การใช้ข้อมูลส่วนบุคคลนอกเหนือจากวัตถุประสงค์ที่แจ้ง

การสร้างธรรมาภิบาลของการประมวลผลข้อมูลส่วนบุคคล ไม่ใช่เรื่องยาก แต่ก็อาจต้องปรับกระบวนการใช้ข้อมูลให้สอดคล้องกับกฎหมาย


Cap & Corp Forum

เมื่อวันที่ 16 กันยายน พ.ศ. 2564 Italian Supervisory Authority (Italian SA) ซึ่งเป็นหน่วยงานบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศอิตาลี  ได้มีคำสั่งลงโทษปรับทางปกครองบริษัทนายหน้าอสังหาริมทรัพย์แห่งหนึ่งเป็นจำนวนเงินประมาณ​ 5,000 ยูโร เนื่องจากบริษัทดังกล่าวมีการประมวลผลข้อมูลส่วนบุคคลของลูกค้าโดยละเมิดต่อหลักกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป หรือ General Data Protection Regulation (GDPR) ในประเด็น 1) การใช้ข้อมูลส่วนบุคคลโดยไม่มีวัตถุประสงค์ที่เฉพาะเจาะจง (purpose limitation) 2) ประมวลผลข้อมูลส่วนบุคคลโดยปราศจากฐานความชอบด้วยกฎหมาย (lawfulness of processing) และ 3) เพิกเฉยต่อคำสั่งของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

กรณีนี้เกิดขึ้นจากการที่บริษัทอสังหาริมทรัพย์แห่งหนึ่งได้จัดให้มีแพลตฟอร์ม (platform) สำหรับเจ้าของบ้านในการลงเผยแพร่ข้อมูลสำหรับการหางาน หรือสมัครงาน โดยเจ้าของบ้านสามารถเผยแพร่โพรไฟล์หรือประวัติการทำงานของตน เช่น LinkedIn บนแพลตฟอร์มได้ โดยวัตถุประสงค์ของแพลตฟอร์มดังกล่าวคือ เพื่อให้แพลตฟอร์มนั้นเป็นพื้นที่สำหรับเจ้าของบ้านในการหางานและแลกเปลี่ยนการจ้างงานระหว่างกัน โดยภายหลังบริษัทได้มีการนำข้อมูลส่วนบุคคลประเภทข้อมูลการติดต่อของเจ้าของบ้านที่ถูกเผยแพร่อยู่บนแพลตฟอร์มมาใช้ในการติดต่อนำเสนอขายผลิตภัณฑ์และบริการต่าง ๆ ของบริษัท

การกระทำดังกล่าวเป็นเหตุให้ Italian SA ได้เข้าไปตรวจสอบการใช้ข้อมูลส่วนบุคคลของบริษัทแห่งนี้ ภายหลังการสอบสวน Italian SA ลงความเห็นว่าแพลตฟอร์มดังกล่าวมีวัตถุประสงค์เพื่อให้เจ้าของบ้านสามารถแลกเปลี่ยนข้อมูลระหว่างกันเพื่อโอกาสในการจ้างงาน การใช้งานของแพลตฟอร์มนี้ ผู้ใช้งานย่อมไม่อาจคาดหวังว่าจะได้รับข่าวสารหรือโฆษณาเกี่ยวกับผลิตภัณฑ์ หรือบริการที่เกี่ยวกับอสังหาริมทรัพย์ แม้ว่าธุรกิจหลักของบริษัทจะเกี่ยวกับอสังหาริมทรัพย์ก็ตาม การส่งข้อมูลการส่งเสริมการขายโดยใช้ข้อมูลการติดต่อของเจ้าของบ้านจากแพลตฟอร์มนี้ จึงเป็นการประมวลผลข้อมูลส่วนบุคคลของเจ้าของบ้านนอกเหนือไปจากวัตถุประสงค์ในการให้บริการแพลตฟอร์ม และไม่สามารถอ้างได้ว่าข้อมูลการติดต่อดังกล่าว เป็นข้อมูลที่เจ้าของข้อมูลส่วนบุคคลเปิดเผยไว้ให้เป็นสาธารณะ จากการประมวลผลข้อมูลส่วนบุคคลดังกล่าวของบริษัท จึงเป็นการประมวลผลข้อมูลส่วนบุคคลของเจ้าของบ้านโดยปราศจากฐานความชอบด้วยกฎหมาย (unlawful processing activity)

ภายหลังจากการสอบสวน Italian SA ได้มีคำสั่งให้บริษัทดำเนินการจัดให้มีมาตรการทางด้านองค์กร (organisational measure) เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลให้เหมาะสม โดยในครั้งนี้ Italian SA ยังไม่ได้มีคำสั่งที่เป็นการลงโทษใด ๆ ต่อบริษัท เนื่องจากบริษัทดังกล่าวได้ถูกร้องเรียนจากเจ้าของข้อมูลส่วนบุคคลในเรื่องของการประมวลผลข้อมูลส่วนบุคคลเป็นครั้งแรก ทั้งเป็นบริษัทขนาดเล็กและอยู่ในช่วงเวลาที่ภาคธุรกิจต่างได้รับผลกระทบจากสถานการณ์การแพร่ระบาดของ corona virus แต่บริษัทกลับเพิกเฉยที่จะดำเนินการและตอบกลับต่อคำสั่งของ Italian SA ด้วยเหตุนี้ Italian SA จึงได้มีคำสั่งลงโทษเป็นค่าปรับทางปกครองต่อบริษัทเป็นเงินประมาณ 5,000 ยูโร ฐานเพิกเฉยต่อคำสั่งของหน่วยงานบังคับใช้กฎหมาย

กรณีศึกษาดังกล่าวข้างต้น มีประเด็นที่น่าสนใจหลายประการที่อาจเป็นประโยชน์ต่อการเตรียมความพร้อมในการใช้บังคับและทำความเข้าใจต่อ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ดังนี้

  • การที่ข้อมูลส่วนบุคคลเป็นข้อมูลสาธารณะมิได้ทำให้ข้อมูลนั้นไม่ได้รับความคุ้มครองตามกฎหมาย กรณีตัวอย่างที่บริษัทนายหน้าอสังหาริมทรัพย์กล่าวอ้างคือ ข้อมูลที่นำมาประมวลผลนั้นเป็นข้อมูลจากโพรไฟล์ LinkedIn ของเจ้าของข้อมูลส่วนบุคคล ซึ่ง Italian SA เห็นว่าไม่มีประเด็นที่จะทำให้เป็นข้อยกเว้นหน้าที่ตาม GDPR ขององค์กร
  • วัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคล ต้องเป็นไปตามเงื่อนไขที่กฎหมายกำหนด ทั้งในส่วนการแจ้งและการใช้อย่างจำกัดเพียงเท่าที่จำเป็น และไม่เกินไปกว่าความคาดหวังโดยสุจริตของเจ้าของข้อมูลส่วนบุคคลนั้น

การใช้ข้อมูลส่วนบุคคลแตกต่างไปจากวัตถุประสงค์ที่ได้แจ้ง หรือมีการ Re-purpose ต้องได้รับความยินยอมใหม่จากเจ้าของข้อมูลส่วนบุคคล หรือทำได้ในกรณีที่กฎหมายอนุญาตให้นำไปใช้เพื่อวัตถุประสงค์ใหม่เท่านั้น

  • องค์กรมีหน้าที่ตอบสนองและให้ความร่วมมือในการสอบสวน แสวงหาข้อเท็จจริงและปฏิบัติตามคำสั่งของหน่วยงานบังคับใช้กฎหมาย

การสร้างธรรมาภิบาลของการประมวลผลข้อมูลส่วนบุคคล ไม่ใช่เรื่องยาก แต่ก็อาจต้องปรับกระบวนการใช้ข้อมูลให้สอดคล้องกับกฎหมายครับ

ชิโนภาส อุดมผล

Certified DPO, Optimum Solution Defined (OSD)

ศุภวัชร์ มาลานนท์

CIPP/M, CIP/E / US /A, Certified DPO

Back to top button