มาตรการรักษาความมั่นคงปลอดภัยของผู้ประมวลผลข้อมูลส่วนบุคคล

ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล พ.ศ. 2565 (“ประกาศฯ การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล”) และประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565 (“ประกาศฯ เรื่อง มาตรการรักษาความมั่นคงปลอดภัยฯ”) กำหนดหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลในส่วนที่เกี่ยวข้องกับมาตรการรักษาความมั่นคงปลอดภัยไว้ดังนี้

1.เหตุการละเมิดข้อมูลส่วนบุคคล อาจเกิดจากการละเมิดมาตรการรักษาความมั่นคงปลอดภัยจากการกระทำของผู้ประมวลผลข้อมูลส่วนบุคคล ตลอดจนพนักงาน ลูกจ้าง ผู้รับจ้าง ตัวแทน หรือบุคคลที่เกี่ยวข้องของผู้ประมวลผลข้อมูลส่วนบุคคล (ข้อ 4 ประกาศฯ การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล)

2.หากเหตุการละเมิดข้อมูลส่วนบุคคลเกิดจากการกระทำของผู้ประมวลผลข้อมูลส่วนบุคคลตามข้อ 2. ในขั้นตอนการประเมินความน่าเชื่อถือของข้อมูลตรวจสอบข้อเท็จจริงเกี่ยวกับการละเมิดข้อมูลส่วนบุคคลในเบื้องต้นว่า มีเหตุอันควรเชื่อได้ว่ามีการละเมิดข้อมูลส่วนบุคคลหรือไม่

ผู้ควบคุมข้อมูลส่วนบุคคลต้องดำเนินการตรวจสอบมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ทั้งมาตรการเชิงองค์กร (organizational measures) และมาตรการเชิงเทคนิค (technical measures)

ซึ่งอาจรวมถึงมาตรการทางกายภาพ (physical measures) ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลดังกล่าวในส่วนที่เกี่ยวกับผู้ประมวลผลข้อมูลส่วนบุคคล หรือบุคคลที่เกี่ยวข้องของผู้ประมวลผลข้อมูลส่วนบุคคลด้วย

ทั้งนี้ เพื่อให้ผู้ควบคุมข้อมูลส่วนบุคคลสามารถพิจารณารายละเอียดจากข้อเท็จจริงที่เกี่ยวข้อง และประเมินความเสี่ยงที่การละเมิดข้อมูลส่วนบุคคลดังกล่าวจะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคลหรือไม่ (ข้อ 5 (1) ประกาศฯ การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล)

3.ในการประเมินความเสี่ยงสำหรับการละเมิดข้อมูลส่วนบุคคลว่า มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคลเพียงใด ปัจจัยหนึ่งที่ผู้ควบคุมข้อมูลส่วนบุคคลต้องนำมาพิจารณา ได้แก่

ลักษณะของระบบการจัดเก็บข้อมูลส่วนบุคคล ที่เกี่ยวข้องกับการละเมิดและมาตรการรักษาความมั่นคงปลอดภัย ที่เกี่ยวข้องของผู้ประมวลผลข้อมูลส่วนบุคคล

ทั้งที่เป็นมาตรการเชิงองค์กร (organizational measures) และมาตรการเชิงเทคนิค (technical measures) รวมถึงมาตรการทางกายภาพ (physical measures) (ข้อ 12 (1) ประกาศฯ การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล)

4.หากระหว่างการตรวจสอบข้อเท็จจริงเกี่ยวกับการละเมิดข้อมูลส่วนบุคคลตามข้างต้น พบว่า มีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล

ผู้ควบคุมข้อมูลส่วนบุคคลอาจสั่งการให้ผู้ประมวลผลข้อมูลส่วนบุคคลดำเนินการป้องกัน ระงับ หรือแก้ไขเพื่อให้การละเมิดข้อมูลส่วนบุคคลสิ้นสุดหรือไม่ให้การละเมิดข้อมูลส่วนบุคคลส่งผลกระทบเพิ่มเติมโดยทันทีเท่าที่จะสามารถกระทำได้ (ข้อ 5 (2) ประกาศฯ การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล)

5.ผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดให้มี “ข้อตกลงการประมวลผลข้อมูลส่วนบุคคล” (DPA: Data Processing Agreement) ที่กำหนดให้ผู้ประมวลผลข้อมูลส่วนบุคคลจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม

เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ (ข้อ 6 ประกาศฯ มาตรการรักษาความมั่นคงปลอดภัยฯ)

6.ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องระบุไว้ใน DPA ให้ผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่ผู้ควบคุมข้อมูลส่วนบุคคลโดยไม่ชักช้าภายใน 72 ชั่วโมง นับแต่ผู้ประมวลผลข้อมูลส่วนบุคคลทราบเหตุเท่าที่จะสามารถกระทำได้ (ข้อ 8 ประกาศฯ การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล)

ผู้เขียนเห็นว่าระยะเวลาดังกล่าวอาจน้อยกว่า 72 ชั่วโมงก็ได้ โดยคำนึงถึงระดับความเสี่ยงตามลักษณะและวัตถุประสงค์ของการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ตลอดจนโอกาสเกิดและผลกระทบจากเหตุการละเมิดข้อมูลส่วนบุคคล

กรณีศึกษา

บริษัท A บริษัทที่ประกอบกิจการจำหน่ายไฟฟ้าและเชื้อเพลิง ซึ่งมีลูกค้าทั้งในภาคธุรกิจและภาคครัวเรือน โดยมีฐานะเป็นผู้ควบคุมข้อมูลส่วนบุคคลที่มีการเก็บรวบรวมข้อมูลส่วนบุคคลต่าง ๆ ของลูกค้า

อาทิ ชื่อ-นามสกุล ที่อยู่ เลขบัตรประชาชน อีเมล หมายเลขโทรศัพท์ รวมถึงข้อมูลในสัญญา (เช่น ประเภทของเชื้อเพลิง หมายเลขมิเตอร์ เป็นต้น)

โดยมีการจ้างให้บริษัท B เป็นผู้ประมวลผลข้อมูลส่วนบุคคลในส่วนของการจัดเก็บแฟ้มข้อมูลถาวร (Archive) ซึ่งรวมถึงข้อมูลประเภทดิจิทัลด้วย

ข้อเท็จจริงปรากฏว่า มีข้อมูลส่วนบุคคลของลูกค้า 137,314 รายได้ถูกคัดลอกออกไปซึ่งเกิดจากการดำเนินการพัฒนาฐานข้อมูลใหม่ของบริษัท B โดยบริษัท B ได้ทำการเปลี่ยนแปลงระบบ

ในระหว่างการเปลี่ยนแปลงระบบดังกล่าว บริษัท B ได้ใช้ข้อมูลข้อมูลส่วนบุคคลจริงของลูกค้าบริษัท A ในการทดสอบประสิทธิภาพของระบบ อีกทั้งมาตรการรักษาความมั่นคงปลอดภัยต่าง ๆ ที่บริษัท B ใช้ก็ไม่ได้ถูกตรวจสอบก่อนดำเนินการเปลี่ยนแปลงระบบ และนำส่งระบบที่แก้ไขแล้วนั้นให้แก่บริษัท A

รวมถึงบริษัท A ก็ไม่เคยมีการตรวจสอบมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลเลยในระหว่างการใช้งานระบบ

ดังนั้น บริษัท B จึงกระทำการโดยฝ่าฝืน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ กล่าวคือ ไม่ดำเนินการจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมเพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ

โดยการที่ใช้ข้อมูลจริงของลูกค้าในการทดสอบระบบโดยไม่มีมาตรการในการทำให้ข้อมูลดังกล่าวเป็นข้อมูลแฝง ทำให้เกิดการละเมิดความลับของข้อมูลส่วนบุคคล

จึงเป็นกรณีที่บริษัท B ไม่มีมาตรการรักษาความมั่นคงปลอดภัยที่จำเป็นและเหมาะสมในกรณีดังกล่าว ตามข้อ 4 ของประกาศฯ เรื่อง มาตรการรักษาความมั่นคงปลอดภัยฯ

อย่างไรก็ตาม การมีผู้ประมวลผลข้อมูลส่วนบุคคลไม่ได้ยกเว้นหน้าที่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมของผู้ควบคุมข้อมูลส่วนบุคคล

หน้าที่ดังกล่าวยังคงเป็นของบริษัท A ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลเป็นหลัก ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ มาตรา 37 (1) ประกอบกับ ข้อ 4 ของประกาศฯ เรื่อง มาตรการรักษาความมั่นคงปลอดภัยฯ เช่นกัน (เทียบเคียงกรณีศึกษาจาก UODO (Poland) - DKN.5130.2215.2020) 

คอลัมน์ Tech, Law and Security

ศุภวัชร์ มาลานนท์

GMI มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าธนบุรี

ปัณฑารีย์ อวยจินดา

บริษัท ดีพีโอเอเอเอส จำกัด

ที่มา:

1.ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล พ.ศ. 2565 (“ประกาศฯ การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล”)

2.ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565 (“ประกาศฯ เรื่อง มาตรการรักษาความมั่นคงปลอดภัยฯ”)

3.ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์การพิจารณาออกคำสั่งลงโทษปรับทางปกครองของคณะกรรมการผู้เชี่ยวชาญ พ.ศ. 2565

4.UODO (Poland) - DKN.5130.2215.2020, available at https://gdprhub.eu/index.php?title=UODO_(Poland)_-_DKN.5130.2215.2020