ร่างประกาศฯ หลักเกณฑ์และวิธีการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล พ.ศ. ...

ร่างประกาศฯ หลักเกณฑ์และวิธีการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล พ.ศ. ...

สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เผยแพร่ร่างประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล พ.ศ. .... (ร่างประกาศฯ)

เพื่อให้ผู้มีส่วนได้เสียได้ร่วมแสดงความคิดเห็นร่างกฎหมายลำดับรองภายใต้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ระหว่างวันที่ 2 - 20 พฤศจิกายน 2565 โดยสามรถดาวน์โหลดเอกสารและแสดงความคิดเห็นได้ผ่านช่องท่าง http://www.pdpc.or.th 

 ร่างประกาศฯ ดังกล่าวเป็นกฎหมายลำดับรองที่ออกตามความในมาตรา 37(4) ของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ที่กำหนดให้ ผู้ควบคุมมีหน้าที่แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สำนักงานฯ โดยไม่ชักช้าภายใน 72 ชั่วโมงนับแต่ทราบเหตุเท่าที่จะสามารถกระทำได้ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล

ในกรณีที่การละเมิดมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ให้แจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อมกับแนวทางการเยียวยาโดยไม่ชักช้าด้วย  ทั้งนี้ การแจ้งดังกล่าวและข้อยกเว้นให้เป็นไปตามหลักเกณฑ์และวิธีการที่คณะกรรมการประกาศกำหนด

ร่างประกาศฯ กำหนดว่า “การละเมิดข้อมูลส่วนบุคคล” หมายความว่า การรั่วไหลหรือการละเมิดมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคล อันอาจเกิดจากเจตนา ความจงใจ หรือความประมาทเลินเล่อ หรือเหตุผิดพลาด (Accidental) หรือการกระทำผิดกฎหมายอันจะทำให้เกิดความเสียหาย ความสูญหาย การแก้ไขเปลี่ยนแปลงซึ่งข้อมูลส่วนบุคคลที่ถูกต้อง

หรือการเปิดเผยหรือเข้าถึงข้อมูลส่วนบุคคล การเผยแพร่ข้อมูลส่วนบุคคลและการเก็บรักษาข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ รวมถึงกระทำการอื่นใดโดยปราศจากความยินยอมของเจ้าของข้อมูลส่วนบุคคล

หรือการกระทำใดที่ไม่เข้าข้อยกเว้นตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ หรือไม่มีกฎหมายเฉพาะให้อำนาจไว้ ในอันที่จะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (ข้อ 3)

จากบทนิยามดังกล่าวผู้เขียนมีข้อสังเกต 2 ประการ ดังนี้ 

1.    แม้ว่าการรั่วไหลหรือการละเมิดข้อมูลส่วนบุคคลจะเกิดจากเจตนา หรือความรู้เท่าไม่ถึงการณ์ของบุคคลากรหรือเจ้าหน้าที่ของหน่วยงานที่อาจขาดความตระหนักรู้ก็ตาม ก็ถือว่า “เหตุการละเมิด” ได้เกิดขึ้นแล้ว และองค์กรมีหน้าที่ตามกฎหมายในส่วนของการแจ้งเกิดขึ้น

2.    การละเมิดข้อมูลส่วนบุคคล (personal data breach) คือ การที่ข้อมูลสูญเสียองค์ประกอบของ “ความมั่นคงปลอดภัย” อันได้แก่ การธำรงไว้ซึ่งความลับ (confidentiality) ความถูกต้องครบถ้วน (integrity) และสภาพพร้อมใช้งาน (availability) ของข้อมูลส่วนบุคคล

กรณีใดกรณีหนึ่งหรือหลายกรณีรวมกัน ตามที่กำหนดไว้ในประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565 (“ประกาศ เรื่อง มาตรการรักษาความมั่นคงปลอดภัยฯ”)  

ร่างประกาศฯ หลักเกณฑ์และวิธีการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล พ.ศ. ...

ดังนั้น จึงอาจจำแนกการละเมิดข้อมูลส่วนบุคคลได้เป็น 3 ลักษณะ กล่าวคือ 

2.1.Confidentiality Breach คือ การที่ข้อมูลส่วนบุคคลสูญเสียการเป็นความลับ โดยร่างประกาศฯ ได้ให้คำอธิบายต่อกรณีดังกล่าวไว้ว่าเป็นการรั่วไหลของข้อมูลส่วนบุคคลซึ่งเกิดจากการกระทำโดยเจตนา ความจงใจ หรือความประมาทเลินเล่อ หรือเหตุผิดพลาด ทำให้การเก็บรวบรวม ใช้ เปิดเผยหรือเข้าถึงซึ่งข้อมูลส่วนบุคคลโดยมิชอบ (ร่างประกาศฯ ข้อ 4(1)) 

การละเมิดลักษณะนี้ ได้แก่ การที่องค์กรให้บริการจัดเก็บข้อมูลส่วนบุคคลในระบบออนไลน์ ต่อมาเกิดภัยคุกคามทางไซเบอร์ส่งผลให้ข้อมูลส่วนบุคคลรั่วไหลออกจากระบบคอมพิวเตอร์ขององค์กร หรือกรณีที่องค์กรจัดเก็บข้อมูลส่วนบุคคลสำรองไว้ใน USB ต่อมา USB ดังกล่าวถูกขโมยไปหรือหายไป หรือการส่งอีเมลผิด เป็นต้น

2.2. Integrity Breach คือ การที่ข้อมูลส่วนบุคคลสูญเสียความถูกต้องครบถ้วน กล่าวคือ เป็นการแก้ไขเปลี่ยนแปลงความถูกต้องครบถ้วนของข้อมูลส่วนบุคคลโดยมิชอบ ซึ่งเกิดจากการกระทำโดยเจตนา ความจงใจ หรือความประมาทเลินเล่อ หรือเหตุผิดพลาด ทำให้โครงสร้างข้อมูลส่วนบุคคลขาดความครบถ้วน หรือทำให้จำแนกข้อมูลคลาดเคลื่อน ผิดประเภท ผิดตำแหน่งจากที่ได้จัดเก็บข้อมูลส่วนบุคคลไว้แต่เดิม (Misfiling) (ร่างประกาศฯ ข้อ 4(2))

    การละเมิดลักษณะนี้ ได้แก่ การที่ที่อยู่ของลูกค้าธนาคารไม่ถูกต้องทำให้ส่งใบแจ้งหนี้ไปผิดที่ เป็นต้น 

2.3.  Availability Breach คือ การที่ข้อมูลส่วนบุคคลสูญเสียสภาพพร้อมใช้งาน กล่าวคือ การทำให้ข้อมูลส่วนบุคคลไม่อยู่ในสภาพที่พร้อมใช้งานได้ ซึ่งอาจเกิดจากการกระทำโดยเจตนา ความจงใจ หรือความประมาทเลินเล่อ หรือเหตุผิดพลาด ทำให้เกิดการละเมิดข้อมูลส่วนบุคคล

ร่างประกาศฯ หลักเกณฑ์และวิธีการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล พ.ศ. ...

หรือทำให้ไม่สามารถเข้าถึงข้อมูลส่วนบุคคลได้เป็นการถาวร หรือมีผลเป็นการทำลายข้อมูลส่วนบุคคล รวมถึงการดำเนินการใดที่ทำให้ข้อมูลส่วนบุคคลไม่อยู่ในสภาพที่พร้อมใช้งานได้ตามปกติ (ร่างประกาศฯ ข้อ 4(3))

    การละเมิดลักษณะนี้ ได้แก่ การที่ระบบไฟฟ้า call center ขององค์กรขัดข้องไฟดับชั่วคราว ส่งผลให้ระบบคอมพิวเตอร์และอุปกรณ์คอมพิวเตอร์ขององค์กรไม่สามารถให้บริการ call center ชั่วคราว

หรือองค์กรถูกโจมตีจาก โปรแกรมเรียกค่าไถ่ (Ransomware) โดยที่ข้อมูลส่วนบุคคลทั้งหมดของผู้ควบคุมส่วนบุคคลถูกเข้ารหัสไฟล์โดยแฮคเกอร์ และไม่มีแฟ้มข้อมูลสำรองจึงไม่สามารถที่จะเปิดใช้ข้อมูลดังกล่าวได้ เป็นต้น

ร่างประกาศฯ ข้อ 5 ได้กำหนดหน้าที่การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลไว้ ดังนี้

1.เมื่อองค์กรได้รับแจ้งเหตุแห่งการละเมิดข้อมูลส่วนบุคคลในเบื้องต้นจากผู้ใด ไม่ว่าโดยวิธีการใดที่น่าเชื่อถือได้ องค์กรต้องดำเนินการตรวจสอบในเบื้องต้นถึงรายละเอียดการละเมิดข้อมูลส่วนบุคคลดังกล่าว โดยไม่ชักช้าว่ามีเหตุอันควรเชื่อได้ว่ามีการละเมิดข้อมูลส่วนบุคคล

ร่างประกาศฯ หลักเกณฑ์และวิธีการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล พ.ศ. ...

2.    ในการตรวจสอบเหตุแห่งการละเมิดข้อมูลส่วนบุคคลเบื้องต้น องค์กรต้องดำเนินการตรวจสอบมาตรฐานความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ในเชิงองค์กร (Organizational Measure) เชิงเทคนิค (Technical Measure) รวมถึงเชิงกายภาพ (Physical Measure) 

ที่ใช้กับองค์กร พนักงาน ลูกจ้าง ตัวแทน บุคคลที่เกี่ยวข้อง หรือผู้ประมวลผลข้อมูลส่วนบุคคลของตนที่เกี่ยวข้องกับการละเมิดข้อมูลส่วนบุคคล เพื่อให้องค์กรสามารถยืนยันและรับรองได้ว่ามีเหตุแห่งการละเมิดข้อมูลส่วนบุคคลเกิดขึ้น (confirmed breach) 

3.  องค์กรต้องพิจารณารายละเอียดของข้อมูลและข้อเท็จจริง รวมทั้งประเมินความเสี่ยงที่อาจเกิดขึ้นได้กับเจ้าของข้อมูลส่วนบุคคลว่าอาจมีความเสี่ยงสูงที่จะกระทบต่อสิทธิเสรีภาพของเจ้าของข้อมูลส่วนบุคคล

ทั้งนี้ การแจ้งไม่ถูกต้องหรือการแจ้งล่าช้า องค์กรอาจมีความรับผิดตามมาตรา 83 มีโทษปรับทางปกครองไม่เกิน 3 ล้านบาท.

ที่มา: พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 37(4), ร่างประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล พ.ศ. ....


คอลัมน์ Tech, Law and Security 
ศุภวัชร์ มาลานนท์
GMI, มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าธนบุรี
ระวีวรรณ ขันติวิริยะพานิช
บริษัท ดีพีโอเอเอเอส จำกัด