เมื่อวันที่ 15 กันยายน 2565 ที่ผ่านมา Ireland Data Protection Commission (“DPC”) ได้เผยแพร่คำสั่งลงโทษปรับ Meta Platforms Ireland Limited (IG:Instagram) เป็นเงินรวม 405 ล้านยูโร
ต่อกรณีการประมวลผลข้อมูลส่วนบุคคลของผู้เยาว์ที่ใช้ Instagram ในสหภาพยุโรปโดยไม่ชอบด้วยกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป หรือ General Data Protection Regulation (“GDPR”)
การไต่สวนการกระทำความผิดดังกล่าวเริ่มต้นขึ้นในวันที่ 21 กันยายน 2563 โดยมี DPC เป็นผู้มีอำนาจหลักในการดำเนินการไต่สวนและกำหนดมาตรการลงโทษ Meta Platforms Ireland Limited เนื่องจากเป็นประเทศที่ถือว่า Meta มีสำนักงานใหญ่ตั้งอยู่ในสภาพยุโรป
คำวินิจฉัยของ DPC ลงวันที่ 2 กันยายน 2565 แสดงให้เห็นว่า Meta Ireland กระทำผิด GDPR ในหลาย ๆ กรณีสำหรับการประมวลผลข้อมูลส่วนบุคคลของผู้เยาว์ในส่วนของ “การเปิดเผยอีเมลและหมายเลขโทรศัพท์ของผู้เยาว์เป็นค่าสาธารณะ (ค่าเริ่มต้น) ในการเปิดบัญชี”
การเปิดเผยข้อมูลดังกล่าวไม่สอดคล้องกับ GDPR ที่กำหนดให้เป็นหน้าที่ของ Meta Ireland ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลต้องปฏิบัติ ได้แก่
1) การไม่มีฐานทางกฎหมายในการเปิดเผยข้อมูลส่วนบุคคล
2) ความไม่โปร่งใสในการแจ้งเงื่อนไขและวัตถุประสงค์การประมวลผลข้อมูลส่วนบุคคลของผู้เยาว์ (Privacy Notice)
3) ไม่ปฏิบัติให้สอดคล้องกับข้อกำหนดเรื่อง Data Protection By Design and By Default
4) ไม่จัดทำรายงานผลกระทบด้านการประเมินความเสี่ยง (Data Protection Impact Assessment: DPIA)
จากการกระทำความผิดต่อบทบัญญัติของ GDPR ในหลาย ๆ หน้าที่ ทำให้จำนวนค่าปรับในคดีนี้มีจำนวนที่สูงมาก และสูงเป็นอันดับสองรองจากคดี Amazon ที่ถูกปรับโดย Luxembourg Data Protection Authority เป็นจำนวน 746 ล้านยูโร
หนึ่งในข้อกล่าวหาที่ Meta Ireland กระทำผิด คือ การไม่มีฐานการประมวลผลที่ชอบด้วยกฎหมาย ซึ่งเป็นกรณีที่น่าสนใจในแง่การดำเนินการทางธุรกิจ เนื่องจากเป็นต้นทางของการนำเข้ามา (เก็บรวมรวม) การใช้ และการเปิดเผยข้อมูลส่วนบุคคล
ในการประมวลผลข้อมูลส่วนบุคคลของผู้เยาว์ Meta Ireland ใช้ฐานการประมวลผล 2 ฐาน คือ “สัญญา” (contract) และ“ประโยชน์โดยชอบด้วยกฎหมาย” (legitimate interest) กรณีใดกรณีหนึ่ง
หากเป็นกรณีที่ผู้เยาว์ไม่มีความสามารถตามกฎหมายที่จะทำสัญญาใช้บริการได้ด้วยตนเอง Meta Ireland จะใช้ฐานประโยชน์โดยชอบด้วยกฎหมายในการประมวลผลข้อมูลส่วนบุคคลของผู้เยาว์และการเปิดเผยข้อมูลการติดต่อของผู้เยาว์ ได้แก่ อีเมลและหมายเลขโทรศัพท์เป็นค่าสาธารณะ (ค่าเริ่มต้น) ในการเปิดบัญชี
ในการสมัครใช้บัญชีของ Instagram ข้อตกลงการใช้กำหนดว่า “การที่ท่านเปิดบัญชี ท่านในฐานะเจ้าของข้อมูลส่วนบุคคลได้ตกลงตาม Instagram Term of Use” โดยในส่วนของ Instagram Term of Use ข้อที่ 1. ได้กำหนดไว้ว่า
“เพื่อให้บริการที่ออกแบบเฉพาะรายเพื่อให้โอกาสการสร้าง การเชื่อมต่อ การสื่อสาร การค้นพบ และการแลกเปลี่ยน…ระหว่างผู้ใช้ Instagram”
ซึ่ง Meta Ireland ถือว่าผู้ใช้บัญชี Instagram ได้ตกลงตามเงื่อนไขการใช้เป็นการเข้าทำสัญญากับ Meta Ireland แล้ว ทำให้สามารถ “เปิดเผยข้อมูลการติดต่อของผู้เยาว์” ได้เนื่องจาก เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญา” เพื่อให้ผู้ใช้บริการสามารถสื่อสาร ค้นพบ และแลกเปลี่ยน…ระหว่างผู้ใช้ Instagram
อย่างไรก็ตาม DPC ภายหลังการวินิจฉัยตัดสินของ EDPB ให้ความเห็นว่า การเปิดเผยข้อมูลการติดต่อของผู้เยาว์ไม่ถือว่าเป็นส่วนหนึ่งที่เป็นองค์ประกอบที่จำเป็นของการดำเนินการตาม Instagram Term of Use แม้ว่าจะมีข้อตกลง/สัญญาระหว่างกัน
แต่ข้อตกลงดังกล่าวไม่ครอบคลุมถึงการที่ต้องเปิดเผยข้อมูลการติดต่อของผู้เยาว์ Meta Ireland จึงไม่สามารถกล่าวอ้างได้ว่าเพราะมีความผูกพันตามสัญญาจึงสามารถใช้สิทธิในการเปิดเผยข้อมูลการติดต่อ
การตีความการดำเนินการใด ๆ ต่อข้อมูลส่วนบุคคลเพื่อให้สามารถบรรลุวัตถุประสงค์ตามสัญญาต้องเป็นการดำเนินการที่มีความจำเป็นอย่างแท้จริง
ส่วนฐาน “ประโยชน์โดยชอบด้วยกฎหมาย” (legitimate interest: LI) ถูกใช้ในกรณีที่ผู้เยาว์ยังไม่มีความสามารถตามเงื่อนไขที่กฎหมายของแต่ละรัฐสมาชิกกำหนด (ไม่ผ่านเกณฑ์อายุ)
ในกรณีนี้ Meta Ireland เห็นว่าบริษัทสามารถเปิดเผยข้อมูลดังกล่าวได้เนื่องจากเป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของ Meta Ireland หรือของบุคคลหรือนิติบุคคลอื่น และประโยชน์ดังกล่าวมีความสำคัญมากกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล
การกล่าวอ้าง “ประโยชน์โดยชอบด้วยกฎหมาย” มีลักษณะเป็นการบังคับฝ่ายเดียวเพื่อให้องค์กรมีความชอบธรรมในการประมวลผลข้อมูลส่วนบุคคล
ตามแนวทางปฏิบัติของ GDPR กำหนดให้องค์กรที่จะใช้ข้อกล่าวอ้างดังกล่าวในการประมวลผลข้อมูลส่วนบุคคล ต้องดำเนินการประเมินผลกระทบต่อสิทธิและเสรีภาพของบุคคลเสียก่อน หรือที่รู้จักในชื่อ Legitimate Interest Assessment: LIA ซึ่งประกอบด้วยการพิจารณาองค์ประกอบ 3 ประการ ซึ่งในคดีนี้ Meta Ireland ไม่ผ่านเกณฑ์ LIA กล่าวคือ
เมื่อไม่ผ่านเกณฑ์การทำ LIA แม้เพียงข้อหนึ่งข้อใดในสามข้อ ก็ทำให้องค์กรไม่สามารถใช้ฐาน “ประโยชน์โดยชอบด้วยกฎหมาย” ในการประมวลผลข้อมูลส่วนบุคคล
ดังนั้น เมื่อฐานการประมวลผลทั้ง 2 ฐานที่ Meta Ireland ใช้ในการเปิดเผยข้อมูลการติดต่อไม่ชอบด้วยกฎหมาย จึงเท่ากับว่าองค์กรประมวลผลข้อมูลส่วนบุคคลโดยไม่ชอบด้วยกฎหมาย
มีข้อน่าสังเกตว่า หาก Meta Ireland จะเปิดเผยข้อมูลการติดต่อเป็นสาธารณะ กรณีนี้อาจมีความจำเป็นต้องใช้ช่องทางการขอ “ความยินยอม” เพื่อให้สามารถเปิดเผยข้อมูลได้ แต่ความยินยอมดังกล่าวต้องขอจากผู้ใช้อำนาจทางปกครองที่มีอำนาจกระทำการแทนผู้เยาว์
นี่อาจเป็นเหตุผลว่าทำไม Meta Ireland หลีกเลี่ยงการใช้ช่องทางความยินยอม เนื่องจากจะต้องจัดทำช่องทางในการสื่อสารและขอความยินยอมจากผู้ปกครองตามเงื่อนไขของกฎหมาย.
อ้างอิง
1. Data Protection Commission announces decision in Instagram Inquiry, https://dataprotection.ie/en/news-media/press-releases/data-protection-commission-announces-decision-instagram-inquiry
2. EDPB, Binding Decision 2/2022 on the dispute arisen on the draft decision of the Irish Supervisory Authority regarding Meta Platforms Ireland Limited (Instagram) under Article 65(1)(a) GDPR
คอลัมน์ Tech, Law and Security
ศุภวัชร์ มาลานนท์
FIP, CIPP/E, CIPP/US, CIPP/A, CIPM
บัณฑิตวิทยาลัยการจัดการและนวัตกรรม
มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าธนบุรี
——————————————————————————————————————————————–
ที่มา : กรุงเทพธุรกิจ / วันที่เผยแพร่ 30 ก.ย.65
Link : https://www.bangkokbiznews.com/tech/gadget/1029731