หลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล

สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้เผยแพร่ร่างประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล พ.ศ. .... (ร่างประกาศฯ) เพื่อให้ผู้มีส่วนได้เสียได้ร่วมแสดงความคิดเห็นร่างกฎหมายลำดับรองภายใต้พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ระหว่างวันที่ 2 - 20 พฤศจิกายน 2565 โดยสามรถดาวน์โหลดเอกสารและแสดงความคิดเห็นได้ผ่านช่องท่าง http://www.pdpc.or.th


ร่างประกาศฯ ดังกล่าวเป็นกฎหมายลำดับรองที่ออกตามความในมาตรา37(4) ของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ที่กำหนดให้ ผู้ควบคุมมีหน้าที่แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สำนักงานฯ โดยไม่ชักช้าภายใน 72 ชั่วโมงนับแต่ทราบเหตุเท่าที่จะสามารถกระทำได้ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ในกรณีที่การละเมิดมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ให้แจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อมกับแนวทางการเยียวยาโดยไม่ชักช้าด้วย  ทั้งนี้ การแจ้งดังกล่าวและข้อยกเว้นให้เป็นไปตามหลักเกณฑ์และวิธีการที่คณะกรรมการประกาศกำหนด


โดยร่างประกาศฯ กำหนดว่า การละเมิดข้อมูลส่วนบุคคล หมายความว่า การรั่วไหลหรือการละเมิดมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคล อันอาจเกิดจากเจตนา ความจงใจ หรือความประมาทเลินเล่อ หรือเหตุผิดพลาด (Accidental) หรือการกระทำผิดกฎหมายอันจะทำให้เกิดความเสียหาย ความสูญหาย การแก้ไขเปลี่ยนแปลงซึ่งข้อมูลส่วนบุคคลที่ถูกต้อง หรือการเปิดเผยหรือเข้าถึงข้อมูลส่วนบุคคล การเผยแพร่ข้อมูลส่วนบุคคลและการเก็บรักษาข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ รวมถึงกระทำการอื่นใดโดยปราศจากความยินยอมของเจ้าของข้อมูลส่วนบุคคล หรือการกระทำใดที่ไม่เข้าข้อยกเว้นตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ หรือไม่มีกฎหมายเฉพาะให้อำนาจไว้ ในอันที่จะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (ข้อ 3)

จากบทนิยามดังกล่าวผู้เขียนมีข้อสังเกต 2 ประการดังนี้
1.แม้ว่าการรั่วไหลหรือการละเมิดข้อมูลส่วนบุคคลจะเกิดจากเจตนา หรือความรู้เท่าไม่ถึงการณ์ของบุคคลากรหรือเจ้าหน้าที่ของหน่วยงานที่อาจขาดความตระหนักรู้ก็ตาม ก็ถือว่า เหตุการละเมิด ได้เกิดขึ้นแล้ว และองค์กรมีหน้าที่ตามกฎหมายในส่วนของการแจ้งเกิดขึ้น


2.การละเมิดข้อมูลส่วนบุคคล (personal data breach) คือ การที่ข้อมูลสูญเสียองค์ประกอบของ ความมั่นคงปลอดภัย อันได้แก่ การธำรงไว้ซึ่งความลับ (confidentiality) ความถูกต้องครบถ้วน (integrity) และสภาพพร้อมใช้งาน (availability) ของข้อมูลส่วนบุคคล กรณีใดกรณีหนึ่งหรือหลายกรณีรวมกันตามที่กำหนดไว้ในประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565 (ประกาศ เรื่อง มาตรการรักษาความมั่นคงปลอดภัยฯ)

ดังนั้น จึงอาจจำแนกการละเมิดข้อมูลส่วนบุคคลได้เป็น 3 ลักษณะ กล่าวคือ
2.1.Confidentiality Breach คือ การที่ข้อมูลส่วนบุคคลสูญเสียการเป็นความลับ โดยร่างประกาศฯ ได้ให้คำอธิบายต่อกรณีดังกล่าวไว้ว่าเป็นการรั่วไหลของข้อมูลส่วนบุคคลซึ่งเกิดจากการกระทำโดยเจตนา ความจงใจ หรือความประมาทเลินเล่อ หรือเหตุผิดพลาด ทำให้การเก็บรวบรวม ใช้ เปิดเผยหรือเข้าถึงซึ่งข้อมูลส่วนบุคคลโดยมิชอบ (ร่างประกาศฯ ข้อ 4(1))
การละเมิดลักษณะนี้ ได้แก่ การที่องค์กรให้บริการจัดเก็บข้อมูลส่วนบุคคลในระบบออนไลน์ ต่อมาเกิดภัยคุกคามทางไซเบอร์ส่งผลให้ข้อมูลส่วนบุคคลรั่วไหลออกจากระบบคอมพิวเตอร์ขององค์กร หรือกรณีที่องค์กรจัดเก็บข้อมูลส่วนบุคคลสำรองไว้ใน USB ต่อมา USB ดังกล่าวถูกขโมยไปหรือหายไป หรือการส่งอีเมลผิด เป็นต้น
2.2.Integrity Breach คือ การที่ข้อมูลส่วนบุคคลสูญเสียความถูกต้องครบถ้วน กล่าวคือ เป็นการแก้ไขเปลี่ยนแปลงความถูกต้องครบถ้วนของข้อมูลส่วนบุคคลโดยมิชอบ ซึ่งเกิดจากการกระทำโดยเจตนา ความจงใจ หรือความประมาทเลินเล่อ หรือเหตุผิดพลาด ทำให้โครงสร้างข้อมูลส่วนบุคคลขาดความครบถ้วน หรือทำให้จำแนกข้อมูลคลาดเคลื่อน ผิดประเภท ผิดตำแหน่งจากที่ได้จัดเก็บข้อมูลส่วนบุคคลไว้แต่เดิม (Misfiling) (ร่างประกาศฯ ข้อ 4(2))

การละเมิดลักษณะนี้ ได้แก่ การที่ที่อยู่ของลูกค้าธนาคารไม่ถูกต้องทำให้ส่งใบแจ้งหนี้ไปผิดที่ เป็นต้น
2.3.Availability Breach คือ การที่ข้อมูลส่วนบุคคลสูญเสียสภาพพร้อมใช้งาน กล่าวคือ การทำให้ข้อมูลส่วนบุคคลไม่อยู่ในสภาพที่พร้อมใช้งานได้ ซึ่งอาจเกิดจากการกระทำโดยเจตนา ความจงใจ หรือความประมาทเลินเล่อ หรือเหตุผิดพลาด ทำให้เกิดการละเมิดข้อมูลส่วนบุคคล หรือทำให้ไม่สามารถเข้าถึงข้อมูลส่วนบุคคลได้เป็นการถาวร หรือมีผลเป็นการทำลายข้อมูลส่วนบุคคล รวมถึงการดำเนินการใดที่ทำให้ข้อมูลส่วนบุคคลไม่อยู่ในสภาพที่พร้อมใช้งานได้ตามปกติ (ร่างประกาศฯ ข้อ 4(3))

การละเมิดลักษณะนี้ ได้แก่ การที่ระบบไฟฟ้า call center ขององค์กรขัดข้องไฟดับชั่วคราว ส่งผลให้ระบบคอมพิวเตอร์และอุปกรณ์คอมพิวเตอร์ขององค์กรไม่สามารถให้บริการ call center ชั่วคราว หรือองค์กรถูกโจมตีจากโปรแกรมเรียกค่าไถ่ (Ransomware) โดยที่ข้อมูลส่วนบุคคลทั้งหมดของผู้ควบคุมส่วนบุคคลถูกเข้ารหัสไฟล์โดยแฮ็กเกอร์ และไม่มีแฟ้มข้อมูลสำรองจึงไม่สามารถที่จะเปิดใช้ข้อมูลดังกล่าวได้ เป็นต้น

โดยร่างประกาศฯ ข้อ 5 ได้กำหนดหน้าที่การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลไว้ดังนี้
1.เมื่อองค์กรได้รับแจ้งเหตุแห่งการละเมิดข้อมูลส่วนบุคคลในเบื้องต้นจากผู้ใดไม่ว่าโดยวิธีการใดที่น่าเชื่อถือได้ องค์กรต้องดำเนินการตรวจสอบในเบื้องต้นถึงรายละเอียดการละเมิดข้อมูลส่วนบุคคลดังกล่าวโดยไม่ชักช้าว่ามีเหตุอันควรเชื่อได้ว่ามีการละเมิดข้อมูลส่วนบุคคล
2.ในการตรวจสอบเหตุแห่งการละเมิดข้อมูลส่วนบุคคลเบื้องต้น องค์กรต้องดำเนินการตรวจสอบมาตรฐานความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ในเชิงองค์กร (Organizational Measure) เชิงเทคนิค (Technical Measure) รวมถึงเชิงกายภาพ (Physical Measure) ที่ใช้กับองค์กร พนักงาน ลูกจ้าง ตัวแทน บุคคลที่เกี่ยวข้อง หรือผู้ประมวลผลข้อมูลส่วนบุคคลของตนที่เกี่ยวข้องกับการละเมิดข้อมูลส่วนบุคคล เพื่อให้องค์กรสามารถยืนยันและรับรองได้ว่ามีเหตุแห่งการละเมิดข้อมูลส่วนบุคคลเกิดขึ้น (confirmed breach)
3.องค์กรต้องพิจารณารายละเอียดของข้อมูลและข้อเท็จจริง รวมทั้งประเมินความเสี่ยงที่อาจเกิดขึ้นได้กับเจ้าของข้อมูลส่วนบุคคลว่าอาจมีความเสี่ยงสูงที่จะกระทบต่อสิทธิเสรีภาพของเจ้าของข้อมูลส่วนบุคคล
ทั้งนี้ การแจ้งไม่ถูกต้องหรือการแจ้งล่าช้า องค์กรอาจมีความรับผิดตามมาตรา 83 มีโทษปรับทางปกครองไม่เกิน 3 ล้านบาท.

Ref: https://www.bangkokbiznews.com/news/1038506