CrowdStrike หน้าที่และความรับผิดตาม PDPA เป็นของใคร

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA กำหนดหน้าที่ขององค์กรที่อาจเกี่ยวข้องกับเหตุการณ์ CrowdStrike ไว้ดังนี้

1.มาตรการรักษาความมั่นคงปลอดภัย (Data Security)
กฎหมายกำหนดให้ ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่จัดให้มี มาตรการรักษาความมั่นคงปลอดภัย ที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผย ข้อมูลส่วนบุคคล โดยปราศจากอำนาจหรือโดยมิชอบ (มาตรา 37 (1))

มาตรการรักษาความมั่นคงปลอดภัยประกอบด้วย
(1) มาตรการเชิงองค์กร (organizational measures)
(2) มาตรการเชิงเทคนิค (technical measures)
(3) มาตรการทางกายภาพ (physical measures)

โดยคำนึงถึงระดับความเสี่ยงตามลักษณะและวัตถุประสงค์ของการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ตลอดจนโอกาสเกิดและผลกระทบจากเหตุการละเมิดข้อมูลส่วนบุคคล ทั้งนี้กฎหมายไม่ได้ให้รายละเอียดในส่วนของมาตรการทั้ง 3 ลักษณะเอาไว้โดยละเอียด แต่เป็นหน้าที่ของแต่ละองค์กรที่จะต้องประเมินความเสี่ยงและจัดให้มีมาตรการในลักษณะต่าง ๆ ตามระดับความเสี่ยงอย่างเหมาะสม (risk-based approach) โดยหนึ่งในมาตรการเชิงองค์กรที่หน่วยงานอาจนำมาใช้ในการบริหารความเสี่ยงด้านการคุ้มครองข้อมูลส่วนบุคคลในส่วนที่เกี่ยวข้องกับ IT-risk คือ แผนการบริหารความพร้อมต่อสภาวะวิกฤติ (Business Continuity Plan, BCP) ที่กำหนดแนวทางการดำเนินการของหน่วยงานเมื่อเกิดสภาวะวิกฤตหรือภัยต่าง ๆ ที่ส่งผลให้กระบวนการทำงานของหน่วยงานหยุดชะงัก (หน่วยงานต้องสามารถ identified ภัยหรือความเสี่ยงนั้น ๆ ได้ก่อน) เพื่อให้สามารถกลับมาดำเนินการได้อย่างต่อเนื่อง โดยเฉพาะงานบริการที่สำคัญต่อประชาชนหรือมีผู้ใช้บริการจำนวนมาก หรือที่เกี่ยวข้องกับสาธารณูปโภคขั้นพื้นฐานต่าง ๆ

ในกรณีที่องค์กรไม่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม อาจต้องระวางโทษปรับทางปกครองไม่เกินสามล้านบาท

2. การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล (Data Breach Notification)

กฎหมายกำหนดให้ ผู้ควบคุมข้อมูลส่วนบุคคล มีหน้าที่แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) โดยไม่ชักช้าภายใน 72 ชั่วโมงนับแต่ทราบเหตุเท่าที่จะสามารถกระทำได้ และในกรณีที่การละเมิดมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ให้แจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อมกับแนวทางการเยียวยาโดยไม่ชักช้าด้วย (มาตรา 37 (4)) โดยประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล พ.ศ. 2565 กำหนดว่า

การละเมิดข้อมูลส่วนบุคคล หมายความว่า การละเมิดมาตรการรักษาความมั่นคงปลอดภัยที่ทำให้เกิดการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ ไม่ว่าจะเกิดจากเจตนา ความจงใจ ความประมาทเลินเล่อ การกระทำโดยปราศจากอำนาจหรือโดยมิชอบ การกระทำความผิดเกี่ยวกับคอมพิวเตอร์ ภัยคุกคามทางไซเบอร์ ข้อผิดพลาดบกพร่องหรืออุบัติเหตุ หรือเหตุอื่นใด โดยอาจจำแนกเหตุการละเมิดข้อมูลส่วนบุคคลได้เป็น 3 ประเภท ได้แก่ การละเมิดความลับของข้อมูลส่วนบุคคล (Confidentiality Breach) การละเมิดความถูกต้องครบถ้วนของข้อมูลส่วนบุคคล (Integrity Breach) และการละเมิดความพร้อมใช้งานของข้อมูลส่วนบุคคล (Availability Breach)  

ในกรณีที่องค์กรไม่ดำเนินการแจ้งเหตุการละเมิดข้อมูลต่อ สคส. หรือเจ้าของข้อมูลส่วนบุคคลตามเงื่อนไขที่กฎหมายกำหนดอย่างเหมาะสม องค์กรอาจต้องระวางโทษปรับทางปกครองไม่เกินสามล้านบาท

วิเคราะห์กรณี CrowdStrike หน้าที่และความรับผิดตาม PDPA เป็นของใคร

(1)หน่วยงานที่จะมีหน้าที่และความรับผิดตาม PDPA โดยหลักการต้องเป็น ผู้ควบคุมข้อมูลส่วนบุคคล หรือ ผู้ประมวลผลข้อมูลส่วนบุคคล ตามกฎหมายเท่านั้น หากองค์กรดังกล่าวไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลในบริบทของการประมวลผลข้อมูลส่วนบุคคลที่เกี่ยวข้อง องค์กรดังกล่าวย่อมไม่มีความรับผิดต่อเหตุการณ์นั้น ๆ เนื่องจากไม่ใช่องค์กรที่อยู่ในสถานะทางกฎหมายที่มีหน้าที่และความรับผิด

ตาม PDPA ผู้ควบคุมข้อมูลส่วนบุคคล หมายความว่า บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล จากกรณีของ CrowdStrike ผู้ควบคุมข้อมูลส่วนบุคคลจึงได้แก่บริษัทต่าง ๆ อาทิ สายการบิน ธนาคาร โรงพยาบาล ฯลฯ ที่ใช้บริการของ CrowdStrike เนื่องจากองค์กรเหล่านี้เป็นผู้ครอบครองข้อมูลส่วนบุคคลของลูกค้า ประชาชน หรือผู้ใช้บริการ

ในขณะที่ ผู้ประมวลผลข้อมูลส่วนบุคคล หมายความว่า บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล  ซึ่งจากรูปแบบการให้บริการและข้อมูลที่ปรากฏตามสื่อต่าง ๆ  CrowdStrike ไม่ถือเป็นผู้ประมวลผลข้อมูลส่วนบุคคลของบริษัทที่ใช้ผลิตภัณฑ์ของ CrowdStrike ดังนั้น CrowdStrike จึงไม่สามารถมีความรับผิดร่วมกับผู้ควบคุมข้อมูลส่วนบุคคลในฐานะผู้ประมวลผลข้อมูลส่วนบุคคลได้

(2)ใครมีหน้าที่แจ้งเหตุการละเมิดข้อมูลส่วนบุคคล

หน้าที่แจ้งต่อ สคส. และเจ้าของข้อมูลส่วนบุคคล (ลูกค้า ผู้ใช้บริการ / ประชาชน) เป็นของบริษัทต่าง ๆ อาทิ สายการบิน ธนาคาร โรงพยาบาล ฯลฯ ที่ใช้บริการของ CrowdStrike ซึ่งเป็น ผู้ควบคุมข้อมูลส่วนบุคคล

อย่างไรก็ตาม การที่จะต้องแจ้งหรือไม่ องค์กรต้องประเมินก่อนว่าเหตุการณ์ที่ระบบการให้บริการล่ม/ไม่สามารถใช้งานได้ เป็นการละเมิดมาตรการรักษาความมั่นคงปลอดภัยที่ส่งผลกระทบต่อความพร้อมใช้งานของข้อมูลส่วนบุคคล ซึ่งทำให้ไม่สามารถเข้าถึงข้อมูลส่วนบุคคลได้ หรือมีการทำลายข้อมูลส่วนบุคคล ทำให้ข้อมูลส่วนบุคคลไม่อยู่ในสภาพที่พร้อมใช้งานได้ตามปกติหรือไม่ก่อน หากเข้าเงื่อนไขข้างต้นจึงจะก่อให้เกิดหน้าที่ในการแจ้ง อย่างไรก็ตาม กฎหมายกำหนดให้เป็นหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น CrowdStrike จึงไม่มีหน้าที่และความรับผิดในส่วนของการแจ้งเช่นเดียวกัน ถึงแม้ว่าสาเหตุที่ทำให้เกิดการละเมิดข้อมูลส่วนบุคคลจะเกิดจาก CrowdStrike ก็ตาม

บทความนี้เป็นความเห็นส่วนตัวของผู้เขียนจากชุดข้อมูลที่มีอยู่ในสื่อสาธารณะต่าง ๆ ซึ่งหากข้อเท็จจริงในทางธุรกิจเปลี่ยนแปลงว่า CrowdStrike มีสถานะเป็นผู้ประมวลผลข้อมูลส่วนบุคคลขององค์กรต่าง ๆ ที่ซื้อผลิตภัณฑ์ ในกรณีนี้ CrowdStrike ก็อาจมีหน้าที่และความรับผิดร่วมกับผู้ควบคุมข้อมูลส่วนบุคคลได้.

https://www.bangkokbiznews.com/tech/1137818

หนังสือพิมพ์กรุงเทพธุรกิจ คอลัมน์ Tech, Law and Security วันที่ 26 กรกฎาคม 2567

ระวีวรรณ ขันติวิริยะพานิช
บริษัท ดีพีโอเอเอเอส จำกัด

ศุภวัชร์ มาลานนท์
GMI มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าธนบุรี