กรณีที่กำลังเป็นข่าว คือเหตุการณ์ตู้เซฟขนาดใหญ่หายไปจากห้องพักชั้น 26 ของคอนโดมิเนียมหรูในจังหวัดนครราชสีมา ภายในตู้มีสินทรัพย์รวมมูลค่าความเสียหายราว 3 ล้านบาท ผู้เสียหายได้ขอดูภาพจากกล้องวงจรปิดเพื่อเร่งติดตามหาคนร้าย
แต่ถูกทางนิติบุคคลอาคารชุดปฏิเสธในเบื้องต้นโดยอ้างว่าต้องไปแจ้งความก่อน และยกเหตุผลด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA) มาประกอบการไม่อนุญาตให้เข้าถึงข้อมูล
จนกลายเป็นประเด็นดราม่าถึงความเข้าใจในหลักกฎหมายและการเยียวยาความเสียหายที่เกิดขึ้น เพื่อร่วมไขข้อสงสัยเกี่ยวกับ PDPA ผู้เขียนจึงขอร่วมแสดงความคิดเห็นต่อประเด็นดังกล่าว ดังนี้
ตาม PDPA นิติบุคคลอาคารชุดของคอนโดมีสถานะเป็น “ผู้ควบคุมข้อมูลส่วนบุคคล” ในส่วนของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในระบบข้อมูลจากกล้องวงจรปิด ระบบเข้าออกอาคารเพื่อการรักษาความปลอดภัย
เพราะเป็นผู้มีอำนาจตัดสินใจเกี่ยวกับวัตถุประสงค์และวิธีการในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลดังกล่าว นิติบุคคลอาคารชุดจึงมีหน้าที่และอาจมีความรับผิดต่าง ๆ ตามที่ PDPA กำหนด
จากประเด็นข้อพิพาท ข้อมูลที่เจ้าของตู้เซฟต้องการ คือ ภาพบันทึกการเคลื่อนย้ายทรัพย์สินของตนเอง ซึ่งภาพถ่ายสินทรัพย์ของบุคคลอาจเป็นข้อมูลส่วนบุคคลได้ หากภาพนั้นทำให้บุคคลธรรมดา “ถูกระบุตัวบุคคลได้” หรือข้อมูลในภาพเกี่ยวกับบุคคลนั้นโดยเหตุแห่งเนื้อหา (content) วัตถุประสงค์ (purpose) และผลกระทบ (effect)
เมื่อพิจารณาในด้านวัตถุประสงค์ในเชิงหลักกฎหมาย “ภาพของทรัพย์สิน” ที่เชื่อมโยงไปถึงเจ้าของหรือบุคคลธรรมดาคนหนึ่งได้และอาจถูกใช้เพื่อบ่งบอกอะไรเกี่ยวกับบุคคลนั้น เช่น ฐานะทางเศรษฐกิจ ความเป็นเจ้าของ ที่อยู่ ภาระภาษี ความรับผิด เป็นต้น “ภาพของทรัพย์สิน” จึงอาจเป็นข้อมูลส่วนบุคคลได้
ส่วนภาพที่เจ้าของตู้เซฟร้องขอจากนิติบุคคลอาคารชุดเป็นข้อมูลส่วนบุคคลของ “เจ้าของทรัพย์” หรือไม่ อาจต้องแยกพิจารณาตามสิ่งที่ปรากฏในภาพ ดังนี้
เหตุการณ์ที่ 1 เจ้าของทรัพย์ “ปรากฏตัว” อยู่ในภาพเหตุการณ์ด้วย เช่น เดินสวนกับขโมย หรือถูกวิ่งราวทรัพย์ กรณีนี้จะเป็นข้อมูลส่วนบุคคลของเจ้าของทรัพย์อย่างแน่นอน เพราะสามารถระบุตัวตนเจ้าของทรัพย์จากภาพได้โดยตรง
เหตุการณ์ที่ 2 มีเพียง “ผู้ต้องสงสัย” และ “ทรัพย์สิน” ในภาพ แต่เจ้าของทรัพย์ไม่อยู่ในภาพ ในกรณีนี้ ภาพนี้ถือว่ามีความเกี่ยวข้อง (relating to) กับเจ้าของทรัพย์ เนื่องจากเข้าองค์ประกอบด้านผลกระทบ เพราะเหตุการณ์ในภาพส่งผลกระทบต่อสิทธิ ประโยชน์ และทรัพย์สินของเจ้าของทรัพย์โดยตรง แม้จะไม่ปรากฏตัวเจ้าของทรัพย์ด้วยก็ตาม
อย่างไรก็ตาม ในเหตุการณ์ที่ 2 นี้ ไม่ได้มีเฉพาะแต่ข้อมูลส่วนบุคคลของเจ้าของทรัพย์เท่านั้น แต่ยังประกอบด้วยข้อมูลส่วนบุคคลของ “ผู้ต้องสงสัย” ด้วย
เมื่อข้อเท็จจริงสรุปได้ว่า ภาพถ่ายที่ถูกร้องขอเป็น “ข้อมูลส่วนบุคคล” การที่นิติบุคคลอาคารชุดอาจจะเปิดเผย “ข้อมูลส่วนบุคคล” จึงอาจเกิดขึ้นได้ใน 2 กรณี
กรณีที่ 1 เจ้าของข้อมูลส่วนบุคคลใช้สิทธิร้องขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตน ซึ่งอยู่ในความรับผิดชอบของนิติบุคคลอาคารชุดในฐานะผู้ควบคุมข้อมูลส่วนบุคคลตามมาตรา 30 PDPA กรณีที่ 2 นิติบุคคลอาคารชุดในฐานะผู้ควบคุมข้อมูลส่วนบุคคลเปิดเผยข้อมูลส่วนบุคคลให้แก่บุคคลที่ขอรับข้อมูลตามมาตรา 27
ในกรณีที่ 1 ผู้เขียนเห็นว่า เจ้าของข้อมูลส่วนบุคคลสามารถขอเข้าถึงและขอรับสำเนาได้เฉพาะข้อมูลส่วนบุคคลของตนเองเท่านั้น แต่นิติบุคคลอาคารชุดไม่มีสิทธิเปิดเผยข้อมูลส่วนบุคคลของ “ผู้ต้องสงสัย” ได้
ดังนั้น การเปิดเผยในกรณีนี้ อาจจะมีความจำเป็นต้องปกปิดหรือลบข้อมูลที่เกี่ยวกับ “ผู้ต้องสงสัย” ออกจากภาพ ซึ่งน่าจะไม่สมประโยชน์ของเจ้าของตู้เซฟที่ต้องการติดตามเอาคืนทรัพย์สินของตน
แต่ในกรณีที่ 2 หากเจ้าของตู้เซฟที่ต้องการติดตามเอาคืนทรัพย์สินของตนจากการถูกขโมย ขอรับหรือขอให้นิติบุคคลอาคารชุดเปิดเผยข้อมูลส่วนบุคคลของ “ผู้ต้องสงสัย” (ภาพถ่ายของโจร)
กรณีนี้ผู้เขียนเห็นว่านิติบุคคลอาคารชุดสามารถทำได้ตามมาตรา 27 ประกอบมาตรา 24 (5) PDPA กล่าวคือ การเปิดเผยดังกล่าวเป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของนิติบุคคลอาคารชุด
ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล ที่ต้องดูแลรักษาความปลอดภัยในทรัพย์สินของลูกบ้าน และของเจ้าของทรัพย์สินที่จะติดตามเอาคืนทรัพย์สินของตนโดยชอบด้วยกฎหมาย
การเปิดเผยในลักษณะดังกล่าวเป็นไปเพื่อการใช้สิทธิเรียกร้องหรืออาจใช้ในการดำเนินคดีตามกฎหมาย โดยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเคยมีแนววินิจฉัยที่อาจเทียบเคียงได้ในหลายกรณีว่าหน่วยงานอาจเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ดังกล่าวได้ (PDPC ข้อหารือที่ 9/2566 และข้อหารือที่ 1/2569 เป็นต้น)
โดยอาจจะขอให้ผู้เสียหายแนบสำเนาการแจ้งความ/การลงบันทึกประจำวันมาด้วย เพื่อเป็นหลักฐานประกอบการใช้ดุลพินิจในการเปิดเผยข้อมูลผู้ต้องสงสัยก็ได้
ผู้เขียนจึงเห็นว่า กฎหมายคุ้มครองข้อมูลส่วนบุคคลไม่ได้ถูกออกแบบมาเพื่อขัดขวางความยุติธรรม หากแต่เพื่อสร้างความสมดุลระหว่างการคุ้มครองความเป็นส่วนตัวและผลประโยชน์ที่ชอบด้วยกฎหมายของสังคมโดยรวม
การทำความเข้าใจกฎหมายฉบับนี้อย่างถ่องแท้และนำไปปฏิบัติอย่างสมเหตุสมผลเท่านั้น จึงจะทำให้ PDPA ทำหน้าที่เป็นเครื่องมือสร้างความเชื่อมั่น ความเป็นธรรม และความโปร่งใสในสังคมได้อย่างแท้จริง