Grindr แอพลิเคชั่นหาคู่ของชาวสีรุ้ง ถูกเจ้าหน้าที่การปกป้องข้อมูลแห่งประเทศนอร์เวย์ยื่นฟ้องร้อง ฐานขายข้อมูลส่วนตัวของผู้ใช้แอปให้กับบริษัทโฆษณาไปหลายร้อยแห่ง โดยที่เจ้าของข้อมูลส่วนบุคคลไม่ได้ให้การยินยอม กรณีของ Grindr ถูก GDPR สั่งปรับเป็นจำนวนเงิน 7.16 ล้านเหรียญ หรือราว 239 ล้านบาท ทว่าในปี 2020 Grindr เคยถูกศาลฟ้องร้อง ในกรณีเปิดเผยข้อมูลส่วนตัวของผู้ที่ใช้แอปให้กับบริษัทโฆษณาหลายแห่งมา ครั้งหนึ่งแล้ว
Grindr ยังยืนยันว่านโยบายคุมครองข้อมูลส่วนบุคคลของแอปพลิเคชั่น อยู่ภายใต้มาตรฐานของ GDPR กรณีนี้ GDPR ดำเนินการอย่างไร แล้วต้องร่างนโยบายคุ้มครองข้อมูลส่วนบุคคลอย่างไรให้สอดคล้องกับกฎหมาย ติดตามได้ในบทความนี้
General Data Protection Regulation คือใคร? ทำไมสั่งฟ้ององค์กรอื่นได้
ก่อนจะไปวิเคราะห์กรณีของ Grindr เราขอพาทุกท่านไปทำความรู้จักกับ GDPR ที่ย่อมาจาก General Data Protection Regulation หรือที่รู้จักในชื่อ กฏหมายคุ้มครองข้อมูลส่วนบุคคลของพลเมืองสหภาพยุโรป สาระสำคัญของกฎหมาย มุ่งให้การคุ้มครองพลเมืองของสหภาพยุโรปจากการโดนคุกคามข้อมูลส่วนบุคคลหรือการละเมิดความเป็นส่วนตัว เพิ่มสิทธิในการควบคุมข้อมูลในทุกกิจกรรมที่เกี่ยวข้องกับข้อมูลส่วนบุคคล สรุปสั้น ๆ ก็คือ GDPR ให้สิทธิ เก็บ-ใช้-ถ่ายโอน ข้อมูลส่วนบุคคลแก่พลเมืองสหภาพยุโรป ดังนั้นผู้ให้บริการ ห้างร้าน หรือองค์กร ที่ดำเนินกิจกรรมเกี่ยวเนื่องกับข้อมูลส่วนบุคคล จะต้องชี้แจงหลักเกณฑ์และความรับผิดชอบต่อข้อมูลให้กับเจ้าของข้อมูลส่วนบุคคล ที่เป็นพลเมืองสหภาพยุโรปทราบก่อนเสมอ
ภายหลังจากที่กฎหมาย GDPR บังคับใช้ ก็ได้กลายเป็นกฎหมายแม่แบบของกฎหมายคุ้มครองข้อมูลของโลก เนื่องมาจากการที่ แทบทุกประเทศในโลกต่างก็ต้องทำธุรกิจ ทำการค้า ซื้อ/ ขายสินค้าหรือบริการให้กับพลเมืองของสหภาพยุโรป หลาย ๆ ประเทศทั่วโลกจึงใช้ GDPR เพื่ออ้างอิง หรือเป็นแม่แบบในการร่างกฎหมายคุ้มครองข้อมูลส่วนบุคคลในประเทศตนเอง
Keyword ที่สำคัญของกฎหมาย GDPR
Consent คือความยินยอมให้ทำการประมวลผลข้อมูลส่วนบุคคล ทั้งการเก็บ-ใช้- ถ่ายโอน หากองค์กร เว็บไซต์ หรือแอพลิเคชั่นต้องการเก็บ-ใช้- ถ่ายโอน ข้อมูลส่วนบุคคลจะต้องมีการยื่นขอคำยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อนเสมอ สามารถทำการขอ Consent ผ่านช่องท่างที่หลากหลาย ไม่จำกัดเพียงแค่การเซ็นเอกสาร
Right of Access ผู้ใช้งานเว็บไซต์ มีสิทธิรับทราบ วิธีการที่เว็บ แอพลิเคชั่น หรือองค์กรเก็บรวบรวมข้อมูลส่วนบุคคล, วิธีการประมวลผลข้อมูล, กิจกรรมที่มีการารนำข้อมูลส่วนบุคคลไปใช้, และผู้ใช้งานมีสิทธิตรวจสอบข้อมูลที่ถูกเก็บรวบรวมไว้ได้
Right to be forgotten เจ้าของข้อมูลส่วนบุคคลมีสิทธิเรียกร้องให้ องค์กร เว็บไซต์ หรือแอพลิเคชั่น ลบข้อมูลส่วนบุคคล หมายเลขโทรศัพท์ ข้อมูลที่อยู่ ฯลฯ รวมทั้งลิงก์และสำเนาของข้อมูลออกจากฐานข้อมูลได้
Data Portability สิทธิของเจ้าของข้อมูลส่วนบุคคล ในการร้องขอให้ผู้ควบคุมข้อมูล ถ่ายโอนข้อมูลส่วนบุคคลจากผู้ให้บริการหนึ่งไปอีกผู้ให้บริการหนึ่งได้
Record of Processing Activities บันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล ที่ใช้ระบุเกี่ยวกับ รายละเอียดกิจกรรมการประมวลผลข้อมูลส่วนบุคคล เก็บข้อมูลไว้ที่ไหน แผนกหรือทีมไหนเป็นผู้จัดเก็บ ใครคือผู้ดูแล ระยะเวลาในการเก็บข้อมูล และวัตถุประสงค์ของการเก็บข้อมูลคืออะไร จากนั้นจึงทำวงจรของข้อมูล ที่ระบุตั้งแต่การเก็บ รวบรวม ใช้ และเผยแพร่ จนไปถึงการทำลายข้อมูลส่วนบุคคล
ถึงตอนนี้ ทุกท่านได้ทำความเข้าใจกฎหมาย หากท่านต้องการทำความเข้าใจรายละเอียดเพิ่มเติมเกี่ยวกับกฎหมาย GDPR ฉบับเต็ม สามารถศึกษาเพิ่มเติมได้ที่นี่ ลำดับถัดไป เราจะพาทุกท่านไปทำความเข้าใจกรณีการละเมิดกฎหมาย GDPR ของแอปลิเคชัน Grindr แอพหาคู่แอพนี้ทำผิดกฎหมายอย่างไร อ่านรายละเอียดในหัวข้อถัดไปได้เลย
รายละเอียดของกรณี Grindr ละเมิดกฎหมาย GDPR
ผู้ที่ทำการฟ้องร้อง Grindr คือ เจ้าหน้าที่การปกป้องข้อมูลแห่งประเทศนอร์เวย์ (DPA) ได้ฟ้องร้องต่อศาล โดยระบุว่า Grindr ละเมิดมาตรา 6(1) และ 9(1) ตามข้อบังคับในกฎหมายของสหภาพยุโรปว่าด้วยการคุ้มครองข้อมูล (GDPR) รายละเอียดที่ DPA แจ้งต่อสารคือ ” Grindr ใช้ประโยชน์จากข้อมูลส่วนบุคคลอย่างผิดกฎหมาย และแบ่งปันข้อมูลของผู้ใช้งานแอพลิเคชั่นให้กับบริษัทโฆษณาไปหลายร้อยแห่ง โดยที่ผู้ที่ใช้งานไม่ได้รับแจ้งล่วงหน้า” ซึ่งข้อมูลที่ Grindr ขายให้กับบริษัทโฆษณา ล้วนแต่เป็นข้อมูลส่วนบุคคลอ่อนไหว อาทิ ข้อมูลที่ละเอียดอ่อนเกี่ยวกับรสนิยมทางเพศ
และยิ่งไปกว่านั้น แอปพลิเคชันยังไม่ได้ให้ทางเลือกแก่ผู้ใช้งาน ว่าจะยอมรับข้อกำหนดหรือไม่ หากผู้ใช้ Grindr ปฏิเสธที่จะยอมรับนโยบายความเป็นส่วนตัวระหว่างการเริ่มต้นใช้งาน พวกเขาจะไม่สามารถใช้แอปต่อไปได้ ทั้งยังระบุอีกว่า การเป็นผู้ใช้งานแอปพลิเคชัน Grindr ไม่ถือเป็นการยืนยันความยินยอมโดยเจ้าของข้อมูลในการนำข้อมูลไปใช้หรือเผยแพร่ต่อ
หลังจากที่รับทราบข้อกล่าวหา ทางด้าน Grindr ออกมาโต้แย้ง DPA ในกรณี โดยหัวหน้าฝ่ายข้อมูลส่วนตัวของทางแอป Grindr ได้กล่าวถึงกรณีนี้ว่า นโยบายการประมวลผลข้อมูลส่วนบุคคล ที่ทางเจ้าหน้าที่ DPA นำไปยื่นฟ้องต่อศาลนั้นเป็นนโยบายเก่าของทางบริษัทที่ร่างออกมานานแล้ว ซึ่งปัจจุบันทาง Grindr ไม่ได้ใช้นโยบายดังกล่าวแจ้งต่อผู้ใช้งานแอปพลิเคชัน และจะขอยื่นอุทธรณ์กับศาลในการฟ้องครั้งนี้ พร้อมยังกล่าวอีกว่า เจ้าหน้าที่ DPA มุ่งมองหาแต่จุดผิดผลาดในข้อกฏหมายที่ยังไม่ได้การรับรองที่แน่ชัด จำนวนเงินค่าปรับที่ฟ้องร้องก็สูงเกินความเป็นจริง
หลังจากนั้น Shane Wiley ผู้ดำรงตำแหน่ง Chief privacy officer ของ Grindr ก็ออกแถลงการอย่างเป็นทางการเกี่ยวกับมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคล ความว่า
“protecting users’ interests and ensuring that we put them in control of their personal data has always been our top priorities.”
Grindr ละเมิดกฎหมายมาตรา 6(1) และมาตรา 9(1)
ข้อกฎหมายที่ Grindr ละเมิด เป็นข้อกฎหมายที่กล่าวถึง ความชอบด้วยกฎหมายของการประมวลผลข้อมูล (6) และ การประมวลผลข้อมูลส่วนบุคคลประเภทพิเศษ (9) เรามาทำความเข้าใจสาระสำคัญของกฎหมายทั้งสองมาตรานี้กัน
มาตรา 6 ความชอบด้วยกฎหมายของการประมวลผลข้อมูล ใจความสำคัญกล่าวถึง การประมวลผลจะชอบด้วยกฎหมาย ก็ต่อเมื่อ ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล การประมวลผลนั้นเป็นไปตามสัญญา การประมวลผลนั้นจำเป็นต่อการคุ้มครองผลประโยชน์ที่เกี่ยวข้องกับชีวิตของเจ้าของข้อมูล หรือผู้อื่น การประมวลนั้นเป็นไปเพื่อประโยชน์ของสาธารณะ ฯลฯ
มาตรา 9 การประมวลผลข้อมูลส่วนบุคคลประเภทพิเศษ ใจความสำคัญกล่าวถึง การประมวลผลข้อมูลส่วนบุคคลที่เปิดเผยต้นกำเนิดทางเชื้อชาติและชาติพันธ์ ความคิดทางการเมือง ความเชื่อทางศาสนา การประมวลผลข้อมูลพันธุกรรม เพื่อวัตถุประสงค์ในการระบุอัตลักษณ์บุคคลธรรมดาอย่างเฉพาะเจาะจง ข้อมูลเกี่ยวกับสุขภาพ หรือข้อมูลเกี่ยวกับชีวิตทางเพศหรือวิถีทางเพศของบุคคลธรรมดา จะกระทำมิได้ เว้นแต่ เจ้าของข้อมูลส่วนบุคคลประเภทพิเศษให้การยินยอมอย่างชัดเจนถึงการประมวลผลข้อมูลส่วนบุคคล การประมวลผลนั้นเป็นไปตามสัญญา การประมวลผลนั้นจำเป็นต่อการคุ้มครองผลประโยชน์ที่เกี่ยวข้องกับชีวิตของเจ้าของข้อมูล หรือผู้อื่น การประมวลนั้นเป็นไปเพื่อประโยชน์ของสาธารณะ การประมวลผลจำเป็นต่อวัตถุประสงค์ด้านเวชศาสตร์ป้องกันหรือเวชศาสตร์โรค ฯลฯ
ทั้งหมดนี้คือใจความสำคัญหลักของมาตรา 6 และมาตรา 9 ที่ถูกระบุไว้ในกฎหมาย GDPR อย่างเป็นทางการ และมีผลบังคับใช้อย่างเป็นทางการนับตั้งแต่วันที่ 25 พฤษภาคม 2018 ในกรณีของ Grindr นี้จึงมีความผิดฐาน ไม่ดำเนินการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ก่อนที่จะทำการส่งต่อ/ เผยแพร่ข้อมูลให้กับบุคคลที่ 3 และไม่ดำเนินการขอความยินยอมในการประมวลผลข้อมูลส่วนบุคคลประเภทพิเศษ จากเจ้าของข้อมูลส่วนบุคคล ซึ่งส่วนใหญ่เป็นผู้ที่มีความหลากหลายทางเพศ
ถ้าเกิดกรณีเดียวกันกับ Grindr ในประเทศไทย จะมีความผิดตามกฎหมาย PDPA มาตราใดบ้าง
จะเป็นอย่างไร หากองค์กรในไทยละเมิดกฎหมาย เหมือนกับ Grindr
สำหรับกรณีในต่างประเทศ จะดำเนินการฟ้องร้องภายใต้กฎหมาย GDPR แต่สำหรับประเทศไทย หากเกิดการละเมิดความเป็นส่วนตัว หรือกระทำการใด ๆ ที่ก่อให้เกิดความเสียหายกับข้อมูลส่วนบุคคล ผู้เสียหายสามารถดำเนินการฟ้องร้องได้ ภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล หรือที่นิยมเรียกกันว่า PDPA (Personal Data Protection Act)
เนื่องจากกฎหมาย PDPA เป็น พ.ร.บ. ว่าด้วยการให้สิทธิ์กับเจ้าของข้อมูลส่วนบุคคล ถูกร่างขึ้นเพื่อสร้างมาตรฐานการรักษาข้อมูลส่วนบุคคลให้ปลอดภัยและนำไปใช้ให้ตรงตามวัตถุประสงค์ ตามคำยินยอมที่เจ้าของข้อมูลส่วนบุคคลอนุญาต รวมทั้งควบคุมดูแลกิจกรรมใด ๆ ก็ตามที่ทำกับข้อมูลส่วนบุคคล
ประเภทข้อมูลที่อยู่ภายใต้การคุ้มครองของกฎหมาย PDPA และ GDPR ได้แก่ ข้อมูลส่วนบุคคล (Personal Data) อาทิ ชื่อ-สกุล ข้อมูลที่อยู่ อายุ หมายเลขโทรศัพท์ ข้อมูลการศึกษา ฯลฯ และ ข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Personal Data) หรือข้อมูลส่วนบุคคลที่ละเอียดอ่อน เช่น เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อทางศาสนา พฤติกรรมทางเพศ ฯลฯ
ในบทความนี้ เราจะไม่ได้กล่าวถึงรายละเอียดเชิงลึกของกฎหมาย PDPA มากนัก หากท่านมีความสงสัย สามารถทำความเข้าใจสาระสำคัญของกฎหมาย PDPA เพิ่มเติมได้ที่นี่
กลับมาที่ประเด็นหลักของหัวข้อนี้ ถ้าเกิดกรณีเดียวกันกับ Grindr ในประเทศไทย จะมีความผิดตามกฎหมาย PDPA มาตราใดบ้าง? อย่างแรก เริ่มที่ การเก็บรวบรวมข้อมูลส่วนบุคคลประเภทพิเศษ ในกฎหมาย PDPA เรียกข้อมูลประเภทนี้ว่า ข้อมูลส่วนบุคคลอ่อนไหว ซึ่งตามกฎหมายมาตรา 26 พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ระบุไว้ว่า
“ห้ามมิให้เก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวเชื้อชาติ เผ่าพันธ์ ความคิดเห็นทางการเมือง ลัทธิ ศาสนาปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพหรือข้อมูลอื่นใดที่กระทบต่อเจ้าของข้อมูลส่วนบุคคล”
เว้นแต่
เพื่อป้องกันหรือระงับอันตรายที่เกิดขึ้นกับชีวิต ร่างกาย สุขภาพ ที่เจ้าของข้อมูลไม่สามารถให้ความยินยอมได้
กิจกรรมของสหภาพ สมาคม พรรคการเมือง ถ้าองค์กรนั้นชัดเจนอยู่แล้วว่าเป็นกลุ่มที่มีเป้าหมายในการทำงานที่ชัดเจน เช่น พรรคการเมืองจะต้องรู้ทัศนคติของคนในพรรค สมาชิคสมาคมอิสลาม ต้องเป็นคนที่นับถือศาสนาอิสลาม จึงจะเข้าร่วมสมาคมได้
ข้อมูลที่เจ้าของข้อมูลเป็นบุคคลสาธารณะ หรือยินยอมเปิดเผยข้อมูลอ่อนไหว
เป็นความจำเป็นในการก่อตั้งสิทธิเรียกร้องตามกฎหมาย เช่น เก็บข้อมูลอ่อนไหวของผู้บุกรุก โจร มิจฉาชีพ เพื่อนำข้อมูลไปต่อสู้ในชั้นศาล
การประมวลผลจำเป็นต่อวัตถุประสงค์ด้านเวชศาสตร์ป้องกัน หรือเวชศาสตร์โรค ฯลฯ
จากกรณีของ Grindr นอกเหนือจากความผิดฐานทำการประมวลผลข้อมูลส่วนบุคคลประเภทพิเศษโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลแล้ว ยังมีความผิดฐานการประมวลผลข้อมูลโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลอีกด้วย ซึ่งการกระทำของ Grindr เข้าข่ายละเมิดกฎหมายมาตรา 24 ที่ระบุว่า ห้ามไม่ให้ผู้ใดควบคุมข้อมูลส่วนบุคคลหรือเปิดเผยข้อมูลส่วนบุคคล โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล
เว้นแต่
การประมวลผลข้อมูลส่วนบุคคลนั้นเกี่ยวข้องกับการทำเอกสารประวัติศาสตร์กับจดหมายเหตุ
เป็นไปเพื่อป้องกันชีวิต/ ร่างกาย/ สุขภาพของเจ้าของข้อมูลส่วนบุคคล และเป็นไปเพื่อการรักษาพยาบาล
จำเป็นเพื่อปฏิบัติตามสัญญา ข้อตกลง ระหว่างเจ้าของข้อมูลส่วนบุคคลและผู้ควบคุมข้อมูลส่วนบุคคล
เป็นไปเพื่อประโยชน์สาธารณะ อาทิ การติดตั้งกล้องวงจรปิดบริเวณสี่แยก
การอ้างสิทธิ์เกี่ยวกับข้อมูลในชั้นศาล
เป็นการปฏิบัติตามกฏหมายของผู้ควบคุมข้อมูลส่วนบุคคล
หากอ้างอิงกฎหมาย PDPA ของไทย การกระทำของ Grindr จะยังเป็นการกระทำที่ละเมิดกฎหมาย และละเมิดความเป็นส่วนตัวอย่างชัดเจน ในกรณีนี้อาจถูกฟ้องร้องเรียกค่าเสียหาย และถูกพิจารณาโทษตามที่กฎหมาย PDPA กำหนด โดยบทลงโทษของกฎหมาย PDPA ประกอบด้วยโทษทางอาญา โทษทางแพ่ง และโทษทางปกครอง โดยโทษสูงสุดที่ศาลสามารถสั่งปรับได้ คือ
กรณีที่มีการเก็บ รวบรวม เผยแพร่ โอนถ่ายข้อมูลส่วนบุคคลอ่อนไหว โดยวัตถุประสงค์ที่ไม่ชอบด้วยกฎหมาย มีโทษปรับไม่เกิน 5,000,000 บาท
แม้โทษของ PDPA จะไม่ร้ายแรงเท่ากฎหมาย GDPR ที่กำหนด บทลงโทษเป็นค่าปรับ ที่สูงถึง 20 ล้านยูโร (ราวๆ 740 ล้านบาท) หรือ 4% ของรายได้ต่อปีทั่วโลกของบริษัท แต่การละเมิดกฎหมายอาจนำไปสู่การฟ้องร้อง ที่จะนำไปสู่การเสื่อมเสียชื่อเสียง ทำลายความไว้วางใจของลูกค้าหรือผู้ใช้บริการ และทำลายความมั่นใจของนักลงทุนได้ ผลเสียที่ตามมาเหล่านี้มีมูลค่าสูงมากเกินกว่าค่าปรับที่องค์กรจะต้องจ่าย
ไม่อยากซ้ำรอย Grindr ต้องทำตามขั้นตอน PDPA อย่างไรบ้าง?
ถอดบทเรียนจากกรณีของ Grindr ที่กระทำผิดกฎหมาย GDPR ตามมาตรา 6 (1) และมาตรา 9 (1) หากเทียบกับ กฎหมาย PDPA การกระทำผิดของ Grindr เข้าข่ายกฎหมายมาตรา 26 และมาตรา 24 ดังนั้นการจะดำเนินการแก้ไขให้ถูกต้องตามกฎหมายทั้ง 2 มาตรา ต้องมีการยื่นขอความยินยอม (Consent) จากเจ้าของข้อมูลส่วนบุคคล ฐานความยินยอมจะมีผลก็ต่อเมื่อเจ้าของข้อมูลส่วนบุคคลให้ความยินยอมอย่างเป็นลายลักษณ์อักษร และเมื่อได้รับความยินยอมมาแล้ว ผู้ที่ทำการเก็บ รวบรวม ใช้ข้อมูลส่วนบุคคล จะไม่ดำเนินการใด ๆ กับข้อมูลนั้น นอกเหนือไปจากวัตถุประสงค์ที่ระบุไว้กับเจ้าของข้อมูลส่วนบุคคล
แม้ว่าในประเทศไทยจะยังไม่เกิดกรณีการฟ้องร้องเหมือนกับต่างประเทศ เนื่องจากยังอยู่ในช่วงเริ่มบังคับใช้กฎหมาย โดยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ได้ออกมาให้ความเชื่อมั่นกับองค์กร หน่วยงาน ห้างร้านหรือธุรกิจที่ดำเนินการเกี่ยวข้องกับข้อมูลส่วนบุคคลว่า ในปี 2565 นี้ จะยังไม่มีการฟ้องร้อง สั่งปรับหรือเอาผิดองค์กรที่ละเมิดกฎหมาย PDPA หากมีการละเมิดกฎหมาย คณะกรรมการจะทำการตักเตือนและแนะนำแนวทางในการปฏิบัติที่ถูกต้อง และให้สิทธิองค์กรในการปรับปรุงแนวทางให้สอดคล้องกับคำแนะนำที่คณะกรรมการเสนอ
เว้นแต่ กรณีการละเมิดกฎหมายที่เกิดขึ้น เป็นกรณีร้ายแรงระดับสูงสุด หรือเป็นการเพิกเฉยต่อแนวทางที่คณะกรรมการเสนอ ไม่ดำเนินการปรับปรุงแนวทางที่กระทำผิดให้สอดคล้องกับกฎหมาย ในกรณีนี้คณะกรรมการจะดำเนินการลงโทษตามกฏหมาย โดยไม่มีการประนีประนอม เพราะถือว่าได้ดำเนินการตักเตือน และขยายเวลาให้วางแผนและกำหนดแนวทางแล้ว
คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ได้กำหนดแนวทาง การเตรียมความพร้อมของหน่วยงาน เพื่อให้แนวทางการปฎิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลขององค์กร เป็นไปตามกฎหมาย PDPA หรือที่เรียกว่า PDPA Checklist ซึ่งมีรายละเอียดดังต่อไปนี้
ท่านสามารถอ่านรายละเอียดขั้นตอนต่าง ๆ ตาม PDPA Checklist ได้ที่ Link
สรุปบทเรียนจาก Grindr องค์กรไทยเรียนรู้อะไรได้บ้าง
นับตั้งแต่มีการบังคับใช้กฏหมายคุ้มครองข้อมูลส่วนบุคคลของพลเมืองสหภาพยุโรป (General Data Protection Regulation) จนถึงปัจจุบัน GDPR ได้ดำเนินการฟ้องร้ององค์กรขนาดใหญ่ถึง 5 บริษัทด้วยกัน หากนับรวมมูลค่าความเสียหายที่เกิดขึ้นจากการฟ้องร้อง รวมแล้วเป็นเงินหลายพันล้านบาท นอกเหนือไปจากมูลค่าความเสียหายที่เป็นจำนวนเงินมากมายมหาศาลแล้ว สิ่งที่มีมูลค่าไม่น้อยไปกว่ากันคือชื่อเสียง ภาพลักษณ์ ความน่าเชื่อถือขององค์กร มูลค่าการลงทุนที่ลดลง เป็นผลในระยะยาวที่องค์กรต้องแบกรับ หากไม่ปฏิบัติตามกฎหมาย
Key Takeaway ที่องค์กรต้องจำให้ขึ้นใจ จากกรณีของ Grindr คือ การดาวน์โหลดแอปพลิเคชันหนึ่ง ๆ และสมัครใช้งาน แม้ผู้ใช้งานจะยอมรับนโยบายความเป็นส่วนตัว หรือยอมรับข้อกำหนดเงื่อนไขการใช้บริการตามที่แอปพลิเคชันได้แจ้งไว้แล้ว ไม่ได้หมายความว่าผู้ควบคุมข้อมูลจะสามารถนำข้อมูลส่วนบุคคลไปประมวลผลตามชอบใจได้ และการยอมรับนโยบายความเป็นส่วนตัว ไม่เท่ากับ การยินยอมให้นำข้อมูลส่วนบุคคลไปประมวลผล เผยแพร่ หรือส่งต่อให้กับมือที่สาม เพื่อนำไปใช้งานนอกเหนือวัตถุประสงค์เดิมได้
สิ่งสำคัญอีกอย่างหนึ่งคือ การมีอัตลักษณ์ทางเพศหรือ พฤติกรรมทางเพศที่ไม่ตรงตามกระแสหลักของสังคม การเป็นกลุ่มคนกลุ่มหนึ่งที่มีอัตลักษณ์เฉพาะ ไม่สามารถใช้เป็นข้ออ้าง ในการเก็บ รวบรวม ใช้ เผยแพร่หรือส่งต่อข้อมูลส่วนบุคคลของกลุ่มคนเหล่านั้นได้ การกระทำการใดๆ จำเป็นจำต้องขอความยินยอมก่อนเสมอ และเจ้าของข้อมูลส่วนบุคคลมีสิทธิปฏิเสธการยื่นขอคำยินยอมนั้นด้วย
จากเคสนี้จึงสรุปได้ว่า นอกจากการดำเนินการตามกฎหมาย การเคารพกฎหมาย การเคารพความเป็นส่วนตัวของบุคคลแล้ว การเคารพความเป็นคนและอัตลักษณ์ของบุคคล ก็เป็นสิ่งที่ควรปฏิบัติควบคู่กันด้วย
