ยุค New Normal การประชุมออนไลน์ขององค์กรธุรกิจถือเป็นเรื่องปกติที่หลายคนคุ้นชิน แถมยังประหยัดเงิน ประหยัดเวลา ในการจัดประชุมและการเดินทางไปร่วมประชุม ทั้งยังลดความจำเจในการการนั่งร่วมกันในห้องประชุมกับโต๊ะตัวยาว ๆ ที่ดูคร่ำครึและเคร่งเครียด แต่ขณะเดียวกัน ความปลอดภัยทางไซเบอร์และการมีมาตรการป้องกันข้อมูลส่วนบุคคลกลับเป็นสิ่งที่องค์กรธุรกิจที่มีการจัดประชุมอย่างสม่ำเสมอยังละเลย

ทั้งทราบหรือไม่ว่า ? ประชุมออนไลน์อาจเข้าข่ายละเมิดกฎหมาย PDPA หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ในหลายแง่มุม โดยในที่นี้เราหยิบยกกรณีศึกษาที่เคยเกิดขึ้นขององค์กรธุรกิจต่างๆ ซึ่งมีการจัดประชุมออนไลน์ ทั้งการประชุมภายใน ประชุมร่วมกับคู่ค้า/คู่สัญญา หรือประชุมกับลูกค้า และอาจจะประกอบด้วยบุคลากรหลาย ๆ ฝ่ายที่เกี่ยวข้องเข้าร่วมประชุม และจุดเริ่มต้นของการละเมิดก็จะเกิดขึ้นตรงส่วนนี้

6 กรณีที่การประชุมออนไลน์อาจละเมิดกฎหมาย PDPA

1. จัดประชุมลวงเพื่อขโมยข้อมูลส่วนตัว : ยกตัวอย่างจากกรณีล่าสุดของ Zoom แพลตฟอร์มผู้ให้บริการการประชุมเสมือนจริง ซึ่งก่อนนี้ได้มีการเปิดเผยข้อมูลว่า มีข้อมูลส่วนบุคคลลูกค้ารั่วไหลเนื่องจากถูกแฮกเกอร์ล้วงข้อมูล และได้ปลอมแปลงอีเมล์เชิญประชุมออนไลน์ และเมื่อผู้ใช้งานหลงเชื่อทำการเข้าสู่ระบบ แฮกเกอร์จะสามารถขโมยข้อมูลล็อกอินการเข้าสู่ระบบได้ทันที ทั้งมีข้อมูลเพิ่มเติมอีกว่า ในเว็บมืด (Dark Web) มีการขายข้อมูล เช่น ข้อมูลอีเมล และข้อมูลการเข้าระบบประชุมออนไลน์ของบุคคลเป็นจำนวนหลายสิบล้านรายแถมยังขายในราคาถูกมากเสียด้วย นำไปสู่การละเมิดมากมาย

2. ถูก ‘Zoom-Bombers’ ก่อกวน และล้วงข้อมูลผู้ร่วมประชุม : ‘Zoom-Bombers’ หรือคำที่ใช้เรียกผู้ไม่ได้รับเชิญ (ในที่นี้คือผู้ไม่ประสงค์ดี) เข้าร่วมการประชุม อาจจะทำเพื่อก่อกวน หรือเข้ามาเพื่อบันทึกข้อมูลธุรกิจ และข้อมูลส่วนตัวของผู้ร่วมประชุม เช่น E-Mail, Meeting ID, Personal Link Name ไปแอบอ้าง หรือหลอกลวงเอาข้อมูลส่วนบุคคลของผู้เข้าร่วมประชุม หรืออาจก่อเหตุที่ร้ายแรงกว่านั้น กรณีแบบนี้เป็นข่าวบ่อย ๆ ในต่างประเทศ แต่ในประเทศไทยยังมีการตื่นตัวเรื่องเหล่านี้น้อยมาก

3. โพสต์ภาพการประชุมออนไลน์บนโซเชียลมีเดีย : อีกกรณียอดฮิตที่มักเห็นกันบ่อย คือ กรณีผู้ร่วมประชุมออนไลน์ได้มีการโพสต์ภาพนิ่ง วิดีโอ คลิปเสียงของผู้เข้าร่วมประชุมออนไลน์ โดยที่ไม่ได้ขออนุญาต หรือได้รับความยินยอมจากเจ้าของข้อมูล ซ้ำร้ายอาจเกิดการแชร์ข้อมูลดังกล่าวต่อไปอีกเป็นจำนวนมาก เหตุการณ์ลักษณะนี้เกิดเป็นคดีฟ้องร้องเรียกค่าเสียหายกันมากมายในต่างประเทศ ขณะที่ในประเทศไทย ซึ่งมีกฎหมาย PDPA องค์กรธุรกิจจึงต้องตระหนักรู้และสร้างความเข้าใจในข้อกำหนดของกฎหมายให้กับบุคลากรและผู้ร่วมประชุม

4. การละเมิดของผู้จัดการประชุมออนไลน์โดยไม่เจตนา : กรณีนี้แม้จะไม่เข้าข่ายจงใจละเมิดข้อมูลส่วนบุคคลของผู้เข้าร่วมประชุมออนไลน์ แต่ไม่ว่าจะประมาทเลินเล่อ หรือมีเจตนา กฎหมาย PDPA ก็นับว่าเป็นการกระทำผิด และบ่อยครั้งในการประชุมออนไลน์ร่วมกับหน่วยงานต่างๆ มักจะมีการเปิดเผยหรือส่งต่อข้อมูลส่วนบุคคล เช่น อีเมล และ Meeting ID ของผู้เข้าร่วมประชุมฯ ซึ่งหากเป็นการประชุมแบบเปิด ก็เป็นไปได้มากที่ข้อมูลส่วนบุคคลของผู้ร่วมประชุมจะถูกเปิดเผยโดยที่เจ้าของข้อมูลก็อาจจะไม่ทราบว่าข้อมูลนั้นจะตกอยู่ในมือผู้ไม่ประสงค์ดีบ้างหรือไม่ ทั้งอาจก่อให้เกิดการทำผิดกฎหมายในลักษณะอื่นๆ ได้ด้วย

5. ระบบรักษาความปลอดภัยทางไซเบอร์ที่ไม่เพียงพอ : กรณีนี้เกิดจากผู้จัดการประชุมขาดการลงทุนเทคโนโลยีและซอฟท์แวร์ด้านการคุ้มครองข้อมูลอิเล็กทรอนิกส์ โดยเฉพาะอย่างยิ่งในธุรกิจ SME แต่สิ่งที่ควรทราบ คือ ผู้จัดการประชุมอาจเข้าข่ายมีสถานะเป็นผู้ควบคุมข้อมูลส่วนบุคคลตามกฎหมาย PDPA เนื่องจากองค์กรได้จัดให้มีการประชุมออนไลน์อย่างสม่ำเสมอ ทั้งมีการบันทึกข้อมูลการร่วมประชุมและจัดเก็บข้อมูล แต่กลับไม่มีมาตรการคุ้มครองข้อมูลที่เพียงพอและก่อให้เกิดการรั่วไหลจนนำไปสู่การละเมิดข้อมูลส่วนบุคคล

6. ไม่ดำเนินการขอความยินยอมจากเจ้าของข้อมูล : กรณีนี้ก็พบได้บ่อย เนื่องจากบางธุรกิจ หรือบางองค์กรยังขาดความเข้าใจในข้อกำหนดของกฎหมาย PDPA และสิทธิของเจ้าของข้อมูลส่วนบุคคล ซึ่งโดยการจัดประชุมออนไลน์มีจะมีจัดเก็บ ใช้ และเปิดเผย เช่น อีเมล ชื่อ-นามสกุล Meeting ID ภาพถ่าย ภาพเคลื่อนไหว คลิปเสียง ฯลฯ ซึ่งข้อมูลเหล่านี้เป็นข้อมูลที่สามารถระบุตัวบุคคลได้ จึงได้รับความคุ้มครองและต้องดำเนินการขอความยินยอมในการเก็บ รวบรวมใช้ หรือเปิดเผย และแจ้งวัตถุประสงค์ในการดำเนินการแก่เจ้าของข้อมูลตามกฎหมาย

แนวทางด้านความปลอดภัยในการประชุมออนไลน์ภายใต้กฎหมาย PDPA ที่แนะนำว่าทุกองค์กรควรนำมาใช้

• คำนึงถึงเรื่องความปลอดภัยทางไซเบอร์ : ไม่ว่าจะเป็นการแฮกข้อมูล ลวงข้อมูล หรือการโจมตีในรูปแบบต่างๆ ที่แฮกเกอร์ได้พัฒนากลวิธีขึ้นมา จนกล่าวได้ว่า ‘การโจมตีทางไซเบอร์’ หรือ Cyber Attack เป็นภัยคุกคามขององค์กรธุรกิจในยุคนี้ ขณะที่กฎหมาย PDPA ระบุว่าผู้ควบคุมข้อมูลส่วนบุคคล ควรมีมาตรการและระบบรักษาความปลอดภัยข้อมูลส่วนบุคคลที่เพียงพอสำหรับความเสี่ยง ดังนั้น ผู้จัดการประชุมออนไลน์จึงต้องคำนึงถึงการคุ้มครองข้อมูลผู้เข้าร่วมประชุมอย่างเหมาะสมกับความเสี่ยง เช่น วางระบบการจัดเก็บข้อมูลที่มีความปลอดภัยสูง มีระบบตรวจสอบผู้ใช้อยู่เสมอ การควบคุมการเข้าถึงที่ข้อมูล และกำหนดระยะเวลาในการทำลายหรือทำให้เป็นข้อมูลแฝงไว้อย่างเหมาะสม และที่สำคัญอย่างยิ่งคือการเลือกใช้เครื่องมือ และแพลตฟอร์มการประชุมที่มีความปลอดภัย

• สร้างความเข้าใจเรื่องกฎหมาย PDPA แก่ผู้ร่วมประชุม : จะเห็นว่า บ่อยครั้งการละเมิดข้อมูลส่วนบุคคลเกิดจากการรั่วไหลหรือละเมิดจากภายในองค์กร หรือเกิดจากผู้ร่วมประชุมไปละเมิดข้อมูลส่วนบุคคลของผู้อื่น เช่น กรณีการบันทึกภาพ วิดีโอการประชุมไปเผยแพร่บนออนไลน์ ด้วยเหตุนี้ ผู้จัดการประชุมหรือ Host ต้องมีบทบาทสำคัญในการให้ความรู้ ความเข้าใจเรื่องกฎหมาย PDPA รวมทั้งการ ‘ขอความยินยอม’ ในกรณีมีการเก็บ ประมวลผล ส่งต่อแก่บุคคลที่สาม หรือเปิดเผยข้อมูลส่วนบุคคลของผู้เข้าร่วมประชุม ทั้งได้แจ้งวัตถุประสงค์ในการดำเนินการอย่างชัดเจน ตลอดจนการดำเนินการตามกฎหมายในสถานะผู้ควบคุมข้อมูลฯ

• นำวิธีการทางเทคนิค หรือใช้ซอฟท์แวร์การจัดการประชุมอย่างเหมาะสม : เช่น ซอฟต์แวร์บางประเภทจะมี Options ให้ Host สามารถตั้งค่าล็อกห้องประชุมทันทีเมื่อครบองค์ประชุม หรือมีตัวเลือกให้ปิดการแชร์ข้อมูลของห้องประชุมได้เพื่อเป็นการรักษาความปลอดภัยในการประชุม และซอฟท์แวร์ด้านการคุ้มครองและการรักษาความลับของข้อมูลส่วนบุคคล

• กำหนดมาตรการด้านสิทธิของเจ้าของข้อมูล : ตามกฎหมาย PDPA เจ้าของข้อมูลมีสิทธิในการเข้าถึงข้อมูลของตนที่องค์กรได้มีการเก็บ ใช้ หรือเปิดเผย รวมทั้งสิทธิในการขอให้แก้ไข ระงับ ถ่ายโอน เพิกถอนความยินยอม หรือให้ลบทำลายข้อมูล ด้วยเหตุนี้ ผู้จัดการประชุมออนไลน์ที่มีการบันทึกและจัดเก็บรวบรวมข้อมูลส่วนบุคคลจะต้องกำหนดช่องทางการติดต่อและการรับคำร้องต่างๆ จากเจ้าของข้อมูลเพื่อให้สอดคล้องตามข้อกำหนดของกฎหมาย

• มีมาตรการด้านจัดการเอกสารอิเล็กทรอนิกส์อย่างเหมาะสม : เช่น องค์กรสามารถนำหลักการเรื่อง e-Document และระบบจัดการเอกสาร DMS (Document Management System) มาปรับใช้ในองค์กรและการจัดการเอกสารการประชุมออนไลน์อย่างเหมาะสม ซึ่งไม่เพียงสามารถลดการจัดการด้านเอกสาร แต่ยังช่วยเรื่องการเก็บรักษาข้อมูลอิเล็กทรอนิกส์ให้เป็นความลับและปลอดภัยต่อการละเมิดได้อีกด้วย

• แจ้งเหตุและจัดทำบันทึกรายการ : ผู้จัดการประชุมออนไลน์ซึ่งมีสถานะเป็นผู้ควบคุมข้อมูลส่วนบุคคล หากพบการละเมิดข้อมูลฯ หรือการโดนโจมตีทางไซเบอร์และเกิดข้อมูลรั่วไหลจะต้องแจ้งเหตุแก่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายใน 72 ชั่วโมงนับตั้งแต่ทราบเหตุ รวมทั้งต้องมีการจัดทำบันทึกรายกายกกิจกรรมการประมวลผลข้อมูลดังกล่าวเพื่อให้คณะกรรมการตรวจสอบ

อย่างไรก็ตาม รายการคำแนะนำเหล่านี้อาจไม่ครบถ้วน และยังเป็นการระบุในภาพกว้างๆ แต่ก็ถือว่าเพียงพอให้ธุรกิจได้นำแนวทางเหล่านี้ไปคิดต่อและปรับใช้งานอย่างความเหมาะสมตามโครงสร้างขององค์กร เพื่อให้การจัดประชุมออนไลน์ครั้งต่อไปไม่สุ่มเสี่ยงละเมิดกฎหมายหรือเป็นเหตุให้เกิดการละเมิดข้อมูลส่วนบุคคลของผู้เข้าร่วมประชุม

ทั้งนี้ การละเลยการจัดประชุมออนไลน์โดยไม่คำนึงถึงความเสี่ยงด้านความเป็นส่วนตัวและฝ่าฝืนกฎหมายมีบทลงโทษทั้งอาญา ความรับผิดทางแพ่ง และโทษทางปกครอง ขณะเดียวกันยังส่งผลต่อความน่าเชื่อถือขององค์กรอีกด้วย