หน้าหลัก

คำสั่งที่ 2/2567 (คณะที่ 3) — ตักเตือนหน่วยงานของรัฐกรณีลูกจ้างใช้รหัสผ่านสืบค้นทะเบียนราษฎรและแอบถ่ายสูติบัตรเผยแพร่ลงสื่อสังคมออนไลน์ (ฝ่าฝืน ม.19 ประกอบ ม.27 + ม.37(1) · อาศัย ม.90 · ระเบียบ คคส. มาตรการรักษาความมั่นคงปลอดภัย 2565 ข้อ 4(7))

5 มาตราอ้างอิง
สารบัญในมาตรานี้
  1. เรื่องร้องเรียน
  2. คำวินิจฉัย
  3. คำสั่ง
  4. เอกสารต้นฉบับ

เรื่องร้องเรียน

คำร้องเรียนนี้สรุปความได้ว่า เจ้าหน้าที่ของผู้ถูกร้องเรียน สืบค้นข้อมูลทะเบียนราษฎรของผู้ร้องเรียนและบุตรของผู้ร้องเรียน โดยผู้ร้องเรียนมิได้ยื่นคำขอหรือมอบอำนาจให้ผู้ใดยื่นคำขอเพื่อทำการสืบค้นทะเบียนราษฎรของผู้ร้องเรียนหรือบุตรของผู้ร้องเรียน ผู้ร้องเรียนได้ยื่นคำร้องขอตรวจสอบการเข้าสืบค้นข้อมูลดังกล่าวกับส่วนบูรณาการฐานข้อมูลกลางภาครัฐ สำนักบริหารการทะเบียน พบว่าผู้ถูกร้องเรียน โดยเจ้าหน้าที่ของผู้ถูกร้องเรียนได้เข้าสืบค้นข้อมูลของผู้ร้องเรียนและบุตรของผู้ร้องเรียน และเจ้าหน้าที่คนดังกล่าวได้แอบถ่ายรูปสูติบัตรของบุตรผู้ร้องเรียนจากหน้าจอคอมพิวเตอร์ที่ใช้สืบค้น ส่งให้แก่บุคคลภายนอก และบุคคลภายนอกได้นำภาพถ่ายสูติบัตรซึ่งไม่มีการระบุว่าบิดาของบุตรผู้ร้องเรียนคือผู้ใดไปเผยแพร่ลงบนสื่อสังคมออนไลน์ โดยที่ผู้ร้องเรียนไม่ได้ให้ความยินยอม จึงทำให้ผู้ร้องเรียนและบุตรของผู้ร้องเรียนถูกดูหมิ่น

คำวินิจฉัย

คณะกรรมการผู้เชี่ยวชาญ คณะที่ 3 พิจารณาแล้วเห็นว่า ผู้ถูกร้องเรียนมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลทะเบียนราษฎรซึ่งเป็นข้อมูลส่วนบุคคลของผู้ร้องเรียนและบุตรของผู้ร้องเรียนตาม มาตรา 6 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ผู้ถูกร้องเรียนมีระเบียบและหลักเกณฑ์เกี่ยวกับการตรวจสอบข้อมูลทะเบียนราษฎร โดยผู้มีความประสงค์ขอตรวจสอบข้อมูลต้องยื่นคำร้องด้วยตนเอง หรือมีหนังสือมอบอำนาจให้บุคคลอื่นทำการแทนและต้องเป็นผู้มีส่วนได้เสียตามระเบียบสำนักทะเบียนกลางว่าด้วยการจัดทำทะเบียนราษฎร พ.ศ. 2535 และฉบับแก้ไขเพิ่มเติม ลูกจ้างซึ่งปฏิบัติหน้าที่แทนเจ้าหน้าที่เกี่ยวกับงานทะเบียนราษฎรที่ได้รับมอบหมายจากผู้ถูกร้องเรียนให้ปฏิบัติหน้าที่ในการสืบค้นทะเบียนราษฎร จึงมีหน้าที่ต้องปฏิบัติตามระเบียบและหลักเกณฑ์ที่ผู้ถูกร้องเรียนกำหนดเกี่ยวกับการสืบค้นข้อมูลทะเบียนราษฎร แต่ลูกจ้างของผู้ถูกร้องเรียนได้นำเอารหัสผ่านของเจ้าหน้าที่เข้าใช้ระบบการสืบค้นข้อมูลทะเบียนราษฎรและทำการสืบค้นข้อมูลของผู้ร้องเรียนและบุตรของผู้ร้องเรียน โดยไม่ได้มีคำขอหรือมีการมอบอำนาจจากผู้ร้องเรียนตามระเบียบ แม้ลูกจ้างของผู้ถูกร้องเรียนจะได้รับมอบหมายให้ช่วยปฏิบัติงานด้านทะเบียนราษฎรก็ตาม แต่การสืบค้นข้อมูลทะเบียนราษฎรจะต้องปฏิบัติตามระเบียบที่กำหนดไว้โดยเคร่งครัด จึงเป็นการใช้ เปิดเผยข้อมูลส่วนบุคคลที่ไม่ชอบตาม มาตรา 19 ประกอบ มาตรา 27 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 อีกทั้ง เจ้าหน้าที่ผู้มีหน้าที่ปฏิบัติเกี่ยวกับทะเบียนราษฎรเป็นผู้มีรหัสผ่านในการเข้าใช้ระบบการสืบค้นข้อมูลทะเบียนราษฎร ไม่จัดเก็บรหัสผ่านไว้เป็นความลับเพื่อป้องกันมิให้บุคคลอื่นที่ไม่มีหน้าที่นำไปใช้โดยไม่ชอบ ทำให้ลูกจ้างคนดังกล่าวสามารถนำเอารหัสผ่านไปใช้สืบค้นข้อมูลทะเบียนราษฎรของผู้ร้องเรียนและบุตรผู้ร้องเรียนและนำเอาข้อมูลดังกล่าวไปเปิดเผยต่อบุคคลอื่นโดยไม่ชอบด้วยกฎหมายจึงเป็นกรณีที่ ผู้ถูกร้องเรียนในฐานะผู้ควบคุมข้อมูลส่วนบุคคล ไม่ได้จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบตาม มาตรา 37 (1) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

คำสั่ง

อาศัยอำนาจตามความใน มาตรา 90 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 คณะกรรมการผู้เชี่ยวชาญ คณะที่ 3 จึงมีมติในคราวประชุม ครั้งที่ 7/2567 โดยมีคำสั่งดังต่อไปนี้

  1. ตักเตือนให้ผู้ถูกร้องเรียนปฏิบัติตาม มาตรา 19 มาตรา 27 และ มาตรา 37 (1) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 อย่างเคร่งครัด โดยสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลบันทึกประวัติการตักเตือนครั้งนี้ไว้ในฐานข้อมูล เพื่อเป็นปัจจัยในการพิจารณาตามข้อ 8 ของประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์การพิจารณาออกคำสั่งลงโทษปรับทางปกครองของคณะกรรมการผู้เชี่ยวชาญ พ.ศ. 2565 ต่อไป

  2. ให้ผู้ถูกร้องเรียนจัดให้มีการสร้างเสริมความตระหนักรู้ด้านความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลและการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลให้บุคลากร พนักงาน เจ้าหน้าที่ ที่เกี่ยวข้องกับการเข้าถึง เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลทราบและถือปฏิบัติตาม มาตรา 37 (1) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ประกอบข้อ 4 (7) ของประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565

  3. ให้ดำเนินการตามข้อ 2 พร้อมทั้งรายงานผลการปฏิบัติต่อคณะกรรมการผู้เชี่ยวชาญ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ภายใน 30 วันนับแต่วันที่ได้รับคำสั่ง

สั่ง ณ วันที่ 9 กันยายน 2567

ประธานกรรมการผู้เชี่ยวชาญ คณะที่ 3

เอกสารต้นฉบับ