เมื่อวันที่ 15 กันยายน 2565 ที่ผ่านมา Ireland Data Protection Commission (“DPC”) ได้เผยแพร่คำสั่งลงโทษปรับ Meta Platforms Ireland Limited (IG:Instagram) เป็นเงินรวม 405 ล้านยูโร ต่อกรณีการประมวลผลข้อมูลส่วนบุคคลของผู้เยาว์ที่ใช้ Instagram ในสหภาพยุโรปโดยไม่ชอบด้วยกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป หรือ General Data Protection Regulation (“GDPR”)
การไต่สวนการกระทำความผิดดังกล่าวเริ่มต้นขึ้นในวันที่ 21 กันยายน 2563 โดยมี DPC เป็นผู้มีอำนาจหลักในการดำเนินการไต่สวนและกำหนดมาตรการลงโทษ Meta Platforms Ireland Limited เนื่องจากเป็นประเทศที่ถือว่า Meta มีสำนักงานใหญ่ตั้งอยู่ในสภาพยุโรป
คำวินิจฉัยของ DPC ลงวันที่ 2 กันยายน 2565 แสดงให้เห็นว่า Meta Ireland กระทำผิด GDPR ในหลาย ๆ กรณีสำหรับการประมวลผลข้อมูลส่วนบุคคลของผู้เยาว์ในส่วนของ “การเปิดเผยอีเมลและหมายเลขโทรศัพท์ของผู้เยาว์เป็นค่าสาธารณะ (ค่าเริ่มต้น) ในการเปิดบัญชี”
การเปิดเผยข้อมูลดังกล่าวไม่สอดคล้องกับ GDPR ที่กำหนดให้เป็นหน้าที่ของ Meta Ireland ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลต้องปฏิบัติ ได้แก่
1) การไม่มีฐานทางกฎหมายในการเปิดเผยข้อมูลส่วนบุคคล
2) ความไม่โปร่งใสในการแจ้งเงื่อนไขและวัตถุประสงค์การประมวลผลข้อมูลส่วนบุคคลของผู้เยาว์ (Privacy Notice)
3) ไม่ปฏิบัติให้สอดคล้องกับข้อกำหนดเรื่อง Data Protection By Design and By Default
4) ไม่จัดทำรายงานผลกระทบด้านการประเมินความเสี่ยง (Data Protection Impact Assessment: DPIA)
จากการกระทำความผิดต่อบทบัญญัติของ GDPR ในหลาย ๆ หน้าที่ ทำให้จำนวนค่าปรับในคดีนี้มีจำนวนที่สูงมาก และสูงเป็นอันดับสองรองจากคดี Amazon ที่ถูกปรับโดย Luxembourg Data Protection Authority เป็นจำนวน 746 ล้านยูโร
หนึ่งในข้อกล่าวหาที่ Meta Ireland กระทำผิด คือ การไม่มีฐานการประมวลผลที่ชอบด้วยกฎหมาย ซึ่งเป็นกรณีที่น่าสนใจในแง่การดำเนินการทางธุรกิจ เนื่องจากเป็นต้นทางของการนำเข้ามา (เก็บรวมรวม) การใช้ และการเปิดเผยข้อมูลส่วนบุคคล
ในการประมวลผลข้อมูลส่วนบุคคลของผู้เยาว์ Meta Ireland ใช้ฐานการประมวลผล 2 ฐาน คือ “สัญญา” (contract) และ“ประโยชน์โดยชอบด้วยกฎหมาย” (legitimate interest) กรณีใดกรณีหนึ่ง
หากเป็นกรณีที่ผู้เยาว์ไม่มีความสามารถตามกฎหมายที่จะทำสัญญาใช้บริการได้ด้วยตนเอง Meta Ireland จะใช้ฐานประโยชน์โดยชอบด้วยกฎหมายในการประมวลผลข้อมูลส่วนบุคคลของผู้เยาว์และการเปิดเผยข้อมูลการติดต่อของผู้เยาว์ ได้แก่ อีเมลและหมายเลขโทรศัพท์เป็นค่าสาธารณะ (ค่าเริ่มต้น) ในการเปิดบัญชี
ในการสมัครใช้บัญชีของ Instagram ข้อตกลงการใช้กำหนดว่า “การที่ท่านเปิดบัญชี ท่านในฐานะเจ้าของข้อมูลส่วนบุคคลได้ตกลงตาม Instagram Term of Use” โดยในส่วนของ Instagram Term of Use ข้อที่ 1. ได้กำหนดไว้ว่า
“เพื่อให้บริการที่ออกแบบเฉพาะรายเพื่อให้โอกาสการสร้าง การเชื่อมต่อ การสื่อสาร การค้นพบ และการแลกเปลี่ยน…ระหว่างผู้ใช้ Instagram”
ซึ่ง Meta Ireland ถือว่าผู้ใช้บัญชี Instagram ได้ตกลงตามเงื่อนไขการใช้เป็นการเข้าทำสัญญากับ Meta Ireland แล้ว ทำให้สามารถ “เปิดเผยข้อมูลการติดต่อของผู้เยาว์” ได้เนื่องจาก เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญา” เพื่อให้ผู้ใช้บริการสามารถสื่อสาร ค้นพบ และแลกเปลี่ยน…ระหว่างผู้ใช้ Instagram
อย่างไรก็ตาม DPC ภายหลังการวินิจฉัยตัดสินของ EDPB ให้ความเห็นว่า การเปิดเผยข้อมูลการติดต่อของผู้เยาว์ไม่ถือว่าเป็นส่วนหนึ่งที่เป็นองค์ประกอบที่จำเป็นของการดำเนินการตาม Instagram Term of Use แม้ว่าจะมีข้อตกลง/สัญญาระหว่างกัน
แต่ข้อตกลงดังกล่าวไม่ครอบคลุมถึงการที่ต้องเปิดเผยข้อมูลการติดต่อของผู้เยาว์ Meta Ireland จึงไม่สามารถกล่าวอ้างได้ว่าเพราะมีความผูกพันตามสัญญาจึงสามารถใช้สิทธิในการเปิดเผยข้อมูลการติดต่อ
การตีความการดำเนินการใด ๆ ต่อข้อมูลส่วนบุคคลเพื่อให้สามารถบรรลุวัตถุประสงค์ตามสัญญาต้องเป็นการดำเนินการที่มีความจำเป็นอย่างแท้จริง
ส่วนฐาน “ประโยชน์โดยชอบด้วยกฎหมาย” (legitimate interest: LI) ถูกใช้ในกรณีที่ผู้เยาว์ยังไม่มีความสามารถตามเงื่อนไขที่กฎหมายของแต่ละรัฐสมาชิกกำหนด (ไม่ผ่านเกณฑ์อายุ)
ในกรณีนี้ Meta Ireland เห็นว่าบริษัทสามารถเปิดเผยข้อมูลดังกล่าวได้เนื่องจากเป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของ Meta Ireland หรือของบุคคลหรือนิติบุคคลอื่น และประโยชน์ดังกล่าวมีความสำคัญมากกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล
การกล่าวอ้าง “ประโยชน์โดยชอบด้วยกฎหมาย” มีลักษณะเป็นการบังคับฝ่ายเดียวเพื่อให้องค์กรมีความชอบธรรมในการประมวลผลข้อมูลส่วนบุคคล
ตามแนวทางปฏิบัติของ GDPR กำหนดให้องค์กรที่จะใช้ข้อกล่าวอ้างดังกล่าวในการประมวลผลข้อมูลส่วนบุคคล ต้องดำเนินการประเมินผลกระทบต่อสิทธิและเสรีภาพของบุคคลเสียก่อน หรือที่รู้จักในชื่อ Legitimate Interest Assessment: LIA ซึ่งประกอบด้วยการพิจารณาองค์ประกอบ 3 ประการ ซึ่งในคดีนี้ Meta Ireland ไม่ผ่านเกณฑ์ LIA กล่าวคือ
เมื่อไม่ผ่านเกณฑ์การทำ LIA แม้เพียงข้อหนึ่งข้อใดในสามข้อ ก็ทำให้องค์กรไม่สามารถใช้ฐาน “ประโยชน์โดยชอบด้วยกฎหมาย” ในการประมวลผลข้อมูลส่วนบุคคล
ดังนั้น เมื่อฐานการประมวลผลทั้ง 2 ฐานที่ Meta Ireland ใช้ในการเปิดเผยข้อมูลการติดต่อไม่ชอบด้วยกฎหมาย จึงเท่ากับว่าองค์กรประมวลผลข้อมูลส่วนบุคคลโดยไม่ชอบด้วยกฎหมาย
มีข้อน่าสังเกตว่า หาก Meta Ireland จะเปิดเผยข้อมูลการติดต่อเป็นสาธารณะ กรณีนี้อาจมีความจำเป็นต้องใช้ช่องทางการขอ “ความยินยอม” เพื่อให้สามารถเปิดเผยข้อมูลได้ แต่ความยินยอมดังกล่าวต้องขอจากผู้ใช้อำนาจทางปกครองที่มีอำนาจกระทำการแทนผู้เยาว์
นี่อาจเป็นเหตุผลว่าทำไม Meta Ireland หลีกเลี่ยงการใช้ช่องทางความยินยอม เนื่องจากจะต้องจัดทำช่องทางในการสื่อสารและขอความยินยอมจากผู้ปกครองตามเงื่อนไขของกฎหมาย
แหล่งข้อมูล