ผู้ควบคุมข้อมูลส่วนบุคคลคือใคร ไม่อยากเป็นได้หรือไม่ ?

มีประเด็นที่น่าสนใจหลายประการเกี่ยวกับสถานะและความเป็นผู้ควบคุมข้อมูลส่วนบุคคล อาทิผู้ประกอบธุรกิจหรือผู้ประกอบการที่ไม่ต้องการมีหน้าที่และความรับผิดตามกฎหมาย

Cap & Corp Forum

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นกฎหมายที่กำหนดหน้าที่และความรับผิดชอบของบุคคลต่าง ๆ ที่เข้ามาเกี่ยวข้องในกระบวนการ “การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล” (รวมเรียกว่า “การประมวลผลข้อมูลส่วนบุคคล”) กำหนดสิทธิและกระบวนการบังคับสิทธิของเจ้าของข้อมูลส่วนบุคคล และการจัดสรรความรับผิดของบุคคลต่าง ๆ ในกระบวนการประมวลผลข้อมูลส่วนบุคคลที่เกิดขึ้น โดยบุคคลที่มีหน้าที่หลักในการต้องปฏิบัติตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ได้แก่ “ผู้ควบคุมข้อมูลส่วนบุคคล” และ “ผู้ประมวลผลข้อมูลส่วนบุคคล”

ผู้ควบคุมข้อมูลส่วนบุคคลเป็นบุคคลแรกที่เข้าไปเกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล ในขณะที่ผู้ประมวลผลข้อมูลส่วนบุคคลเป็นบุคคลที่ประมวลผลข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล โดยพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ กำหนดว่า “ผู้ควบคุมข้อมูลส่วนบุคคล” (Data Controller) หมายความว่าบุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

จากบทนิยามตามกฎหมายข้างต้น มีประเด็นที่น่าสนใจหลายประการเกี่ยวกับสถานะและความเป็นผู้ควบคุมข้อมูลส่วนบุคคล อาทิผู้ประกอบธุรกิจหรือผู้ประกอบการที่ไม่ต้องการมีหน้าที่และความรับผิดตามกฎหมาย สามารถใช้สัญญาหรือความตกลงเพื่อยกเว้นหรือไม่ให้ตนเองต้องเป็นผู้ควบคุมข้อมูลส่วนบุคคลได้หรือไม่ เช่น การมอบหมายให้นิติบุคคลอื่นหรือบุคคลอื่นมารับหน้าที่ผู้ควบคุมข้อมูลส่วนบุคคลแทนตนเอง หน่วยงานของรัฐเป็นผู้ควบคุมข้อมูลส่วนบุคคลได้หรือไม่ หรือในขั้นตอนการประมวลผลข้อมูลส่วนบุคคลหนึ่ง ๆ มีผู้ควบคุมข้อมูลส่วนบุคคลได้กี่ราย ผู้ควบคุมข้อมูลส่วนบุคคลร่วม (Joint Data Controller) มีได้หรือไม่ ฯลฯ

วันนี้ผู้เขียนจะนำกรณีศึกษาที่เกิดขึ้นในสหภาพยุโรปและข้อแนะนำของ European Data Protection Board (EDPB) ซึ่งเป็นคณะกรรมการที่ปรึกษาของสหภาพยุโรปในการบังคับใช้ GDPR ตามข้อแนะนำที่ 07/2020 ลงวันที่ 2 กันยายน 2563 มาแลกเปลี่ยนและนำเสนอมุมมองในการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (GDPR) เพื่อเป็นกรอบแนวทางในการบังคับใช้พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ในอนาคต ในประเด็นดังต่อไปนี้

1.การพิจารณาบทบาทและหน้าที่ตามข้อเท็จจริง (functional concepts) และสถานะผู้ควบคุมข้อมูลส่วนบุคคลยกเว้นไม่ได้โดยสัญญา ต้องพิจารณาตามบทบาทและหน้าที่ตามข้อเท็จจริง

2.ผู้ควบคุมข้อมูลส่วนบุคคล คือบุคคลที่กำหนด “วัตถุประสงค์” (purposes) และ “วิธีการ” (means) ของการประมวลผลข้อมูลส่วนบุคคล

3.ผู้ควบคุมข้อมูลส่วนบุคคลร่วมคือใคร

4.ผู้ควบคุมข้อมูลส่วนบุคคล ไม่สามารถเป็นผู้ประมวลผลข้อมูลส่วนบุคคลได้ในเวลาเดียวกันสำหรับการประมวลผลข้อมูลส่วนบุคคลครั้งหนึ่ง ๆ

5.เจ้าของข้อมูลส่วนบุคคล ไม่มีสถานะเป็นผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล

ก่อนอื่นต้องทำความเข้าใจก่อนว่า GDPR และพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ กำหนดบทนิยามของผู้ควบคุมข้อมูลส่วนบุคคลไว้ไม่ตรงกันเสียทีเดียว โดยตาม GDPR “controller” หรือผู้ควบคุมข้อมูลส่วนบุคคล หมายความว่า “natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data” ซึ่งเมื่อนำมาเปรียบเทียบกับพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ

1.ตาม GDPR กฎหมายกำหนดชัดเจนว่าผู้ควบคุมข้อมูลส่วนบุคคลเป็นหน่วยงานรัฐได้ (public authority) แต่บทนิยามตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ไม่ได้ระบุไว้ อย่างเช่นในกรณีของ GDPR แต่จากขอบเขตการบังคับใช้ของกฎหมายไทยตามมาตรา 4 จะพบว่าหน่วยงานของรัฐเกือบทุก ๆ ประเภทก็อาจมีสถานะเป็นผู้ควบคุมข้อมูลส่วนบุคคลได้ทั้งสิ้น

2.“อำนาจหน้าที่ตัดสินใจ” และ “กำหนดวัตถุประสงค์และวิธีการ”

ในขณะที่ตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ กฎหมายกำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคล คือบุคคลที่มี “อำนาจหน้าที่ตัดสินใจ” (power and duties to make decisions) แต่ GDPR ใช้คำว่า “กำหนดวัตถุประสงค์และวิธีการ” (determination of purposes and means) ซึ่งในทางปฏิบัติและการตีความกฎหมายส่วนนี้ ผู้เขียนเห็นว่าข้อความตามที่กำหนดไว้ใน GDPR น่าจะทำให้สามารถเข้าใจและพิจารณาบริบทของการตีความคำว่า “อำนาจหน้าที่ตัดสินใจ” ได้อย่างเป็นระบบมากยิ่งขึ้น ดังนี้

2.1 กำหนด (determination)

ตาม GDPR ผู้ควบคุมข้อมูลส่วนบุคคล คือบุคคลที่สามารถ “กำหนด” วัตถุประสงค์และวิธีการประมวลผลข้อมูลส่วนบุคคลได้ ซึ่งอำนาจในการ “กำหนด” นี้ อาจเกิดขึ้นโดยสัญญาหรือโดยกฎหมายก็ได้ และสัญญานั้นก็อาจจะไม่ได้เป็นลายลักษณ์อักษร แต่พิจารณาจากความสามารถในการมีอำนาจตัดสินใจหรือมีอิทธิพลต่อการตัดสินใจในส่วนที่เป็นสาระสำคัญของการประมวลผลข้อมูลส่วนบุคคล โดยต้องพิจารณาจากสภาวะแวดล้อมที่ทำให้บุคคลนั้นมีอำนาจในการควบคุมตามความเป็นจริง

ตัวอย่างเช่น สำนักงานกฎหมายแห่งหนึ่งได้รับการว่าจ้างให้เป็นที่ปรึกษากฎหมายให้กับบริษัทในการดำเนินคดีชั้นศาล ในการทำหน้าที่ของสำนักงานกฎหมายดังกล่าว สำนักงานฯ มีความจำเป็นต้องประมวลผลข้อมูลส่วนบุคคลของบุคคลที่เกี่ยวข้องกับข้อพิพาทในคดี ในกรณีนี้วัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคลของสำนักงานฯ คือเพื่อการทำหน้าที่ทนายความในศาล ซึ่งหน้าที่นี้ไม่ได้ระบุโดยเฉพาะเจาะจงว่าต้องมีการประมวลผลข้อมูลส่วนบุคคลของใครและอย่างไร แต่สำนักงานฯ มีความเป็นอิสระในการเลือกข้อมูลเพื่อนำเสนอเป็นพยานหลักฐานในศาล หน้าที่ดังกล่าวนี้ (functional role) ทำให้สำนักงานทนายความฯ เป็นผู้ควบคุมข้อมูลส่วนบุคคล เนื่องจากเป็นผู้กำหนด (determine) วัตถุประสงค์และวิธีการในการประมวลผลนี้ (EDPB Guidelines 07/2020)

2.2 วัตถุประสงค์และวิธีการ (purposes and means)

“วัตถุประสงค์” และ “วิธีการ” ถือเป็นองค์ประกอบที่สำคัญที่สุดในการพิจารณาสถานะของ “ผู้ควบคุมข้อมูลส่วนบุคคล” ตาม GDPR “วัตถุประสงค์” ในการประมวลผลข้อมูลส่วนบุคคลนั้นมีความสำคัญอย่างมาก เนื่องจากกฎหมายกำหนดว่าในการประมวลผลข้อมูลส่วนบุคคลต้องมีวัตถุประสงค์ที่ชัดแจ้งและชอบด้วยกฎหมาย และต้องไม่ประมวลผลข้อมูลส่วนบุคคลเกินไปกว่าวัตถุประสงค์นั้น และมี “วิธีการ” เพื่อบรรลุวัตถุประสงค์ดังกล่าว โดยวิธีการนี้ก็ต้องคำนึงถึงหลักความได้สัดส่วนและการชั่งประโยชน์สาธารณะและการคุ้มครองสิทธิขั้นพื้นฐานของบุคคลประกอบด้วย การกำหนด “วัตถุประสงค์” และ “วิธีการ” จึงเป็นการตัดสินใจว่าผู้ควบคุมข้อมูลส่วนบุคคลจะประมวลผลข้อมูลส่วนบุคคลเพื่ออะไร (why) และอย่างไร (how)

ดังนั้น ผู้ควบคุมข้อมูลส่วนบุคคลจึงได้แก่บุคคลที่กำหนดทั้ง “วัตถุประสงค์” และ “วิธีการ” ไม่สามารถเลือกเพียงแต่การกำหนด “วัตถุประสงค์” โดยไม่กำหนด “วิธีการ” แต่ในส่วนของการกำหนดวิธีการนั้นก็อาจไม่มีความจำเป็นต้องกำหนดในรายละเอียดทั้งหมดก็ได้ อาจกำหนดเพียงกรอบการดำเนินงานและให้ผู้ประมวลผลข้อมูลส่วนบุคคลเป็นผู้ดำเนินการในรายละเอียดของวิธีการได้ แต่เมื่อใดก็ตามที่ผู้ประมวลผลข้อมูลส่วนบุคคลเข้ามามีส่วนกำหนดและตัดสินใจ (ในความเป็นจริง) ในส่วนกระบวนการของการกำหนด “วัตถุประสงค์” ผู้ประมวลผลข้อมูลส่วนบุคคลนั้นก็อาจจะกลายเป็นผู้ควบคุมข้อมูลส่วนบุคคลร่วมได้ (Joint Data Controller)

นอกจากนี้ ศาลยุติธรรมแห่งสหภาพยุโรปยังได้ตัดสินไว้ในหลาย ๆ คดี อาทิ C-40/17 Fashion ID, C-25/17 Jehovantodistajat และ C-210/16 Wirtschaftsakademie ว่าการพิจารณาสถานะของการเป็นผู้ควบคุมข้อมูลส่วนบุคคลนั้น ต้องพิจารณาจากข้อเท็จจริงว่าบุคคลนั้นมีความสามารถหรือมีอิทธิพลต่อการกำหนดวัตถุประสงค์และวิธีการในการประมวลผลข้อมูลส่วนบุคคลหรือไม่

ศุภวัชร์ มาลานนท์

คณะนิติศาสตร์ มหาวิทยาลัยสงขลานครินทร์

Max Planck InstituteLuxembourg

ชิโนภาส อุดมผล

Optimum Solution Defined (OSDCo., Ltd.)