การแจกเงินเยียวยาของรัฐผ่าน application กับ กฎหมายคุ้มครองข้อมูลส่วนบุคคล

เมื่อวันที่ 24 พฤศจิกายน พ.ศ. 2564 สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของประเทศไอซ์แลนด์ หรือ Icelandic Data Protection Authority (“Iceland DPA”) ได้มีคำสั่งลงโทษเป็นค่าปรับทางปกครองเป็นเงินประมาณ 50,800 EUR ต่อกระทรวงอุตสาหกรรมและนวัตกรรมของประเทศไอซ์แลนด์ (Ministry of Industries and Innovation and YAY efh.) เนื่องจากกระทรวงฯ มีการออกบัตรของขวัญเป็นเงินสดให้แก่ประชาชนผ่านแอปพลิเคชันให้กับประชาชน โดยแอปพลิเคชันดังกล่าวมีกระบวนการในการออกแบบให้เป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือ The General Data Protection Regulation (“GDPR”) ตั้งแต่ต้น เป็นเหตุให้เกิดการประมวลผลข้อมูลส่วนบุคคลโดยละเมิดต่อ GDPR ในหลายกรณีในแอปพลิเคชันดังกล่าว

เนื่องจากการเกิดวิกฤตเศรษฐกิจอันเกี่ยวเนื่องกับเหตุการณ์แพร่ระบาดของเชื้อโคโรนาไวรัส (COVID-19) ทางรัฐบาลของประเทศไอซ์แลนด์จึงมีนโยบายในการออกบัตรของขวัญเป็นเงินสดเพื่อช่วยเหลือการท่องเที่ยว ผู้ประกอบการและกระตุ้นเศรษฐกิจ โดยกระทรวงอุตสาหกรรมและนวัตกรรมของประเทศไอซ์แลนด์เป็นผู้รับผิดชอบหลักในการดำเนินโครงการ ซึ่งในการดำเนินโครงการทางกระทรวงอุตสาหกรรมและนวัตกรรมฯ​ ได้มีการว่าจ้างบริษัทเอกชนเป็นผู้พัฒนาแอปพลิเคชันที่ใช้การกระจายบัตรของขวัญ

ภายหลังจากที่ได้มีการใช้แอปพลิเคชันดังกล่าว Iceland DPA ได้มีการเข้าไปตรวจสอบและระบุว่าแอปพลิเคชันดังกล่าวมีการประมวลผลข้อมูลส่วนบุคคลของประชาชนโดยขัดจาก GDPR ในหลายประเด็น เช่น ไม่มีการขอความยินยอมที่เหมาะสม ไม่มีการแจ้งถึงรายละเอียดในการประมวลผลข้อมูลส่วนบุคคลอย่างเพียงพอ  ไม่มีการจัดให้มีมาตรการทางด้านความมั่นคงปลอดภัยที่ถูกต้องเหมาะสม และไม่มีการออกแบบแอปพลิเคชันให้อยู่บนหลักการของการคุ้มครองข้อมูลส่วนบุคคลตั้งแต่ต้น (privacy by design & by default)

หากกรณีนี้เกิดขึ้นในประเทศไทยภายหลังจากที่ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีผลบังคับใช้ จะมีประเด็นใดบ้างที่องค์กรในฐานะผู้ควบคุมข้อมูลส่วนบุคคลต้องให้ความสำคัญ​

แอปพลิเคชันที่มีการประมวลผลข้อมูลส่วนบุคคลมีความจำเป็นเป็นอย่างยิ่งที่ผู้ควบคุมข้อมูลส่วนบุคคลต้องมีการวางแผน และออกแบบกระบวนการในการพัฒนาแอปพลิเคชันตั้งแต่ต้น การออกแบบแอปพลิเคชันที่มีการนำข้อมูลส่วนบุคคลมาใช้หรือประมวลผล โดยเฉพาะอย่างยิ่งในแอปพลิเคชันที่มีการประมวลผลข้อมูลส่วนบุคคลจำนวนมากหรือในวงกว้าง มีความจำเป็นอย่างยิ่งที่ผู้ควบคุมข้อมูลส่วนบุคคลต้องดำเนินการโดยจัดให้มีความมีส่วนร่วมจากเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) หรือผู้เชี่ยวชาญ หรือที่ปรึกษาทางด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคลตั้งแต่ต้น

กระบวนการในการออกแบบแอปพลิเคชัน ที่ปรึกษาจะเข้ามามีส่วนร่วมตั้งแต่การตั้งวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคล การเลือกใช้ฐานความชอบด้วยกฎหมายในการประมวลผลข้อมูลส่วนบุคคลที่สอดคล้องกับกิจกรรมและวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคล การกำหนดประเภทของข้อมูลส่วนบุคคลเพียงเท่าที่จำเป็น ตลอดจนการจัดทำแบบประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคลเพื่อพิจารณาว่า กระบวนการประมวลผลข้อมูลส่วนบุคคลของแอปพลิเคชันที่จะมีการใช้นั้นมีกระบวนการในการประมวลผลข้อมูลส่วนบุคคลที่มีความเสี่ยงต่อสิทธิเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคลในระดับที่ยอมรับได้หรือไม่

การเลือกบริษัทที่จะเข้ามาเป็นผู้พัฒนาแอปพลิเคชันในฐานะผู้ประมวลผลข้อมูลส่วนบุคคล ก็เป็นอีกประเด็นหนึ่งที่ทางองค์กรต้องพิจารณาว่า บริษัทที่เข้ามาเป็นผู้รับจ้างมีมาตรฐานในการวางมาตรการทางด้านความมั่นคงปลอดภัย  (standard of security measure) อย่างไร เพียงพอต่อการให้ความคุ้มครองแก่ข้อมูลส่วนบุคคลที่จะมีการประมวลผลบนแอปพลิเคชันที่จะมีการพัฒนาขึ้นหรือไม่ และการจัดทำบันทึกข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (DPA) ก็เป็นอีกหน้าที่หนึ่งที่ต้องจัดทำตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ฯ​ มาตรา 39 เพื่อเป็นการกำหนดหน้าที่และความรับผิดชอบระหว่างผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคลด้วย

การแจ้งถึงรายละเอียดในการประมวลผลข้อมูลส่วนบุคคลก็เป็นอีกประเด็นหนึ่งที่ผู้ควบคุมข้อมูลส่วนบุคคลต้องให้ความสำคัญ​เช่นกัน เนื่อง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯ​ มาตรา 23 ก็ได้ระบุไว้ว่ารายละเอียดอะไรบ้างที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล จำต้องแจ้งให้แก่เจ้าของข้อมูลส่วนบุคคลทราบ ดังนั้นผู้ควบคุมข้อมูลจำต้องมีความเข้าใจในลักษณะและบริบทของการประมวลผลข้อมูลส่วนบุคคลของแอปพลิเคชัน และจัดทำหนังสือแจ้งการประมวลผลข้อมูลส่วนบุคคลให้เจ้าของข้อมูลส่วนบุคคลสามารถทราบถึงรายละเอียดในการประมวลผลข้อมูลส่วนบุคคล และมีรายละเอียดที่ครบถ้วนตามกฎหมาย

…

ชิโนภาส อุดมผล

Certified DPO, Optimum Solution Defined (OSD)