เมื่อ Amazon.com อาจถูกปรับสูงถึง 746 ล้านยูโร

เมื่อ Amazon.com อาจถูกปรับสูงถึง 746 ล้านยูโร

Amazon.com Inc อาจจะต้องเสียค่าปรับเป็นจำนวนเงินสูงถึง 746 ล้านยูโร เนื่องมาจากการกระทำผิด GDPR ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของ EU

HIGHLIGHTS 

§  องค์กรอาจมีความรับผิดตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลแม้ว่าจะไม่มีการละเมิดมาตรการด้านความมั่นคงปลอดภัยภายในองค์กรเลย

§  เจตนารมณ์ของกฎหมายคุ้มครองข้อมูลส่วนบุคคลมุ่งคุ้มครองสิทธิขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคลตั้งแต่กระบวนการเก็บรวบรวม ใช้และเปิดเผย และคุ้มครองไปตลอดวงจรชีวิตของข้อมูล

มีข่าวเผยแพร่ใน Bloomberg และสื่ออื่น ๆ ของต่างประเทศเมื่อช่วงวันที่ 30 กรกฎาคม 2564 ที่ผ่านมาว่า Amazon.com Inc บริษัทเทคชั้นนำของโลกอาจจะต้องเสียค่าปรับเป็นจำนวนเงินสูงถึง 746 ล้านยูโร หรือราว ๆ 888 ล้านเหรียญสหรัฐ อันเนื่องมาจากการกระทำผิด GDPR ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป

              คดีดังกล่าวสืบเนื่องมาจากการถูกสอบสวนว่ากระทำความผิดของ Amazon ซึ่งมีสำนักงานในสหภาพยุโรปอยู่ที่ประเทศลักเซมเบิร์ก ได้ถูก CNPD ซึ่งเป็นหน่วยงานบังคับใช้ GDPR สอบสวนการกระทำความผิดที่เกิดขึ้นในสหภาพยุโรปในฐานะ Lead Supervisory Authority ของกลุ่ม 26 ประเทศที่บังคับใช้ GDPR ว่ากระทำผิด GDPR ในส่วนของการเก็บรวบรวมและการใช้ข้อมูลส่วนบุคคลของผู้ใช้งาน โดยคดีดังกล่าวเริ่มต้นจากการเคลื่อนไหวและร้องเรียนของ La Quadrature du Net ซึ่งเป็นกลุ่มองค์กรเอกชนที่เคลื่อนไหวเพื่อการคุ้มครองข้องมูลส่วนบุคคลในประเทศฝรั่งเศสกล่าวหาว่า Amazon ใช้ข้อมูลส่วนบุคคลของลูกค้าเพื่อการติดตามพฤติกรรม วิเคราะห์ทางการตลาด และการทำการตลาดแบบเฉพาะเจาะจงไม่ถูกต้องตาม GDPR

              โดยข้อเท็จจริงเกี่ยวกับการกระทำความผิดดังกล่าวถูกเปิดเผยจากเอกสารที่ Amazon ยื่นต่อ SEC ของประเทศสหรัฐอเมริกา โดยรายงานข่าวแจ้งว่าโฆษกของ Amazon ให้ความเห็นต่อประเด็นดังกล่าวว่า Amazon ไม่เห็นด้วยกับคำวินิจฉัยของ CNPD และมีประเด็นชี้แจงต่อสาธารณะที่น่าสนใจ 2 ประเด็น ดังนี้

  • Amazon ยืนยันว่าไม่มีมีเหตุการณ์ข้อมูลรั่วไหลหรือเหตุการละเมิดข้อมูลส่วนบุคคลขึ้น
  • การบังคับใช้และตีความ GDPR ที่เกี่ยวเนื่องกับการใช้โฆษณาในรูปแบบออนไลน์เป็นการตีความที่ยังอาจจะไม่มีบรรทัดฐานให้ผู้ประกอบการถือปฏิบัติอย่างชัดเจน และการกำหนดค่าปรับที่สูงมากดังกล่าวอาจจะไม่ได้สัดส่วนและเหมาะสม

ผู้เขียนเห็นว่า จากคำชี้แจงของ Amazon มีความน่าสนใจในประเด็นข้อกฎหมาย ดังนี้

  • Amazon อาจกล่าวถูกต้องว่าความผิดครั้งนี้ไม่เกี่ยวกับมาตรการด้านความมั่นคงปลอดภัย (data security) ซึ่งในฐานะบริษัทเทคชั้นนำก็น่าเชื่อว่ามาตรฐานด้านความปลอดภัยของบริษัทคงไม่ถูกเจาะเข้าระบบได้โดยง่ายอย่างแน่นอน
  • แนวคิดเรื่อง information security หรือ data privacy ในฝั่งของสหรัฐอเมริกา ในอดีตที่ผ่านมาจะให้ความสำคัญกับเรื่องเหตุการณ์รั่วไหลของข้อมูลส่วนบุคคลเท่านั้น เพราะมีกฎหมายบังคับเรื่องการแจ้งเหตุการละเมิดข้อมูลส่วนบุคล (breach notification) แต่อาจไม่มีระบบกฎหมายว่าด้วยสิทธิของเจ้าของข้อมูลส่วนบุคคลและกระบวนการเยียวยาในลักษณะของกฎหมายเฉพาะ

ในขณะที่ GDPR นั้นเป็นกฎหมายว่าด้วยการกำหนดสิทธิขั้นพื้นฐาน (fundamental right) ของพลเมืองในสหภาพยุโรปว่าด้วยการคุ้มครองความเป็นส่วนตัวในข้อมูลส่วนบุคคล (มาตรา 1 ของ GDPR) ดังนั้น ในวงจรชีวิตของข้อมูลส่วนบุคคล (personal data lifecycle) ตาม GDPR จึงไม่ได้ให้ความสำคัญเฉพาะส่วนการกำหนดมาตรการด้านความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลเท่านั้น แต่ให้ความสำคัญมาตั้งแต่กระบวนนำเข้าข้อมูลมาใช้ประโยชน์นั้นต้องชอบด้วยกฎหมาย และการเปิดเผยและการโอนก็ต้องชอบด้วยกฎหมายเช่นกัน

ตาม GDPR การเก็บรวมรวบและใช้ข้อมูลจะชอบด้วยกฎหมายเมื่อองค์กรต่าง ๆ ได้ปฏิบัติตามหลักการพื้นฐานในการประมวลโดยเฉพาะหลักการแรกที่กำหนดว่า “การประมวลผลต้องชอบด้วยกฎหมาย เป็นธรรม และโปร่งใสกับเจ้าของข้อมูลส่วนบุคคล” (lawfulness, fairness and transparency) ซึ่งหลักการดังกล่าว ก่อให้เกิดหน้าที่หลาย ๆ ประการตามกฎหมายกับผู้ควบคุมข้อมูลส่วนบุคคล อาทิ

  • การประมวลผลข้อมูลส่วนบุคคลต้องมีฐานทางกฎหมายในการประมวลผล (legal basis) ซึ่งในกรณีของ Amazon ผู้เขียนเข้าใจว่าฐานหลักในการประมวลผล คือ “ความยินยอม”
  • เมื่อใช้ฐานความยินยอมในการประมวลผล “ความยินยอม” นั้น ก็ต้องเป็นไปตามเงื่อนไขที่กฎหมายกำหนดด้วย อาทิ ต้องมีความชัดเจน ไม่มีข้อความที่ก่อให้เกิดความสับสนหลงผิดในวัตถุประสงค์ (เอาข้อมูลไปทำอะไร อย่างไร) และต้องคำนึงถึงอย่างที่สุดในความเป็นอิสระของเจ้าของข้อมูลส่วนบุคคล เป็นต้น
  • ต้องมีการแจ้งเงื่อนไขการประมวลผลให้ครบถ้วนตามกฎหมาย (privacy notice) และต้องแจ้งอย่างโปร่งใสเพื่อให้เจ้าของข้อมูลส่วนบุคคลสามารถทราบรายละเอียดและเงื่อนไขการประมวลผลได้

การกระทำผิดของ Amazon ครั้งนี้จึงไม่ใช่ความบกพร่องของบริษัทในประเด็นความมั่นคงปลอดภัยของข้อมูล แต่เป็นข้อกล่าวหาว่าละเมิดหลักการพื้นฐานของการประมวลผลข้อมูลส่วนบุคคลในส่วนที่ว่าด้วยการเก็บรวบรวม การใช้ และการเปิดเผย

              อย่างไรก็ตาม CNPD ยังไม่ได้เปิดเผยคำวินิจฉัยอย่างเป็นทางการออกมา และจำนวนค่าปรับก็ยังอาจมีการเปลี่ยนแปลงภายหลังกระบวนการปรึกษาหารือกับหน่วยงานบังคับใช้กฎหมายในประเทศสมาชิกสหภาพยุโรป โดยจำนวนค่าปรับที่อาจสูงมากนี้มาจากการที่ GDPR กำหนดให้สามารถกำหนดค่าปรับได้สูงสุดร้อยละ 4 ของยอดรายได้สุทธิจากทั่วโลกของบริษัทนั้น ๆ ซึ่งรวมถึงรายได้ที่เกิดขึ้นนอกสหภาพยุโรปด้วย

              คดีนี้ของ Amazon อาจจะถือว่าเป็นคดีที่ถูกปรับสูงที่สุดนับตั้งแต่มีการบังคับใช้ GDPR โดยก่อนหน้านี้จำนวนค่าปรับสูงที่สุดคือคดีที่ CNIL ซึ่งเป็นหน่วยงานบังคับใช้ GDPR ของประเทศฝรั่งเศสสั่งปรับ Google เป็นเงิน 60 ล้านยูโรและ Amazon เป็นเงิน 35 ล้านยูโร เนื่องจากการใช้คุกกี้โดยไม่ชอบด้วยกฎหมาย (ปลายเดือนธันวาคม 2563)

            คงต้องรอติดตามคำวินิจฉัยฉบับจริงของ CNPD ว่าจะให้รายละเอียดคดีนี้อย่างไรและจำนวนค่าปรับสุดท้ายแล้วจะเป็นเท่าไหร่. 

บทความโดย...

ศุภวัชร์ มาลานนท์, CIPP/E

 Certified DPO, LexTech Consultant/GMI KMUTT

ชิโนภาส อุดมผล

Certified DPO, Optimum Solution Defined (OSD)