ข้อหารือที่ 8/2567 — สถานีตำรวจ H (Facebook โพสต์สำเนาบัตรผู้รับเหมา — ม.4(1))

ข้อกฎหมาย

1. พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
   มาตรา 4 (1) มาตรา 5 มาตรา 6 มาตรา 19 มาตรา 20 มาตรา 23 มาตรา 24
   มาตรา 26 มาตรา 28 มาตรา 29 มาตรา 30 มาตรา 31 มาตรา 32 มาตรา 33 มาตรา 34 มาตรา 35 มาตรา 36 มาตรา 37 และ มาตรา 41
2. พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 และที่แก้ไข เพิ่มเติม
3. ประมวลกฎหมายอาญา มาตรา 326 และมาตรา 328
4. ประมวลกฎหมายแพ่งและพาณิชย์ มาตรา 420

ข้อหารือ

สถานีตำรวจ H แจ้งว่า พนักงานสอบสวน สถานีตำรวจ H ได้มีความเห็นสั่งฟ้องสำนวนการ สอบสวนคดีในข้อหา “เปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอม โดยประการที่น่าจะทำให้ผู้อื่นเกิด ความเสียหาย เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย” และได้ส่งสำนวนการสอบสวนไป ยังพนักงานอัยการ A ต่อมา เมื่อวันที่ 1 มิถุนายน 2566 พนักงานอัยการ A ได้มีหนังสือสอบสวนเพิ่มเติมครั้งที่ 2 มายังพนักงานสอบสวนสถานีตำรวจ H เพื่อให้ส่งหนังสือสอบถามคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
ให้มีความเห็นว่า “ตามข้อเท็จจริงในคดีนี้ เมื่อผู้ต้องหาว่าจ้างผู้เสียหายซึ่งเป็นผู้รับเหมาต่อเติมบ้าน แต่ผู้ต้องหา เห็นว่าผู้รับเหมาทำงานไม่ดี จึงโพสต์ภาพผลงาน ความเห็น และภาพสำเนาบัตรประจำตัวประชาชน ของผู้รับเหมาลงใน Facebook ของผู้ต้องหาออกสู่สาธารณะ โดยสำเนาบัตรของผู้รับเหมางานได้มาเมื่อมีการทำ สัญญาจ้างเหมากันนั้น จะถือว่าผู้ต้องหาเป็นผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งได้กระทำความผิดภายใต้การบังคับใช้ กฎหมายนี้หรือไม่ อย่างไร หากไม่อยู่ภายใต้กฎหมายนี้ ด้วยเหตุผลใด อย่างไร ให้ละเอียดชัดเจนไปตามรูปคดี จึงขอให้วินิจฉัยปัญหาที่เกิดจากการใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ตามข้อเท็จจริง ดังกล่าวข้างต้น เพื่อความสะดวกในการสอบสวน และพนักงานสอบสวนจะได้ดำเนินการในส่วนที่เกี่ยวข้อง ต่อไป

ความเห็น

คณะอนุกรรมการเฉพาะกิจตอบข้อหารือและให้คำแนะนำหน่วยงานของรัฐเพื่อรองรับ การบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล พิจารณาแล้วเห็นว่า ตาม มาตรา 6 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 “ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคลธรรมดาซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึง ข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ ดังนั้น ภาพสำเนาบัตรประจำตัวประชาชนหรือข้อมูลอื่นเกี่ยวกับบุคคล ที่สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม จึงถือเป็นข้อมูลส่วนบุคคลตามพระราชบัญญัตินี้ สำหรับการนำภาพสำเนาบัตรประจำตัวประชาชนหรือข้อมูลส่วนบุคคลอื่นไปโพสต์ในแอปพลิเคชัน Facebook

จะอยู่ภายใต้บังคับของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และมีความผิด ตามพระราชบัญญัติดังกล่าวหรือไม่นั้น เห็นว่า พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนด ไว้ใน มาตรา 5 วรรคหนึ่งว่า พระราชบัญญัติดังกล่าวให้ใช้บังคับแก่การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคลโดยผู้ควบคุมข้อมูลส่วนบุคคลซึ่งอยู่ในราชอาณาจักร โดย มาตรา 6 กำหนดว่า “ผู้ควบคุมข้อมูล ส่วนบุคคล” หมายความว่า บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้
หรือเปิดเผยข้อมูลส่วนบุคคล โดยการเป็นผู้ควบคุมข้อมูลส่วนบุคคลดังกล่าว เมื่อพิจารณาจากบทบัญญัติ แห่งกฎหมายที่กำหนดหน้าที่และความรับผิดชอบไว้หลายประการ เช่น การกำหนดให้การเก็บรวบรวมข้อมูล ส่วนบุคคลจะต้องมีฐานทางกฎหมายตาม มาตรา 24 หรือ มาตรา 26 แล้วแต่กรณี หน้าที่ในการแจ้ง วัตถุประสงค์และรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคลตาม มาตรา 23 ข้อกำหนดและเงื่อนไข เกี่ยวกับการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศตาม มาตรา 28 และ มาตรา 29 หน้าที่ในการจัดให้มี มาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม และการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล ตาม มาตรา 37 (1) และ มาตรา 37 (4) หน้าที่ในการตอบสนองต่อคำขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลตาม มาตรา 30 ถึง มาตรา 36 หน้าที่ในการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตาม มาตรา 41 และหน้าที่ในการจัดให้มี ระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนดระยะเวลาการเก็บรักษา
หรือที่ไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลนั้น หรือตามที่ เจ้าของข้อมูลส่วนบุคคลร้องขอ หรือที่เจ้าของข้อมูลส่วนบุคคลได้ถอนความยินยอม ปรากฏรายละเอียด ตาม มาตรา 37 (3) เป็นต้น จึงเห็นได้ว่า บทบัญญัติและเจตนารมณ์แห่งกฎหมายดังกล่าวมุ่งประสงค์จะใช้ บังคับแก่บุคคลธรรมดาหรือนิติบุคคลที่มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลอย่างเป็นระบบ หรือเป็นประจำสม่ำเสมอเพื่อวัตถุประสงค์อย่างใดอย่างหนึ่งขององค์กรหรือของบุคคลนั้น โดยกำหนดหลักการ ที่สำคัญประการหนึ่งเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลว่าต้องมีฐานทางกฎหมาย ตามที่กำหนดใน มาตรา 24 หรือ มาตรา 26 แล้วแต่กรณี และหากไม่มีฐานทางกฎหมายอื่นใดเพื่อใช้ในการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลต้องได้รับความยินยอมจากเจ้าของข้อมูล ส่วนบุคคลตามหลักเกณฑ์ใน มาตรา 19 และ มาตรา 20 แห่งพระราชบัญญัติดังกล่าว และได้กำหนดหน้าที่และ ความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคลไว้ตั้งแต่ขั้นตอนการเก็บรวบรวมจนกระทั่งการลบ หรือทำลายข้อมูลส่วนบุคคล ประกอบกับ มาตรา 4 (1) แห่งพระราชบัญญัติดังกล่าวได้กำหนดข้อยกเว้นไม่ให้ นำพระราชบัญญัตินี้ไปใช้บังคับแก่การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบุคคลที่ทำการเก็บ รวบรวมข้อมูลส่วนบุคคลเพื่อประโยชน์ส่วนตนหรือเพื่อกิจกรรมในครอบครัวของบุคคลนั้นเท่านั้น ดังนั้น จากกรณีดังกล่าว การกระทำของผู้ต้องหาซึ่งมีฐานะเป็นบุคคลธรรมดา จะถือว่า เป็นการกระทำในฐานะผู้ควบคุมข้อมูลส่วนบุคคล และจะมีความผิดตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
พ.ศ. 2562 หรือไม่ นั้น สถานีตำรวจ H ต้องพิจารณาว่าการกระทำดังกล่าวของผู้ต้องหาเป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ผู้นั้นทำการเก็บรวบรวมเพื่อประโยชน์ส่วนตนหรือเพื่อกิจกรรม ในครอบครัวของบุคคลนั้นหรือไม่ หากพิจารณาแล้วเห็นว่า การกระทำของผู้ต้องหาดังกล่าวมีวัตถุประสงค์ ในการดำเนินการเพื่อประโยชน์ส่วนตน โดยไม่มีลักษณะเป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล อย่างเป็นระบบหรือเป็นประจำสม่ำเสมอเพื่อวัตถุประสงค์อย่างใดอย่างหนึ่งของบุคคลนั้นในฐานะผู้ควบคุม ข้อมูลส่วนบุคคล ย่อมไม่อยู่ในขอบเขตการบังคับใช้ของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ตาม มาตรา 4 (1) อย่างไรก็ดี หากการกระทำของผู้ต้องหามีลักษณะเป็นการละเมิดสิทธิในความเป็นส่วนตัว ของบุคคลอื่นเกินสมควร หรือเข้าองค์ประกอบความผิดตามกฎหมายอื่นใด ผู้กระทำอาจมีความรับผิด ตามกฎหมายเหล่านั้นได้ เช่น พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550

และที่แก้ไขเพิ่มเติม หรือประมวลกฎหมายอาญาในความผิดฐานหมิ่นประมาทหรือหมิ่นประมาท โดยการโฆษณา หรือการทำละเมิดตามมาตรา 420 แห่งประมวลกฎหมายแพ่งและพาณิชย์

เอกสารต้นฉบับ

• PDF ต้นฉบับ (local)
• ที่มา: pdpc.or.th