บริษัทรักษาความปลอดภัย เป็นอีกหนึ่งธุรกิจที่มีการดำเนินการในลักษณะสุ่มเสี่ยงละเมิดข้อมูลส่วนบุคคลได้ง่ายตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ซึ่งบังคับใช้กฎหมายใหม่ตั้งแต่วันที่ 1 มิถุนายน 2565 เป็นต้นมา

รูปแบบการดำเนินธุรกิจของบริษัทรักษาความปลอดภัยมีการเก็บข้อมูลส่วนบุคคล (Personal Data) และเก็บข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Data) รวมถึงมาตรการรักษาความปลอดภัยบางอย่าง สามารถนำไปสู่กรณีละเมิดที่สามารถฟ้องร้องดำเนินคดีทั้งในลักษณะทางแพ่ง และความผิดทางอาญาได้ ยกตัวอย่างการเก็บข้อมูลส่วนบุคคล และข้อมูลส่วนบุคคลอ่อนไหวของพนักงานภายในบริษัทรักษาความปลอดภัย ได้แก่ ประวัติอาชญากรรม และลายนิ้วมือ แม้กระทั่งการที่บริษัทรักษาความปลอดภัยติดกล้องวงจรปิดในสถานที่ทำงาน หรือสถานที่ส่วนบุคคลของลูกค้าที่ให้บริการด้วยเช่นกัน

นอกจากนี้ บริษัทรักษาความปลอดภัยยังมีการเก็บและส่งต่อข้อมูลส่วนบุคคลให้แก่บุคคลที่สาม เช่น ข้อมูลพนักงาน ข้อมูลลูกค้าที่ให้บริการ หรือการเก็บข้อมูลจากบุคคลที่สามด้วย ซึ่งมีลักษณะเป็นการเก็บข้อมูลจากแหล่งอื่นที่เจ้าของข้อมูลไม่ทราบ ทั้งบริษัทรักษาความปลอดภัยยังเข้าข่ายธุรกิจที่มีการจัดเก็บข้อมูลจำนวนมาก อ้างอิงจากกฎหมาย PDPA ที่ระบุว่า บุคคลหรือนิติบุคคลที่มีการจัดเก็บข้อมูลทั่วไปที่สามารถระบุตัวตนของเจ้าของข้อมูล 50,000 ราย หรือมีข้อมูลอ่อนไหวของเจ้าของข้อมูล 5,000 ราย รวมทั้งการดำเนินการยังเกี่ยวข้องกับข้อมูลส่วนบุคคลอื่น ๆ เช่น ข้อมูลคู่ค้า – คู่สัญญา

ดังนั้นจะเห็นได้ว่า บริษัทรักษาความปลอดภัยดำเนินธุรกิจโดยมีรูปแบบที่มีความเกี่ยวข้องกับข้อมูลส่วนบุคคลในหลากหลายกิจกรรม กระนั้นบริษัทรักษาความปลอดภัยได้รับการจัดตั้งและขออนุญาตดำเนินธุรกิจภายใต้ประมวลกฎหมายแพ่งและพาณิชย์ ทำให้มีสถานะของการดำเนินการที่ ถูกต้องและชอบด้วยกฎหมาย ตามกฎหมายคุ้มครองจากพระราชบัญญัติธุรกิจรักษาความปลอดภัย พ.ศ.2558 ซึ่งเป็นธุรกิจที่สามารถใช้ ฐานกฎหมาย และ ฐานประโยชน์โดยชอบธรรม ในการเก็บ รวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้

อย่างไรก็ตาม เพื่อป้องกันพฤติกรรมที่ส่อให้เกิดความละเมิดข้อมูลส่วนบุคคลตามกฎหมาย PDPA ซึ่งในไปสู่ความผิดทางกฎหมายอาญา ถูกฟ้องร้องเรียกค่าสินไหมจากคดีแพ่ง บริษัทรักษาความปลอดภัยควรดำเนินการหลีกเลี่ยงลักษณะของกฎหมายที่ขีดเส้นใต้ไว้ เพราะกฎหมายไทยมักให้น้ำหนักที่ เจตนา และ การตีความ จากพฤติการณ์ที่เกิดขึ้น

7 เรื่องที่บริษัทรักษาความปลอดภัย (อาจ) ทำผิดกฎหมาย PDPA

1. การรั่วไหลของข้อมูลส่วนบุคคล และข้อมูลส่วนบุคคลอ่อนไหว ทำให้ข้อมูลดังกล่าวถูกนำไปใช้ในวัตถุประสงค์อื่น โดยเฉพาะข้อมูลอาชญากรรม หรือข้อมูลการต้องโทษของพนักงานในบริษัทที่เสียงต่อการก่อให้เกิดความเกลียดชัง เสียชื่อเสียง เสียสิทธิ หรือได้รับการปฏิบัติอย่างไม่เป็นธรรมในสังคม
2. การติดกล้องวงจรปิดโดยไม่จัดทำ CCTV Notice เพื่อแจ้งให้ผู้ใช้บริการได้ทราบว่าบริษัทมีการติดกล้องวงจรปิดเพื่อประโยชน์ในด้านอื่น
3. การเก็บข้อมูลส่วนบุคคลจากแหล่ง และการส่งต่อข้อมูลส่วนบุคคลให้แก่บุคคลที่สามหรือในต่างประเทศ โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล
4. การตรวจสอบข้อมูลอาชญากรรมด้วยตนเอง หรือกระทำโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล
5. การเก็บข้อมูลส่วนบุคคลที่เกินความจำเป็น ได้แก่ การเก็บข้อมูลส่วนบุคคลของพนักงาน ลูกค้า คู่สัญญา บุคคลภายนอกเป็นจำนวนมาก ทำให้อาจนำไปสู่การรั่วไหลหรือละเมิดได้ง่าย
6. ความเสี่ยงและมาตรการในการรักษาความปลอดภัยของข้อมูลไม่สอดคล้องกัน
7. บริษัทรักษาความปลอดภัยมีการเก็บข้อมูลเป็นจำนวนมาก แต่ไม่แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลภายในองค์กร (DPO)

10 เรื่องน่ารู้ หากบริษัทรักษาความปลอดภัยไม่อยากเดือดร้อนจากกฎหมาย PDPA

1. ข้อตกลงความยินยอม (Consent) ในการเก็บ รวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคล และข้อมูลส่วนบุคคลอ่อนไหว ให้แก่ผู้สมัครงาน พนักงาน จนบุคลากรที่เกี่ยวข้อง
2. นโยบายความเป็นส่วนตัว (Privacy Policy) และการประกาศความเป็นส่วนตัว หรือ Privacy Notice แม้กระทั่งการทำธุรกิจที่มีเว็บไซต์จะต้องมีการจัดเก็บคุกกี้ (Cookie) ก็จะต้องทำ Cookie Policy ด้วยเช่นกัน
3. บันทึกรายการข้อมูลส่วนบุคคล (Record of Processing Activities: RoPA) ได้แก่ วัตถุประสงค์ แหล่งที่เก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล และการเปิดเผยข้อมูลส่วนบุคคลแก่บุคคลที่สาม
4. จัดทำป้าย CCTV Notice และการประกาศเกี่ยวกับความเป็นส่วนตัวในการใช้กล้องวงจรปิด หรือ CCTV Privacy Notice เพื่อแจ้งให้ทราบว่าบริษัทมีการติดกล้องวงจรปิดเพื่อประโยชน์ในด้านต่าง ๆ
5. แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) เพราะบริษัทที่เก็บ รวบรวมใช้ หรือเปิดเผยข้อมูลเป็นจำนวนมาก จะมีความเสี่ยงต่อการละเมิดกฎหมาย PDPA จึงต้องแต่งตั้งเจ้าหน้าที่ DPO จากภายในองค์กร หรือใช้บุคคลภายนอกที่มีคุณสมบัติตรงตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลรับรอง
6. จัดทำข้อตกลงการแบ่งปันข้อมูลส่วนบุคคล กรณีที่องค์กรธุรกิจมีการแบ่งปัน หรือส่งต่อข้อมูลส่วนบุคคลให้แก่คู่ค้าหรือบุคคลภายนอก จะต้องมีการจัดทำข้อตกลงในการใช้หรือเปิดเผยข้อมูลส่วนบุคคล
7. ดำเนินการด้านสิทธิแก่เจ้าของข้อมูลส่วนบุคคล โดยบริษัทรักษาความปลอดภัยต้องจัดทำระบบเพื่อการเข้าถึงข้อมูลส่วนบุคคลเพื่อประโยชน์แก่เจ้าของข้อมูลในด้านการเข้าถึง และใช้สิทธิ ขอให้แก้ไข ระงับ ลบทำลาย หรือยกเลิกคำยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยผ่านช่องทางที่เข้าถึงได้ง่ายและสะดวก
8. รักษาความปลอดภัยของข้อมูลส่วนบุคคล ซึ่งบริษัทจะต้องดำเนินการด้านอุปกรณ์และเจ้าหน้าที่เพื่อรองรับกับการรักความปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสมกับความเสี่ยงมากยิ่งขึ้น
9. ประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล หรือ DPIA (Data Protection Impact Assessment) โดยจัดทำแบบประเมินจากการสำรวจและวิเคราะห์ข้อมูลส่วนบุคคล เพื่อประเมินความเสี่ยงที่ธุรกิจอาจต้องเจอในรูปแบบต่าง ๆ
10. ปรับปรุง ทบทวน หรือแก้ไข นโยบายการคุ้มครองข้อมูลส่วนบุคคลอยู่เสมอ เพื่อให้การดำเนินกิจกรรมของบริษัทและเงื่อนไขต่าง ๆ มีการอัปเดตข้อมูลเสมอ ซึ่งนำไปสู่มาตรการป้องกันความเสี่ยงละเมิดกฎหมาย PDPA อย่างเหมาะสม

ทั้งนี้ บริษัทรักษาความปลอดภัย ควรตระหนักรู้เสมอว่าข้อมูลส่วนบุคคลควรเก็บเท่าที่จำเป็นต้องใช้ ซึ่งอาจกลายเป็นช่องโหว่ของธุรกิจได้เช่นเดียวกัน จึงควรจัดเก็บข้อมูลส่วนบุคคลที่เหมาะสมกับการดำเนินการกิจกรรมภายใน รวมทั้งการจัดทำข้อมูลให้เป็น นิรนาม หากมีความจำเป็นต้องจัดเก็บข้อมูล แต่ไม่ต้องการระบุตัวตนของบุคคล เพื่อให้กิจกรรมของบริษัทรักษาความปลอดภัยมีมาตรฐานตามกฎหมาย PDPA ให้เกิดประโยชน์สูงสุดทั้งเจ้าของธุรกิจและผู้ใช้บริการ