การรักษาความมั่นคงปลอดภัยของข้อมูลและการแจ้งเหตุการละเมิด

 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นกฎหมายที่กำหนดหน้าที่และความรับผิดชอบขององค์กรในฐานะผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลที่ต้องปฏิบัติเมื่อดำเนินการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ซึ่งหน้าที่ ๆ สำคัญประการหนึ่งขององค์กร คือ การจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม (Security of Processing/Data Security) และในกรณีที่ “มาตรการรักษาความมั่นคงปลอดภัย” ดังกล่าวที่องค์กรดำเนินการไม่เป็นไปตามมาตรฐานหรือเกิดข้อผิดพลาดอันอาจนำไปสู่เหตุการละเมิดข้อมูลส่วนบุคคล (Data Breach) องค์กรก็จะมีหน้าที่แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลตามเงื่อนไขที่กฎหมายกำหนด (Data Breach Notification)

              หน้าที่ในส่วนของ “การมีมาตรการรักษาความมั่นคงปลอดภัย” และ “การแจ้งเหตุการละเมิด” (ถ้าหากมี) จึงเป็นสองหน้าที่ที่มาควบคู่กันเสมอ ในระบบกฎหมายด้านการคุ้มครองข้อมูลส่วนบุคคล ถือว่าเมื่อองค์กรนำเข้าและใช้ประโยชน์จากข้อมูลส่วนบุคคล องค์กรก็มีหน้าที่ต้องดูแลรักษา และเมื่อไม่สามารถดูแลได้จนนำมาซึ่งการเกิดเหตุการละเมิดข้อมูลส่วนบุคคล องค์กรก็ต้องรีบดำเนินการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลตามเงื่อนไขของกฎหมาย เพื่อให้มีการประเมินและพิจารณาความเสี่ยงต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคลโดยเร็ว พร้อมทั้งดำเนินการเยียวยาแก้ไขความเสียหายและผลกระทบใด ๆ ที่อาจมีต่อเจ้าของข้อมูลส่วนบุคคล อันเป็นการปกป้องส่วนได้เสียต่าง ๆ ของผู้ใช้บริการ/ประชาชน

ตามประกาศฯ มาตรการรักษาความมั่นคงปลอดภัย ข้อ 3. “ความมั่นคงปลอดภัย” หมายความว่า การธำรงไว้ซึ่งความลับ (confidentiality) ความถูกต้องครบถ้วน (integrity) และสภาพพร้อมใช้งาน (availability) ของข้อมูลส่วนบุคคล ทั้งนี้ เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ ดังนั้น “ความมั่นคงปลอดภัย” จึงไม่ใช่แต่การรักษาความลับของข้อมูลส่วนบุคคลเท่านั้น แต่ยังหมายความรวมถึง การทำให้ระบบหรือฐานข้อมูล “มีความถูกต้อง” และอยู่ในสภาพที่เมื่อจะใช้งานต้อง “พร้อมใช้งาน” ได้อีกด้วย การที่ข้อมูลสูญหายไปหรือเข้าใช้ไม่ได้ เช่น ระบบล่ม เว็บล่ม หรือเครือข่ายล่ม จึงอาจเป็นการละเมิดหรือการที่องค์กรไม่มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมตามกฎหมายเช่นเดียวกัน

              ประกาศฯ หลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลฯ กำหนดว่า เหตุการละเมิดข้อมูลส่วนบุคคลมี 3 ประเภท ดังต่อไปนี้

1.   การละเมิดความลับของข้อมูลส่วนบุคคล (Confidentiality Breach) ซึ่งมีการเข้าถึงหรือเปิดเผยข้อมูลส่วนบุคคล โดยปราศจากอำนาจหรือโดยมิชอบ หรือเกิดจากข้อผิดพลาดบกพร่อง หรืออุบัติเหตุ

2.   การละเมิดความถูกต้องครบถ้วนของข้อมูลส่วนบุคคล (Integrity Breach) ซึ่งมีการเปลี่ยนแปลง แก้ไขข้อมูลส่วนบุคคลให้ไม่ถูกต้อง ไม่สมบูรณ์ หรือไม่ครบถ้วน โดยปราศจากอำนาจ หรือโดยมิชอบ หรือเกิดจากข้อผิดพลาดบกพร่องหรืออุบัติเหตุ

3.   การละเมิดความพร้อมใช้งานของข้อมูลส่วนบุคคล (Availability Breach) ซึ่งทำให้ไม่สามารถเข้าถึงข้อมูลส่วนบุคคลได้ หรือมีการทำลายข้อมูลส่วนบุคคล ทำให้ข้อมูลส่วนบุคคลไม่อยู่ในสภาพที่พร้อมใช้งานได้ตามปกติ

ประกาศฯ หลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลฯ ยังได้กำหนดหลักเกณฑ์ไว้ด้วยว่า เมื่อองค์กรได้รับแจ้งข้อมูลในเบื้องต้นจากผู้ใด ไม่ว่าโดยทางวาจา เป็นหนังสือ หรือวิธีการอื่นทางอิเล็กทรอนิกส์ หรือองค์กรทราบเอง ว่ามีหรือน่าจะมีเหตุการละเมิดข้อมูลส่วนบุคคล องค์กรต้องดำเนินการ ดังต่อไปนี้

1.   Detection and Analysis: ประเมินความน่าเชื่อถือของข้อมูลดังกล่าว และตรวจสอบข้อเท็จจริงเกี่ยวกับการละเมิดข้อมูลส่วนบุคคลในเบื้องต้นโดยไม่ชักช้าเท่าที่จะสามารถกระทำได้ ว่ามีเหตุอันควรเชื่อได้ว่ามีการละเมิดข้อมูลส่วนบุคคลหรือไม่ (reasonable degree of certainty) เพื่อให้องค์กรสามารถยืนยันได้ว่ามีการละเมิดข้อมูลส่วนบุคคลเกิดขึ้นหรือไม่ รวมทั้งประเมินความเสี่ยงที่การละเมิดข้อมูลส่วนบุคคลดังกล่าวจะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล

2.   Containment, Eradication and Recovery: หากระหว่างการตรวจสอบตาม (1) พบว่ามีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ให้องค์กรดำเนินการด้วยตนเองหรือสั่งการให้ผู้ประมวลผลข้อมูลส่วนบุคคลหรือผู้เกี่ยวข้องดำเนินการป้องกัน ระงับ หรือแก้ไขเพื่อให้การละเมิดข้อมูลส่วนบุคคลสิ้นสุดหรือไม่ให้การละเมิดข้อมูลส่วนบุคคลส่งผลกระทบเพิ่มเติมโดยทันทีเท่าที่จะสามารถกระทำได้ 

3.   Response: เมื่อพิจารณาจากข้อเท็จจริงตาม 1. แล้วเห็นว่า มีเหตุอันควรเชื่อว่ามีการละเมิดข้อมูลส่วนบุคคลจริง ให้องค์กรแจ้งเหตุการละเมิดแก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลโดยไม่ชักช้าภายใน 72 ชั่วโมงนับแต่ทราบเหตุเท่าที่จะสามารถกระทำได้ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล

4.   Notify: ในกรณีที่การละเมิดข้อมูลส่วนบุคคลดังกล่าวมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ให้องค์กรแจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อมกับแนวทางการเยียวยาโดยไม่ชักช้าด้วย

5.   Recover and Post Incident Response: ดำเนินการตามมาตรการที่จำเป็นและเหมาะสมเพื่อระงับ ตอบสนอง แก้ไข หรือฟื้นฟูสภาพจากเหตุการละเมิดข้อมูลส่วนบุคคลดังกล่าว รวมทั้งป้องกันและลดผลกระทบจากการเกิดเหตุการละเมิดข้อมูลส่วนบุคคลในลักษณะเดียวกันในอนาคต ซึ่งรวมถึงการทบทวนมาตรการรักษาความมั่นคงปลอดภัยเพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม

จากข้อกฎหมายที่เกี่ยวข้องดังกล่าว จึงเห็นได้ว่า พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ให้ความสำคัญกับการบริหารจัดการข้อมูลส่วนบุคคลตั้งแต่ขั้นตอนการเก็บรวบรวม การใช้ การเปิดเผยและการดูแลรักษาตลอดวงจรชีวิตของข้อมูลส่วนบุคคล โดยคำนึงถึงประโยชน์ทางเศรษฐกิจที่จะเกิดขึ้นจากการใช้ข้อมูลอย่างมีประสิทธิภาพ เป็นธรรม และโปร่งใสขององค์กรต่าง ในขณะเดียวกันองค์กรก็ต้องเคารพต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ทั้งนี้ เพื่อสร้างความเชื่อมั่นในระบบเศรฐกิจดิจิทัลของประเทศไทย.

โดย

สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.)