ผู้ใช้บริการมีสิทธิรู้ว่าข้อมูลถูกโอนไปหรืออยู่ที่ใคร

เมื่อวันที่ 12 มกราคม 2566 ที่ผ่านมา ศาลยุติธรรมแห่งสหภาพยุโรป (Court of Justice of the European Union) ได้เผยแพร่คำวินิจฉัยคดี C-154/21 ซึ่งเป็นคดีที่ผู้ใช้บริการของ Österreichische Post มีคำร้องขอ (data subject request: DSR) ให้ผู้ให้บริการเปิดเผยข้อมูลส่วนบุคคลเกี่ยวกับตนเองว่าข้อมูลส่วนบุคคลของตนถูกเปิดเผยหรือโอนไปยังบุคคลใดบ้าง (access request) โดยกล่าวอ้างว่า Österreichische Post ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล (data controller) มีหน้าที่ตามกฎหมายในการเปิดเผยข้อมูลดังกล่าวต่อผู้ใช้บริการในฐานะ เจ้าของข้อมูลส่วนบุคคล (data subject)  ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (EU General Data Protection Regulation: GDPR) ซึ่งกำหนดให้เจ้าของข้อมูลส่วนบุคคลมีสิทธิที่จะได้รับข้อมูลเกี่ยวกับผู้รับ (recipients) หรือประเภทของผู้รับ (categories of recipient) ซึ่งข้อมูลส่วนบุคคลของเขาถูกเปิดเผยหรือจะถูกเปิดเผย  

ผู้ให้บริการตอบสนองต่อคำร้องขอของผู้ใช้บริการโดยการให้ข้อมูลแบบไม่เฉพาะเจาะจงตัวผู้รับโอนข้อมูล กล่าวคือ ให้ข้อมูลเพียงว่าผู้ให้บริการใช้ข้อมูลส่วนบุคคลตามขอบเขตที่กฎหมายอนุญาตในการดำเนินกิจกรรมในฐานะผู้จัดพิมพ์สมุดโทรศัพท์ (telephone directories) และได้เปิดเผยหรือโอนข้อมูลส่วนบุคคลเหล่านั้นแก่คู่ค้าเพื่อวัตถุประสงค์ทางการตลาด โดยไม่ได้ระบุตัวหน่วยงานหรือองค์กรที่รับโอนหรือเปิดเผยข้อมูลโดยเฉพาะเจาะจง ผู้ใช้บริการรายดังกล่าวจึงได้ใช้สิทธิตามกฎหมายในการฟ้องต่อศาลออสเตรียที่มีเขตอำนาจเพื่อขอให้ศาลมีคำสั่งบังคับให้ผู้ให้บริการเปิดเผยข้อมูลเกี่ยวกับผู้รับโอนอันเป็นสิทธิตามกฎหมายของตนเอง โดยกล่าวอ้างว่า ทุกคนมีสิทธิที่จะรู้ว่าข้อมูลส่วนบุคคลของตนถูกเปิดเผยให้แก่บุคคลใดบ้าง

ในระหว่างการพิจารณาคดี Österreichische Post ได้แจ้งให้ผู้ใช้บริการทราบรายละเอียดเพิ่มเติมว่าข้อมูลส่วนบุคคลของเขาถูกส่งต่อไปยังลูกค้าของบริษัท รวมถึงผู้โฆษณาที่ซื้อขายผ่านทางไปรษณีย์ ร้านเครื่องเขียน บริษัทไอที ผู้ให้บริการรายชื่อผู้รับจดหมายและสมาคมต่าง ๆ เช่น องค์กรการกุศล องค์กรไม่แสวงหาผลกำไร (NGOs) รวมถึงพรรคการเมือง เป็นต้น กล่าวคือเป็นการให้รายละเอียดเกี่ยวกับประเภทของผู้รับ (categories of recipient)

ศาลฎีกาของประเทศออสเตรีย (Oberster Gerichtshof) ได้ส่งคำร้องขอไปให้ศาลยุติธรรมแห่งสหภาพยุโรปวินิจฉัยในปัญหาข้อกฎหมายตาม GDPR ว่า เจ้าของข้อมูลส่วนบุคคลมีสิทธิทราบรายละเอียดโดยการระบุตัวเฉพาะเจาะจงของผู้รับโอนข้อมูลส่วนบุคคลหรือไม่ (specific recipients) หรือเพียงแค่ประเภทของผู้รับ (categories of recipient) ก็เพียงพอแล้ว

ศาลยุติธรรมแห่งสหภาพยุโรปได้วินิจฉัยว่า ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ในส่วนของการดำเนินการตามคำร้องขอของเจ้าของข้อมูลส่วนบุคคลโดยการให้ข้อมูลผู้รับที่แท้จริงแบบเฉพาะเจาะจง (specific recipients) โดยมีข้อยกเว้นว่าในกรณีที่ยังไม่สามารถระบุผู้รับได้หรือในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลแสดงให้เห็นว่าคำขอนั้นไม่มีมูลความจริงอย่างชัดเจนหรือเป็นคำขอที่มากเกินไป ผู้ควบคุมข้อมูลส่วนบุคคลอาจระบุเฉพาะประเภทของผู้รับ (categories of recipient)

นอกจากนี้ ศาลยังชี้ให้เห็นด้วยว่าสิทธิในการขอเข้าถึง (right of access) ของเจ้าของข้อมูลส่วนบุคคลมีความจำเป็นเพื่อให้เจ้าของข้อมูลส่วนบุคคลสามารถใช้สิทธิอื่น ๆ ที่กฎหมายกำหนด  เช่น สิทธิขอแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง สิทธิขอลบ สิทธิขอให้ระงับการประมวลผล สิทธิขอคัดค้านการประมวลผล หรือสิทธิในการฟ้อง/ร้องเรียนเมื่อได้รับความเสียหาย สิทธิในการขอเข้าถึงจึงเป็นสิทธิขั้นพื้นฐานที่สำคัญที่สุดของผู้ใช้บริการทุกคนในฐานะเจ้าของข้อมูลส่วนบุคคลตาม GDPR เพราะการที่เจ้าของข้อมูลส่วนบุคคลไม่สามารถรู้ว่าข้อมูลของตนเองอยู่ที่ใครหรือองค์กรใด เจ้าของข้อมูลส่วนบุคคลย่อมไม่สามารถใช้สิทธิใด ๆ ตามกฎหมายกับผู้รับโอนนั้นได้

จากแนวคำวินิจฉัยของศาลในคดีดังกล่าว ย่อมส่งผลให้องค์กรต่าง ๆ  ในสหภาพยุโรปที่ต้องอยู่ภายใต้แนวทางการตีความของศาลสูงสุดของสหภาพฯ (30 ประเทศ) อาจจะต้องมีการปรับเปลี่ยน Privacy Governance ขององค์กรอย่างมีนัยสำคัญ กล่าวคือ การที่องค์กรจะสามารถให้ข้อมูลลงไปในระดับ การระบุตัวผู้รับโอนได้แบบเฉพาะเจาะจง เพื่อสามารถให้ข้อมูลตามคำร้องขอใช้สิทธิ องค์กรต้องมีการสำรวจเส้นทางข้อมูลและจัดทำแผนผังข้อมูล (data Inventories, data mapping) อย่างละเอียดและบันทึกรายการกิจกรรมอย่างครบถ้วน (record of processing activities: ROPA) เพราะหากไม่มีการดำเนินการดังกล่าวตั้งแต่ต้น ก็จะไม่สามารถตอบสนองต่อคำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลได้ตามกฎหมาย รวมถึงอาจจะต้องปรับปรุงรายละเอียดการการแจ้งและการจัดทำประกาศการคุ้มครองข้อมูลส่วนบุคคล (privacy notice) อีกด้วย

จากกรณีศึกษาข้างต้น หากเปรียบเทียบกับหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคลและสิทธิของเจ้าของข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีข้อกฎหมายที่สอดคล้องกัน ดังนี้


(1)ในการเก็บรวบรวมข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบประเภทของบุคคลหรือหน่วยงานซึ่งข้อมูลส่วนบุคคลที่เก็บรวบรวมอาจจะถูกเปิดเผย (มาตรา 23(4) privacy notice)

(2)เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตนซึ่งอยู่ในความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล หรือขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลดังกล่าวที่ตนไม่ได้ให้ความยินยอม และผู้ควบคุมข้อมูลส่วนบุคคลต้องปฏิบัติตามคำขอจะปฏิเสธคำขอได้เฉพาะในกรณีที่เป็นการปฏิเสธตามกฎหมายหรือคำสั่งศาล และการเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลนั้นจะส่งผลกระทบที่อาจก่อให้เกิดความเสียหายต่อสิทธิและเสรีภาพของบุคคลอื่น (มาตรา 30 right of access)

(3)ให้ผู้ควบคุมข้อมูลส่วนบุคคลบันทึกรายการ การใช้หรือเปิดเผยข้อมูลส่วนบุคคลให้แก่บุคคลหรือนิติบุคคลที่ได้รับข้อมูลส่วนบุคคล (มาตรา 39(6) ROPA)

สรุป คือ ตามกฎหมาย ข้อมูลส่วนบุคคลโอนได้เปิดเผยได้ (ตามเงื่อนไขความชอบด้วยกฎหมาย) แต่ต้องบอกเจ้าของข้อมูลส่วนบุคคลได้ด้วยว่า ข้อมูลเขาอยู่ที่ใครบ้าง.โดย


ปัณฑารีย์ อวยจินดา
ระวีวรรณ ขันติวิริยะพานิช
บริษัท ดีพีโอเอเอเอส จำกัด

 cr: https://www.bangkokbiznews.com/tech/gadget/1052490