กฎหมายคุ้มครองข้อมูลส่วนบุคคล: กรณีศึกษาจากประเทศฝรั่งเศส

ฐานละเมิดกฎหมายคุ้มครองข้อมูลส่วนบุคคล (EU General Data Protection Regulation, GDPR)อันเนื่องมากจากการทำการตลาดผ่านการโทรศัพท์​ไปยังลูกค้า(Cold-calling marketing campaigns) ซึ่งCNILให้เหตุผลว่าบริษัทดังกล่าวไม่มีการให้ข้อมูลที่เป็นประโยชน์และเพียงพอแก่ลูกค้าในการใช้สิทธิปฏิเสธการรับโฆษณาหรือบริการ (Opt-out request)และไม่มีการจัดเตรียมมาตรการด้านความมั่นคงปลอดภัยของข้อมูลส่วนส่วนบุคคลอย่างเพียงพอและเหมาะสมในการโอนข้อมูลฯไปยังผู้ให้บริการระบบคอลเซ็นเตอร์ของตนที่ตั้งอยู่นอกสหภาพยุโรป(International transfer) ในการให้เหตุผลของCNIL (Commission Nationale de l’Informatique et des Libertés)​ นอกจากอธิบายให้เห็นว่าการกระทำหรืองดเว้นการกระทำใดถือเป็นการละเมิดต่อกฎหมายคุ้มครองส่วนบุคคลแล้ว CNIL ยังได้วางแนวทางและมาตราการที่เพียงพอสำหรับผู้ประกอบการในการเก็บ รวบรม ใช้ และประมวลผลข้อมูลฯอีกด้วย

ในเมืองไทยเองช่วงนี้อยู่ระหว่างการชะลอการบังคับใช้พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และหลายผู้ประกอบการกำลังตื่นตัวกับการจัดให้องค์กร​หรือธุรกิจของตนมีมาตรการที่ถูกต้องเหมาะสมเพื่อให้เป็นไปตามกฎหมาย ในวันนี้ผู้เขียนจึงจะขอนำคดีดังกล่าวมาเป็นกรณีศึกษาเพื่อให้เป็นแนวทางในการจัดเตรียมมาตรฐานต่าง ๆ ให้เป็นไปตามกฎหมาย

โดยคดีดังกล่าว FuturaInternationaleบริษัทในฝรั่งเศสได้ทำสัญญาว่าจ้างให้บริษัทคอลเซ็นเตอร์แห่งหนึ่งในแอฟริกา(Data processor) ให้รับผิดชอบในการโทรเสนอบริการขายและแนะนำผลิตภัณฑ์ทางโทรศัพท์​โดย FuturaInternationaleเป็นฝ่ายผู้จัดเตรียมข้อมูลในการติดต่อ ซึ่งทั้ง 2 บริษัทถูกCNIL ตัดสินว่าการกระทำหรืองดเว้นการกระทำของทั้ง 2 บริษัทไม่เป็นไปตามGDPRในฐานความผิดดังต่อไปนี้

(1) ทำการประมวลผลข้อมูลส่วนบุคคลด้านสุขภาพของลูกค้าโดยทำการบันทึกบทสนทนาดังกล่าวโดยไม่มีวัตถุประสงค์ที่ชัดแจ้งและเฉพาะเจาะจงเป็นการขัดกับหลักการที่ต้องทำการประมวลผลข้อมูลเพียงเท่าที่จำเป็น (Data minimization principle)

(2) FuturaInternationaleไม่ได้แจ้งวัตถุประสงค์อย่างชัดเจนแก่เจ้าของข้อมูลมูลส่วนบุคคลว่าการเก็บข้อมูลดังกล่าวมีวัตถุประสงค์ในการโทรเสนอบริการขายและแนะนำผลิตภัณฑ์ทางโทรศัพท์​ไปยังลูกค้ารวมถึงมีการบันทึกการสนทนาด้วย

(3) ไม่มีการจัดให้มีช่องทางการปฏิเสธการรับบริการอย่างชัดแจ้ง(Effective right of objection procedure) การจัดให้มีช่องทางการปฏิเสธการบริการนี้CNILได้พิจารณารายละเอียดไปถึงว่าผู้ให้บริการต้องจัดทำมาตรการต่าง ๆ เช่นบันทึกรายชื่อจำนวนลูกค้าที่ปฏิเสธการแนะนำผลิตภัณฑ์ทางโทรศัพท์ทั้งนี้เพื่อเป็นการลดความเสี่ยงจากความผิดพลาดในการใช้และประมวลผลข้อมูลส่วนบุคคล

(4) CNILยังได้ให้เหตุผลด้วยว่า FuturaInternationaleไม่ได้จัดให้มีมาตรการด้านความปลอดภัยที่เหมาะสมและเพียงพอสำหรับการโอนข้อมูลไปยังศูนย์ข้อมูลที่ตั้งในต่างประเทศ (Data center)รวมถึงไม่มีการจัดทำสัญญาที่ถูกต้องครบถ้วนในการให้ผู้รับจ้างช่วงเป็นผู้ประมวลผลข้อมูล (Data processing agreement)

โดยCNIL​ ได้วางกรอบให้แก่ผู้ประกอบการในการทำบริการขายและแนะนำผลิตภัณฑ์ทางโทรศัพท์ (Telemarketing) ​ไว้ดังต่อไปนี้

(1) ผู้ให้บริการต้องจัดให้มีช่องทางการปฏิเสธการขายและแนะนำผลิตภัณฑ์ทางโทรศัพท์​อย่างชัดเจนและในขณะเดียวกันผู้ประกอบการต้องจัดให้มีการเก็บข้อมูลการปฏิเสธดังกล่าวและมีการจำกัดการนำเสนอบริการขายและแนะนำผลิตภัณฑ์ทางโทรศัพท์ให้แก่ลูกค้าที่ทำการปฏิเสธโดยอัตโนมัติ

(2) ระหว่างการโทรผู้ให้บริการต้องจัดให้มีการแจ้งสิทธิแก่เจ้าของข้อมูลส่วนบุคคลอย่างชัดเจนและจัดให้มีช่องทางการเข้าถึงนโยบายการคุ้มครองข้อมูลฯ(Privacy policy) โดยการกดเลขหมาย (Telephone key) เพื่อเข้าไปฟังหรือแจ้งเป็นอีเมล์ไปยังเจ้าของข้อมูล

(3) ต้องจัดให้มีมาตรการด้านความมั่นคงปลอดภัยอย่างเพียงพอและเหมาะสมในกรณีที่มีการโอนข้อมูลส่วนบุคคลไปยังผู้ประมวลผลข้อมูลที่อยู่ต่างประเทศ​ โดยการจัดทำเทคโนโลยีด้านความปลอดภัยและรวมถึงการจัดให้มีการทำสัญญาให้มีการกำหนดขอบเขต หน้าที่ ความรับผิดอย่างชัดเจนระหว่างผู้ควบคุมข้อมูลกับผู้ประมวลผลข้อมูล

จากข้อกล่าวหาและคำแนะนำของCNILจะเห็นได้ว่าCNILให้ความสำคัญกับการวางระบบภายในขององค์กรเช่น การจัดทำบัญชีรายชื่อผู้ปฏิเสธบริการ การทำสัญญาระหว่างผู้รับจ้างช่วงการวางมาตรการหรือจัดให้มีช่องทางการใช้สิทธิของเจ้าของข้อมูล ดังนั้นการจัดการระบบภายในก็​มีส่วนสำคัญอย่างมากต่อการพิจรณาว่าแต่ละองค์กรละเลยการดำเนินการให้เป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลหรือไม่

หากกรณีนี้เกิดขึ้นในประเทศไทยนั้นผู้ให้บริการต้องดำเนินการตามมาตรา 22 ของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ​ ซึ่งกำหนดให้การเก็บรวมรวมข้อมูลฯนั้นให้เก็บรวมรวมได้เท่าที่จำเป็นเท่านั้น มาตรา 23 ในการเก็บรวบรวมข้อมูลฯ ผู้ควบคุมข้อมูลฯจะต้องแจ้งให้เจ้าของข้อมูลฯทราบก่อนหรือขณะเก็บข้อมูลฯถึงวัตถุประสงค์ของการเก็บรวบรวม และมาตรา 28 ในกรณีที่ผู้ควบคุมข้อมูลฯส่งหรือโอนข้อมูลฯไปยังต่างประเทศประเทศปลายทางหรือองค์กรระหว่างประเทศที่เป็นผู้รับต้องมีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอและเหมาะสม

แนวทางการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทยจะเป็นอย่างไรและผู้ประกอบการจะสามารถนำแนวทางที่ CNIL ให้ความเห็นไว้ในคดีข้างต้นมาเป็นแนวทางการปฏิบัติตามกฎหมายได้หรือไม่ ย่อมเป็นประเด็นที่น่าสนใจอย่างยิ่ง.

โดย...

ศุภวัชร์ มาลานนท์

คณะนิติศาสตร์ มหาวิทยาลัยสงขลานครินทร์

Max Planck Institute Luxembourg

ชิโนภาส อุดมผล

Optimum Solution Defined (O S D Co., Ltd.)