SC
SmartCityStack
smart-cctv

PDPA กับกล้อง CCTV เก็บภาพอย่างไรให้ถูกกฎหมาย สร้าง Smart City ที่ปลอดภัยและน่าเชื่อถือ

S

SmartCityStack

PDPA กับกล้อง CCTV เก็บภาพอย่างไรให้ถูกกฎหมาย สร้าง Smart City ที่ปลอดภัยและน่าเชื่อถือ

ในยุคที่เทคโนโลยีดิจิทัลเข้ามาขับเคลื่อนการพัฒนาเมืองไปสู่ Smart City กล้องโทรทัศน์วงจรปิด (CCTV) ได้กลายเป็นหัวใจสำคัญที่ช่วยยกระดับความปลอดภัย การจราจร และการบริหารจัดการสาธารณะให้มีประสิทธิภาพมากยิ่งขึ้น ไม่ว่าจะเป็นการตรวจจับอาชญากรรม การจัดการการจราจรแบบเรียลไทม์ หรือการเฝ้าระวังภัยพิบัติ กล้อง CCTV ล้วนมีบทบาทที่ไม่อาจปฏิเสธได้ อย่างไรก็ตาม การใช้งานเทคโนโลยีที่เกี่ยวข้องกับการเก็บรวบรวมภาพเคลื่อนไหว ซึ่งมักจะมีภาพของบุคคลติดไปด้วยนั้น ได้นำมาซึ่งประเด็นสำคัญด้าน ความเป็นส่วนตัว และการคุ้มครอง ข้อมูลส่วนบุคคล โดยเฉพาะอย่างยิ่งภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA (Personal Data Protection Act) ที่มีผลบังคับใช้เต็มรูปแบบ สำหรับเทศบาลและหน่วยงานภาครัฐในฐานะผู้ควบคุมข้อมูลส่วนบุคคล การทำความเข้าใจและปฏิบัติตาม กฎหมาย PDPA ในการติดตั้งและใช้งาน กล้อง CCTV จึงไม่ใช่แค่เรื่องของการปฏิบัติตามกฎ แต่เป็นการสร้างความเชื่อมั่นให้กับประชาชน และยกระดับมาตรฐานการบริหารจัดการเมืองให้มีความโปร่งใสและน่าเชื่อถือ บทความนี้จะเจาะลึกแนวทางการเก็บภาพจากกล้อง CCTV อย่างไรให้ถูกกฎหมาย PDPA และสอดคล้องกับการพัฒนา Smart City อย่างยั่งยืน

PDPA คืออะไร และทำไมถึงสำคัญกับกล้อง CCTV?

PDPA คือ กฎหมาย ที่ออกมาเพื่อคุ้มครอง ข้อมูลส่วนบุคคล ของประชาชน ให้มีความปลอดภัยและถูกนำไปใช้อย่างโปร่งใส โดยกำหนดหลักเกณฑ์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ไม่ว่าจะเป็นข้อมูลชื่อ-นามสกุล ที่อยู่ เบอร์โทรศัพท์ หรือแม้แต่รูปภาพและวิดีโอที่สามารถระบุตัวบุคคลได้ การใช้งาน กล้อง CCTV ของเทศบาลหรือหน่วยงานภาครัฐเพื่อเฝ้าระวังความปลอดภัยในพื้นที่สาธารณะ หรือภายในอาคารสำนักงาน ถือเป็นการเก็บรวบรวมข้อมูลส่วนบุคคลประเภทหนึ่ง เนื่องจากภาพจากกล้องสามารถระบุตัวบุคคลได้ ดังนั้น การดำเนินงานทั้งหมดจึงต้องอยู่ภายใต้กรอบของ PDPA อย่างเคร่งครัด

หลักการสำคัญของ PDPA ที่ต้องรู้

  • การให้ความยินยอม (Consent) โดยหลักแล้วต้องได้รับความยินยอมจากเจ้าของข้อมูล เว้นแต่มีฐานทาง กฎหมาย อื่นรองรับ
  • วัตถุประสงค์ที่ชัดเจน (Purpose Limitation) ต้องเก็บข้อมูลเพื่อวัตถุประสงค์ที่ชัดเจน เฉพาะเจาะจง และชอบด้วย กฎหมาย
  • จำกัดการเก็บข้อมูล (Data Minimization) เก็บเท่าที่จำเป็นตามวัตถุประสงค์ที่แจ้งไว้
  • การรักษาความปลอดภัย (Security) มีมาตรการรักษาความปลอดภัยข้อมูลที่เหมาะสม
  • สิทธิของเจ้าของข้อมูล (Data Subject Rights) เจ้าของข้อมูลมีสิทธิเข้าถึง แก้ไข ลบ และคัดค้านการเก็บข้อมูลของตน

ภาพจากกล้อง CCTV เป็น 'ข้อมูลส่วนบุคคล' หรือไม่?

คำตอบคือ 'ใช่' โดยสภาพแล้ว ภาพจากกล้อง CCTV ที่สามารถบันทึกใบหน้า ท่าทาง หรือลักษณะเฉพาะตัวของบุคคล ทำให้สามารถระบุตัวบุคคลนั้นได้ ถือเป็น ข้อมูลส่วนบุคคล ตามนิยามของ กฎหมาย PDPA แม้ว่าในบางสถานการณ์อาจไม่สามารถระบุตัวตนได้ทันที แต่ก็มีโอกาสที่จะระบุตัวตนได้ในภายหลังจากการนำไปประมวลผลร่วมกับข้อมูลอื่น ๆ ดังนั้น ไม่ว่าจะเป็นการติดตั้ง CCTV ในพื้นที่สาธารณะ เช่น สวนสาธารณะ ถนนหนทาง หรือในอาคารสถานที่ราชการ เทศบาลและหน่วยงานภาครัฐต้องตระหนักว่ากำลังดำเนินการกับ ข้อมูลส่วนบุคคล และต้องปฏิบัติตามข้อกำหนดของ PDPA อย่างเต็มรูปแบบ เพื่อไม่ให้ละเมิด ความเป็นส่วนตัว ของประชาชน

เทศบาลและหน่วยงานภาครัฐ ต้องปฏิบัติตาม PDPA อย่างไรเมื่อใช้ CCTV?

การดำเนินงานของเทศบาลและหน่วยงานภาครัฐ มักจะเกี่ยวข้องกับการบริการสาธารณะและการรักษาความสงบเรียบร้อย ซึ่งเป็นวัตถุประสงค์ที่ชอบด้วย กฎหมาย อย่างไรก็ตาม การนำ กล้อง CCTV มาใช้ จำเป็นต้องมีแนวทางที่ชัดเจนและรัดกุม เพื่อให้สอดคล้องกับ PDPA

หลักความชอบด้วยกฎหมาย (Lawful Basis) ในการเก็บข้อมูล

การเก็บรวบรวม ข้อมูลส่วนบุคคล โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล จะต้องมีฐานทาง กฎหมาย รองรับ ซึ่งฐานที่หน่วยงานภาครัฐมักใช้ในการติดตั้ง CCTV ได้แก่

  • ฐานประโยชน์สาธารณะ (Public Interest) เป็นฐานที่หน่วยงานภาครัฐใช้มากที่สุด เช่น เพื่อรักษาความปลอดภัยสาธารณะ ป้องกันอาชญากรรม หรืออำนวยความสะดวกด้านการจราจร ตามพันธกิจของหน่วยงาน การใช้ฐานนี้ต้องพิสูจน์ได้ว่าการเก็บข้อมูลนั้นเป็นไปเพื่อประโยชน์สาธารณะอย่างแท้จริง และไม่กระทบสิทธิและเสรีภาพของบุคคลเกินสมควร
  • ฐานการปฏิบัติหน้าที่ตามกฎหมาย (Legal Obligation) กรณีที่หน่วยงานมี กฎหมาย เฉพาะกำหนดให้ต้องติดตั้ง CCTV เพื่อวัตถุประสงค์บางอย่าง เช่น กฎหมายเกี่ยวกับความปลอดภัยในสถานที่ทำงาน หรือกฎหมายที่ให้อำนาจเจ้าพนักงานในการสืบสวนสอบสวน
  • ฐานประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) แม้จะใช้ได้ในบางกรณีสำหรับหน่วยงานภาครัฐ เช่น เพื่อความปลอดภัยภายในอาคารสำนักงานของหน่วยงานเอง แต่ต้องมีการชั่งน้ำหนักระหว่างประโยชน์ที่หน่วยงานจะได้รับ กับสิทธิและเสรีภาพของเจ้าของ ข้อมูลส่วนบุคคล อย่างรอบคอบ

การแจ้งให้เจ้าของข้อมูลทราบ (Data Subject Notification)

สิ่งสำคัญคือการแจ้งให้ประชาชนและผู้ที่อาจถูกบันทึกภาพจาก CCTV ทราบถึงการมีอยู่ของกล้อง วัตถุประสงค์ในการเก็บข้อมูล และข้อมูลผู้ควบคุมข้อมูลส่วนบุคคล

  • ป้ายประกาศที่มองเห็นได้ชัดเจน ติดตั้งป้ายหรือสติกเกอร์บริเวณที่มี CCTV แจ้งว่ามีการบันทึกภาพพร้อมข้อความที่เข้าใจง่าย
  • ข้อมูลที่ครบถ้วน ในป้ายควรระบุวัตถุประสงค์การเก็บรวบรวม (เช่น เพื่อความปลอดภัย ป้องกันอาชญากรรม) ชื่อหน่วยงานผู้ควบคุมข้อมูล และช่องทางการติดต่อสำหรับผู้ที่ต้องการใช้สิทธิเกี่ยวกับ ข้อมูลส่วนบุคคล ของตน หรืออาจใช้ QR Code เพื่อลิงก์ไปยังประกาศนโยบาย ความเป็นส่วนตัว ฉบับเต็ม

มาตรการรักษาความปลอดภัยของข้อมูล (Data Security Measures)

เมื่อเก็บ ข้อมูลส่วนบุคคล จาก CCTV แล้ว เทศบาลและหน่วยงานภาครัฐมีหน้าที่ต้องดูแลข้อมูลนั้นให้ปลอดภัย เพื่อป้องกันการเข้าถึง การใช้ หรือการเปิดเผยข้อมูลโดยไม่ได้รับอนุญาต

  • การจำกัดการเข้าถึง กำหนดสิทธิ์การเข้าถึงข้อมูล CCTV ให้เฉพาะบุคลากรที่จำเป็นและได้รับมอบหมายเท่านั้น
  • การจัดเก็บที่ปลอดภัย จัดเก็บไฟล์วิดีโอในระบบที่มีการเข้ารหัส (Encryption) และมีการสำรองข้อมูล (Backup) อย่างสม่ำเสมอ
  • การตรวจสอบและบันทึกกิจกรรม มีระบบบันทึกการเข้าถึงและแก้ไขข้อมูล เพื่อตรวจสอบย้อนหลังในกรณีเกิดเหตุการณ์ไม่พึงประสงค์
  • มาตรการป้องกันไซเบอร์ ระบบ CCTV และเครือข่ายต้องได้รับการปกป้องจากภัยคุกคามทางไซเบอร์ เช่น การโจมตีของมัลแวร์ หรือการแฮกข้อมูล

การกำหนดระยะเวลาการจัดเก็บ (Data Retention Policy)

ข้อมูลส่วนบุคคล ที่เก็บจาก CCTV ควรถูกเก็บไว้เท่าที่จำเป็นตามวัตถุประสงค์ที่แจ้งไว้ และตามที่ กฎหมาย กำหนด หลังจากพ้นระยะเวลาดังกล่าว ควรดำเนินการลบหรือทำลายข้อมูลอย่างปลอดภัย

  • นโยบายที่ชัดเจน กำหนดระยะเวลาการจัดเก็บข้อมูล CCTV ที่สมเหตุสมผล เช่น 7-30 วัน ขึ้นอยู่กับวัตถุประสงค์และความจำเป็น
  • การทำลายข้อมูล เมื่อครบกำหนด ควรมีขั้นตอนการลบหรือทำลายข้อมูลที่รัดกุม เพื่อป้องกันการกู้คืนข้อมูล

การแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)

สำหรับหน่วยงานภาครัฐที่มีการเก็บ ข้อมูลส่วนบุคคล จำนวนมาก หรือมีการประมวลผลข้อมูลที่มีความอ่อนไหวเป็นประจำ อาจจำเป็นต้องแต่งตั้ง DPO เพื่อให้คำแนะนำและตรวจสอบการปฏิบัติตาม PDPA

สิทธิของเจ้าของข้อมูลส่วนบุคคลกับการใช้ CCTV

ภายใต้ PDPA ประชาชนในฐานะเจ้าของ ข้อมูลส่วนบุคคล มีสิทธิหลายประการที่เกี่ยวข้องกับ ภาพจากกล้อง CCTV ของตน ซึ่งเทศบาลและหน่วยงานภาครัฐต้องให้ความสำคัญและจัดให้มีช่องทางในการใช้สิทธิเหล่านี้

  • สิทธิในการเข้าถึง เจ้าของข้อมูลมีสิทธิขอเข้าถึงและขอรับสำเนา ข้อมูลส่วนบุคคล ที่เกี่ยวข้องกับตนเองที่ถูกบันทึกโดย CCTV ได้ (ภายใต้เงื่อนไขที่ กฎหมาย กำหนดและไม่กระทบสิทธิของผู้อื่น)
  • สิทธิในการแก้ไข หากภาพที่ปรากฏใน CCTV ไม่ถูกต้องหรือไม่เป็นปัจจุบัน และสามารถแก้ไขได้ (ซึ่งเกิดขึ้นได้น้อยกับภาพจากกล้อง) เจ้าของข้อมูลมีสิทธิขอให้แก้ไขได้
  • สิทธิในการลบหรือทำลาย เจ้าของข้อมูลมีสิทธิขอให้ลบหรือทำลาย ข้อมูลส่วนบุคคล ที่เก็บไว้เกินความจำเป็น หรือเก็บโดยมิชอบด้วย กฎหมาย
  • สิทธิในการคัดค้าน เจ้าของข้อมูลมีสิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคล ของตน โดยเฉพาะอย่างยิ่งหากเป็นการเก็บรวบรวมภายใต้ฐานประโยชน์สาธารณะหรือประโยชน์โดยชอบด้วย กฎหมาย (ซึ่งหน่วยงานต้องพิจารณาและแจ้งผล)

การจัดให้มีช่องทางที่ชัดเจนและสะดวกในการใช้สิทธิเหล่านี้ จะช่วยสร้างความโปร่งใสและเพิ่มความไว้วางใจให้กับประชาชนต่อการดำเนินงานของหน่วยงานภาครัฐ

ประโยชน์และความท้าทายในการนำ PDPA มาปรับใช้กับ Smart City CCTV

การผสานรวมหลักการ PDPA เข้ากับการใช้งาน CCTV ในโครงการ Smart City ไม่ใช่เพียงภาระหน้าที่ แต่ยังเป็นโอกาสในการสร้างเมืองที่มีคุณภาพและความน่าเชื่อถือ

ประโยชน์ที่เทศบาลและประชาชนจะได้รับ

  • เสริมสร้างความน่าเชื่อถือ การปฏิบัติตาม PDPA แสดงให้เห็นถึงความรับผิดชอบและความใส่ใจต่อ ความเป็นส่วนตัว ของประชาชน สร้างความไว้วางใจและภาพลักษณ์ที่ดีให้กับหน่วยงาน
  • ป้องกันการละเมิดสิทธิ ช่วยลดความเสี่ยงที่ ข้อมูลส่วนบุคคล จะถูกนำไปใช้ในทางที่ผิด หรือถูกเปิดเผยโดยไม่เหมาะสม
  • ยกระดับมาตรฐานการบริหารจัดการ การมีนโยบายและมาตรการที่ชัดเจนเกี่ยวกับ CCTV และ ข้อมูลส่วนบุคคล ทำให้การบริหารจัดการเมืองเป็นระบบและมีประสิทธิภาพมากขึ้น
  • สนับสนุนการพัฒนา Smart City ที่ยั่งยืน การที่ประชาชนรู้สึกปลอดภัยทั้งในแง่กายภาพและในแง่ ข้อมูลส่วนบุคคล จะส่งเสริมการยอมรับเทคโนโลยี Smart City และการมีส่วนร่วมของประชาชน

ความท้าทายและแนวทางแก้ไข

  • งบประมาณและทรัพยากร การปรับปรุงระบบ CCTV เดิมให้สอดคล้องกับ PDPA อาจต้องใช้งบประมาณและบุคลากรในการพัฒนาระบบ จัดอบรม และสร้างนโยบาย แนวทางแก้ไข วางแผนงบประมาณระยะยาว, หาพันธมิตรทางเทคโนโลยี, ใช้โซลูชันที่มีความยืดหยุ่นและปรับแต่งได้
  • ความซับซ้อนของเทคโนโลยี ระบบ CCTV อัจฉริยะ (Smart CCTV) มักมาพร้อมกับเทคโนโลยีวิเคราะห์ภาพขั้นสูง ซึ่งอาจเพิ่มความซับซ้อนในการจัดการ ข้อมูลส่วนบุคคล แนวทางแก้ไข เลือกใช้เทคโนโลยีที่ออกแบบมาพร้อมกับหลักการ Privacy by Design, ปรึกษาผู้เชี่ยวชาญด้าน PDPA และเทคโนโลยี
  • การสร้างความเข้าใจแก่บุคลากร บุคลากรที่เกี่ยวข้องกับการเข้าถึงและดูแล CCTV ต้องมีความรู้ความเข้าใจใน PDPA แนวทางแก้ไข จัดการอบรมอย่างสม่ำเสมอ, จัดทำคู่มือปฏิบัติงานที่ชัดเจน, แต่งตั้ง DPO หรือผู้ประสานงาน PDPA
  • การประยุกต์ใช้กับระบบเดิม ระบบ CCTV ที่ติดตั้งมานานอาจไม่รองรับฟังก์ชันการจัดการ ข้อมูลส่วนบุคคล ตาม PDPA แนวทางแก้ไข ประเมินความเสี่ยงและทยอยปรับปรุง, ใช้โซลูชันซอฟต์แวร์เพิ่มเติมเพื่อจัดการข้อมูล, ทบทวนและอัปเดตนโยบายการจัดเก็บ

การเลือกใช้เทคโนโลยี Smart CCTV ที่รองรับ PDPA ตั้งแต่ขั้นตอนการออกแบบ (Privacy by Design) เช่น ระบบที่สามารถเบลอใบหน้าหรือป้ายทะเบียนรถยนต์ได้โดยอัตโนมัติ จะช่วยลดภาระการจัดการและเพิ่มระดับ ความเป็นส่วนตัว ได้อย่างมีนัยสำคัญ

กรณีศึกษาและตัวอย่างการนำไปปฏิบัติสำหรับหน่วยงานภาครัฐ

หลายเมืองทั่วโลก รวมถึงเมืองอัจฉริยะในประเทศไทย กำลังเผชิญกับความท้าทายในการนำเทคโนโลยี CCTV มาใช้ควบคู่ไปกับการปฏิบัติตาม กฎหมาย คุ้มครอง ข้อมูลส่วนบุคคล การเรียนรู้จากตัวอย่างจริงจะช่วยให้เห็นภาพชัดเจนขึ้น

  • การจัดการจราจรและ Smart Mobility เทศบาลสามารถใช้ CCTV เพื่อวิเคราะห์การจราจร ลดความแออัด และตอบสนองต่อเหตุการณ์ฉุกเฉิน แต่ต้องมั่นใจว่าการเก็บ ข้อมูลส่วนบุคคล (เช่น ป้ายทะเบียนรถ) เป็นไปเพื่อวัตถุประสงค์ที่ชัดเจน และมีการลบข้อมูลที่ไม่จำเป็นเมื่อพ้นระยะเวลาที่กำหนด
  • ความปลอดภัยสาธารณะ (Public Safety) การติดตั้ง CCTV ในสวนสาธารณะ หรือบริเวณที่มีคนพลุกพล่านเพื่อป้องกันอาชญากรรม ต้องมีการแจ้งให้ประชาชนทราบอย่างชัดเจนถึงวัตถุประสงค์ และจำกัดการเข้าถึงภาพแก่เจ้าหน้าที่ผู้มีอำนาจเท่านั้น
  • การบริหารจัดการสิ่งแวดล้อม เช่น การใช้ CCTV ตรวจจับการทิ้งขยะไม่เป็นที่ หรือการบุกรุกพื้นที่ป่าชุมชน ซึ่งอาจบันทึกภาพบุคคลผู้กระทำผิดได้ หน่วยงานต้องมีนโยบายที่โปร่งใสว่า ข้อมูลส่วนบุคคล เหล่านั้นจะถูกใช้เพื่อการบังคับใช้ กฎหมาย เท่านั้น
  • การเฝ้าระวังภัยพิบัติ ในสถานการณ์น้ำท่วม หรือภัยพิบัติอื่น ๆ การใช้ CCTV เพื่อประเมินสถานการณ์และช่วยเหลือประชาชนเป็นประโยชน์สาธารณะที่สำคัญ แต่ต้องมีการกำกับดูแลไม่ให้มีการนำภาพไปใช้ผิดวัตถุประสงค์

สิ่งที่ทุกกรณีศึกษาเน้นย้ำคือ 'ความโปร่งใส' และ 'ความรับผิดชอบ' หน่วยงานต้องพร้อมอธิบายถึงวัตถุประสงค์ มาตรการรักษาความปลอดภัย และการใช้สิทธิของเจ้าของ ข้อมูลส่วนบุคคล

PDPA ไม่ได้มีวัตถุประสงค์เพื่อจำกัดการพัฒนาหรือการใช้เทคโนโลยี CCTV ในการสร้าง Smart City แต่เป็นเครื่องมือสำคัญที่ช่วยให้การใช้งานเทคโนโลยีเหล่านี้เป็นไปอย่างมีประสิทธิภาพ มีธรรมาภิบาล และเคารพต่อสิทธิใน ความเป็นส่วนตัว ของประชาชน สำหรับเทศบาลและหน่วยงานภาครัฐ การลงทุนในการทำความเข้าใจ ปรับปรุงนโยบาย และพัฒนาระบบให้สอดคล้องกับ PDPA จึงเป็นการลงทุนที่คุ้มค่า ไม่ใช่แค่เพื่อหลีกเลี่ยงบทลงโทษตาม กฎหมาย แต่เป็นการสร้างความเชื่อมั่น สร้างความปลอดภัยทาง ข้อมูลส่วนบุคคล และวางรากฐานที่แข็งแกร่งสำหรับการเป็น Smart City ที่น่าอยู่และยั่งยืนอย่างแท้จริง

เตรียมพร้อมสำหรับ Smart City ที่ปลอดภัยและน่าเชื่อถือ

หากเทศบาลหรือหน่วยงานภาครัฐของท่านต้องการคำปรึกษาเพิ่มเติมเกี่ยวกับการประยุกต์ใช้ PDPA กับระบบ CCTV หรือต้องการพัฒนาโซลูชัน Smart City ที่คำนึงถึง ความเป็นส่วนตัว และ ข้อมูลส่วนบุคคล ติดต่อผู้เชี่ยวชาญของเราวันนี้ เพื่อสร้างอนาคตที่ปลอดภัยและน่าเชื่อถือสำหรับเมืองของคุณ

กลับไปบทความทั้งหมด