ส่องบทเรียน “Disqus Widget” บริษัทสัญชาติอเมริกันที่นำเสนอแพลตฟอร์มการแบ่งปันความคิดเห็นสาธารณะทางออนไลน์ แต่กลับกระทำความผิดตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป และได้รับลงโทษปรับทางปกครองเป็นเงินราวๆ 2.5 ล้านยูโร
เมื่อวันที่ 2 พ.ค.2564 Datatilsynet ซึ่งเป็นหน่วยงานบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศนอร์เวย์ ได้มีหนังสือแจ้งไปยัง Disqus Inc. บริษัทสัญชาติอเมริกันที่นำเสนอแพลตฟอร์มการแบ่งปันความคิดเห็นสาธารณะทางออนไลน์ ซึ่งผู้ใช้สามารถเข้าสู่ระบบและสร้างโปรไฟล์เพื่อเข้าร่วมการสนทนา ว่าได้กระทำความผิดตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรปหรือ GDPR ในหลายกรณี โดยจะลงโทษปรับทางปกครองเป็นเงินราวๆ 2.5 ล้านยูโร เนื่องจากการกระทำความผิดดังนี้
(1) ประมวลผลข้อมูลส่วนบุคคลของพลเมืองนอร์เวย์ผ่านทางเว็บไซต์ต่างๆ โดยใช้ระบบการเฝ้าติดตาม วิเคราะห์ข้อมูลและโปรไฟลิ่ง และเปิดเผยข้อมูลส่วนบุคคลโดยไม่มีฐานทางกฎหมาย Datatilsynet เห็นว่า Disqus ประมวลผลข้อมูลส่วนบุคคลโดยปราศจากความยินยอมที่ไม่ชอบด้วยกฎหมาย
(2) ไม่แจ้งข้อมูลเกี่ยวกับการประมวลผลให้เจ้าของข้อมูลส่วนบุคคลทราบตามที่กฎหมายกำหนด
(3) ประมวลผลข้อมูลส่วนบุคคลโดยขัดต่อหลักความรับผิดชอบ
ข้อเท็จจริงเกี่ยวกับการกระทำความผิดในคดีนี้ สืบเนื่องมาจากการเผยแพร่ข่าวของสื่อมวลชนในประเทศนอร์เวย์เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของ Disqus โดยใช้ Disqus Widget เชื่อมต่อเว็บไซต์ต่างๆ (NRK.no/ytring, P3.no, tv.2.no/broom, khrono.no, adressa.no, rights.no และ document.no) เข้ากับแพลตฟอร์มการแบ่งปันความคิดเห็นสาธารณะที่ให้บริการโดย Disqus ซึ่งได้รวบรวมและเปิดเผยข้อมูลส่วนบุคคลแก่พันธมิตรโฆษณาและบุคคลที่สาม
จากข้อมูลข่าวนี้ Datatilsynet จึงมีหนังสือลงวันที่ 8 พ.ค.2563 เพื่อขอให้ Disqus ให้ข้อมูลเพิ่มเติม และ Disqus ได้มีหนังสือลงวันที่ 10 ก.ค.2563 เพื่อตอบและอธิบายข้อสงสัยของ Datatilsynet
“หนังสือแจ้งการปรับ” ดังกล่าวเป็นขั้นตอนก่อนการออกคำสั่งปรับในขั้นตอนสุดท้าย ซึ่ง Disqus ยังคงมีสิทธิโต้แย้งความเห็นของ Datatilsynet ได้ภายในวันที่ 31 พ.ค.2564
คดีนี้มีความน่าสนใจทั้งในแง่การบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคล และกฎหมายวิธีปฏิบัติราชการทางปกครอง ดังนี้
ในด้านกฎหมายวิธีปฏิบัติราชการทางปกครอง
(1) “หนังสือแจ้งการปรับ” เป็นการสรุปข้อเท็จจริงที่ได้จากการแสวงหาข้อเท็จจริงและการรวบรวมพยานหลักฐาน ข้อกฎหมาย รวมถึงบทกำหนดโทษเบื้องต้น เพื่อให้คู่กรณีได้ทราบรายละเอียดของข้อกล่าวหาว่ากระทำความผิดอย่างไร และยังมีช่วงเวลาประมาณ 30 วัน เพื่อให้คู่กรณีโต้แย้งได้ ผู้เขียนเห็นว่าวิธีการก่อนการออกคำสั่งทางปกครอง (คำสั่งปรับ) ดังกล่าวจะช่วยให้วิธีปฏิบัติราชการทางปกครองของหน่วยงานกำกับดูแลที่ใช้อำนาจกึ่งตุลาการมีความโปร่งใสมากขึ้น
แม้ว่ากระบวนการก่อนการออกคำสั่งดังกล่าวอาจจะทำให้เกิดความยุ่งยากและเพิ่มขั้นตอนแก่หน่วยงานบังคับใช้กฎหมาย หรือแม้ว่าในท้ายที่สุดแล้วคำสั่งปรับทางปกครองก็อาจจะไม่ได้มีความแตกต่างจากหนังสือแจ้งการปรับในส่วนที่เป็นสาระสำคัญก็ตาม แต่การสร้างความโปร่งใสดังกล่าวจะทำให้การใช้อำนาจขององค์กรกำกับดูแลได้รับความไว้วางใจจากสาธารณะมากยิ่งขึ้น โดยเฉพาะเมื่อบทกำหนดโทษมีความรุนแรง
(2) “หลักการปฏิบัติหน้าที่โดยตำแหน่ง” (ex officio) ในกรณีนี้จะเห็นว่าไม่มีผู้ร้องเรียนต่อ Datatilsynet โดยตรง แต่พฤติกรรมการกระทำผิดปรากฏจากการสืบค้นข้อมูลของสื่อมวลชนและเผยแพร่ต่อสาธารณะ เมื่อ Datatilsynet ที่เป็นองค์กรบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลพบเห็นหรือทราบเรื่องราว จึงริเริ่มกระบวนการค้นหาความจริงด้วยตนเอง
ในด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคล คดีนี้น่าจะถือว่าเป็นครั้งแรกที่หน่วยงานบังคับใช้กฎหมายนำ “หลักความรับผิดชอบ” มาใช้เป็นฐานในการลงโทษปรับการกระทำความผิดด้วย หลักความรับผิดชอบถือเป็นหลักการสำคัญตาม GDPR ที่กำหนดให้เป็นหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคลที่นอกจากต้องปฏิบัติตามหลักเกณฑ์ต่างๆ ที่เข้มงวดของ GDPR แล้ว ยังมีหน้าที่ต้องแสดงให้เห็นหรือพิสูจน์ด้วยว่าองค์กรนั้นๆ ได้ปฏิบัติตามกฎหมายแล้ว
จากคดีข้างต้น ผู้เขียนมีข้อพึงระวังและข้อสังเกตสำหรับเจ้าของเว็บไซต์ ดังนี้
(1) องค์กรที่ใช้เว็บไซต์เป็นช่องทางหนึ่งในการสร้างปฏิสัมพันธ์กับลูกค้ามีความจำเป็นต้องสอบทาน ว่า widget, plug-in หรือ cookies ต่างๆ ที่นำมาใช้บนเว็บไซต์ของตนเองมี “กระประมวลผลข้อมูลส่วนบุคคล” ของผู้เข้าเยี่ยมชมเว็บไซต์หรือไม่ ซึ่งจากประสบการณ์ของผู้เขียน ความเข้าใจความหมายของคำว่า “การประมวลผลข้อมูลส่วนบุคคล” ของนักพัฒนา คนออกแบบเว็บ นักการตลาด และลูกค้าสัมพันธ์ กับ Privacy Professionals มักจะไม่ตรงกัน และข้อเท็จจริงก็ปรากฏว่าเว็บไซต์จำนวนมากยังไม่ได้ปรับทิศทางการพัฒนาเว็บไซต์ให้สอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล
ในเรื่องของการใช้ “คุกกี้ไอดี” ไม่ชอบด้วยกฎหมายนั้น ในเดือน ธ.ค.2563 CNIL หน่วยงานบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศฝรั่งเศส มีคำสั่งปรับกูเกิล 100 ล้านยูโร และ Amazon Europe Core 35 ล้านยูโรมาแล้ว
(2) ในกรณีที่จำเป็นต้องใช้ widget, plug-in หรือ cookies เพื่อการประมวลผลข้อมูลส่วนบุคคลของผู้เข้าเยี่ยมชมเว็บไซต์ เจ้าของเว็บไซต์ต้องจัดให้มี Privacy Notice และ Cookie Notice ที่แจ้งเงื่อนไขต่างๆ เกี่ยวกับการประมวลผลให้ครบถ้วนตามหลักเกณฑ์ที่กฎหมายกำหนดด้วย ซึ่งรวมถึงการโอนข้อมูลส่วนบุคคลไปยังบุคคลที่สาม และการมีหรือการใช้ผู้ประมวลผลข้อมูลส่วนบุคคลด้วย
(3) ระหว่างเจ้าของเว็บไซต์และผู้ให้บริการแพลตฟอร์มที่เข้ามาเชื่อมต่อกับเว็บไซต์ขององค์กร ไม่ว่าจะในรูปแบบของ widget, plug-in หรือ cookies หากแพลตฟอร์มเหล่านั้นมีการประมวลผลข้อมูลส่วนบุคคลด้วย ระหว่างคู่สัญญาอาจจะต้องจัดให้มี Data Processing Agreement แต่ทั้งนี้ก็ขึ้นอยู่กับลักษณะการประมวลผลด้วยว่ารูปแบบการให้บริการนั้นๆ เจ้าของหรือผู้ให้บริการแพลตฟอร์มจะทำหน้าที่เป็น “ผู้ควบคุมข้อมูลส่วนบุคคล” หรือ “ผู้ประมวลผลข้อมูลส่วนบุคคล” ซึ่งเงื่อนไขทางกฎหมายสำหรับสองกรณีนี้ก็ต่างกันไป
ข้อเท็จจริงข้างต้น แม้จะเป็นคดีที่เกิดขึ้นในสหภาพยุโรป แต่ผู้เขียนเชื่อว่าจะเป็นประโยชน์อย่างยิ่งต่อการทำความเข้าใจหลักการต่างๆ ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 แม้ว่าจะเลื่อนการบังคับใช้ออกไปอีกหนึ่งปี แต่ก็ถือว่าเป็นโอกาสที่องค์กรต่างๆ จะมีเวลาในการปรับทิศทางขององค์กรในการประมวลข้อมูลส่วนบุคคลให้สอดคล้องกับกฎหมายมากยิ่งขึ้น
ทั้งนี้ ไม่ว่าจะเป็นเรื่องของความยินยอมที่ชอบด้วยกฎหมาย การแจ้งการประมวลผล และหลักความรับผิดชอบ ในทัศนะของผู้เขียน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ก็บัญญัติไม่แตกต่างจาก GDPR มากนัก
———————————————————————————————————————————————————————————-
ที่มา : กรุงเทพธุรกิจ / วันที่เผยแพร่ 27 พ.ค.2564
บทความโดย ศุภวัชร์ มาลานนท์, ชิโนภาส อุดมผล | คอลัมน์ TECH, LAW AND SECURITY