PDPA พ.ร.บ คุ้มครองข้อมูลส่วนบุคคล ว่าด้วยนิติบุคคลกับผู้อยู่อาศัยในหมู่บ้านคอนโดจัดสรร

          PDPA  หรือ พ.ร.บ คุ้มครองข้อมูลส่วนบุคคล หรือ  ใช้บังคับกับผู้ประกอบการ และหน่วยงานหลายประเภทกิจการ  แต่ในการตีความและปรับใช้กฎหมายแตกต่างกันไปตามประเภทกิจการ  

PDPA ในบทความนี้จะกล่าวให้เข้าใจถูกต้องและชัดเจนเฉพาะในกรณีสำหรับผู้อยู่อาศัยหรือเจ้าของบ้านในหมู่บ้านจัดสรร หรือคอนโดมีเนียม ที่มักจะมีประเด็นเกี่ยวกับการถูกเก็บข้อมูลโดย “นิติบุคคล” มาดูกันว่า กรณีไหนที่ต้องขอความยินยอมก่อนการเก็บ และใข้ข้อมูลส่วนบุคคลของผู้อยู่อาศัย และกรณีแบบไหนไม่ต้องขอความยินยอม นอกจากนิติบุคคลแล้ว ข้อพิพาทระหว่างผู้อยู่อาศัยอาจมีประเด็นเกี่ยวกับข้อมูลส่วนบุคคลด้วยเช่นกัน    

นิติบุคคลของที่พักอาศัยมีสถานะอะไร อยู่ภายใต้ PDPA หรือไม่  

          นิติบุคคลของหมู่บ้านจัดสรร หรือคอนโดมีเนียมที่นิยมเรียกกันติดปากว่า “ส่วนกลาง” นั้นเกิดขึ้นจากกฎหมายเฉพาะคือ   พ.ร.บ. การจัดสรรที่ดิน โดยกำหนดให้มีการจดทะเบียนจัดตั้งนิติบุคคลและคณะกรรมการหมู่บ้าน โดยมีหน้าที่หลายอย่าง เช่น บริหารจัดการดูแลพื้นที่ส่วนกลาง และระบบสาธารณูปโภค รวมถึง ถนน  สวนหย่อม  ที่ออกกำลังกาย  สนามเด็กเล่น   ระบบไฟฟ้า การรักษาความสะอาด การรักษาความปลอดภัย  รวมทั้งมีการเรียกเก็บค่าส่วนกลางด้วย   

ในกรณีที่นิติบุคคลหมู่บ้านเก็บรวบรวมข้อมูลส่วนบุคคลของเจ้าของบ้านตาม PDPA ถือว่า นิติบุคคลหมู่บ้านเป็น “ผู้ควบคุมข้อมูล” ต้องมีหน้าที่ขอความยินยอมจากเจ้าของข้อมูลก่อน รวมทั้งหน้าที่อื่นตามกฎหมายนี้ 

ก่อนอื่นต้องดูว่า นิติบุคคลทำการเก็บรวบรวมข้อมูลส่วนบุคคลหรือไม่ เนื่องจากในการปฏิบัติหน้าที่ของนิติบุคคลหลายกรณีส่งผลกระทบ และเกิดกรณีพิพาทกับเจ้าของหรือผู้อยู่อาศัย  แต่ไม่เกี่ยวข้องกับ PDPA  และเป็นเรื่องของกฎหมายอื่น  จึงต้องดูการปฏิบัติหน้าที่เป็นกรณีไป เช่น 

- นิติบุคคลหมู่บ้านกำหนดระเบียบการใช้สาธารณูปโภคต่าง ๆ  ปิดเปิดไฟส่วนกลาง ในสวน น้ำพุ ฯลฯ  ถ้าเป็นการกำหนดระเบียบข้อปฏิบัติแต่ไมได้เก็บข้อมูลเจ้าของบ้านหรือผู้อาศัยก็ไม่มีการ “เก็บรวบรวมข้อมูลส่วนบุคคล” จึงไม่ต้องขอความยินยอม เพราะการดำเนินการส่วนนี้ไม่เกี่ยวกับ PDPA 

- นิติบุคคลวางระเบียบจัดการจราจร เช่น ห้ามจอดถนนหน้าบ้านแต่ละหลัง หรือ ห้ามจอดในพื้นที่ส่วนกลางจุดใดจุดหนึ่ง หรือ ไม่วางระเบียบปล่อยให้จอดจนเกิดข้อพิพาทต่าง ๆ   ปัญหาเหล่านี้ไม่เกี่ยวข้องกับ PDPA เพราะไม่ได้ดำเนินการกับ ข้อมูลส่วนบุคคล 

- นิติบุคคลเก็บค่าส่วนกลางแล้วมีข้อสงสัยเรื่องการบริหารจัดการ งบประมาณ การนำไปใช้ให้เกิดประโยชน์ ความคุ้มค่าของค่าใช้จ่าย ฯลฯ  ปัญหาเหล่านี้ไม่เกี่ยวข้องกับ PDPA  เช่นกัน 

นิติบุคคลเก็บรวมรวมข้อมูลส่วนบุคคล กรณีใดต้องขอความยินยอม กรณีใดไม่ต้องขอความยินยอม 

          ในกรณีที่นิติบุคคลทำหน้าที่เกี่ยวข้องกับข้อมูลเจ้าของบ้านหรือผู้อาศัย เราไม่สามารถสรุปรวมไปทั้งหมดว่า นิติบุคคลจะขอความยินยอมทุกกรณี  เพราะ PDPA มีข้อยกเว้นที่ไม่ต้องขอความยินยอมที่แตกต่างกันไปตามสภาพของการดำเนินการกับข้อมูลเจ้าของบ้าน โดยเฉพาะอย่างยิ่ง การปฏิบัติหน้าที่ตามกฎหมาย   ทั้งนี้ เนื่องจากนิติบุคคลหมู่บ้านตั้งขึ้นโดย พ.ร.บ. การจัดสรรที่ดิน  ซึ่งกำหนดหน้าที่หลายประการให้แก่นิติบุคคลหมู่บ้าน  ดังนั้น การที่นิติบุคคลกระทำตามกฎหมายก็จะเข้าข้อยกเว้นที่ไม่ต้องขอความยินยอม จึงแยกเป็นกิจกรรมได้ดังนี้ 

- นิติบุคคลหมู่บ้านหรือคอนโดดำเนินการเก็บค่าส่วนกลาง โดยอาจให้ส่งหลักฐานการโอนเงิน ระบุชื่อหรือข้อมูลเจ้าของบ้าน หรือให้ส่งผ่านระบบต่าง ๆ รวมถึงการทวงถามติดตามการชำระค่าส่วนกลาง เหล่านี้ เป็นการเก็บรวบรวมและใช้ข้อมูลส่วนบุคคล แต่เนื่องจากเป็นการใช้อำนาจหน้าที่ตามกฎหมายของนิติบุคคลหมู่บ้านจึงไม่ต้องขอความยินยอม 

- นิติบุคคลจัดประชุมสมาชิก เนื่องจากตามกฎหมายกำหนดว่าเมื่อจัดตั้งนิติบุคคลแล้ว  ผู้ซื้อที่ดินหมู่บ้านทุกรายต้องเป็นสมาชิกนิติบุคคลนั้น กล่าวคือ เจ้าของบ้านไม่ต้องสมัครสมาชิก แต่ถูกกฎหมายกำหนดให้ต้องเป็นสมาชิก ไม่เป็นก็ไม่ได้ ลาออกก็ไม่ได้ จะจบสิ้นสมาชิกภาพเมื่อขายบ้านนั้นไปซึ่งผู้ซื้อคนใหม่ก็จะมาเป็นสมาชิกต่อ ดังนั้น เมื่อการดำเนินการจัดประชุมสมาชิกเป็นการดำเนินการตามกฎหมาย หากมีการเก็บและใช้ข้อมูลส่วนบุคคล เช่น การส่งจดหมายหรือข้อความเชิญประชุม  การนัดประชุม การลงทะเบียนเข้าประชุม การบันทึกการประชุม ฯลฯ เหล่านี้ เป็นการดำเนินการตามกฎหมายจึงเข้าข้อยกเว้น ไม่ต้องขอความยินยอม 

-  นิติบุคคลหมู่บ้านมีหน้าที่ในการบำรุงรักษาสาธารณูปโภคและการรักษาความปลอดภัย จึงอาจมี การตรวจสอบบุคคลเข้าและออก ถ้าเป็นการเก็บรวบรวมข้อมูลทั่วไป เช่น ภาพถ่ายจากกล้องวงจรปิด ก็อ้างการปฏิบัติหน้าที่รวมทั้งอ้างข้อยกเว้นตาม PDPA เรื่องประโยชน์โดยชอบด้วยกฎหมายในการรักษาความปลอดภัยได้ 

อย่างไรก็ตาม หากปรากฏว่า นิติบุคคลเก็บรวบรวมหรือใช้ข้อมูลส่วนบุคคลที่กฎหมายไม่ได้ระบุโดยตรงว่าเป็นหน้าที่นิติบุคคลก็จะไม่เข้าข้อยกเว้นและต้องขอความยินยอม เช่น 

- การส่งข้อมูลและติดต่อสื่อสารในไลน์กลุ่มหรือในช่องทางอื่น เรื่องกิจกรรมทางสังคมต่าง ๆ ที่ไม่ใช่หน้าที่กำหนดโดย พ.ร.บ. การจัดสรรที่ดิน เช่น การส่งข้อความเกี่ยวกับกิจกรรมท่องเที่ยว  กิจกรรมการทำบุญ    การเสนอขายสิ่งของหรือบริการต่าง ๆ ฯลฯ  

การเก็บข้อมูลคนเข้าออกหมู่บ้านต้องขอความยินยอม หรือ เข้าข้อยกเว้น   

          ประเด็นปัญหาและข้อพิพาทเกี่ยวกับข้อมูลส่วนบุคคลในหมู่บ้านหรือคอนโดที่เกิดขึ้นทั่วไปในยุคปัจจุบัน คือ การดำเนินการตรวจสอบผ่านเข้าและออกหมู่บ้าน ซึ่งคำถามแรกก็คือ ใครเป็นผู้ควบคุมข้อมูล เพราะการตรวจสอบการเข้าออกหมู่บ้าน โดยทั่วไปเป็นการดำเนินการของ รปภ. ที่เป็นบริษัทภายนอก แต่นิติบุคคลหก็เป็นคู่สัญญาไปจ้างมา นิติบุคคลจึงยังคงถือเป็น ผู้ควบคุมข้อมูลส่วนบุคคล 

ปัญหาต่อไปก็คือ นิติบุคคลหมู่บ้านที่ต้องเป็นผู้รับผิดชอบในฐานผู้ควบคุมข้อมูลจะต้องขอความยินยอมจากเจ้าของบ้านหรือไม่  คำตอบจะขึ้นอยู่กับวิธีการด้วยว่า ใช้มาตรการเก็บรวบรวมข้อมูลส่วนบุคคลอ่อนไหว หรือข้อมูลชนิดพิเศษตามมาตรา 26 หรือไม่  เช่น  ภาพจำลองใบหน้า (Face scan)  ลายนิ้วมือ    เพราะตาม PDPA  เมื่อมีการเก็บรวบรวมข้อมูลแบบนี้ ต้องขอความยินยอม เว้นแต่จะมีกฎหมายบังคับให้ต้องเก็บรวบรวม   

ดังนั้น จึงแยกหลักและแนวปฏิบัติตามกฎหมายตามวิธีการตรวจสอบคนเข้าออก ดังนี้ 

- การตรวจสอบข้อมูลเข้าออกหมู่บ้าน ใช้บัตรอิเล็กทรอนิกส์สแกนเข้าออก ซึ่งข้อมูลในบัตรเชื่อมโยงกับชื่อเจ้าของบ้าน บ้านเลขที่ หรือ การติดตั้งเครื่องอ่านทะเบียนรถ  และนำไปเชื่อมโยงกับชื่อเจ้าของบ้านหรือผู้อยู่อาศัย ถ้าเป็นแบบนี้คือข้อมูลส่วนบุคลทั่วไป อาจอ้างการปฏิบัติหน้าที่ของนิติบุคคล หรือข้อยกเว้นประโยชน์โดยชอบด้วยกฎหมายข้อมูลส่วนบุคคล PDPA ได้     

- การตรวจสอบข้อมูลเข้าออกหมู่บ้าน โดยมีการให้เจ้าของบ้านหรือผู้มีสิทธิอาศัย สแกนหน้าเก็บเป็นฐานข้อมูลไว้ และเมื่อมีการเข้าออกจะถ่ายภาพและเปรียบเทียบกับฐานข้อมูล หรือ การให้สแกนลายนิ้วมือเพื่อผ่านเข้าออกแบบนี้ เข้าข่ายมาตรา 26 จึงต้องขอความยินยอมก่อน   

ข้อสำคัญตามกฎหมายข้อมูลส่วนบุคคล PDPA ความยินยอมจะต้องเป็นไปโดย “อิสระ” หมายความว่า แม้การตรวจสอบการเข้าออกด้วยการใช้ข้อมูลภาพจำลองใบหน้า หรือลายนิ้วมือ และขอความยินยอมแล้ว แต่ปรากฏข้อเท็จจริงว่า การขอความยินยอมมีเงื่อนไข ถ้าไม่ยอมให้เก็บจะส่งผลทางลบ เช่น  ถ้าไม่ยอมให้สแกนหน้าหรือนิ้ว ไม่สามารถผ่านเข้าออกหมู่บ้านได้แบบนี้ ถึงจะยอมไปก็สามารถโต้แย้งทางคดีได้ว่า เป็นความยินยอมที่ไม่อิสระขัดต่อกฎหมาย แต่ถ้าขอความยินยอมเก็บข้อมูลสแกนหน้าหรือนิ้วเพื่อผ่านเข้าออก และมีทางเลือกอื่น คือ ผู้ที่ไม่ยินยอมก็อาจใช้บัตรหรือวิธีอื่นเพื่อผ่านเข้าออกได้ก็เป็นความยินยอมที่ถูกกฎหมาย 

กรณีข้างต้นกล่าวถึงเจ้าของหรือผู้อาศัยที่เป็นสมาชิกของนิติบุคคลหมู่บ้าน  แต่สำหรับคนภายนอกผ่านเข้าออกก็ต้องดูว่า นิติบุคคลใช้วิธีการใดเก็บข้อมูล ถ้าแลกบัตรวางไว้เฉย ๆ โดยไม่ได้เอาบัตรไปเสียบเครื่องอ่านหรือบันทึกข้อมูลก็อาจไม่ถือว่ามีการเก็บรวบรวมข้อมูล หรือสามารถอ้างประโยชน์โดยชอบด้วยกฎหมายในการรักษาความปลอดภัย แต่ถ้าเอาบัตรไปเสียบและข้อมูลในบัตรมีข้อมูลตามมาตรา 26 เช่น ศาสนา กรุ๊ปเลือด แบบนี้ก็ต้องขอความยินยอมก่อนเช่นกัน 

สรุปว่า ผู้ที่มีบทบาทเกี่ยวข้องกับการเก็บรวบรวมข้อมูลส่วนบุคคลของหมู่บ้านจัดสรรหรือคอนโดมีเนียมคือ นิติบุคคล ซึ่งเป็นผู้ควบคุมข้อมูลตาม PDPA หากการเก็บรวบรวมข้อมูลเป็นการดำเนินการตามที่กฎหมายกำหนดหน้าที่ของนิติบุคคลก็ไม่ต้องอาศัยความยินยอม  เว้นแต่จะเป็นการทำกิจกรรมที่กฎหมายไม่ได้กำหนดไว้หรือเป็นกรณีเกี่ยวกับข้อมูลอ่อนไหวเช่น สแกนหน้า สแกนนิ้ว ฯลฯ  ซึ่งจะต้องกลับมาสู่หลักการทั่วไปในการขอความยินยอมก่อนนั่นเอง 

 รศ. คณาธิป ทองรวีวงศ์

                            สถาบันกฎหมายสื่อดิจิทัล ม เกษมบัณฑิต