หน้าหลัก

ข้อหารือที่ 6/2567 — สถานีตำรวจ E (Facebook ข้อมูลรั่ว — ม.4(1) household exception)

19 มาตราอ้างอิง
สารบัญในมาตรานี้
  1. ข้อกฎหมาย
  2. ข้อหารือ
  3. ความเห็น
  4. เอกสารต้นฉบับ

ข้อกฎหมาย

  1. พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 — มาตรา 4 (1), มาตรา 5, มาตรา 6, มาตรา 19, มาตรา 20, มาตรา 23, มาตรา 24, มาตรา 26, มาตรา 28, มาตรา 29, มาตรา 30, มาตรา 31, มาตรา 32, มาตรา 33, มาตรา 34, มาตรา 35, มาตรา 36, มาตรา 37 และ มาตรา 41
  2. พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 และที่แก้ไขเพิ่มเติม
  3. ประมวลกฎหมายอาญา — มาตรา 326 และมาตรา 328
  4. ประมวลกฎหมายแพ่งและพาณิชย์ — มาตรา 420

ข้อหารือ

สถานีตำรวจ E แจ้งว่า มีผู้เสียหายมาร้องทุกข์ให้ดำเนินคดีกับผู้ต้องหาในความผิดฐานเปิดเผยข้อมูลส่วนบุคคลตาม PDPA · พนักงานสอบสวนได้สอบสวนรวบรวมพยานหลักฐานเสนออัยการ B พิจารณา · อัยการ B ให้พนักงานสอบสวนสอบถามมายังสำนักงาน คคส. ว่า กรณีที่บุคคลธรรมดาได้รับข้อมูลส่วนบุคคลของบุคคลอื่น (เช่น ภาพถ่าย) มาจากผู้ควบคุมข้อมูลโดยไม่มีอำนาจตามกฎหมาย แล้วนำภาพถ่ายไปเผยแพร่ในแอปพลิเคชันเฟซบุ๊กพร้อมข้อความหมิ่นประมาทเจ้าของข้อมูล โดยไม่ได้รับอนุญาตจากเจ้าของข้อมูล กรณีดังกล่าวอยู่ภายใต้บังคับ PDPA หรือไม่

ความเห็น

ตาม มาตรา 6 "ข้อมูลส่วนบุคคล" = ข้อมูลเกี่ยวกับบุคคลธรรมดาซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม · ภาพถ่ายบุคคลหรือข้อมูลอื่นเกี่ยวกับบุคคลที่สามารถระบุตัวได้ จึงถือเป็นข้อมูลส่วนบุคคลตาม PDPA

สำหรับการนำภาพถ่าย/ข้อมูลส่วนบุคคลไปโพสต์ในแอปพลิเคชันเฟซบุ๊ก จะอยู่ภายใต้บังคับ PDPA และมีความผิดหรือไม่ — มาตรา 5 วรรคหนึ่งกำหนดว่า PDPA ใช้บังคับแก่การเก็บ/ใช้/เปิดเผยข้อมูลโดยผู้ควบคุมข้อมูลซึ่งอยู่ในราชอาณาจักร · มาตรา 6 กำหนดว่า "ผู้ควบคุมข้อมูลส่วนบุคคล" = บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บ/ใช้/เปิดเผยข้อมูล

เมื่อพิจารณาบทบัญญัติแห่งกฎหมายที่กำหนดหน้าที่และความรับผิดชอบไว้หลายประการ — เห็นได้ว่ากฎหมายมุ่งประสงค์ใช้บังคับแก่บุคคลธรรมดา/นิติบุคคลที่มีการเก็บ/ใช้/เปิดเผยข้อมูลส่วนบุคคลอย่างเป็นระบบหรือเป็นประจำสม่ำเสมอเพื่อวัตถุประสงค์อย่างใดอย่างหนึ่ง

ประกอบกับ มาตรา 4 (1) กำหนดข้อยกเว้นไม่ให้นำ PDPA ไปใช้บังคับแก่การเก็บ/ใช้/เปิดเผยข้อมูลของบุคคลที่ทำการเก็บรวบรวมข้อมูลเพื่อประโยชน์ส่วนตนหรือเพื่อกิจกรรมในครอบครัว (household exception)

ดังนั้น สถานีตำรวจ E ต้องพิจารณาว่าการกระทำของผู้ต้องหา (บุคคลธรรมดา) เป็นการเก็บ/ใช้/เปิดเผยข้อมูลส่วนบุคคลเพื่อประโยชน์ส่วนตนหรือเพื่อกิจกรรมในครอบครัวหรือไม่ · หากพิจารณาแล้วเห็นว่า การกระทำมีวัตถุประสงค์เพื่อประโยชน์ส่วนตน โดยไม่มีลักษณะเป็นการเก็บ/ใช้/เปิดเผยข้อมูลอย่างเป็นระบบหรือเป็นประจำสม่ำเสมอ — ย่อมไม่อยู่ในขอบเขตการบังคับใช้ PDPA ตาม มาตรา 4 (1)

อย่างไรก็ดี หากการกระทำมีลักษณะเป็นการละเมิดสิทธิในความเป็นส่วนตัวของบุคคลอื่นเกินสมควร หรือเข้าองค์ประกอบความผิดตามกฎหมายอื่นใด ผู้กระทำอาจมีความรับผิดตามกฎหมายเหล่านั้น เช่น พ.ร.บ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์, ป.อ. ฐานหมิ่นประมาท (ม.326/328), หรือการทำละเมิดตาม ป.พ.พ. มาตรา 420

(หมายเหตุ: ruling pattern เดียวกับ opinion-4/2567 และ opinion-5/2567 — 3 ฉบับนี้ทำหน้าที่เป็น template ruling ของ คคส. สำหรับกรณี "ตำรวจสอบสวนเอกชนโพสต์ social media โดยอ้าง PDPA")

เอกสารต้นฉบับ