BA, Marriott การซื้อกิจการและการคุ้มครองข้อมูลส่วนบุคคล
จากกรณีศึกษาของ Marriott ต่อไปการซื้อกิจการต่าง ๆ คงต้องมีการตรวจสอบเรื่อง data breach กันมากขึ้น รวมถึงมาตรการเยียวยาความเสียหายที่อาจเกิดขึ้นภายหลัง
Cap & Corp Forum
- วันที่ 8 กรกฏาคม 2562 สำนักงานกรรมการข้อมูลส่วนบุคคลของอังกฤษ (Information Commissioner’s Office หรือ ) มีหนังสือแจ้งไปยัง British Airways (“BA”) ว่ากระทำการฝ่าฝืนกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรปอันเนื่องมาจากเหตุการณ์ข้อมูลรั่วไหล (data breach) และ ico. อาจมีคำสั่งปรับ BA เป็นเงินจำนวนสูงถึง 183.39 ล้านปอนด์ (ประมาณ 7,062 ล้านบาท) ซึ่งถือเป็นการพิจารณาโทษปรับครั้งแรกตาม GDPR ของ ico. และเป็นค่าปรับที่อาจจะสูงที่สุดตั้งแต่ ico. เคยบังคับใช้กฎหมายที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล
- วันที่ 9 กรกฏาคม 2562 ico. แจ้งไปยัง Marriott International ว่าอาจมีคำสั่งปรับ Marriott เป็นเงินจำนวน 99 ล้านปอนด์ (ประมาณ 3,802 ล้านบาท) อันเนื่องมาจากเหตุการณ์ข้อมูลรั่วไหลเช่นเดียวกัน
ทั้งสองกรณี ถือเป็นการบังคับใช้ GDPR โดยหน่วยงานบังคับใช้กฎหมายของประเทศในสหภาพยุโรปที่สำคัญและจำนวนเงินที่อาจถูกปรับเป็นจำนวนที่สูงมาก ผู้เขียนใช้คำว่า “อาจจะถูกปรับ” เนื่องจากหนังสือที่ ico. ส่งไปยังทั้งสองบริษัทหรือที่เรียกว่า “notice of intent” (“NOI”) เป็นเพียงขั้นตอนการแจ้งคำสั่งว่าจะปรับแต่ยังไม่ใช่คำสั่งให้ชำระเงินค่าปรับ โดย NOI เป็นหนังสือที่รวบรวมพฤติกรรมและข้อเท็จจริงต่าง ๆ ที่เป็นการฝ่าฝืนกฎหมายและบทกำหนดโทษที่อาจจะได้รับ ทั้งนี้เพื่อเปิดโอกาสให้คู่กรณีได้มีโอกาสชี้แจงข้อเท็จจริงที่เกียวข้อง หรือปฏิเสธความรับผิดหรือชี้แจงเหตุบรรเทาโทษต่าง ๆ ที่เกี่ยวข้อง ทั้งนี้ ตาม GDPR โทษสำหรับการฝ่าฝืนกฎหมายอาจสูงถึงร้อยละ 2 หรือร้อยละ 4 ของรายได้รวมทั่วโลกของบริษัท ทั้งนี้ขึ้นอยู่กับลักษณะของการกระทำความผิดและลักษณะการฝ่าฝืน ในกรณีของ BA หากพิจารณาจากผลประกอบการทั่วโลกในรอบปีที่ผ่านมา ico. กำหนดอัตราการปรับที่ร้อยละ 1.5 ของรายได้
ตามขั้นตอนกระบวนพิจารณาของ ico. คู่กรณี ได้แก่ BA และ Marriott มีเวลา 21 วันทำการหลังจากได้รับแจ้ง NOI เพื่อชี้แจงข้อเท็จจริงที่เกี่ยวเนื่องกับการกระทำผิดและจำนวนค่าปรับที่กำหนด นอกจากการรับฟังข้อเท็จจริงจากคู่กรณีแล้ว ico. ยังอาจรับฟังข้อมูลจากหน่วยงานบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศอื่น ๆ ประกอบด้วย เนื่องจากข้อมูลที่มีการรั่วไหลนั้นมิได้มีแต่ข้อมูลของบุคคลที่อยู่ในอังกฤษเท่านั้น และเมื่อได้ข้อมูลครบถ้วนจากทุกฝ่ายแล้ว ico. จึงจะมีคำสั่งปรับไปยังคู่กรณี (moneytary penalty notice, MPN)
เมื่อคู่กรณีได้รับคำสั่งให้ชำระปรับแล้ว คู่กรณีมีเวลาอีก 28 วันในการที่จะชำระเงินค่าปรับดังกล่าวหรือโต้แย้งคำสั่งนั้นต่อศาลที่มีเขตอำนาจเพื่อให้ศาลตรวจสอบความชอบด้วยกฎหมายของคำสั่งของกรรมการข้อมูลส่วนบุคคล
โดย The Tribunals, Courts and Enforcement Act 2007 กำหนดให้ Tribunals ในระบบกฎหมายอังกฤษซึ่งเป็นองค์กรที่ทําหน้าที่ลักษณะเดียวกับศาล มีอำนาจพิจารณาวินิจฉัยคดีที่ต้องใช้ความรู้ความชำนาญพิเศษ โดยแบ่ง Tribunals เป็นสองระดับกล่าวคือ ระดับต้น (First- tier Tribunals) และระดับสูง (Upper Tribunals) โดยแต่ละ Tribunals แบ่งออกเป็นองค์คณะพิจารณา (Chambers) ซึ่งแต่ละองค์คณะจะพิจารณาคดีด้านใดด้านหนึ่ง โดยคดีที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลเป็นคดีประเภทหนึ่งที่อยู่ภายใต้เขตอำนาจของ First- tier Tribunals ขององค์คณะ Information Rights ซึ่งจัดตั้งขึ้นเมื่อวันที่ 18 มกราคม 2553
ดังนั้น จึงมีความเป็นไปได้สูงว่าคดีทั้งสองน่าจะถูกโต้แย้งต่อไปในชั้นศาล อย่างน้อยก็เพื่อให้ศาลได้มีโอกาสกำหนดหลักเกณฑ์ในการพิจารณาค่าปรับอีกครั้ง
นอกจากนี้ ยังมีข้อน่าสังเกตที่สำคัญอีกบางประการเกี่ยวกับการบังคับใช้ GDPR ต่อกรณีของสองบริษัทดังนี้
- ทั้งสองบริษัทได้แจ้งให้ ทราบ (โดยทันที) เมื่อทราบว่ามีเหตุการณ์รั่วไหลของข้อมูลเกิดขึ้น (ไม่ใช่รอให้หน่วยงานรัฐตรวจพบว่ากรทำผิด แต่เป็นระบบที่บริษัทต้องรีบแจ้งและแก้ไขการกระทำที่ผิดหรือเร่งเยียวยาความเสียหายทันที) โดยกรณีของ BA คาดว่าข้อมูลส่วนบุคคลของลูกค้าจำนวน 500,000 คนเริ่มมีการรั่วไหลในช่วงเดือนมิถุนายน 2561 โดยในเดือนกันยายน 2561 BA ได้รายงานให้ ico. ทราบถึงเหตุการณ์ดังกล่าว และบริษัทได้ใช้มาตรการต่าง ๆ ในการแก้ไขความผิดพลาดของระบบและให้ความร่วมมือกับเจ้าหน้าที่เพื่อแก้ปัญหาที่เกิดขึ้น
- ในกรณีของ Marriott ในช่วงเดือนพฤศจิกายน 2561 บริษัทได้แจ้งให้ ทราบถึงเหตุการณ์รั่วไหลของข้อมูลส่วนบุคคลของลูกค้าจำนวน 339 ล้านคนจาก 31 ประเทศในภาคพื้นทวีปยุโรปและอีก 7 ล้านคนในอังกฤษ โดยเชื่อว่าข้อมูลดังกล่าวมีการรั่วไหลเนื่องจากมีการบุกรุกเข้าไปในระบบคอมพิวเตอร์ของเครือ Starwood โดยไม่ได้รับอนุญาตในช่วงปี 2557 และเครือ Marriott ได้เข้ามาซื้อกิจการของกลุ่ม Starwood ในปี 2559 แต่เพิ่งทราบข้อเท็จจริงเกี่ยวกับการรั่วไหลของข้อมูลในปี 2561 นี้เอง
จากข้อเท็จจริงของกรณี Marriott หมายความว่าความผิดเกี่ยวกับการละเมิดข้อมูลส่วนบุคคลเกิดขึ้นในสมัยที่เจ้าของกิจการได้แก่ กลุ่มบริษัท Starwood แต่กรณีนี้ ico. มีความเห็นว่าผู้รับซื้อกิจการมีหน้าที่และความรับผิดด้วย โดย Elizabeth Denham ซึ่งเป็นกรรมการข้อมูลส่วนบุคคลของอังกฤษ (UK Information Commissioner) ได้ให้ความเห็นต่อกรณีดังกล่าวไว้อย่างน่าสนใจ ดังนี้
“บริษัทมีหน้าที่และความรับผิดชอบต่อข้อมูลส่วนบุคคลที่ตนเองครอบครองอยู่ และบริษัทที่จะเข้าซื้อกิจการมีหน้าที่ในการใช้ความระมัดระวังในการเข้าตรวจสอบกิจการ (proper due dilegence) โดยไม่เพียงแต่พิจารณาว่าบริษัทที่จะเข้าซื้อกิจการนั้นได้ข้อมูลส่วนบุคคลมาอย่างไรเท่านั้น ผู้เข้าซื้อกิจการต้องพิจารณาด้วยว่าบริษัทที่จะเข้าซื้อกิจการมีมาตรการในการคุ้มครองข้อมูลส่วนบุคคลนั้นอย่างไรด้วย…ข้อมูลส่วนบุคคลมีมูลค่า และบริษัทมีหน้าที่ตามกฎหมายที่จะต้องให้ข้อมูลนั้นมีความปลอดภัยเช่นเดียวกับการรักษาความปลอดภัยให้สินทรัพย์ต่าง ๆ”
จากกรณีศึกษาของ Marriott ต่อไปการซื้อกิจการต่าง ๆ คงต้องมีการตรวจสอบเรื่อง data breach กันมากขึ้น รวมถึงมาตรการเยียวยาความเสียหายที่อาจเกิดขึ้นภายหลังในกรณีที่องค์กรบังคับใช้กฎหมายมาตรวจพบการกระทำผิดภายหลังจากการขายกิจการไปแล้ว.
ศุภวัชร์ มาลานนท์
คณะนิติศาสตร์ มหาวิทยาลัยสงขลานครินทร์