เมื่อวันที่ 5 ตุลาคม 2565 ที่ผ่านมา ICO ซึ่งเป็นหน่วยงานด้านการคุ้มครองข้อมูลส่วนบุคคลของอังกฤษได้มีคำสั่งปรับบริษัทแห่งหนึ่งเป็นเงิน 1,350,000 ปอนด์ในส่วนที่เกี่ยวกับการประมวลผลข้อมูลสุขภาพของลูกค้าจำนวน 145,400 คน โดยไม่ชอบด้วยกฎหมายตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของอังกฤษในช่วงระหว่างวันที่ 1 สิงหาคม 2562 ถึง 19 สิงหาคม 2563 (GDPR ที่ใช้บังคับอยู่ในขณะกระทำความผิด)
ตามข้อเท็จจริงในคดีดังกล่าว Easylife ซึ่งเป็นผู้ควบคุมข้อมูลส่วนบุคคลตามกฎหมายทำการประมวลผลข้อมูลส่วนบุคคลของลูกค้าโดยระบบอัตโนมัติและจัดทำโพรไฟล์ของลูกค้า โดยในการทำการตลาดแบบตรงผ่านช่องทางโทรศัพท์ของบริษัทนั้นมีสินค้าจำนวน 122 รายการที่อยู่ในกลุ่มสินค้าเกี่ยวกับสุขภาพ โดยมีจำนวน 80 รายการจากจำนวน122 รายการดังกล่าวที่หากมีการสั่งซื้อจะช่วยให้บริษัทสามารถประเมินเกี่ยวกับสุขภาพของผู้สั่งซื้อได้ว่าน่าจะมีปัญหาเกี่ยวกับอาการข้อต่ออักเสบ และบริษัทก็จะนำเสนอผลิตภัณฑ์ที่เกี่ยวกับสุขภาพประเภทกลูโคซามีน (ช่วยในการแก้อาการสึกกร่อนของกระดูก ไขข้อเสื่อม) ให้แก่ลูกค้ากลุ่มดังกล่าวจากการประเมินข้อมูลการสั่งซื้อ
จากการสอบสวนของ ICO พบว่าบทสนทนาที่บริษัทจัดเตรียมเพื่อการติดต่อลูกค้ายืนยันว่าบริษัทมีการใช้ข้อมูลการสั่งซื้อเพื่อประมวลผลข้อมูลเกี่ยวกับสุขภาพ ดังนี้
สวัสดีครับ/ค่ะ, ผม/ดิฉันขออนุญาตเรียนสายคุณ.... ผม/ดิฉันมาจากบริษัท ABC เราเป็นที่ปรึกษาด้านสุขภาพครับ/ค่ะ ตามที่ท่านได้สั่งซื้อสินค้า A จากบริษัท คุณสั่งซื้อมาเพื่อแก้ปัญหาอาการปวดข้อหรือบาดเจ็บหรือเปล่าครับ/ค่ะ......มีอาการมานานแค่ไหน บริเวณที่มีอาการคือตรงไหน ทางเราขออนุญาตแนะนำผลิตภัณฑ์ Glucosamine Joint Patch เพื่อแก้ปัญหาไขข้อเสื่อมดังกล่าว... (บทสมติ)
ICO เห็นว่าการดำเนินการดังกล่าวของบริษัทเป็นการประมวลผลข้อมูลส่วนบุคคลที่เกี่ยวกับสุขภาพโดยการวิเคราะห์จากประวัติและพฤติกรรมการสั่งซื้อ การประมวลผลเกี่ยวกับข้อมูลด้านสุขภาพดังกล่าวดำเนินการโดยที่เจ้าของข้อมูลส่วนบุคคลไม่ทราบรายละเอียดเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล ทำให้เจ้าของข้อมูลส่วนบุลไม่สามรถทราบถึงสิทธิต่าง ๆ ของตนเองตามกฎหมายว่าใครประมวลผล ประมวลผลอะไรบ้าง ทำให้เจ้าของข้อมูลส่วนบุคคลไม่สามารถใช้สิทธิใด ๆ ตามกฎหมายได้ ความไม่โปร่งใสในการใช้ข้อมูลในลักษณะดังกล่าวประกอบกับการการจัดทำโปรไฟล์ของบุคคลย่อมเป็นการกระทำที่ขัดต่อกฎหมายคุ้มครองข้อมูลส่วนบุคคลอย่างร้ายแรง
การนำพฤติกรรมการสั่งซื้อมาใช้ในการประมวลผลข้อมูลเกี่ยวกับสุขภาพของบุคคลเป็นกรณีที่กฎหมายกำหนดเงื่อนไขวิธีการและกระบวนการไว้อย่างเข้มงวดทั้งการที่ต้องมีฐานการประมวลผลที่ชอบด้วยกฎหมาย (ข้อมูลเกี่ยวกับสุขภาพ) และต้องแจ้งให้เจ้าของข้อมูลทราบด้วยว่าจะมีการเพิ่มเติมวัตถุประสงค์การประมวลผลด้วยสำหรับกรณีข้างต้น ข้อมูลการทำธุรกรรมของลูกค้า (transactional purchase data) เป็นข้อมูลส่วนบุคคล เมื่อบริษัทใช้ข้อมูลธุรกรรมดังกล่าวเพื่อโน้มน้าวการตัดสินใจว่าลูกค้ารายใดเพื่อทำการตลาดทางโทรศัพท์ กรณีนี้ถือเป็นการจัดทำโปรไฟล์ (profiling)
ตาม UK GDPR การทำโปรไฟล์ (profiling) หมายถึง รูปแบบใด ๆ ของการประมวลผลข้อมูลส่วนบุคคลแบบอัตโนมัติซึ่งประกอบด้วยการใช้ข้อมูลส่วนบุคคลเพื่อประเมินลักษณะส่วนบุคคลบางอย่างที่เกี่ยวข้องกับบุคคลธรรมดา โดยเฉพาะอย่างยิ่งเพื่อวิเคราะห์หรือคาดการณ์แง่มุมที่เกี่ยวข้องกับประสิทธิภาพในการทำงาน สภาวการณ์ทางเศรษฐกิจ สุขภาพ ความชอบส่วนบุคคล ความสนใจ ความน่าเชื่อถือ พฤติกรรม สถานที่หรือการเคลื่อนไหว
นอกจากนี้ บริษัทยังไม่ได้แจ้งบุคคลว่าจะมีการใช้ข้อมูลของพวกเขาในการจัดทำโปรไฟล์ ซึ่งตามกฎหมายกำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งบุคคลเกี่ยวกับประเภทของการประมวลผลที่จะเกิดขึ้น บริษัทไม่ได้กำหนดขั้นตอนที่จำเป็นเพื่อให้บริษัทสามารถประมวลผลข้อมูลการขายเพื่อวัตถุประสงค์ในการอนุมาน/วิเคราะห์ข้อมูลด้านสุขภาพ การทำการตลาดตามเป้าหมาย (targeted marketing) เพื่อจุดประสงค์ในการขายสินค้าที่บริษัทเห็นว่าสอดคล้องกับพฤติกรรมการซื้อนั้นเกี่ยวข้องกับการอนุมานภาวะสุขภาพจึงเป็นการกระทำที่ไม่ชอบด้วยกฎหมาย
วิเคราะห์จากกรณีศึกษา
จากข้อเท็จจริงในกรณีศึกษาข้างต้น จะพบว่าการใช้ข้อมูลของลูกค้าเพื่อวัตถุประสงค์ด้านการตลาดแบบตรงนั้น มีความจำเป็นต้องตระหนักถึงบทบัญญัติที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลของลูกค้าด้วย การดำเนินการลักษณะดังกล่าวตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 องค์กรจะต้องดำเนินการให้สอดคล้องกับเงื่อนไขของกฎหมายอย่างน้อยดังต่อไปนี้
1) มีการขอความยินยอมจากลูกค้าเพื่อวัตุประสงค์ด้านการตลาดแบบตรงและขอความยินยอมในกรณีการใช้ข้อมูลเกี่ยวกับสุขภาพ โดยในการขอความยินยอมดังกล่าวต้องปฏิบัติตามเงื่อนไของของมาตรา 19 และมาตรา 20 อย่างเคร่งครัด กล่าวคือ การขอความยินยอมนั้นต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน มีแบบหรือข้อความที่เข้าถึงได้ง่ายและเข้าใจได้ รวมทั้งใช้ภาษาที่อ่านง่าย และไม่เป็นการหลอกลวงหรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์ดังกล่าว ต้องคำนึงอย่างถึงที่สุดในความเป็นอิสระของเจ้าของข้อมูลส่วนบุคคลในการให้ความยินยอม ทั้งนี้ ในการเข้าทำสัญญาซึ่งรวมถึงการให้บริการใด ๆ ต้องไม่มีเงื่อนไขในการให้ความยินยอมเพื่อเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ไม่มีความจำเป็นหรือเกี่ยวข้องสำหรับการเข้าทำสัญญาซึ่งรวมถึงการให้บริการนั้น ๆ เป็นต้น และหากเป็นการขอความยินยอมจากผู้เยาว์ต้องพิจารณาเงื่อนไขเพิ่มเติมตามมาตรา 20 อีกด้วย
อนึ่ง รายละเอียดเกี่ยวกับวิธีการและแนวทางในการขอความยินยอมนั้น อาจพิจารณาเพิ่มเติมได้จาก แนวทางการดำเนินการในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล)
2) มีการแจ้งวัตถุประสงค์และเงื่อนไขต่าง ๆ เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของลูกค้าตามที่กฎหมายกำหนดไว้ในมาตรา 23 ของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ (Privacy Notice)
3) เจ้าของข้อมูลส่วนบุคคลจะถอนความยินยอมเสียเมื่อใดก็ได้โดยจะต้องถอนความยินยอมได้ง่ายเช่นเดียวกับการให้ความยินยอม
4) เจ้าของข้อมูลส่วนบุคคลมีสิทธิคัดค้านการประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์เกี่ยวกับการตลาดแบบตรงเมื่อใดก็ได้ (โดยไม่มีเงื่อนไข) และผู้ควบคุมข้อมูลส่วนบุคคลไม่สามารถประมวลผลข้อมูลส่วนบุคคลนั้นต่อไปได้ และต้องปฏิบัติโดยแยกส่วนออกจากข้อมูลอื่นอย่างชัดเจนในทันทีเมื่อเจ้าของข้อมูลส่วนบุคคลได้แจ้งการคัดค้านให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบ
การตลาดแบบตรงในยุคที่มีกฎหมายคุ้มครองข้อมูลส่วนบุคคล จึงเป็นกรณีที่องค์กรต่าง ๆ อาจจะต้องมีการทบทวนและปรับปรุงกระบวนการให้สอดคล้องกับมาตรการฐานการคุ้มครองข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด.
ศุภวัชร์ มาลานนท์
GMI, มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าธนบุรี
ระวีวรรณ ขันติวิริยะพานิช
บริษัท ดีพีโอเอเอเอส จำกัด
Ref:https://www.bangkokbiznews.com/tech/1035553