ผู้เชี่ยวชาญ PDPA เฉลย “ความลับบนบัตรเลือกตั้ง” เป็น “ข้อมูลส่วนบุคคล” หรือไม่

24 กุมภาพันธ์ 2569 กรณี “บัตรเลือกตั้ง ไม่ลับ” ถูกคนการเมืองและภาคประชาชนยื่นฟ้องร้อง และตรวจสอบหลายช่องทาง ทั้งผู้ตรวจการแผ่นดิน เพื่อส่งต่อศาลรัฐธรรมนูญ ทั้งศาลปกครองกลาง ศาลปกครองสูงสุด และศาลอาญาคดีทุจริตฯ  แต่ช่องทางหนึ่งที่ถูกพูดถึงน้อย ทั้งๆ ที่เกี่ยวข้องกับ “ความลับ” ในแง่ของ “ข้อมูลส่วนบุคคล” โดยตรง ตามที่รับรองไว้ในรัฐธรรมนูญและกฎหมาย ก็คือ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) หรือที่รู้จักกันในชื่อ PDPC ภายใต้ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ กฎหมาย PDPA  ที่ผ่านมามีคำร้อง “บัตรเลือกตั้ง ไม่ลับ” ถูกร้องไปที่ PDPC เช่นกัน
 

รายการเนชั่นวิเคราะห์ข่าว เนชั่นทีวี สัมภาษณ์ ศุภวัชร์ มาลานนท์ ผู้เชี่ยวชาญด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคล เกี่ยวกับประเด็นการละเมิดกฎหมาย และข้อควรระวังของหน่วยงานต่างๆ ที่เกี่ยวข้องกับบัตรเลือกตั้ง และกระบวนการออกเสียงเลือกตั้ง รวมไปถึงการที่พรรคการเมืองอย่าง “พรรคประชาชน” เก็บข้อมูล “เลเซอร์ ไอดี” หลังบัตรประจำตัวประชาชนของผู้ที่สมัครเข้าเป็นสมาชิกพรรคส้มด้วย

 

ศุภวัชร์ อธิบายในเบื้องต้นว่า ก่อนจะไปพิจารณาว่า การทำให้บัตรเลือกตั้ง “ไม่ลับ” ละเมิดกฎหมาย PDPA หรือเปล่า ต้องตอบให้ได้ก่อนว่า คณะกรรมการการเลือกตั้ง หรือ กกต. อยู่ภายใต้กฎหมาย PDPA หรือไม่
 

ประเด็นนี้ ศุภวัชร์ยืนยันว่า กกต. มีสถานะเป็น "ผู้ควบคุมข้อมูลส่วนบุคคล" (Data Controller) จึงมีหน้าที่ต้องปฏิบัติตามกฎหมาย PDPA อย่างเคร่งครัด
 

ฉะนั้นข้อมูลบนบัตรเลือกตั้ง จึงเป็นข้อมูลส่วนบุคคล เพราะข้อมูลใดๆ ที่สามารถเชื่อมโยงกลับไประบุตัวตนผู้ใช้สิทธิได้ ไม่ว่าจะทางตรงหรือทางอ้อม ถือเป็นข้อมูลส่วนบุคคลทั้งสิ้น
 

ทั้งยังเป็น “ข้อมูลอ่อนไหว” เพราะเกี่ยวข้องกับความเห็นทางการเมือง ซึ่งต้องได้รับการคุ้มครองเป็นพิเศษตามกฎหมาย 
 

 

ศุภวัชร์ กล่าวต่อว่า การกระทำของ กกต.ที่เกี่ยวกับบัตรเลือกตั้ง มีหน้าที่รักษาความลับทุกขั้นตอน แม้กระทั่งการจ้างโรงพิมพ์ภายนอกเพื่อพิมพ์บัตรเลือกตั้ง ก็ต้องถือเป็นความสัมพันธ์ระหว่าง "ผู้ควบคุมข้อมูล" คือ กกต. กับ “โรงพิมพ์” ฉะนั้น กกต.ต้องจัดทำข้อตกลงกับผู้รับจ้างพิมพ์บัตรเลือกตั้ง เพื่อกำหนดมาตรการรักษาความปลอดภัยของข้อมูล และป้องกันไม่ให้ผู้รับจ้างนำข้อมูลไปใช้ผิดวัตถุประสงค์ด้วย
 

ที่สำคัญ กกต.มีหน้าที่จัดให้มีมาตรการรักษาความปลอดภัย ทั้งทางเทคนิคและกายภาพ หากปล่อยให้ข้อมูลหลุดหรือถูกแฮ็ก อาจมีความผิดตามมาตรา 37(1) ของกฎหมาย PDPA ซึ่งเคยมีกรณีหน่วยงานรัฐและเอกชนถูกปรับหลักล้านบาทมาแล้ว 
 

 

ส่วนประเด็นการเก็บข้อมูล “เลเซอร์ ไอดี” ของพรรคประชาชนนั้น ศุภวัชร์ บอกว่า พรรคการเมืองในฐานะนิติบุคคล มีหน้าที่คุ้มครองข้อมูลสมาชิกเช่นเดียวกับหน่วยงานอื่น
 

ขณะที่การเก็บ “เลเซอร์ ไอดี” หลังบัตรประชาชน การจะพิจารณาว่ากระทำได้หรือไม่ ต้องยึดหลัก “ความจำเป็นต่อวัตถุประสงค์” หากพรรคกระทำการ "เกินความจำเป็น" ก็อาจเข้าข่ายละเมิด ซึ่งทางพรรคต้องพิสูจน์ให้ได้ว่า มีความจำเป็นต่อวัตถุประสงค์อย่างไร และได้สัดส่วนที่เหมาะสมหรือไม่
 

ทั้งนี้ หากพรรคประชาชนอ้างการเก็บข้อมูลโดยใช้ความยินยอม หรือ Consent ต้องมั่นใจว่า ผู้สมัครสมาชิกพรรคให้ความยินยอม “โดยอิสระ" ไม่ได้ถูกบังคับ หรือถูกกดดันครอบงำใดๆ
 

สิ่งสำคัญคือ เมื่อตรวจสอบหรือยืนยันตัวตนเสร็จสิ้นแล้ว หากเก็บข้อมูลไว้นานเกินความจำเป็นโดยไม่มีฐานกฎหมายรองรับ ก็อาจมีความเสี่ยงละเมิดกฎหมาย PDPA ได้เหมือนกัน
 

ศุภวัชร์ สรุปว่า ไม่ว่าจะเป็น กกต. หรือพรรคการเมือง หัวใจสำคัญคือ การเก็บข้อมูลเท่าที่จำเป็น และการมีมาตรการรักษาความปลอดภัยที่เหมาะสม เพื่อไม่ให้ละเมิดสิทธิของเจ้าของข้อมูล