การคุ้มครองข้อมูลส่วนบุคคลเป็นประเด็นร้อนแรงอย่างต่อเนื่องในฝั่งยุโรป เห็นได้จากข่าวนี้
คุณยายคนหนึ่งในประเทศเนเธอร์แลนด์ถูกศาลสั่งให้ลบภาพถ่ายของหลานที่เธอโพสต์ลงบนเฟซบุ๊กและพินเทอเรสต์ (Pinterest) โดยไม่ได้รับอนุญาตจากพ่อแม่ของเด็ก (ตามกฎหมาย GDPR ระบุว่าเป็นผู้มีอำนาจที่จะให้ความยินยอมแทนเด็กที่มีอายุต่ำกว่า 13 ปี) พร้อมกับจ่ายค่าปรับ เรื่องราวนี้ถูกยื่นขึ้นฟ้องต่อศาลเมื่อคุณยายปฏิเสธที่จะลบรูปภาพถ่ายของหลานออกจากโซเชียลมีเดียตามคำเรียกร้องของลูกสาวแท้ ๆ ของเธอเองหลายต่อหลายครั้ง
ปกติแล้ว GDPR จะไม่ได้มีขอบข่ายการคุ้มครองถึงการประมวลผลภายในครัวเรือน หรือกรณีส่วนตัวมาก ๆ แต่การโพสต์ลงโซเชียลมีเดียทำให้ภาพถ่ายของหลานดังกล่าวเปิดกว้างออกสู่สาธารณะและอาจตกไปอยู่ในมือของบุคคลสามที่เอาไปประมวลผลโดยมิชอบต่อไป และภาพถ่ายของหลานดังกล่าวมีลักษณะเป็นข้อมูลส่วนบุคคล
ชนชาติตะวันตก (โดยเฉพาะชาวยุโรป) เห็นประเด็นเรื่องการคุ้มครองข้อมูลส่วนบุคคลเป็นเรื่องสำคัญ แม้แต่คุณยายแท้ ๆ ของหลานเองก็ไม่ละเว้น! สำหรับในเมืองไทยประเด็นเรื่องการคุ้มครองข้อมูลส่วนบุคคลอาจจะยังไม่ได้เห็นเป็นข่าวบ่อยครั้งนัก แต่การประกาศบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 อย่างเต็มรูปแบบ และการออกกฎเกณฑ์แนวทางการคุ้มครองข้อมูลส่วนบุคคลจากคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลที่กำลังตามมา จะทำให้เรื่องนี้เข้มข้นขึ้นอย่างแน่นอน
แต่เอ … จากข่าวดังกล่าวจะสังเกตเห็นได้ว่า “ภาพถ่าย” ก็เป็น “ข้อมูลส่วนบุคคล” ที่ได้รับความคุ้มครองตามกฎหมายด้วย อย่างนี้การจะถ่ายภาพ/วิดีโอใคร (หรือติดใคร) และเอาไปใช้งาน เราจะต้องขอความยินยอมถ่ายภาพ/วิดีโอจากทุกคน ทุกครั้งไปหรือไม่ เรามาหาคำตอบกันครับ
วิธีการสังเกต ภาพถ่ายและวิดีโอบุคคล ลักษณะใดบ้างไม่ต้องขอ (หรือขอ) ความยินยอม (Consent)
ภาพถ่ายหรือวิดีโอที่จับภาพหน้าตาของบุคคลอย่างชัดเจน โดยทั่วไปแล้วจะถือว่าเป็นข้อมูลส่วนบุคคล เช่นเดียวกับข้อมูลส่วนบุคคลประเภทอื่น ผู้ควบคุมข้อมูลจะต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อนหรือระหว่างการประมวลผลเสมอ (เก็บ ใช้ หรือเผยแพร่) ยกเว้นเสียแต่จะเข้าข่ายฐานทางกฎหมายอื่น ๆ ที่ส่งผลให้สามารถประมวลผลได้อย่างถูกต้องตามกฎหมายอยู่แล้ว
- การถ่ายภาพบุคคล/การถ่ายวิดีโอบุคคล แล้วติดบุคคลอื่นที่อยู่ทางด้านหลังเป็น Background หากมองเห็นรายละเอียดของใบหน้าไม่ชัดเจน (ไม่ได้โฟกัสที่ใบหน้าของคนอื่นในภาพ) ไม่จำเป็นต้องได้รับความยินยอมจากบุคคลเหล่านั้น นั่นเป็นสาเหตุว่าทำไมหลาย ๆ ครั้งเราเห็นความพยายามที่จะเบลอใบหน้าของผู้ที่อยู่ในพื้นหลัง/องค์ประกอบของภาพหรือวิดีโอให้ไม่สามารถมองเห็นได้ชัดเจน และระบุตัวตนไม่ได้ เพื่อเป็นการป้องกันการละเมิดข้อมูลส่วนบุคคลของผู้อื่นนั่นเอง
- ภาพ/วิดิโอสถานที่ในมุมกว้าง แล้วติดบุคคลในระยะไกลจนไม่สามารถมองเห็นภาพใบหน้าได้อย่างชัดเจน ไม่มีการโฟกัสที่บุคคลใดบุคคลหนึ่งอย่างชัดเจนและเฉพาะเจาะจง ไม่ถือว่าเป็นข้อมูลส่วนบุคคล และไม่ต้องขอความยินยอมจากบุคคลในภาพแต่อย่างใด แต่เจ้าของสถานที่หรือผู้มีอำนาจสั่งให้เก็บหรือประมวลผลข้อมูลในลักษณะอื่น ควรแจ้งให้บุคคลในสถานที่ทราบว่าจะมีการเก็บภาพ/วิดีโอ และนำไปใช้เพื่อวัตถุประสงค์ใด เช่น ติดป้ายเอาไว้ทั่วบริเวณของสถานที่ให้สามารถมองเห็นได้อย่างชัดแจ้ง เป็นต้น
- รูปถ่ายบุคคลแบบไม่เห็นใบหน้า/เห็นใบหน้าไม่ชัดเจน ปกติแล้วไม่จำเป็นต้องขอความยินยอม แต่ในกรณีที่มีสัญลักษณ์เฉพาะบางประการที่เมื่อประกอบกับบุคคลในภาพแล้วสามารถทำให้ระบุตัวตนได้ (Identifier) เช่น บัตรพนักงานที่หน้าอกสามารถมองเห็นรายละเอียดได้ชัดเจน บุคคลนั่งอยู่ที่ตำแหน่งโต๊ะทำงานส่วนตัวซึ่งบอกได้ว่าเป็นของใคร เป็นต้น จะจัดเป็นข้อมูลส่วนบุคคล ที่ต้องขอความยินยอมจากเจ้าของข้อมูลหากมีการประมวลผล
- ภาพ/วิดีโอบุคคลที่ไม่มีชีวิตอยู่ ไม่เป็นข้อมูลส่วนบุคคล
- การเก็บภาพวิดีโอ CCTV ของที่พักอาศัยรวมหรือสถานที่สาธารณะ ไม่ถือเป็นการละเมิดสิทธิความเป็นส่วนตัวหรือข้อมูลส่วนบุคคล เนื่องจากเป็นการเก็บภาพวิดีโอวงจรปิดเพื่อดูแลรักษาความปลอดภัยในอาณาบริเวณของสถานที่ เท่ากับเป็นการกระทำที่เข้าข่ายฐานทางกฎหมาย “ประโยชน์อันชอบธรรม” (Legitimate Interest) ของเจ้าของสถานที่หรือผู้อาศัยภายในบริเวณ หากมีมาตรการดูแลรักษาข้อมูลตรงตามหลัก Principles ของการคุ้มครองข้อมูลแล้วก็ไม่มีปัญหาอะไร อย่างไรก็ตามควรติดป้ายว่า สถานที่นี้มีการใช้กล้อง CCTV ดังที่เราจะสามารถเห็นได้ในหลาย ๆ สถานที่ (โดยไม่ได้เป็นการขู่ให้ผู้ที่จะกระทำความผิดกลัว แต่เป็นการแจ้งให้บุคคลในสถานที่ทราบว่ามีโอกาสถูกเก็บข้อมูลของบุคคลในรูปแบบวิดีโอครับ)
คราวนี้ก็พอรู้กันแล้วนะครับว่าการถ่ายภาพหรือวิดีโอในลักษณะหน้าตาอย่างไรที่เข้าข่ายข้อมูลส่วนบุคคล หากเป็นข้อมูลที่สามารถใช้ระบุตัวตนของบุคคลได้ ต้องขอความยินยอมจากบุคคลที่อยู่ในภาพ และถึงแม้จะขออนุญาตถ่ายแล้ว (ซึ่งเป็นการประมวลผลข้อมูลส่วนบุคคลขั้นต้น) การประมวลผลข้อมูลเหล่านั้นเพิ่มเติม เช่น การนำไปโพสต์ลงโซเชียลมีเดีย เว็บไซต์ หรือการนำไปตัดต่อดัดแปลง ก็ควร/จำเป็น ที่จะต้องขอความยินยอมให้ครอบคลุมหรือขอความยินยอมเพิ่มเติมอีกครั้งหนึ่งด้วย
ภาคส่วนของประเทศในสหภาพยุโรปที่มองเห็นประเด็นการประมวลผลข้อมูล ภาพถ่ายและวิดีโอบุคคล เป็นเรื่องที่สำคัญเป็นพิเศษ ก็คือ มหาวิทยาลัย/วิทยาลัย ต่าง ๆ เนื่องจากสถานศึกษามักมีการเก็บภาพและวิดีโอของนักเรียนเพื่อเอาไว้โฆษณาประชาสัมพันธ์อยู่เสมอ จนแทบจะทุกที่มีการทำนโยบายในด้านคุ้มครองข้อมูลส่วนบุคคลออกมาอย่างละเอียดยิบ และมักมีการขอความยินยอมเอาไว้ว่าจะมีการถ่ายภาพ/วิดีโอในบริเวณแคมปัสตั้งแต่แรกเริ่มลงทะเบียนเพื่อเข้าเรียนเสียด้วยซ้ำ เพื่อแสดงถึงความโปร่งใสและสร้างความเข้าใจกันของทั้งฝ่ายผู้ควบคุมข้อมูลและเจ้าของข้อมูลส่วนบุคคล
หลักสูตร ICDL Personal Data Protection Certificate (PDPC) เรียนรู้เพิ่มเติม วิเคราะห์เป็น ข้อมูลอะไรเข้าข่ายเป็นข้อมูลส่วนบุคคลอีกบ้าง
คลิ๊กสอบถามรายละเอียดได้ที่นี่ Facebook: PDPA ICDL Thailand
