Telemarketing ไม่ง่ายภายใต้กฎการคุ้มครองข้อมูลส่วนบุคคล
ผู้ประกอบธุรกิจในไทยที่ต้องการทำ Telemarketing ก็คงไม่ต่างจากกรณีศึกษาของ Vodafone ที่มีหน้าที่และความรับผิดในการต้องปฏิบัติตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯอย่างเคร่งครัด
Cap & Corp Forum
เมื่อวันที่ 12 พฤศจิกายน 2563 ที่ผ่านมา คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของประเทศอิตาลี (Garante per la protezione dei dati personali) ได้มีคำสั่งปรับทางปกครอง Vodafone Italia SpA ซึ่งเป็นเครือบริษัทโทรคมนาคมรายใหญ่ของยุโรป มีสำนักงานใหญ่อยู่ในประเทศอังกฤษ และประกอบกิจการโทรคมนาคมใน 22 ประเทศทั่วโลก ในฐานะผู้รับใบอนุญาต ซึ่งส่วนใหญ่จะเป็นประเทศในยุโรปและอีก 48 ประเทศทั่วโลก ในฐานะพันธมิตรร่วมในการให้บริการ โดยคณะกรรมการฯ มีคำสั่งปรับเป็นเงินจำนวน 12,251,601 ยูโร จากการฝ่าฝืน GDPR ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป สืบเนื่องมาจากพฤติกรรมการทำการตลาดทางโทรศัพท์ หรือ Telemarketing โดยไม่ชอบด้วย GDPR
ข้อเท็จจริงในคดีนี้ สืบเนื่องมาจากการที่คณะกรรมการได้รับเรื่องร้องเรียนจากประชาชนจำนวนหลายร้อยรายเกี่ยวกับการได้รับโทรศัพท์ติดต่อมาจาก Vodafone Italia SpA หรือบริษัทในเครือ เพื่อเสนอขายบริการด้านโทรศัพท์และระบบอินเทอร์เน็ต และเมื่อคณะกรรมการฯ ได้เริ่มดำเนินการสอบสวนข้อร้องเรียนเหล่านั้นแล้ว คณะกรรมการฯ ก็ยังพบข้อเท็จจริงและข้อร้องเรียนเพิ่มเติมด้วยว่า Vodafone และบริษัทในเครือได้มีการขอข้อมูลบัตรประชาชนของลูกค้าผ่านการใช้ WhatsApp เป็นช่องทางการสื่อสาร และคณะกรรมการฯ ยังพบการปฏิเสธหรือเพิกเฉยต่อการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลตามที่กฎหมายกำหนดในอีกหลายกรณี
จากพฤติกรรมหลาย ๆ กรณีดังกล่าวของ Vodafone คณะกรรมการฯ จึงวินิจฉัยว่า การประมวลผลข้อมูลส่วนบุคคลของ Vodafone ปราศจากฐานความชอบด้วยกฎหมาย ไม่เป็นธรรม และไม่โปร่งใส และไม่มีการกำหนดวัตถุประสงค์ที่แจ้งชัดให้เจ้าของข้อมูลส่วนบุคคลทราบ โดยเฉพาะในกรณีที่ข้อมูลของลูกค้าได้มาจากบุคคลภายนอก (ผู้เขียนเข้าใจว่าเป็น Data Broker และบริษัทด้านข้อมูลการตลาด) ซึ่งบริษัทเหล่านี้ไม่ได้แจ้งวัตถุประสงค์แก่เจ้าของข้อมูลส่วนบุคคลว่าจะเอามาเพื่อขายและใช้ทำช่องทางการตลาด ดังนั้น จึงเป็นการกระทำที่ปราศจากความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ซึ่งมีประมาณ 450,000 รายในปี 2562 เลยทีเดียว และคณะกรรมการฯ ยังพบด้วยว่าบริษัทมีมาตรการด้านความปลอดภัยของข้อมูลส่วนบุคคลที่ไม่เหมาะสมและเพียงพอ ทำให้มีการเข้าถึงข้อมูลต่าง ๆ ของลูกค้าได้โดยปราศจากมาตรการที่รัดกุม ซึ่งจะเห็นว่ากระบวนการสอบสวนเบื้องต้นของคณะกรรมการฯ ครั้งนี้ นำมาซึ่งการค้นพบการกระทำฝ่าฝืนกฎหมายจำนวนมาก โดยมีทั้งที่เกิดจากความบกพร่องของระบบและความบกพร่องของ “คน”
ในส่วนการกำหนดค่าปรับนั้น เนื่องจากพฤติกรรมของ Vodafone เป็นความผิดต่อเนื่องและหลายกรณี และเมื่อพิจารณาถึงความได้สัดส่วนระหว่างสิทธิของผู้มีส่วนได้ส่วนเสีย และเสรีภาพในการประกอบกิจการในการบังคับใช้มาตรการลงโทษทางการเงินที่กำหนดโดย GDPR และเพื่อจำกัดผลกระทบทางเศรษฐกิจของการลงโทษต่อองค์กรธุรกิจ คณะกรรมการฯ จึงกำหนดค่าปรับทางปกครองเป็นเงินจำนวน 12,251,601 ยูโร (ตาม GDPR คณะกรรมการฯ มีอำนาจปรับสูงสุด 20,000,000 ยูโร หรือร้อยละ 4 ของผลประกอบการทั่วโลกในปีที่ผ่านมา แล้วแต่จำนวนใดสูงกว่า)
นอกจากคำสั่งปรับเงินแล้ว คณะกรรมการฯ ยังมีคำสั่งให้ Vodafone ดำเนินการดังต่อไปนี้อีกด้วย
(1) ให้ปรับมาตรการในองค์กรให้สอดคล้องและแสดงให้เห็นถึงการได้รับความยินยอมในการประมวลผลข้อมูลส่วนบุคคลเพื่อการทำ Telemarketing ด้วย
(2) ต้องมีการสร้างมาตรการด้านความปลอดภัยของข้อมูลส่วนบุคคลที่เข้มงวดขึ้น เพื่อป้องกันการเข้าถึงข้อมูลของลูกค้าโดยบุคคลที่ไม่ได้รับอนุญาต
(3) บริษัทต้องสนองตอบต่อข้อเรียกร้องของลูกค้าในทุก ๆ กรณีต่อการใช้สิทธิตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
(4) ห้ามมิให้บริษัทประมวลผลข้อมูลส่วนบุคคลของลูกค้าเพื่อประโยชน์ในเชิงการตลาดหรือการพาณิชย์ หากข้อมูลนั้นได้มาจากบุคคลภายนอกที่ไม่ได้รับความยินยอมโดยชอบด้วยกฎหมายจากเจ้าของข้อมูลส่วนบุคคลในการเปิดเผยข้อมูลต่อบุคคลที่สาม
นอกจากคดีที่เกิดขึ้นในอิตาลีแล้ว Vodafone ก็ยังถูกปรับอีกหลายคดีในประเทศสเปน สืบเนื่องมาจากพฤติกรรมการใช้ข้อมูลส่วนบุคคลของบุคคลอื่นโดยไม่มีฐานความชอบด้วยกฎหมายเช่นกัน
กรณีศึกษาจาก Vodafone ทำให้เห็นว่าแม้ในองค์กรธุรกิจขนาดใหญ่ที่มีทรัพยากรฝ่ายกฎหมายจำนวนมากก็อาจทำผิดกฎหมายคุ้มครองข้อมูลส่วนบุคคลได้ และพฤติกรรมทางธุรกิจหลาย ๆ อย่างที่เคยทำมาและเชื่อว่าชอบด้วยกฎหมาย ก็อาจจะไม่ชอบด้วยกฎหมายอีกต่อไป ตัวอย่างเช่นการทำ Telemarketing โดยการใช้ข้อมูลที่ซื้อขายผ่านเอเจนซี่ หรือ Data Broker กรณีนี้ หากนำไปเทียบกับแนวปฏิบัติของการทำ Telemarketing ในสหรัฐอเมริกา เรื่องนี้ก็อาจจะไม่ผิดกฎหมาย แต่เนื่องจาก GDPR ได้วางมาตรฐานการปฏิบัติต่อสิทธิในความเป็นส่วนตัวของข้อมูลส่วนบุคคลไว้ในระดับสิทธิขั้นพื้นฐาน และกำหนดรายละเอียดไว้แทบจะทุก ๆ ขั้นตอน ซึ่งในแง่องค์กรธุรกิจมีหน้าที่ต้องปฏิบัติ
ผู้ประกอบธุรกิจในไทยที่ต้องการทำ Telemarketing ก็คงไม่ต่างจากกรณีศึกษาของ Vodafone ที่มีหน้าที่และความรับผิดในการต้องปฏิบัติตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ อย่างเคร่งครัด โดยสิ่งแรกที่ต้องตระหนักคือ บริษัทใช้สิทธิทางกฎหมายใด (lawful basis) ในการประมวลผลข้อมูลส่วนบุคคลของ “เป้าหมาย” ที่ต้องการโทรศัพท์ติดต่อเพื่อเสนอขายสินค้าหรือบริการ ซึ่งก็ต้องกลับมาตรวจสอบภายในองค์กรอีกครั้งเพื่อประเมินความเสี่ยงทางธุรกิจของตนเองด้วย การซื้อบัญชีรายชื่อลูกค้ามาก็อาจไม่เพียงพอต่อการสร้างความชอบด้วยกฎหมายในการประมวลผลข้อมูลส่วนบุคคลอีกต่อไป หากเจ้าของข้อมูลส่วนบุคคลนั้นมิได้ให้ความยินยอมด้วยดังกรณีศึกษาของ Vodafone
…
ศุภวัชร์ มาลานนท์
คณะนิติศาสตร์ มหาวิทยาลัยสงขลานครินทร์
Max Planck Institute Luxembourg
ชิโนภาส อุดมผล
Optimum Solution Defined (OSDCo., Ltd.)