เมื่อ Facebook เป็น ‘ผู้ควบคุมข้อมูลส่วนบุคคลร่วม’ โดยไม่รู้ตัว
เพื่อเป็นการป้องกันการละเมิดต่อพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ผู้ประกอบการที่มีหน้าที่หรือส่วนเกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลจึงมีหน้าที่ต้องศึกษาทำความเข้าใจในความหมายของสถานะต่าง ๆ ที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล
Cap & Corp Forum
ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรปหรือ GDPR การเป็นผู้ควบคุมข้อมูลส่วนบุคคล หรือ Controller อาจเป็นคนเดียวหรือร่วมกันก็ได้ โดย GDPR ได้กำหนดบทนิยาม หน้าที่ และความความรับผิดของผู้ควบคุมข้อมูลส่วนบุคคลร่วมหรือ Joint Controller ไว้ในมาตรา 4(7) ประกอบมาตรา 26 ของ GDPR และมีกรณีที่ศาลยุติธรรมแห่งสหภาพยุโรป (the Court of Justice of the European Union, CJEU) ได้เคยตัดสินและวางแนวบรรทัดฐานของการมีสถานะเป็นผู้ควบคุมข้อมูลส่วนบุคคลร่วมที่น่าสนใจในหลายคดี ซึ่งผู้เขียนจะนำมาเป็นกรณีศึกษา 2 คดีที่เกี่ยวข้องกับการมี Official Facebook Fanpage และการฝังปุ่ม “Like” ของ Facebook ในหน้าเว็บไซต์ และทั้ง 2 กรณีทำให้ Facebook กลายเป็น “ผู้ควบคุมข้อมูลส่วนบุคคลร่วม” หรือ Joint Controller โดยไม่รู้ตัว
ในคดี C-40/17 Fashion ID และ Case C-210/16 Wirtschaftsakademie ศาลยุติธรรมแห่งสหภาพยุโรปได้มีคำวินิจฉัยสถานะการเป็น Joint Controller ของจำเลยไว้ในทิศทางเดียวกัน กล่าวคือนิติบุคคลที่มีสถานะเป็นผู้ควบข้อมูลส่วนบุคคลแต่ละฝ่ายต่างมีส่วนร่วมในการกำหนดวัตถุประสงค์และวิธีการ (purposes and means) ร่วมกัน แม้ผู้ควบคุมข้อมูลแต่ละฝ่ายจะดำเนินการประมวลผลข้อมูลส่วนบุคคล (processing) เพื่อประโยชน์ในทางธุรกิจที่ต่างกันตามบริบทของกิจการของแต่ละฝ่ายก็ตาม และต่างฝ่ายต่างไม่มีข้อตกลงในการร่วมกันประมวลผลข้อมูลส่วนบุคคลแต่อย่างใด
คดี C-210/16 Wirtschaftsakademie (5 มิถุนายน 2561) ผู้ใช้ Facebook รายหนึ่งดำเนินการจัดทำหน้า Facebook Fanpage โดยอาศัยการประมวลผลข้อมูลทางสถิติของผู้ใช้งาน (Facebook user) เพื่อใช้ในการจัดทำแผนส่งเสริมการขายและดำเนินกิจกรรมต่าง ๆ คดีนี้ CJEU มีคำวินิจฉัยว่าการที่ Facebook ดำเนินการพัฒนาปรับปรุงการจัดทำโฆษณาผ่านการประมวลผลข้อมูลส่วนบุคคลโดยการเก็บข้อมูลทางสถิติของผู้ใช้งานและทำให้ผู้จัดทำหน้า Facebook Fanpage สามารถดำเนินการประมวลผลข้อมูลส่วนบุคคลในการส่งเสริมการขายได้โดยอาศัยวิธีการเดียวกัน ถือว่าทั้ง Facebook และผู้จัดทำหน้า Facebook Fanpage มีสถานะเป็น Joint Controller เนื่องจากทั้งสองฝ่ายมีส่วนร่วมในการกำหนดวัตถุประสงค์และวิธีการในการประมวลผลข้อมูลส่วนบุคคลของผู้ใช้บริการร่วมกัน แม้การกระทำดังกล่าวจะไม่ได้เป็นไปเพื่อผลประโยชน์ร่วมกันก็ตาม
คดี C-40/17 Fashion ID (29 กรกฎาคม 2562) CJEU ก็ได้วางแนวคำวินิจฉัยต่อกรณี Joint Controller ไว้ในแนวทางเดียวกับคดีข้างต้น โดยในคดีนี้ผู้จัดทำเว็บไซต์ได้นำปุ่ม “Like” ของ Facebook เข้ามาเชื่อมไว้กับหน้าเว็บไซต์ของตนโดยปุ่ม Like ดังกล่าวจะทำการเก็บรวมรวมข้อมูลของผู้ใช้ (user) ที่เข้ามาเยี่ยมชมหน้าเว็บไซต์โดยมีวัตถุประสงค์ในการประมวลผลข้อมูลดังกล่าวเพื่อช่วยให้สินค้าบนหน้าเว็บไซต์ของตนสามารถมีผู้ใช้บนสื่อสังคมออนไลน์มองเห็นได้มากขึ้น ปุ่ม Like ดังกล่าวยังทำหน้าที่ส่งข้อมูลที่ถือเป็นข้อมูลส่วนบุคคลของผู้เยี่ยมชมเว็บไซต์ไปยัง Facebook อีกด้วย CJEU จึงมีคำวินิจฉัยว่าทั้ง Fashion ID และ Facebook มีส่วนร่วมในการกำหนดวัตถุประสงค์และวิธีการในการประมวลผลข้อมูลส่วนบุคคลเพื่อประโยชน์ทางเศรษฐกิจของแต่ละฝ่าย
ตามข้อแนะนำของ European Data Protection Board (EDPB) ซึ่งเป็นคณะกรรมการที่ปรึกษาของสหภาพยุโรปในการบังคับใช้ GDPR ตามข้อแนะนำที่ 07/2020 ลงวันที่ 2 กันยายน 2563 ได้ให้ข้อแนะนำในการบังคับใช้ GDPR ในส่วนของ Joint Controller ว่าต้องมีการพิจารณาสามองค์ประกอบหลักต่อไปนี้
(1) พิจารณาถึงการมีส่วนร่วมระหว่างกัน (assessment of joint participation)
(2) มีการร่วมกันกำหนดวัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคล (jointly determined purposes)
(3) มีการร่วมกันกำหนดวิธีการในการประมวลผลข้อมูลส่วนบุคคล (jointly determined means)
กล่าวได้ว่าผู้ควบคุมข้อมูลส่วนบุคคลแต่ละฝ่ายต้องมีการเข้าร่วมกันทั้งในขอบเขตของวัตถุประสงค์และวิธีการ โดยการเข้าร่วมกันนี้เป็นการส่งเสริมซึ่งกันและกันเพื่อดำเนินการประมวลผลข้อมูลส่วนบุคคล ทั้งนี้ การประมวลผลข้อมูลส่วนบุคคลดังกล่าวอาจไม่สามารถสำเร็จได้หากปราศจากผู้ควบคุมข้อมูลส่วนบุคคลรายใดรายหนึ่ง
อย่างไรก็ตาม Joint Controller ไม่จำเป็นต้องมีความรับผิดเท่ากันเสมอไปต่อการประมวลผลข้อมูลส่วนบุคคลที่เกิดขึ้น CJEU ได้มีคำวินิจฉัยไว้อย่างชัดเจนในคดี C-210/16 Wirtschaftsakademie ว่าการประมวลผลข้อมูลส่วนบุคคลของ Joint Controller ผู้ควบคุมข้อมูลส่วนบุคคลแต่ละรายจะมีการกำหนดวัตถุประสงค์และวิธีการในการประมวลผลข้อมูลร่วมกัน แต่การประมวลผลของแต่ละผู้ควบคุมข้อมูลส่วนบุคคลอาจเป็นการประมวลผลข้อมูลส่วนบุคคลที่ต่างบริบท ขั้นตอน และปริมาณ ดังนั้น ระดับความรับผิดของผู้ควบคุมข้อมูลส่วนบุคคลแต่ละรายใน Joint Controller จึงต้องพิจารณาเป็นกรณีไปตามบริบทในความเป็นจริงของการประมวลผลข้อมูลส่วนบุคคล
จากกรณีศึกษาข้างต้นจึงอาจสรุปได้ว่าบุคคลใดก็ตามที่สามารถกำหนดวัตถุประสงค์และวิธีการ (purposes and means) ของการประมวลผลข้อมูลส่วนบุคคล ถือเป็นองค์ประกอบที่สำคัญที่สุดในการพิจารณาสถานะของ “ผู้ควบคุมข้อมูลส่วนบุคคล” ซึ่งจากคดีตัวอย่างข้างต้น การพิจารณาสถานะของการเป็นผู้ควบคุมข้อมูลส่วนบุคคลนั้น ต้องพิจารณาจากข้อเท็จจริงว่าบุคคลนั้นมีความสามารถหรือมีอิทธิพลต่อการกำหนดวัตถุประสงค์และวิธีการในการประมวลผลข้อมูลส่วนบุคคลหรือไม่ เมื่อใดก็ตามที่บุคคลใดหรือผู้ประมวลผลข้อมูลส่วนบุคคลเข้ามามีส่วนกำหนดและตัดสินใจ (ในความเป็นจริง) ในส่วนกระบวนการของการกำหนด “วัตถุประสงค์” ผู้ประมวลผลข้อมูลส่วนบุคคลนั้นก็อาจจะกลายเป็นผู้ควบคุมข้อมูลส่วนบุคคลร่วมได้
ในส่วนพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งเป็นกฎหมายที่กำหนดหน้าที่และความรับผิดชอบของบุคคลต่าง ๆ ที่เข้ามาเกี่ยวข้องในกระบวนการ “การเก็บรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคล” (รวมเรียกว่า “การประมวลผลข้อมูลส่วนบุคคล”) กำหนดว่า “ผู้ควบคุมข้อมูลส่วนบุคคล” หมายความว่าบุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคล โดยที่กฎหมายไม่ได้กำหนดว่าผู้ควบคุมข้อมูลส่วนบุคคลนั้นจะมีได้เพียงคนเดียวจึงมีความเป็นไปได้ว่าในการตีความของศาลหรือหน่วยงานที่มีอำนาจบังคับใช้กฎหมายในอนาคต หากตีความตามข้อเท็จจริงและเพื่อประโยชน์ในการคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคล Joint Controller ก็น่าจะมีได้ภายใต้พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ
ดังนั้น เพื่อเป็นการป้องกันการละเมิดต่อพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ผู้ประกอบการที่มีหน้าที่หรือส่วนเกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลจึงมีหน้าที่ต้องศึกษาทำความเข้าใจในความหมายของสถานะต่าง ๆ ที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล รวมถึงบริบทและความสัมพันธ์กับคู่สัญญาหรือผู้เกี่ยวข้องฝ่ายต่าง ๆ อย่างละเอียดรอบคอบ เนื่องจากสถานะที่ต่างกันในการประมวลผลข้อมูลส่วนบุคคล เช่น ผู้ควบคุมข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลร่วม ผู้ประมวลผลข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคลร่วม ล้วนมีหน้าที่และความรับผิดที่แตกต่างกันทั้งทางกฎหมายและตามสัญญา
…
ศุภวัชร์ มาลานนท์
คณะนิติศาสตร์ มหาวิทยาลัยสงขลานครินทร์
Max Planck Institute Luxembourg
ชิโนภาส อุดมผล
Optimum Solution Defined (OSD Co., Ltd.)