ผลกระทบของกฎหมายคุ้มครองข้อมูลส่วนบุคคลต่อการควบรวมกิจการ

บทความโดย Joe Bauerschmidt, Carolyn Bigg และ ธีรินทร์ วณิเกียรติ DLA Piper

ในช่วงปีที่ผ่านมาสำนักงานคณะกรรมาธิการด้านข้อมูลข่าวสารของสหราชอาณาจักร (ICO) ได้เริ่มลงโทษปรับบริษัทที่มีชื่อเสียงระดับโลกเป็นจำนวนเงินมหาศาล (บางรายมีจำนวนเงินสูงถึง 4 พันล้านบาท) สำหรับการละเมิดความปลอดภัยทางด้านข้อมูลส่วนบุคคลอันเป็นการฝ่าฝืนกฎหมาย General Data Protection Regulation (GDPR) ของสหภาพยุโรป (EU) ดังนั้น สำหรับแนวโน้มในอนาคตทั่วโลก รวมทั้งในประเทศไทย ธุรกิจที่มีการใช้ข้อมูลส่วนบุคคลจำนวนมาก (เช่น ผู้ประกอบการโรงแรม ห้างสรรพสินค้า ร้านค้า สายการบิน แพลตฟอร์มออนไลน์ ประกัน ธนาคาร สถาบันการเงิน โรงพยาบาลและผู้ให้บริการด้านการแพทย์) ควรเตรียมพร้อมสำหรับมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เข้มงวดขึ้น ในขณะเดียวกันผู้ที่สนใจจะเข้าซื้อกิจการดังกล่าว ก็ควรมีข้อพึงระวังและข้อปฏิบัติที่แตกต่างออกไป

ผลของกฎหมาย GDPR ต่อธุรกิจไทย

ก่อนอื่นเราต้องเข้าใจเสียก่อนว่ากฎหมาย GDPR สามารถมีผลบังคับใช้ในประเทศไทยได้ โดยธุรกิจที่ตั้งอยู่ในประเทศไทยก็อาจต้องปฏิบัติตามกฎหมาย GDPR หากมีการประมวลผลข้อมูลส่วนบุคคลของบุคคลธรรมดาใน EU ในการ (1) นำเสนอสินค้าและบริการให้แก่บุคคลดังกล่าว หรือ (2) ติดตามพฤติกรรมของบุคคลดังกล่าวใน EU

ดังนั้นธุรกิจไทยที่มีการนำเสนอสินค้าหรือบริการโดยช่องทางออนไลน์ที่ตั้งใจให้บุคคลธรรมดาใน EU สามารถเข้าถึงได้และมีการประมวลผลข้อมูลของบุคคลดังกล่าว ย่อมอาจเข้าข่ายต้องปฏิบัติตามกฎหมาย GDPR เช่นกัน

นอกจากนั้น ค่าปรับภายใต้กฎหมาย GDPR ยังมีจำนวนสูงถึงร้อยละ 4 ของยอดรายได้ทั่วโลกของผู้ฝ่าฝืน หรือ 20 ล้านยูโร แล้วแต่จำนวนใดจะสูงกว่า ดังนั้น นอกเหนือไปจากการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลของประเทศไทยแล้ว ผู้ประกอบการอาจต้องคำนึงถึงกฎหมาย GDPR เพิ่มเติมด้วย

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลของไทย

ประเทศไทยได้ออกกฎหมายคุ้มครองข้อมูลส่วนบุคคล ซึ่งจะใช้บังคับอย่างสมบูรณ์ในเดือนพฤษภาคมปีหน้า โดยกฎหมายนี้ได้ช่วยยกระดับการคุ้มครองข้อมูลส่วนบุคคลในประเทศไทยขึ้นอย่างมาก เช่น

• การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลจะต้องได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลเป็นหนังสือหรือทางระบบอิเล็กทรอนิกส์

• ข้อความที่ใช้ในการขอความยินยอมจะต้องแยกส่วนจากข้อความอื่นๆ อย่างชัดเจน ใช้ภาษาที่อ่านง่าย มีข้อความที่เข้าถึงได้ง่ายและเข้าใจได้ และต้องแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไว้ด้วย และเจ้าของข้อมูลต้องสามารถถอนความยินยอมดังกล่าวเมื่อใดก็ได้

• ผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดให้มีมาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลตามมาตรฐานที่กฎหมายกำหนด

• ในการส่งข้อมูลส่วนบุคคลไปยังต่างประเทศ ประเทศปลายทางที่รับข้อมูลต้องมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ

การฝ่าฝืนกฎหมายนี้อาจถือเป็นเป็นความผิดทั้งทางแพ่ง อาญาและปกครอง เจ้าของข้อมูลส่วนบุคคลที่ถูกละเมิดอาจได้รับการชดเชยในทางแพ่ง นอกจากนั้นผู้กระทำผิดอาจต้องโทษปรับตั้งแต่ 500,000 บาท ถึง 5 ล้านบาท และอาจต้องโทษจำคุกเป็นเวลาตั้งแต่ 6 เดือนถึง 1 ปี

กฎหมายคุ้มครองข้อมูลส่วนบุคคลและผลกระทบต่อการควบรวมกิจการ

การตรวจสอบกิจการ (Due Diligence)

จากมาตรการการคุ้มครองข้อมูลส่วนบุคคลและแนวโน้มของการบังคับใช้กฎหมายที่เข้มงวดขึ้น ผู้ที่สนใจจะซื้อกิจการที่ต้องเกี่ยวข้องกับข้อมูลส่วนบุคคลเป็นจำนวนมาก ควรเพิ่มการตรวจสอบกิจการในเรื่องการคุ้มครองข้อมูลส่วนบุคคลด้วย เช่น

• พิจารณาการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของธุรกิจนั้นๆ

• ประเมินว่าข้อมูลส่วนบุคคลสามารถเปิดเผยต่อผู้ซื้อได้หรือไม่ หรือจำเป็นต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลนั้นก่อนหรือไม่ โดยเฉพาะอย่างยิ่ง ในกรณีการซื้อขายทรัพย์สิน

• ประเมินว่าขอบเขตการให้ความยินยอมจากเจ้าของข้อมูลส่วนบุคคลซึ่งได้ไว้ก่อนหน้านี้เพียงพอต่อความต้องการและกรอบธุรกิจของผู้ซื้อหรือไม่ หรือผู้ซื้ออาจต้องขอความยินยอมจากเจ้าของข้อมูลเพิ่มเติม

• พิจารณามาตรการความความมั่นคงและปลอดภัยทางเทคโนโลยีสารสนเทศ คอมพิวเตอร์และอิเล็กทรอนิกส์ (IT and cyber security) โดยว่าจ้างที่ปรึกษาที่มีความรู้เฉพาะด้านมาช่วยตรวจสอบพิจารณาว่าธุรกิจนั้นๆ มีกรมธรรม์ประกันภัย (เช่น cyber security insurance) ที่คุ้มครองถึงการละเมิดข้อมูลส่วนบุคคล (เช่น การเจาะระบบเพื่อขโมยข้อมูล หรือทำลายข้อมูล) ที่เพียงพอหรือไม่

คำรับรองและการชดใช้ค่าสินไหมทดแทน

เนื่องจาก การฝ่าฝืนกฎหมายคุ้มครองข้อมูลส่วนบุคคลเป็นเรื่องที่รุนแรง ดังนั้น ผู้ซื้อควรพยายามกำหนดให้ผู้ขายให้คำรับรองโดยเฉพาะว่าธุรกิจนั้นๆ มีลักษณะดังนี้

• ไม่เคยฝ่าฝืน และได้ปฏิบัติตามกฎหมายการคุ้มครองข้อมูลส่วนบุคคลอย่างครบถ้วน

• ไม่มีความเสี่ยงว่าธุรกิจนั้นๆ จะมีข้อพิพาทในด้านการคุ้มครองข้อมูลส่วนบุคคล

• มีกลไก IT and cyber security ที่เหมาะสมและเพียงพอ

• ได้รับการตรวจสอบระบบ IT and cyber security โดยผู้เชี่ยวชาญเฉพาะทางอย่างเหมาะสมและสม่ำเสมอ และ

• มีเจ้าหน้าที่ดูแลรักษาความปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสม และธุรกิจมีนโยบายการคุ้มครองข้อมูลส่วนบุคคลที่ครบถ้วน

นอกจากนี้ หากเป็นไปได้ ผู้ซื้อควรกำหนด (อาจขอ) ให้ผู้ขายชดใช้ค่าสินไหมทดแทนเป็นกรณีพิเศษหากมีการฝ่าฝืนคำรับรองข้างต้น หรือมีการฝ่าฝืนกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่เกิดขึ้นก่อนการควบรวมกิจการ