สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เผยแพร่คำพิจารณาและคำสั่งบริษัทประกัน ขัดกฎหมาย PDPA กรณีศึกษา มีผู้ร้องเรียน ได้รับความเดือดร้อนรำคาญใจจากการโทรขายประกัน โดยไม่แจ้งว่าได้ข้อมูลส่วนตัวตนมาจากที่ใด
นับตั้งแต่มีการบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 PDPA ตั้งแต่เดือน มิ.ย.2565 ที่ผ่านมา ก็มีการจับตามาตลอดว่าหน้าตาการบังคับใช้กฎหมายเพื่อปกป้องสิทธิ และคุ้มครองข้อมูลส่วนบุคคลในประเทศไทย (ทุกสัญชาติในดินแดนไทย) จะเป็นเช่นไร หลังจากมีการตั้งคณะกรรมการชุดใหญ่ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) และองคาพยพทางกฎหมายที่ใช้อำนาจพิจารณาตัดสินอย่างคณะกรรมการผู้เชี่ยวชาญด้านต่างๆ เพื่อช่วยพิจารณาข้อพิพาทและตัดสินกรณี “ละเมิด” สิทธิในข้อมูลส่วนบุคคลของประชาชน
- สถิติหวย ตรวจหวย ผลสลากกินแบ่งรัฐบาล งวด 16 พ.ย. ย้อนหลัง 10 ปี
- ตรวจหวย ผลสลากกินแบ่งรัฐบาล ตรวจผลรางวัล งวด 16 พ.ย. 2566
- ถ่ายทอดสดหวย ตรวจผลรางวัล ผลสลากกินแบ่งรัฐบาลวันนี้ (16 พ.ย. 66)
ล่าสุด สำนักงาน สคส. ได้เผยแพร่คำพิจารณาและคำสั่งที่น่าสนใจ เพราะแสดงให้เห็นการใช้อำนาจภายใต้กฎหมายดังกล่าว คือ กรณีมีผู้ไปร้องเรียน สคส. เรื่อง “โดนเสนอขายประกันโดยไม่ได้รับความยินยอม” และบริษัทประกันได้เก็บข้อมูลของผู้นั้นไว้ก่อนจะมีการประกาศบังคับใช้ PDPA
“ประชาชาติธุรกิจ” สรุปประเด็นดังนี้
คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ได้รับร้องเรียนจาก นาย A ว่า บริษัท B ได้โทรมาเสนอขายประกันโดยไม่ได้รับความยินยอม นาย A จึงได้สอบถามว่านำข้อมูลส่วนตัวของเขามาจากไหน? และได้แจ้งระงับการติดต่อทุกช่องทางไปแล้ว แต่บริษัท B ยังเพิกเฉยไม่ทำตาม ทำให้นาย A เดือดร้อนรำคาญใจ จึงมาร้องว่าพฤติการณ์ดังกล่าวขัด PDPA หรือไม่
คณะกรรมการฯ จึงได้ให้บริษัท B มาชี้แจง พบว่า ข้อมูลเบอร์โทรศัพท์ของนาย A ได้มาจากการซื้อขายข้อมูลทางการตลาดจากบริษัท C อีกแห่งหนึ่ง ซึ่งนาย A ให้ไว้เพราะจะเข้าร่วมแคมเปญการตลาดกับบริษัท C และให้ไว้ตั้งแต่ปี 2553 ก่อนการประกาศบังคับใช้ PDPA ในปี 2565
บริษัท B นาย A มาก่อนปี 2565 จึงไม่ได้แจ้งว่ามีการรวบรวมจากแหล่งอื่นให้นาย A ทราบ เนื่องจากเห็นว่าได้มาก่อนปี 2565
คณะกรรมการฯ พิจารณาแล้วเห็นว่า นาย A มีฐานะเป็นเจ้าของข้อมูลส่วนบุคคล ซึ่งถูกบริษัท B เก็บรวบรวม-ใช้ข้อมูลฯ โดยไม่ได้รับความยินยอม ตาม มาตรา 27 ของ PDPA แม้ข้อมูลดังกล่าวจะถูกรวบรวมก่อนการบังคับใช้ PDPA การเก็บข้อมูลดังกล่าวยังต้องปฏิบัติตามมาตรา 25 วรรคหนึ่ง คือ
“ห้ามมิให้ผู้ควบคุมข้อมูลส่วนบุคคลทำการเก็บรวบรวมข้อมูลส่วน บุคคลจากแหล่งอื่นที่ไม่ใช่จากเจ้าของข้อมูลส่วนบุคคลโดยตรง เว้นแต่ (1) ได้แจ้งถึงการเก็บรวบรวมข้อมูลส่วน บุคคลจากแหล่งอื่นให้แก่เจ้าของข้อมูลส่วนบุคคลทราบโดยไม่ชักช้า แต่ต้องไม่เกินสามสิบวันนับแต่วันที่เก็บ รวบรวมและได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล”
สำหรับกรณีนี้ บริษัท B เก็บรวบรวมและใช้ข้อมูลส่วนบุคคลนั้นต่อไปได้ตามวัตถุประสงค์เดิม โดยจะต้องกำหนดวิธีการยกเลิกความยินยอม และเผยแพร่ประชาสัมพันธ์ให้เจ้าของข้อมูลฯ ที่ไม่ประสงค์ให้เก็บรวบรวมและใช้ข้อมูลส่วนบุคคลของตน สามารถแจ้งยกเลิกความยินยอม “ได้โดยง่าย” และมี “สิทธิ” ขอแก้ไขหรือลบข้อมูลส่วนบุคคล ตามมาตรา 33
แต่ บริษัท B มิได้ดำเนินการตามที่ข้างต้น การกระทำดังกล่าวของ บริษัท B ซึ่งมีฐานะเป็นผู้ควบคุมข้อมูลส่วนบุคคล จึงถือว่า “ไม่ปฏิบัติตาม” พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562
ดังนั้น คณะกรรมการฯ จึงมีคำสั่ง ให้ บริษัท B ดำเนินการดังนี้
-
- แจ้งถึงการเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่น ให้แก่ “เจ้าของข้อมูล” ทราบโดยไม่ชักช้า แต่ต้องไม่เกิน 30 วัน นับแต่วันที่เก็บรวบรวมและได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ตามมาตรา 25
- ลบข้อมูลส่วนบุคคลของ นาย A (ผู้ร้องเรียน)
- กระทำการใดเพื่อระงับความเสียหายนั้นนับแต่วันที่ได้รับคำสั่ง
- กำหนดมาตรการมิให้เกิดความผิดพลาดในลักษณะเดียวกันนี้
- กำหนดแนวทางและปฏิบัติตามบทบัญญัติมาตรา 30, 35, 36, 37(3), 39 และมาตรา 40
- เมื่อได้ดำเนินการแล้ว ให้รายงานผลการปฏิบัติ สำนักงาน สคส. ภายใน 30 วันนับแต่วันที่ได้รับคำสั่ง
จากรณีศึกษาดังกล่าว ของนาย A และ บริษัท B แสดงให้เห็นว่า แม้ข้อมูลส่วนบุคคลของนาย A จะให้ไว้ตั้งแต่เมื่อใดก็ตาม และต่อให้มีการซื้อขายเปลี่ยนมือไป นาย A และประชาชนทั่วไปมี “สิทธิ” ที่จะ “ได้รับแจ้ง” และขอความยินยอมเสมอ รวมถึงขอให้ลบและแก้ไขข้อมูลนั้น ๆ ได้
นอกจากนี้ จะทำให้บริษัทเอกชนที่ทำการรวบรวมข้อมูลส่วนบุคคลของประชาชนจำนวนมาก ต้องพิจารณากรณีนี้ว่าจะต้องดำเนินการอย่างไรกับข้อมูลที่ “ได้จากแหล่งอื่น” ไม่ว่าด้วยการซื้อขายหรือการตลาด จะแจ้งเจ้าของข้อมูล ลบ หรือเพิกเฉย ยังคงเป็นเรื่องที่น่าสนใจและจะเป็นวิธีการจัดการข้อมูลส่วนตัว และวิธีคิดเกี่ยวกับสิทธิในข้อมูลอย่างมากทีเดียว
