ตั้งแต่วันที่ 1 มิถุนายน 2565 ประเทศไทยได้มีประกาศบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ กฎหมาย PDPA ซึ่งกฎหมายดังกล่าวมีผลต่อทุกองค์กร ทุกสถานประการที่ติดกล้องวงจรปิด CCTV ทั้งข้อมูลภาพนิ่ง และภาพเคลื่อนไหวซึ่งเป็นข้อมูลส่วนบุคคล ดังนั้นผู้ประกอบการการจึงต้องดำเนินการให้สอดคล้องกับกฎหมาย
จัดการกับการติดตั้งกล้องวงจรปิดและข้อมูลที่บันทึกให้เป็นไปตามข้อบังคับของ PDPA ได้อย่างไร
สำหรับร้านค้าที่มีการปิดตั้งกล้องวงจรปิดเอาไว้ สามารถจัดการกับกล้องวงจรปิดของคุณให้เป็นไปตามข้อบังคับของ PDPA ได้ไม่ยากเลย โดยสามารถทำ 2 สิ่งดังนี้
1.แจ้งให้บุคคลที่จะเข้ามาในสถานที่ของคุณได้ทราบอย่างชัดเจนว่าบริเวณต่างๆ มีการติดตั้งและทำงานของกล้องวงจรปิด เช่น ติดสติ๊กเกอร์ CCTV Notice ไว้ที่หน้าร้านค้า ซึ่งภายในสติ๊กเกอร์จะต้องระบุไว้อย่างชัดเจนว่า ร้านนี้ หรือบริเวณนี้ได้มีการติดกล้องวงจรปิด ซึ่งเป็นการแจ้งสิทธิพื้นฐานให้แก่ผู้มาติดต่อ หรือผู้มาใช้บริการได้ทราบ และจะต้องติดไว้ในจุดที่ที่สังเกตเห็นได้ง่ายและชัดเจน ใช้ภาษาที่เข้าใจง่าย ไม่กำกวม หรือเจตนาทำให้เข้าใจผิด เพื่อให้ลูกค้าทราบก่อนที่จะเข้ามาใช้บริการ โดยเมื่อลูกค้าเดินเข้ามาภายในร้าน จะถือว่าเป็นการยินยอมให้ร้านค้าทำการเก็บข้อมูลแล้ว พนักงานจึงไม่จำเป็นต้องแจ้งและขอความยินยอมกับลูกค้าซ้ำอีกครั้ง
2.จัดทำประกาศการคุ้มครองส่วนบุคคลเกี่ยวกับการใช้กล้องวงจรปิด (Privacy Notice on CCTV Use) ของทางร้าน ในกรณีที่ร้านกาแฟ หรือร้านอาหารนั้นๆ มีลูกค้าที่มาติดต่อเป็นจำนวนมาก ซึ่งสุ่มเสี่ยงต่อการละเมิดข้อมูลส่วนบุคคลได้โดยง่าย ซึ่ง Privacy Notice on CCTV Use จะต้องประกอบด้วย
- ประเภทของข้อมูลส่วนบุคคลที่เก็บรวบรวม คือ บอกข้อมูลว่าเก็บภาพ ภาพนิ่ง หรือเสียงสนทนา อะไรบ้างนั้นเอง
- วิธีการประมวลผลข้อมูลส่วนบุคคล หากมีการจัดเก็บแล้วนำไปใช้ประโยชน์ทางธุรกิจ มีการดำเนินการใดบ้าง
- วัตถุประสงค์ในการเก็บข้อมูลเพื่อนำไปใช้ประโยชน์ด้านใดบ้าง
- หลักเกณฑ์ หรือฐานทางกฎหมาย ทางร้านในฐานใดบ้างในการเก็บและประมวลผลข้อมูลลูกค้าจากไฟล์ที่บันทึกโดบกล้องวงจรปิด CCTV เช่น ฐานกฎหมาย ฐานประโยชน์โดยชอบ หรือฐานสัญญา
- ข้อมูลที่มีการเปิดเผยข้อมูลส่วนบุคคลต่อบุคคลที่สาม ควรระบุด้วยว่าข้อมูลจากกล้องวงจรปิดมีการเปิดเผยหรือส่งต่อแก่บุคคลที่สามใดบ้าง และเพื่อกิจกรรมใด
- ระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล มีการเก็บไว้นานเท่าใด และจะลบทำลายเมื่อใด
- การแจ้งสิทธิ นั่นคือบอกอย่างตรงไปตรงมา โดยการจัดทำสติ๊กเกอร์แจ้งตามที่ระบุข้างต้น (ข้อที่ 1) ทั้งควรจัดทำ QR Code เพื่อเป็นช่องทางให้ลูกค้าสามารถสแกนเพื่อรับทราบสิทธิต่างๆ ของเจ้าของข้อมูลส่วนบุคคลได้ เช่น สิทธิในการขอให้แก้ไข ขอสำนำ ระงับ ถ่ายโอน หรือลบทำลาย
- ช่องทางการติดต่อของทางร้าน ในกรณีที่ลูกค้าต้องการทราบถึงรายละเอียดอื่นๆ หรือมีคำขอสำหรับการใช้สิทธิโดยชอบตามกฎหมาย PDPA
- มาตรการรักษาความปลอดภัยข้อมูลส่วนบุคคล ทางร้านจะต้องมีการป้องกันข้อมูลรั่วไหลหรือการละเมิดที่เหมาะสมกับความเสี่ยง
หากมีการแจ้งให้ทราบถึงการติดตั้งและบันทึกภาพจากกล้องวงจรปิดในพื้นที่ และมีการประกาศนโยบายความเป็นส่วนตัวไว้แล้ว ไม่ว่าจะประกาศด้วยแผ่นป้ายบนเว็บไซต์ หรือ QR Code หรือช่องทางใดก็ตาม และไม่ได้นำข้อมูลจากกล้องวงจรปิดไปใช้โดยละเมิดสิทธิของผู้ที่เข้ามาในพื้นที่ คุณก็สามารถบันทึกภาพผู้ที่เข้ามาในพื้นที่ได้โดยไม่ต้องขอความยินยอมอีก เพราะถือว่าคุณสามารถใช้งานกล้องวงจรปิดได้ตามฐานผลประโยชน์โดยชอบด้วยกฎหมายแล้วนั่นเอง
หากไม่แจ้งให้ทราบว่าร้านค้า มีการติดตั้งและบันทึกภาพจากกล้องวงจรปิด จะมีโทษหรือไม่
หากร้านค้าของคุณทำการติดตั้งกล้องวงจรปิดไว้ โดยไม่มีการแจ้งให้ผู้ที่เข้ามาในพื้นที่ได้ทราบถือว่าผิดกฎหมาย โดยหากเจ้าของข้อมูลหรือลูกค้าที่เข้ามาใช้บริการยื่นร้องเรียนต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจนนำไปสู่การฟ้องร้อง เจ้าของร้านค้าหรือผู้ประกอบการอาจมีโทษทางอาญา จำคุกสูงสุดไม่เกิน 1 ปี ปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ
นอกจากนี้สิ่งที่ร้านค้า หรือสถานประกอบการควรทราบอีกเรื่อง ก็คือคดีฟ้องร้องในกรณีเกิดการละเมิดข้อมูลส่วนบุคคลอันก่อให้เกิดความเสียหายในรูปแบบต่างๆ สิทธิเรียกร้องค่าเสียหายอันเกิดจากการละเมิดข้อมูลส่วนบุคคลตามกฎหมาย PDPA มีอายุความ 3 ปี นับจากวันที่ผู้เสียหายรับรู้ถึงความเสียหายที่เกิดขึ้น และรู้ตัวผู้ควบคุมข้อมูลส่วนบุคคลหรือ ผู้ประมวลผลข้อมูลส่วนบุคคลที่ต้องรับผิด หรือเมื่อพ้นสิบปีนับแต่วันที่มีการละเมิดข้อมูลส่วนบุคคล ซึ่งก็นับว่าเป็นบทลงโทษที่ค่อนข้างแรงแถมมีอายุความที่ยาวนานพอสมควร ดังนั้น จึงต้องระมัดระวังและให้ความสำคัญต่อกฎหมาย PDPA ที่ค่อนข้างอ่อนไหวได้ง่ายนี้อย่างมาก
ที่มา pdpathailand.com และ pdpa.pro
