เกณฑ์การประเมินความเสี่ยงเมื่อเกิด เหตุการละเมิดข้อมูลส่วนบุคคล

ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565 ซึ่งมีผลใช้บังคับเมื่อวันที่ 20 มิถุนายน 2565 (“ประกาศฯ”) ได้กำหนดมาตรฐานขั้นต่ำในการจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมสำหรับองค์กรที่เป็นผู้ควบคุมข้อมูลส่วนบุคคลคลขึ้นเพื่อให้การคุ้มครองข้อมูลส่วนบุคคลในระยะแรกที่กฎหมายมีผลใช้บังคับมีความเหมาะสม
“ความมั่นคงปลอดภัย” ตามประกาศฯ ฉบับดังกล่าว หมายความว่า “การธำรงไว้ซึ่งความลับ (confidentiality) ความถูกต้องครบถ้วน (integrity) และสภาพพร้อมใช้งาน (availability) ของข้อมูลส่วนบุคคล ทั้งนี้ เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ” จากความหมายข้างต้นองค์กรต่าง ๆ จึงมีหน้าที่ต้องดูแลปกป้องข้อมูลส่วนบุคคลที่อยู่ในความรับผิดชอบขององค์กรให้สามารถคงการเป็นความลับ (C) มีความถูกต้อง (I) และพร้อมใช้งาน (A) โดยการจัดให้มีมาตรการเชิงองค์กร (organizational measures) และมาตรการเชิงเทคนิค (technical measures) ที่เหมาะสม ซึ่งอาจรวมถึงมาตรการทางกายภาพ (physical measures) ที่จำเป็นด้วย โดยคำนึงถึงระดับความเสี่ยงตามลักษณะและวัตถุประสงค์ของการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ตลอดจนโอกาสเกิดและผลกระทบจากเหตุการละเมิดข้อมูลส่วนบุคคล
ตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เมื่อองค์กรไม่สามารถรักษาองค์ประกอบอย่างใดอย่างหนึ่งของความมั่นคงปลอดภัยไป (เสีย CIA)  มาตรา 37(4) กำหนดให้องค์กรมีหน้าที่ต้องดำเนินเนินการแจ้งหรือรายงานตามเงื่อนไขที่กฎหมายกำหนดอีกด้วย ทั้งนี้ เพื่อเป็นการป้องกันความเสียหายแก่เจ้าของของข้อมูลส่วนบุคคลที่อาจได้รับผลกะทบจากเหตุการณ์ข้อมูลรั่วไหลหรือเหตุการละเมิดข้อมูลส่วนบุคคลดังกล่าว
หน้าที่แจ้งเหตุการละเมิดข้อมูลส่วยบุคคล (Breach Notification) จึงเป็นหน้าที่ที่สำคัญขององค์กรต่าง ๆ ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลที่ต้องจัดเตรียมกระบวนการเพื่อให้สามารถระบุความเสี่ยงที่สำคัญที่อาจจะเกิดขึ้น (identify) สามารถป้องกันความเสี่ยงที่สำคัญที่อาจจะเกิดขึ้น (protect) มีการตรวจสอบและเฝ้าระวังภัยคุกคามและเหตุการละเมิดข้อมูลส่วนบุคคล(detect) และสามารถเผชิญเหตุเมื่อมีการตรวจพบภัยคุกคามและเหตุการละเมิดข้อมูลส่วนบุคคล(response) พร้อมทั้งการรักษาและฟื้นฟูความเสียหายที่เกิดจากภัยคุกคามหรือเหตุการละเมิดข้อมูลส่วนบุคคล (recover) เท่าที่จำเป็น เหมาะสม และเป็นไปได้ตามระดับความเสี่ยง (ประกาศฯ ข้อ 4(3)) 

ตามาตรา 37(4) เงื่อนไขสำคัญประการหนึ่งที่ต้องพิจารณาว่าต้องแจ้งหรือไม่ต้องแจ้ง คือ “การประเมินความเสี่ยงต่อสิทธิและเสรีภาพของบุคคล” ซึ่งพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ มาตรา 37(4) และประกาศฯ ยังไม่ได้กำหนดแนวทางการประเมินความเสี่ยงไว้โดยตรง แต่ตามเงื่อนไขต่าง ๆ ของประกาศฯ ชี้ให้เห็นว่าให้พิจารณาตามลักษณะและวัตถุประสงค์ของการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล (nature and scope of processing activities) ตลอดจนโอกาสเกิด (probability of occurrence) และผลกระทบจากเหตุการละเมิดข้อมูลส่วนบุคคล (impact level)
            ENISA ซึ่งเป็นหน่วยงานด้านความมั่นคงปลอดภัยทางไซเบอร์ของสหภาพยุโรปได้ให้หลักเกณฑ์การประเมินความเสี่ยงเมื่อเกิดเหตุการละเมิดข้อมูลส่วนบุคคลไว้ในHandbook on Security of Personal Data Processing (2017) ทำนองเดียวกับแนวทางตามประกาศฯ โดยตามแนวปฏิบัติของ ENISA ระบุว่าการประเมินความเสี่ยงสำหรับข้อมูลส่วนบุคคลมีอยู่ 4 ขั้นตอน ดังนี้
(1)     พิจารณาลักษณะของการประมวลผลและบริบทที่เกี่ยวข้อง
(2)     การประเมินผลกระทบ
(3)     การประเมินภัยคุกคามที่เป็นไปได้และการประเมินความเป็นไปได้ (ความน่าจะเป็นที่จะเกิดภัยคุกคาม)
(4)     การประเมินความเสี่ยง (จากความน่าจะเป็นและผลกระทบของภัยคุกคาม)
ในขณะที่ WP29 Guidelines on Personal data breach notification under Regulation 2016/679 กำหนดให้ใช้องค์ประกอบต่อไปนี้ในการประเมินความเสี่ยง
(1)     ประเภทของเหตุการการละเมิดข้อมูลส่วนบุคคล
(2)     ลักษณะ ความอ่อนไหว และจำนวนข้อมูลส่วนบุคคลที่ถูกละเมิด
(3)     ความยากง่ายในการระบุตัวตนของเจ้าของข้อมูลส่วนบุคคล
(4)     ความร้ายแรงของผลกระทบต่อบุคคล
(5)     ลักษณะเฉพาะของบุคคล อาทิ ความเป็นผู้เยาว์หรือกลุ่มเปราะบาง
(6)    ลักษณะเฉพาะของผู้ควบคุมข้อมูลส่วนบุคคล อาทิ เหตุการละเมิดข้อมูลส่วนบุคคลที่เกิดจากองค์กรที่ประมวลผลข้อมูลส่วนอ่อนไหวเป็นปกติธุรกิจ ย่อมมีความเสี่ยงมากกว่าองค์กรที่ประมวลผลข้อมูลทั่วไป เป็นต้น
(7)     จำนวนผู้ที่ได้รับผลกระทบจากเหตุการละเมิดข้อมูลส่วนบุคคล
จากกรณีศึกษาข้างต้น เกณฑ์การประเมินความเสี่ยงต่อสิทธิและเสรีภาพของบุคคลจึงเป็นองค์ประกอบที่สำคัญอย่างยิ่งที่จะทำให้องค์กรสามารถปฏิบัติหน้าที่ในส่วนการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลได้สอดคล้องกับเงื่อนไขที่กฎหมายกำหนด.
_________

สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

ref: https://www.bangkokbiznews.com/columnist/1018105

TAG: PDPA, พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ, การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล