อ้างว่าไม่รู้กฎหมาย

เรื่องที่น่ากลัวที่สุดในการจัดการข้อมูลส่วนบุคคลคือ เมื่อทำผิดพลาดแล้ว “อ้างว่าไม่รู้กฎหมาย”

Case Studies, Data, Research / By / เมษายน 10, 2024

ตามบัญญัติที่อยู่ในประมวลกฎหมายอาญา ที่ได้กล่าวไว้ว่า “บุคคลจะแก้ตัวว่าไม่รู้กฎหมายเพื่อให้พ้นจากความรับผิดในทางอาญาไม่ได้…”

พูดกันแบบเข้าใจง่ายๆก็คือ “ใครก็ตามจะไม่สามารถอ้างว่าตัวเองไม่รู้กฎหมาย เพื่อหลีกหนีความผิดได้” ดังนั้น จึงเกิดเป็นหลักความไม่รู้กฎหมายไม่เป็นข้อแก้ตัว มีที่มาจากภาษาละตินที่ว่า ignorantia juris non excusat

และในทุกวันนี้เราน่าจะได้ยินเรื่องของ PDPA กันอยู่บ่อยๆ แต่หลายๆคนก็อาจจะยังสงสัยว่าข้อมูลส่วนบุคคลนั้นประกอบไปด้วยอะไรบ้าง 

ข้อมูลส่วนบุคคล มีอะไรบ้าง

ตาม PDPA  ข้อมูลส่วนบุคคล หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ  และนี่คือตัวอย่างของข้อมูลที่เป็นข้อมูลส่วนบุคคล

กฎหมายได้ให้คำนิยามข้อมูลส่วนบุคคลไว้ว่า “ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ” 

  • ชื่อ นามสกุล ชื่อเล่น
  • เลขประจำตัวประชาชน, เลขหนังสือเดินทาง, เลขบัตรประกันสังคม, เลขใบอนุญาตขับขี่, เลขประจำตัวผู้เสียภาษี, เลขบัญชีธนาคาร, เลขบัตรเครดิต (การเก็บเป็นภาพสำเนาบัตรประชาชนหรือสำเนาบัตรอื่นๆที่เป็นข้อมูลส่วนบุคคล)
  • ที่อยู่ อีเมล์ โทรศัพท์
  • ข้อมูลอุปกรณ์หรือเครื่องมือ เช่น IP Address, MAC Address, Cookie ID
  • ข้อมูลทางชีวภาพ (Biometric Data) ไม่ว่าจะเป็นภาพจำลองใบหน้า ลายนิ้วมือ ฟิลม์เอ็กซ์เรย์ ข้อมูลสแกนม่านตา ข้อมูลอัตลักษณ์เสียง ข้อมูลพันธุกรรม
  • ข้อมูลระบุทรัพย์สินของบุคคล เช่น ทะเบียนรถ โฉนดที่ดิน
  • ข้อมูลที่สามารถเชื่อมโยงไปยังข้อมูลข้างต้นได้ เช่น วันเกิด สถานที่เกิด เชื้อชาติ สัญชาติ น้ำหนัก ส่วนสูง ข้อมูลตำแหน่งที่อยู่ ข้อมูลการแพทย์ ข้อมูลการศึกษา ข้อมูลทางการเงิน ข้อมูลการจ้างงาน
  • ข้อมูลหมายเลขอ้างอิงที่เก็บไว้ในไมโครฟิลม์
  • ข้อมูลการประเมินผลการทำงานหรือความเห็นของนายจ้างต่อการทำงานของลูกจ้าง
  • ข้อมูลบันทึกต่างๆที่ใช้ติดตามตรวจสอบกิจกรรมต่างๆของบุคคล เช่น Log Files
  • ข้อมูลที่ใช้ค้นหาข้อมูลส่วนบุคคลอื่นในอินเตอร์เน็ต

ใครมีหน้าที่ดูแลจัดการข้อมูลส่วนบุคคลบ้าง

ผู้ที่มีหน้าที่เกี่ยวข้องกับข้อมูลส่วนบุคคล และมีบทบาทที่สำคัญตามกฎหมาย PDPA มีอยู่ 2 บทบาทด้วยกัน ได้แก่

ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ บุคคล หรือนิติบุคคล ซึ่งมีอำนาจหน้าที่ในการตัดสินใจ เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ บุคคล หรือ นิติบุคคล ซึ่งดำเนินการเก็บรวบรวม ใช้ หรือเปิดเผย ตามคำสั่ง หรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล

ยกตัวอย่างเช่น บริษัท พรีดิกทิฟ จำกัด มีการส่งข้อมูลส่วนบุคคลของพนักงานให้กับผู้ให้บริการภายนอก (Service Provider) ที่เป็นบริษัทจัดทำบัญชีเงินเดือนเพื่อประมวลผลข้อมูลพนักงาน

ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) = บริษัท พรีดิกทิฟ จำกัด

ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) = ผู้ให้บริการภายนอก (Service Provider) ที่เป็นบริษัทจัดทำบัญชีเงินเดือน

กฎหมายพื้นฐานที่ผู้เกี่ยวข้องจำเป็นต้องรู้

  • พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
  • พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2560
  • ประกาศและระเบียบต่างๆของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

กรณีตัวอย่าง

ในกรณีของกฎหมาย PDPA นั้น จะเห็นได้ว่า มีระยะเวลา grace period เพื่อให้ผู้ประกอบการได้มีเวลาเตรียมตัวและปรับเปลี่ยนกระบวนการทำงานให้สอดคล้องกับกฎหมาย เพราะฉะนั้น เมื่อกฎหมายมีผลบังคับใช้แล้วเมื่อเดือนมิถุนายนที่ผ่านมา เหล่าผู้ประกอบการจึงไม่สามารถอ้างได้ว่าตนนั้นไม่รู้ หรือไม่มีเวลาได้เตรียมตัวในการปฏิบัติตามกฎหมายฉบับนี้ อย่างไรก็ตาม กฎหมายก็ไม่ได้มุ่งเน้นเพื่อที่จะลงโทษหน่วยงานเอกชน หากแต่มีจุดประสงค์เพื่อคุ้มครองข้อมูลส่วนบุคคลของเจ้าของข้อมูล จึงพิจารณาเป็นรายกรณีไป โดยในกรณีที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้ตรวจสอบแล้วพบว่า บริษัทหรือหน่วยงานเอกชนได้ พยายามอย่างสุดความสามารถในการปฏิบัติตามกฎหมายฉบับนี้แล้ว เช่น มีการจัดฝึกอบรมพนักงานทุกปีเพื่อให้พนักงานมีความรู้ความเข้าใจในกฎหมาย PDPA เป็นต้น แต่ก็ยังเกิดเหตุสุดวิสัย ทางคณะกรรมการฯอาจจะพิจารณาตักเตือนหรือผ่อนปรนโทษตามสมควร ทั้งนี้ล้วนแล้วแต่ดุลยพินิจ

เมื่ออ่านกันจนจบแล้ว ทุกคนคงจะตระหนักได้ถึงความสำคัญของ “ความรู้ความเข้าใจในกฎหมาย หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล” กัเพราะเราไม่สามารถหลีกเลี่ยงความผิดได้จริงๆ ไม่ว่าจะด้วยความไม่รู้หรือเหตุผลใดๆก็ตาม เนื่องจากฎหมายก็มีบัญญัติไว้อีกข้อเช่นกัน ว่าเราจะใช้ความไม่รู้มาเป็นข้ออ้างไม่ได้ และข่าวดีก็คือ วันนี้ Predictive มีบริการ PDPA Awareness training เป็นการจัดฝึกอบรม เกี่ยวกับความรู้พื้นฐานของ PDPA และแนวทางปฏิบัติสำหรับทุกแผนกในบริษัท ซึ่งการจัดอบรมนี้ก็เป็นสิ่งหนึ่งที่กฎหมายบังคับให้ทุกบริษัทต้องทำด้วย สามารถติดต่อ Predictive เพื่อขอข้อมูลเพิ่มเติมได้เลย และเรายินดีให้คำปรึกษาเบื้องต้นโดยไม่มีค่าใช้จ่าย ขอบคุณที่อ่านกันมาจนถึงตรงนี้

ติดต่อ Predictive