top of page
Admin

เจ้าของข้อมูลมีสิทธิขอสำเนาเอกสารต้นฉบับทั้งหมดได้หรือไม่ ?


คำถามนี้เกิดขึ้นแล้วในต่างประเทศภายใต้กฎหมาย GDPR


แต่คำตอบของสำนักงานคณะกรรมการด้านข้อมูลข่าวสาร หรือ The Information Commissioner’s Office (ICO) คือลูกค้าหรือเจ้าของข้อมูลส่วนบุคคลจะขอสำเนาเอกสารทั้งหมดไม่ได้

เนื่องจากสิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject) ไม่ได้ครอบคลุมการขอสำเนาเอกสารของต้นฉบับทั้งหมด จะขอได้เฉพาะข้อมูลส่วนบุคคลที่ปราฎอยู่ในเอกสารเท่านั้น เช่น รายการการทำธุรกรรมของลูกค้า ก็ถือว่าธนาคารได้ปฏิบัติตามสิทธิในการร้องขอเรื่องนี้ของลูกค้าหรือเจ้าของข้อมูลแล้ว


เช่น หากเจ้าของข้อมูลส่วนบุคคล ขอสำเนารายงานการเคลื่อนไหวทางบัญชีย้อนหลังกับธนาคาร ธนาคารไม่จำเป็นต้องทำสำเนาของเอกสารต้นฉบับทั้งหมดให้ แต่สามารถให้ได้เฉพาะข้อมูลส่วนบุคคลที่อยู่ในเอกสารนั้น ๆ


ตัวอย่างเช่น ธนาคารอาจให้เฉพาะรายการธุรกรรมที่มีข้อมูลส่วนบุคคล ซึ่งไม่ใช่เอกสารรายงานการเคลื่อนไหวทางบัญชีที่ธนาคารออกให้ลูกค้าเพื่อเป็นหลักฐานในการทำธุรกรรมอื่น ๆ

โดยการให้สำเนาข้อมูลนั้นหากไม่มีการขอใช้สิทธิมากจนเกินไปหรือไม่เป็นการขอซ้ำ ๆ ในเรื่องเดียวกัน เป็นเพียงแค่สำเนาหนึ่งสำเนานั้น ตาม GDPR Art. 12 ผู้ควบคุมข้อมูลส่วนบุคคล เช่น สถาบันการเงินต้องให้แบบไม่คิดค่าธรรมเนียมและค่าใช้จ่าย แต่หากมีการใช้สิทธิขอมากไปหรือไม่สมเหตุสมผล หรือไม่ต้องการใช้สิทธิจริง ๆ สถาบันการเงินหรือธนาคารอาจปฏิเสธการใช้สิทธิของลูกค้าหรืออาจพิจารณาคิดค่าธรรมเนียมได้


อย่างไรก็ตามในกรณีดังกลาวนี้ได้มีข้อพิพาทฟ้องร้องต่อศาลปกครองกลางของประเทศออสเตรีย

โดยศาลดังกล่าวได้ตัดสินให้เจ้าของข้อมูลส่วนบุคคลที่ใช้สิทธิตาม GDPR Art. 15 (Right of Access by the Data Subject) ในการขอสำเนารายงานการเคลื่อนไหวทางบัญชีเกี่ยวกับธุรกรรมการชำระค่าเช่าย้อนหลัง 5 ปีกับธนาคารได้โดยไม่มีค่าใช้จ่ายตาม Art. 12 GDPR เนื่องจากต้องเอาไปเป็นหลักฐานในการต่อสู้คดีกับกับบริษัทผู้ให้เช่าอสังหาริมทรัพย์เกี่ยวกับการชำระค่าเช่า

โดยมีการสรุปข้อพิพาทของคดีดังนี้


ศาลปกครองกลางของประเทศออสเตรีย ได้พิพากษาว่าธนาคารได้ละเมิด Art. 15 ของกฎหมายคุ้มครองส่วนบุคคลของสหภาพยุโรป (GDPR) โดยปฏิเสธที่จะให้ลูกค้าสิทธิเข้าถึงข้อมูล (Right of Access) (โดยไม่มีค่าใช้จ่าย) ในกาทำธุรกรรมการชําระเงินบางอย่างในช่วง 5 ปีที่ผ่านมา

โดยในคดีนี้ลูกค้าของสถาบันการเงินมีข้อพิพาทกับผู้ให้เช่าเกี่ยวกับการชำระค่าเช่าในช่วงระยะเวลา 5 ปี ที่ผ่านมา ลูกค้าจึงต้องการหลักฐานการชำระค่าเช่าจากธนาคาร 5 ปีย้อนหลัง

อย่างไรก็ตามระบบออนไลน์ของธนาคารจํากัดการเข้าถึงธุรกรรมที่ทำในช่วง 12 เดือนย้อนหลังเท่านั้น ดังนั้นลูกค้าจึงได้ขอข้อมูลจากธนาคารเพิ่มเติมอีก 4 ปี ย้อนหลัง แต่ธนาคารเสนอจะให้ข้อมูลนี้ดังกล่าวโดยเรียกเก็บค่าธรรมเนียมในอัตราปีละ 30 ยูโรต่อปี ตามมาตรา 33(2) ของกฎหมายเกี่ยวกับการให้บริการการชำระเงิน พศ. 2561 (ZaDig 2018) ตาม Art. 40(2) ของ EU Payment Services Directive (2015/2366/EC) (PSD II)


ต่อมาลูกค้าจึงได้ขอให้ธนาคารให้ข้อมูลเกี่ยวกับข้อมูลส่วนบุคคลของลูกค้าที่มีการประมวลผลโดยธนาคาร โดยเฉพาะอย่างยิ่ง ข้อมูลเกี่ยวกับการชำระค่าเช่าให้แก่บริษัทผู้ให้เช่าหลายราย โดยธนาคารไม่ได้ตอบรับการใช้สิทธิของลูกค้า ลูกค้าจึงได้ร้องเรียนต่อหน่วยงานที่มีอำนาจเรื่องการคุ้มครองข้อมูลส่วนบุคคล


โดยหน่วยงานดังกล่าวได้ตัดสินว่าธนาคารฝ่าฝืนสิทธิในการเข้าถึงข้อมูลส่วนบุคคลของลูกค้าตาม GDPR Art. 15 และสั่งให้ธนาคารให้ข้อมูลแก่ลูกค้ารายดังกล่าวภายในเวลา 2 สัปดาห์

ธนาคารจึงได้อุทธรณ์คำสั่งดังกล่าวต่อศาลปกครองกลางของประเทศออสเตรีย ศาลได้ยกอุทธรณ์ของธนาคารโดยเห็นว่าลูกค้ามีสิทธิเข้าถึงข้อมูลส่วนบุคคลตาม Art. 15 ของ GDPR ไม่ว่าธนาคารจะได้ปฏิบัติตามกฎหมายเกี่ยวกับการให้บริการการชำระเงิน พศ. 2561 (ZaDig 2018) แล้วหรือไม่

และแม้ธนาคารจะอ้างว่าลูกค้าใช้สิทธิในการเข้าถึงข้อมูลส่วนบุคคลเพื่อหลีกเลี่ยงการชำระค่าธรรมเนียมตามกฎหมายเกี่ยวกับการให้บริการการชำระเงิน พศ. 2561 (ZaDig 2018) ก็ตาม จึงทำให้ลูกค้าเป็นผู้ชนะคดี


ก่อนจบ โน๊ตไว้ตามมาตรา ๓๐ พ.ร.บ. คุ้มครองข้อมูลส่วนบุค พ.ศ. ๒๕๖๒

เจ้าของข้อมูลส่วนบุคคล....... 1. มีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคล ที่เกี่ยวกับตนซึ่งอยู่ในความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล 2. หรือขอให้เปิดเผยถึงการได้มา ซึ่งข้อมูลส่วนบุคคลดังกล่าวที่ตนไม่ได้ให้ความยินยอม 3. ผู้ควบคุมข้อมูลส่วนบุคคลต้องปฏิบัติตามคำขอตามวรรคหนึ่ง 4. จะปฏิเสธคำขอได้เฉพาะในกรณี ที่เป็นการปฏิเสธตามกฎหมายหรือคำสั่งศาล และการเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลนั้น จะส่งผลกระทบที่อาจก่อให้เกิดความเสียหายต่อสิทธิและเสรีภาพของบุคคลอื่น 6. ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลปฏิเสธคำขอตามวรรคหนึ่ง ให้ผู้ควบคุมข้อมูลส่วนบุคคล บันทึกการปฏิเสธคำขอดังกล่าวพร้อมด้วยเหตุผลไว้ในรายการตามมาตรา ๓๙ เมื่อเจ้าของข้อมูลส่วนบุคคลมีคำขอตามวรรคหนึ่งและเป็นกรณีที่ไม่อาจปฏิเสธคำขอได้ ตามวรรคสอง ให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการตามคำขอโดยไม่ชักช้า แต่ต้องไม่เกิน 30 วัน นับแต่วันที่ได้รับคำขอ 7. คณะกรรมการอาจกำหนดหลักเกณฑ์เกี่ยวกับการเข้าถึงและการขอรับสำเนาตามวรรคหนึ่ง รวมทั้ง การขยายระยะเวลาตามวรรคสี่หรือหลักเกณฑ์อื่นตามความเหมาะสมก็ได้


ที่มา :