ผิดไหม ที่ข้อมูลส่วนบุคคลของคุณอยู่บนแก้ว

                        ความจริง ดูว่าก็ #แค่เรื่องแก้ว จะอะไรนักหนากับการใช้ชีวิต กิน ดื่ม ของคนทำงาน หรือใครต่อใครก็ตาม ซึ่งหนีไม่พ้นหากต้องขอรู้ชื่อแล้วเอาไปเขียนบนแก้วเครื่องดื่มนั้นๆ 
                        ผิดไหม ที่ข้อมูลส่วนบุคคลของคุณอยู่บนแก้ว ค้น ‘ฐ’ ยัน ‘ราก’ และ ‘เท’ มันทิ้งไปตอนนี้ จึงไม่ใช่แค่ตอบโจทย์ ตามมาดูเฉลยยาวๆ ไปกับอาจารย์กฤษฎ์ อุทัยรัตน์ กันครับ
                        กรณีเรื่องจริงที่ชวนหยิบมาปุจฉา-วิสัชนา กันก็ว่าได้ ถ้าเรามองชื่อ-สกุลเราบนแก้วสตาร์บัคส์ (Starbucks) ที่เขียนหรือพรินต์หราแบบในรูป คุณคิดว่ามันเป็นการเปิดเผยข้อมูลส่วนบุคคลไหมล่ะ ถ้าใช่… แล้วมันผิดกฎหมายหรือเปล่า จะผิดยังไง? ไปค้นหาคำตอบไล่เลียงกันตั้งแต่ต้นตอ ไปจนถึงนำไปโชว์หราบนแก้วกัน
 

                        ปริศนาหาคนช่วยคิดครั้งนี้ เรามาดูกันครับว่า จะตอบยังไง ก่อนอื่นต้องจับหลักให้ได้ก่อน ก็ต้องว่ากันตาม PDPA ก่อนว่า เป็นข้อมูลส่วนบุคคลหรือไม่? ก่อนจะล้วงแคะแกะเกาให้ถูกที่คัน
                        PDPA มาตรา 6 ให้ความหมายเอาไว้ว่า ‘ข้อมูลส่วนบุคคล’ หมายความว่า ข้อมูลเกี่ยวกับบุคคล ซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
                        ‘Personal Data’ (PD) means any information relating to a Person, which enables the identification of such Person, whether directly or indirectly, but not including the information of the deceased Persons in particular; 
 

                       คำตอบคือ ชื่อ-นามสกุลบนแก้วที่คุณเห็น จึงสามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคล คือ อาจารย์กฤษฎ์ได้โดยตรงครับ จึงเป็น ‘Personal Data’ (PD) หรือ ‘ข้อมูลส่วนบุคคล’ ตามกฎหมาย PDPA แล้ว
คำถามต่อมา คือ การที่สตาร์บัคส์ (Starbucks) นำชื่อ-สกุลไปปรากฏบนแก้วในฐานะตนเองคือ ‘ผู้ควบคุมข้อมูลส่วนบุคคล’(Data Controller) ตามมาตรา 6 จะมีความผิดอะไรบ้าง ไปดูข้อกฎหมายที่เกี่ยวข้องกับคำถามนี้ก่อน เอาแบบไล่เลียงให้ครบๆ ก่อนเฉลย ตามนี้ครับ
 

                      PDPA มาตรา 19 วรรค 1 (CUD-Consent) : “ผู้ควบคุมข้อมูลส่วนบุคคล จะกระทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไม่ได้ หากเจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมไว้ก่อน หรือในขณะนั้น เว้นแต่บทบัญญัติแห่งพระราชบัญญัตินี้ หรือกฎหมายอื่นบัญญัติให้กระทำได้” (The Data Controller shall not collect, use or disclose Personal Data, unless the data subject has given consent prior to or at the time of such collection, use, or disclosure, except the case where it is permitted to do so by the provisions of this Act or any other laws.)
 

                     มีข้อสังเกตว่า เป็นเรื่อง ก.ร.-ช.-ป. (การเก็บรวบรวม ใช้ หรือเปิดเผย หรือ CUD : Collection, Use, or Disclosure) ทั้งหมด 3 พฤติการณ์ในการประมวลผลข้อมูลส่วนบุคคลนะครับ คราวนี้มาคิดปรับกับเคสของสตาร์บัคส์ (Starbucks) กัน ก็ได้ความว่า สตาร์บัคส์ (Starbucks) จะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไม่ได้นะครับ หากเจ้าของข้อมูลส่วนบุคคล คือพวกเราที่ไปซื้อ ไปดื่ม หรือใช้บริการจากเขา ไม่ได้ให้ความยินยอมไว้ก่อน หรือในขณะที่เราไปใช้บริการอยู่เวลานั้นๆ เพราะไม่มีกฎหมายใดๆ ยกเว้นให้สตาร์บัคส์ (Starbucks) ทำได้เองโดยพลการ แต่หากเป็นกรณีที่เราซื้อการ์ดสตาร์บัคส์ (Starbucks) แล้วลงทะเบียนผ่านเว็บไซต์ หรือผ่านอะไรก็ช่างในช่องทางต่างๆ ที่ผ่านอินเทอร์เน็ต แล้วเขาขอความยินยอมจากเราในการ ก.ร.-ช.-ป. เออ! ถือว่าเรายอมรับเงื่อนไข ยอมให้เขาเอา PD เราไป ก.ร.-ช.-ป.ได้แล้วนะ คือจะยังไงก็ช่าง สตาร์บัคส์ (Starbucks) ก็ต้องขอความยินยอมจากเราอยู่ดี แต่ก็เตือนสตาร์บัคส์ (Starbucks) ไว้หน่อยว่า คำว่ายอมรับเงื่อนไขที่นิยมระบุกันเกร่อๆ ไม่ได้หมายความว่ายินยอมให้ ก.ร.-ช.-ป.ได้นะ ถ้าเงื่อนไขไม่รวมถึงการขอความยินยอมให้คุณ ก.ร.-ช.-ป. PD ของลูกค้าซึ่งมีฐานะเป็น “เจ้าของข้อมูลส่วนบุคคล” (DS : Data Subject) ก็ควรไตร่ตรอง รอบคอบ ละเอียดในการขอความยินยอมจาก DS ด้วยนะครับ เพราะ PDPA ดักทางเราไว้ใน PDPA มาตรา 19 วรรค 2 ถึงวรรค 7 (Consent) เรียบร้อยแล้ว
 

                    ข้อสังเกตซ้ำซากจากอาจารย์กฤษฎ์มีว่า “ให้ความยินยอมไว้ก่อนหรือในขณะนั้น” คืออะไร? มีความหมายว่า ก่อนหรือขณะ ก.ร. (เก็บรวบรวม C : Collection) หรือก่อนหรือขณะใช้ (U : Use) หรือก่อนหรือขณะเปิดเผย (D : Disclosure) แล้วแต่กรณี คือมันได้หมด เพราะพูดถึง 3 พฤติการณ์ของการประมวลผล PD 
                    หากฝ่าฝืนหรือไม่ปฏิบัติตาม ได้รับโทษอะไรบ้าง ดังนี้เลยครับ
 

                    1. ความรับผิดทางแพ่ง : ถ้าทำให้เกิดความเสียหายต่อ DS (ภาระการพิสูจน์ตกอยู่ที่ DS เพราะคุณไปฟ้องเขานี่) DC ต้องชดใช้ค่าสินไหมทดแทน (จะรวมถึงค่าใช้จ่ายทั้งหมดที่ DS ได้ใช้จ่ายไปตามความจำเป็น ในการป้องกันความเสียหายที่กำลังจะเกิดขึ้น หรือระงับความเสียหายที่เกิดขึ้นแล้วด้วยนะครับ คือเก็บใบเสร็จไว้ก็พิสูจน์ง่ายหน่อย) เพื่อการนั้นแก่ DS ไม่ว่าการดำเนินการนั้นจะเกิดจากการกระทำโดยจงใจ หรือประมาทเลินเล่อหรือไม่ก็ตาม เว้นแต่ DC หรือ DP (Data Processor : ผู้ประมวลผลข้อมูลส่วนบุคคล) นั้น จะพิสูจน์ได้ว่า (1) ความเสียหายนั้นเกิดจากเหตุสุดวิสัย หรือเกิดจากการกระทำหรือละเว้นการกระทำของ DS นั้นเอง และหรือ (2) เป็นการปฏิบัติตามคำสั่งของเจ้าหน้าที่ ซึ่งปฏิบัติการตามหน้าที่และอำนาจตามกฎหมาย ก็ไม่ต้องจ่ายค่าเสียหายเลยสักบาท (PDPA มาตรา 77) แต่ถ้า DC หรือ DP ผิดจริงๆ ศาลมีอำนาจสั่งให้ DC หรือ DP จ่ายค่าสินไหมทดแทนเพื่อการลงโทษ เพิ่มขึ้นจากจำนวนค่าสินไหมทดแทนที่แท้จริงที่ศาลกำหนดได้ตามที่ศาลเห็นสมควร แต่ไม่เกิน 2 เท่า ของค่าสินไหมทดแทนที่แท้จริงนั้นได้เหมือนกันนะ เพียงแต่ว่าให้คำนึงถึงพฤติการณ์ต่างๆ เช่น ความร้ายแรงของความเสียหายที่ DS ได้รับผลประโยชน์ที่ DC หรือ DP ได้รับ สถานะทางการเงินของ DC หรือ DP การที่ DC หรือ DP ได้บรรเทาความเสียหายที่เกิดขึ้น หรือการที่ DS มีส่วนในการก่อให้เกิดความเสียหายด้วยเป็นองค์ประกอบสำคัญครับ ซึ่งไอ้เจ้าสิทธิเรียกร้องค่าเสียหายนี้ ขาดอายุความเมื่อพ้น 3 ปี นับแต่วันที่ผู้เสียหายรู้ถึงความเสียหายและรู้ตัว DC หรือ DP ที่ต้องรับผิด หรือเมื่อพ้น 10 ปี นับแต่วันที่มีการละเมิดข้อมูลส่วนบุคคล แล้วแต่กรณี (PDPA มาตรา 78) ถือว่าเป็นความรับผิดเดียวใช้กับทุกการฝ่าฝืน หรือไม่ปฏิบัติตามจนก่อให้เกิดความเสียหายกับ DS ครับ อาจารย์ขอเรียกว่า “ความรับผิดทางแพ่งแบบเหมาๆ”
 

                   2. มีโอกาสเจอ PDPA มาตรา 81 “ความรับผิดแบบเหมาโหล” ได้แก่ กรณีที่ผู้กระทำความผิดเป็นนิติบุคคล ถ้าการกระทำความผิดของนิติบุคคลนั้น เกิดจากการสั่งการหรือการกระทำของกรรมการ หรือผู้จัดการ หรือบุคคลใดซึ่งรับผิดชอบในการดำเนินงานของนิติบุคคลนั้น หรือในกรณีที่บุคคลดังกล่าวมีหน้าที่ต้องสั่งการ หรือกระทำการและละเว้นไม่สั่งการ หรือไม่กระทำการ จนเป็นเหตุให้นิติบุคคลนั้นกระทำความผิด ผู้นั้นต้องรับโทษตามที่บัญญัติไว้สำหรับความผิดนั้นๆ ด้วย (PDPA มาตรา 81) ตรงนี้ อาจารย์ขอเรียกว่า “ความรับผิดแบบเหมาโหล” มีข้อสังเกตถึงความประหลาดที่เอามาบัญญัติไว้ในโทษอาญา ทั้งๆ ที่มันกวาดคลุมไปหมดทุกมาตราทั้ง 12 มาตรา (อาจารย์จึงนับเป็น 1 โหลไงล่ะ)
 

                  3. โทษอาญา : ไม่มีบทลงโทษ ถือว่ารอดไป
 

                  4. โทษทางปกครอง : ไม่มีบทลงโทษ
                  PDPA มาตรา 21 วรรค 1 (CUD-Purpose) : “ผู้ควบคุมข้อมูลส่วนบุคคล ต้องทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ได้แจ้งเจ้าของข้อมูลส่วนบุคคลไว้ก่อน หรือในขณะที่เก็บรวบรวม” The Data Controller shall collect, use, or disclose Personal Data according to the purpose notified to the data subject prior to or at the time of such collection.
 

                เป็นเรื่องของหลักการแจ้ง ‘วัตถุประสงค์’ ก.ร.-ช.-ป. (การเก็บรวบรวม ใช้ หรือเปิดเผย หรือ CUD : Collection, Use, or Disclosure) ทั้งหมด 3 พฤติการณ์ เอามาปรับเคสกับสตาร์บัคส์ (Starbucks) พอสตาร์บัคส์ (Starbucks) ดำเนินการตามมาตรา 19 วรรค 1 แล้ว ก็ต้อง ก.ร.-ช.-ป. ข้อมูลส่วนบุคคลนั้น ตามวัตถุประสงค์ที่คุณได้แจ้งให้ DS รู้ด้วยนะ และมันควรต้องบอกกล่าวเล่าแจ้งไอ้วัตถุประสงค์ ก.ร.-ช.-ป. ไปพร้อมๆ กับการขอความยินยอมก่อน หรือในขณะที่คุณได้เก็บรวบรวม PD ไว้ด้วยถึงจะถูก เพราะถ้าหลุดไป ไม่ได้แจ้งวัตถุประสงค์ในขั้นตอนก่อน หรือเวลา ก.ร.[ C : Collection) คุณถอยกลับไปไม่ได้แล้ว ไม่งั้นต้องนับหนึ่งใหม่ตั้งแต่ขอความยินยอม แล้วเก็บรวบรวม PD ฉะนั้น จะซี้ซั้วแจ้งวัตถุประสงค์ก่อน หรือขณะใช้ (U : Use) ข้อมูลส่วนบุคคลของลูกค้า หรือแจ้งวัตถุประสงค์ก่อนหรือขณะเปิดเผย (D : Disclosure) ข้อมูลส่วนบุคคลของลูกค้าไปเรียบร้อยแล้ว ไม่ได้เด็ดขาด ไม่งั้นก็ได้ลักไก่มาบอกกันตอนเปิดเผยข้อมูลส่วนบุคคลได้สิ มันก็ไม่ใช่เจตนารมณ์ของการคุ้มครองข้อมูลส่วนบุคคลนะครับ ตรงนี้ไม่เหมือนกับหลักการ ‘ให้ความยินยอม’ ไว้ก่อน หรือในขณะนั้นของ PDPA มาตรา 19 วรรค 1
 

                ฝ่าฝืนหรือไม่ปฏิบัติตาม ได้รับโทษอะไรบ้าง ดังนี้
                 1. ความรับผิดทางแพ่ง : เจอ “ความรับผิดทางแพ่งแบบเหมาๆ” (PDPA มาตรา 77)
                2. มีโอกาสเจอ PDPA มาตรา 81 “ความรับผิดแบบเหมาโหล”
                3. โทษอาญา : ไม่มีบทลงโทษ
                4. โทษทางปกครอง : โทษปรับทางปกครอง ≤ 3,000,000 บาท (PDPA มาตรา 83) 
                

                PDPA มาตรา 21 วรรค 2 (CUD-new Purpose) : “การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่แตกต่างไปจากวัตถุประสงค์ที่ได้แจ้งไว้ ตามวรรค 1 จะกระทำมิได้ เว้นแต่
                (1) ได้แจ้งวัตถุประสงค์ใหม่นั้น (แจ้งอันใหม่) ให้เจ้าของข้อมูลส่วนบุคคลทราบ (ให้ได้รู้) และได้รับความยินยอมก่อน (ดูแล้วยอม) เก็บรวบรวม ใช้ หรือเปิดเผยแล้ว
                (2) บทบัญญัติแห่งพระราชบัญญัตินี้หรือกฎหมายอื่นบัญญัติให้กระทำได้” (น้อมกฎหมาย) 
                The collection, use, or disclosure of Personal Data shall not be conducted in a manner that is different from the purpose previously notified to the data subject in accordance with paragraph one, unless :
ครับ เป็นข้อยกเว้นที่บอกให้รู้ว่า “ผู้ควบคุมข้อมูลส่วนบุคคล” ในที่นี้ คือ สตาร์บัคส์ (Starbucks) สามารถ ก.ร.-ช.-ป. ได้อยู่นะ แม้ว่าคุณจะทำไอ้เจ้า 3 พฤติการณ์ที่ว่านั้นนอกเหนือวัตถุประสงค์ที่ได้แจ้งไว้ (Different from the purpose previously                         notified to the DS) ก็ตามที ถ้าคุณได้ทำตามคำสัมผัสต่อไปนี้นะ คุณรอด ปลอดภัย ---> “แจ้งอันใหม่ • ให้ได้รู้ • ดูแล้วยอม • น้อมกฎหมาย” 
 

               ฝ่าฝืนหรือไม่ปฏิบัติตาม ได้รับโทษอะไรบ้าง ดังนี้
               1. ความรับผิดทางแพ่ง : เจอ “ความรับผิดทางแพ่งแบบเหมาๆ” (𝐏𝐃𝐏𝐀 มาตรา 77) 
              2. มีโอกาสเจอ PDPA มาตรา 81 “ความรับผิดแบบเหมาโหล”
              3. โทษอาญา : ไม่มีบทลงโทษ
              4. โทษทางปกครอง : โทษปรับทางปกครอง ≤  3,000,000 บาท (PDPA มาตรา 83) 
 

               PDPA มาตรา 22 (C-Purpose) “การเก็บรวบรวมข้อมูลส่วนบุคคล [ก.ร.] ให้เก็บรวบรวมได้เท่าที่จำเป็น ภายใต้วัตถุประสงค์อันชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล” The collection of Personal Data shall be limited to the extent necessary in relation to the lawful purpose of the Data Controller. 

               ตรงนี้ก็ขอให้สังเกตกันดีๆ นะครับ อย่าอ่านกฎหมายปล่อยผ่าน ข้ามคำหรือประโยค มาตรานี้กล่าวถึงขั้นตอนการเก็บรวบรวมเองนะ (C : The collection of PD) ยังไม่ได้ใช้และให้เอาไปเปิดเผยสักหน่อย ฉะนั้น จะมั่วๆ เหมาว่ารวมถึง ช.-ป. (UD : Use, or Disclosure) นั่น ไม่ได้นะจ๊ะ ซึ่งบัญญัติต่อเนื่องจากหลักการแจ้ง ‘วัตถุประสงค์’ (PDPA มาตรา 21 วรรค 1) ในทำนองที่ว่า แม้จะมีวัตถุประสงค์ที่ยอมกันแล้วก็จริง แต่ต้อง ‘ก.ร.เท่าที่จำเป็น’ เป็นการให้สติกับ DC (Data Controller) ว่า แม้ DS จะยินยอมให้ ก.ร.-ช.-ป. + ยอมตามวัตถุประสงค์ของ DC ก็ต้องให้ DC ‘ก.ร.เท่าที่จำเป็น’ เสมอ ไม่ว่าตามวัตถุประสงค์เดิม (PDPA มาตรา 21 วรรค 1) หรือวัตถุประสงค์ใหม่ (PDPA มาตรา 21 วรรค 2) ก็ตามครับ
 

                 ฝ่าฝืนหรือไม่ปฏิบัติตาม ได้รับโทษอะไรบ้าง ดังนี้
                 1. ความรับผิดทางแพ่ง : เจอ “ความรับผิดทางแพ่งแบบเหมาๆ” (PDPA มาตรา 77) 
                2. มีโอกาสเจอ PDPA มาตรา 81 “ความรับผิดแบบเหมาโหล”
                3. โทษอาญา : ไม่มีบทลงโทษ
                4. โทษทางปกครอง : โทษปรับทางปกครอง ≤ 3,000,000 บาท (PDPA มาตรา 83) 

                PDPA มาตรา 23 (C-Inform) “ในการเก็บรวบรวมข้อมูลส่วนบุคคล (ก.ร.) ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้ง ให้เจ้าของข้อมูลส่วนบุคคลทราบก่อน หรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคลถึงรายละเอียดดังต่อไปนี้ เว้นแต่ เจ้าของข้อมูลส่วนบุคคลได้ทราบถึงรายละเอียดนั้นอยู่แล้ว (ทั้งมาตราเลย อยู่ในขั้นตอนการเก็บรวบรวม (C : Collection) เท่านั้นนะครับ การ ช.-ป. (UD : Use, or Disclosure) ยังไม่กล่าวถึงในมาตรานี้ แต่ไปกล่าวถึงใน PDPA มาตรา 27 วรรค 1 โน่นเลย)
                (1) วัตถุประสงค์ของการเก็บรวบรวม เพื่อการนำข้อมูลส่วนบุคคลไปใช้หรือเปิดเผยซึ่งรวมถึงวัตถุประสงค์ตามที่มาตรา 24 (GPD : General Personal Data นี่ อาจารย์กฤษฎ์พูดถึงบ่อยมากๆ) ให้อำนาจในการเก็บรวบรวมได้ โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล

                กฎหมายแค่จะบอกว่า วัตถุประสงค์ของการ ก.ร.นั้น เพื่อ...อะไร ซึ่งตรงกับภาษาอังกฤษ (1) the purpose of the collection for use or disclosure of the Personal Data, including the purpose which is permitted under section 24 for the collection of Personal Data without the data subject’s consent; 
               “ผู้ควบคุมข้อมูลส่วนบุคคล” อย่างสตาร์บัคส์ (Starbucks) ต้องบอกให้ DS รู้ก่อน หรือในขณะ ก.ร. PD ครับ และให้เลยเถิดไปได้ถึง หลักการข้อยกเว้น 6 กรณี สำหรับ “ข้อมูลส่วนบุคคลทั่วๆ ไป” ตาม PDPA มาตรา 24 (GPD) ไปอ่านบทความที่อาจารย์เขียนก่อนหน้านี้ได้ ในเรื่อง ‘The Greater-Than or Equal to ‘6+6+5’ Principles of Sterilize Consent.’ หรือ ‘หลักการ ≧ มากกว่าหรือเท่ากับ 6+6+5 ว่าด้วยความยินยอมที่เป็นหมัน ใน PDPA’ อันเป็นเหตุทำลาย ‘ฐ’ ความยินยอม (CONSENT : Cs) ให้พังทลายไปได้ในพริบตา และเจ้าของข้อมูลส่วนบุคคล (DS : Data Subject) ไม่มีสิทธิแม้ตนเป็นเจ้าของข้อมูลส่วนบุคคลก็ตาม แต่ทว่า DC ต้องบอกให้ DS รู้ก่อน หรือในขณะ ก.ร. PD ด้วยเหมือนกันนะครับ ไม่ใช่ว่ามีสิทธิหักดิบ ‘ฐ’ ความยินยอม (CONSENT : Cs) แล้วจะมีสิทธิไม่บอกกล่าวเล่าแจ้งวัตถุประสงค์ของการเก็บรวบรวม PD ได้นะจ๊ะ
 

                 (2) แจ้งให้ทราบถึงกรณีที่เจ้าของข้อมูลส่วนบุคคล ต้องให้ข้อมูลส่วนบุคคลเพื่อปฏิบัติตามกฎหมาย (‘ฐ’ หน้าที่ผูกมัดตามกฎหมาย (LEGAL OBLIGATION : Lo) หรือสัญญา หรือมีความจำเป็นต้องให้ข้อมูลส่วนบุคคลเพื่อเข้าทำสัญญา (‘ฐ’ พันธะสัญญา (CONTRACT : Ct) รวมทั้งแจ้งถึงผลกระทบที่เป็นไปได้จากการไม่ให้ข้อมูลส่วนบุคคล 
                 Notification of the case where the data subject must provide his or her Personal Data for compliance with a law, or contract, or where it is necessary to provide the Personal Data for the purpose of entering into the contract, including notification of the possible effect where the data subject dose not provide such Personal Data; 
                 ถ้า DC ต้องการ PD จาก DS เพื่อทำตามกฎหมาย หรือสัญญาต้องบอกให้ DS รู้และถ้า DS ไม่ยอมให้ DC ก็ต้องบอกให้ DS รู้เหมือนกันทั้งขึ้นทั้งล่อง จะดึงดันไม่ได้
 

                (3) ข้อมูลส่วนบุคคลที่จะมีการเก็บรวบรวม และระยะเวลาในการเก็บรวบรวมไว้ ทั้งนี้ ในกรณีที่ไม่สามารถกำหนดระยะเวลาดังกล่าวได้ชัดเจน ให้กำหนดระยะเวลาที่อาจคาดหมายได้ตามมาตรฐานของการเก็บรวบรวม the Personal Data to be collected and the period for which the Personal Data will be retained. If it is not possible to specify the retention period, the expected data retention period according the data retention period according the data retention standard shall be specified; 
                เป็นเรื่องของ Retention Period ที่ต้องแจ้ง DS ด้วย เราเป็นลูกค้า PD ของเรา ในฐานะ DS เราก็อยากรู้ว่า สตาร์บัคส์ (Starbucks) จะเก็บอะไร? อย่างไร? นานแค่ไหน? จึงหมดเวลา ก.ร. (C : Collection) 
               

               (4) ประเภทของบุคคลหรือหน่วยงาน ซึ่งข้อมูลส่วนบุคคลที่เก็บรวบรวมอาจจะถูกเปิดเผย the categories of Persons or entities to whom the collected Personal Data may be disclosed; 
คนแบบไหน หน่วยงาน องค์กรใดบ้าง? ที่สตาร์บัคส์ (Starbucks) จะเอา PD ลูกค้าไปเปิดเผย ก็ต้องบอกกัน ห้ามแอบเนียน
 

                (5) ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล สถานที่ติดต่อ และวิธีการติดต่อ ในกรณีที่มีตัวแทนหรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ให้แจ้งข้อมูล สถานที่ติดต่อ และวิธีการติดต่อของตัวแทนหรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลด้วย information, address, and the contact channel details of the Data Controller, where applicable, of the Data Controller’s representative or data protection officer;
DS มีสิทธิรู้ข้อมูลของ DC ด้วยเหมือนกัน กฎหมายจึงให้การ ก.ร. นั้น DC ต้องแจ้งให้ DS รู้ถึงรายละเอียดเผื่อเอาไว้ใช้ในการติดต่อสื่อสารครับ
 

                (6) สิทธิของเจ้าของข้อมูลส่วนบุคคลตามมาตรา 19 วรรคห้า (1. DS จะถอนความยินยอมเสียเมื่อใดก็ได้) มาตรา 30 วรรคหนึ่ง (2. DS มีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตน ซึ่งอยู่ในความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล หรือขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลดังกล่าวที่ตนไม่ได้ให้ความยินยอม) มาตรา 31 วรรคหนึ่ง (3. มีสิทธิขอรับ PD ที่เกี่ยวกับตน หรือขอให้ DC ส่ง หรือโอนข้อมูลส่วนบุคคล) มาตรา 32 วรรคหนึ่ง (4. สิทธิคัดค้านการ ก.ร.-ช.-ป. PD ที่เกี่ยวกับตนเมื่อใดก็ได้) มาตรา 33 วรรคหนึ่ง (5. สิทธิขอให้ DC ดำเนินการลบ หรือทำลาย หรือทำให้ PD เป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้) มาตรา 34 วรรคหนึ่ง (6. ขอให้ DC ระงับการใช้ PD) มาตรา 36 วรรคหนึ่ง (7. DC ต้องบันทึกคำร้องขอของ DS พร้อมด้วยเหตุผล) และมาตรา 73 วรรคหนึ่ง (8. DS มีสิทธิร้องเรียน ถ้าพบการฝ่าฝืนหรือไม่ปฏิบัติตาม PDPA หรือประกาศ)
DC ต้องแจ้งสิทธิ (the rights of the data subject) สิทธิของ DS 8 ประการข้างต้นด้วยครับ 
 

                ฝ่าฝืนหรือไม่ปฏิบัติตาม ได้รับโทษอะไรบ้าง ดังนี้
                1. ความรับผิดทางแพ่ง : เจอ “ความรับผิดทางแพ่งแบบเหมาๆ” (PDPA มาตรา 77) 
               2. มีโอกาสเจอ PDPA มาตรา 81 “ความรับผิดแบบเหมาโหล”
               3. โทษอาญา : ไม่มีบทลงโทษ
               4. โทษทางปกครอง : โทษปรับทางปกครอง ≤ 1,000,000 บาท (PDPA มาตรา 82) 
               PDPA มาตรา 27 วรรค 1 (UD-Consent) : “ห้ามมิให้ผู้ควบคุมข้อมูลส่วนบุคคล ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่เป็นข้อมูลส่วนบุคคลที่เก็บรวบรวมได้โดยได้รับยกเว้น ไม่ต้องขอความยินยอมตามมาตรา 24 (GPD) หรือมาตรา 26 (SPD)” The Data Controller shall not use or disclose Personal Data without the consent of the data subject, unless it is the Personal Data which is collected without requirement of consent under section 24 or section 26. 
 

            ฝ่าฝืนหรือไม่ปฏิบัติตาม ได้รับโทษอะไรบ้าง ดังนี้
            1. ความรับผิดทางแพ่ง : เจอ “ความรับผิดทางแพ่งแบบเหมาๆ” (PDPA มาตรา 77) 
           2. มีโอกาสเจอ PDPA มาตรา 81 “ความรับผิดแบบเหมาโหล”
           3. โทษอาญา : ความผิดยอมความได้
                    3.1 โดยประการที่น่าจะทำให้ผู้อื่นเกิดความเสียหาย เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย ต้องระวางโทษจำคุก ≤ 6 เดือน หรือปรับ ≤ 500,000 บาท หรือทั้งจำทั้งปรับ (PDPA มาตรา 79 วรรค 1)
                    3.2 เพื่อแสวงหาประโยชน์ที่มิควรได้โดยชอบด้วยกฎหมายสำหรับตนเองหรือผู้อื่น ต้องระวางโทษจำคุก ≤ 1 ปี หรือปรับ ≤ 1,000,000 บาท หรือทั้งจำทั้งปรับ (PDPA มาตรา 79 วรรค 2)
           4. โทษทางปกครอง : โทษปรับทางปกครอง ≤ 3,000,000 บาท กรณี GPD (PDPA มาตรา 83) หรือ โทษปรับทางปกครอง ≤ 5,000,000 บาท กรณี SPD (PDPA มาตรา 84) แล้วแต่กรณี
การ ช.-ป.(UD : Use, or Disclosure) มาถูกกล่าวถึงในมาตรานี้ โดยแยกส่วนออกจากการ ก.ร. ซึ่งเราทำความเข้าใจกันไปแล้วใน PDPA มาตรา 23 ทั้งมาตราล้วนอยู่ในขั้นตอนการเก็บรวบรวม (C : Collection) ทั้งสิ้น เมื่อผ่านขั้นตอนของการเก็บรวบรวมข้อมูลส่วนบุคคลมาเป็นที่เรียบร้อยแล้ว พอถึงเวลาจะใช้หรือจะนำไปเปิดเผย แน่นอนว่าก็ต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลเช่นเดียวกันครับ เว้นแต่ว่ามันไปเข้า ‘หลักการ ≧ มากกว่าหรือเท่ากับ 6+6+5 ว่าด้วยความยินยอมที่เป็นหมัน ใน PDPA’ ซึ่งถ้าเป็น “ข้อมูลส่วนบุคคลทั่วๆ ไป” ให้เป็นไปตาม PDPA มาตรา 24 (GPD) แต่ถ้าเป็น “ข้อมูลส่วนบุคคลประเภทอ่อนไหว” ก็ให้เป็นไปตาม PDPA มาตรา 26 (SPD) อย่างนี้ทุบ ‘ฐ’ ความยินยอม (CONSENT : Cs) ได้เลย อย่างกรณีสตาร์บัคส์ (Starbucks) พรินต์ชื่อ-สกุลอาจารย์ลงบนแก้ว ซึ่งชื่อ-สกุลเป็น “ข้อมูลส่วนบุคคลทั่วๆ ไป” ก็ต้องตามไปดู PDPA มาตรา 24 (GPD) ว่าทำได้ไหม เพราะสตาร์บัคส์ (Starbucks) ไม่ได้ขอความยินยอมจากอาจารย์เลยครับ แต่มันอยู่ในฐานข้อมูลตอนลงทะเบียน เปิดแอป จ่ายเงินที่เราเติมไว้ และข้อมูลส่วนบุคคลนั้นก็ถูกดึงมาปรากฏบนแก้ว เมื่อดูข้อยกเว้นใน PDPA มาตรา 24 (5) แล้ว ระบุว่า “เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล หรือของบุคคล หรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล เว้นแต่ประโยชน์ดังกล่าวมีความสำคัญน้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล” (it is necessary for legitimate interests of the Data Controller or any other Persons or juristic persons other than the Data Controller, except where such interests are overridden by the fundamental rights of the data subject of his or her Personal Data;) ใช่แล้วครับ สตาร์บัคส์ (Starbucks) มีสิทธิ

            ทำได้ด้วยข้อยกเว้นซึ่งเป็นฐานประโยชน์อันชอบธรรม (LEGITIMATE INTERESTs : Li) นั่นเองครับ โดยต้องทำตามเงื่อนไขที่ว่า
            “ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคล ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ได้รับยกเว้นไม่ต้องขอความยินยอมตามวรรคหนึ่ง ผู้ควบคุมข้อมูลส่วนบุคคลต้องบันทึกการใช้ หรือเปิดเผยนั้นไว้ในรายการตามมาตรา 39” (In the event that the Data Controller uses or discloses the Personal Data which is exempted from consent requirement in paragraph one, the Data Controller shall maintain a record of such use or disclosure in the record under section 39.) 
ฉะนั้น แม้จะได้รับการยกเว้นก็ต้องทำ Use or Disclosure Records นะครับ
 

             ยังมี ‘แต่’ ให้ฉุกคิดว่า... การ ช.-ป.(UD : Use, or Disclosure) ตาม PDPA มาตรา 27 วรรค 1 นี้ ถ้าใช้ และหรือเปิดเผยต่อ DC (สตาร์บัคส์ (Starbucks)) และ DP เองนั้นทำได้ครับ หากคิดต่อไปอีกว่า ไอ้เจ้าแก้วที่มีชื่อนี้ไปตกอยู่ในมือคนอื่น (Third Party) จะทำยังไงดี ต้องดู PDPA มาตรา 27 วรรค 2 บัญญัติว่า “บุคคล หรือนิติบุคคลที่ได้รับข้อมูลส่วนบุคคลมาจากการเปิดเผยตามวรรคหนึ่ง จะต้องไม่ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์อื่น นอกเหนือจากวัตถุประสงค์ที่ได้แจ้งไว้กับผู้ควบคุมข้อมูลส่วนบุคคลในการขอรับข้อมูลส่วนบุคคลนั้น” (The Person or Juristic person who obtains Personal Data as a result of the disclosure under paragraph one shall not use or disclose such Personal Data for any purpose other than the purpose previously notified to the Data Controller in the request to obtain such Personal Data.)
 

             ฉะนั้น ถ้า Third Party คนนั้นรู้ว่าไม่ใช่แก้วตัวเองก็ต้องคืนให้ DC ไป เพราะจะนำไปใช้หรือเปิดเผยข้อมูลส่วนบุคคลของคนอื่น มันทำไม่ได้ เพราะคุณไม่เคยขอจาก DC แล้วจะรู้ได้ไงว่าเพื่อวัตถุประสงค์อะไร แม้จะพอเดาได้ว่า DC เขียนหรือพรินต์ชื่อ-สกุลไว้บนแก้ว ก็เพราะมีวัตถุประสงค์เพื่อชี้บ่งว่าเป็นเครื่องดื่มของใครยังไงเล่า ไอ้เครื่องดื่มที่สั่งกับคนสั่งคนเดียวกันก็ตาม ก็ไม่ควรทำ อ๋อ! ถ้าไม่คืนเนี่ย จะเป็นลักทรัพย์ได้ด้วยนะ
 

              ประเด็นปิดท้ายอยู่ในมือ DS พอ DS ดื่มเสร็จ ทิ้งแก้วใบนั้นไปล่ะ มีข้อมูลส่วนบุคคลของตนเองปรากฏอยู่ด้วย ควรทำยังไง และเกิดมีคนเอาไปใช้ประโยชน์ ใครจะรับผิดชอบ อาจารย์กฤษฎ์ขอแนะนำว่าหลังจากที่เราดื่มเครื่องดื่มรสชาติที่เราโปรดปรานเป็นที่เรียบร้อยแล้วนั้น เราก็ควรที่จะทำลายข้อมูลส่วนบุคคลด้วยมือของเราเองด้วยนะครับ กรณีแบบนี้จะทำอย่างไร ก็เช่น ลอกสติกเกอร์ทิ้งไป หรือจะขูดขีดฆ่าไม่ให้สามารถมองเห็น คาดเดา หรือคลำได้ว่ายังมีข้อมูลส่วนบุคคลของคุณอยู่บนแก้วยังไงล่ะครับ แล้วก็เอาไปทิ้งถังขยะซะก็สิ้นเรื่อง แต่ถ้าในทางกลับกันเราดื่มเสร็จโยนทิ้งถังขยะเลย ไม่ได้ลบทำลายข้อมูลส่วนบุคคลของเรา แล้วมีคนอื่นเก็บได้เอาไปใช้ประโยชน์ เราต้องโทษตัวเราเองที่สะเพร่า รู้เท่าไม่ถึงการณ์ จะฟ้องสตาร์บัคส์ (Starbucks) ที่เป็น DC ไม่ได้แล้ว เพราะข้อมูลส่วนบุคคลเปลี่ยนมือมาอยู่ในมือ DS แล้วจะโทษใครอื่นไม่ได้ ถ้าไปฟ้อง DC ก็แพ้ DC เพราะเขาจะใช้ข้อพิสูจน์ได้ว่า มันเกิดจากการกระทำของ DS เอง” (PDPA มาตรา 77) 
แต่ก็มีประเด็นอยู่ว่า ถ้าหากเราดื่มเสร็จแล้ววางทิ้งไว้บนโต๊ะในร้าน แล้วพนักงานมาเก็บกวาดเพื่อจะเอาไปทิ้งเองแล้วเกิดข้อมูลส่วนบุคคลเราหลุดรอดออกจากถังขยะของทางร้าน และมีการนำไปเปิดเผยต่อ อย่างนี้ร้านสตาร์บัคส์ (Starbucks) มีความ

              ผิดตามมาตรา 27 วรรค 1 ดังนี้
              1. ความรับผิดทางแพ่ง : เจอ “ความรับผิดทางแพ่งแบบเหมาๆ” (PDPA มาตรา 77) 
             2. มีโอกาสเจอ PDPA มาตรา 81 “ความรับผิดแบบเหมาโหล”
             3. โทษอาญา : ความผิดยอมความได้
                      3.1 โดยประการที่น่าจะทำให้ผู้อื่นเกิดความเสียหาย เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย ต้องระวางโทษจำคุก ≤ 6 เดือน หรือปรับ ≤ 500,000 บาท หรือทั้งจำทั้งปรับ (PDPA มาตรา 79 วรรค 1) 
                      3.2 เพื่อแสวงหาประโยชน์ที่มิควรได้โดยชอบด้วยกฎหมายสำหรับตนเองหรือผู้อื่น ต้องระวางโทษจำคุก ≤ 1 ปี หรือปรับ ≤ 1,000,000 บาท หรือทั้งจำทั้งปรับ (PDPA มาตรา 79 วรรค 2)
             4. โทษทางปกครอง : โทษปรับทางปกครอง ≤ 3,000,000 บาท กรณี GPD (PDPA มาตรา 83)
             แล้วถ้าคิดต่อไปอีกว่า สตาร์บัคส์ (Starbucks) กังวลกับเคสแบบนี้ แล้วบอก DS เลยว่า แก้วที่คุณดื่มหมดหรือไม่ ดื่มแล้วเป็นความรับผิดชอบของ DS ที่ต้องนำไปทิ้งหรือทำลายเอง ร้านไม่เกี่ยวด้วย แต่ DS ไม่ทำตาม หรือลืมวางไว้บนโต๊ะในร้าน พนักงานมาเก็บไปทิ้งแล้วข้อมูลส่วนบุคคลของ DS ดันรั่วไหล อย่างนี้สตาร์บัคส์ (Starbucks) พ้นความรับผิดเลยนะครับ เพราะไปเข้าข้อยกเว้นที่ว่า “เว้นแต่ DC หรือ DP (Data Processor : ผู้ประมวลผลข้อมูลส่วนบุคคล) นั้นจะพิสูจน์ได้ว่า (1) ความเสียหายนั้นเกิดจากเหตุสุดวิสัย หรือเกิดจากการกระทำ หรือละเว้นการกระทำของ DS นั้นเอง (ที่ร้านบอกแล้วคุณไม่ทำตามยังไงเล่า)” (PDPA มาตรา 77)
             ครับ ยาวสะใจไปในแบบวิชาการปนๆ ข้อกฎหมายที่เติมเต็มอิ่มล้น เครียดหรือเปล่าบอกอาจารย์กฤษฎ์หน่อยนะ ท่านฝากผมมาถามครับผม