การเริ่มนับระยะเวลา แจ้งเหตุการละเมิดข้อมูลส่วนบุคคล | ศุภวัชร์ มาลานนท์

หน้าที่แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลดังกล่าว มีประเด็นที่ต้องพิจารณาทางกฎหมายหลายประการ โดยเฉพาะการเริ่มนับระยะเวลา 72 ชั่วโมงว่าเริ่มเมื่อไหร่ เนื่องจากองค์กรอาจมีความรับผิดทางกฎหมายหากไม่แจ้งภายในระยะเวลาที่กฎหมายกำหนด

ถ้อยคำหนึ่งในมาตรา 37(4) ที่เป็นจุดเริ่มต้นสำคัญของการเริ่มนับระยะเวลา คือ “นับแต่ทราบเหตุ” (become aware) ซึ่งต้องทำความเข้าใจทั้งข้อเท็จจริงและข้อกฎหมายประกอบกัน เพื่อทำความเข้าใจจุดเริ่มต้นการนับระยะเวลาดังกล่าวมากขึ้น 

ผู้เขียนขอนำกรณีศึกษาตาม WP29 Guidelines on Personal Data Breach Notification under Regulation 2016/679 (GDPR) มาเพื่อใช้ประกอบการพิจารณา ดังนี้

WP29 ให้ข้อแนะนำว่าตาม GDPR “นับแต่ทราบเหตุ” ให้เริ่มต้นเมื่อ “ผู้ควบคุมข้อมูลส่วนบุคคล” มีความแน่ใจในว่าเหตุการณ์ข้อมูลรั่วไหลที่เกิดขึ้น (security incident) มีผลทำให้ข้อมูลส่วนบุคคลถูกละเมิด

ในกรณีนี้ต้องทำความเข้าใจก่อนว่าตามแนวทางของ GDPR นั้นไม่ใช่ภัยคุกคามทางไซเบอร์ทุกปะเภทหรือเหตุการณ์ข้อมูลรั่วไหลทุกประเภทจะเข้าเงื่อนไขของ “Data Breach” หรือที่ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ เรียกว่า “เหตุการละเมิดข้อมูลส่วนบุคคล”

ดังนั้น สิ่งแรกที่องค์กรต้องทำการประเมินก่อน คือ ผลของเหตุการณ์ข้อมูลรั่วไหลนั้นได้ส่งผลกระทบต่อความเสี่ยง หรือความไม่มั่นคงปลอดภัยของข้อมูลส่วนบุคคลหรือไม่ 

วินาทีที่มี “reasonable degree of certainty” คือจุดเริ่มต้นนับหนึ่งของระยะเวลา ที่ต้องแจ้งอย่างช้าภายใน 72 ชั่วโมงตามเงื่อนไขที่ GDPR กำหนดหากเหตุการละเมิดข้อมูลส่วนบุคคลนั้นมีความเสี่ยงต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล

ดังนั้น กระบวนการตรวจสอบเหตุการณ์ข้อมูลรั่วไหลเบื้องต้น ที่สามารถนำไปสู่ระดับความแน่นอนพอสมควร (reasonable degree of certainty) ว่าข้อมูลส่วนบุคคลได้ถูกทำให้สูญเสียการเป็นความลับ ความถูกต้อง หรือความพร้อมใช้งาน (Security Triad: loss of confidentiality, integrity and/or availability) จึงเป็นเงื่อนไขบังคับก่อนที่สำคัญของการเริ่มต้นนับระยะเวลา

นอกจากนี้ องค์กรยังมีหน้าที่ต้องจัดให้มีมาตรการเชิงเทคนิคและเชิงองค์กรเพื่อให้มั่นใจว่าองค์กรจะสามารถ “ทราบเหตุ”ได้ภายในระยะเวลาที่เหมาะสม เพื่อให้สามารถดำเนินการตามขั้นตอนต่าง ๆ ที่กฎหมายกำหนดอีกด้วย

ทั้งนี้เพื่อป้องกันมิให้องค์กรใช้เป็นข้ออ้างได้ว่า “ไม่สามารถตรวจพบหรือทราบเหตุ” เพราะเมื่อกฎหมายบังคับให้ต้องมีมาตรการที่เหมาะสมแล้ว โดยผลของการจัดให้มีมาตรการดังกล่าว องค์กรจึงมีหน้าที่ต้องรู้หรือควรรู้ว่าเกิดเหตุการละเมิดข้อมูลส่วนบุคคลภายในระยะเวลาที่เหมาะสมอีกด้วย

อย่างไรก็ตาม การพิจารณา “นับแต่ทราบเหตุ” ก็ยังคงเป็นข้อเท็จจริงที่ต้องพิจารณาเป็นรายกรณีไป ในบางกรณีก็อาจจะใช้เวลาพอสมควรเพื่อให้สามารถแน่ใจ (degree of certainty) ว่าเหตุการณ์ข้อมูลรั่วไหล (security incident) หรือภัยคุกคามทางไซเบอร์ที่เกิดขึ้นได้ส่งผลกระทบต่อความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลด้วย ซึ่ง WP29 ได้ยกตัวอย่างกรณีศึกษาของการพิจารณาไว้ ดังนี้

ตัวอย่างที่ 1 กรณี USB key สูญหาย
กรณีที่ USB key ที่ถูกเข้ารหัสไว้สูญหาย กรณีนี้ย่อมมีความไม่แน่นอนว่าผู้ที่ได้ไปจะสามารถเข้าถึงข้อมูลส่วนบุคคลใน USB key หรือไม่และข้อมูลจะสูญเสียการเป็นความลับหรือไม่ (confidentiality breach) แต่ในกรณีนี้ย่อมเป็นที่แน่นอนว่าองค์กรได้สูญเสียความสามารถในการเข้าถึงข้อมูลหรือความพร้อมใช้ของข้อมูลไปแล้ว (availability breach)

“นับแต่ทราบเหตุ” จึงเริ่มต้นตั้งแต่องค์กรรู้ว่า USB key ได้หายไป

ตัวอย่างที่ 2 ข้อมูลถูกเปิดเผยไปยังบุคคลภายนอก
มีบุคคลภายนอกได้แจ้งให้องค์กรทราบว่าเขาได้รับข้อมูลส่วนบุคคลของลูกค้าขององค์กรโดยอาจจะเกิดจากการส่งอีเมลผิดหรือจดหมายผิด และบุคคลภายนอกนั้นได้แสดงหลักฐานให้เห็นว่าเขาได้รับข้อมูลมาโดยไม่ถูกต้อง กรณีนี้ต้องถือว่าเกิดการสูญเสียการเป็นความลับของข้อมูลส่วนบุคคลขึ้นแล้ว (confidentiality breach)

“นับแต่ทราบเหตุ” จึงเริ่มต้นตั้งแต่องค์กรได้รับทราบหลักฐานของการเกิดเหตุการละเมิดข้อมูลส่วนบุคคล

ตัวอย่างที่ 3 เครือข่ายถูกโจมตีหรือถูกเข้าถึง
ในกรณีที่มีตรวจพบว่าอาจจะมีการเข้าถึงเครือข่ายขององค์กรโดยไม่ชอบด้วยกฎหมาย และองค์กรได้ตรวจสอบระบบแล้วพบว่ามีการเข้าถึงโดยไม่ชอบด้วยกฎหมายดังกล่าวได้ส่งผลกระทบต่อข้อมูลส่วนบุคคลในองค์กร

“นับแต่ทราบเหตุ” จึงเริ่มต้นตั้งแต่องค์กรสามารถยืนยันว่าข้อมูลส่วนบุคคลได้รับผลกระทบ

ตัวอย่างที่ 4 อาชญากรรมทางคอมพิวเตอร์/การเรียกค่าไถ่
    องค์กรถูกเรียกค่าไถ่จากแฮกเกอร์เพื่อแลกกับการไม่เผยแพร่ข้อมูลออกสู่สาธารณะ องค์กรจึงเร่งตรวจสอบระบบของตนเองว่าถูกละเมิดหรือโจมตีโดยบุคคลภายนอกหรือไม่ ข้อเท็จจริงจากการตรวจสอบยืนยันว่ามีการถูกเข้ารหัสข้อมูลโดยบุคคลภายนอกจริง

“นับแต่ทราบเหตุ” จึงเริ่มต้นตั้งแต่องค์กรสามารถยืนยันว่าระบบของตนเองถูกโจมตีและมีข้อมูลส่วนบุคคลได้รับผลกระทบ

ตัวอย่างที่ 5 เหตุการละเมิดเกิดจาก “ผู้ประมวลผลข้อมูลส่วนบุคคล”
หน้าที่ในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลต่อหน่วยงานบังคับใช้กฎหมายเป็นหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล ส่วน “ผู้ประมวลผลข้อมูลส่วนบุคคล” มีหน้าที่แจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้นเท่านั้น 

ใน WP29 Guidelines ไม่ได้ระบุชัดเจนว่า “นับแต่ทราบเหตุ” จะเริ่มจากการที่ “ผู้ประมวลผลข้อมูลส่วนบุคคล” ทราบเหตุหรือจากการที่ผู้ควบคุมข้อมูลส่วนบุคคลได้รับแจ้งจากผู้ประมวลผลข้อมูลส่วนบุคคล แต่ข้อตกลงในสัญญาระหว่างกัน (Data Processing Agreement) ต้องกำหนดหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลให้ชัดเจนว่าต้องดำเนินการอย่างไรบ้างเพื่อสนับสนุนและให้ความร่วมมือกับองค์กรในฐานะผู้ควบคุมข้อมูลส่วนบุคคลเมื่อเกิดเหตุการละเมิดข้อมูลส่วนบุคคลขึ้น

ที่ผู้เขียนกล่าวมาทั้งหมด เป็นเงื่อนไขหนึ่งของหน้าที่ “แจ้ง” เหตุการละเมิดข้อมูลส่วนบุคคลในส่วนของเงื่อนไขการเริ่มนับระยะเวลา 72 ชั่วโมงเท่านั้น การที่ต้องแจ้งหรือไม่ต้องแจ้งและต้องแจ้งใครบ้าง วิธีการแจ้งและมาตรการต่างๆ ที่ต้องดำเนินการเมื่อเกิดเหตุการละเมิดข้อมูลส่วนบุคคล ยังมีรายละเอียดที่ต้องพิจารณา จากการประเมินความเสี่ยงต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคลประกอบอีกด้วย.

อ้างอิง WP29, Guidelines on Personal data breach notification under Regulation 2016/679, 3 October 2017; as last revised and adopted on 6 February 2018

คอลัมน์ : Tech Law and Security 
ศุภวัชร์ มาลานนท์
มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าธนบุรี
ระวีวรรณ ขันติวิริยะพานิช
DPOaaS Limited