1,078 Views
Favorite
พ.ร.บ คุ้มครองข้อมูลส่วนบุคคล หรือที่เรียกกันย่อ ๆ ว่า PDPA ใช้บังคับกับผู้ประกอบการและหน่วยงานหลายประเภทกิจการ แต่ในการตีความและปรับใช้กฎหมายนี้จะแตกต่างกันไปตามประเภทกิจการ และเจ้าของข้อมูล
พ.ร.บ คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ที่จะกล่าวถึงในบทความนี้ เป็นข้อควรทราบ สำหรับผู้ปกครองนักเรียน เนื่องจาก สถาบันการศึกษาหลายแห่งในยุคดิจิทัลนำอุปกรณ์ หรือระบบใหม่ ๆ มาใช้เพื่อวัตถุประสงค์ในการเรียนการสอนหรือการจัดการ ส่งผลให้เกิดการ “เก็บรวบรวม” ข้อมูลส่วนบุคคลนักเรียน ซึ่งโรงเรียนอาจจะอ้างว่าปฏิบัติตามหลักการของ PDPA ข้อนั้นข้อนี้
ผู้ปกครองควรทำความเข้าใจหลักการของกฎหมาย PDPA นี้เพื่อรู้สิทธิหน้าที่ของนักเรียน และสิทธิหน้าที่ของตนเองในฐานะผู้ปกครอง โดยผู้เขียนจะชี้ให้เห็นตัวอย่างการดำเนินการของโรงเรียนที่เกี่ยวข้องกับข้อมูลส่วนบุคคลและข้อกฎหมายดังนี้
การเริ่มเข้าเรียนมักจะมีขั้นตอนที่เรียกว่า “มอบตัว” ซึ่งเป็นคนละความหมายกับการมอบตัวในคดีอาญาของผู้ต้องหา แต่การมอบตัวในโรงเรียนคือ ผู้ปกครองนำนักเรียนที่ยังเป็นผู้เยาว์มาทำการตกลงให้โรงเรียนดูแลให้บริการด้านการศึกษา ในขั้นตอนนี้โรงเรียนมักจะให้ผู้ปกครองเซ็นเอกสารหลายฉบับ ซึ่งอาจมีข้อกำหนดหรือสัญญาข้อหนึ่งที่เกี่ยวข้องกับ “ข้อมูลส่วนบุคคล” เพราะในการรับนักเรียน โรงเรียนจะมีการเก็บรวบรวมข้อมูลส่วนบุคคลต่าง ๆ เช่น ทะเบียนประวัติ ทะเบียนบ้าน รูปถ่าย ฯลฯ
ในเอกสารเหล่านี้มีทั้งส่วนที่เกี่ยวและไม่เกี่ยวข้องกับ พ.ร.บ คุ้มครองข้อมูลส่วนบุคคล เช่น ข้อตกลงที่กำหนดว่าผู้ปกครองยอมรับต้องจ่ายค่าเล่าเรียน หรือ การยอมรับผิดหากนักเรียนก่อความเสียหาย ฯลฯ เหล่านี้เป็นเรื่องของกฎหมายอื่น แต่ที่เกี่ยวข้องกับ กฎหมาย PDPA มีสองส่วนคือ
1. ส่วนของเอกสารขอความยินยอม ในกรณีที่สถาบันการศึกษาซึ่งเป็น “ผู้ควบคุมข้อมูล” จะขอความยินยอมในการนำข้อมูลต่างๆ ของนักเรียนใช้ ก็ไม่สามารถขอจากตัวนักเรียนโดยตรงได้ ถ้านักเรียนยังไม่บรรลุนิติภาวะหรือยังไม่ยี่สิบปี มาตรา 20 กำหนดให้ขอความยินยอมจากผู้ปกครอง โรงเรียนจึงอาจทำแบบขอความยินยอมไว้เป็นส่วนหนึ่งของเอกสารแรกเข้าหรือลงทะเบียน เพื่อให้ผู้ปกครองลงนาม ซึ่งในส่วนนี้ผู้ปกครองสามารถตัดสินใจเลือกได้ เพราะว่า ถ้าโรงเรียนกำหนดบังคับว่า หากไม่ยินยอมจะไม่รับเข้าเรียน อาจไม่สอดคล้องกับความยินยอมโดยอิสระตามมาตรา 19 แต่อย่างไรก็ตาม ไม่ได้หมายความว่า โรงเรียนต้องขอความยินยอมสำหรับการดำเนินการกับข้อมูลนักเรียนทุกกรณี เพราะ บางกรณีสถาบันการศึกษาอาศัยข้อยกเว้นตาม PDPA เช่น การปฏิบัติติตามกฎหมาย การปฏิบัติตามสัญญา
2. ส่วนการแจ้งประกาศ หรือนโยบายคุ้มครองข้อมูล (Privacy notice , Privacy policy) เป็นการระบุรายละเอียดแจ้งให้ผู้ปกครองทราบว่า โรงเรียนจะใช้ข้อมูลส่วนบุคคลของนักเรียนในกิจกรรมหรือเพื่อวัตถุประสงค์อะไรบ้าง ต้องเข้าใจว่า การแจ้งส่วนนี้ไม่ใช่การขอความยินยอม แต่ให้ “รับทราบ” เพราะการใช้ข้อมูลส่วนบุคคลตามที่แจ้งในเอกสารนี้อาจอ้างข้อยกเว้นของความยินยอมเช่น การปฏิบัติตามสัญญา การปฏิบัติตามกฎหมายดังจะกล่าวในหัวข้อต่อไป
อย่างไรก็ตาม เอกสารข้างต้นเป็นหน้าที่ซึ่งกฎหมายให้โรงเรียนจัดทำ แต่กฎหมาย PDPA ไม่ได้กำหนดบทลงโทษว่า ถ้าผู้ปกครองไม่อ่านหรือไม่รับทราบเอกสารดังกล่าวจะมีความผิดหรือมีโทษ แต่ก็ควรหาเวลาอ่านและทำความเข้าใจ และตรวจสอบว่าการใช้ข้อมูลนักเรียนที่โรงเรียนอ้างนั้นถูกต้องตามกฎหมายหรือไม่
แม้ว่าการขอความยินยอมจะเป็นหลักสำคัญของพ.ร.บ คุ้มครองข้อมูลส่วนบุคคล แต่มี “ข้อยกเว้น” โดยในกรณีของโรงเรียน อาจอ้างข้อยกเว้นที่จะทำให้สามารถเก็บรวบรวมและใช้ข้อมูลนักเรียน ในเรื่องต่าง ๆ เช่น
- การทำทะเบียนนักเรียนที่กฎหมายเกี่ยวกับการศึกษาให้จัดทำ หรือการส่งข้อมูลนักเรียนให้หน่วยงานรัฐตามกฎหมาย เหล่านี้เข้าข้อยกเว้นไม่ต้องขอความยินยอมเพราะเป็นการปฏิบัติตามกฎหมาย
- การใช้ข้อมูลนักเรียนที่เกี่ยวข้องกับการเรียนการสอนตามข้อตกลงการเข้าเรียน เช่น ใช้ข้อมูลส่วนบุคคลของนักเรียนเพื่อตรวจงาน เช็คชื่อเข้าเรียน การให้และรับส่งการบ้าน งานมอบหมาย การวัดผล การสอบ การออกเอกสารรับรองต่าง ๆ เหล่านี้เข้าข้อยกเว้นไม่ต้องขอความยินยอม เนื่องจากเป็นการปฏิบัติตามข้อตกลงการเข้าเป็นนักเรียน ซึ่งจะเชื่อมโยงกับข้อสัญญาที่เซ็นไปในขั้นตอนการมอบตัว
- การถ่ายภาพหรือวีดีโอเพื่อรักษาความปลอดภัยในโรงเรียน เช่น การติดกล้อง CCTV ตรวจสอบความปลอดภัยในบริเวณโรงเรียน การเก็บรวบรวมรายชื่อนักเรียนที่เข้าออกและตรวจสอบการเข้าออกโรงเรียนในแต่ละวัน ซึ่งจะอ้างข้อยกเว้นประโยชน์โดยชอบด้วยกฎหมายของโรงเรียนในการรักษาความปลอดภัย
ในกรณีตามตัวอย่างข้างต้น ผู้ปกครองไม่สามารถจะอ้างว่า ทำไมโรงเรียนไม่ขอความยินยอม ทั้งนี้เพราะเป็นการใช้ข้อมูลในกิจกรรมหรือวัตถุประสงค์ที่กฎหมายยกเว้นไว้ตามมาตรา 24 และ 27 นั่นเอง
ข้อมูล “อ่อนไหว” (Sensitive) ในการศึกษายุคดิจิทัลที่สำคัญคือ ข้อมูลภาพจำลองใบหน้า (Face scan) ก่อนอื่นต้องแยกแยะก่อนว่า เป็นภาพถ่ายทั่วไป หรือ ภาพจำลองใบหน้า
สำหรับภาพถ่ายทั่วไปที่ไม่ปรากฏว่ามีการใช้เทคโนโลยีสร้างภาพจำลองและนำไปเปรียบเทียบตัวบุคคล ไม่ใช่ข้อมูลอ่อนไหวตามพ.ร.บ คุ้มครองข้อมูลส่วนบุคคล ก็เป็นไปตามหลักที่กล่าวมาแล้ว ตัวอย่างเช่น โรงเรียนขอให้ส่งภาพถ่ายนักเรียนประกอบการทำประวัติหรือทะเบียนนักเรียน ถ่ายภาพกิจกรรมนักเรียนหรือให้อัพโหลดไฟล์ภาพเข้าแฟ้มประวัติ โดยไม่ปรากฏว่ามีการใช้เทคโนโลยีสร้างภาพจำลองเพื่อระบุเปรียบเทียบตัวบุคคล เหล่านี้เป็นภาพถ่ายธรรมดา จัดเป็นข้อมูลส่วนบุคคลทั่วไปที่โรงเรียนสามารถอ้างข้อยกเว้นของความยินยอมได้ เช่น การปฏิบัติตามสัญญาหรือข้อตกลงการเข้าเรียน หรือการถ่ายภาพโดยกล้อง CCTV ขณะเดินเข้าออกประตูโรงเรียนก็เข้าข้อยกเว้นการรักษาความปลอดภัยได้
ในกรณี “ข้อมูลภาพจำลองใบหน้า” หรือ Face scan ที่เป็นการใช้เทคโนโลยีสร้างภาพจำลองเปรียบเทียบระบุตัวตนเจ้าของภาพ (Face recognition) ซึ่งอาจเป็นการวิเคราะห์อัตโนมัติหรือ AI แบบนี้กฎหมายเรียกว่า “ข้อมูลชีวภาพ” โดยอันที่จริงแล้วนักเรียนหรือผู้ปกครองอาจใช้ภาพจำลองใบหน้าในชีวิตประจำวัน ในฐานะเป็น “กุญแจ” เข้าถึงโทรศัพท์หรืออุปกรณ์ต่าง ๆ สำหรับในสภาพแวดล้อมโรงเรียน ข้อมูลเฟสสแกนอาจนำมาใช้ เพื่อวัตถุประสงค์หลากหลาย เช่น
- เช็คชื่อ นับเวลาการเข้าเรียน เช็คชื่อ การจัดการเรียนการสอน
- การตรวจสอบตัวตน เช่น เปรียบเทียบบุคคลที่เข้ามาในโรงเรียน
ดังนั้น ถ้าโรงเรียนเก็บข้อมูลเฟซสแกนของนักเรียนเพื่อวัตถุประสงค์ดังกล่าวข้างต้น ผู้ปกครองมีสิทธิไม่ให้ความยินยอมได้ เว้นแต่เป็นกรณีที่กฎหมายกำหนดให้เก็บ ซึ่งโดยทั่วไป กิจกรรมในโรงเรียนไม่มีกฎหมายบังคับให้ต้องสแกนหน้านักเรียน
เมื่อโรงเรียนจะทำโครงการกิจกรรมที่ใช้เทคโนโลยี เฟซสแกนเด็ก แล้วมาขอความยินยอม หากผู้ปกครองรู้สึกว่า “เกรงใจ” ไม่รู้จะปฎิเสธยังไง จึงยินยอมไป แบบนี้ถูกต้องหรือไม่ เพราะตาม PDPA ความยินยอมต้องเป็นไปโดย “อิสระ” ลองดูบทเรียนที่เกิดในสวีเดนซึ่งที่มีกฎหมายคุ้มครองข้อมูลส่วนบุคคล ตามแนวทางสหภาพยุโรป (GDPR) คล้ายคลึงกับกฎหมายไทย (PDPA)
โรงเรียนในสวีเดนบางแห่งใช้เทคโนโลยีระบุเด็กจากภาพใบหน้า (Face recognition) เพื่อนำไปใช้เช็คเวลาเรียน แทนที่จะเรียกชื่อก็ดูจากกล้องแล้วนำไประบุได้เลยว่าคนไหน (หน้าไหน) เข้าเรียน คนไหน (หน้าไหน) หายไป
ผู้ปกครองกลุ่มหนึ่งไม่แฮปปี้กับสิ่ง “ทันสมัย” แต่กังวลว่า แม้โรงเรียนจะไม่ได้นำไปใช้ในทางที่เสียหายอะไร แต่ก็เป็นสิทธิเด็ก และหากข้อมูลภาพใบหน้ารั่วไหลไปจากแฮกเกอร์หรือภัยคุกคามต่าง ๆ ก็ยากที่จะแก้ไขเปลี่ยนแปลง จึงมีการฟ้องร้องกัน ข้อสำคัญอยู่ที่ โรงเรียน “ขอความยินยอม” จากผู้ปกครองแล้ว แต่ปรากกฎว่าไม่มีทางเลือกอื่นสำหรับนักเรียนที่ไม่ยินยอมให้สแกนหน้า ไม่สามารถเช็คชื่อหรือลงเวลาเรียนได้ ผู้ปกครองจึงจำต้องยอม
คดีนี้ผลสุดท้ายมีการตัดสินว่าโรงเรียนทำผิดกฎหมายข้อมูลส่วนบุคคลและถูกปรับ เพราะความยินยอมที่ได้แบบนี้ไม่อิสระ
ตัดภาพกลับมาที่ประเทศไทย เมื่อผู้ปกครองได้รับเอกสาร “ขอความยินยอม” จากโรงเรียนเพื่อสแกนหน้านักเรียนต้องดูสถานการณ์ว่า ผู้ปกครองสามารถมีทางเลือกอื่นหรือไม่ เช่น โรงเรียนจะใช้สแกนหน้าเช็คชื่อนักเรียนหรือเพื่อตรวจสอบการเข้าห้อง ถ้าไม่ยอม ไม่สามารถมีช่องทางอื่นเช็คชื่อได้เลย ส่งผลให้ขาดเรียนหรือเข้าห้องไม่ได้ แบบนี้เป็นความยินยอมที่ไม่อิสระเทียบได้กับคดีในสวีเดน แต่ถ้าโรงเรียนจัดทางเลือกอื่นในการเช็คชื่อหรือเข้าเรียนสำหรับเด็กที่ผู้ปกครองไม่ยอมให้สแกนหน้า แบบนี้แตกต่างจากคดีในสวีเดน ถือว่าเป็นความยินยอมที่อิสระและถูกต้องตามกฎหมายได้
ท้ายสุด พ.ร.บ คุ้มครองข้อมูลส่วนบุคคล สำหรับเด็กส่วนหนึ่งนั้นขึ้นอยู่กับผู้ปกครอง ซึ่งมีความหลากหลาย บางคนเห็นด้วยกับการใช้ข้อมูลที่โรงเรียนแจ้งมาและยินยอมก็เป็นสิทธิ์ ส่วนผู้ปกครองที่กังวลในความเป็นส่วนตัวก็มีสิทธิที่กฎหมายกำหนดให้ ทั้งนี้ข้อสำคัญคือ การอ่านเอกสารต่าง ๆ ที่ได้รับมาอย่างละเอียด หรือสอบถามสถาบันการศึกษาให้เข้าใจอย่างถูกต้องตรงกัน ก่อนตัดสินใจนั่นเอง
รศ. คณาธิป ทองรวีวงศ์
สถาบันกฎหมายสื่อดิจิทัล ม เกษมบัณฑิต
อ้างอิง
- หนังสือ “หลักกฎหมายคุ้มครองข้อมูลส่วนบุคคล” โดย รศ. คณาธิป ทองรวีวงศ์ สำนักพิมพ์นิติธรรม
- คดีโรงเรียนในสวีเดนถูกปรับจากการใช้ภาพจำลองใบหน้าเด็กนักเรียนhttps://edpb.europa.eu/news/national-news/2019/facial-recognition-school-renders-swedens-first-gdpr-fine_sv
