เมื่อวันที่ 15 กันยายน 2565 ที่ผ่านมา Ireland Data Protection Commission (DPC) ได้เผยแพร่คำสั่งลงโทษปรับ Meta Platforms Ireland Limited (Instagram) เป็นเงินรวม 405 ล้านยูโรต่อกรณีการประมวลผลข้อมูลส่วนบุคคลของผู้เยาว์ที่ใช้ Instagram ในสหภาพยุโรปโดยไม่ชอบด้วยกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป หรือ General Data Protection Regulation (GDPR) โดยการไต่สวนการกระทำความผิดดังกล่าวเริ่มต้นขึ้นในวันที่ 21 กันยายน 2563 โดยมี DPC เป็นผู้มีอำนาจหลักในการดำเนินการไต่สวนและกำหนดมาตรการลงโทษ Meta Platforms Ireland Limited เนื่องจากเป็นประเทศที่ถือว่า Meta มีสำนักงานใหญ่ตั้งอยู่ในสภาพยุโรป
คำวินิจฉัยของ DPC ลงวันที่ 2 กันยายน 2565 แสดงให้เห็นว่า Meta Ireland กระทำผิด GDPR
ในหลาย ๆ กรณีสำหรับการประมวลผลข้อมูลส่วนบุคคลของผู้เยาว์ในส่วนของ การเปิดเผยอีเมลและหมายเลขโทรศัพท์ของผู้เยาว์เป็นค่าสาธารณะ (ค่าเริ่มต้น) ในการเปิดบัญชี ซึ่งการเปิดเผยข้อมูลดังกล่าวไม่สอดคล้องกับ GDPR ที่กำหนดให้เป็นหน้าที่ของ Meta Ireland ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลต้องปฏิบัติ ได้แก่
1) การไม่มีฐานทางกฎหมายในการเปิดเผยข้อมูลส่วนบุคคล
2) ความไม่โปร่งใสในการแจ้งเงื่อนไขและวัตถุประสงค์การประมวลผลข้อมูลส่วนบุคคลของผู้เยาว์
(Privacy Notice)
3) ไม่ปฏิบัติให้สอดคล้องกับข้อกำหนดเรื่อง Data Protection By Design and By Default
4) ไม่จัดทำรายงานผลกระทบด้านการประเมินความเสี่ยง (Data Protection Impact Assessment: DPIA)
จากการกระทำความผิดต่อบทบัญญัติของ GDPR ในหลาย ๆ หน้าที่ ทำให้จำนวนค่าปรับในคดีนี้มีจำนวนที่สูงมาก และสูงเป็นอันดับสองรองจากคดี Amazon ที่ถูกปรับโดย Luxembourg Data Protection Authority เป็นจำนวน 746 ล้านยูโร โดยหนึ่งในข้อกล่าวหาที่ Meta Ireland กระทำผิด คือ การไม่มีฐานการประมวลผลที่ชอบด้วยกฎหมาย ซึ่งเป็นกรณีที่น่าสนใจในแง่การดำเนินการทางธุรกิจ เนื่องจากเป็นต้นทางของการนำเข้ามา (เก็บรวมรวม) การใช้ และการเปิดเผยข้อมูลส่วนบุคคล
ในการประมวลผลข้อมูลส่วนบุคคลของผู้เยาว์ Meta Ireland ใช้ฐานการประมวลผล 2 ฐาน คือ สัญญา (contract) และประโยชน์โดยชอบด้วยกฎหมาย (legitimate interest) กรณีใดกรณีหนึ่ง โดยหากเป็นกรณีที่ผู้เยาว์ไม่มีความสามารถตามกฎหมายที่จะทำสัญญาใช้บริการได้ด้วยตนเอง Meta Ireland จะใช้ฐานประโยชน์โดยชอบด้วยกฎหมายในการประมวลผลข้อมูลส่วนบุคคลของผู้เยาว์และการเปิดเผยข้อมูลการติดต่อของผู้เยาว์ ได้แก่ อีเมลและหมายเลขโทรศัพท์เป็นค่าสาธารณะ (ค่าเริ่มต้น) ในการเปิดบัญชี
ในการสมัครใช้บัญชีของ Instagram ข้อตกลงการใช้กำหนดว่า การที่ท่านเปิดบัญชี ท่านในฐานะเจ้าของข้อมูลส่วนบุคคลได้ตกลงตาม Instagram Term of Use โดยในส่วนของ Instagram Term of Use ข้อที่ 1. ได้กำหนดไว้ว่า เพื่อให้บริการที่ออกแบบเฉพาะรายเพื่อให้โอกาสการสร้าง การเชื่อมต่อ การสื่อสาร การค้นพบ และการแลกเปลี่ยน...ระหว่างผู้ใช้ Instagram ซึ่ง Meta Ireland ถือว่าผู้ใช้บัญชี Instagram ได้ตกลงตามเงื่อนไขการใช้เป็นการเข้าทำสัญญากับ Meta Ireland แล้ว ทำให้สามารถ เปิดเผยข้อมูลการติดต่อของผู้เยาว์ ได้เนื่องจาก เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญา เพื่อให้ผู้ใช้บริการสามารถสื่อสาร ค้นพบ และแลกเปลี่ยน...ระหว่างผู้ใช้ Instagram
อย่างไรก็ตาม DPC ภายหลังการวินิจฉัยตัดสินของ EDPB ให้ความเห็นว่าการเปิดเผยข้อมูลการติดต่อของผู้เยาว์ไม่ถือว่าเป็นส่วนหนึ่งที่เป็นองค์ประกอบที่จำเป็นของการดำเนินการตาม Instagram Term of Use แม้ว่าจะมีข้อตกลง/สัญญาระหว่างกัน แต่ข้อตกลงดังกล่าวไม่ครอบคลุมถึงการที่ต้องเปิดเผยข้อมูลการติดต่อของผู้เยาว์ Meta Ireland จึงไม่สามารถกล่าวอ้างได้ว่าเพราะมีความผูกพันตามสัญญาจึงสามารถใช้สิทธิในการเปิดเผยข้อมูลการติดต่อการตีความการดำเนินการใด ๆ ต่อข้อมูลส่วนบุคคลเพื่อให้สามารถบรรลุวัตถุประสงค์ตามสัญญาต้องเป็นการดำเนินการที่มีความจำเป็นอย่างแท้จริง
ส่วนฐาน ประโยชน์โดยชอบด้วยกฎหมาย (legitimate interest: LI) ถูกใช้ในกรณีที่ผู้เยาว์ยังไม่มีความสามารถตามเงื่อนไขที่กฎหมายของแต่ละรัฐสมาชิกกำหนด (ไม่ผ่านเกณฑ์อายุ) ในกรณีนี้ Meta Ireland เห็นว่าบริษัทสามารถเปิดเผยข้อมูลดังกล่าวได้เนื่องจากเป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของ Meta Ireland หรือของบุคคลหรือนิติบุคคลอื่น และประโยชน์ดังกล่าวมีความสำคัญมากกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล
การกล่าวอ้าง ประโยชน์โดยชอบด้วยกฎหมาย มีลักษณะเป็นการบังคับฝ่ายเดียวเพื่อให้องค์กรมีความชอบธรรมในการประมวลผลข้อมูลส่วนบุคคล ซึ่งตามแนวทางปฏิบัติของ GDPR กำหนดให้องค์กรที่จะใช้ข้อกล่าวอ้างดังกล่าวในการประมวลผลข้อมูลส่วนบุคคลต้องดำเนินการประเมินผลกระทบต่อสิทธิและเสรีภาพของบุคคลเสียก่อน หรือที่รู้จักในชื่อ Legitimate Interest Assessment: LIA ซึ่งประกอบด้วยการพิจารณาองค์ประกอบ 3 ประการ ซึ่งในคดีนี้ Meta Ireland ไม่ผ่านเกณฑ์ LIA กล่าวคือ
เมื่อไม่ผ่านเกณฑ์การทำ LIA แม้เพียงข้อหนึ่งข้อใดในสามข้อ ก็ทำให้องค์กรไม่สามารถใช้ฐาน ประโยชน์โดยชอบด้วยกฎหมาย ในการประมวลผลข้อมูลส่วนบุคคล ดังนั้น เมื่อฐานการประมวลผลทั้ง 2 ฐานที่ Meta Ireland ใช้ในการเปิดเผยข้อมูลการติดต่อไม่ชอบด้วยกฎหมาย จึงเท่ากับว่าองค์กรประมวลผลข้อมูลส่วนบุคคลโดยไม่ชอบด้วยกฎหมาย
มีข้อน่าสังเกตว่า หาก Meta Ireland จะเปิดเผยข้อมูลการติดต่อเป็นสาธารณะ กรณีนี้อาจมีความจำเป็นต้องใช้ช่องทางการขอ ความยินยอม เพื่อให้สามารถเปิดเผยข้อมูลได้ แต่ความยินยอมดังกล่าวต้องขอจากผู้ใช้อำนาจทางปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ ซึ่งนี่อาจเป็นเหตุผลว่าทำไม Meta Ireland หลีกเลี่ยงการใช้ช่องทางความยินยอม เนื่องจากจะต้องจัดทำช่องทางในการสื่อสารและขอความยินยอมจากผู้ปกครองตามเงื่อนไขของกฎหมาย.
ศุภวัชร์ มาลานนท์
FIP, CIPP/E, CIPP/US, CIPP/A, CIPM
ref:https://www.bangkokbiznews.com/tech/1029731
อ้างอิง
1. Data Protection Commission announces decision in Instagram Inquiry, https://dataprotection.ie/en/news-media/press-releases/data-protection-commission-announces-decision-instagram-inquiry
2. EDPB, Binding Decision 2/2022 on the dispute arisen on the draft decision of the Irish Supervisory Authority regarding Meta Platforms Ireland Limited (Instagram) under Article 65(1)(a) GDPR