เมื่อผู้รับจ้างทำข้อมูลรั่วไหล | ศุภวัชร์ มาลานนท์

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 กำหนดให้เป็นหน้าที่และความรับผิดชอบหลักขององค์กรที่เป็น "ผู้ควบคุมข้อมูลส่วนบุคคล" ในการที่จะประเมินและบริหารความเสี่ยงโดยการจัดให้มีมาตรการเชิงเทคนิคและมาตรการเชิงองค์กรที่เหมาะสม 

โดยเฉพาะการที่ต้องจัดให้มีมาตรการด้านความมั่นคงปลอดภัยที่เหมาะสม และหน้าที่ในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล หน้าที่ดังกล่าว รวมไปถึงเมื่อมีการจ้างบุคคลที่สามมาทำการประมวลผลข้อมูลส่วนบุคคลอีกด้วยที่องค์กรในฐานะผู้ว่าจ้างต้องบริหารจัดการความเสี่ยงที่อาจเกิดขึ้นจากบุคคลที่สามอย่างเหมาะสม โดยเฉพาะในการดำเนินการที่เกี่ยวข้องเมื่อเกิดเหตุการละเมิดข้อมูลส่วนบุคคลตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ 

ทั้งผู้ว่าจ้างและผู้รับจ้างมีหน้าที่และความรับผิดร่วมกันในส่วนของการจัดให้มี "มาตรการรักษาความมั่นคงปลอดภัย" แต่หน้าที่ในส่วนของการแจ้งตามกฎหมายเมื่อเกิดเหตุการละเมิดข้อมูลส่วนบุคคล (Breach notification) เป็นหน้าที่และความรับผิดของผู้ว่าจ้างในฐานะผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น ผู้ว่าจ้างจึงมีหน้าที่ในการบริหารจัดการความเสี่ยงในส่วนที่เกี่ยวเนื่องกับการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลอย่างเหมาะสม

การเริ่มนับระยะเวลา 72 ชั่วโมงในกรณีที่เหตุการละเมิดข้อมูลส่วนบุคคลเกิดจากการดำเนินการของผู้รับจ้างจึงเป็นส่วนหนึ่งของการบริการจัดการความเสี่ยงที่สำคัญ โดยตามแนวทางของ WP29 Guidelines on Personal data breach notification under Regulation 2016/679 (GDPR) ให้ข้อสังเกตว่าการเริ่มนับระยะเวลา “นับแต่ทราบเหตุ” ให้พิจารณาหลักเกณฑ์ ดังนี้

• มีการยืนยันว่ามีเหตุการละเมิดข้อมูลส่วนบุคคล (confirmed breach) : ผู้ควบคุมข้อมูลส่วนบุคคลมีความมั่นใจในระดับที่เหมาะสมว่าเกิดเหตุการณ์ด้านความมั่นคงปลอดภัย (security incident) ซึ่งทำให้ข้อมูลส่วนบุคคลถูกละเมิด กล่าวคือ ข้อมูลส่วนบุคคลได้สูญเสียองค์ประกอบด้านความมั่นคงปลอดภัยกรณีใดกรณีหนึ่ง ได้แก่ การสูญเสียการเป็นความลับ (confidentiality breach) การสูญเสียความถูกต้องครบถ้วน (integrity breach) หรือการสูญเสียสภาพพร้อมใช้งาน (availability breach) ของข้อมูลส่วนบุคคล

• ในกรณีที่เหตุการละเมิดข้อมูลส่วนบุคคลเกิดจากการดำเนินการของผู้ประมวลผลข้อมูลส่วนบุคคล “นับแต่ทราบเหตุ” (become aware) โดยหลักการนั้นให้เริ่มนับเมื่อผู้ควบคุมข้อมูลส่วนบุคคลได้รับการแจ้งจากผู้ประมวลผลข้อมูลส่วนบุคคล หมายความว่าการเริ่มนับระยะเวลา 72 ชั่วโมง เริ่มนับเมื่อได้รับการแจ้งจากผู้ประมวลผลข้อมูลส่วนบุคคล (ดูข้อ 3) ประกอบ
• อย่างไรก็ตาม ผู้ควบคุมข้อมูลส่วนบุคคลควรมีมาตรการเชิงเทคนิคและมาตรการเชิงองค์กรที่เหมาะสมเพื่อให้สามารถตรวจสอบว่ามีเหตุการละเมิดเกิดขึ้นหรือไม่และสามารถ “รับทราบ” การละเมิดใดๆ ในเวลาที่เหมาะสมอีกด้วย

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ กำหนดให้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนดหลักเกณฑ์และวิธีการแจ้ง (ขณะนี้ยังไม่มีประกาศ) โดยหน้าที่ระหว่างผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลที่เกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัยและเงื่อนไขการแจ้งในรายละเอียดจะเป็นไปตามที่กำหนดในข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (DPA : Data Processing Agreement)

ตามประกาศฯ เรื่อง มาตรการรักษาความมั่นคงปลอดภัยฯ ยังได้กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดให้มีข้อตกลงระหว่างผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล (DPA) ที่รวมถึงการกำหนดให้ผู้ประมวลผลข้อมูลส่วนบุคคลจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ 

รวมทั้งการแจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น โดยมาตรการรักษาความมั่นคงปลอดภัยดังกล่าว จะต้องเป็นไปตามมาตรฐานขั้นต่ำตามประกาศฯ โดยคำนึงถึงระดับความเสี่ยงตามลักษณะและวัตถุประสงค์ของการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ตลอดจนโอกาสเกิดและผลกระทบจากเหตุการละเมิดข้อมูลส่วนบุคคลอีกด้วย

ดังนั้น ผู้ว่าจ้างจึงมีสิทธิโดยชอบธรรมในฐานะผู้ที่มีหน้าที่และความรับผิดตามกฎหมายในการกำหนดเงื่อนไขและวิธีการแจ้งที่เหมาะสม รวมถึงมาตรการการดำเนินการต่างๆ เมื่อเกิดเหตุที่ผู้รับจ้างจะต้องดำเนินการเพื่อให้ผู้ว่าจ้างสามารถบรรลุหน้าที่ตามที่กฎหมายกำหนดได้ แต่ทั้งนี้ก็ต้องเป็นไปโดยสอดคล้องกับเงื่อนไขในแง่การดำเนินการและเงื่อนไขทางธุรกิจของผู้รับจ้างอีกด้วย.