข้อยกเว้นมาตรา 4 (1) พรบนี้ ไม่ใช้บังคับกับ “การเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคล เพื่อประโยชน์ส่วนตัวหรือกิจกรรมในครอบครัว” ถ้าเข้าข้อยกเว้นนี้จะไม่อยู่ภายใต้บังคับของกฎหมายนี้เลย 

หมายความว่า  ไม่ใช่เฉพาะเรื่องขอความยินยอม แต่หน้าที่อื่น เช่น การทำประกาศแจ้ง การบันทึกรายการ การรักษาความปลอดภัย ฯลฯ ก็ไม่ต้องทำทั้งสิ้น เพราะได้รับยกเว้นตาม 4 (1) กิจกรรมในครอบครัว เช่น กินข้าวกับครอบครัวมาโพสต์ ไม่ต้องติดสติกเกอร์หรือขอความยินยอม แต่กฎหมายมีคำว่า “หรือ” นั่นคือกรณีประโยชน์ส่วนตัว แม้ว่าไม่ได้กระทำกับคนในครอบครัวก็ได้รับยกเว้นด้วย 

จากหลักการดังกล่าว ถ้าเรากินเที่ยวโพสต์แชร์โดยฐานะ “ผู้บริโภค” ที่ไม่มีวัตถุประสงค์ “เชิงธุรกิจ” หรือการประกอบการใด ๆ จัดอยู่ในข่าย “เพื่อประโยชน์ส่วนตัว (Personal use)”  จึงไม่อยู่ภายใต้เงื่อนไขข้อบังคับของ PDPA เลย  

 

          ดังนั้น การกินเที่ยว โพสต์แชร์  รูปถ่ายที่ติดบุคคลอื่น แม้เขาไม่ยินยอม และไม่เบลอหน้า ก็ยังเข้าข้อยกเว้น 4 (1) เพราะเราไม่ได้ทำไปเพื่อประโยชน์ทางธุรกิจ  หรือประกอบการใด ๆ ต้องย้ำความสำคัญของมาตรา 4 (1) ให้ดี ๆ  กฎหมายเขียนยกเว้นแค่นี้ไม่ได้มีเงื่อนไขอื่นว่า  การทำเพื่อประโยชน์ส่วนตัวต้องไม่ทำให้บุคคลอื่นเสียหาย     

บางคนไปแนะนำว่า ประชาชนถ่ายรูปโพสต์แชร์ได้ แต่ต้องไม่ทำให้คนอื่นเสียหาย  ซึ่งเป็นการ “เพิ่มข้อความหรือองค์ประกอบ” ไปในกฎหมายมาตรา 4 (1) ซึ่งไม่ได้มีข้อความหรือเงื่อนไขนั้น

เช่น เราถ่ายรูปขณะกินข้าวในร้าน ติดโต๊ะข้าง ๆ นั่งแทะซี่โครงอยู่ แล้วเอามาโพสต์มีคนขำ และคนที่ปรากฎในภาพรู้สึกอับอาย กรณีนี้เป็นการเก็บรวบรวม เปิดเผย ข้อมูลส่วนบุคคล แต่เป็นไปเพื่อประโยชน์ส่วนตัวของเราในการโพสต์แชร์ประจำวัน ก็เข้าข้อยกเว้นมาตรา 4 (1) แล้ว แม้ว่าจะเป็นการละเมิด “ความเป็นส่วนตัว” ของโต๊ะข้าง ๆ มันก็ยังคงเข้าข้อยกเว้น เพราะข้อยกเว้นนี้ไม่ได้มีเขียนเงื่อนไขว่า ประโยชน์ส่วนตัวต้องไม่กระทบชื่อเสียงคนอื่น  

ถ้าโต๊ะข้าง ๆ รู้สึกเสียหาย อับอาย ก็อาจจะไปใช้กฎหมายอื่น เช่น  หมิ่นประมาท ฯลฯ แต่ไม่ใช่เรื่องของ PDPA เพราะกรณีข้างต้น ถ้าตีความว่า การถ่ายรูปของเรา ไม่เข้าข้อยกเว้น PDPA แล้ว เราไม่ได้มีหน้าที่เฉพาะขอความยินยอมคนแทะซี่โครงคนนั้น  เราจะต้องมีหน้าที่ นำ “Policy” หรือรายละเอียดเอกสารการแจ้งว่าจะใช้ข้อมูลเพื่ออะไรไปให้เขาอ่านด้วย แล้วเรายังจะต้องทำรายงาน บันทึกรายการว่าเราทำอะไรต่อไปกับข้อมูลคนนั้นเพื่อให้ตรวจประเมิน แล้วเรายังต้องรักษาความปลอดภัยรูปถ่ายที่ติดคนนั้นมาอีกด้วย    

 

          สรุปคือ เราไม่สามารถ “เลือก” ว่าจะทำหน้าที่เฉพาะบางอย่างตามกฎหมาย  หากมันไม่เข้าข้อยกเว้นมาตรา 4 แล้ว หน้าที่อื่น ๆ ตามระบบโครงสร้างของ PDPA ก็ต้องมาด้วย แต่ย้อนกลับไป ถ้าร้านอาหารนั้น ถ่ายรูปลูกค้าที่มานั่งกินแล้วเอาไปทำโปรโมทร้านหรือลงโฆษณาในเพจ อันนั้นเป็นการกระทำที่ไม่เข้าข้อยกเว้นมาตรา 4 (1) เพราะไม่ใช่วัตถุประสงค์ส่วนตัวแล้ว เป็นการกระทำของร้านค้าเพื่อธุรกิจ จึงต้องอยู่ภายใต้หลักการต่าง ๆ ทั้งหมดของ PDPA ร้านนั้นจะมีสถานะเป็น “ผู้ควบคุมข้อมูล” ต้องขอความยินยอม ต้องแจ้งรายละเอียดด้วยว่าจะเอาข้อมูลลูกค้าไปทำอะไร โพสต์ที่ไหน นานแค่ไหน จะลบเมื่อไร ฯลฯ ด้วยเหตุนี้ บางร้านจึง “แปะสติกเกอร์หรือเบลอหน้า” เพราะจะอ้างว่า ไม่ได้ทำการเก็บรวบรวม “ข้อมูลส่วนบุคคล”  

          ดังนั้น ก่อนกิน เที่ยว แชะ โพสต์ แชร์ชีวิตประจำวันในโลกออนไลน์ หรือจะเชื่อ “ How to ”  “ Do and Don’t ” อะไรก็ตาม ดูก่อนว่าเราอยู่ในสถานะอะไร การกระทำของเราเข้าข่ายได้รับการยกเว้นหรือไม่ เอากฎหมาย คุ้มครองข้อมูลส่วนบุคคล PDPA มาอ่านทั้งหมด ไม่ใช่เฉพาะบางถ้อยคำ แล้วเราจะคิดเอาเองได้ว่า  สิ่งที่เขาบอกให้เราทำนั้นมัน “โอเวอร์” กว่ากฎหมายกำหนดหรือไม่ 

 

รศ. คณาธิป ทองรวีวงศ์

สถาบันกฎหมายสื่อดิจิทัล ม.เกษมบัณฑิต
                    

 

เว็บไซต์ทรูปลูกปัญญาดอทคอมเป็นเพียงผู้ให้บริการพื้นที่เผยแพร่ความรู้เพื่อประโยชน์ของสังคม ข้อความและรูปภาพที่ปรากฏในบทความเป็นการเผยแพร่โดยผู้ใช้งาน หากพบเห็นข้อความและรูปภาพที่ไม่เหมาะสมหรือละเมิดลิขสิทธิ์ กรุณาแจ้งผู้ดูแลระบบเพื่อดำเนินการต่อไป
Tags
  • Posted By
  • รศ. คณาธิป ทองรวีวงศ์
  • 0 Followers
  • Follow