หน้าที่องค์กรในการจัดมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม

ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนดให้องค์กรมีหน้าที่ ดังนี้

1.ผู้ควบคุมข้อมูลส่วนบุคคล มีหน้าที่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ และต้องทบทวนมาตรการดังกล่าวเมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม  ทั้งนี้ ให้เป็นไปตามมาตรฐานขั้นต่ำที่คณะกรรมการประกาศกำหนด (มาตรา 37(1))

2.ผู้ควบคุมข้อมูลส่วนบุคคล มีหน้าที่แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สำนักงานโดยไม่ชักช้าภายใน 72 ชั่วโมง นับแต่ทราบเหตุเท่าที่จะสามารถกระทำได้ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล
ในกรณีที่การละเมิดมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ให้แจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อมกับแนวทางการเยียวยาโดยไม่ชักช้าด้วย  ทั้งนี้ การแจ้งดังกล่าวและข้อยกเว้นให้เป็นไปตามหลักเกณฑ์และวิธีการที่คณะกรรมการประกาศกำหนด (มาตรา 37(4))

3.ผู้ประมวลผลข้อมูลส่วนบุคคล มีหน้าที่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคล โดยปราศจากอำนาจหรือโดยมิชอบ รวมทั้งแจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น (มาตรา 40(2))

จากกฎหมายที่เกี่ยวข้อง หน้าที่เกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัย จึงอาจแบ่งออกได้เป็น 2 ส่วน กล่าวคือ 

1.หน้าที่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมเป็นหน้าที่ของ ผู้ควบคุมข้อมูลส่วนบุคคล และ ผู้ประมวลผลข้อมูลส่วนบุคคล ซึ่งการไม่มีมาตรการที่เหมาะสมอาจมีโทษปรับทางปกครองไม่เกินสามล้านบาท ตามมาตรา 83 หรือมาตรา 86 แล้วแต่กรณี

2.หน้าที่แจ้งเหตุการละเมิดข้อมูลส่วนบุคคล
2.1.ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่แจ้งต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลและ/หรือเจ้าของข้อมูลส่วนบุคคลตามเงื่อนไขที่กฎหมายกำหนด
2.2.ผู้ประมวลผลข้อมูลส่วนบุคคล มีหน้าที่แจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบเหตุการละเมิดนั้น แต่ไม่มีหน้าที่ในการแจ้งต่อสำนักงานฯ หรือเจ้าของข้อมูลส่วนบุคคล
หน้าที่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม (appropriate security measures) จึงเป็นหน้าที่ร่วมกันของทั้งผู้ควบคุมข้อมูลส่วนบุคคล และ ผู้ประมวลผลข้อมูลส่วนบุคคล และมีความรับผิดทางปกครองแยกออกจากกันตามที่กำหนดไว้ในมาตรา 83 หรือมาตรา 86 แล้วแต่กรณี

อย่างไรก็ตาม เนื่องจากผู้ประมวลผลข้อมูลส่วนบุคคล เป็นเพียงบุคคลที่ประมวลผลข้อมูลส่วนบุคคลตามคำสั่ง หรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล หน้าที่และความรับผิดเวลาที่เกิดข้อพิพาทใด ๆ ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล จึงมักเริ่มต้นจากการที่ผู้ควบคุมข้อมูลส่วนบุคคลถูกกล่าวหาว่ากระทำผิดหน้าที่ตามที่กฎหมายกำหนด 

ดังนั้น พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ จึงได้กำหนดเครื่องมือสำคัญหนึ่งขึ้นมาเพื่อควบคุมและกำหนดหน้าที่และความรับผิดระหว่างผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล ได้แก่ สัญญาการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement) ตามที่กำหนดไว้ในมาตรา 40

กล่าวคือ ในการดำเนินงานตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลตามที่ได้รับมอบหมายจากผู้ควบคุมข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดให้มีข้อตกลงที่มีเงื่อนไขอย่างน้อย ดังต่อไปนี้

(1) ต้องมีข้อกำหนดเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น เว้นแต่คำสั่งนั้นขัดต่อกฎหมายหรือบทบัญญัติในการคุ้มครองข้อมูลส่วนบุคคลตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯ

(2) มีข้อกำหนดเกี่ยวกับหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลในการมีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ 

(3) มีข้อกำหนดเกี่ยวกับหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลในการแจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น

(4) มีข้อกำหนดเกี่ยวกับหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลในการจัดทำบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคล 

ข้อกำหนดทั้ง 4 ข้อเป็นกรอบเงื่อนไขเบื้องต้นที่สัญญาการประมวลผลข้อมูลส่วนบุคคล ควรกำหนดไว้ ซึ่งรายละเอียดของข้อสัญญาและข้อตกลงอื่นๆ เป็นเรื่องที่คู่สัญญาควรตกลงกันให้สอดคล้องกับกิจกรรมการประมวลผลและความเสี่ยงที่เกี่ยวข้องกับสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล 

นอกจากนี้ ข้อตกลงในสัญญาควรมีข้อตกลงเกี่ยวกับสิทธิของผู้ควบคุมข้อมูลส่วนบุคคลในการตรวจสอบทบทวน (right to audit) เกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมของผู้ประมวลผลข้อมูลส่วนบุคคลด้วย รวมถึงเงื่อนไขอื่นๆ

เพื่อให้มั่นใจได้ว่ามาตรการรักษาความมั่นคงปลอดภัยของผู้ประมวลผลข้อมูลส่วนบุคคลจะได้รับการทบทวนเมื่อมีความจำเป็น หรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม

และควรกำหนดเงื่อนไขให้มีการแจ้งมาตรการรักษาความมั่นคงปลอดภัยดังกล่าวให้แก่บุคลากร พนักงาน ลูกจ้างหรือบุคคลที่เกี่ยวข้องของผู้ประมวลผลข้อมูลส่วนบุคคลทราบ รวมถึงกำหนดให้มีการสร้างเสริมความตระหนักรู้

ด้านความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลให้กับกลุ่มบุคคลดังกล่าวปฏิบัติตามมาตรการที่กำหนดอย่างเคร่งครัดอีกด้วย ดังนั้น เมื่อความรับผิดอันเนื่องมาจากเหตุการณ์ข้อมูลรั่วไหลหรือเหตุการละเมิดข้อมูลส่วนบุคคลเป็นความรับผิดร่วมกันของผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล

ข้อตกลงของสัญญาการประมวลผลข้อมูลส่วนบุคคล ที่สอดคล้องกับกิจกรรมการประมวลผล จึงเป็นเครื่องมือสำคัญของทุกฝ่าย เพื่อจัดสรรหน้าที่และความรับผิดชอบระหว่างคู่สัญญา.
 
credit: https://www.bangkokbiznews.com/columnist/973755