การล่วงละเมิดข้อมูลส่วนบุคคลในวงการกีฬา : กรณีศึกษาสโมสรฟุตบอลแมนเชสเตอร์ซิตี้

แชร์

อ่าน

ครั้ง

โดย : สุชเนศ จรรยา

การล่วงละเมิดข้อมูลส่วนบุคคลในวงการกีฬา : กรณีศึกษาสโมสรฟุตบอลแมนเชสเตอร์ซิตี้

แชร์

อ่าน

ครั้ง

โดย : สุชเนศ จรรยา

     ไม่นานมานี้ มีข่าวใหญ่ที่สร้างผลกระทบต่อวงการกีฬาเป็นอย่างมาก เกี่ยวกับเรื่องของการละเมิดกฎทางการเงิน (Financial Fair Play : FFP) โดยสื่อใหญ่อย่างเดอะไทมส์ (The Times) ได้รายงานว่า มีการทุจริตทางการเงินโดยสโมสรชื่อดังแห่งเกาะอังกฤษแมนเชสเตอร์ซิตี้ “เรือใบสีฟ้า” ได้ทำกระทำผิดกฎการเงินเป็นจำนวนกว่า 100 ครั้งภายใน 9 ปี ตั้งแต่ปี 2552 – 2561 ซึ่งถือว่าเป็นจำนวนที่น่าตกใจเป็นอย่างมาก

แต่ว่า FFP มันเกี่ยวข้องอย่างไรกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล?

     ความสัมพันธ์ระหว่าง FFP และกฎหมายคุ้มครองข้อมูลส่วนบุคคลไม่ชัดเจนนัก แต่อาจมีปัญหาบางประการเกี่ยวกับวิธีที่สโมสรปฏิบัติตามข้อบังคับ ตัวอย่างเช่น สโมสรอาจจำเป็นต้องเปิดเผยข้อมูลทางการเงินบางอย่างแก่ยูฟ่าเพื่อจุดประสงค์ FFP แต่พวกเขายังต้องปกป้องความเป็นส่วนตัวของผู้เล่น พนักงาน และแฟนคลับ ภายใต้กฎหมายคุ้มครองข้อมูล พวกเขายังอาจเผชิญกับความท้าทายในการถ่ายโอนข้อมูลข้ามเขตอำนาจศาลที่แตกต่างกันด้วยมาตรฐานทางกฎหมายที่แตกต่างกัน นอกจากนี้ นักวิจารณ์บางคนแย้งว่า FFP ละเมิดกฎหมายการแข่งขันของยุโรปและจำกัดเสรีภาพในการเคลื่อนไหวของผู้เล่น ซึ่งอาจเกี่ยวข้องกับสิทธิ์ในการปกป้องข้อมูลด้วย

     นอกจากนี้ สโมสรฟุตบอลยังสามารถรวบรวมและประมวลผลข้อมูลส่วนบุคคลของนักเตะ เจ้าหน้าที่ และแฟนบอลเพื่อวัตถุประสงค์ต่างๆ เช่น สัญญานักเตะ เวชระเบียน และการตลาด แต่กฎหมายกำหนดให้สโมสรต้องได้รับความยินยอมจากบุคคลก่อนที่จะรวบรวมและใช้ข้อมูลส่วนบุคคลและตรวจสอบให้แน่ใจว่าข้อมูลได้รับการคุ้มครองจากการเข้าถึงการใช้หรือการเปิดเผยโดยไม่ได้รับอนุญาต ดังนั้นสโมสรฟุตบอลต้องปฏิบัติตามข้อกำหนดของกฎหมายในการประมวลผลข้อมูลส่วนบุคคล

ย้อนไปถึงสาเหตุที่ทำให้แมนเชสเตอร์ซิตี้กลายเป็นประเด็นร้อนขึ้นมา ต้นเหตุ คือแฮกเกอร์มือทองรายหนึ่งนามว่า “รุย ปินโต้” ได้แฮกอีเมลของสโมสรเพื่อมาเปิดโปงเรื่องไม่ชอบมาพากล ไม่ว่าจะเป็นการเจรจาทางธุรกิจที่ไม่โปร่งใสหรือการโยกย้ายปรับแต่งบัญชีการเงินของสโมสร จากการที่สโมสรโดนแฮกอีเมลนี่เอง ทำให้ไม่เพียงแต่มีข้อมูลทางการเงินจำนวนมากที่ถูกละเมิด แต่ยังรวมไปถึง “ข้อมูลส่วนบุคคล” อีกด้วย

สโมสรฟุตบอล ในฐานะองค์กรธุรกิจต้องรับมืออย่างไร?

     Hacker หรือ กลุ่มอาชญากรรมทางคอมพิวเตอร์ ถือเป็นภัยคุกคามอย่างหนึ่งที่นำไปสู่เหตุการละเมิดข้อมูล” (Data Breach) กลุ่มคนเหล่านี้ จะเข้าถึง เปิดเผย หรือทำลายข้อมูลโดยไม่ได้รับอนุญาต ซึ่งอาจรวมถึงข้อมูลประเภทใดก็ได้ เช่น ข้อมูลทางการเงิน หรือข้อมูลทางธุรกิจ

ในทางกลับกัน การละเมิดข้อมูลส่วนบุคคล (Personal Data Breach) เกี่ยวข้องกับการเข้าถึง การเปิดเผย หรือการทำลายข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต เช่น ชื่อ ที่อยู่ วันเกิด หรือข้อมูลทางการเงิน หรือบทความสนทนาบนอีเมลของสโมสรฟุตบอล

จะกล่าวว่าการละเมิดข้อมูลส่วนบุคคลทุกครั้งถือเป็นการละเมิดข้อมูล แต่ไม่ใช่ว่าการละเมิดข้อมูลทุกครั้งจะเกี่ยวข้องกับข้อมูลส่วนบุคคลก็คงไม่ผิดความเป็นจริงแต่ประการใด

     สโมสรควรจะยกระดับมาตรการรักษาความปลอดภัยของข้อมูล (Information Security Measurement) ซึ่งจะครอบคลุมข้อมูลส่วนบุคคลโดยปริยาย และมาตราการความปลอดภัยทางไซเบอร์ (Cyber Security) สโมสรต้องเพิ่มมาตรการเชิงเทคนิคในด้านการเก็บรวบรวมข้อมูล ว่าเก็บอย่างไร ใช้อย่างไร ใครบ้างที่มีสิทธิในการเข้าถึงข้อมูล ระยะเวลาในการจัดเก็บข้อมูลหรือแม้กระทั่งการลบทำลายข้อมูล  เพราะหากเกิดการหลุดรอดของข้อมูลออกไป นอกจากจะมีผลต่อเจ้าของข้อมูลส่วนบุคคลแล้ว สโมสรหรือองค์กรก็จะยิ่งได้รับผลกระทบความเสียหาย ทั้งทางตรงและทางอ้อม

     หากเกิดการละเลยจากผู้บริหาร ความน่าเชื่อถือที่สั่งสมมาอาจพังทลายได้ในพริบตา ยังไม่รวมถึงความเสียหายในด้านการเงินที่อาจจะเกิดขึ้นตามมาอีกมหาศาล  อีกทั้งยังมีความเสี่ยงอย่างยิ่งในการกระทำความผิดในแง่ของการละเลยต่อการดูแลรักษาข้อมูลของเจ้าของข้้อมูลส่วนบุคคล (Data Subject)

     จากประเด็นทั้งหมดข้างต้น ยิ่งทำให้เห็นถึงปัญหาและความน่ากังวลในหมู่ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ต่าง ๆ ในเมืองไทย ไม่ว่าจะเป็นสโมสรฟุตบอล หรือแม้แต่องค์ต่าง ๆ ที่มีการเก็บข้อมูลส่วนบุคคลไว้นั้น  สิ่งเหล่านี้ยิ่งเป็นการตอกย้ำว่าองค์กรหรือผู้ควบคุมข้อมูลส่วนบุคคล ไม่ควรละเลยต่อสิ่งที่เกิดขึ้น แต่ควรต้องล้อมรั้ววางมาตรการรับมือ เพราะการหลุดรั่วของข้อมูลส่วนต่าง ๆ ที่สำคัญนี้ จะเป็นสิ่งที่ทำลายความน่าเชื่อถือขององค์กรแล้ว ยังเสี่ยงอย่างยิ่งต่อการกระทำผิดกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่มีการประกาศบังคับใช้แล้วอย่างเป็นทางการในราชอาณจักรไทย เมื่อวันที่ 27 พฤษภาคม 2562

     สิ่งที่จะสามารถช่วยให้องค์กรดำเนินธุรกิจต่างๆได้อย่างไม่ขัดต่อ PDPA แน่นอนว่าคงไม่พ้นเรื่องของการสร้างการตระหนักรู้ ตั้งแต่ระดับผู้บริหารสูงสุดไปจนถึงพนักงานทุกระดับโดยไม่ข้อยกเว้น หลายครั้งองค์กรธุรกิจมักกังวลว่า PDPA จะเข้ามามีผลต่อการทำธุรกิจทั้งในแง่ของการนำข้อมูลไปใช้การขายและการทำการตลาด แต่สิ่งหนึ่งที่ทุกองค์กรพึงตระหนักรู้ คือแม้ว่าต่อให้ไม่มี PDPA การดูแลรักษาข้อมูลของเจ้าของข้อมูลส่วนบุคคลก็คือสิ่งที่องค์กรที่ดีพึงปฏิบัติเพื่อความยั่งยืนโดยแท้จริง

Image_20230315_102728_877-min
นายสุชเนศ จรรยา
ที่ปรึกษากฎหมายคุ้มครองข้อมูลส่วนบุคคล จาก PDPA Thailand

บทความที่เกี่ยวข้อง

ประกาศคณะกรรมการผู้เชี่ยวชาญคณะที่ 3 และ 4 พร้อมตัดสินโทษทางปกครอง PDPA