กรณีศึกษา Carrefour Group ละเมิดกฎหมายคุ้มครองข้อมูลส่วนบุคคล
การศึกษาจากคดีในต่างประเทศที่มีการบังคับกฎหมายนี้มาก่อนแล้วย่อมสามารถทำให้ผู้ประกอบการเห็นแนวทางการเตรียมตัวเพื่อปฏิบัติตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ได้ดียิ่งขึ้น
Cap & Corp Forum
เมื่อวันที่ 26 พฤศจิกายน 2563 ที่ผ่านมา Commission Nationale de l’Informatique et des Libertés (“CNIL”) ซึ่งเป็นคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของประเทศฝรั่งเศสได้มีคำสั่งปรับ Carrefour Group ที่ดำเนินกิจการห้างสรรพสินค้าประเภท hypermarket มากกว่า 230 สาขา ร้านสะดวกซื้อทั้งขนาดกลางและขนาดเล็ก มากกว่า 3,020 สาขา มีรายได้รวม 80.73 ล้านยูโรในปี 2019 และมีพนักงานมากถึง 320,000 คน เป็นจำนวนเงินมากกว่า 3 ล้านยูโร ในความผิดฐานละเมิดกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (The EU General Data Protection Regulation, “GDPR”)
CNIL ได้มีคำวินิจฉัยต่อกรณีการกระทำความผิดของสองบริษัทย่อยในเครือของ Carrefour Group ได้แก่ Carrefour France และ Carrefour Banque โดยให้เหตุผลว่าทั้งสองบริษัทย่อยกระทำการละเมิดต่อ GDPR ในหลายฐานความผิดจากการดำเนินการประมวลผลข้อมวลส่วนบุคคล เช่น เก็บข้อมูลส่วนบุคคลของลูกค้าไว้เป็นเวลานาน โดยปราศจากความชอบด้วยกฎหมาย ใช้ระบบคุกกี้เพื่อการโฆษณา (advertising cookies) โดยไม่ได้รับความยินยอมจากลูกค้า และไม่มีการตอบสนองต่อการขอใช้สิทธิของลูกค้าในฐานะเจ้าของข้อมูลส่วนบุคคล โดย CNIL มีคำสั่งในประเด็นต่าง ๆ ที่เป็นการละเมิด GDPR ของทั้งสองบริษัทย่อยใน 5 กรณีดังต่อไปนี้
(1) ไม่มีการแจ้งเตือนลูกค้า CNIL ตั้งข้อสังเกตว่าทั้งบนหน้าเว็บไซต์ของ Carrefour France และ Carrefour Banque ไม่มีการจัดให้มีคำอธิบายอย่างชัดเจนในภาษาที่เข้าใจได้ง่ายในการเก็บรวบรวมข้อมูลส่วนบุคคลของลูกค้าที่มีความประสงค์จะสมัครเป็นสมาชิกบัตร Pass Card ทั้งยังไม่มีการแจ้งข้อมูลอย่างเพียงพอเกี่ยวกับฐานความชอบด้วยกฎหมาย (lawful basis) ในการประมวลผลข้อมูลส่วนบุคคลของลูกค้าและเกี่ยวกับการโอนข้อมูลส่วนบุคคลไปยังประเทศที่ไม่ได้อยู่ในสหภาพยุโรป (cross border transfer)
(2) นโยบายเกี่ยวกับคุกกี้ CNIL ให้เหตุผลว่าตาม GDPR ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องได้รับความยินยอม (consent) จากเจ้าของข้อมูลส่วนบุคคลที่เข้าชมเว็บไซต์อย่างชัดแจ้ง (affirmative consent) ก่อน จึงจะสามารถจัดเก็บและวางระบบคุกกี้บนอุปกรณ์ของลูกค้าได้ แต่ทั้ง Carrefour France และ Carrefour Banque ได้ใช้ระบบคุกกี้เพื่อการโฆษณาบนอุปกรณ์ของผู้เยี่ยมชมเว็บไซต์ของตนโดยอัตโนมัติทันทีที่ผู้เยี่ยมชมเข้าสู่หน้าเว็บไซต์
(3) ระยะเวลาในการจัดเก็บข้อมูลจากการตรวจสอบของ CNIL พบว่า Carrefour France มีการจัดเก็บข้อมูลส่วนบุคคลของลูกค้าที่ไม่มีการใช้งานในระบบสมาชิกแล้ว (non-active users) ไว้มากกว่า 28 ล้านราย และ Carrefour Banque ได้มีการจัดเก็บข้อมูลส่วนบุคคลในลักษณะเดียวกันมากถึง 750,000 ราย โดยในการเก็บข้อมูลนั้นทั้งสองบริษัทได้จัดเก็บข้อมูลส่วนบุคคลของลูกค้าไว้เป็นระยะเวลานานกว่า 5 ถึง 10 ปี โดยไม่มีการลบหรือทำลาย ซึ่งการเก็บข้อมูลดังกล่าวถือว่าเกินความจำเป็นในการดำเนินกิจการประเภทการค้าปลีกขนาดใหญ่ ในมุมมองของผู้เขียนเห็นว่าเป็นการดำเนินการประมวลผลข้อมูลส่วนบุคคลซึ่งขัดต่อหลักการประมวลผลข้อมูลเพียงเท่าที่จำเป็นและได้สัดส่วน (minimization & proportionate) ซึ่งถือเป็นหลักการที่สำคัญมากในการประมวลผลข้อมูลส่วนบุคคล
(4) การขอหลักฐานเพื่อการแสดงตัวตน Carrefour France ได้ทำการขอให้ลูกค้าแสดงหลักฐานประจำตัวทุกครั้งเพื่อยืนยันตัวตนเมื่อลูกค้ามีความต้องการในการใช้สิทธิในฐานะของเจ้าของข้อมูลส่วนบุคคลแม้ว่าจะไม่มีข้อสงสัยใด ๆ เกี่ยวกับตัวตนของผู้ขอใช้สิทธิ
(5) ไม่ตอบสนองต่อคำร้องขอของเจ้าของข้อมูลส่วนบุคคล หลังจากการตรวจสอบ CNIL พบว่า Carrefour France ไม่ดำเนินการตอบสนองต่อการขอใช้สิทธิของลูกค้าหลายรายที่ต้องการขอเข้าถึงข้อมูลส่วนบุคคลหรือขอลบข้อมูลส่วนบุคคลของตน รวมถึงคำร้องขอใช้สิทธิอื่น ๆ อีกหลายประการ อาทิ การขอไม่รับโฆษณาของบริษัทที่ส่งมายังระบบ sms และ e-mail ของลูกค้า เป็นต้น
แม้ว่าคำสั่งดังกล่าวของ CNIL จะยังไม่เป็นที่สุด แต่ในระหว่างการดำเนินการสอบสวนการกระทำความผิด Carrefour Group ก็ได้ให้ความร่วมมือต่อหน่วยงานบังคับใช้กฎหมายในการแก้ไขความบกพร่องของตนเอง อาทิ การแจ้งให้ผู้ใช้งานเว็บไซต์ทราบถึงการโอนข้อมูลไปต่างประเทศ และการขอความยินยอมในการใช้คุกกี้ เป็นต้น และเมื่อมีคำสั่งปรับดังกล่าวแล้ว บริษัทย่อยทั้งสองแห่งก็ยังสามารถฟ้องคดีต่อศาลปกครองเพื่อเพิกถอนคำสั่งของ CNIL ซึ่งถือว่าเป็นคำสั่งทางปกครอง รวมทั้งขอให้ศาลตรวจสอบและทบทวนเรื่องจำนวนเงินค่าปรับได้อีกด้วย
หากคดีนี้เกิดขึ้นในประเทศไทยภายใต้พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
เพื่อให้สามารถเข้าใจได้ง่ายขึ้น ผู้เขียนจะขอแบ่งการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลเป็นสองช่วงเวลา คือ (1) ช่วงก่อนหรือขณะเก็บรวบรวมข้อมูลส่วนบุคคลของลูกค้า และ (2) ระหว่างที่ข้อมูลส่วนบุคคลของลูกค้าอยู่ในครอบครองของผู้ควบคุมข้อมูลส่วนบุคคล
หากพิจารณาตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ในช่วงก่อนหรือขณะเก็บรวบรวมข้อมูลส่วนบุคคล ไม่ว่าการเก็บรวบรวมข้อมูลส่วนบุคคลจะกระทำโดยอาศัยฐานความยินยอมหรือฐานความชอบด้วยกฎหมายอื่น ๆ ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบรายละเอียด ดังนี้
(1) วัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคล
(2) แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงฐานความชอบด้วยกฎหมายในการประมวลผลข้อมูลส่วนบุคคล
(3) ระยะเวลาในการเก็บรวบรวมข้อมูลส่วนบุคคล
(4) ประเภทของบุคคลหรือหน่วยงานซึ่งเก็บรวบรวมข้อมูลส่วนบุคคล ที่ข้อมูลส่วนบุคคลอาจจะถูกเปิดเผย (รวมถึงกรณีที่มีการโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ)
(5) ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคลหรือ DPO (ถ้ามี)
ในระหว่างที่ข้อมูลส่วนบุคคลอยู่ในความครอบครอง ภายใต้พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ผู้ประกอบการในฐานะผู้ควบคุมข้อมูลส่วนบุคคลก็ยังคงมีหน้าที่ในการกำหนดระยะเวลาในการจัดเก็บข้อมูลส่วนบุคคลเพียงเท่าที่จำเป็นเท่านั้น และเมื่อครบกำหนดระยะเวลาดังกล่าวก็ต้องดำเนินการลบข้อมูลนั้น ๆ เว้นแต่มีความจำเป็นตามกฎหมายอื่นให้ต้องเก็บข้อมูลไว้ได้ เนื่องจากหากพิจารณาตามมาตรา 22 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ก็มีการนำ “หลักการประมวลผลข้อมูลเพียงเท่าที่จำเป็น” (data minimization) มาใช้เช่นกัน และผู้ควบคุมข้อมูลส่วนบุคคลยังมีหน้าที่ในการจัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนดระยะเวลาการเก็บรักษา (มาตรา 37) อีกด้วย และอีกประการหนึ่งที่สำคัญมากและสอดคล้องกับ GDPR ก็คือผู้ประกอบการในฐานะของผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ในการตอบสนองต่อการขอใช้สิทธิต่าง ๆ ของเจ้าของข้อมูล เช่น สิทธิในการเข้าถึงข้อมูลส่วนบุคคล และสิทธิในการขอลบข้อมูลส่วนบุคคล ฯลฯ (มาตรา 31)
จะเห็นได้ว่าหลักการโดยรวมของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ของไทยและ GDPR ของสหภาพยุโรปนั้นมีความคล้ายคลึงและเป็นไปในทิศทางเดียวกัน ดังนั้นจึงเป็นประโยชน์อย่างยิ่งหากผู้ประกอบการ บุคคลทั่วไปที่สนใจจะทำการศึกษากรณีพิพาทต่าง ๆ ที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของแต่ละประเทศในสหภาพยุโรปได้มีคำตัดสินไว้ เนื่องจากพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ถือเป็นเรื่องใหม่สำหรับประเทศไทย และที่ผ่านมาก็ยังไม่เคยมีการบังคับใช้กฎหมายในลักษณะนี้มาก่อน การศึกษาจากคดีในต่างประเทศที่มีการบังคับกฎหมายนี้มาก่อนแล้วย่อมสามารถทำให้ผู้ประกอบการเห็นแนวทางการเตรียมตัวเพื่อปฏิบัติตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ได้ดียิ่งขึ้น
…
ศุภวัชร์ มาลานนท์
คณะนิติศาสตร์ มหาวิทยาลัยสงขลานครินทร์
Max Planck Institute Luxembourg
ชิโนภาส อุดมผล
Optimum Solution Defined (OSDCo., Ltd.)