หน้าหลัก

ข้อหารือที่ 9/2567 — สถานีตำรวจ J (Facebook โพสต์ประวัติอาชญากรรม — ม.4(1))

20 มาตราอ้างอิง
สารบัญในมาตรานี้
  1. ข้อกฎหมาย
  2. ข้อหารือ
  3. ความเห็น
  4. เอกสารต้นฉบับ

ข้อกฎหมาย

  1. พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
    มาตรา 4 (1) มาตรา 5 มาตรา 6 มาตรา 19 มาตรา 20 มาตรา 23 มาตรา 24
    มาตรา 26 มาตรา 28 มาตรา 29 มาตรา 30 มาตรา 31 มาตรา 32 มาตรา 33
    มาตรา 34 มาตรา 35 มาตรา 36 มาตรา 37 และ มาตรา 41
  2. พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 และที่แก้ไขเพิ่มเติม
  3. ประมวลกฎหมายอาญา มาตรา 326 และมาตรา 328
  4. ประมวลกฎหมายแพ่งและพาณิชย์ มาตรา 420

ข้อหารือ

สถานีตำรวจ J แจ้งว่า มีผู้เสียหายได้ร้องทุกข์กับพนักงานสอบสวนขอให้ดำเนินคดีกับผู้ต้องหา กรณีนำข้อมูลที่ทำให้สามารถระบุตัวบุคคลได้อันเป็นข้อมูลส่วนบุคคลตามกฎหมายและยังเป็นข้อมูลเกี่ยวกับ ประวัติอาชญากรรมของผู้เสียหายที่ผู้เสียหายถูกกล่าวหาว่าได้กระทำความผิดต่อกฎหมายไปโพสต์ลงบน Facebook ของผู้ต้องหา ซึ่งเปิดการมองเห็นเป็นสาธารณะ โดยผู้เสียหายไม่ได้ยินยอมให้ผู้ต้องหาเป็นผู้เก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ทำให้บุคคลทั่วไปที่ได้พบเห็นโพสต์ดังกล่าวเข้าใจผู้เสียหายผิด
ทำให้เสื่อมเสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง เพราะเหตุที่ได้พบและอ่านข้อความเอกสารตามโพสต์ดังกล่าว เนื่องจากผู้อ่านไม่อาจเข้าใจถึงสาเหตุที่แท้จริง ผู้เสียหายจึงร้องทุกข์ให้พนักงานสอบสวนดำเนินคดีกับผู้ต้องหาเพื่อให้ ได้รับโทษตามกฎหมาย ซึ่งพนักงานสอบสวนได้รับคำร้องทุกข์ไว้สอบสวนตามกฎหมายแล้ว แต่เนื่องจาก พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นกฎหมายใหม่ ซึ่งคำนิยาม “ผู้ควบคุมข้อมูลส่วนบุคคล” ตามพระราชบัญญัติดังกล่าว นักกฎหมายรวมทั้งพนักงานสอบสวนต่างก็ตีความและมีความเห็นต่างกัน จึงขอหารือ และขอทราบความเห็นว่า การกระทำของผู้ต้องหาดังกล่าวข้างต้นเป็นความผิดตาม มาตรา 27 แห่งพระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือไม่ อย่างไร

ความเห็น

คณะอนุกรรมการเฉพาะกิจตอบข้อหารือและให้คำแนะนำหน่วยงานของรัฐเพื่อรองรับ การบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล พิจารณาแล้วเห็นว่า ตาม มาตรา 6 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 “ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคลธรรมดาซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึง ข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ ดังนั้น ภาพสำเนาเอกสารหรือข้อมูลอื่นเกี่ยวกับบุคคลที่สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม จึงถือเป็นข้อมูลส่วนบุคคลตามพระราชบัญญัตินี้ สำหรับการนำภาพสำเนาเอกสารหรือ ข้อมูลส่วนบุคคลอื่นไปโพสต์ในแอปพลิเคชัน Facebook จะอยู่ภายใต้บังคับของพระราชบัญญัติคุ้มครองข้อมูล ส่วนบุคคล พ.ศ. 2562 และมีความผิดตามพระราชบัญญัติดังกล่าวหรือไม่นั้น เห็นว่า พระราชบัญญัติคุ้มครอง ข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนดไว้ใน มาตรา 5 วรรคหนึ่งว่า พระราชบัญญัติดังกล่าวให้ใช้บังคับแก่การเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยผู้ควบคุมข้อมูลส่วนบุคคลซึ่งอยู่ในราชอาณาจักร โดย มาตรา 6 กำหนดว่า “ผู้ควบคุมข้อมูลส่วนบุคคล” หมายความว่า บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการ เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล โดยการเป็นผู้ควบคุมข้อมูลส่วนบุคคลดังกล่าว เมื่อพิจารณา จากบทบัญญัติแห่งกฎหมายที่กำหนดหน้าที่และความรับผิดชอบไว้หลายประการ เช่น การกำหนดให้การเก็บ รวบรวมข้อมูลส่วนบุคคลจะต้องมีฐานทางกฎหมายตาม มาตรา 24 หรือ มาตรา 26 แล้วแต่กรณี หน้าที่ในการแจ้ง วัตถุประสงค์และรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคลตาม มาตรา 23 ข้อกำหนดและเงื่อนไขเกี่ยวกับการส่ง หรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศตาม มาตรา 28 และ มาตรา 29 หน้าที่ในการจัดให้มีมาตรการรักษา ความมั่นคงปลอดภัยที่เหมาะสม และการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล ตาม มาตรา 37 (1) และ มาตรา 37 (4) หน้าที่ในการตอบสนองต่อคำขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลตาม มาตรา 30 ถึง มาตรา 36 หน้าที่ใน การแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตาม มาตรา 41 และหน้าที่ในการจัดให้มีระบบการตรวจสอบ เพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนดระยะเวลาการเก็บรักษา หรือที่ไม่เกี่ยวข้องหรือเกิน ความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลนั้น หรือตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอ หรือที่เจ้าของข้อมูลส่วนบุคคลได้ถอนความยินยอม ปรากฏรายละเอียดตาม มาตรา 37 (3) เป็นต้น จึงเห็นได้ว่า บทบัญญัติและเจตนารมณ์แห่งกฎหมายดังกล่าวมุ่งประสงค์จะใช้บังคับแก่บุคคลธรรมดาหรือนิติบุคคลที่มีการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลอย่างเป็นระบบหรือเป็นประจำสม่ำเสมอเพื่อวัตถุประสงค์อย่างใดอย่าง หนึ่งขององค์กรหรือของบุคคลนั้น โดยกำหนดหลักการที่สำคัญประการหนึ่งเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลว่าต้องมีฐานทางกฎหมายตามที่กำหนดใน มาตรา 24 หรือ มาตรา 26 แล้วแต่กรณี
และหากไม่มีฐานทางกฎหมายอื่นใดเพื่อใช้ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูล ส่วนบุคคลต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลตามหลักเกณฑ์ใน มาตรา 19 และ มาตรา 20
แห่งพระราชบัญญัติดังกล่าว และได้กำหนดหน้าที่และความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคลไว้ตั้งแต่ ขั้นตอนการเก็บรวบรวมจนกระทั่งการลบหรือทำลายข้อมูลส่วนบุคคล ประกอบกับ มาตรา 4 (1) แห่งพระราชบัญญัติ ดังกล่าวได้กำหนดข้อยกเว้นไม่ให้นำพระราชบัญญัตินี้ไปใช้บังคับแก่การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคลของบุคคลที่ทำการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อประโยชน์ส่วนตนหรือเพื่อกิจกรรมในครอบครัว ของบุคคลนั้นเท่านั้น
ดังนั้น จากกรณีดังกล่าว การกระทำของผู้ต้องหาซึ่งมีฐานะเป็นบุคคลธรรมดา จะถือว่า เป็นการกระทำในฐานะผู้ควบคุมข้อมูลส่วนบุคคล และจะมีความผิดตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
พ.ศ. 2562 หรือไม่ นั้น สถานีตำรวจ J ต้องพิจารณาว่าการกระทำดังกล่าวของผู้ต้องหาเป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ผู้นั้นทำการเก็บรวบรวมเพื่อประโยชน์ส่วนตนหรือเพื่อกิจกรรมในครอบครัว ของบุคคลนั้นหรือไม่ หากพิจารณาแล้วเห็นว่า การกระทำของผู้ต้องหาดังกล่าวมีวัตถุประสงค์ในการดำเนินการ เพื่อประโยชน์ส่วนตน โดยไม่มีลักษณะเป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลอย่างเป็นระบบหรือ เป็นประจำสม่ำเสมอเพื่อวัตถุประสงค์อย่างใดอย่างหนึ่งของบุคคลนั้นในฐานะผู้ควบคุมข้อมูลส่วนบุคคล ย่อมไม่อยู่ ในขอบเขตการบังคับใช้ของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ตาม มาตรา 4 (1) แต่อย่างไรก็ดี หากการกระทำของผู้ต้องหามีลักษณะเป็นการละเมิดสิทธิในความเป็นส่วนตัวของบุคคลอื่นเกินสมควร หรือเข้า องค์ประกอบความผิดตามกฎหมายอื่นใด ผู้กระทำอาจมีความรับผิดตามกฎหมายเหล่านั้นได้ เช่น พระราชบัญญัติ ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 และที่แก้ไขเพิ่มเติม หรือประมวลกฎหมายอาญา ในความผิดฐานหมิ่นประมาทหรือหมิ่นประมาทโดยการโฆษณา หรือการทำละเมิดตามมาตรา 420 แห่งประมวล กฎหมายแพ่งและพาณิชย์

เอกสารต้นฉบับ