กรรมการข้อมูลส่วนบุคคลของประเทศลักเซมเบิร์ก (Commission Nationale pour la Protection des Données หรือ CNPD) เอาผิดกับ Amazon บริษัท E-Commerce รายใหญ่ ฐานใช้ข้อมูลส่วนบุคคลของลูกค้าเพื่อการติดตามพฤติกรรม วิเคราะห์ทางการตลาด และการทำการตลาดแบบเฉพาะเจาะจง การกระทำดังกล่าวละเมิดกฏหมาย GDPR กฎหมายคุ้มครองข้อมูลส่วนบุคคลในสหภาพยุโรป
สาเหตุของการฟ้องร้อง มาจากการร้องทุกข์ของ La Quadrature du Net ซึ่งเป็นองค์กรในประเทศฝรั่งเศส มีหน้าที่เป็นตัวแทนพลเมือง ดูแล ปกป้องการนำข้อมูลส่วนบุคคลของประชากรชาวยุโรป CNPD เข้ามาสืบสวนเรื่องนี้ และส่งเรื่องไปให้ศาลพิจารณา หลังการพิจารณาของศาล ได้มีคำสั่งปรับ Amazon เป็นเงินมูลค่ากว่า 746 ล้านยูโร หรือราว 2.9 หมื่นล้านบาท ในเดือนกรกฎาคม 2564 ทาง Amazon ออกมาโต้แย้ง โดยกล่าวถึงกรณีนี้ว่า การบังคับใช้และตีความ GDPR ที่เกี่ยวเนื่องกับการใช้โฆษณาในรูปแบบออนไลน์เป็นการตีความที่ยังอาจจะไม่มีมาตรฐานที่ชัดเจนให้ผู้ประกอบการปฏิบัติตาม และการฟ้องร้องครั้งนี้ก็กำหนดค่าปรับที่สูงมาก Amazon เห็นว่าค่าปรับไม่ได้สัดส่วนและเหมาะสม
เรื่องนี้มีประเด็นที่น่าสนใจอยู่หลายประเด็นด้วยกัน รายละเอียดของกรณีการฟ้องร้องนี้เป็นอย่างไร บทเรียนและแนวทางการปฏิบัติจากกรณี Amazon มีอะไรบ้าง ติดตามในหัวข้อถัดไปได้เลย
Amazon ละเมิดข้อมูลส่วนบุคคล
กรณีที่ CNPD เข้าสืบสวน คือกรณีการใช้ข้อมูลส่วนบุคคลเพื่อการติดตามพฤติกรรม เพื่อวิเคราะห์ทางการตลาด และการทำการตลาดแบบเฉพาะเจาะจง ของ Amazon ซึ่งกลายเป็นข่าวใหญ่ในวงการกฎหมายและวงการธุรกิจ เพราะบริษัทคู่กรณีคือ Amazon ที่ได้ชื่อว่าเป็นบริษัท E-Commerce รายใหญ่ของโลก อีกหนึ่งเหตุผลที่ทำให้กรณีนี้ได้รับความสนใจคือ ค่าปรับที่ GDPR สั่งปรับ Amazon มีมูลค่าสูงถึง 746 ล้านยูโร หรือราว 2.9 หมื่นล้านบาท นับว่าเป็นกรณีที่มีโทษปรับสูงที่สุดอันดับหนึ่ง แซงหน้าบริษัท Google ที่ถูกสั่งปรับ 50 ล้านยูโร เมื่อปี 2019
รายละเอียดของกรณีนี้ มีตัวละครจากหลายองค์กร เริ่มจาก Commission Nationale pour la Protection des Données หรือ CNPD ได้รับการร้องเรียนจาก La Quadrature du Net ซึ่งเป็นกลุ่มองค์กรเอกชนที่เคลื่อนไหวเพื่อการคุ้มครองข้อมูลส่วนบุคคลในประเทศฝรั่งเศส ว่ามีผู้ใช้งานกว่าหมื่นคนระบุว่า Amazon ได้ใช้ข้อมูลส่วนบุคคลของพวกเขาในการยิงโฆษณา และติดตามพฤติกรรมผู้ใช้งานแพลตฟอร์มของ Amazon โดยที่ผู้ใช้งานไม่ได้ให้ความยินยอม
แม้ Amazon จะมีตลาดหลักที่สหรัฐอเมริกา ทว่าสำนักงานใหญ่ตั้งอยู่ที่ลักเซมเบิร์ก ขณะที่ CNPD และ La Quadrature du Net เป็นองค์กรในฝรั่งเศส ซึ่งเป็นประเทศที่บังคับใช้กฎหมาย GDPR ด้วยเหตุนี้ข้อพิพาทที่เกิดขึ้นจึงสามารถบังคับใช้กฎหมาย GDPR ในการฟ้องร้องและสืบสวนได้
การร้องเรียนในกรณีนี้ได้ถูกเผยแพร่ไปทั่วโลก โดยสำนักข่าวรายใหญ่หลายแห่ง ทำให้กรณีเป็นถูกจับตามองทั้งเรื่องรายละเอียดของการฟ้องร้อง การกระทำผิด และค่าปรับที่ GDPR จะสั่งปรับกับ Amazon อย่างไรก็ตาม CNPD ยังไม่ได้เปิดเผยรายละเอียด รวมถึงคำวินิจฉัยอย่างเป็นทางการออกมา ทว่าทาง Amazon ก็ได้ออกแถลงการต่อสาธารณะเพื่อยืนยันความบริสุทธิ์ในกรณีดังกล่าว ซึ่งสรุปออกมาเป็นประเด็นสำคัญ ได้ 2 ประเด็นคือ
ทาง Amazon ยืนยันว่าการรักษาข้อมูลส่วนตัวของผู้ใช้งาน เป็นเรื่องที่บริษัทให้ความสำคัญเป็นอันดับ 1 ไม่มีเหตุการณ์ข้อมูลรั่วไหลหรือเหตุการละเมิดข้อมูลส่วนบุคคล และยืนยันว่าไม่มีการส่งต่อหรือเผยแพร่ข้อมูลส่วนบุคคลของผู้ใช้งานให้กับบุคคลที่ 3
การยิงโฆษณาของ Amazon เป็นการแสดงโฆษณาสินค้าที่เกี่ยวข้องกับลูกค้าคนนั้นโดยเฉพาะ และเรื่องนี้ยังไม่ถูกพิสูจน์และยังไม่ผ่านการตีความทางกฎหมาย ซึ่งกฎหมาย GDPR ที่เกี่ยวเนื่องกับการใช้โฆษณาในรูปแบบออนไลน์ ก็ยังไม่ได้มีการตีความที่ชัดเจนมากพอ
จากกรณีนี้ Amazon ถือเป็นองค์กรแรกที่ออกมาแถลงการณ์ โดยกล่าวถึงกฎหมาย GDPR ที่ยังขาดการตีความที่ชัดเจน ทว่าบทสรุปสุดท้ายของกรณีนี้จะเป็นอย่างไรนั้น ยังคงต้องรอแถลงการอย่างเป็นทางการจาก CNPD สิ่งที่เป็นความแน่นอนของกรณีนี้คือบทเรียนจาก Amazon จะเป็นบทเรียนตัวอย่างให้กับองค์กรอีกหลาย ๆ องค์กร ในอีกหลายประเทศ
บริษัทใหญ่แค่ไหน ก็หนีไม่พ้น GDPR
กฏหมายคุ้มครองข้อมูลส่วนบุคคลของพลเมืองสหภาพยุโรป หรือที่คุ้นเคยกันในชื่อ GDPR (General Data Protection Regulation) เป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลในสหภาพยุโรป เพื่อปกป้องข้อมูลของผู้บริโภคมิให้ถูกนำไปเผยแพร่ในที่สาธารณะ หรือใช้ในทิศทางอื่นโดยที่ผู้บริโภคไม่ได้ยินยอม
สาระสำคัญของกฎหมาย มุ่งให้การคุ้มครองพลเมืองของสหภาพยุโรปจากการโดนคุกคามข้อมูลส่วนบุคคลหรือการละเมิดความเป็นส่วนตัว เพิ่มสิทธิในการควบคุมข้อมูลในทุกกิจกรรมที่เกี่ยวข้องกับข้อมูลส่วนบุคคล
กฎหมาย GDPR มีผลบังคับใช้ต่อทุกธุรกิจในโลกที่มีประชากรของสหภาพยุโรปเป็นกลุ่มเป้าหมาย โดยมีการรวบรวม (Collect), ประมวลผล (Process), จัดการ (Manage) หรือจัดเก็บ (Store) ข้อมูลส่วนบุคคลของประชากรยุโรป กฎหมายนี้มีผลกับทุกบริษัท ทั้งบริษัทที่ตั้งอยู่นอกสหภาพยุโรป หรือในภูมิภาคใดก็ตาม ไม่เว้นแม้แต่บริษัทสัญชาติไทย และมิได้จำกัดเฉพาะบริษัทของประเทศในยุโรปเท่านั้น อีกทั้งยังครอบคลุมทุกกลุ่มธุรกิจ ทั้งธุรกิจโรงแรม เว็บไซต์ บริการออนไลน์ แอปลิเคชัน ฯลฯ ที่สำคัญคือ กฎหมายนี้ไม่ยกเว้นธุรกิจขนาดเล็ก ดังนั้นไม่ว่าองค์กรของคุณจะเป็นธุรกิจขนาดเล็กหรือขนาดใหญ่ ต่างก็ต้องดำเนินการตามกฎหมายฉบับนี้ทั้งหมด
ดังนั้นจึงชัดเจนแล้วว่า กรณีการใช้ข้อมูลส่วนบุคคลเพื่อการติดตามพฤติกรรม เพื่อวิเคราะห์ทางการตลาด และการทำการตลาดแบบเฉพาะเจาะจงโดยที่ผู้ใช้งานไม่ได้ให้ความยินยอม ของ Amazon ละเมิดกฎหมาย GDPR ในมาตรา 6 ความชอบด้วยกฎหมายของการประมวลผลข้อมูล ที่ระบุไว้อย่างชัดเจนว่า การประมวลผลจะชอบด้วยกฎหมาย ก็ต่อเมื่อ ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล หรือการประมวลผลนั้นเป็นไปตามสัญญา หรือการประมวลผลนั้นจำเป็นต่อการคุ้มครองผลประโยชน์ที่เกี่ยวข้องกับชีวิตของเจ้าของข้อมูล หรือผู้อื่น การประมวลนั้นเป็นไปเพื่อประโยชน์ของสาธารณะ ฯลฯ
เมื่อมีการละเมิดกฎหมาย ก็ต้องมีการลงโทษ ซึ่งโทษของกฎหมาย GDPRกำหนดบทลงโทษเป็นค่าปรับ สูงสุดถึง 20 ล้านยูโร หรือสามารถสั่งปรับโดยคำนวณค่าปรับจาก 4% ของรายได้ต่อปีทั่วโลกของบริษัท แม้การกระทำของ Amazon จะละเมิดกฎหมาย GDPR เพียงแค่ 1 ข้อ และแม้ว่า Amazon จะเป็นบริษัทยักษ์ใหญ่ที่มีเทคโนโลยีด้านความมั่นคง และมาตรการรักษาความปลอดภัยข้อมูลหนาแน่นเพียงใด ก็ไม่สามารถใช้เป็นข้ออ้างในการละเลยกฎหมาย GDPR ได้
อ่านมาถึงตรงนี้ หลายท่านอาจสงสัยว่า การเก็บข้อมูลจากผู้ใช้งานที่องค์กรของท่านกำลังทำอยู่ จะละเมิดกฎหมาย GDPR หรือกฎหมายอื่นของไทยหรือไม่? แล้วจะทำอย่างไรให้ไม่ทำผิดซ้ำรอย Amazon? t-reg สรุปแนวทางการแก้ไข จากกรณีของ Amazon มาให้แล้ว อ่านรายละเอียดในหัวข้อถัดไปได้เลย
วิเคราะห์ทางแก้ในแง่กฎหมาย PDPA จากกรณี Amazon
เนื่องจากกรณีนี้ยังรอการสรุปเกี่ยวกับความผิดทางกฎหมายที่แน่ชัด และยังไม่มีการวินิจฉัยเพิ่มเติม ข้อกล่าวหาที่นำมาถกเถียงกัน ยังคงมีเพียง 1 ประเด็น หากมีการวินิจฉัยหรือสรุปประเด็นจากทาง CNPD หรือ GDPR เป็นไปได้ว่าอาจพบการกระทำผิดเพิ่มเติม เกี่ยวกับการละเมิดความเป็นส่วนตัวหรือประเด็นที่เกี่ยวข้องได้
แม้จะมีประเด็นของการละเมิดกฎหมาย เพียงแค่ประเด็นการใช้ข้อมูลส่วนบุคคลเพื่อการติดตามพฤติกรรม เพื่อวิเคราะห์ทางการตลาด และการทำการตลาดแบบเฉพาะเจาะจงโดยที่ผู้ใช้งานไม่ได้ให้ความยินยอม เพียงประเด็นเดียว แต่ก็สามารถนำมาวิเคราะห์ทางแก้ไขในแง่ของกฎหมายได้เช่นกัน
เพื่อให้เข้ากับบริบทที่ประเทศไทย บังคับใช้กฎหมาย PDPA หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ที่มีความคล้ายคลึงกับกฎหมาย GDPR ของสหภาพยุโรป กฎหมาย PDPA เป็น พ.ร.บ. ที่ว่าด้วยการให้สิทธิ์กับเจ้าของข้อมูลส่วนบุคคล ถูกร่างขึ้นเพื่อสร้างมาตรฐานการรักษาข้อมูลส่วนบุคคลให้ปลอดภัยและนำไปใช้ให้ตรงตามวัตถุประสงค์ ตามคำยินยอมที่เจ้าของข้อมูลส่วนบุคคลอนุญาต รวมทั้งควบคุมดูแลกิจกรรมใด ๆ ก็ตามที่ทำกับข้อมูลส่วนบุคคล
ประเภทข้อมูลที่อยู่ภายใต้การคุ้มครองของกฎหมาย PDPAและ GDPR ได้แก่ ข้อมูลส่วนบุคคล (Personal Data) อาทิ ชื่อ-สกุล ข้อมูลที่อยู่ อายุ หมายเลขโทรศัพท์ ข้อมูลการศึกษา ฯลฯ และ ข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Personal Data) หรือข้อมูลส่วนบุคคลที่ละเอียดอ่อน เช่น เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อทางศาสนา พฤติกรรมทางเพศ ฯลฯ
ในบทความนี้ เราจะไม่ได้กล่าวถึงรายละเอียดเชิงลึกของกฎหมาย PDPA มากนัก เพื่อความเข้าใจที่ชัดเจน ท่านสามารถอ่าน สรุปสาระสำคัญของกฎหมาย PDPA เพิ่มเติมได้ที่นี่
กลับมาที่กรณีของ Amazon หากวิเคราะห์แนวทางแก้ไข ในบริบทของกฎหมาย PDPA เริ่มจากคำถามตั้งต้นว่า ถ้าเกิดกรณีที่คล้ายกับ Amazon ขึ้นในประเทศไทย คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ซึ่งกำกับดูแลกฎหมาย PDPA จะดำเนินการอย่างไร และจะได้รับโทษอะไรบ้าง?
ตัวอย่าง
บริษัท AAA ถูก PDPC กล่าวหาว่า กระทำการละเมิดกฎหมาย ด้วยการใช้ข้อมูลส่วนบุคคลเพื่อการติดตามพฤติกรรม เพื่อวิเคราะห์ทางการตลาด และการทำการตลาดแบบเฉพาะเจาะจงโดยที่ผู้ใช้งานไม่ได้ให้ความยินยอม ซึ่งมีความผิดตามมาตรา 24 ที่ระบุว่า
ห้ามไม่ให้ผู้ใดควบคุมข้อมูลส่วนบุคคลหรือเปิดเผยข้อมูลส่วนบุคคล โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล
หากบริษัท AAA มีความผิดจริง PDPC จะทำการสอบสวนและลงโทษตามระดับความร้ายแรง โดยโทษของการละเมิดกฎหมาย PDPA มี 3 ประเภท คือ
โทษทางอาญา
ผู้กระทำผิดจะถูกลงโทษทางอาญา ในกรณีที่มีการนำข้อมูลส่วนบุคคลอ่อนไหว ไปประมวลผล เผยแพร่ทำให้เกิดความเสียหาย เสียชื่อเสียง ถูกดูหมิ่นเกลียดชัง โทษสูงสุดจำคุก 6เดือน หรือปรับไม่เกิน 500,000 บาท หรือทั้งจำทั้งปรับ กรณีที่มีการนำข้อมูลส่วนบุคคลอ่อนไหว ไปหาประโยชน์แบบผิดกฎหมาย
โทษสูงสุดคือจำคุก 1 ปีหรือปรับไม่เกิน 1,000,000 บาท หรือทั้งจำทั้งปรับ
โทษทางแพ่ง
บทลงโทษทางแพ่ง ในกรณีที่ผู้ประสงค์ร้ายหรือผู้ร้าย นำข้อมูลส่วนบุคคลไปสร้างความเสียหายแก่เจ้าของข้อมูล เจ้าของข้อมูลมีสิทธิเรียกร้องค่าเสียหาย เป็นค่าสินไหมทดแทนอิงจากความเสียหายที่ได้รับจริง ศาลใช้อำนาจสั่งลงโทษเพิ่มขึ้นได้แต่ไม่เกิน 2 เท่าของสินไหมทดแทนที่แท้จริง
โทษทางปกครอง
กรณีที่มีการกระทำผิด เกี่ยวกับการประมวลผลขอมุลส่วนบุคคล โดยไม่มีการดำเนินการขอความยินยอมจากเจ้าของข้อมูล ไม่มีช่องทางรองรับให้เจ้าของข้อมูลใช้สิทธิ มีโทษปรับไม่เกิน 1,000,000 บาท
กรณีที่ทำการเก็บ รวบรวม เผยแพร่ข้อมูลส่วนบุคคลโดยปราศจากฐานทางกฎหมาย มีโทษปรับไม่เกิน 3,000,000 บาท
- กรณีที่มีการเก็บ รวบรวม เผยแพร่ โอนถ่ายข้อมูลส่วนบุคคลอ่อนไหว โดยวัตถุประสงค์ที่ไม่ชอบด้วยกฎหมาย มีโทษปรับไม่เกิน 5,000,000 บาท
ในกรณีของ Amazon ซึ่งเข้าข่ายความผิดฐานประมวลผลข้อมูลส่วนบุคคล โดยไม่มีการดำเนินการขอความยินยอมจากเจ้าของข้อมูล ไม่มีช่องทางรองรับให้เจ้าของข้อมูลใช้สิทธิ มีโทษปรับไม่เกิน 1,000,000 บาท
นอกจากการรับผิดชอบโทษปรับแล้ว องค์กรที่ละเมิดกฎหมาย PDPA จะต้องดำเนินการแก้ไขปรับปรุง ไม่ให้เกิดการกระทำผิดซ้ำ ตามแนวทางที่ PDPC แนะนำ หรือดำเนินการให้ถูกต้องตามไกด์ไลน์ ที่ PDPC ได้ประกาศ หากองค์กรเพิกเฉยหรือจงใจไม่ดำเนินการแก้ไขตามแนวทางที่คณะกรรมการเสนอ ในกรณีนี้คณะกรรมการสามารถดำเนินการลงโทษตามกฏหมายได้ โดยไม่มีการประนีประนอม เพราะถือว่าได้ดำเนินการตักเตือน และขยายเวลาให้วางแผนและกำหนดแนวทางแล้ว
เสียค่าปรับหลักล้าน ไม่แพงเท่าเสียความน่าเชื่อถือ และเสียชื่อองค์กร
หากองค์กรละเมิดกฎหมาย PDPA สิ่งที่องค์กรต้องสูญเสียไปไม่ใช่แค่ค่าปรับเท่านั้น แต่ยังรวมถึงการสูญเสียชื่อเสียง ความน่าเชื่อถือ สูญเสียความไว้วางใจจากผู้ใช้งาน ลูกค้า นักลงทุน หุ้นส่วน ฯลฯ มูลค่าความเสียหายในระยะยาว อาจมากกว่าตัวเลขค่าปรับสูงสุด
ดังนั้น ความท้าทายขององค์กรไทยภายหลังจากการบังคับใช้กฎหมาย PDPA อย่างเป็นทางการ อาจไม่ใช่แค่การหลีกเลี่ยงการกระทำผิด แต่ยังรวมถึงการที่องค์กรต้องปฎิบัติให้สอดคล้องตามแนวทางของกฎหมาย PDPA ทั้งในเชิงนโยบายและเชิงการปฏิบัติด้วย ซึ่ง PDPC ได้ประกาศแนวทางการปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลขององค์กรให้สอดคล้องกับกฎหมาย PDPA ไว้เรียบร้อยแล้ว
แนวปฏิบัตินี้มีชื่อว่า PDPA Checklist องค์กรสามารถนำแนวทางของ PDPC ไปปรับใช้กับองค์กรได้ โดยมีรายละเอียดดังต่อไปนี้
ท่านสามารถอ่านรายละเอียดขั้นตอนต่าง ๆ ตาม PDPA Checklist ได้ที่ Link
หากสามารถทำตาม PDPA Checklist ได้อย่างครบถ้วน และเพิ่มความระมัดระวังในการ เก็บ รวบรวม ใช้ เผยแพร่ข้อมูลส่วนบุคคลได้ตามแนวทางที่กฎหมายกำหนด จะสามารถคลายความกังวลเรื่องการละเมิดความเป็นส่วนตัว และการละเมิดกฎหมายคุ้มครองข้อมูลส่วนบุคคลได้
สรุปบทเรียนจาก Amazon
จากกรณีของ Amazon ทำให้เห็นว่า การประมวลผลข้อมูลส่วนบุคคลมีความละเอียดอ่อนเป็นอย่างมาก หากองค์กรกระทำการใด ๆ ที่นอกเหนือจากวัตถุประสงค์ ต้องเตรียมรับมือกับผลที่จะตามมา ทั้งค่าปรับที่เป็นผลจากกฎหมาย และการสูญเสียความเชื่อมั่น ชื่อเสียงจากลูกค้าและนักลงทุน
บทเรียนสำคัญจากกรณีของ Amazon คือองค์กรต้องให้ความสำคัญกับกฎหมาย ที่เกี่ยวข้องกับข้อมูลส่วนบุคคล และต้องไม่ละเลยกิจกรรมการประมวลผลข้อมูลส่วนบุคคลภายในองค์กร แม้องค์กรของท่านจะไม่ใช่บริษัท E-Commerce ที่เก็บข้อมูลของผู้ใช้งานจำนวนมหาศาล หรือไม่ใช่องค์กรขนาดใหญ่ที่มีสาขาในหลายประเทศทั่วโลก แต่หากองค์กรของท่านมีกิจกรรมใด ๆ ที่เกี่ยวข้องกับข้อมูลส่วนบุคคล ทั้งข้อมูลภายในและข้อมูลภายนอกองค์กร สมควรอย่างยิ่งที่จะปฏิบัติตามแนวทางที่กฎหมายประกาศ เพราะการปฏิบัติตามแนวทางของกฎหมาย อย่างถูกต้องและครบถ้วน นอกจากจะช่วยปกป้ององค์กรจากความผิดพลาดที่คาดไม่ถึงแล้ว ยังช่วยเพิ่มความน่าเชื่อถือ และเพิ่มความปลอดภัยให้กับการจัดเก็บข้อมูลส่วนบุคคลในองค์กรอีกด้วย
สุดท้ายนี้ หากองค์กรของท่านมีความตั้งใจที่จะปฏิบัติตามแนวทางของกฎหมาย PDPA
สามารถติดต่อใช้บริการแพลตฟอร์ม t-reg ทางเรายินดีให้บริการปรึกษา และช่วยท่านวางแผนทำ ตามแนวทาง PDPA อย่างครบถ้วน ครบวงจร ติดต่อเราได้ที่ t-reg.co
