ความสำคัญของ PDPA กับทุกองค์กร และข้อปฏิบัติกรณีติดตั้ง CCTV

PDPA & CCTV

PDPA หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล เป็นกฎหมายที่ทุกองค์กรควรให้ความสำคัญ ไม่ว่าจะเป็นบริษัทขนาดใหญ่ ธุรกิจ SME โรงแรม ร้านค้า โรงเรียน คอนโด หมู่บ้าน หรือแม้แต่บุคคลทั่วไป
ที่มีการเก็บ ใช้ หรือเปิดเผยข้อมูลของผู้อื่น เพราะข้อมูลส่วนบุคคลไม่ได้หมายถึงแค่ชื่อ เบอร์โทร หรือเลขบัตรประชาชนเท่านั้น แต่ยังรวมถึงภาพถ่าย วิดีโอ เสียง พฤติกรรมการเข้าออกพื้นที่ และข้อมูลจากกล้อง CCTV ด้วย 

การติดตั้งกล้องวงจรปิดจึงไม่ใช่เพียงเรื่องความปลอดภัย แต่เกี่ยวข้องกับสิทธิความเป็นส่วนตัวของบุคคลโดยตรง หากองค์กรไม่มีป้ายแจ้ง ไม่มีนโยบาย ไม่มีการจำกัดสิทธิ์เข้าถึง หรือเก็บไฟล์ไว้นานเกินจำเป็น อาจเสี่ยงต่อการร้องเรียนและกระทบความน่าเชื่อถือขององค์กรได้ ดังนั้น การเข้าใจ PDPA และการใช้งาน CCTV อย่างถูกต้องจึงเป็นพื้นฐานสำคัญขององค์กรยุคใหม่

PDPA คืออะไร และทำไมทุกองค์กรต้องใส่ใจ

PDPA คือกฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศไทย มีวัตถุประสงค์เพื่อกำหนดหลักเกณฑ์ในการเก็บ ใช้ เปิดเผย และดูแลข้อมูลส่วนบุคคลให้เหมาะสม โปร่งใส และเคารพสิทธิของเจ้าของข้อมูล กฎหมายนี้เกี่ยวข้องกับองค์กรทุกประเภทที่มีการจัดเก็บข้อมูลของลูกค้า พนักงาน คู่ค้า ผู้มาติดต่อ หรือบุคคลทั่วไป ไม่ว่าจะเป็นข้อมูลในรูปแบบเอกสาร ไฟล์ดิจิทัล ระบบออนไลน์ ฐานข้อมูล หรือภาพจากกล้องวงจรปิด

ข้อมูลส่วนบุคคล หมายถึงข้อมูลที่สามารถระบุตัวบุคคลได้โดยตรงหรือโดยอ้อม เช่น ชื่อ นามสกุล เบอร์โทรศัพท์ อีเมล เลขบัตรประชาชน รูปถ่าย ทะเบียนรถ ภาพจากกล้อง CCTV เสียงสนทนา ตำแหน่งที่อยู่ หรือข้อมูลพฤติกรรมการใช้งานระบบออนไลน์ ส่วนข้อมูลอ่อนไหว เช่น ข้อมูลสุขภาพ ประวัติอาชญากรรม ข้อมูลชีวภาพ ศาสนา หรือเชื้อชาติ ต้องได้รับการดูแลอย่างรอบคอบมากกว่าข้อมูลทั่วไป

สำหรับองค์กร PDPA ไม่ใช่หน้าที่ของฝ่ายกฎหมายหรือฝ่าย IT เพียงฝ่ายเดียว แต่เกี่ยวข้องกับทุกแผนก เช่น HR เก็บข้อมูลพนักงาน, Sales เก็บข้อมูลลูกค้า, Marketing ใช้ข้อมูลทำแคมเปญ, Security ดูแลกล้อง CCTV, IT ดูแลระบบฐานข้อมูล และฝ่ายบริหารต้องกำหนดนโยบายให้ชัดเจน หากองค์กรไม่มีระบบจัดการข้อมูลที่ดี อาจเกิดความเสี่ยงทั้งด้านกฎหมาย ความปลอดภัยไซเบอร์ และความน่าเชื่อถือของธุรกิจ

เหตุผลที่ PDPA สำคัญกับทุกองค์กร

1. ลดความเสี่ยงด้านกฎหมาย

เมื่อองค์กรเก็บข้อมูลส่วนบุคคล ต้องมีวัตถุประสงค์ที่ชัดเจน มีเหตุผลรองรับ และแจ้งให้เจ้าของข้อมูลทราบอย่างเหมาะสม เช่น เก็บข้อมูลเพื่อสมัครสมาชิก ทำสัญญา ให้บริการลูกค้า รักษาความปลอดภัย หรือปฏิบัติตามกฎหมาย หากเก็บข้อมูลโดยไม่มีเหตุผล เก็บมากเกินจำเป็น หรือเปิดเผยข้อมูลให้บุคคลอื่นโดยไม่มีสิทธิ์ อาจทำให้องค์กรถูกร้องเรียนหรือถูกตรวจสอบได้

2. สร้างความน่าเชื่อถือให้กับองค์กร

ลูกค้า คู่ค้า และพนักงานย่อมต้องการมั่นใจว่าข้อมูลของตนเองจะไม่ถูกนำไปใช้ผิดวัตถุประสงค์ องค์กรที่มี Privacy Notice ชัดเจน มีระบบควบคุมสิทธิ์เข้าถึงข้อมูล และมีมาตรการรักษาความปลอดภัยที่ดี จะสร้างความไว้วางใจได้มากกว่าองค์กรที่จัดการข้อมูลแบบไม่เป็นระบบ

3. ป้องกันข้อมูลรั่วไหล

ข้อมูลรั่วไหลอาจเกิดจากหลายสาเหตุ เช่น ส่งไฟล์ผิดคน ตั้งค่าสิทธิ์ Google Drive หรือ OneDrive ผิดพลาด ใช้รหัสผ่านร่วมกัน เปิดให้พนักงานเข้าถึงข้อมูลเกินความจำเป็น หรือระบบ CCTV ถูกเข้าถึงจากภายนอกโดยไม่ได้รับอนุญาต การทำ PDPA อย่างเป็นระบบจะช่วยให้องค์กรลดความเสี่ยงเหล่านี้ได้

4. ช่วยให้องค์กรทำงานเป็นระบบ

การทำ PDPA ที่ดีทำให้องค์กรรู้ว่าเก็บข้อมูลอะไร อยู่ที่ไหน ใครเข้าถึงได้ ใช้เพื่ออะไร เก็บไว้นานเท่าไร และลบเมื่อใด สิ่งเหล่านี้ไม่ได้ช่วยแค่เรื่องกฎหมาย แต่ยังช่วยให้การบริหารข้อมูลเป็นมืออาชีพมากขึ้น

หลักการสำคัญของ PDPA ที่ควรรู้

  • เก็บข้อมูลเท่าที่จำเป็น ไม่เก็บเกินวัตถุประสงค์
  • แจ้งเจ้าของข้อมูลให้ทราบว่าเก็บข้อมูลอะไร ใช้เพื่ออะไร และเก็บไว้นานเท่าไร
  • ใช้ข้อมูลตามวัตถุประสงค์ที่แจ้งไว้เท่านั้น
  • จำกัดสิทธิ์เข้าถึงเฉพาะผู้ที่จำเป็นต้องใช้ข้อมูล
  • มีมาตรการรักษาความปลอดภัยทั้งด้านเทคนิคและด้านการบริหารจัดการ
  • มีช่องทางให้เจ้าของข้อมูลใช้สิทธิ เช่น ขอเข้าถึง ขอแก้ไข ขอถอนความยินยอม หรือขอลบข้อมูล
  • มีแผนรับมือกรณีข้อมูลรั่วไหลหรือถูกใช้งานผิดวัตถุประสงค์
ฟังตัวอย่าง Podcast เกี่ยวกับ PDPA

CCTV เกี่ยวข้องกับ PDPA อย่างไร

กล้อง CCTV เป็นเรื่องที่หลายองค์กรอาจมองข้าม เพราะคิดว่าเป็นเพียงระบบรักษาความปลอดภัย แต่ในมุมของ PDPA ภาพจากกล้องวงจรปิดถือเป็นข้อมูลส่วนบุคคล หากภาพนั้นสามารถระบุตัวบุคคลได้ เช่น ใบหน้า รูปร่าง ทะเบียนรถ เครื่องแบบพนักงาน หรือพฤติกรรมการเข้าออกพื้นที่

ดังนั้น การติดตั้ง CCTV ต้องมีเหตุผลที่เหมาะสม เช่น เพื่อรักษาความปลอดภัยในชีวิตและทรัพย์สิน ป้องกันเหตุอาชญากรรม ตรวจสอบเหตุการณ์ผิดปกติ หรือควบคุมการเข้าออกพื้นที่สำคัญ ไม่ควรติดตั้งเพื่อสอดส่องพนักงานโดยไม่จำเป็น หรือใช้งานในลักษณะที่ละเมิดความเป็นส่วนตัวเกินสมควร

ตัวอย่างพื้นที่ที่เหมาะสมสำหรับติดตั้ง CCTV ได้แก่ ทางเข้าออกอาคาร ลานจอดรถ โถงต้อนรับ ทางเดิน พื้นที่รับส่งสินค้า ห้องเก็บของ หรือบริเวณที่มีความเสี่ยงด้านความปลอดภัย ส่วนพื้นที่ที่ไม่ควรติดตั้ง ได้แก่ ห้องน้ำ ห้องแต่งตัว ห้องพักส่วนตัว ห้องพยาบาล หรือพื้นที่ที่บุคคลคาดหวังความเป็นส่วนตัวสูง

ข้อปฏิบัติสำคัญเมื่อติดตั้ง CCTV ในองค์กร

1. ต้องมีป้ายแจ้งเตือน CCTV

องค์กรควรติดป้ายแจ้งให้เห็นชัดเจนก่อนเข้าสู่พื้นที่ที่มีการบันทึกภาพ เช่น “พื้นที่นี้มีการบันทึกภาพด้วยกล้องวงจรปิด เพื่อรักษาความปลอดภัย” พร้อมระบุชื่อหน่วยงานหรือเจ้าของระบบ และช่องทางติดต่อสำหรับสอบถามเรื่องข้อมูลส่วนบุคคล

ป้ายควรอยู่ในตำแหน่งที่มองเห็นง่าย เช่น ทางเข้าอาคาร หน้าลิฟต์ ลานจอดรถ จุดรับสินค้า หรือบริเวณก่อนเข้าสู่พื้นที่ที่มีกล้อง ไม่ควรติดไว้ในจุดที่มองไม่เห็น อ่านยาก หรืออยู่หลังจากที่บุคคลถูกบันทึกภาพไปแล้ว

2. ต้องมี Privacy Notice สำหรับ CCTV

นอกจากป้ายแจ้งเตือนแบบสั้น องค์กรควรมีเอกสารหรือหน้าเว็บไซต์ที่อธิบายรายละเอียดเพิ่มเติมเกี่ยวกับการใช้ CCTV เพื่อให้เจ้าของข้อมูลเข้าใจว่าข้อมูลของตนเองถูกเก็บและใช้อย่างไร

  • วัตถุประสงค์ของการติดตั้ง CCTV
  • พื้นที่ที่มีกล้องวงจรปิด
  • ประเภทข้อมูลที่เก็บ เช่น ภาพเคลื่อนไหว ภาพนิ่ง หรือเสียง หากมี
  • ระยะเวลาการเก็บข้อมูล
  • ผู้ที่มีสิทธิ์เข้าถึงภาพ
  • กรณีที่อาจเปิดเผยข้อมูลให้บุคคลภายนอก เช่น เจ้าหน้าที่ตำรวจ ศาล หรือบริษัทผู้ดูแลระบบ
  • สิทธิของเจ้าของข้อมูล
  • ช่องทางติดต่อผู้ควบคุมข้อมูล

3. ต้องกำหนดระยะเวลาเก็บไฟล์ CCTV

องค์กรไม่ควรเก็บภาพจาก CCTV ไว้ตลอดไปโดยไม่มีเหตุผล ควรกำหนดระยะเวลาเก็บตามความจำเป็น เช่น 15 วัน 30 วัน 60 วัน หรือ 90 วัน ขึ้นอยู่กับความเสี่ยงของพื้นที่และนโยบายองค์กร หากไม่มีเหตุการณ์ผิดปกติ เมื่อครบกำหนดควรลบหรือเขียนทับข้อมูลโดยอัตโนมัติ

หากมีเหตุการณ์สำคัญ เช่น ทรัพย์สินสูญหาย อุบัติเหตุ การทะเลาะวิวาท หรือมีคำร้องขอจากเจ้าหน้าที่ องค์กรอาจแยกไฟล์ที่เกี่ยวข้องไว้เป็นหลักฐานได้ แต่ต้องควบคุมสิทธิ์การเข้าถึงและบันทึกเหตุผลให้ชัดเจน

4. จำกัดสิทธิ์การเข้าถึงภาพ CCTV

ไม่ใช่ทุกคนในองค์กรควรดูภาพจากกล้องได้ ผู้ที่ควรเข้าถึงได้ควรเป็นบุคคลที่มีหน้าที่โดยตรง เช่น เจ้าหน้าที่รักษาความปลอดภัย หัวหน้าฝ่ายความปลอดภัย ฝ่าย IT ที่ดูแลระบบ หรือผู้บริหารที่ได้รับมอบหมาย

องค์กรควรมีบัญชีผู้ใช้แยกตามบุคคล ไม่ใช้รหัสผ่านร่วมกัน และควรมี Log บันทึกว่าใครเข้าดู ดาวน์โหลด หรือคัดลอกข้อมูลเมื่อใด การเปิดภาพ CCTV ให้บุคคลอื่นดูโดยไม่จำเป็น เช่น เปิดให้พนักงานดูเพื่อความสนุก ส่งคลิปในกลุ่มไลน์ หรือโพสต์ลงโซเชียล อาจเป็นการใช้ข้อมูลผิดวัตถุประสงค์และกระทบสิทธิของเจ้าของข้อมูล

5. ห้ามเผยแพร่ภาพ CCTV โดยไม่จำเป็น

กรณีเกิดเหตุการณ์ เช่น ลูกค้าทะเลาะกัน พนักงานทำผิด หรือมีอุบัติเหตุ องค์กรไม่ควรนำภาพ CCTV ไปเผยแพร่สาธารณะ เว้นแต่มีเหตุผลทางกฎหมายหรือได้รับคำสั่งจากเจ้าหน้าที่ที่มีอำนาจ แม้การเผยแพร่อาจมีเจตนาเตือนภัย แต่หากเห็นใบหน้าหรือระบุตัวบุคคลได้ อาจละเมิดสิทธิส่วนบุคคล

หากจำเป็นต้องใช้ภาพเพื่ออบรมภายใน ควรเบลอใบหน้า ทะเบียนรถ หรือข้อมูลที่ระบุตัวบุคคลได้ และควรใช้เฉพาะส่วนที่จำเป็นเท่านั้น

6. ดูแลระบบ CCTV ให้ปลอดภัย

ระบบ CCTV ยุคใหม่มักเชื่อมต่อกับเครือข่ายและอินเทอร์เน็ต ทำให้มีความเสี่ยงด้านไซเบอร์ องค์กรควรเปลี่ยนรหัสผ่านเริ่มต้น อัปเดต Firmware แยก VLAN สำหรับกล้อง จำกัดการเข้าถึงจากภายนอก ใช้ VPN แทนการเปิด Port ตรง ตรวจสอบสิทธิ์ผู้ใช้งาน และสำรองข้อมูลเฉพาะที่จำเป็น

สำหรับองค์กรที่มีหลายสาขา เช่น โรงแรม คอนโด โรงงาน หรือสำนักงานหลายแห่ง ควรมีมาตรฐานเดียวกัน เช่น Naming Standard ของกล้อง, Policy การเก็บข้อมูล, สิทธิ์การเข้าถึง, Audit Log และขั้นตอนการขอดูภาพย้อนหลัง

กรณีใช้ CCTV ในบ้าน คอนโด หรือร้านค้าส่วนตัว

บุคคลทั่วไปที่ติดตั้ง CCTV เพื่อความปลอดภัยในบ้าน โดยกล้องจับเฉพาะพื้นที่ส่วนตัวของตนเอง เช่น ภายในบ้าน หน้าประตูบ้าน หรือโรงรถ อาจมีความเสี่ยงต่ำกว่าองค์กร แต่ยังควรระวังไม่ให้กล้องหันไปบันทึกพื้นที่ของผู้อื่นโดยไม่จำเป็น เช่น บ้านเพื่อนบ้าน ห้องพักคนอื่น หรือพื้นที่ส่วนกลางที่ไม่เกี่ยวข้อง

สำหรับร้านค้า ร้านอาหาร โฮมออฟฟิศ หรือบ้านที่มีพนักงาน แม่บ้าน ลูกจ้าง หรือผู้มาติดต่อเป็นประจำ ควรติดป้ายแจ้งว่ามี CCTV และไม่ควรใช้กล้องเพื่อสอดส่องชีวิตส่วนตัวของพนักงานเกินสมควร เพราะแม้จะเป็นพื้นที่ส่วนตัว แต่หากมีการบันทึกภาพบุคคลอื่นเป็นประจำ ก็อาจเกี่ยวข้องกับหลักการคุ้มครองข้อมูลส่วนบุคคลได้

Checklist สำหรับองค์กรที่ต้องการทำ PDPA และ CCTV ให้ถูกต้อง

  1. สำรวจว่ามีการเก็บข้อมูลส่วนบุคคลอะไรบ้าง
  2. แยกประเภทข้อมูล เช่น ข้อมูลลูกค้า พนักงาน คู่ค้า ผู้มาติดต่อ และภาพ CCTV
  3. กำหนดวัตถุประสงค์การเก็บข้อมูลให้ชัดเจน
  4. จัดทำ Privacy Notice สำหรับเว็บไซต์ ลูกค้า พนักงาน และ CCTV
  5. ติดป้ายแจ้ง CCTV ในทุกพื้นที่ที่มีการบันทึกภาพ
  6. กำหนดระยะเวลาเก็บภาพย้อนหลัง
  7. จำกัดสิทธิ์ผู้ดูแลระบบ CCTV
  8. ห้ามส่งต่อหรือเผยแพร่ภาพโดยไม่มีเหตุผล
  9. ตั้งค่าความปลอดภัยของ NVR, DVR, กล้อง IP และระบบเครือข่าย
  10. อบรมพนักงานให้เข้าใจการใช้ข้อมูลอย่างถูกต้อง
  11. มีขั้นตอนรับคำร้องจากเจ้าของข้อมูล
  12. มีแผนรับมือกรณีข้อมูลรั่วไหลหรือระบบ CCTV ถูกเข้าถึงโดยไม่ได้รับอนุญาต

ข้อผิดพลาดที่พบบ่อยเกี่ยวกับ PDPA และ CCTV

หลายองค์กรยังเข้าใจผิดว่า “ติดป้าย CCTV แล้วจบ” แต่ความจริงยังต้องมีนโยบาย การจำกัดสิทธิ์ ระยะเวลาเก็บข้อมูล และมาตรการรักษาความปลอดภัย อีกข้อผิดพลาดที่พบบ่อยคือการใช้รหัสผ่านเดียวกันทั้งทีม ทำให้ตรวจสอบย้อนหลังไม่ได้ว่าใครเข้าดูหรือคัดลอกภาพ

อีกปัญหาสำคัญคือการเก็บภาพไว้นานเกินไปโดยไม่มีเหตุผล เปิด Port ดูกล้องจากภายนอกโดยไม่ปลอดภัย หรือส่งคลิปเหตุการณ์ให้บุคคลที่ไม่เกี่ยวข้อง สิ่งเหล่านี้อาจกลายเป็นความเสี่ยงทั้งด้าน PDPA และ Cybersecurity โดยเฉพาะองค์กรที่มีลูกค้า พนักงาน หรือผู้มาติดต่อจำนวนมากในแต่ละวัน

แนวทางสำหรับฝ่าย IT และผู้ดูแลระบบ CCTV

ฝ่าย IT มีบทบาทสำคัญในการทำให้ระบบ CCTV สอดคล้องกับ PDPA เพราะระบบกล้องในปัจจุบันเป็นส่วนหนึ่งของโครงสร้างพื้นฐานด้านเครือข่ายและความปลอดภัย องค์กรควรกำหนดมาตรฐานการตั้งค่ากล้อง การเข้าถึงระบบ การสำรองข้อมูล และการตรวจสอบย้อนหลังให้ชัดเจน

  • เปลี่ยนรหัสผ่านเริ่มต้นของกล้องและ NVR ทันทีหลังติดตั้ง
  • ใช้รหัสผ่านที่คาดเดายาก และไม่ใช้บัญชีร่วมกัน
  • แยก Network หรือ VLAN สำหรับ CCTV ออกจากระบบสำนักงาน
  • จำกัดการเข้าถึงระบบจากภายนอกผ่าน VPN
  • อัปเดต Firmware ตามคำแนะนำของผู้ผลิต
  • ตรวจสอบ Log การเข้าใช้งานอย่างสม่ำเสมอ
  • ตั้งค่าสิทธิ์ผู้ใช้งานตามหน้าที่จริง
  • ปิดบริการที่ไม่จำเป็น เช่น UPnP หรือ Port Forwarding ที่ไม่มีการควบคุม

บทสรุป

PDPA เป็นเรื่องสำคัญของทุกองค์กร เพราะข้อมูลส่วนบุคคลคือข้อมูลที่ต้องได้รับการดูแลอย่างรับผิดชอบ โดยเฉพาะภาพจากกล้อง CCTV ซึ่งเกี่ยวข้องทั้งเรื่องความปลอดภัยและความเป็นส่วนตัว องค์กรควรติดป้ายแจ้งให้ชัด มี Privacy Notice จำกัดสิทธิ์การเข้าถึง กำหนดระยะเวลาเก็บข้อมูล และดูแลระบบให้ปลอดภัย หากทำได้ครบถ้วน ไม่เพียงลดความเสี่ยงทางกฎหมาย แต่ยังช่วยสร้างความเชื่อมั่นให้ลูกค้า พนักงาน คู่ค้า และผู้มาติดต่อได้อย่างมืออาชีพ

สำหรับบุคคลทั่วไป การติดตั้ง CCTV ในบ้านหรือร้านค้าก็ควรใช้อย่างระมัดระวัง ไม่หันกล้องไปละเมิดพื้นที่ส่วนตัวของผู้อื่น และไม่เผยแพร่ภาพโดยไม่จำเป็น เพราะหัวใจสำคัญของ PDPA ไม่ใช่การห้ามใช้ข้อมูล แต่คือการใช้ข้อมูลอย่างเหมาะสม โปร่งใส ปลอดภัย และเคารพสิทธิของทุกคน

FAQ คำถามที่พบบ่อย

ติด CCTV ในองค์กรต้องขอความยินยอมทุกคนหรือไม่?

ไม่จำเป็นเสมอไป หากติดตั้งเพื่อรักษาความปลอดภัย องค์กรอาจใช้ฐานทางกฎหมายที่เหมาะสม เช่น ประโยชน์โดยชอบด้วยกฎหมาย แต่ต้องแจ้งให้ทราบอย่างชัดเจน เช่น ติดป้าย CCTV และมี Privacy Notice อธิบายรายละเอียดการเก็บ ใช้ และดูแลข้อมูล

ภาพจากกล้อง CCTV ถือเป็นข้อมูลส่วนบุคคลหรือไม่?

ถือเป็นข้อมูลส่วนบุคคล หากภาพนั้นสามารถระบุตัวบุคคลได้ เช่น เห็นใบหน้า ทะเบียนรถ เครื่องแบบ รูปร่าง หรือพฤติกรรมที่สามารถเชื่อมโยงถึงบุคคลใดบุคคลหนึ่งได้ ดังนั้นองค์กรต้องดูแลภาพจาก CCTV อย่างเหมาะสมตามหลัก PDPA

องค์กรควรเก็บภาพ CCTV ไว้นานเท่าไร?

ควรเก็บเท่าที่จำเป็นตามวัตถุประสงค์ เช่น 15–30 วันสำหรับพื้นที่ทั่วไป หรือมากกว่านั้นในพื้นที่เสี่ยงสูง ทั้งนี้ควรมีนโยบายชัดเจน หากไม่มีเหตุการณ์ผิดปกติ เมื่อครบกำหนดควรลบหรือเขียนทับข้อมูลโดยอัตโนมัติ