ผลิตภัณฑ์ของ Google ได้กลายเป็นประเด็นร้อนอีกครั้งหลังจากที่ก่อนนี้ เกิดการฟ้องร้องในรัฐแคลิฟอร์เนีย สหรัฐอเมริกาจากกรณีการละเมิดสิทธิข้อมูลส่วนบุคคลในโหมด ‘ส่วนตัว’ ที่ไม่ได้มีความเป็นส่วนตัวตามชื่อ โดยทาง Google ก็ได้ออกมาชี้แจงเรื่องนี้ว่า แม้จะอยู่ในโหมดส่วนตัวแต่ก็มีการเก็บข้อมูลการท่องเว็บของผู้ใช้งาน และได้มีการระบุไว้ในเอกสารความยินยอมอย่างชัดเจน
ต่อจากนั้นในช่วงเดือนมกราคมที่ผ่านมา ก็มีการฟ้องร้องการละเมิดความเป็นส่วนตัวของ Google โดยคำตัดสินของหน่วยงานคุ้มครองข้อมูลของออสเตรเลีย(DPA) ที่ได้พิจารณาแล้วว่าการใช้งาน Google Analytics เป็นการละเมิดข้อมูลส่วนบุคคลตามระเบียบการคุ้มครองตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป หรือ GDPR (General Data Protection Regulation)
ซึ่งในเวลาต่อมา คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของฝรั่งเศส (CNIL) ก็ได้พิจารณาว่า การใช้ Google Analytics เพื่อประมวลผลและจัดเก็บข้อมูลส่วนบุคคลในการเข้าถึงเว็บไซต์ก็เป็นการละเมิดสิทธิข้อมูลส่วนบุคคลตามกฎหมาย GDPR เช่นเดียวกัน
ดังนั้น คำถามที่หลายคนอยากรู้ในตอนนี้คือ เจ้าของเว็บไซต์และผู้ประผลข้อมูลในเว็บไซต์ที่ใช้ Google Analytics เครื่องมือยอดฮิตที่มีการใช้งานอย่างกมากมายในประเทศไทยจะเข้าข่ายผิดกฎหมาย PDPA หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ที่มีผลบังคับใช้วันที่ 1 มิถุนายน 2565 ด้วยหรือไม่???
ประเด็นนี้อาจจะต้อง ‘ตีความตามกฎหมาย’ โดยเปรียบเทียบกับกฎหมาย GDPR ซึ่งเป็นแม่แบบของกฎหมายคุ้มครองข้อมูลส่วนบุคคลทั่วโลก ซึ่งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้ระบุว่า Google ในกรณีนี้ มีสถานะเป็นทั้งผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) และยังเป็นผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ด้วย ดังนั้น แม้ข้อมูลที่มีการจัดเก็บจาก Google Analytics จะไม่สามารถระบุตัวตนผู้ใช้ได้
แต่เนื่องจาก Google มีการจัดเก็บและถ่ายโอนข้อมูลผู้ใช้ทั่วโลกเป็นจำนวนมาก และทำให้ ‘ชิ้นส่วนจิ๊กซอว์’ ที่ยังไม่สามารถระบุตัวตนได้ แต่หากนำข้อมูลหลายๆ อย่างมารวมกันก็ไม่ยากที่จะระบุตัวตนบุคคลนั้นๆ ได้
เหตุนี้ จึงมีความเป็นไปได้ว่าในอนาคต Google Analytics อาจจะไม่สามารถใช้งานได้ทั่วทั้งสหภาพยุโรป เว้นแต่ Google จะมีการเปลี่ยนแปลงวิธีดำเนินการใหม่ และมีความเป็นไปได้ว่าจะกระทบต่อผู้ใช้งานทั่วโลกรวมทั้งประเทศไทยด้วยเช่นกัน
ใช้งาน Google Analytics จะผิดกฎหมาย PDPA หรือไม่?
คำถามต่อมา คือ แล้วผู้ใช้งาน Google Analytics ในประเทศไทยจะเข้าข่ายผิดกฎหมาย PDPA ด้วยหรือไม่ ซึ่งคำตอบนี้หากสรุปตามพื้นฐานคำติดสินของกฎหมาย GDPR ก็น่าจะเข้าข่ายผิดกฎหมายด้วยเช่นกัน !!!
ทั้งนี้จากข้อมูลของ Google Analytics ที่ได้มีการรวบรวมข้อมูลที่หลากหลายเกี่ยวกับผู้เข้าชมเว็บไซต์ อาทิ หน้าเว็บไซต์ที่มีการเข้าถึงหรือใช้งาน ระยะเวลาในการในงาน อายุผู้ใช้งาน ตำแหน่งที่ตั้ง ช่องทางการใช้งาน (เบราว์เซอร์) ชนิดของอุปกรณ์ในการใช้ ตลอดจนความสนใจของผู้ใช้ อันนำไปสู่ Conversion หรือ การกระทำบางอย่างที่ผู้ที่เข้าชมเว็บไซต์ (อาจจะ) ถูกใช้เป็นเป้าหมายในการทำการโฆษณา หรือกิจกรรมในการค้ารูปแบบต่างๆ ก็เข้าข่ายที่สามารถระบุตัวตนใน ‘ทางอ้อม’ ได้เช่นกัน
โดยกฎหมาย PDPA ข้อมูลที่สามารถระบุตัวบุคคลไม่ว่าจะทางตรง หรือทางอ้อม ผู้ควบคุมข้อมูลซึ่งในที่นี้คือผู้ให้บริการเว็บไซต์จะต้องได้รับความยินยอมจากเจ้าของข้อมูลตามสิทธิตามกฎหมาย
เรื่องนี้ทางผู้ให้บริการผลิตภัณฑ์ ซึ่งก็คือ Google ต้องมีการปรับเปลี่ยนรูปแบบการให้บริการ Google Analytics ก็จะมีผลให้ผู้ดูแลเว็บไซต์ และผู้ประมวลผลข้อมูลเว็บไซต์จะต้องมีการปรับเปลี่ยนเช่นกัน รวมถึงการใช้งานผลิตภัณฑ์ที่มีลักษณะเดียวกันด้วย กลายเป็น ‘โดมิโน’ ที่จะล้มกันเป็นทอดๆ และกระทบเป็นวงกว้างในที่สุด
ผู้ดูแลเว็บไซต์และผู้ประมวลผลจะปรับตัวอย่างไร?
ด้วยเหตุดังกล่าว ทำให้ผู้ใช้งาน Google Analytics ในประเทศไทยจะต้องปรับเปลี่ยนไปตามหลักปฏิบัติสากลเพื่อให้เป็นไปตามกฎหมาย PDPA โดยมีแนวทางปรับตัวเพื่อให้การเก็บ และวิเคราะห์ข้อมูลเว็บไซต์ไม่เป็นการละเมิดสิทธิข้อมูลส่วนบุคคลของผู้ใช้งาน ดังนี้
1.ประกาศนโยบายความเป็นส่วนตัว (Privacy Notice) ที่ระบุไว้อย่างชัดเจนถึงการเก็บข้อมูลและประมวลผลผู้ใช้งานเว็บไซต์ด้วยเครื่องมือ Google Analytics
2.ประกาศนโยบาย และการขอความยินยอมขอใช้งานคุกกี้ (Cookie Policy and Cookie consent) ตามกฎหมายต้องระบุไว้อย่างชัดเจนว่าเว็บไซต์ได้มีการใช้คุกกี้ประเภทใดบ้าง มีการจัดเก็บข้อมูลใดบ้าง มีระยะเวลาในการจัดเก็บนานเท่าไร การดำเนินการข้อมูลส่วนบุคคลในลักษณะใดบ้าง รวมถึงขอการยินยอมใช้งานคุกกี้ดังกล่าว โดยผู้เข้าชมเว็บไซต์สามารถเลือกให้ความยินยอมใช้งานคุกกี้ได้ตามต้องการ
3.สร้างกลไกในการลบหรือแก้ไขข้อมูลของผู้ใช้งานเว็บไซต์ โดยล่าสุดทาง Google Analytics ได้มีการปรับแต่งให้สามารถลบข้อมูลผู้ใช้หากมีการร้องขอให้ดำเนินการ
4.จัดทำข้อตกลงการแบ่งปันข้อมูลส่วนบุคคล หากองค์กรธุรกิจคุณมีการแบ่งบันหรือส่งต่อข้อมูลส่วนบุคคลในเว็บไซต์แก่ หรือผู้ประมวลผลข้อมูลในกิจกรรมด้านการขายหรือส่งเสริมการขาย
ผลกระทบที่จะเกิดขึ้นขององค์กรธุรกิจ
อย่างไรก็ตาม เรื่องการละเมิดข้อมูลส่วนบุคคลตามกฎหมาย GDPR ซึ่งสามารถนำมาเทียบเคียงได้กับกฎหมาย PDPA อาจจะส่งผลกระทบต่อองค์กรธุรกิจในหลายด้าน เช่น
- ความไม่เสถียรของหลักเกณฑ์ และการดำเนินการเนื่องจากกฎหายคุ้มครองข้อมูลผู้บริโภคยังเป็นสิ่งที่ใหม่มากสำหรับทุกองค์กร และจำเป็นต้องมีผู้เชี่ยวชาญในการวิเคราะห์และตีความตามข้อกฎหมาย ดังนั้นองค์กรอาจจะได้รับผลกระทบในช่วงเริ่มต้น
- เกิดเป็นต้นทุนการจัดการที่เพิ่มขึ้น เนื่องจากผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคล อาจจะต้องสร้างระบบขึ้นมาเพื่อดำเนินการให้สอดคล้องกับกฎหมาย
- ส่งผลต่อธุรกิจข้ามพรมแดน หรือธุรกิจที่มีการส่งต่อ หรือถ่ายโอนข้อมูลไปยังต่างประเทศ ซึ่งตามกฎหมาย PDPA การส่งต่อหรือถ่ายโอนข้อมูลไปยังประเทศปลายทาง ประเทศนั้นจะต้องมีกฎหมายหรือมาตรการคุ้มครองข้อมูลส่วนบุคคลที่มีมาตรฐานที่ทัดเทียมกัน
- มีความเป็นไปได้สูงว่าจะเกิดการฟ้องร้องเรื่องสิทธิของเจ้าของข้อมูลส่วนบุคคล โดยข้อสังเกตนี้มาจากสมมติฐานของพฤติกรรมของผู้คนยุคใหม่ที่เคารพสิทธิและต้องการความเป็นส่วนตัวมากขึ้น ดังนั้นเจ้าของธุรกิจจะต้องให้ความระมัดระวังในด้านการเก็บ รวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคลมากยิ่งขึ้น
ด้วยเหตุนี้ ผลสืบเนื่องจากกรณีการละเมิดข้อมูลส่วนบุคคลในการใช้งาน Google Analytics จะนำไปสู่การเปลี่ยนแปลง หากคุณเป็นเจ้าของเว็บไซต์ที่ใช้ Google Analytics ก็จะต้องศึกษา และระมัดระวังการใช้งานเครื่องมือนี้เป็นพิเศษ เพื่อไม่ให้ละเมิดกฎหมาย PDPA
