มาตรการรักษาความมั่นคงปลอดภัยของผู้ประมวลผลข้อมูลส่วนบุคคล

ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล พ.ศ. 2565 (“ประกาศฯ การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล”) และประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565 (“ประกาศฯ เรื่อง มาตรการรักษาความมั่นคงปลอดภัยฯ”) กำหนดหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลในส่วนที่เกี่ยวข้องกับมาตรการรักษาความมั่นคงปลอดภัยไว้ดังนี้

1.    เหตุการละเมิดข้อมูลส่วนบุคคลอาจเกิดจากการละเมิดมาตรการรักษาความมั่นคงปลอดภัยจากการกระทำของผู้ประมวลผลข้อมูลส่วนบุคคล ตลอดจนพนักงาน ลูกจ้าง ผู้รับจ้าง ตัวแทน หรือบุคคล
ที่เกี่ยวข้องของผู้ประมวลผลข้อมูลส่วนบุคคล (ข้อ 4 ประกาศฯ การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล)

2.  หากเหตุการละเมิดข้อมูลส่วนบุคคลเกิดจากการกระทำของผู้ประมวลผลข้อมูลส่วนบุคคล
ตามข้อ 2. ในขั้นตอนการประเมินความน่าเชื่อถือของข้อมูลตรวจสอบข้อเท็จจริงเกี่ยวกับการละเมิดข้อมูล
ส่วนบุคคลในเบื้องต้นว่ามีเหตุอันควรเชื่อได้ว่ามีการละเมิดข้อมูลส่วนบุคคลหรือไม่ ผู้ควบคุมข้อมูลส่วนบุคคลต้องดำเนินการตรวจสอบมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ทั้งมาตรการเชิงองค์กร (organizational measures) และมาตรการเชิงเทคนิค (technical measures) ซึ่งอาจรวมถึงมาตรการ ทางกายภาพ (physical measures) ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลดังกล่าวในส่วนที่เกี่ยวกับผู้ประมวลผลข้อมูลส่วนบุคคลลหรือบุคคลที่เกี่ยวข้องของผู้ประมวลผลข้อมูลส่วนบุคคลด้วย ทั้งนี้ เพื่อให้ผู้ควบคุมข้อมูลส่วนบุคคลสามารถพิจารณารายละเอียดจากข้อเท็จจริงที่เกี่ยวข้อง และประเมินความเสี่ยงที่การละเมิดข้อมูลส่วนบุคคลดังกล่าวจะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคลหรือไม่ (ข้อ 5 (1) ประกาศฯ การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล)

3.   ในการประเมินความเสี่ยงสำหรับการละเมิดข้อมูลส่วนบุคคลว่ามีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคลเพียงใด ปัจจัยหนึ่งที่ผู้ควบคุมข้อมูลส่วนบุคคลต้องนำมาพิจารณาได้แก่ ลักษณะของระบบการจัดเก็บข้อมูลส่วนบุคคลที่เกี่ยวข้องกับการละเมิดและมาตรการรักษาความมั่นคงปลอดภัยที่เกี่ยวข้องของผู้ประมวลผลข้อมูลส่วนบุคคล ทั้งที่เป็นมาตรการเชิงองค์กร (organizational measures) และมาตรการเชิงเทคนิค (technical measures) รวมถึงมาตรการทางกายภาพ (physical measures) (ข้อ 12 (1) ประกาศฯ การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล)

4.    หากระหว่างการตรวจสอบข้อเท็จจริงเกี่ยวกับการละเมิดข้อมูลส่วนบุคคลตามข้างต้นพบว่ามีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลอาจสั่งการให้
ผู้ประมวลผลข้อมูลส่วนบุคคลดำเนินการป้องกัน ระงับ หรือแก้ไขเพื่อให้การละเมิดข้อมูลส่วนบุคคลสิ้นสุดหรือไม่ให้การละเมิดข้อมูลส่วนบุคคลส่งผลกระทบเพิ่มเติมโดยทันทีเท่าที่จะสามารถกระทำได้ (ข้อ 5 (2) ประกาศฯ การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล)

5.    ผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดให้มี “ข้อตกลงการประมวลผลข้อมูลส่วนบุคคล” (DPA: Data Processing Agreement) ที่กำหนดให้ผู้ประมวลผลข้อมูลส่วนบุคคลจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ (ข้อ 6 ประกาศฯ มาตรการรักษาความมั่นคงปลอดภัยฯ)

6.  ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องระบุไว้ใน DPA ให้ผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่ผู้ควบคุมข้อมูลส่วนบุคคลโดยไม่ชักช้าภายใน 72 ชั่วโมงนับแต่ผู้ประมวลผลข้อมูลส่วนบุคคลทราบเหตุเท่าที่จะสามารถกระทำได้ (ข้อ 8 ประกาศฯ การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล) ซึ่งผู้เขียนเห็นว่าระยะเวลาดังกล่าวอาจน้อยกว่า 72 ชั่วโมงก็ได้ โดยคำนึงถึงระดับความเสี่ยงตามลักษณะและวัตถุประสงค์ของการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ตลอดจนโอกาสเกิดและผลกระทบจากเหตุการละเมิดข้อมูลส่วนบุคคล

 กรณีศึกษา
         บริษัท A บริษัทที่ประกอบกิจการจำหน่ายไฟฟ้าและเชื้อเพลิง ซึ่งมีลูกค้าทั้งในภาคธุรกิจและภาคครัวเรือน โดยมีฐานะเป็นผู้ควบคุมข้อมูลส่วนบุคคลที่มีการเก็บรวบรวมข้อมูลส่วนบุคคลต่าง ๆ ของลูกค้า อาทิ ชื่อ-นามสกุล ที่อยู่ เลขบัตรประชาชน อีเมล หมายเลขโทรศัพท์ รวมถึงข้อมูลในสัญญา (เช่น ประเภทของเชื้อเพลิง หมายเลขมิเตอร์ เป็นต้น) โดยมีการจ้างให้บริษัท B เป็นผู้ประมวลผลข้อมูลส่วนบุคคลในส่วนของการจัดเก็บแฟ้มข้อมูลถาวร(Archive) ซึ่งรวมถึงข้อมูลประเภทดิจิทัลด้วย

            ข้อเท็จจริงปรากฏว่า มีข้อมูลส่วนบุคคลของลูกค้า 137,314 รายได้ถูกคัดลอกออกไปซึ่งเกิดจากการดำเนินการพัฒนาฐานข้อมูลใหม่ของบริษัท B โดยบริษัท B ได้ทำการเปลี่ยนแปลงระบบ ในระหว่างการเปลี่ยนแปลงระบบดังกล่าว บริษัท B ได้ใช้ข้อมูลข้อมูลส่วนบุคคลจริงของลูกค้าบริษัท A ในการทดสอบประสิทธิภาพของระบบ อีกทั้งมาตรการรักษาความมั่นคงปลอดภัยต่าง ๆ ที่บริษัท B ใช้ก็ไม่ได้ถูกตรวจสอบก่อนดำเนินการเปลี่ยนแปลงระบบ และนำส่งระบบที่แก้ไขแล้วนั้นให้แก่บริษัท A รวมถึงบริษัท A ก็ไม่เคยมีการตรวจสอบมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลเลยในระหว่างการใช้งานระบบ

            ดังนั้น บริษัท B จึงกระทำการโดยฝ่าฝืน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ กล่าวคือ ไม่ดำเนินการจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมเพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ โดยการที่ใช้ข้อมูลจริงของลูกค้าในการทดสอบระบบโดยไม่มีมาตรการในการทำให้ข้อมูลดังกล่าวเป็นข้อมูลแฝง ทำให้เกิดการละเมิดความลับของข้อมูลส่วนบุคคล จึงเป็นกรณีที่บริษัท B ไม่มีมาตรการรักษาความมั่นคงปลอดภัยที่จำเป็นและเหมาะสมในกรณีดังกล่าว ตามข้อ 4 ของประกาศฯ เรื่อง มาตรการรักษาความมั่นคงปลอดภัยฯ

            อย่างไรก็ตาม การมีผู้ประมวลผลข้อมูลส่วนบุคคลไม่ได้ยกเว้นหน้าที่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมของผู้ควบคุมข้อมูลส่วนบุคคล หน้าที่ดังกล่าวยังคงเป็นของบริษัท A ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลเป็นหลัก ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ มาตรา 37 (1) ประกอบกับ ข้อ 4 ของประกาศฯ เรื่อง มาตรการรักษาความมั่นคงปลอดภัยฯ เช่นกัน (เทียบเคียงกรณีศึกษาจาก UODO (Poland) - DKN.5130.2215.2020)
_________
 
ที่มา:
1.     ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล พ.ศ. 2565 (“ประกาศฯ การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล”)
2.     ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565 (“ประกาศฯ เรื่อง มาตรการรักษาความมั่นคงปลอดภัยฯ”)
3.     ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์การพิจารณาออกคำสั่งลงโทษปรับทางปกครองของคณะกรรมการผู้เชี่ยวชาญ พ.ศ. 2565
4.     UODO (Poland) - DKN.5130.2215.2020, available at https://gdprhub.eu/index.php?title=UODO_(Poland)_-_DKN.5130.2215.2020

โดย

ศุภวัชร์ มาลานนท์
GMI มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าธนบุรี
ปัณฑารีย์ อวยจินดา
บริษัท ดีพีโอเอเอเอส จำกัด