กฎหมาย PDPA (Personal Data Protection Act) คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยเริ่มบังคับใช้อย่างเต็มรูปแบบเมื่อวันที่ 1 มิ.ย. 2565 ซึ่งอย่างที่รู้กันว่าเป็นกฎหมายที่ให้ความคุ้มครองข้อมูลส่วนบุคคล
เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ รูปถ่าย บัญชีธนาคาร อีเมล ไอดีไลน์ บัญชีผู้ใช้ของเว็บไซต์ ลายนิ้วมือ ประวัติสุขภาพ เป็นต้น ซึ่งข้อมูลเหล่านี้สามารถระบุถึงตัวเจ้าของข้อมูลนั้นได้ อาจเป็นได้ทั้งข้อมูลในรูปแบบเอกสาร กระดาษ หนังสือ หรือจัดเก็บในรูปแบบอิเล็กทรอนิกส์ก็ดี
โดยนอกจากการเก็บรวบรวมข้อมูลส่วนบุคคล การนำข้อมูลไปใช้ขององค์กร-หน่วยงานต่าง ๆ แล้ว ยังมีในส่วนของการโพสต์ในโลกออนไลน์ที่เกี่ยวข้องกับกฎหมาย PDPA ด้วยเช่นกัน เพื่อสร้างความเข้าใจให้กับประชาชนรวมถึงสื่อมวลชนด้วยกันเอง ไทยพีบีเอสจึงขอนำความรู้จากการอบรม-สัมมนาเชิงปฏิบัติการ “การเสริมสร้างองค์ความรู้ด้านการคุ้มครองข้อมูลส่วนบุคคลสำหรับสื่อมวลชน” ซึ่งจัดโดยสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) หรือที่รู้จักในชื่อ PDPC มาอธิบายให้เห็นภาพร่วมกัน
ไม่อยากผิดกฎหมาย PDPA ต้องรู้จัก “ข้อมูลส่วนบุคคล” เพื่อไม่ละเมิดผู้อื่น
อธิบายให้เข้าใจก็คือ ข้อมูลส่วนบุคคล (Personal Data) ได้แก่ ข้อมูลใด ๆ ก็ตาม ที่สามารถระบุตัวบุคคลนั้นได้ (ระบุไปถึงเจ้าของข้อมูล) ไม่ว่าจะเป็นทางตรงหรือทางอ้อม แต่ไม่รวมไปถึงข้อมูลของผู้ที่เสียชีวิตไปแล้ว หรือ ข้อมูลของนิติบุคคล เช่น บริษัท มูลนิธิ สมาคม องค์กร
ตัวอย่าง “ข้อมูลส่วนบุคคล” (Personal Data)
1. ชื่อ-นามสกุล หรือชื่อเล่น
2. เลขประจำตัวประชาชน, เลขหนังสือเดินทาง, เลขบัตรประกันสังคม, เลขใบอนุญาตขับขี่, เลขประจำตัวผู้เสียภาษี, เลขบัญชีธนาคาร, เลขบัตรเครดิต (การเก็บเป็นภาพสำเนาบัตรประชาชนหรือสำเนาบัตรอื่น ๆ ที่มีข้อมูลส่วนบุคคลที่กล่าวมาย่อมสามารถใช้ระบุตัวบุคคลได้โดยตัวมันเอง จึงถือเป็นข้อมูลส่วนบุคคล)
3. ที่อยู่, อีเมล, เลขโทรศัพท์
4. ข้อมูลอุปกรณ์หรือเครื่องมือ เช่น IP address, MAC address, Cookie ID
5. ข้อมูลระบุทรัพย์สินของบุคคล เช่น ทะเบียนรถยนต์, โฉนดที่ดิน
6. ข้อมูลที่สามารถเชื่อมโยงไปยังข้อมูลข้างต้นได้ เช่น วันเกิดและสถานที่เกิด, เชื้อชาติ, สัญชาติ, น้ำหนัก, ส่วนสูง, ข้อมูลตำแหน่งที่อยู่ (location), ข้อมูลการแพทย์, ข้อมูลการศึกษา, ข้อมูลทางการเงิน, ข้อมูลการจ้างงาน
7. ข้อมูลหมายเลขอ้างอิงที่เก็บไว้ในไมโครฟิล์ม แม้ไม่สามารถระบุไปถึงตัวบุคคลได้ แต่หากใช้ร่วมกับระบบดัชนีข้อมูลอีกระบบหนึ่งก็จะสามารถระบุไปถึงตัวบุคคลได้
8. ข้อมูลการประเมินผลการทำงานหรือความเห็นของนายจ้างต่อการทำงานของลูกจ้าง
9. ข้อมูลบันทึกต่าง ๆ ที่ใช้ติดตามตรวจสอบกิจกรรมต่าง ๆ ของบุคคล เช่น log file
10. ข้อมูลที่สามารถใช้ในการค้นหาข้อมูลส่วนบุคคลอื่นในอินเทอร์เน็ต
ตัวอย่าง “ข้อมูลที่ไม่เป็นข้อมูลส่วนบุคคล”
1. เลขทะเบียนบริษัท
2. ข้อมูลสำหรับการติดต่อทางธุรกิจที่ไม่ได้ระบุถึงตัวบุคคล เช่น หมายเลขโทรศัพท์ หรือแฟกซ์ที่ทำงาน, ที่อยู่สำนักงาน, อีเมลที่ใช้ในการทำงาน, อีเมลของบริษัท
3. ข้อมูลนิรนาม (Anonymous Data) หรือข้อมูลแฝง (Pseudonymous Data) หมายถึงข้อมูลหรือชุดข้อมูลที่ถูกทำให้ไม่สามารถระบุตัวบุคคลได้อีกโดยวิธีการทางเทคนิค
4. ข้อมูลผู้ตาย
ข้อมูลส่วนบุคคลที่มีความอ่อนไหวเป็นพิเศษ (Sensitive Personal Data) คืออะไร?
คือ ข้อมูลส่วนบุคคลที่เป็นเรื่องส่วนตัวโดยแท้ของบุคคล ที่มีความละเอียดอ่อนและสุ่มเสี่ยงต่อการถูกใช้ในการเลือกปฏิบัติอย่างไม่เป็นธรรม จึงจำเป็นต้องดำเนินการด้วยความระมัดระวังเป็นพิเศษ เช่น
1. เชื้อชาติ
2. เผ่าพันธุ์
3. ความคิดเห็นทางการเมือง
4. ความเชื่อในลัทธิ ศาสนาหรือปรัชญา
5. พฤติกรรมทางเพศ
6. ประวัติอาชญากรรม
7. ข้อมูลสุขภาพ ความพิการ หรือข้อมูลสุขภาพจิต
8. ข้อมูลสหภาพแรงงาน
9. ข้อมูลพันธุกรรม
10. ข้อมูลชีวภาพ
11. ข้อมูลทางชีวมิติ (Biometric) เช่น รูปภาพใบหน้า, ลายนิ้วมือ, ฟิล์มเอกซเรย์, ข้อมูลสแกนม่านตา, ข้อมูลอัตลักษณ์เสียง, ข้อมูลพันธุกรรม
12. ข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลในทำนองเดียวกันตามที่คณะกรรมการประกาศกำหนด
โดย พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล มีสาระสำคัญอย่างหนึ่งที่ได้ระบุไว้ในมาตราที่ 19 ใจความว่า
ผู้ควบคุมข้อมูลส่วนบุคคลจะกระทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคลไม่ได้หากเจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมไว้ก่อนหรือในขณะนั้น เว้นแต่บทบัญญัติ แห่งพระราชบัญญัตินี้หรือกฎหมายอื่นบัญญัติให้กระทำได้
รู้จัก “ข้อมูลส่วนบุคคล” แล้ว “ประชาชนและสื่อ” จะโพสต์อย่างไร ? ไม่ให้ผิดกฎหมาย PDPA
ขอเริ่มต้นจากในมุมของประชาชนที่โพสต์ในโลกออนไลน์ แม้ว่าจะเป็นการถ่ายภาพนิ่งหรือคลิปวิดีโอ แล้วโพสต์ในโซเชียลมีเดียของเราเองก็ตาม แต่เมื่อถ่ายติดบุคคลอื่น ซึ่งมีข้อมูลส่วนบุคคลที่ทำให้รู้ว่าเป็นคน ๆ นั้น ติดมาด้วย เช่น ใบหน้า ลายนิ้วมือ ทะเบียนรถ บัตรประชาชน หรือตามข้อมูลส่วนบุคคลดังที่ได้นำเสนอด้านบนไปแล้ว นำไปสู่การระบุตัวตนของคน ๆ นั้นได้ จะเข้าข่ายผิดกฎหมาย PDPA ดังนั้นหากจะโพสต์ควรขออนุญาตจากเจ้าตัว โดยมีหลักฐานเป็นลายลักษณ์อักษร (รวมถึงแบบอิเล็กทรอนิกส์) แต่เนื่องจากกระบวนการที่กล่าวมาข้างต้นมีความยุ่งยาก เราถ่ายของเราเองจะต้องขออนุญาตทุกครั้งอยู่ร่ำไปก็คงวุ่นวายน่าดู ดังนั้นสิ่งที่จะแก้ปัญหาการผิดกฎหมาย PDPA ได้ก็คือ หลีกเลี่ยงการถ่ายติดข้อมูลส่วนบุคคลผู้อื่น แต่หากหลีกเลี่ยงไม่ได้แนะนำให้เบลอส่วนที่คาดว่าเป็นข้อมูลส่วนบุคคลของคนอื่นไว้ก่อน เช่น หน้าคน ทะเบียนรถ ซึ่งจะเป็นการป้องกันที่ดีที่สุด
หมายเหตุหากเป็นการถ่ายเชิงพาณิชย์ นำไปลงโซเชียลมีเดียสร้างรายได้ให้กับผู้ถ่าย ควรระมัดระวังการละเมิดข้อมูลส่วนบุคคลที่ปรากฏในภาพหรือคลิปวิดีโอมากกว่าปกติ เนื่องจากเป็นการเผยแพร่ต่อสาธารณะเป็นวงกว้างบุคคลที่โดนละเมิดอาจได้รับความเสียหายค่อนข้างสูง
สำหรับ “สื่อมวลชน” นั้นจะกฎระเบียบสมาคมผู้สื่อข่าว จริยธรรมสื่อมวลชนเป็นตัวกำกับอยู่แล้ว หากเป็นการรายงานข่าวอย่างเช่น เทศกาลเข้าพรรษาคนไปทำบุญตักบาตร สามารถถ่ายเห็นหน้าบุคคลต่าง ๆ ได้ แต่หากเป็นการรายงานข่าวกรณีเกิดอุบัติเหตุ การทำร้ายร่างกาย และอื่น ๆ สื่อมวลชนต้องมีการเบลอหน้า ทะเบียนรถ หรืออื่น ๆ ที่เป็นข้อมูลส่วนบุคคล
ตัวอย่างที่ทำให้เห็นภาพก็คือ นักข่าวถ่ายคลิปตำรวจเข้าจับกุมผู้ต้องหา (ผู้ชาย) ค้ายาเสพติดภายในบ้าน แต่ติดภรรยาและลูกมาด้วย สื่อฯ ต้องทำการเบลอภรรยาและลูกเนื่องจากไม่เกี่ยวข้องกับการถูกจับกุม
ส่วนกรณีคลิปหลุดจากการถูกแอบถ่าย จะเกิดการเสื่อมเสียหรือไม่ก็ตาม สื่อมวลชนจะไม่สามารถนำคลิปนั้นมาเผยแพร่นำเสนอข่าวได้ เนื่องจากยังไม่ได้รับอนุญาตจากบุคคลผู้เสียหายที่ปรากฏอยู่ในคลิปหรือรูปนิ่ง นอกจากนี้จะต้องไม่ให้ข้อมูลหรือคำในข่าวที่จะทำให้ผู้คนอ่านแล้วเข้าใจว่าเป็นคน ๆ นั้นด้วย
อีกหนึ่งประเด็นที่สื่อมวลชนต้องทำความเข้าใจให้ถูกต้องก็คือ สื่อมวลชนที่ทำหน้าที่รายงานข่าว แม้จะได้รับข้อยกเว้นตามกำระเบียบสมาคม-จริยธรรมสื่อมวลชน แต่จะไม่สามารถใช้ความเป็นสื่อฯ ของตนเอง นำการรายงานข่าวไปใช้เชิงพาณิชย์ เช่น โพสต์ในเพจของตนเองเพื่อสร้างคอนเทนต์ให้มีแอดโฆษณาเข้ามาสร้างรายได้ให้กับตนเองได้
โดยสิ่งที่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หรือ PDPC จะนำมาพิจารณาหากเกิดการร้องเรียนและฟ้องร้องก็คือ “เจตนา” ของผู้โดนร้องเรียนเป็นสำคัญว่ากระทำการเพราะเหตุผลอันใด ซึ่งหากผู้ถูกร้องมีความผิดอาจมีโทษทั้งทางอาญาและโทษทางปกครอง
ที่สำคัญกฎหมาย PDPA, หมิ่นประมาท และ พ.ร.บ. คอมฯ เป็นคนละส่วนกัน ไม่ผิดกฎหมาย PDPA แต่อาจผิด พ.ร.บ. คอมฯ หรือไม่ผิดหมิ่นประมาท แต่อาจผิดกฎหมาย PDPA ดังนั้นการจะโพสต์โลกออนไลน์ต้องคำนึงถึงทั้ง 3 กฎหมายประกอบกัน
เรื่องน่ารู้ส่งท้าย :
กฎหมาย PDPA (Personal Data Protection Act) คือกฎหมายคุ้มครองข้อมูลส่วนบุคคลของเรา ส่วน PDPC (Personal Data Protection Commission) คือผู้ควบคุมข้อมูลส่วนบุคคล – บุคคลหรือนิติบุคคล ซึ่งมีอำนาจหน้าที่ตัดสินเกี่ยวกับการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของเรา
แหล่งข้อมูลอ้างอิง : สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC)
