ข้อมูลส่วนบุคคล ของผู้เยาว์ ไม่ใช่เรื่องเล็กน้อย เพราะยังถูกจัดให้เป็น ข้อมูลส่วนบุคคล ที่ได้รับการคุ้มครองจากกฎหมายคุ้มครองข้อมูลส่วนบุคคลในระดับนานาชาติ ขณะที่ PDPA ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทย ก็มีการบัญญัติให้ข้อมูลส่วนบุคคลของผู้เยาว์ เป็นข้อมูลที่ต้องได้รับการคุ้มครองดูแล เช่นเดียวกับข้อมูลส่วนบุคคลประเภทอื่นๆ
ดังนั้นธุรกิจที่ให้บริการผ่านแอปพลิเคชั่นต้องระวัง หากเก็บรวบรวม ใช้หรือเผยแพร่ไม่ถูกต้อง อาจโดนฟ้องเหมือนแอปฯ TikTok และสังเวยค่าปรับหลัก 500 ล้านบาท แม้กฎหมาย PDPA ไม่ปรับรุนแรงเทียบเท่ากฎหมาย GDPR ทว่าอาจถูกสั่งให้ระงับการบริการได้
ภาพรวมเหตุการณ์ ICO อังกฤษฟ้องร้อง TikTok
สำนักงานคณะกรรมาธิการด้านข้อมูลข่าวสาร (ICO) แห่งสหราชอาณาจักร สั่งปรับ TikTok กว่า 12.7 ล้านปอนด์ จากกรณีที่แอปพลิเคชั่นดังกล่าวอนุญาติให้เด็กในอังกฤษ อายุต่ำกว่า 13 ปี จำนวน 1.4 ล้านคน สร้างบัญชีและใช้งานแพลตฟอร์มได้ โดยที่ไม่ขอความยินยอมจากพ่อแม่หรือผู้ดูแล พร้อมตำหนิเจ้าของแอปพลิเคชั่นที่ไม่ตรวจสอบอายุของผู้ใช้งานอย่างเคร่งครัด ไม่กระตือรือร้นในการนำเยาวชนออกจากแพลตฟอร์ม พร้อมตั้งข้อสังเกตว่า อาจมีการประมวลผลข้อมูลของเด็กเยาวชน ฝั่ง TikTok ตอบโต้ ICO ระบุว่า แพลตฟอร์มใช้ความพยายามอย่างมากในการป้องกันไม่ให้เด็กเยาวชนเข้าใช้งานแพลตฟอร์ม ทั้งการลงทุนกว่าพันล้านเพื่อพัฒนาระบบคัดกรองเนื้อหาที่ล่อแหลม และว่าจ้างบุคลากรกว่า 40,000 คนเพื่อเพื่อรักษาความปลอดภัยของแพลตฟอร์ม
TikToK พลาดเรื่องอะไร
รายละเอียดการฟ้องร้อง คือ ICO สหราชอาณาจักร ตรวจพบว่า TikTok ได้ละเมิด ละเลย และเพิกเฉยต่อการปฏิบัติตาม the UK General Data Protection Regulation (UK GDPR) ตั้งแต่เดือนพฤษภาคม 2561 จนถึง กรกฎาคม 2563 จึงได้ดำเนินการฟ้องร้อง TikTok ด้วย 3 ข้อกล่าวหาคือ
– ให้บริการแพลตฟอร์มแก่เด็กในสหราชอาณาจักรที่มีอายุต่ำกว่า 13 ปีโดยไม่ได้รับการยินยอมจากผู้ปกครองหรือผู้ดูแล
– TikTok ไม่มีการอธิบายวิธีการเก็บรวบรวม ใช้และเผยแพร่ ข้อมูลส่วนบุคคล ให้แก่ผู้ใช้งาน เด็กและเยาวชนได้ทราบ การขาดสิ่งนี้ไปส่งผลให้ผู้ใช้งาน เด็กเยาวชนไม่มีตัวเลือกในการมีส่วนร่วมกับแพลตฟอร์ม และไม่ทราบผลกระทบที่จะเกิดขึ้นกับข้อมูล หากเกิด Data Breach
– TikTok ไม่สามารถสร้างความมั่นใจให้กับผู้ใช้งาน เรื่องการประมวลผล ข้อมูลส่วนบุคคล อย่างถูกต้องตามกฎหมาย ยุติธรรม และโปร่งใส
John Edwards, UK Information Commissioner กล่าวถึงกรณีนี้ว่า
“กฎหมายคุ้มครองข้อมูลส่วนบุคคลที่บังคับใช้ในหลายๆ มุมของโลก เพื่อให้แน่ใจว่าเด็กเยาวชนได้รับการคุ้มครอง ทั้งในโลกจริงและโลกดิจิทัล ทว่า TikTok ไม่ปฏิบัติตามกฎหมาย สิ่งที่เกิดขึ้นคือเด็กเยาวชนอายุต่ำกว่า 13 ปีสามารถเข้าถึงและใช้งานแพลตฟอร์ม TikTok ได้ ขณะเดียวกันแอปฯ ก็มุ่งเก็บรวบรวม ใช้ข้อมูลส่วนบุคคลของเด็ก ซึ่งข้อมูลอาจถูกนำไปใช้เพื่อติดตามพฤติกรรมของเด็ก
TikTok ควรรับมือให้ดีกว่านี้ และควรรู้ว่าต้องทำอย่างไร การสั่งปรับต่อกรณีนี้จะเป็นบทเรียนให้ Social Media Platform ทุกบริษัทตระหนักได้ว่าควรดำเนินการให้รอบคอบ และใส่ใจการดูแลข้อมูลส่วนบุคคลของผู้เยาว์ให้มากยิ่งขึ้น”
TikTok สู้กลับ ยืนยันว่าพยายามคัดกรองข้อมูลส่วนบุคคลของผู้ใช้งานแพลตฟอร์ม
หลังจาก ICO ได้เปิดเผยข้อกล่าวหา ทาง TikTok ได้ออกมาปฏิเสธคำตัดสินของ ICO และยืนยันว่า TikTok มีความพยายามอย่างมากในการคัดกรองเด็กอายุต่ำกว่า 13 ปี ไม่ให้สมัครบัญชี TikTok ได้ โดยใช้งบในส่วนนี้กว่าพันล้านบาท และเสริมความเข้มงวดของการคัดกรองด้วยการเพิ่มบุคคลากร เข้ามาดูแล คัดกรอง ผู้ใช้งาน และคัดกรองเนื้อหาที่ไม่เหมาะสม เพื่อให้แอปพลิเคชั่น TikTok นั้นปลอดภัยสำหรับทุกเพศ ทุกวัย
เหตุการณ์นี้สร้างแรงผลักดันให้ TikTok พัฒนาระบบหลังบ้าน เพื่อรองรับการคุ้มครอง ข้อมูลส่วนบุคคล ของผู้ใช้งาน โดยใช้ Security Gatewat ซึ่งเป็นระบบการรักษาความปลอดภัยทางอินเทอร์เน็ต มาช่วยปกป้องการเข้าถึงข้อมูลผู้ใช้งาน ทุกช่วงวัย รวมถึงกำกับดูแลการถ่ายโอนข้อมูลต่าง ๆ ไปนอกพื้นที่ยุโรป มีการนำเอาเทคโนโลยีขั้นสูงมาใช้เพื่อรองรับความเป็นส่วนตัวของผู้ใช้งาน เช่น การปกปิดอัตลักษณ์ของข้อมูลส่วนบุคคล ให้ไม่สามารถระบุตัวตนเจ้าของข้อมูลได้ ไม่ว่าทางตรงหรือทางอ้อม
ความคืบหน้าล่าสุด TikTok ได้เดินหน้าจัดตั้งศูนย์ข้อมูลเพิ่มอีกสองแห่งในทวีปยุโรป คือ ประเทศไอร์แลนด์ และนอร์เวย์ หลังจากเปิดศูนย์ข้อมูลแห่งแรกเมืองดับลิน ประเทศไอร์แลนด์ ไปเมื่อปีที่ผ่านมา ทั้งหมดนี้ก็เพื่อกำกับดูแลด้านกระบวนการและกฎหมายให้สอดคล้องกับ GDPR และรักษาความปลอดภัยข้อมูลส่วนบุคคล ของผู้ใช้งานแพลตฟอร์มที่มีมากถึง 150 ล้านคนทั่วโลก
เทียบกับกฎหมาย PDPA ของไทย TikTok ละเมิดกฎหมายข้อใดบ้าง
เพื่อให้เข้าใจภาพรวมได้ชัดเจน ขอยก 3 ข้อกล่าวหาที่ ICO ฟ้องร้อง TikTok มาเทียบกับกฎหมาย PDPA ของไทย
TikTok ให้บริการแพลตฟอร์มแก่เด็กในสหราชอาณาจักรที่มีอายุต่ำกว่า 13 ปีโดยไม่ได้รับการยินยอมจากผู้ปกครองหรือผู้ดูแล ประเด็นนี้ TikTok อาจเข้าข่ายละเมิดกฎหมาย PDPA มาตรา 20 ซึ่งระบุว่า ในกรณีที่เจ้าของข้อมูลส่วนบุคคลเป็นผู้เยาว์ซึ่งยังไม่บรรลุนิติภาวะโดยการสมรส หรือไม่มีสถานะเสมือนดังบุคคลซึ่งบรรลุนิติภาวะแล้ว การขอความยินยอมต้องดำเนินการดังนี้
การให้ความยินยอมใดๆ ที่ผู้เยาว์ไม่อาจให้โดยลำพังได้ ต้องมีการให้ความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์
- ผู้เยาว์อายุไม่เกิน 10 ปีให้ใช้ขอคำยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์
TikTok ไม่มีการอธิบายวิธีการเก็บรวบรวม ใช้และเผยแพร่ข้อมูลส่วนบุคคลให้แก่ผู้ใช้งาน เด็กและเยาวชนได้ทราบ การขาดสิ่งนี้ไปส่งผลให้ผู้ใช้งาน เด็กเยาวชนไม่มีตัวเลือกในการมีส่วนร่วมกับแพลตฟอร์ม และไม่ทราบผลกระทบที่จะเกิดขึ้นกับข้อมูล หากเกิด Data Breach ประเด็นนี้ TikTok อาจเข้าข่ายละเมิดกฎหมาย PDPA มาตรา 23 ระบุถึง
การเก็บรวบรวมข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบทราบก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคลถึงรายละเอียดดังต่อไปนี้
แจ้งวัตถุประสงค์ของการเก็บรวบรวม
แจ้งถึงผลกระทบที่เป็นไปได้ของการไม่ให้ข้อมูลส่วนบุคคล
รายละเอียดของข้อมูลส่วนบุคคลที่จะเก็บรวบรวมและระยเวลาในการเก็บรวบรวม
ประเภทของบุคคลหรือหน่วยงานซึ่งข้อมูลส่วนบุคคลที่เก็บรวบรวมจะถูกเปิดเผย
ข้อมูลของผู้ควบคุมข้อมูลส่วนบุคคลหรือตัวแทนผู้ควบคุมข้อมูลส่วนบุคคล สถานที่ติดต่อ วิธีการติดต่อ
- สิทธิของเจ้าของข้อมูลส่วนบุคคลตามมาตรา 19, 30, 31, 32,33, 34,36, และ 73
TikTok ไม่สามารถสร้างความมั่นใจให้กับผู้ใช้งาน เรื่องการประมวลผลข้อมูลส่วนบุคคลอย่างถูกต้องตามกฎหมาย ยุติธรรม และโปร่งใส ประเด็นนี้ TikTok อาจเข้าข่ายไม่ปฏิบัติตาม แนวทางการดำเนินการในการแจ้งวัตถุประสงค์และรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคลจากเจ้าของ ข้อมูลส่วนบุคคล และเห็นได้ชัดว่า TikTok เพิกเฉยต่อ หลักการในการแจ้งวัตถุประสงค์และรายละเอียดแก่เจ้าของข้อมูลส่วนบุคคล ซึ่งประกอบด้วย ความเป็นธรรม (Fairness) การอ้างประโยชน์โดยชอบด้วยกฏหมาย (Legitimate Interest) ความยินยอม (Consent) การจำกัดวัตถุประสงค์ในการเก็บรวบรวมใช้และเปิดเผย ข้อมูลส่วนบุคคล (Purpose Limitation)
โทษของการละเมิดข้อมูลส่วนบุคคล
กรณีการละเมิดของ TikTok ในครั้งนี้ หากผู้เสียหายซึ่งเป็นผู้เยาว์ หรือผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ ต้องการฟ้องร้อง โดยอ้างอิงกฎหมาย PDPA สามารถฟ้องร้องเอาผิด TikTok ให้ได้รับโทษทางปกครอง ตามมาตรา 83 แห่ง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ต้องระวางโทษปรับทางปกครองไม่เกินสามล้านบาท
แม้ว่าโทษของการละเมิดข้อมูลส่วนบุคคลที่กฎหมาย PDPA กำหนดเอาไว้ จะไม่รุนแรงเท่ากับโทษที่กฎหมาย GDPR กำหนด ทว่ายังสามารถใช้การันตีได้ว่า ข้อมูลส่วนบุคคลของคนไทย ไม่ว่าช่วงอายุใด ล้วนได้รับการคุ้มครองตามกฎหมาย เจ้าของข้อมูลส่วนบุคคล มีสิทธิและมีอำนาจในการใช้ข้อมูลของตนเองตามที่กฎหมายกำหนด
บทเรียนจาก TikTok
ความผิดพลาดของ TikTok ในครั้งนี้ เป็นบทเรียนราคาแพงที่ TikTok ต้องนำกลับไปปรุบปรุง พัฒนากระบวนการด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคล และเรียนรู้ที่จะไม่กระทำผิดซ้ำ
Lesson Learn จากกรณีนี้ที่กิจการ องค์กร แบรนด์หรือแพลตฟอร์ม ควรนำไปพิจารณาเพื่อการป้องกัน หรือการพัฒนากระบวนการด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคล ได้แก่
การขอคำยินยอมจากผู้ใช้งาน/ ลูกค้า ซึ่งเป็นเจ้าของข้อมูลส่วนบุคคล ตามขั้นตอนที่กฎหมายกำหนด เป็นสิ่งที่จำเป็น และควรเป็น Protocal ในการทำงานของทุกฝ่าย ทุกแผนกที่เกี่ยวข้องกับข้อมูลส่วนบุคคล
ควรมีการคำนึงถึง Privacy by Design ตั้งแต่ขั้นของการพัฒนาแอปพลิเคชั่น เพื่อให้การคุ้มครองข้อมูล เรื่อง Cybersecurity หรือเรื่อง Data Security ถูกนำมาเป็นหนึ่งในเงื่อนไขของการพัฒนาแพลตฟอร์ม ผลิตภัณฑ์และบริการขององค์กร ซึ่งจะช่วยให้องค์กร Comply ในเบื้องต้น กับกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่มีการบังคับใช้อยู่ทั่วทุกมุมโลก
ไม่เพิกเฉยต่อการเก็บรวบรวม ใช้หรือเผยแพร่ข้อมูลส่วนบุคคลของผู้เยาว์ เนื่องจากกฎหมายคุ้มครองข้อมูลส่วนบุคคลของหลายๆ ประเทศ มีการคุ้มครองข้อมูลของผู้เยาว์ เด็กและเยาวชน
ดำเนินการเก็บรวบรวม ใช้และเผยแพร่ข้อมูลส่วนบุคคลขององค์กรหรือแพลตฟอร์มอย่างรอบคอบ ตามที่กฎหมายในแต่ละประเทศกำหนด
- กำหนดมาตรการรับมือเมื่อเกิดการรั่วไหล่ของข้อมูล และแจ้งให้เจ้าของข้อมูลส่วนบุคคลที่ใช้บริการแพลตฟอร์มหรือบริการได้ทราบอย่างชัดเจน
Checklist ที่แพลตฟอร์มต้องรู้ เพื่อรับมือกับ PDPA ให้ไม่ซ้ำรอย TikTok
เมื่ออ่านมาถึงตรงนี้แล้วเกิดความกังวลว่าธุรกิจหรือแพลตฟอร์มของท่านที่ดำเนินการอยู่ มีการดำเนินการเพื่อให้สอดคล้องตามข้อกำหนดของกฎหมายครอบคลุมแล้วหรือไม่ องค์กรของท่านมีความเสี่ยงที่จะถูกฟ้องร้องจากงค์กรี่กำกับดูแลกฎหมายหรือไม่ ธุรกิจที่ให้บริการผ่าน Application Platform สามารถตรวจสอบดำเนินการตาม Checklist ด้านล่างนี้ เพื่อประเมินว่าแพลตฟอร์มขององค์กร มีการดำเนินการตามที่กฎหมายกำหนดครบถ้วนเพียงใด อะไรที่ยังต้องดำเนินการเพิ่ม หรือปรับปรุงแก้ไขให้ชัดเจน
ดำเนินการขอคำยินยอมการเก็บรวบรวม ใช้และเผยแพร่ข้อมูลส่วนบุคคลของผู้ใช้งานแพลตฟอร์ม ตาม แนวทางการดำเนินการในการแจ้งวัตถุประสงค์และรายละเอียดในการเก็รวบรวมข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคล และ แนวทางการดำเนินการเพื่อขอคำยินยอมจากเจ้าของข้อมูลส่วนบุคคล
- ประกาศ Privacy Notice นโยบายความเป็นส่วนตัว บนแพลตฟอร์มให้ชัดเจน เพื่อให้ผู้ใช้งานแพลตฟอร์ม สามารถดูรายละเอียด Privacy Notice ได้
แจ้งให้ผู้ใช้งานแพลตฟอร์มทราบ ในกรณีที่แพลตฟอร์มมีการแบ่งปันหรือถ่ายโอนข้อมูล กับ Third Party โดยระบุรายละเอียดเกี่ยวกับการถ่ายโอนหรือแบ่งปันข้อมูลนั้น และจำเป็นต้องแจ้งว่า Third Party ที่ประมวลผลข้อมูลส่วนบุคคลคือใคร องค์กรใด เหตุจำเป็นในถ่ายโอนหรือแบ่งปันข้อมูล ใช้ข้อมูลอะไรบ้าง ใครเป็นผู้รับข้อมูล เหตุผลที่ต้องถ่ายโอนหรือแบ่งปันข้อมูลส่วนบุคคลของผู้ใช้งาน
แจ้งช่องทางการติดต่อ สถานที่ติดต่อ วิธีในการติดต่อผู้ควบคุมข้อมูลส่วนบุคคล
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) หรือตัวแทนของผู้ควบคุมข้อมูลส่วนบุคคลเจ้าของแพลตฟอร์มต้องจัดตั้งมาตรการรักษาความปลอดภัยที่เหมาะสมเพื่อปกป้องข้อมูลของผู้ใช้งานแพลตฟอร์ม
- การแจ้งหรือการประกาศนโยบาย รวมถึงการขอคำยินยอม จะต้องมีความชัดเจน ไม่คลุมเครือ และสามารถเรียกดูประกาศหรือนโยบายย้อนหลังได้ สำหรับการขอคำยินยอมและถอนคำยินยอมผ่านแอพลิเคชัน จะต้องมีกระบวนการเดียวกัน หากการให้คำยินยอมสามารถทำได้ รวดเร็ว ง่าย ไม่ซับซ้อน การยกเลิกคำยินยอมก็ต้องมีความรวดเร็ว ง่าย ไม่ซับซ้อนเช่นกัน
นอกจากดำเนินการตามแนวทางที่กล่าวมาแล้ว ทุกธุรกิจที่มีการประมวลผลข้อมูลส่วนบุคคลของคนไทย ควรปฏิบัติตาม Checklist จากสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ดังนี้
ดำเนินการด้าน Lawful Basis & ROPA (มาตรา 24-27 และ มาตรา 39) ฐานทางกฎหมายสำหรับการประมวลผลข้อมูลส่วนบุคคล และ บันทึกการประมวลผลข้อมูส่วนบุคคล
จัดทำ Privacy Notice (มาตรา 23) ประกาศความเป็นส่วนตัว หรือ นโยบายความเป็นส่วนตัว
จัดทำ Security Measures (มาตรา 37) มาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ
ดำเนินงานด้าน Data Subject Rights Management (มาตรา 30-36) ระบบบริการจัดการ การใช้สิทธิของเจ้าของข้อมูล
จัดทำ Data Breach Report (มาตรา 37 (4)) หนังสือแจ้งเหตุละเมิดข้อมูลส่วนบุคคล
แม้แต่แอปฯ ใหญ่ยังไม่รอด
การละเมิดข้อมูลส่วนบุคคลของแพลตฟอร์ม TikTok จนถูกหน่วยงานกำกับดูแลกฎหมายฟ้องร้อง ไม่ใช่ปรากฎการณ์ใหม่ที่พึ่งเกิดขึ้น ทว่า ICO เคยดำเนินการฟ้องร้ององค์กรธุรกิจหลายต่อหลายองค์กรที่เพิกเฉย ละเลยหรือละเมิดกฎหมายคุ้มครองข้อมูลส่วนบุคคล อาทิ กรณี Marriott International ถูกละเมิดข้อมูลโดยแฮ็กเกอร์ทำการโจมตีและขโมยข้อมูลสำคัญ กว่า 20GB. เป็นจำนวนข้อมูลลูกค้ากว่า 300 ล้านราย ซึ่งมีทั้งชื่อ ที่อยู่ หมายเลขพาสปอร์ต อีเมล ข้อมูลการเดินทาง ฯ ของแขกผู้เข้าพัก กว่า 7 ล้านรายชื่อเชื่อมโยงกับข้อมูลของประชากรสัญชาติอังกฤษ ด้วยเหตุนี้ ICO จึงได้ฟ้องร้องและสั่งปรับ Marriott International เป็นเงินกว่า 600 ล้านบาท
ขณะที่ Grindr ซึ่งเป็นแพลตฟอร์มยอดฮิตเพื่อใช้หาคู่ของชาว LGBTQAI+ ก็ถูกฟ้องร้องว่าละเมิดกฎหมาย GDPR โดยที่มีเจ้าหน้าที่การปกป้องข้อมูลแห่งประเทศนอร์เวย์ยื่นฟ้องร้อง ฐานที่แพลตฟอร์มละเมิดมาตรา 6(1) และ 9(1) ตามข้อบังคับในกฎหมายของสหภาพยุโรปว่าด้วยการคุ้มครองข้อมูล (GDPR) รายละเอียดที่ DPA แจ้งต่อสารคือ ” Grindr ใช้ประโยชน์จากข้อมูลส่วนบุคคลอย่างผิดกฎหมาย และแบ่งปันข้อมูลของผู้ใช้งานแอพลิเคชั่นให้กับบริษัทโฆษณาไปหลายร้อยแห่ง โดยที่ผู้ที่ใช้งานไม่ได้รับแจ้งล่วงหน้า” ซึ่งข้อมูลที่ Grindr ขายให้กับบริษัทโฆษณา ล้วนแต่เป็นข้อมูลส่วนบุคคลอ่อนไหว อาทิ ข้อมูลที่ละเอียดอ่อนเกี่ยวกับรสนิยมทางเพศ จากกรณีนี้ Grindr ถูก GDPR สั่งปรับเป็นจำนวนเงิน 7.16 ล้านเหรียญ หรือราว 239 ล้านบาท
กรณีที่เกิดขึ้นกับ TikTok ก็ได้เกิดขึ้นมาแล้วกับบริษัทยักษ์ใหญ่อย่าง Google LLC. ในปี 2019 หน่วยงานคุ้มครองข้อมูลของฝรั่งเศส สั่งปรับ Google เป็นเงินจำนวนกว่า 57 ล้านดอลลาร์ (ราว 1,880 ล้านบาท) ฐานกระทำผิดต่อกฎหมายคุ้มครองข้อมูลส่วนบุคคลของพลเมืองสหภาพยุโรป (GDPR) ใน 2 ประเด็นคือ
กระบวนการขอความยินยอม มีความไม่โปร่งใสเนื่องจาก Google ไม่สามารถชี้แจงรายละเอียดต่อผู้ใช้ว่าได้เก็บข้อมูลส่วนบุคคลในรูปแบบใด และนำข้อมูลไปใช้ประโยชน์อย่างไรบ้าง ในขั้นตอนการกำหนดค่าต่างๆบนระบบ Android และการสร้างบัญชี Google
ทำการประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ในการโฆษณา โดยที่เจ้าของข้อมูลส่วนบุคคลไม่ยินยอม
แม้รายละเอียดของทั้งสองกรณีจะไม่เหมือนกัน ทว่าสิ่งที่ทั้งสองแพลตฟอร์มละเลย คือการขอคำยินยอม (Consent) ในการประมวลผลข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคล ซึ่งในบริบทของกฎหมาย GDPR และกฎหมาย PDPA คำยินยอม (Consent) ถือเป็นสิ่งสำคัญอย่างยิ่งยวด
และคงปฏิเสธไม่ได้ว่าปัจจุบันแพลตฟอร์มหรือแอปพลิเคชันที่เป็นที่นิยม ล้วนเก็บรวบรวมข้อมูลส่วนบุคคลของผู้ใช้งานแพลตฟอร์มแทบทั้งสิ้น ตั้งแต่ขั้นแรกของการเข้าใช้งาน ผู้ใช้ต้องกรอกชื่อ-สกุล อีเมล เบอร์โทรศัพท์ เพื่อสมัครสมาชิกและสร้าง Account ในกรณีของ TikTok ซึ่งมี Features TikTok Shop ผู้ใช้งานที่ใช้ Features ดังกล่าว ต้องกรอกข้อมูลที่อยู่ และยืนยันตำแหน่งที่อยู่ เพื่อการจัดส่งสินค้าด้วย ข้อมูลที่มีในระบบของ TikTok จึงกลายเป็น Big Data ขนาดใหญ่ ทำให้จำนวนของ Consent ที่ไหลเวียนอยู่ในแพลตฟอร์มมีขนาดใหญ่ตามไปด้วย การละเลยและเพิกเฉยในการดำเนินการขอ Consent ของ TikTok ในครั้งนี้จึงนำมาสู่หายนะค่าปรับจำนวน 540 ล้านบาทนั่นเอง
ปิดท้าย
ธุรกิจในปัจจุบัน ไม่ว่าจะเป็นธุรกิจด้านการบริการ ธุรกิจอีคอมเมิร์ซ ธุรกิจการธนาคารหรือแม้แต่ธุรกิจที่ให้บริการผ่านแพลตฟอร์มออนไลน์ ส่วนใหญ่ไม่สามารถหลีกเลี่ยงการเก็บรวบรวม ใช้และเผยแพร่ข้อมูลส่วนบุคคลได้ เนื่องจากภาคธุรกิจต้องใช้ Big Data ในการประมวลผล ใช้ข้อมูลเพื่อการวิจัยและพัฒนา ติดตามพฤติกรรมของผู้บริโภคเพื่อการให้บริการที่ตอบโจทย์ความต้องการของผู้ใช้งาน ดังนั้นภาคธุรกิจจะต้องไม่ละเลย ไม่เพิกเฉยต่อกฎระเบียบ กติกา กฎหมาย ที่เกี่ยวข้องกับธุรกิจ
อย่านิ่งนอนใจว่า แพลตฟอร์มของท่านไม่ได้มี Headquarter ที่ประเทศไทย ดังนั้นจึงไม่ต้องปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทย ตราบใดที่แพลตฟอร์มของท่านประมวลผลข้อมูลส่วนบุคคลของผู้ใช้งานแพลตฟอร์มชาวไทย การดำเนินการตามข้อกำหนดของกฎหมาย PDPA ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทย เป็นสิ่งที่จำเป็นและเป็นสิ่งที่ควรดำเนินการทันที
หากองค์กรของท่าน ให้บริการผ่านแพลตฟอร์มแอปพลิเคชัน มีความกังวลในเรื่องการละเมิดข้อมูลส่วนบุคคล หรือกำลังริเริ่มดำเนินการตามข้อปฏิบัติในกฎหมาย PDPA ให้ครอบคลุมทั้งทางนโยบายและทางเทคนิค สามารถติดต่อใช้บริการแพลตฟอร์ม t-reg ทางเรายินดีให้บริการปรึกษา และช่วยท่านวางแผนทำ ตามแนวทาง PDPA อย่างครบถ้วน ครบวงจร ติดต่อเราได้ที่ 089-698-2591
