หน้าหลัก

ข้อหารือที่ 7/2567 — สถานีตำรวจ G (Facebook โพสต์ภาพประจานหนี้ — ม.4(1))

20 มาตราอ้างอิง
สารบัญในมาตรานี้
  1. ข้อกฎหมาย
  2. ข้อหารือ
  3. ความเห็น
  4. เอกสารต้นฉบับ

ข้อกฎหมาย

  1. พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
    มาตรา 4 (1) มาตรา 5 มาตรา 6 มาตรา 19 มาตรา 20 มาตรา 23 มาตรา 24
    มาตรา 26 มาตรา 28 มาตรา 29 มาตรา 30 มาตรา 31 มาตรา 32 มาตรา 33 มาตรา 34 มาตรา 35 มาตรา 36 มาตรา 37 และ มาตรา 41
  2. พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 และที่แก้ไข เพิ่มเติม
  3. ประมวลกฎหมายอาญา มาตรา 326 และมาตรา 328
  4. ประมวลกฎหมายแพ่งและพาณิชย์ มาตรา 420

ข้อหารือ

สถานีตำรวจ G แจ้งว่า มีผู้มาแจ้งความร้องทุกข์ต่อพนักงานสอบสวนสถานีตำรวจ G เพื่อให้ ดำเนินคดีกับผู้ต้องหาในความผิดตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยกล่าวหาว่า ผู้ต้องหาได้ คัดลอกภาพถ่ายใบหน้าผู้เสียหายกับครอบครัว ซึ่งเป็นภาพโปรไฟล์บน Facebook ของผู้เสียหาย ไปโพสต์ใน Facebook ของผู้ต้องหาในลักษณะนำไปโพสต์ประจานเรื่องไม่ชำระหนี้แก่ผู้ต้องหา โดยผู้เสียหายไม่ได้อนุญาต จึงหารือว่า การที่ผู้ต้องหานำภาพถ่ายของผู้เสียหายพร้อมครอบครัว ที่ปรากฏภาพใบหน้าของผู้เสียหาย และครอบครัวไปใช้โพสต์ทาง Facebook ซึ่งตั้งค่าสาธารณะ บุคคลทั่วไปสามารถพบเห็นภาพใบหน้าผู้เสียหาย และพบเห็นข้อความที่โพสต์ประจานได้โดยไม่ได้รับความยินยอมจากผู้เสียหาย การกระทำของผู้ต้องหา ตามข้อเท็จจริงดังกล่าวจะเป็นความผิดตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 27 หรือไม่ อย่างไร และในส่วนของผู้ต้องหาซึ่งเป็นบุคคลธรรมดา การที่นำภาพของผู้อื่นไปใช้โพสต์ จะเข้าคำนิยามคำ ว่า “ผู้ควบคุมข้อมูลส่วนบุคคล” หรือไม่ อย่างไร

ความเห็น

คณะอนุกรรมการเฉพาะกิจตอบข้อหารือและให้คำแนะนำหน่วยงานของรัฐเพื่อรองรับ การบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล พิจารณาแล้วเห็นว่า ตาม มาตรา 6 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 “ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคลธรรมดาซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึง ข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ ดังนั้น ภาพถ่ายบุคคลหรือข้อมูลอื่นเกี่ยวกับบุคคลที่สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม จึงถือเป็นข้อมูลส่วนบุคคลตามพระราชบัญญัตินี้ สำหรับการนำภาพถ่ายบุคคล หรือข้อมูลส่วนบุคคลอื่นไปโพสต์ในแอปพลิเคชัน Facebook จะอยู่ภายใต้บังคับของพระราชบัญญัติคุ้มครอง ข้อมูลส่วนบุคคล พ.ศ. 2562 และมีความผิดตามพระราชบัญญัติดังกล่าวหรือไม่นั้น เห็นว่า พระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนดไว้ใน มาตรา 5 วรรคหนึ่งว่า พระราชบัญญัติดังกล่าวให้ใช้บังคับ แก่การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยผู้ควบคุมข้อมูลส่วนบุคคลซึ่งอยู่ในราชอาณาจักร
โดย มาตรา 6 กำหนดว่า “ผู้ควบคุมข้อมูลส่วนบุคคล” หมายความว่า บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่

ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล โดยการเป็นผู้ควบคุมข้อมูลส่วนบุคคล ดังกล่าว เมื่อพิจารณาจากบทบัญญัติแห่งกฎหมายที่กำหนดหน้าที่และความรับผิดชอบไว้หลายประการ
เช่น การกำหนดให้การเก็บรวบรวมข้อมูลส่วนบุคคลจะต้องมีฐานทางกฎหมายตาม มาตรา 24 หรือ มาตรา 26 แล้วแต่กรณี หน้าที่ในการแจ้งวัตถุประสงค์และรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคลตาม มาตรา 23 ข้อกำหนดและเงื่อนไขเกี่ยวกับการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศตาม มาตรา 28 และ มาตรา 29 หน้าที่ในการจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม และการแจ้งเหตุการละเมิดข้อมูล ส่วนบุคคล ตาม มาตรา 37 (1) และ มาตรา 37 (4) หน้าที่ในการตอบสนองต่อคำขอใช้สิทธิของเจ้าของข้อมูล ส่วนบุคคลตาม มาตรา 30 ถึง มาตรา 36 หน้าที่ในการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตาม มาตรา 41
และหน้าที่ในการจัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนด ระยะเวลาการเก็บรักษา หรือที่ไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูล ส่วนบุคคลนั้น หรือตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอ หรือที่เจ้าของข้อมูลส่วนบุคคลได้ถอนความยินยอม ปรากฏรายละเอียดตาม มาตรา 37 (3) เป็นต้น จึงเห็นได้ว่า บทบัญญัติและเจตนารมณ์แห่งกฎหมายดังกล่าว มุ่งประสงค์จะใช้บังคับแก่บุคคลธรรมดาหรือนิติบุคคลที่มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล อย่างเป็นระบบหรือเป็นประจำสม่ำเสมอเพื่อวัตถุประสงค์อย่างใดอย่างหนึ่งขององค์กรหรือของบุคคลนั้น
โดยกำหนดหลักการที่สำคัญประการหนึ่งเกี่ยวกับการเก็บรวมรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลว่าต้องมี ฐานทางกฎหมายตามที่กำหนดใน มาตรา 24 หรือ มาตรา 26 แล้วแต่กรณี และหากไม่มีฐานทางกฎหมายอื่น ใดเพื่อใช้ในการเก็บรวมรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลต้องได้รับความยินยอม จากเจ้าของข้อมูลส่วนบุคคลตามหลักเกณฑ์ใน มาตรา 19 และ มาตรา 20 แห่งพระราชบัญญัติดังกล่าว
และได้กำหนดหน้าที่และความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคลไว้ตั้งแต่ขั้นตอนการเก็บรวบรวม จนกระทั่งการลบหรือทำลายข้อมูลส่วนบุคคล ประกอบกับ มาตรา 4 (1) แห่งพระราชบัญญัติดังกล่าวได้กำหนด ข้อยกเว้นไม่ให้นำพระราชบัญญัตินี้ไปใช้บังคับแก่การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบุคคล ที่ทำการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อประโยชน์ส่วนตนหรือเพื่อกิจกรรมในครอบครัวของบุคคลนั้นเท่านั้น ดังนั้น จากกรณีดังกล่าว การกระทำของผู้ต้องหาซึ่งมีฐานะเป็นบุคคลธรรมดา จะถือว่า เป็นการกระทำในฐานะผู้ควบคุมข้อมูลส่วนบุคคล และจะมีความผิดตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
พ.ศ. 2562 หรือไม่ นั้น สถานีตำรวจ G ต้องพิจารณาว่าการกระทำดังกล่าวของผู้ต้องหาเป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ผู้นั้นทำการเก็บรวบรวมเพื่อประโยชน์ส่วนตนหรือเพื่อกิจกรรม ในครอบครัวของบุคคลนั้นหรือไม่ หากพิจารณาแล้วเห็นว่า การกระทำของผู้ต้องหาดังกล่าวมีวัตถุประสงค์ ในการดำเนินการเพื่อประโยชน์ส่วนตน โดยไม่มีลักษณะเป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล อย่างเป็นระบบหรือเป็นประจำสม่ำเสมอเพื่อวัตถุประสงค์อย่างใดอย่างหนึ่งของบุคคลนั้นในฐานะผู้ควบคุม ข้อมูลส่วนบุคคล ย่อมไม่อยู่ในขอบเขตการบังคับใช้ของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ตาม มาตรา 4 (1) แต่อย่างไรก็ดี หากการกระทำของผู้ต้องหามีลักษณะเป็นการละเมิดสิทธิในความเป็นส่วนตัว ของบุคคลอื่นเกินสมควร หรือเข้าองค์ประกอบความผิดตามกฎหมายอื่นใด ผู้กระทำอาจมีความรับผิด ตามกฎหมายเหล่านั้นได้ เช่น พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 และที่แก้ไขเพิ่มเติม หรือประมวลกฎหมายอาญาในความผิดฐานหมิ่นประมาทหรือหมิ่นประมาท โดยการโฆษณา หรือการทำละเมิดตามมาตรา 420 แห่งประมวลกฎหมายแพ่งและพาณิชย์

เอกสารต้นฉบับ