กฎหมายคุ้มครองข้อมูลส่วนบุคคล : กรณีศึกษาจากประเทศฝรั่งเศส

กฎหมายคุ้มครองข้อมูลส่วนบุคคล : กรณีศึกษาจากประเทศฝรั่งเศส

ถอดบทเรียน "กฎหมายคุ้มครองข้อมูลส่วนบุคคล" กรณีศึกษาจากฝรั่งเศส เพราะเหตุใดภาคเอกชนถึงถูกสั่งปรับเป็นเงินมหาศาลจากการทำการตลาดผ่านการโทรศัพท์​ไปยังลูกค้า แล้วย้อนกลับมาดู พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ของไทย ผู้ประกอบการต้องปรับตัวอย่างไรบ้าง?

เมื่อวันที่ 21 พ.ย.2562 คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของประเทศฝรั่งเศส หรือ “CNIL” ได้มีคำสั่งปรับเอกชนเป็นเงินมูลค่าสูงถึง 5 แสนยูโร ฐานละเมิดกฎหมายคุ้มครองข้อมูลส่วนบุคคล (EU General Data Protection Regulation, GDPR) อันเนื่องมาจากการทำการตลาดผ่านการโทรศัพท์​ไปยังลูกค้า (Cold-calling marketing campaigns)

ซึ่ง CNIL ให้เหตุผลว่า บริษัทดังกล่าวไม่มีการให้ข้อมูลที่เป็นประโยชน์และเพียงพอแก่ลูกค้าในการใช้สิทธิปฏิเสธการรับโฆษณาหรือบริการ (Opt-out request) และไม่มีการจัดเตรียมมาตรการด้านความมั่นคงปลอดภัยของข้อมูลส่วนส่วนบุคคลอย่างเพียงพอและเหมาะสม ในการโอนข้อมูลฯไปยังผู้ให้บริการระบบคอลเซ็นเตอร์ของตนที่ตั้งอยู่นอกสหภาพยุโรป (International transfer)

ในการให้เหตุผลของ CNIL (Commission Nationale de lInformatique et des Libertés)​ นอกจากอธิบายให้เห็นว่าการกระทำหรืองดเว้นการกระทำใดถือเป็นการละเมิดต่อกฎหมายคุ้มครองส่วนบุคคลแล้ว CNIL ยังได้วางแนวทางและมาตราการที่เพียงพอสำหรับผู้ประกอบการในการเก็บ รวบรวม ใช้ และประมวลผลข้อมูลฯอีกด้วย

ในเมืองไทยเองช่วงนี้อยู่ระหว่างการชะลอการบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 และหลายผู้ประกอบการกำลังตื่นตัวกับการจัดให้องค์กร​หรือธุรกิจของตนมีมาตรการที่ถูกต้องเหมาะสมเพื่อให้เป็นไปตามกฎหมาย ในวันนี้ผู้เขียนจึงจะขอนำคดีดังกล่าวมาเป็นกรณีศึกษาเพื่อให้เป็นแนวทางในการจัดเตรียมมาตรฐานต่างๆ ให้เป็นไปตามกฎหมาย

โดยคดีดังกล่าว FuturaInternationale บริษัทในฝรั่งเศสได้ทำสัญญาว่าจ้างให้บริษัทคอลเซ็นเตอร์แห่งหนึ่งในแอฟริกา (Data processor) ให้รับผิดชอบในการโทรเสนอบริการขายและแนะนำผลิตภัณฑ์ทางโทรศัพท์​ โดย FuturaInternationale เป็นฝ่ายผู้จัดเตรียมข้อมูลในการติดต่อ ซึ่งทั้ง 2 บริษัทถูก CNIL ตัดสินว่าการกระทำหรืองดเว้นการกระทำของทั้ง 2 บริษัทไม่เป็นไปตาม GDPR ในฐานความผิดดังต่อไปนี้

(1) ทำการประมวลผลข้อมูลส่วนบุคคลด้านสุขภาพของลูกค้าโดยทำการบันทึกบทสนทนาดังกล่าวโดยไม่มีวัตถุประสงค์ที่ชัดแจ้งและเฉพาะเจาะจงเป็นการขัดกับหลักการที่ต้องทำการประมวลผลข้อมูลเพียงเท่าที่จำเป็น (Data minimization principle)

(2) FuturaInternationale ไม่ได้แจ้งวัตถุประสงค์อย่างชัดเจนแก่เจ้าของข้อมูลมูลส่วนบุคคล ว่าการเก็บข้อมูลดังกล่าวมีวัตถุประสงค์ในการโทรเสนอบริการขายและแนะนำผลิตภัณฑ์ทางโทรศัพท์​ไปยังลูกค้า รวมถึงมีการบันทึกการสนทนาด้วย

(3) ไม่มีการจัดให้มีช่องทางการปฏิเสธการรับบริการอย่างชัดแจ้ง (Effective right of objection procedure) การจัดให้มีช่องทางการปฏิเสธการบริการนี้ CNIL ได้พิจารณารายละเอียดไปถึงว่าผู้ให้บริการต้องจัดทำมาตรการต่างๆ เช่น บันทึกรายชื่อจำนวนลูกค้าที่ปฏิเสธการแนะนำผลิตภัณฑ์ทางโทรศัพท์ ทั้งนี้เพื่อเป็นการลดความเสี่ยงจากความผิดพลาดในการใช้และประมวลผลข้อมูลส่วนบุคคล

(4) CNILยังได้ให้เหตุผลด้วยว่า FuturaInternationale ไม่ได้จัดให้มีมาตรการด้านความปลอดภัยที่เหมาะสมและเพียงพอสำหรับการโอนข้อมูลไปยังศูนย์ข้อมูลที่ตั้งในต่างประเทศ (Data center) รวมถึงไม่มีการจัดทำสัญญาที่ถูกต้องครบถ้วนในการให้ผู้รับจ้างช่วงเป็นผู้ประมวลผลข้อมูล (Data processing agreement)

โดย CNIL​ ได้วางกรอบให้แก่ผู้ประกอบการในการทำบริการขายและแนะนำผลิตภัณฑ์ทางโทรศัพท์ (Telemarketing) ​ไว้ดังต่อไปนี้

(1) ผู้ให้บริการต้องจัดให้มีช่องทางการปฏิเสธการขายและแนะนำผลิตภัณฑ์ทางโทรศัพท์​อย่างชัดเจนและในขณะเดียวกันผู้ประกอบการต้องจัดให้มีการเก็บข้อมูลการปฏิเสธดังกล่าวและมีการจำกัดการนำเสนอบริการขายและแนะนำผลิตภัณฑ์ทางโทรศัพท์ให้แก่ลูกค้าที่ทำการปฏิเสธโดยอัตโนมัติ

(2) ระหว่างการโทรผู้ให้บริการต้องจัดให้มีการแจ้งสิทธิแก่เจ้าของข้อมูลส่วนบุคคลอย่างชัดเจนและจัดให้มีช่องทางการเข้าถึงนโยบายการคุ้มครองข้อมูลฯ(Privacy policy) โดยการกดเลขหมาย (Telephone key) เพื่อเข้าไปฟังหรือแจ้งเป็นอีเมล์ไปยังเจ้าของข้อมูล

(3) ต้องจัดให้มีมาตรการด้านความมั่นคงปลอดภัยอย่างเพียงพอและเหมาะสมในกรณีที่มีการโอนข้อมูลส่วนบุคคลไปยังผู้ประมวลผลข้อมูลที่อยู่ต่างประเทศ​ โดยการจัดทำเทคโนโลยีด้านความปลอดภัยและรวมถึงการจัดให้มีการทำสัญญาให้มีการกำหนดขอบเขต หน้าที่ ความรับผิดอย่างชัดเจนระหว่างผู้ควบคุมข้อมูลกับผู้ประมวลผลข้อมูล

จากข้อกล่าวหาและคำแนะนำของ CNIL จะเห็นได้ว่า CNIL ให้ความสำคัญกับการวางระบบภายในขององค์กร เช่น การจัดทำบัญชีรายชื่อผู้ปฏิเสธบริการ การทำสัญญาระหว่างผู้รับจ้างช่วงการวางมาตรการ หรือจัดให้มีช่องทางการใช้สิทธิของเจ้าของข้อมูล ดังนั้นการจัดการระบบภายในก็​มีส่วนสำคัญอย่างมากต่อการพิจารณาว่าแต่ละองค์กรละเลยการดำเนินการให้เป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลหรือไม่

หากกรณีนี้เกิดขึ้นในประเทศไทยนั้น ผู้ให้บริการต้องดำเนินการตามมาตรา 22 ของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ​ ซึ่งกำหนดให้การเก็บรวมรวมข้อมูลฯนั้นให้เก็บรวมรวมได้เท่าที่จำเป็นเท่านั้น มาตรา 23 ในการเก็บรวบรวมข้อมูลฯ ผู้ควบคุมข้อมูลฯจะต้องแจ้งให้เจ้าของข้อมูลฯทราบก่อน หรือขณะเก็บข้อมูลฯถึงวัตถุประสงค์ของการเก็บรวบรวม และมาตรา 28 ในกรณีที่ผู้ควบคุมข้อมูลฯส่งหรือโอนข้อมูลฯไปยังต่างประเทศประเทศปลายทางหรือองค์กรระหว่างประเทศที่เป็นผู้รับต้องมีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอและเหมาะสม

แนวทางการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทยจะเป็นอย่างไร และผู้ประกอบการจะสามารถนำแนวทางที่ CNIL ให้ความเห็นไว้ในคดีข้างต้นมาเป็นแนวทางการปฏิบัติตามกฎหมายได้หรือไม่ ย่อมเป็นประเด็นที่น่าสนใจอย่างยิ่ง