กรณีศึกษาจากคำสั่งคณะกรรมการผู้เชี่ยวชาญตาม PDPA

กรณีศึกษาจากคำสั่งคณะกรรมการผู้เชี่ยวชาญตาม PDPA

ตามที่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) เผยแพร่สรุปย่อคำสั่งของคณะกรรมการผู้เชี่ยวชาญ ซึ่งมีอำนาจหน้าที่ในการพิจารณาเรื่องร้องเรียนตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 (PDPA)

รวมถึงการตรวจสอบการกระทำใดๆ ของผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งลูกจ้างหรือผู้รับจ้าง ที่ก่อให้เกิดความเสียหายแก่เจ้าของข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด ผ่านช่องทาง Facebook PDPC Thailand 

เอกสารเผยแพร่ดังกล่าว เป็นประเด็นข้อร้องเรียนเกี่ยวกับธุรกิจธนาคารและธุรกิจประกันภัย ดังนี้

กรณีที่ 1 การขอความยินยอมที่มีลักษณะไม่ให้ความอิสระ : ผู้ให้บริการแอปพลิเคชันขอความยินยอม ที่มีลักษณะไม่ให้ความอิสระแก่ผู้ร้องในการให้ความยินยอม และมีความประสงค์ขอถอนความยินยอม 

ตามข้อเท็จจริงที่เกิดขึ้นจากการที่ผู้ถูกร้องเรียน ซึ่งเป็นผู้ให้บริการแอปพลิเคชัน Mobile Banking มีการขอความยินยอมที่มีลักษณะไม่ให้ความอิสระแก่ผู้ร้องเรียนในการให้ความยินยอมซึ่งไม่เป็นไปตามที่กฎหมายกำหนด

 

ดังนั้น ผู้ร้องเรียนมีความประสงค์ให้ผู้ถูกร้องเรียนแก้ไขให้ถูกต้องตามกฎหมาย และต้องการขอถอนความยินยอมที่เคยให้ไว้แก่ผู้ถูกร้องเรียนรวมถึงบริษัทในเครือที่เกี่ยวข้อง 

ต่อมา ผู้ถูกร้องเรียนได้มีการปรับปรุงแก้ไขการขอความยินยอมในการเข้าใช้งานแอปพลิเคชัน Mobile Banking ดังกล่าวให้สอดคล้องกับข้อกำหนดของกฎหมาย และตรงตามความต้องการของผู้ร้องเรียนแล้ว

ผู้ร้องเรียนจึงขอถอนคำร้องเรียน คณะกรรมการผู้เชี่ยวชาญจึงมีคำสั่งไม่รับเรื่องร้องเรียน เนื่องจากคำร้องเรียนนี้เป็นคำร้องเรียนที่ผู้ร้องเรียนประสงค์ขอถอนคำร้องเรียน และผู้ถูกร้องเรียนได้ปฏิบัติตามคำขอของผู้ร้องเรียนเป็นที่เรียบร้อยแล้ว

ผู้เขียนมีข้อสังเกตว่า ในคดีนี้คณะกรรมการผู้เชี่ยวชาญยังไม่ได้วินิจฉัยในปัญหาข้อกฎหมายและข้อเท็จจริงว่า การบังคับให้ความยินยอมในลักษณะดังกล่าวขัดต่อบทบัญญัติของมาตรา 19 PDPA ที่กำหนดให้ “ในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลต้องคำนึงอย่างถึงที่สุดในความเป็นอิสระของเจ้าของข้อมูลส่วนบุคคลในการให้ความยินยอม” หรือไม่

กรณีที่ 2 การเสนอขายประกันภัยโดยไม่ได้รับความยินยอม : ผู้ร้องเรียนได้รับโทรศัพท์จากบริษัทประกันภัยเพื่อเสนอขายประกันภัยโดยไม่ได้รับความยินยอม และทราบว่ามีการขายข้อมูลส่วนบุคคลก่อน PDPA จะมีผลบังคับใช้ 

ตามข้อเท็จจริงที่เกิดขึ้นจากการที่ผู้ร้องเรียนได้รับการติดต่อจากผู้ถูกร้องเรียนทางโทรศัพท์เพื่อเสนอขายประกันภัยโดยมิได้รับความยินยอม

ผู้ร้องเรียนจึงต้องการตรวจสอบว่าผู้ถูกร้องเรียนนำข้อมูลส่วนบุคคลของตนมาจากแหล่งใดและแจ้งระงับการติดต่อในทุกช่องทางแล้ว แต่ผู้ถูกร้องเรียนยังคงเพิกเฉยมิได้ดำเนินการใดๆ ผู้ร้องเรียนได้รับความเดือดร้อนรำคาญ จึงร้องเรียนมายังคณะกรรมการผู้เชี่ยวชาญ 

ผู้ถูกร้องเรียนชี้แจงข้อเท็จจริงว่า ได้ข้อมูลเบอร์โทรศัพท์มาจากสัญญาซื้อขายข้อมูลทางการตลาดจากบริษัทแห่งหนึ่งตั้งแต่วันที่ 30 ส.ค.2553 และได้ใช้ข้อมูลนั้นตลอดมา คณะกรรมการผู้เชี่ยวชาญได้พิจารณาคำร้องแล้วมีคำสั่งให้ผู้ถูกร้องเรียนดำเนินการ ดังนี้

(1) แจ้งถึงการเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่น ให้แก่เจ้าของข้อมูลส่วนบุคคลทราบโดยไม่ชักช้าแต่ต้องไม่เกินสามสิบวัน นับแต่วันที่เก็บรวบรวมและได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ตามมาตรา 25

(2) ลบข้อมูลส่วนบุคคลของผู้ร้องเรียนตามมาตรา 33

(3) กระทำการใดเพื่อระงับความเสียหายนั้นนับแต่วันที่ได้รับคำสั่ง

(4) กำหนดมาตรการมิให้เกิดความผิดพลาดในลักษณะเดียวกันนี้

(5) กำหนดแนวทางและปฏิบัติตามบทบัญญัติมาตรา 30 (ขอเข้าถึงและขอรับสำเนา), มาตรา 35 (ดำเนินการให้ข้อมูลส่วนบุคคลนั้นถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด), มาตรา 36 (ขอให้แก้ไขข้อมูลให้ถูกต้อง), มาตรา 37 (3) (ลบทำลายข้อมูลเมื่อพ้นกำหนดระยะเวลาการเก็บรักษา), มาตรา 39 (จัดทำบันทึกรายการ) และมาตรา 40 (หน้าที่ผู้ประมวลผลข้อมูลส่วนบุคคล)

(6) เมื่อได้ดำเนินการแล้วให้รายงานผลการปฏิบัติต่อ สคส.ภายใน 30 วันนับแต่วันที่ได้รับคำสั่ง

โดยให้เหตุผลในสาระสำคัญว่า เนื่องจากการที่ผู้ถูกร้องเรียนได้เก็บรวบรวมข้อมูลส่วนบุคคลมาก่อนที่ PDPA จะมีผลบังคับใช้ซึ่งเข้ากรณีตามมาตรา 95 โดยภายหลังที่กฎหมายมีผลบังคับใช้แล้ว ผู้ถูกร้องเรียนเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลนั้นต่อไปได้ตามวัตถุประสงค์เดิม 

โดยจะต้องกำหนดวิธีการยกเลิกความยินยอม และเผยแพร่ประชาสัมพันธ์ให้เจ้าของข้อมูลส่วนบุคคลที่ไม่ประสงค์ให้ผู้ควบคุมข้อมูลฯ เก็บรวบรวมและใช้ข้อมูลส่วนบุคคลดังกล่าว สามารถแจ้งยกเลิกความยินยอมได้โดยง่าย และมีสิทธิขอแก้ไขหรือลบข้อมูลส่วนบุคคลตามมาตรา 33 แต่ผู้ถูกร้องเรียนมิได้ดำเนินการใดๆ จึงเป็นการไม่ปฏิบัติตาม PDPA

จากคำสั่งของคณะกรรมการผู้เชี่ยวชาญทั้งสองกรณีดังกล่าว โดยเฉพาะกรณีที่สองทำให้เห็นแนวทางการบังคับใช้กฎหมายที่มีผลในทางปฏิบัติและเป็นการกำหนดหน้าที่ขององค์กรต่างๆ ที่เกี่ยวเนื่องกับการบริหารจัดการข้อมูลส่วนบุคคลมากขึ้น โดยเฉพาะหน้าที่ในการจัดให้มีมาตรการต่างๆ เพื่อให้เจ้าของข้อมูลส่วนบุคคล/ผู้ใช้บริการสามารถใช้สิทธิต่างๆ ของตนเองได้ตามกฎหมาย

*ที่มา : คำสั่งคณะกรรมการผู้เชี่ยวชาญเรื่องร้องเรียนเกี่ยวกับประเด็นกฎหมายคุ้มครองข้อมูลส่วนบุคคล ประเภทธุรกิจธนาคาร และประเภทธุรกิจประกันภัย.