Disqus Widget การประมวลผลข้อมูลที่ไม่ชอบด้วยกฎหมาย

HIGHLIGHTS 

• การใช้ระบบการเฝ้าติดตาม วิเคราะห์ข้อมูล และโปรไฟลิ่ง (tracking, analytic, profiling) ผ่านแพลตฟอร์มการแบ่งปันความคิดเห็นสาธารณะทางออนไลน์ถือเป็นการประมวลผลข้อมูลส่วนบุคคล
• การใช้ widget plug-in ที่เป็นการประมวลผลข้อมูลส่วนบุคคลดังกล่าว ผู้ให้บริการจึงมีหน้าที่ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลด้วย

           Datatilsynet เป็นหน่วยงานบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศนอร์เวย์ ขณะที่ Disqus Inc. เป็นบริษัทสัญชาติอเมริกันที่นำเสนอแพลตฟอร์มการแบ่งปันความคิดเห็นสาธารณะทางออนไลน์ ซึ่งผู้ใช้สามารถเข้าสู่ระบบและสร้างโปรไฟล์เพื่อเข้าร่วมการสนทนาได้ 

           Datatilsynet จะลงโทษปรับทางปกครอง Disqus เป็นเงินจำนวนราว ๆ 2.5 ล้านยูโร เนื่องจากการกระทำความผิดดังนี้

1.ประมวลผลข้อมูลส่วนบุคคลของพลเมืองนอร์เวย์ผ่านทางเว็บไซต์ต่าง ๆ (NRK.no/ytring, P3.no, tv.2.no/broom, khrono.no, adressa.no, rights.no และ document.no) โดยใช้ระบบการเฝ้าติดตาม วิเคราะห์ข้อมูล และโปรไฟลิ่ง (tracking, analytic, profiling) และเปิดเผยข้อมูลส่วนบุคคลโดยไม่มีฐานทางกฎหมาย ซึ่งเป็นการกระทำที่ขัดต่อมาตรา 5(1)(a) และ 6(1) ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรปหรือ GDPR 

คดีนี้ Datatilsynet เห็นว่า Disqus ประมวลผลข้อมูลส่วนบุคคลโดยปราศจากความยินยอมที่ไม่ชอบด้วยกฎหมาย

2.ไม่แจ้งข้อมูลเกี่ยวกับการประมวลผลให้เจ้าของข้อมูลส่วนบุคคลทราบตามที่กฎหมายกำหนด ซึ่งเป็นการกระทำที่ขัดต่อมาตรา 5(1)(a), 12(1) และ 13 GDPR

3.ประมวลผลข้อมูลส่วนบุคคลโดยขัดต่อหลักความรับผิดชอบ (Principle of Accountability) ซึ่งเป็นการกระทำที่ขัดต่อมาตรา 5(2) GDPR

ข้อเท็จจริงเกี่ยวกับการกระทำความผิดในคดีนี้ สืบเนื่องมาจากการเผยแพร่ข่าวของสื่อมวลชนในประเทศนอร์เวย์เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของ Disqus โดยการใช้ “Disqus Widget” เป็น plug-in เพื่อเชื่อมต่อเว็บไซต์เหล่านั้นเข้ากับแพลตฟอร์มการแบ่งปันความคิดเห็นสาธารณะที่ให้บริการโดย Disqus

จากบทความข่าวที่เผยแพร่ Disqus ได้รวบรวมและเปิดเผยข้อมูลส่วนบุคคลแก่พันธมิตรโฆษณาและบุคคลที่สาม และจากข้อมูลข่าวเหล่านี้ Datatilsynet จึงได้มีหนังสือลงวันที่ 8 พฤษภาคม 2563 ไปยัง Disqus เพื่อขอให้บริษัทให้ข้อมูลเพิ่มเติมเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของพลเมืองนอร์เวย์ผ่านทาง Disqus widget ที่เชื่อมต่อกับเว็บไซต์ต่าง ๆ ของประเทศนอร์เวย์ และ Disqus ได้มีหนังสือลงวันที่ 10 กรกฎาคม 2563 เพื่อตอบและอธิบายข้อสงสัยของ Datatilsynet

“หนังสือแจ้งการปรับ” (Advance Notification of an Administrative Fine) ดังกล่าวเป็นขั้นตอนก่อนการออกคำสั่งปรับในขั้นตอนสุดท้าย ซึ่ง Disqus ยังคงมีสิทธิโต้แย้งความเห็นของ Datatilsynet ได้ภายในวันที่ 31 พฤษภาคม 2564 นี้

คดีดังกล่าวมีความน่าสนใจทั้งในแง่การบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคล และกฎหมายวิธีปฏิบัติราชการทางปกครอง ดังนี้

ในด้านกฎหมายวิธีปฏิบัติราชการทางปกครอง

1.“หนังสือแจ้งการปรับ” เป็นการสรุปข้อเท็จจริงที่ได้จากการแสวงหาข้อเท็จจริงและการรวมรวมพยานหลักฐาน ข้อกฎหมายรวมถึงบทกำหนดโทษเบื้องต้น เพื่อให้คู่กรณีได้ทราบรายละเอียดของข้อกล่าวหาว่ากระทำความผิดอย่างไร และยังมีช่วงเวลาประมาณ 30 วัน เพื่อให้คู่กรณีโต้แย้งได้

ผู้เขียนเห็นว่าวิธีการก่อนการออกคำสั่งทางปกครอง (คำสั่งปรับ) ดังกล่าวจะช่วยให้วิธีปฏิบัติราชการทางปกครองของหน่วยงานกำกับดูแลที่ใช้อำนาจกึ่งตุลาการมีความโปร่งใสมากขึ้น ซึ่งแม้ว่ากระบวนการก่อนการออกคำสั่งดังกล่าวอาจจะทำให้เกิดความยุ่งยากและเพิ่มขั้นตอนแก่หน่วยงานบังคับใช้กฎหมายหรือแม้ว่าในท้ายที่สุดแล้วคำสั่งปรับทางปกครองก็อาจจะไม่ได้มีความแตกต่างจากหนังสือแจ้งการปรับในส่วนที่เป็นสาระสำคัญก็ตาม แต่การสร้างความโปร่งใสดังกล่าวจะทำให้การใช้อำนาจขององค์กรกำกับดูแลได้รับความไว้วางใจจากสาธารณะมากยิ่งขึ้น โดยเฉพาะเมื่อบทกำหนดโทษมีความรุนแรง

2.”หลักการปฏิบัติหน้าที่โดยตำแหน่ง” (ex officio) ในกรณีนี้จะเห็นว่าไม่มีผู้ร้องเรียนต่อ Datatilsynet โดยตรง แต่พฤติกรรมการกระทำผิดปรากฏจากการสืบค้นข้อมูลของสื่อมวลชนและเผยแพร่ต่อสาธารณะ เมื่อ Datatilsynet ที่เป็นองค์กรบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลพบเห็นหรือทราบเรื่องราวเกี่ยวกับการกระทำที่อาจจะผิดต่อกฎหมายคุ้มครองข้อมูลส่วนบุคคล จึงริเริ่มกระบวนการค้นหาความจริงด้วยตนเอง

              ในด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคล คดีนี้น่าจะถือว่าเป็นครั้งแรกที่หน่วยงานบังคับใช้กฎหมายนำ “หลักความรับผิดชอบ” (Principle of Accountability) มาใช้เป็นฐานในการลงโทษปรับการกระทำความผิดด้วย หลักความรับผิดชอบถือเป็นหลักการสำคัญตาม GDPR ที่กำหนดให้เป็นหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคลที่นอกจากต้องปฏิบัติตามหลักเกณฑ์ต่าง ๆ ที่เข้มงวดของ GDPR แล้ว ยังมีหน้าที่ต้องแสดงให้เห็นหรือพิสูจน์ด้วยว่าองค์กรนั้น ๆ ได้ปฏิบัติตามกฎหมายแล้ว

           จากคดีข้างต้น ผู้เขียนมีข้อพึงระวังและข้อสังเกตสำหรับเจ้าของเว็บไซต์ ดังนี้

1.องค์กรที่ใช้เว็บไซต์เป็นช่องทางหนึ่งในการสร้างปฏิสัมพันธ์กับลูกค้ามีความจำเป็นต้องสอบทานว่า widget, plug-in หรือ cookies ต่าง ๆ ที่นำมาใช้บนเว็บไซต์ของตนเองมี “การประมวลผลข้อมูลส่วนบุคคล” ของผู้เข้าเยี่ยมชมเว็บไซต์หรือไม่

              จากประสบการณ์ของผู้เขียน ความเข้าใจความหมายของคำว่า “การประมวลผลข้อมูลส่วนบุคคล” ของนักพัฒนา คนออกแบบเว็บ นักการตลาด และลูกค้าสัมพันธ์ กับ Privacy Professionals มักจะไม่ตรงกัน และข้อเท็จจริงก็ปรากฏว่าเว็บไซต์จำนวนมากยังไม่ได้ปรับทิศทางการพัฒนาเว็บไซต์ให้สอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล

ในเรื่องของการใช้ Cookie ID โดยไม่ชอบด้วยกฎหมายนั้น ในเดือนธันวาคม 2563 CNIL ซึ่งเป็นหน่วยงานบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศฝรั่งเศสได้มีคำสั่งปรับ Google เป็นเงินจำนวน 100 ล้านยูโร และ Amazon Europe Core เป็นเงิน 35 ล้านยูโรมาแล้ว

2.ในกรณีที่มีความจำเป็นต้องใช้ widget, plug-in หรือ cookies เพื่อการประมวลผลข้อมูลส่วนบุคคลของผู้เข้าเยี่ยมชมเว็บไซต์ เจ้าของเว็บไซต์ต้องจัดให้มี Privacy Notice และ Cookie Notice ที่แจ้งเงื่อนไขต่าง ๆ เกี่ยวกับการประมวลผลให้ครบถ้วนตามหลักเกณฑ์ที่กฎหมายกำหนดด้วย ซึ่งรวมถึงการโอนข้อมูลส่วนบุคคลไปยังบุคคลที่สาม และการมีหรือการใช้ผู้ประมวลผลข้อมูลส่วนบุคคลด้วย

3.ระหว่างเจ้าของเว็บไซต์และผู้ให้บริการแพลตฟอร์มที่เข้ามาเชื่อมต่อกับเว็บไซต์ขององค์กรไม่ว่าจะในรูปแบบของ widget, plug-in หรือ cookies หากแพลตฟอร์มเหล่านั้นมีการประมวลผลข้อมูลส่วนบุคคลด้วย ระหว่างคู่สัญญาอาจจะต้องจัดให้มี Data Processing Agreement ด้วย แต่ทั้งนี้ก็ขึ้นอยู่กับลักษณะการประมวลผลด้วยว่ารูปแบบการให้บริการนั้น ๆ เจ้าของหรือผู้ให้บริการแพลตฟอร์มจะทำหน้าที่เป็น “ผู้ควบคุมข้อมูลส่วนบุคคล” หรือ “ผู้ประมวลผลข้อมูลส่วนบุคคล” ซึ่งเงื่อนไขทางกฎหมายสำหรับสองกรณีนี้ก็ต่างกันไป

ข้อเท็จจริงข้างต้น แม้จะเป็นคดีที่เกิดขึ้นในสหภาพยุโรป แต่ผู้เขียนเชื่อว่าจะเป็นประโยชน์อย่างยิ่งต่อการทำความเข้าใจหลักการต่าง ๆ ตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งแม้ว่ากฎหมายจะเลื่อนการบังคับใช้ออกไปอีกหนึ่งปี แต่ก็ถือว่าเป็นโอกาสที่องค์กรต่าง ๆ จะมีเวลาในการปรับทิศทางขององค์กรในการประมวลข้อมูลส่วนบุคคลให้สอดคล้องกับกฎหมายมากยิ่งขึ้น ทั้งนี้ ไม่ว่าจะเป็นเรื่องของความยินยอมที่ชอบด้วยกฎหมาย การแจ้งการประมวลผล และหลักความรับผิดชอบ ในทัศนะของผู้เขียนพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ก็บัญญัติไม่แตกต่างจาก GDPR มากนัก.

บทความโดย

ศุภวัชร์ มาลานนท์, CIPP/E Certified Information Privacy Professional/ Europe คณะนิติศาสตร์ มหาวิทยาลัยสงขลานครินทร์

ชิโนภาส อุดมผล Optimum Solution Defined (OSD)

 อ้างอิง

Datatilsynet, Advance notification of an administrative fine – Disqus Inc., dated 02.05.2021