วันที่ 5 ต.ค. 2565 ICO ซึ่งเป็นหน่วยงานด้านการคุ้มครองข้อมูลส่วนบุคคลของอังกฤษได้มีคำสั่งปรับบริษัทแห่งหนึ่งเป็นเงิน 1,350,000 ปอนด์ในส่วนที่เกี่ยวกับการประมวลผลข้อมูลสุขภาพของลูกค้าจำนวน 145,400 คน
โดยไม่ชอบด้วยกฎหมาย ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของอังกฤษในช่วงระหว่างวันที่ 1 ส.ค. 2562 ถึง 19 ส.ค. 2563 (GDPR ที่ใช้บังคับอยู่ในขณะกระทำความผิด)
ตามข้อเท็จจริงในคดีดังกล่าว Easylife ซึ่งเป็นผู้ควบคุมข้อมูลส่วนบุคคลตามกฎหมายทำการประมวลผลข้อมูลส่วนบุคคลของลูกค้าโดยระบบอัตโนมัติและจัดทำโพรไฟล์ของลูกค้า โดยในการทำการตลาดแบบตรงผ่านช่องทางโทรศัพท์ของบริษัทนั้นมีสินค้าจำนวน 122 รายการที่อยู่ในกลุ่มสินค้าเกี่ยวกับสุขภาพ
โดยมีจำนวน 80 รายการจากจำนวน 122 รายการดังกล่าวที่หากมีการสั่งซื้อจะช่วยให้บริษัทสามารถประเมินเกี่ยวกับสุขภาพของผู้สั่งซื้อได้ว่าน่าจะมีปัญหาเกี่ยวกับอาการข้อต่ออักเสบ และบริษัทก็จะนำเสนอผลิตภัณฑ์ที่เกี่ยวกับสุขภาพประเภทกลูโคซามีน (ช่วยในการแก้อาการสึกกร่อนของกระดูก ไขข้อเสื่อม) ให้แก่ลูกค้ากลุ่มดังกล่าวจากการประเมินข้อมูลการสั่งซื้อ
จากการสอบสวนของ ICO พบว่าบทสนทนาที่บริษัทจัดเตรียมเพื่อการติดต่อลูกค้ายืนยันว่าบริษัทมีการใช้ข้อมูลการสั่งซื้อเพื่อประมวลผลข้อมูลเกี่ยวกับสุขภาพ ดังนี้
“สวัสดีครับ/ค่ะ, ผม/ดิฉันขออนุญาตเรียนสายคุณ…. ผม/ดิฉันมาจากบริษัท ABC เราเป็นที่ปรึกษาด้านสุขภาพครับ/ค่ะ ตามที่ท่านได้สั่งซื้อสินค้า A จากบริษัท คุณสั่งซื้อมาเพื่อแก้ปัญหาอาการปวดข้อหรือบาดเจ็บหรือเปล่าครับ/ค่ะ……มีอาการมานานแค่ไหน บริเวณที่มีอาการคือตรงไหน ทางเราขออนุญาตแนะนำผลิตภัณฑ์ Glucosamine Joint Patch เพื่อแก้ปัญหาไขข้อเสื่อมดังกล่าว…” (บทสมติ)
ICO เห็นว่าการดำเนินการดังกล่าวของบริษัทเป็นการประมวลผลข้อมูลส่วนบุคคลที่เกี่ยวกับสุขภาพโดยการวิเคราะห์จากประวัติและพฤติกรรมการสั่งซื้อ การประมวลผลเกี่ยวกับข้อมูลด้านสุขภาพดังกล่าวดำเนินการโดยที่เจ้าของข้อมูลส่วนบุคคลไม่ทราบรายละเอียดเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล
ทำให้เจ้าของข้อมูลส่วนบุลไม่สามรถทราบถึงสิทธิต่าง ๆ ของตนเองตามกฎหมายว่าใครประมวลผล ประมวลผลอะไรบ้าง ทำให้เจ้าของข้อมูลส่วนบุคคลไม่สามารถใช้สิทธิใด ๆ ตามกฎหมายได้
ความไม่โปร่งใสในการใช้ข้อมูลในลักษณะดังกล่าวประกอบกับการการจัดทำโปรไฟล์ของบุคคลย่อมเป็นการกระทำที่ขัดต่อกฎหมายคุ้มครองข้อมูลส่วนบุคคลอย่างร้ายแรง
การนำพฤติกรรมการสั่งซื้อมาใช้ในการประมวลผลข้อมูลเกี่ยวกับสุขภาพของบุคคลเป็นกรณีที่กฎหมายกำหนดเงื่อนไขวิธีการและกระบวนการไว้อย่างเข้มงวดทั้งการที่ต้องมีฐานการประมวลผลที่ชอบด้วยกฎหมาย (ข้อมูลเกี่ยวกับสุขภาพ) และต้องแจ้งให้เจ้าของข้อมูลทราบด้วยว่าจะมีการเพิ่มเติมวัตถุประสงค์การประมวลผลด้วยสำหรับกรณีข้างต้น
ข้อมูลการทำธุรกรรมของลูกค้า (transactional purchase data) เป็นข้อมูลส่วนบุคคล เมื่อบริษัทใช้ข้อมูลธุรกรรมดังกล่าวเพื่อโน้มน้าวการตัดสินใจว่าลูกค้ารายใดเพื่อทำการตลาดทางโทรศัพท์ กรณีนี้ถือเป็นการจัดทำโปรไฟล์ (profiling)
ตาม “UK GDPR การทำโปรไฟล์” (profiling) หมายถึง รูปแบบใด ๆ ของการประมวลผลข้อมูลส่วนบุคคลแบบอัตโนมัติซึ่งประกอบด้วยการใช้ข้อมูลส่วนบุคคลเพื่อประเมินลักษณะส่วนบุคคลบางอย่างที่เกี่ยวข้องกับบุคคลธรรมดา
โดยเฉพาะอย่างยิ่งเพื่อวิเคราะห์หรือคาดการณ์แง่มุมที่เกี่ยวข้องกับประสิทธิภาพในการทำงาน สภาวการณ์ทางเศรษฐกิจ สุขภาพ ความชอบส่วนบุคคล ความสนใจ ความน่าเชื่อถือ พฤติกรรม สถานที่หรือการเคลื่อนไหว
นอกจากนี้ บริษัทยังไม่ได้แจ้งบุคคลว่าจะมีการใช้ข้อมูลของพวกเขาในการจัดทำโปรไฟล์ ซึ่งตามกฎหมายกำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งบุคคลเกี่ยวกับประเภทของการประมวลผลที่จะเกิดขึ้น
บริษัทไม่ได้กำหนดขั้นตอนที่จำเป็นเพื่อให้บริษัทสามารถประมวลผลข้อมูลการขายเพื่อวัตถุประสงค์ในการอนุมาน/วิเคราะห์ข้อมูลด้านสุขภาพ การทำการตลาดตามเป้าหมาย (targeted marketing)
เพื่อจุดประสงค์ในการขายสินค้าที่บริษัทเห็นว่าสอดคล้องกับพฤติกรรมการซื้อนั้นเกี่ยวข้องกับการอนุมานภาวะสุขภาพจึงเป็นการกระทำที่ไม่ชอบด้วยกฎหมาย
วิเคราะห์จากกรณีศึกษา
จากข้อเท็จจริงในกรณีศึกษาข้างต้น จะพบว่าการใช้ข้อมูลของลูกค้าเพื่อวัตถุประสงค์ด้านการตลาดแบบตรงนั้น มีความจำเป็นต้องตระหนักถึงบทบัญญัติที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลของลูกค้าด้วย
การดำเนินการลักษณะดังกล่าวตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 องค์กรจะต้องดำเนินการให้สอดคล้องกับเงื่อนไขของกฎหมายอย่างน้อยดังต่อไปนี้
1) มีการขอความยินยอมจากลูกค้าเพื่อวัตุประสงค์ด้านการตลาดแบบตรงและขอความยินยอมในกรณีการใช้ข้อมูลเกี่ยวกับสุขภาพ โดยในการขอความยินยอมดังกล่าวต้องปฏิบัติตามเงื่อนไของของมาตรา 19 และมาตรา 20 อย่างเคร่งครัด
กล่าวคือ การขอความยินยอมนั้นต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน มีแบบหรือข้อความที่เข้าถึงได้ง่ายและเข้าใจได้ ต้องคำนึงอย่างถึงที่สุดในความเป็นอิสระของเจ้าของข้อมูลส่วนบุคคลในการให้ความยินยอม ฯลฯ และหากเป็นการขอความยินยอมจากผู้เยาว์ต้องพิจารณาเงื่อนไขเพิ่มเติมตามมาตรา 20 อีกด้วย
2) มีการแจ้งวัตถุประสงค์และเงื่อนไขต่าง ๆ เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของลูกค้าตามที่กฎหมายกำหนดไว้ในมาตรา 23 ของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ (Privacy Notice)
3) เจ้าของข้อมูลส่วนบุคคลจะถอนความยินยอมเสียเมื่อใดก็ได้โดยจะต้องถอนความยินยอมได้ง่ายเช่นเดียวกับการให้ความยินยอม
4) เจ้าของข้อมูลส่วนบุคคลมีสิทธิคัดค้านการประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์เกี่ยวกับการตลาดแบบตรงเมื่อใดก็ได้ (โดยไม่มีเงื่อนไข) และผู้ควบคุมข้อมูลส่วนบุคคลไม่สามารถประมวลผลข้อมูลส่วนบุคคลนั้นต่อไปได้
และต้องปฏิบัติโดยแยกส่วนออกจากข้อมูลอื่นอย่างชัดเจนในทันทีเมื่อเจ้าของข้อมูลส่วนบุคคลได้แจ้งการคัดค้านให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบ
การตลาดแบบตรงในยุคที่มีกฎหมายคุ้มครองข้อมูลส่วนบุคคล จึงเป็นกรณีที่องค์กรต่าง ๆ อาจจะต้องมีการทบทวนและปรับปรุงกระบวนการให้สอดคล้องกับมาตรการฐานการคุ้มครองข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด.
บทความโดย ศุภวัชร์ มาลานนท์
(ที่มา: พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 19, 20, 21, 23, 26 และ 32)
———————————————————————————————————————————-
ที่มา : กรุงเทพธุรกิจออนไลน์ / วันที่เผยแพร่ 2 พ.ย.65
Link : https://www.bangkokbiznews.com/tech/1035553