ผู้ใช้บริการมีสิทธิรู้ว่า 'ข้อมูล' ของตนเองถูกเปิดเผยหรือโอนไปอยู่ที่ใคร
วันที่ 12 ม.ค.2566 ศาลยุติธรรมแห่งสหภาพยุโรป ได้เผยแพร่คำวินิจฉัยคดี C-154/21 ที่ผู้ใช้บริการของ Österreichische Post มีคำร้องขอ (data subject request: DSR) ให้ผู้ให้บริการเปิดเผยข้อมูลส่วนบุคคลเกี่ยวกับตนเอง ว่าถูกเปิดเผยหรือโอนไปยังบุคคลใดบ้าง (access request)
ผู้ร้องขอกล่าวอ้างว่า Österreichische Post ในฐานะ “ผู้ควบคุมข้อมูลส่วนบุคคล” (data controller) มีหน้าที่ตามกฎหมายในการเปิดเผยข้อมูลดังกล่าวต่อผู้ใช้บริการในฐานะ “เจ้าของข้อมูลส่วนบุคคล” (data subject) ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (EU General Data Protection Regulation: GDPR)
ซึ่งกำหนดให้เจ้าของข้อมูลส่วนบุคคลมีสิทธิที่จะได้รับข้อมูลเกี่ยวกับผู้รับ (recipients) หรือประเภทของผู้รับ (categories of recipient) ซึ่งข้อมูลส่วนบุคคลของเขาถูกเปิดเผยหรือจะถูกเปิดเผย
ผู้ให้บริการตอบสนองต่อคำร้องขอของผู้ใช้บริการ โดยการให้ข้อมูลแบบไม่เฉพาะเจาะจงตัวผู้รับโอนข้อมูล กล่าวคือ ให้ข้อมูลเพียงว่า ผู้ให้บริการใช้ข้อมูลส่วนบุคคลตามขอบเขตที่กฎหมายอนุญาตในการดำเนินกิจกรรม
ในฐานะผู้จัดพิมพ์สมุดโทรศัพท์ (telephone directories) และได้เปิดเผยหรือโอนข้อมูลส่วนบุคคลเหล่านั้นแก่คู่ค้า เพื่อวัตถุประสงค์ทางการตลาด โดยไม่ได้ระบุตัวหน่วยงานหรือองค์กรที่รับโอนหรือเปิดเผยข้อมูลโดยเฉพาะเจาะจง
ผู้ใช้บริการรายดังกล่าว จึงได้ใช้สิทธิตามกฎหมายในการฟ้องต่อศาลออสเตรีย ที่มีเขตอำนาจเพื่อขอให้ศาลมีคำสั่งบังคับผู้ให้บริการเปิดเผยข้อมูลเกี่ยวกับผู้รับโอน อันเป็นสิทธิตามกฎหมายของตนเอง โดยกล่าวอ้างว่า “ทุกคนมีสิทธิที่จะรู้ว่าข้อมูลส่วนบุคคลของตนถูกเปิดเผยให้แก่บุคคลใดบ้าง”
ในระหว่างการพิจารณาคดี Österreichische Post ได้แจ้งให้ผู้ใช้บริการทราบรายละเอียดเพิ่มเติมว่า ข้อมูลส่วนบุคคลของเขาถูกส่งต่อไปยังลูกค้าของบริษัท รวมถึงผู้โฆษณาที่ซื้อขายผ่านทางไปรษณีย์ ร้านเครื่องเขียน บริษัทไอที ผู้ให้บริการรายชื่อผู้รับจดหมายและสมาคมต่าง ๆ
เช่น องค์กรการกุศล องค์กรไม่แสวงหาผลกำไร (NGOs) รวมถึงพรรคการเมือง เป็นต้น กล่าวคือเป็นการให้รายละเอียดเกี่ยวกับประเภทของผู้รับ (categories of recipient)
ศาลฎีกาของประเทศออสเตรีย (Oberster Gerichtshof) ได้ส่งคำร้องขอไปให้ศาลยุติธรรมแห่งสหภาพยุโรป (Court of Justice of the European Union) วินิจฉัยในปัญหาข้อกฎหมายตาม GDPR ว่า
เจ้าของข้อมูลส่วนบุคคลมีสิทธิทราบรายละเอียด โดยการระบุตัวเฉพาะเจาะจงของผู้รับโอนข้อมูลส่วนบุคคลหรือไม่ (specific recipients) หรือเพียงแค่ประเภทของผู้รับ (categories of recipient) ก็เพียงพอแล้ว
ศาลยุติธรรมแห่งสหภาพยุโรปได้วินิจฉัยว่า ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ในส่วนของการดำเนินการตามคำร้องขอของเจ้าของข้อมูลส่วนบุคคล โดยการให้ข้อมูลผู้รับที่แท้จริงแบบเฉพาะเจาะจง (specific recipients)
โดยมีข้อยกเว้นว่าในกรณีที่ยังไม่สามารถระบุผู้รับได้ หรือในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคล แสดงให้เห็นว่าคำขอนั้นไม่มีมูลความจริงอย่างชัดเจนหรือเป็นคำขอที่มากเกินไป ผู้ควบคุมข้อมูลส่วนบุคคลอาจระบุเฉพาะประเภทของผู้รับ (categories of recipient)
นอกจากนี้ ศาลยังชี้ให้เห็นด้วยว่าสิทธิในการขอเข้าถึง (right of access) ของเจ้าของข้อมูลส่วนบุคคลมีความจำเป็น เพื่อให้เจ้าของข้อมูลส่วนบุคคลสามารถใช้สิทธิอื่น ๆ ที่กฎหมายกำหนด
เช่น สิทธิขอแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง สิทธิขอลบ สิทธิขอให้ระงับการประมวลผล สิทธิขอคัดค้านการประมวลผล หรือสิทธิในการฟ้อง/ร้องเรียนเมื่อได้รับความเสียหาย สิทธิในการขอเข้าถึงจึงเป็นสิทธิขั้นพื้นฐานที่สำคัญที่สุดของผู้ใช้บริการทุกคนในฐานะเจ้าของข้อมูลส่วนบุคคลตาม GDPR
เพราะการที่เจ้าของข้อมูลส่วนบุคคลไม่สามารถรู้ว่าข้อมูลของตนเองอยู่ที่ใครหรือองค์กรใด เจ้าของข้อมูลส่วนบุคคลย่อมไม่สามารถใช้สิทธิใด ๆ ตามกฎหมายกับผู้รับโอนนั้นได้
จากแนวคำวินิจฉัยของศาลในคดีดังกล่าว ย่อมส่งผลให้องค์กรต่าง ๆ ในสหภาพยุโรปที่ต้องอยู่ภายใต้แนวทางการตีความของศาลสูงสุดของสหภาพฯ (30 ประเทศ) อาจจะต้องมีการปรับเปลี่ยน Privacy Governance ขององค์กรอย่างมีนัยสำคัญ
กล่าวคือ การที่องค์กรจะสามารถให้ข้อมูลลงไปในระดับ “การระบุตัวผู้รับโอนได้แบบเฉพาะเจาะจง” เพื่อสามารถให้ข้อมูลตามคำร้องขอใช้สิทธิ องค์กรต้องมีการสำรวจเส้นทางข้อมูลและจัดทำแผนผังข้อมูล (data Inventories, data mapping) อย่างละเอียดและบันทึกรายการกิจกรรมอย่างครบถ้วน (record of processing activities: ROPA)
เพราะหากไม่มีการดำเนินการดังกล่าวตั้งแต่ต้น ก็จะไม่สามารถตอบสนองต่อคำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลได้ตามกฎหมาย รวมถึงอาจจะต้องปรับปรุงรายละเอียดการการแจ้งและการจัดทำประกาศการคุ้มครองข้อมูลส่วนบุคคล (privacy notice) อีกด้วย
จากกรณีศึกษาข้างต้น หากเปรียบเทียบกับหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล และสิทธิของเจ้าของข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีข้อกฎหมายที่สอดคล้องกัน ดังนี้
(1) ในการเก็บรวบรวมข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบประเภทของบุคคลหรือหน่วยงานซึ่งข้อมูลส่วนบุคคลที่เก็บรวบรวมอาจจะถูกเปิดเผย (มาตรา 23(4) privacy notice)
(2) เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึง และขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตน ซึ่งอยู่ในความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล หรือขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลดังกล่าวที่ตนไม่ได้ให้ความยินยอม และผู้ควบคุมข้อมูลส่วนบุคคลต้องปฏิบัติตามคำขอ
จะปฏิเสธคำขอได้เฉพาะในกรณีที่เป็นการปฏิเสธตามกฎหมายหรือคำสั่งศาล และการเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลนั้นจะส่งผลกระทบที่อาจก่อให้เกิดความเสียหายต่อสิทธิและเสรีภาพของบุคคลอื่น (มาตรา 30 right of access)
(3) ให้ผู้ควบคุมข้อมูลส่วนบุคคลบันทึกรายการ “การใช้หรือเปิดเผยข้อมูลส่วนบุคคลให้แก่บุคคลหรือนิติบุคคลที่ได้รับข้อมูลส่วนบุคคล” (มาตรา 39(6) ROPA)
สรุป คือ ตามกฎหมาย ข้อมูลส่วนบุคคลโอนได้เปิดเผยได้ (ตามเงื่อนไขความชอบด้วยกฎหมาย) แต่ต้องบอกเจ้าของข้อมูลส่วนบุคคลได้ด้วยว่า “ข้อมูลเขาอยู่ที่ใครบ้าง”
ที่มา : Court of Justice of the European Union. Judgment of the Court in Case C-154/21. PRESS RELEASE No 4/23, Luxembourg, 12 January 2023. https://curia.europa.eu/jcms/upload/docs/application/pdf/2023-01/cp230004en.pdf
ทัศนะ Tech, Law and Security
ปัณฑารีย์ อวยจินดา
ระวีวรรณ ขันติวิริยะพาณิช
บริษัท ดีพีโอเอเอเอส จำกัด