จากกรณี สถานบันเทิงแห่งหนึ่งในย่านบางใหญ่ จ.นนทบุรี ที่ถ่ายรูปผู้เข้าใช้บริการพร้อมบัตรประชาชน ที่กำลังเป็นกระแสอยู่ในขณะนี้ ซึ่งหลายฝ่ายกังวลว่าเป็นการเก็บข้อมูลเกินความจำเป็น และเข้าข่ายการกระทำผิดกฎหมาย PDPA เพราะข้อมูลบัตรประจำตัวประชาชนถือเป็นข้อมูลส่วนบุคคล
"ข้อมูลส่วนบุคคล" หมายหมายว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม เช่น ชื่อ-นามสกุล เลขบัตรประชาชน เบอร์โทรศัพท์ อีเมล นอกจากนี้ยังข้อมูลส่วนบุคคลอ่อนไหว เช่น เชื้อชาติ ศาสนา เพศ เป็นต้น
- ตำรวจยศ "ร.ต.ต." มีอำนาจตรวจบัตร ปชช. - เอกชนเจ้าตัวต้องยินยอม
- "บัตรประชาชน" ใช้อย่างไรปลอดภัย หากข้อมูลหลุดจะเกิดอะไรขึ้น?
การเก็บรวบรวมข้อมูลส่วนบุคคล ตาม PDPA
ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 23 ระบุในการเก็บรวบรวมข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคลถึงรายละเอียดผู้หลักการของกฎหมายเรียกว่า ประกาศความเป็นส่วนตัว (Privacy Notice) และนโยบายความเป็นส่วนตัว (Privacy Policy)
- แจ้งวัตถุประสงค์ของการเก็บรวบรวมเพื่อการนำข้อมูลส่วนบุคคลไปใช้หรือเปิดเผย
- แจ้งให้ทราบถึงกรณีที่เจ้าของข้อมูลส่วนบุคคลต้องให้ข้อมูลส่วนบุคคลเพื่อปฏิบัติ
ตามกฎหมายหรือสัญญาหรือมีความจำเป็นต้องให้ข้อมูลส่วนบุคคลเพื่อเข้าทำสัญญา รวมทั้งแจ้งถึงผลกระทบที่เป็นไปได้จากการไม่ให้ข้อมูลส่วนบุคคล - แจ้งระยะเวลาในการเก็บรวบรวมไว้ ทั้งนี้ ในกรณีที่ไม่สามารถกำหนดระยะเวลาดังกล่าวได้ชัดเจน ให้กำหนดระยะเวลาที่อาจคาดหมายได้ตามมาตรฐานของการเก็บรวบรวม
- ประเภทของบุคคลหรือหน่วยงานซึ่งข้อมูลส่วนบุคคลที่เก็บรวบรวมอาจจะถูกเปิดเผย
- แจ้งข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล สถานที่ติดต่อ และวิธีการติดต่อ
ทั้งนี้ ไม่จำเป็นขอความยินยอมทุกกรณีในการเก็บข้อมูลบัตรประชาชน โดยในกฎหมาย PDPA จะมีฐานทางกฎหมาย ซึ่งสามารถอ้างฐานโดยชอบด้วยกฎหมาย
- การเก็บข้อมูลเพื่อวัตถุประสงค์ทางประวัติศาสตร์หรือการศึกษาวิจัย
- การป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
- การเก็บข้อมูลเพื่อการปฏิบัติตามสัญญา
- การเก็บข้อมูลเพื่อประโยชน์สาธารณะ
- การเก็บข้อมูลเพื่อประโยชน์ทางกฎหมาย
การเก็บโดยอ้างฐานประโยชน์โดยชอบด้วยกฎหมาย จะต้องไม่ไปกระทบสิทธิของเจ้าของข้อมูลส่วนบุคคลเกินสมควร
การเก็บบัตรประชาชนมีข้อมูลส่วนบุคคล มีบุคคลไม่หวังดีมาแอบถ่ายแอบหยิบก็จะเป็นการละเมิดสิทธิของตัวบุคคลเจ้าของสิทธิได้ จึงต้องมีมาตรการการรักษาความปลอดภัยที่เหมาะสม เพื่อป้องกันไม่ให้ถูกฟ้องหรือถูกร้องเรียน
ทั้งนี้การเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคล ต้องเก็บเท่าที่จำเป็น ตามวัตถุประสงค์ที่แจ้งไว้ หรือลบทำลายข้อมูลส่วนบุคคลเมื่อหมดความจำเป็น
พ.ต.อ.ศิริพล กุศลศิลป์วุฒิ ผู้อำนวยการสำนักกฎหมาย สคส.
พ.ต.อ.ศิริพล กุศลศิลป์วุฒิ ผู้อำนวยการสำนักกฎหมาย สคส.
ผู้ให้บริการไม่ได้แจ้งเงื่อนไง ต้องทำอย่างไร?
พ.ต.อ.ศิริพล กุศลศิลป์วุฒิ ผู้อำนวยการสำนักกฎหมาย สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ระบุว่า ตามหลักการกฎหมาย PDPA การขอความยินยอมจากเจ้าของข้อมูลจะต้องมีความชัดเจนและไม่เป็นการบังคับ ซึ่งหมายความว่า การให้กดยินยอม ต้องไม่เป็นเงื่อนไขที่ทำให้ผู้ใช้บริการไม่สามารถเข้าถึงบริการได้ หากไม่กดยินยอมและผู้ใช้บริการไม่สามารถใช้บริการได้ การยินยอมนั้นถือเป็นการให้ความยินยอมที่มิชอบและขาดเสรีภาพในการตัดสินใจ
กฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA) ได้กำหนดให้การเก็บรักษาข้อมูลส่วนบุคคลต้องดำเนินการตามระเบียบและมาตรฐานที่ชัดเจน ซึ่งผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) จะต้องรับผิดชอบในการดำเนินการเพื่อให้การจัดเก็บและการใช้ข้อมูลเป็นไปตามข้อกำหนดทางกฎหมาย หากมีกรณีที่เจ้าของข้อมูลส่วนบุคคลหรือผู้เสียหายคิดว่าตัวเองถูกละเมิดสิทธิ หรือข้อมูลส่วนบุคคลของตนถูกเก็บรวบรวมเกินความจำเป็น ผู้เสียหายสามารถร้องขอตรวจสอบได้ตามที่จำเป็น
เข้า-ออกหมู่บ้าน จำเป็นต้องเก็บบัตรประชาชน?
พ.ต.อ.สุรพงศ์ เปล่งขำ ผู้อำนวยการสำนักตรวจสอบและกำกับดูแล สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ผู้อำนวยการสำนักตรวจสอบและกำกับดูแล สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ระบุถึงการเข้าใช้บริการตามสถานที่ต่างๆ ไม่ว่าจะเป็นสถานบันเทิง สถานบริการ การเข้าออกหมู่บ้าน หรือสถานที่องค์การต่างๆ ทั้งภาครัฐบาลและเอกชน ต้องมีการแลกบัตรประชาชนของผู้ประกอบการต่างๆ ไม่ว่าด้วยวัตถุประสงค์ใด ก็จะใช้ฐานความยินยอม
สำหรับกรณีการเก็บรวบรวมข้อมูลเพียงผ่านเข้า-ออก มองว่าไม่จำเป็นต้องเก็บบัตรประชาชนไว้ อาจจะเก็บเกินความจำเป็น เก็บไว้เพื่อยืนยันตัวตนว่ามีบุคคลนี้เข้ามา ปัจจุบันอาจจะใช้ในวิธีการอื่นได้ มีกล้องบันทึกภาพ หรือการบันทึกรายชื่อ
การถ่ายรูปบัตรประชาชน ทำได้หรือไม่?
กรณีสถานบันเทิง หรือสถานบริการต่างๆ ที่มีการถ่ายรูปบัตรประชาชน วัตถุประสงค์เพื่อยืนยันว่ามีอายุถึงเกณฑ์ตามที่กฎหมายกำหนด เป็นเรื่องที่ได้รับยินยอมจากเจ้าของข้อมูล และเพื่อเป็นฐานความจำเป็นเพื่อประโยชน์ของผู้ควบคุมข้อมูลเอง
ถ้าเจ้าของข้อมูลยินยอม ก็ถือใช้ฐานข้อมูลความยินยอม แต่อย่างไรก็ตามในทางการให้คำยินยอม ต้องไม่มีเงื่อนไงในเชิงบังคับ และการเก็บรวบรวมข้อมูลด้วยการถ่ายรูปบัตรประชาชนว่ามีอายุตามเกณฑ์ที่กฎหมายกำหนดหรือไม่ อาจจะเกินความจำเป็น เพราะแค่ตรวจบัตรและคืนไปก็ได้
การติดตั้งกล้อง ก็จะเป็นฐานเพื่อประโยชน์ของผู้ควบคุมข้อมูลได้ แต่อย่างไรก็ตามต้องมีการแจ้งประกาศความเป็นส่วนตัวให้เจ้าของข้อมูลได้รับทราบด้วย
โดยกฎหมายกำหนดหน้าที่ให้กับผู้ควบคุมข้อมูล เพราะฉะนั้นดุลยพินิจเบื้องต้นจะเป็นผู้ควบคุมข้อมูลและกำหนดสิทธิให้กับเจ้าของข้อมูล ซึ่งเจ้าของข้อมูลมีสิทธิทักท้วง หรือร้องเรียนได้
พ.ต.อ.สุรพงศ์ เปล่งขำ ผู้อำนวยการสำนักตรวจสอบและกำกับดูแล สคส.
พ.ต.อ.สุรพงศ์ เปล่งขำ ผู้อำนวยการสำนักตรวจสอบและกำกับดูแล สคส.
ขายข้อมูลส่วนบุคคลผิด พ.ร.บ.คอมฯ-อาญา
กรณีการนำข้อมูลส่วนบุคคลไปขายให้กลุ่มต่างๆ เป็นการกระทำเกี่ยวข้องกับอาชญากรรมที่ร้ายแรง ซึ่งเป็นการบูรณาการร่วมกับทั้งตำรวจและดีเอสไอ ถ้าตรวจสอบพบว่ามีการตั้งต้นมาจากการซื้อขายข้อมูลส่วนบุคคลให้กับมิจฉาชีพ จะขยายผลไปบังคับใช้กฎหมาย
การละเมิดข้อมูลส่วนบุคคลอาจจะไม่ได้มีความผิดเฉพาะ PDPA เพียงอย่างเดียว อาจจะเป็นความผิดทาง พ.ร.บ.คอมพิวเตอร์ฯ หรือ กฎหมายอาญา
ถ้าผู้กระทำผิดเรื่องการเปิดเผยข้อมูลมีหน้าที่ตามกฎหมาย PDPA ล่วงรู้และนำไปเปิดเผยก็จะมีความผิดทางอาญาตามบทลงโทษของกฎหมาย PDPA ด้วย
ข้อมูลส่วนบุคคลรั่วไหลใครรับผิดชอบ
พ.ต.อ.สุรพงศ์ กล่าวว่าหน้าที่ของผู้ควบคุมข้อมูลคือการคุ้มครองสิทธิความเป็นส่วนตัว คือการเก็บหรือเปิดเผยต้องได้รับความยินยอมและมีมาตรการที่ต้องประมวลผลข้อมูล และเมื่อเก็บรวบรวมแล้ว ต้องจัดให้มีมาตรการที่รักษาความปลอดภัยอย่างเหมาะสม
ซึ่งหากข้อมูลถูกแฮกต้องไปดูว่ามีการจัดมาตรการที่รักษาความปลอดภัยอย่างเหมาะสม หรือไม่ องค์กรมอบหมายหน้าที่ มีการกำกับดูแล ผู้รับผิดชอบข้อมูลเหล่านั้นหรือไม่ ในเชิงเทคนิคการให้บริการมีอุปกรณ์ป้องกันภัยคุกคามตามเทคนิคที่เหมาะสม
อีกมาตรการที่พิสูจน์ คือข้อมูลที่หลุดออกไป ถ้าพิสูจน์ได้ว่าหลุดมาจากหน่วยงานไหน แม้ว่าตรวจสอบสอบครบถ้วนแล้วก็ต้องชี้แจงให้ได้อย่างไรก็ตามอัตลักษณ์ข้อมูลไม่สามารถพิสูจน์ได้มาจากหน่วยงานนั้น และได้ตรวจสอบมาตรการครบถ้วนแล้ว ยังถือว่าไม่พบว่ามีการฝ่าฝืนหรือไม่ปฏิบัติตามที่กฎหมายกำหนด
สิทธิของเจ้าของข้อมูล
เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตนซึ่งอยู่ในความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล หรือขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลดังกล่าวที่ตนไม่ได้ให้ความยินยอม มีสิทธิขอรับข้อมูลส่วนบุคคลที่เกี่ยวกับตนจากผู้ควบคุมข้อมูลส่วนบุคคลได้ การคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับตนเมื่อใดก็ได้
นอกจากนี้เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการลบ หรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ และมีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลระงับการใช้ข้อมูลส่วนบุคคลได้
อ่านข่าว :
ขีดเส้น 3 วันผับดังแจงปมถ่ายบัตร ปชช.แจ้งความ 65 คน
ลงบันทึกประจำวันถูกร้านเหล้าถ่ายบัตร ปชช. หวั่นขายมิจฉาชีพ
เพจแฉ "สถานบันเทิงย่านนนทบุรี" ถ่ายบัตร ปชช.ลูกค้า ขายธุรกิจสีเทา