ไขข้อสงสัย ทำไม ฟู้ดแพนด้า เลิกกิจการ ต้องลบข้อมูลลูกค้า
อุดมธิปก ไพรเกษตร เผยเหตุผลทำไม เมื่อ ฟู้ดแพนด้า จะเลิกกิจการ ต้องลบข้อมูลส่วนบุคคลของลูกค้า ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
นายอุดมธิปก ไพรเกษตร CEO บริษัท DBC Group ผู้ ก่อตั้งสื่อ PDPA Thailand นายกสมาคมผู้ตรวจสอบและให้คําปรึกษาการคุ้มครองข้อมูลส่วนบุคคลไทย (TPDPA) กล่าวว่า กรณีศึกษาสิทธิของเจ้าของข้อมูล และหน้าที่ของบริษัทเมื่อจะเลิกกิจการภายใต้กฎหมาย PDPA และ พระราชกฤษฎีกา การประกอบธุรกิจบริการแพลตฟอร์มดิจิทัล ที่ต้องแจ้งให้ทราบ พ.ศ. 2565
จากข่าวที่ foodpanda ประกาศปิดบริการในไทย ตั้งแต่ 23 พ.ค. 2568 ประกอบกับการที่เลขาธิการสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) หรือ PDPC Thailand พ.ต.อ. พ.ต.อ.สุรพงศ์ เปล่งขำ Suraphong Plengkham ได้ให้ข่าวว่า สคส. เร่งประสาน Foodpanda ติดตามแผนลบ-ทำลายข้อมูลส่วนบุคคล หลังยุติกิจการในไทย นั้น
ทำให้หลายๆคนสงสัยว่าการเลิกกิจการเกี่ยวข้องกับ PDPA และ DPSA อย่างไร บทความนี้มีคำตอบ
1.ทำไมเมื่อบริษัทเลิกกิจการ จึงต้องลบหรือทำลายข้อมูลลูกค้า?
ตาม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ PDPA การที่นิติบุคคลเลิกกิจการ ไม่ได้ทำให้พันธะทางกฎหมายที่เกี่ยวข้องกับข้อมูลส่วนบุคคลหมดไป เพราะก่อนที่บริษัทซึ่งเป็น “ผู้ควบคุมข้อมูลส่วนบุคคล” จะยุติบทบาทการเป็นนิตบุคคล บริษัทมีหน้าที่ในการดำเนินการกับข้อมูลอย่างปลอดภัย และต้องปฏิบัติตามหลักการสำคัญของ PDPA ได้แก่
การเก็บข้อมูลเท่าที่จำเป็น (Data Minimization) มาตรา 22 วรรคหนึ่ง (2)
การใช้ข้อมูลตามวัตถุประสงค์ที่แจ้งไว้ (Purpose Limitation) มาตรา 22 วรรคหนึ่ง (1)
ดังนั้นเมื่อกิจการสิ้นสุดเพราะเลิกกิจการแล้ว จึง ไม่มีเหตุผลหรือความจำเป็นในการเก็บข้อมูลต่อไป ทำให้ต้องดำเนินการ ลบ ทำลาย หรือทำให้ไม่สามารถระบุตัวบุคคลของเจ้าของข้อมูลส่วนบุคคลได้ ตามหลักการความรับผิดชอบ (Accountability) ของ PDPA ซึ่งระบุในมาตรา 37 (3) และ ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์ในการลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ พ.ศ. 2567
กรณี Foodpanda ที่สะท้อนหลักการนี้อย่างชัดเจน
การที่ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ได้ติดตามสถานการณ์การยุติกิจการของ Foodpanda ในประเทศไทย โดยประสานให้บริษัทชี้แจงแผนการลบและทำลายข้อมูลส่วนบุคคลของลูกค้า ร้านค้า และไรเดอร์ เพื่อให้เป็นไปตามมาตรา 37 แห่ง PDPA และเพื่อคุ้มครองสิทธิของเจ้าของข้อมูล ซึ่งแสดงให้เห็นบทบาทเชิงรุกของสคส.ในการกำกับดูแลและปกป้องข้อมูลประชาชนเมื่อเกิดการเปลี่ยนแปลงทางธุรกิจที่สำคัญ
2.ก่อนปิดกิจการ หากไม่ลบข้อมูล อาจจะเกิดผลกระทบต่อไปนี้?
1) เสี่ยงต่อการละเมิดสิทธิของเจ้าของข้อมูล ซึ่งเจ้าของข้อมูลอาจร้องเรียนหรือฟ้องร้องได้
2) ข้อมูลที่หลุดรั่วภายหลังจะกลายเป็นภาระทางกฎหมาย
- ถูกปรับตาม PDPA โทษปรับทางปกครองสูงสุดถึง 5 ล้านบาทต่อกรณี (ตามมาตรา 83 แห่ง PDPA)
- หากมีข้อมูลส่วนบุคคลลักษณะพิเศษ หรือข้อมูลอ่อนไหวที่ทำให้เกิดความเสียหายร้ายแรง อาจถูกฟ้องทางอาญาได้ (มาตรา 79 และ 80 แห่ง PDPA)
2) ความเสียหายต่อชื่อเสียงของผู้บริหาร และผู้ถือหุ้น ซึ่งอนุมัติให้ปิดกิจการ อาจถูกมองว่าไม่ปฏิบัติตามกฎหมาย แม้บริษัทจะปิดตัวไปแล้ว
3) ทำให้ไม่สามารถปิดกิจการได้
3.ก่อนเลิกกิจการ บริษัทสามารถขายข้อมูลลูกค้าออกไปในฐานะ “ทรัพย์สิน” ได้หรือไม่
แม้ข้อมูลลูกค้าจะดูเหมือนเป็น “ทรัพย์สินดิจิทัล” ที่มีมูลค่าในเชิงธุรกิจ แต่ภายใต้ PDPA ข้อมูลส่วนบุคคลไม่ใช่ทรัพย์สินของบริษัท บริษัทไม่มีสิทธิโอนขายข้อมูลให้บุคคลอื่น หากไม่มีกำหนดในประกาศความเป็นส่วนตัว และเป็นไปตามวัตถุประสงค์เดิมที่ได้แจ้งไว้เท่านั้น แม้จะมีกำหนดไว้ในประกาศความเป็นส่วนตัว ก็มีความจำเป็นที่จะต้องขอความยินยอมจากลูกค้าอย่างชัดแจ้ง
การขายข้อมูลลูกค้าโดยไม่ได้รับความยินยอมจึงถือเป็น การละเมิดสิทธิขั้นพื้นฐานของเจ้าของข้อมูล และอาจมีผลทางกฎหมายอย่างรุนแรง
4.เจ้าของข้อมูลควรทำอย่างไรเมื่อทราบว่าบริษัทเลิกกิจการ?
1) ใช้สิทธิตามมาตรา 37 วรรคหนึ่ง (3) แห่ง PDPA โดยแจ้งไปยังกิจการที่กำลังจะเลิกกิจการ ขอให้บริษัทลบ ทำลาย หรือระงับการใช้ข้อมูลส่วนบุคคลของตน
2) ยื่นคำร้องต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.)
5.นอกจาก PDPA แล้ว กรณีการเลิกกิจการมีกฎหมายอื่นคุ้มครองเจ้าของข้อมูลส่วนบุคคลหรือไม่
ตาม พระราชกฤษฎีกาการประกอบธุรกิจบริการแพลตฟอร์มดิจิทัลที่ต้องแจ้งให้ทราบ พ.ศ. 2565 (DPSA) ซึ่งดูแลโดยสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (สพธอ.) หรือ ETDA Thailand
1) ผู้ให้บริการแพลตฟอร์มดิจิทัลที่เข้าข่ายตามมาตรา 6 และมาตรา 9 ต้องแจ้งการประกอบธุรกิจ และดำเนินการตามข้อกำหนดเกี่ยวกับการรักษาข้อมูล การให้ข้อมูลที่ชัดเจนแก่ผู้ใช้บริการ และการจัดการเมื่อมีการเลิกกิจการ
2) สำหรับกิจการที่ไม่ทราบว่าตัวเองเข้าข่ายสามารถศึกษาจากเว็บนี้ได้ https://www.etda.or.th/th/contact/faq/Digital-Platform.aspx
3) สามารถตรวจสอบรายชื่อ แพลตฟอร์มที่ได้จดแจ้งที่ ETDA แล้วได้ที่ https://eservice.etda.or.th/dps/th/opendata/section14
4) หากแพลตฟอร์มปิดตัว ต้องแจ้งล่วงหน้าและจัดการข้อมูลผู้ใช้ เช่น ให้โอกาสดาวน์โหลดข้อมูล หรือลบข้อมูลของตนก่อนระบบยุติการให้บริการ
หากฝ่าฝืน ไม่แจ้ง หรือไม่ดำเนินการตามข้อกำหนด มีบทลงโทษทางปกครอง
กรณีของ Foodpanda เป็นกิจการที่เข้าข่ายแพลตฟอร์มดิจิทัลตามมาตรา 9 มีการจัดแจ้งกับ ETDA เรียบร้อย และเป็นกิจการขนาดใหญ่ การปิดกิจการ ต้องแจ้งล่วงหน้า 120 วัน พร้อมแผนและมาตรการบรรเทาความเสียหายและชดใช้หรือเยียวยาผู้ใช้บริการก่อนเลิกประกอบธุรกิจด้วย
ดังนั้นการเลิกกิจการของบริษัทไม่สามารถปฎิเสธความรับผิดชอบทางกฎหมายที่เกี่ยวข้องกับข้อมูลส่วนบุคคล ตรงกันข้าม การจัดการข้อมูลลูกค้าในช่วงเลิกกิจการคือบททดสอบสำคัญของธรรมาภิบาลขององค์กร บริษัทที่ต้องการรักษาความน่าเชื่อถือขององค์กร ผู้บริหาร และพันธมิตรทางธุรกิจ ควรปฏิบัติตามกฎหมาย PDPA และ DPSA อย่างเคร่งครัด กรณีตัวอย่างของการยุติกิจการ Foodpanda และบทบาทเชิงรุกของ สคส. เป็นเครื่องยืนยันอย่างชัดเจนว่า หน่วยงานกำกับดูแลข้อมูลส่วนบุคคลของไทยให้ความสำคัญกับสิทธิของประชาชนอย่างแท้จริง และบริษัทไม่สามารถละเลยหน้าที่ดังกล่าวได้