ข่าวสารและบทความล่าสุด

ในปัจจุบันการใช้สื่อสังคมออนไลน์ (“social media”) กลายมาเป็นหนึ่งในกิจกรรมหลักในชีวิตประจำวันของคนส่วนใหญ่ เคยสงสัยหรือไม่ว่า การโพสต์ภาพหรือข้อความบน social media ที่มีการระบุถึงข้อมูลที่อาจสื่อถึงตัวบุคคลใดบุคคลหนึ่งหรือการเผยแพร่ข้อมูลส่วนบุคคลลงในโลกออนไลน์นั้น ผู้ที่เผยแพร่จะต้องขอความยินยอมจากบุคคลที่เกี่ยวข้องหรือเจ้าของข้อมูลส่วนบุคคลด้วยทุกครั้งก่อนเผยแพร่หรือไม่ ก่อนที่จะตอบข้อคำถามดังกล่าว สิ่งแรกที่ควรพิจารณาคือ การใช้ social media ในกรณีใดบ้างที่อยู่ภายใต้การบังคับใช้ของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (“PDPA”)

โดยการพิจารณาว่าการใช้ social media กรณีใดบ้างที่ต้องปฏิบัติตามที่ PDPA กำหนดนั้น ต้องพิจารณาว่าผู้ใช้งานหรือผู้ที่เผยแพร่ข้อมูลเป็นผู้ที่สามารถกำหนดวัตถุประสงค์และวิธีการในการเก็บ ใช้ หรือเผยแพร่ข้อมูลส่วนบุคคลหรือไม่ เช่น การถ่ายวิดีโอที่ติดภาพหรือเสียงของบุคคลอื่น เพื่อตัดต่อเป็นวิดีโอเล่าเรื่องชีวิตประจำวันลงใน YouTube กรณีดังกล่าวนี้ถือเป็นกรณีที่ผู้เผยแพร่สามารถกำหนดวัตถุประสงค์ในการเก็บข้อมูลและวิธีการใช้ข้อมูลในวิดีโอแล้ว จึงอยู่ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลตาม PDPA

อย่างไรก็ตาม แม้ว่าผู้เผยแพร่จะมีฐานะเป็นผู้ควบคุมข้อมูลส่วนบุคคลตามความหมายที่กำหนดไว้ใน PDPA แต่การใช้ social media ในชีวิตประจำวันอาจไม่อยู่ภายใต้การบังคับใช้ของ PDPA เสมอไป เนื่องจาก PDPA ไม่ได้บังคับใช้แก่กรณีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบุคคลที่ทำการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อประโยชน์ส่วนตน หรือเพื่อกิจกรรมในครอบครัวของบุคคล ยกตัวอย่างเช่น การใช้ social media ในลักษณะที่เป็นบัญชีส่วนบุคคล เพื่อเผยแพร่รูปภาพครอบครัว การลงภาพเฉลิมฉลองวันเกิดกับเพื่อน ๆ โดยมีวัตถุประสงค์เพื่อประโยชน์ส่วนตน ลักษณะเช่นนี้ย่อมไม่อยู่ภายใต้ขอบเขตการบังคับใช้ของ PDPA

ทั้งนี้ แม้จะเป็นการเก็บหรือเผยแพร่ในบัญชีส่วนบุคคล ยังมีความจำเป็นต้องพิจารณาถึงวัตถุประสงค์และบริบทในการเผยแพร่ข้อมูลส่วนบุคคลด้วย เนื่องจากในบางกรณีอาจอยู่ภายใต้ PDPA ได้เช่นเดียวกัน ยกตัวอย่างเช่น กรณี Influencer เผยแพร่ภาพถ่ายของตนเองคู่กับผลิตภัณฑ์ชนิดหนึ่งบน social media ผ่านบัญชีส่วนบุคคล ซึ่งถ่ายในสถานที่สาธารณะ โดยมีวัตถุประสงค์เพื่อการโฆษณาผลิตภัณฑ์ตามข้อตกลงในสัญญาว่าจ้างด้านการตลาด อย่างไรก็ตาม เนื่องด้วยภาพถ่ายดังกล่าวได้ถูกบันทึกในพื้นที่สาธารณะ จึงปรากฏบุคคลอื่นร่วมอยู่ในภาพถ่ายนั้นด้วย กรณีดังกล่าวถือเป็นการใช้ข้อมูลที่เกินกว่าประโยชน์ส่วนตน จึงไม่ได้รับการยกเว้น และต้องปฏิบัติตามหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคลตามที่ PDPA กำหนด

เห็นได้ว่าในบางกรณี การใช้ social media อาจอยู่ภายใต้การบังคับใช้ของ PDPA และเมื่อต้องพิจารณาว่าการเผยแพร่ข้อมูลส่วนบุคคลลงบน social media ดังกล่าว ต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อนหรือไม่นั้น PDPA ได้กำหนดฐานทางกฎหมายเพื่อรองรับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล อันได้แก่

1. การปฏิบัติตามสัญญา
2. การปฏิบัติหน้าที่ตามกฎหมาย
3. มีความจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมาย
4. ภารกิจสาธารณะ/อำนาจรัฐ
5. มีความจำเป็นเพื่อประโยชน์สำคัญต่อชีวิต
6. จดหมายเหตุ/วิจัย/สถิติ
7. ความยินยอม

โดยการเลือกใช้ฐานทางกฎหมาย ต้องพิจารณาตามวัตถุประสงค์ในการเก็บรวบรวม ใช้ และเผยแพร่ข้อมูลส่วนบุคคลประกอบด้วย จะเห็นได้ว่าไม่ใช่ทุกกรณีที่จะต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล สามารถพิจารณาฐานทางกฎหมายอื่น ๆ สำหรับการอ้างอิงในการใช้ข้อมูลส่วนบุคคลได้โดยชอบด้วยกฎหมาย และหากสามารถอ้างอิงฐานอื่นๆ ได้ ย่อมไม่มีความจำเป็นที่จะต้องขอความยินยอมในการใช้ข้อมูลส่วนบุคคล ยกตัวอย่างเช่น กรณีมีสัญญาจ้าง Influencer ในการใช้ภาพของ Influencer เพื่อโฆษณาสินค้าลงบน social media กรณีนี้สามารถอ้างอิงฐานสัญญาในการเผยแพร่รูปภาพดังกล่าว โดยมิต้องขอความยินยอม เป็นต้น

จึงกล่าวได้ว่า ในการใช้ social media ที่อาจมีการเผยแพร่ข้อมูลส่วนบุคคลนั้น ไม่จำเป็นต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลเสมอไป หากแต่เมื่อไม่สามารถอ้างอิงฐานทางกฎหมายอื่น ๆ ตามที่กฎหมายกำหนดได้ ย่อมมีความจำเป็นต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อนที่จะใช้ข้อมูลส่วนบุคคล โดยหลักเกณฑ์ในการขอความยินยอมตามที่กฎหมายกำหนด มีดังต่อไปนี้

1. การขอความยินยอมสามารถทำได้ทั้งในรูปแบบของเอกสารหรืออิเล็กทรอนิกส์
2. การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลนั้น ต้องขอก่อนหรือขณะเก็บรวบรวมข้อมูลส่วนบุคคล
3. ต้องมีการแจ้งวัตถุประสงค์ของการขอความยินยอม รวมถึงรายละเอียดอื่น ๆ ตามที่กฎหมายกำหนด
4. การขอความยินยอมต้องมีรูปแบบที่เข้าถึงและเข้าใจได้ง่าย ใช้ภาษาที่อ่านง่าย ไม่คลุมเครือ ไม่หลอกลวงให้เข้าใจผิดในวัตถุประสงค์
5. เจ้าของข้อมูลส่วนบุคคลต้องมีความเป็นอิสระในการให้ความยินยอม และการให้ความยินยอมต้องไม่เป็นเงื่อนไขของการให้บริการ รวมถึงแยกส่วนออกจากเงื่อนไขของการให้บริการอย่างชัดเจน
6. เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการเพิกถอนความยินยอม โดยสามารถถอนความยินยอมได้ทุกเวลาและสามารถเพิกถอนได้โดยง่ายเช่นเดียวกับการให้ความยินยอม เว้นแต่จะมีข้อจำกัดสิทธิในการถอนความยินยอมตามกฎหมาย หรือข้อสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคล
7. หากการเพิกถอนความยินยอมส่งผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลในเรื่องใด ต้องมีการแจ้งผลกระทบดังกล่าวให้เจ้าของข้อมูลส่วนบุคคลทราบอย่างชัดเจน

เมื่อมีหน้าที่ในการปฏิบัติตาม PDPA จากการดำเนินกิจกรรมบน social media ในฐานะผู้ใช้ social media และผู้ควบคุมข้อมูลส่วนบุคคลตาม PDPA ท่านควรดำเนินการตามแนวปฏิบัติดังต่อไปนี้

1. พิจารณาความจำเป็นในการใช้ข้อมูลส่วนบุคคล โดยหากไม่มีความจำเป็นในการใช้ข้อมูลดังกล่าว ให้พิจารณาตัดหรือเบลอภาพเพื่อทำให้ข้อมูลดังกล่าวนั้นไม่สามารถระบุถึงตัวบุคคลได้ หรือทำให้ระบุถึงตัวบุคคลอย่างเป็นไปได้ยาก
2. การแจ้งเจ้าของข้อมูลส่วนบุคคลตามรายละเอียดที่กฎหมายกำหนด เช่น การแจ้งรายละเอียดการเก็บรวบรวม ใช้ เผยแพร่ข้อมูล เป็นต้น
3. การพิจารณาฐานทางกฎหมายที่เหมาะสมและสอดคล้องกับการใช้ข้อมูลส่วนบุคคล โดยหากไม่สามารถอ้างอิงฐานอื่น ๆ ได้ ให้พิจารณาฐานความยินยอมและขอความยินยอมตามหลักเกณฑ์ข้างต้น
4. การเคารพสิทธิของเจ้าของข้อมูลส่วนบุคคลที่กฎหมายกำหนด โดยจัดให้มีช่องทางให้เจ้าของข้อมูลสามารถใช้สิทธิได้
5. การพิจารณามาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เช่น การตั้งรหัสเพื่อป้องกันการเข้าถึง เปลี่ยนแปลง หรือเปิดเผยข้อมูลส่วนบุคคลโดยมิชอบ เป็นต้น

จากที่ได้กล่าวมาข้างต้น สามารถสรุปได้ว่า PDPA ไม่ได้บังคับใช้กับการเผยแพร่ข้อมูลส่วนบุคคลลง social media ในทุกบริบท และในกรณีที่ผู้ใช้ social media จะต้องปฏิบัติตาม PDPA นั้น ไม่จำเป็นต้องขอความยินยอมเสมอไป เนื่องจากเมื่อพิจารณาตามวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคลแล้วนั้น อาจอ้างอิงฐานทางกฎหมายอื่น ๆ ได้ อย่างไรก็ตาม ผู้ใช้ social media ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลยังคงมีหน้าที่ในการถือปฏิบัติตามหลักของ PDPA อย่างเคร่งครัด เพื่อให้เกิดความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลและคุ้มครองสิทธิความเป็นส่วนตัวของเจ้าของข้อมูลส่วนบุคคล