แนวทางปฏิบัติสำหรับผู้ประกอบการต่อเหตุการณ์ละเมิดข้อมูลส่วนบุคคล
ผู้ประกอบการในฐานะผู้ควบคุมข้อมูลส่วนบุคคลมีความจำเป็นอย่างยิ่งที่จะต้องได้รับคำปรึกษาจากผู้ที่มีความรู้ความเข้าใจทั้งในด้านกฎหมายและเทคโนโลยี
Cap & Corp Form
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ มาตรา 37 (4) ได้กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่แจ้งเหตุการณ์ละเมิดข้อมูลส่วนบุคคลแก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายใน 72 ชั่วโมงนับแต่ทราบเหตุ และในบางกรณีอาจต้องแจ้งแก่เจ้าของข้อมูลส่วนบุคคล และมาตรา 40 (3) ยังได้กำหนดหน้าที่ให้ผู้ประมวลผลข้อมูลส่วนบุคคลแจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบถึงเหตุการณ์ละเมิดข้อมูลส่วนบุคคลด้วย โดยการแจ้งถึงเหตุการณ์ละเมิดข้อมูลส่วนบุคคลตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ นั้นแบ่งได้เป็นสองกรณีด้วยกัน กล่าวคือ
1)กรณีที่เหตุการณ์ละเมิดข้อมูลส่วนบุคคลมีความเสี่ยงที่จะกระทบต่อ “สิทธิและเสรีภาพของบุคคล” ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งแก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายใน 72 ชั่วโมง และ
2)กรณีที่การละเมิดข้อมูลส่วนบุคคลมีความเสี่ยงสูงที่จะกระทบต่อสิทธิและเสรีภาพของบุคคล (likely to result in a high riskto the rights and freedoms of natural persons) ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งเหตุแห่งการละเมิดแก่เจ้าของข้อมูลพร้อมกับแนวทางเยียวยาเหตุละเมิดนั้นด้วย
หากพิจารณาเพียงเนื้อหาของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ อาจเห็นว่าไม่ได้มีความซับซ้อนอะไรในการปฏิบัติตามกฎหมาย แต่ในทางปฏิบัติผู้ควบคุมข้อมูลส่วนบุคคลมีความจำเป็นอย่างยิ่งที่จะต้องมีความเข้าใจบริบทของเทคโนโลยีและการวางระบบความปลอดภัยทางเทคโนโลยี ดังนั้นผู้เขียนจึงจะขอนำกรณีศึกษาของเหตุข้อมูลรั่วไหลพร้อมทั้งคำแนะนำจากผู้เชี่ยวชาญด้านเทคโนโลยีมาแบ่งปันพอให้เป็นแนวทางแก่ผู้ประกอบการไทยในการเตรียมตัวให้พร้อมต่อการบังคับใช้พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ในอนาคตอันใกล้นี้
กรณีศึกษานี้เกิดขึ้นเมื่อเดือนกุมภาพันธ์ 2561 โดยผู้บริหารด้านความมั่นคงปลอดภัยของบริษัทแห่งหนึ่งในยุโรป ได้รับการแจ้งเตือนจากระบบอัตโนมัติว่าข้อมูลบางอย่างที่ถูกเก็บไว้บนเซิร์ฟเวอร์ถูกเข้ารหัส (decrypted) หลังจากการสอบสวนพบว่าข้อมูลที่ถูกโอนออกไปประกอบด้วย ชื่อ ที่อยู่ อีเมล และข้อมูลบัตรเครดิตของลูกค้า ซึ่งข้อมูลทั้งหมดล้วนจัดเป็นข้อมูลส่วนบุคคลที่ถูกจัดเก็บไว้โดยไม่ได้ทำการแปลงข้อมูลไม่ให้สามารถอ่านได้ ขณะเกิดเหตุโปรแกรมป้องกันข้อมูลรั่ว (data loss prevention software) ที่ถูกติดตั้งไว้บนเซิร์ฟเวอร์แจ้งว่าข้อมูลส่วนบุคคลดังกล่าวได้ถูกเข้ารหัสผ่านการใช้ API จากผู้ใช้รายหนึ่งในประเทศอินโดนีเซีย
โดยการเข้าถึงข้อมูลในครั้งนี้มีลักษณะที่แตกต่างไปจากการเข้าถึงข้อมูลที่ถูกดำเนินการโดยเจ้าหน้าที่ที่ใช้งานตามปกติ (unusual activity API access) และหลังจากการตรวจสอบทาง IT Security จึงพบว่าผู้โจรกรรมเข้าถึงเซิร์ฟเวอร์จากปลายทางที่ข้อมูลได้ถูกส่งไปและทำการอัปโหลดไฟล์ที่เรียกว่า “Web shell” ซึ่งเป็นไฟล์ที่ทำให้ผู้โจรกรรมสามารถเข้ารหัสของไฟล์ที่เก็บข้อมูลไว้ได้ขึ้นไปบนเซิร์ฟเวอร์ที่จัดเก็บข้อมูลดังกล่าว
จากกรณีข้างต้น หากการละเมิดข้อมูลในลักษณะนี้เกิดขึ้นกับผู้ประกอบการในประเทศไทยหลังจากที่พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ มีผลบังคับใช้แล้ว ผู้ประกอบการที่อยู่ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลอาจมีความรับผิดทั้งในเรื่องค่าสินไหมทดแทนเพื่อการลงโทษและค่าปรับทางปกครองสูงสุดถึงสามล้านบาท ดังนั้น เพื่อเป็นการป้องกันความเสียหาย ระงับเหตุ ปฏิบัติตามกฎหมาย และสามารถดำเนินการแจ้งเหตุการณ์ละเมิดได้ถูกต้องตามที่พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ กำหนด ผู้ประกอบการควรดำเนินการตามขั้นตอนต่าง ๆ ดังต่อไปนี้
1)เริ่มปฏิบัติการตามแผนการรับมือต่อเหตุการณ์ละเมิดข้อมูลส่วนบุคคลและทำการจัดตั้งคณะทำงาน (Activate breach response plan & convene manage incident team) เพื่อรับผิดชอบโดยตรงต่อเหตุการณ์ดังกล่าว โดยในคณะทำงานข้างต้นควรประกอบด้วยผู้มีอำนาจตัดสินใจทางด้านกฎหมายธุรกิจ IT และฝ่ายบุคคล
2)แจ้งไปยังบริษัทประกันภัย (Cyber liability insurance) ที่ปรึกษาด้านกฎหมายหรือเทคโนโลยี (ถ้ามี) โดยในกรณีที่มีที่ปรึกษาทางด้านเทคโนโลยีผู้ประกอบการควรเลือกที่ปรึกษาที่มีความเข้าใจทางด้านกฎหมายด้วย เนื่องจากในกรณีที่ต้องมีการทำรายงานถึงเหตุการณ์ละเมิดข้อมูลส่วนบุคคลต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หากการรายงานดังกล่าวทำไปโดยไม่ได้คำนึงถึงข้อกฎหมายต่าง ๆ ที่เกี่ยวข้อง รายงานดังกล่าวอาจเป็นข้อยุ่งยากและข้อเสียเปรียบในการดำเนินคดีต่าง ๆ ที่อาจจะตามมาได้
3)เริ่มทำการเก็บรวบรวมข้อมูลต่าง ๆ ที่เกี่ยวข้องและพิจารณาข้อมูลดังกล่าว (Information gathering and keep information under review) การตอบสนองต่อเหตุการณ์ละเมิดข้อมูลส่วนบุคคลในระยะ 48-72 ชั่วโมงแรก คณะทำงานและผู้ที่มีหน้าที่รับผิดชอบควรเก็บรวบรวมข้อมูลต่าง ๆ ที่เกี่ยวข้องกับเหตุการณ์ให้ได้มากที่สุด ทั้งนี้เพื่อใช้ในการตรวจหาสาเหตุและลดความเสียหายที่อาจเกิดขึ้นกับธุรกิจ รวมถึงใช้เป็นหลักฐานประกอบการดำเนินคดีตามกฎหมายที่อาจจะตามมา
4)พิจารณาว่าต้องมีการแจ้งเหตุแห่งการละเมิดดังกล่าวไปยังสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลหรือเจ้าของข้อมูลส่วนบุคคลหรือไม่ (notify regulator or individuals) ในขั้นตอนนี้ต้องมีการประเมินว่าเหตุการณ์ที่เกิดขึ้นถือเป็นเหตุการณ์ที่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลในระดับใด มีความเสี่ยงสูงหรือไม่
นอกจากนี้มีอีกประเด็นที่ยังมีความไม่ชัดเจนคือ ตามกฎหมายใช้คำว่า “กระทบต่อสิทธิและเสรีภาพของบุคคล” ซึ่งหากเทียบเคียงกับการบังคับใช้ GDPR สิทธิและเสรีภาพของบุคคลไม่ได้หมายความถึงเฉพาะสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลตามที่กำหนดในพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ เท่านั้น แต่ต้องหมายความรวมถึงสิทธิขั้นพื้นฐานต่าง ๆ ของบุคคลด้วย (fundamental rights)
และตามกฎหมายไทยก็แยกระหว่างคำว่า “สิทธิและเสรีภาพของบุคคล” และ “สิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล” อย่างชัดเจน (ตามแนวทางของ GDPR) ซึ่งการพิจารณาผลกระทบต่อสิทธิดังกล่าวอาจมีความจำเป็นต้องพิจารณาบริบทกฎหมายอื่น ๆ อย่างรอบด้านประกอบด้วย
เมื่อพิจารณาจากกรณีศึกษาข้างต้นและขั้นตอนการตอบสนองต่อเหตุการณ์ละเมิดข้อมูลส่วนบุคคล จะเห็นได้ว่าผู้ประกอบการในฐานะผู้ควบคุมข้อมูลส่วนบุคคลมีความจำเป็นอย่างยิ่งที่จะต้องได้รับคำปรึกษาจากผู้ที่มีความรู้ความเข้าใจทั้งในด้านกฎหมายและเทคโนโลยี เนื่องจากการจัดเก็บและดูแลรักษาข้อมูลส่วนบุคคลที่อยู่ในความควบคุมของตนนั้นไม่สามารถทำได้อย่างเหมาะสมในทางใดทางหนึ่ง เช่นผู้ประกอบการรายหนึ่งอาจจัดทำสัญญาหรือเขียนข้อกำหนดต่าง ๆ เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล แต่ไม่มีการติดตั้งหรือวางระบบเทคโนโลยีด้านความปลอดภัยแก่ระบบคอมพิวเตอร์ในองค์กร
ในขณะที่ผู้ประกอบการอีกรายหนึ่งจัดให้มีการติดตั้งหรือวางระบบเทคโนโลยีด้านความปลอดภัยแก่ระบบคอมพิวเตอร์ในองค์กร แต่ไม่มีการจัดให้มีการทำเอกสารสัญญาใด ๆ ที่ถูกต้องเหมาะสมในทางกฎหมาย กรณีนี้ ผู้ประกอบการทั้งสองรายข้างต้นล้วนมีความเสี่ยงที่จะไม่สามารถดำเนินการให้เป็นไปตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ได้ และอาจนำมาซึ่งความรับผิดในอนาคต
…
ศุภวัชร์ มาลานนท์
คณะนิติศาสตร์ มหาวิทยาลัยสงขลานครินทร์
Max Planck Institute Luxembourg
ชิโนภาส อุดมผล
Optimum Solution Defined (OSDCo., Ltd.)