เราทราบดีว่า การสื่อสารเป็นส่วนสำคัญของธุรกิจ ทั้งเราปฏิเสธไม่ได้ว่า แพลตฟอร์ม ‘LINE’ ได้กลายเป็นส่วนในชีวิตประจำวันของผู้คนในปัจจุบัน และกว่า 47 ล้านบัญชีในประเทศไทยใช้ LINE ในการสื่อสาร ด้วยคุณสมบัติที่ง่าย สะดวก และรวดเร็วจึงทำให้แอปพลิเคชันส่งข้อความโต้ตอบแบบสองทาง ได้พัฒนาสู่การสื่อสารที่สามารถสร้าง Community หรือการโต้ตอบแบบกลุ่ม
ซึ่งเชื่อว่าคงคุ้นเคยกับ ‘LINE Group’ ที่องค์กรธุรกิจต่างนำมาใช้ในการสื่อสารภายในองค์กร หรือระหว่างองค์กรจนกลายวัฒนธรรมการสื่อสารใหม่ (หรือความเคยชิน) ที่สังคมการทำงานในไทยยอมรับว่าสิ่งเหล่านี้เป็นเรื่องปกติธรรมดาฃ
ใคร ๆ ก็ใช้กัน ! .. แต่กระนั้นควรทราบว่า การสื่อสารผ่านไลน์ขององค์กรอาจละเมิดของมูลส่วนบุคคลตามบทบัญญัติของกฎหมาย PDPA หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ได้ง่ายมาก ที่สำคัญกว่านั้น คือรูปแบบการสื่อสารดังกล่าวยังมีความ ‘อ่อนไหว’ ในด้านความปลอดภัยของข้อมูลส่วนบุคคลที่ละเอียดอ่อน ทั้งยังเป็นภัยคุกคามที่ ‘แฝงเร้น’ ซึ่งธุรกิจจะต้องทราบและมีมาตรการในการคุ้มครองข้อมูลก่อนที่ทุกอย่างจะสายเกินแก้
ใช้ ‘LINE’ ขององค์กรธุรกิจผิดกฎหมาย PDPA ในลักษณะใด?
ก่อนอื่นจะต้องทราบว่า นโยบายความเป็นส่วนตัว LINE หรือ บริษัท ไลน์ คอร์ปอเรชั่น จำกัด (ท่านสามารถศึกษาได้จากลิงค์นี้ https://line.me/th/terms/policy/ ) เป็นนโยบายความเป็นส่วนตัวของ LINE เพื่อป้องกันการละเมิดข้อมูลส่วนบุคคลของผู้ใช้บริการ และปฏิบัติตามกฎหมาย แต่ไม่ได้รวมถึงการละเมิดข้อมูลส่วนบุคคลที่เกิดจากผู้ใช้บริการด้วยกันเอง
หมายความว่า ข้อมูลส่วนบุคคล เช่น รูปภาพโปรไฟล์ เบอร์มือถือ อีเมล ข้อมูลเอกสารไฟล์เสียงและข้อความการสนทนา ที่ได้เปิดเผย และได้ยินยอมจากผู้ใชแอปพลิเคชันไลน์เป็นความรับผิดชอบของ บริษัท ไลน์ คอร์ปอเรชั่น จำกัด แต่การละเมิดที่เกิดจากการกระทำของผู้ใช้บริการ ความรับผิดชอบนั้นจะเป็นของบุคคลหรือองค์กรนั้น ๆ ทาง LINE จะไม่ได้มีส่วนรับผิดชอบต่อการกระทำหรือความผิดนั้นด้วย และอาจเกิดขึ้นจากกรณีดังต่อไปนี้
• การละเมิดจากภายใน : บริษัทใช้ไลน์กลุ่มในการสื่อสารภายใน แล้วเกิดมีบุคคลภายในนำข้อมูลส่วนบุคคล หรือข้อความที่สนทนาไปเปิดเผยหรือใช้ประโยชน์ และก่อให้ความความเสียหาย บริษัทจะต้องรับผิดชอบความเสียหายเนื่องจากมีสถานะเป็นผู้ควบคุมข้อมูลส่วนบุคคล
• การละเมิดระหว่างองค์กร : การสื่อสารระหว่างบริษัทโดยใช้ไลน์กลุ่มหากมีการละเมิดข้อมูลส่วนบุคคลของสมาชิกใช้กลุ่มไลน์ ทำให้เกิดความเสียหายแก่เจ้าของข้อมูล ความรับผิดชอบในลำดับแรกคือบริษัทที่มีการสื่อสารระหว่างกัน
• การละเมิดจากบุคคลภายนอกหรืออดีตพนักงาน : ถ้าพนักงานลาออกจากบริษัทแต่ยังสามารถเข้าถึงไลน์กลุ่ม ทั้งได้แบ่งปันหรือแชร์ข้อมูลส่วนบุคคลในกลุ่มไลน์ และเกิดความเสียหาย ความรับผิดชอบในลำดับแรกยังเป็นของบริษัทนั้นเช่นกัน
• เปิดเผยหรือแชร์ข้อมูลโดยไม่ได้รับความยินยอม : ข้อความ ข้อมูลการสนทนา รูปภาพ วิดีโอ ไฟล์เสียง ข้อมูลการติดต่อของสมาชิกในกลุ่ม หรือข้อมูลเอกสารใดๆ ที่ใช้สื่อสารในกลุ่มไลน์บริษัท เป็นความรับผิดชอบของบริษัทนั้น หากเกิดการละเมิดข้อมูลส่วนบุคคลหรือทำให้เกิดความเสียหายหรือแม้แต่การนำไปเปิดเผยโดยไม่ได้รับอนุญาต การชดเชยความเสียหายหรือความผิดต่าง ๆ จากบทลงโทษของ PDPA จะมีผลกับบริษัทนั้นเป็นลำดับแรก (บริษัทสามารถดำเนินการเอาผิดทางกฎหมายจากผู้กระทำผิดได้ แต่ไม่สามารถปฏิเสธความรับผิดชอบจากการละเมิด PDPA ที่เกิดความเสียหายได้)
• ถูกโจรกรรมข้อมูล : หากข้อมูลในไลน์กลุ่มถูกแฮก ข้อมูลในไลน์กลุ่มหลุด หรือถูกขโมยข้อมูลและนำไปใช้กระทำความผิด ความรับผิดจะตกอยู่กับบริษัทที่มีข้อมูลรั่วไหลซึ่งพนักงานมีสิทธิในการเรียกค่าเสียหายได้ (กฎหมาย PDPA จะพิจารณาจากความเสียหายที่เกิดขึ้นจริงหรือสองเท่าของความเสียหายที่เกิดขึ้น)
ทำไมบริษัทถึงต้องรับผิดชอบจากการละเมิดข้อมูลในไลน์กลุ่ม ?
เมื่อพิจารณาจากวัฒนธรรมขององค์กรในปัจจุบัน ที่มักจะมีไลน์กลุ่มของพนักงานทั้งหมด ทั้ง HR หรือฝ่ายทรัพยากรบุคคลของแต่ละบริษัทก็มีการเชิญชวน (แกมบังคับ) ว่าทุกคนต้องเข้าไลน์กลุ่มของบริษัทเพื่อการติดสื่อสื่อสารที่รวดเร็ว ด้วยเหตุนี้ การเก็บ รวบรวมใช้ หรือเปิดเผยข้อมูลบัญชีไลน์ ที่เป็นข้อมูลส่วนบุคคล เจ้าของข้อมูลจะต้องได้รับความยินยอม และบริษัทจะมีสถานะเป็นผู้ควบคมข้อมูลส่วนบุคคลทั้งมีหน้าที่ในการคุ้มครองข้อมูลส่วนบุคคลให้มีความปลอดภัยอย่างเหมาะสมกับความเสี่ยง เป็นความรับผิดชอบที่ต้องปฏิบัติตามกฎหมาย
ดังนั้น ลองคิดดูเล่น ๆ ว่าหากบริษัทที่สร้างไลน์กลุ่มขึ้นมามีการรวบรวมรายชื่อไลน์ของพนักงาน ซึ่งอย่างน้อยจะต้องมีรูปภาพบุคคลและรายชื่อเป็นจำนวนมาก ความเสี่ยงที่อาจก่อให้เกิดการละเมิดจากภายในก็ยิ่งมีมากขึ้น
และไม่ใช้เรื่องที่เราสมติขึ้นมาลอย ๆ … แต่เหตุการณ์ลักษณะนี้เคยเกิดขึ้นต่างประเทศมามากมาย ภายใต้ข้อปฏิบัติตามกฎระเบียบการให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค หรือ GDPR ที่สามารถเทียบเคียงได้กับการใช้งานแอปพลิเคชันแชทเพื่อสื่อสารภายในหรือระหว่างองค์กรธุรกิจ เช่น WhatsApp, Facebook Messenger,Telegram เป็นต้น
ซึ่งผู้คนจำนวนมากไม่ทราบถึงความเสี่ยงของการใช้แอปพลิเคชันโซเชียลมีเดียเหล่านี้ และไม่ทราบว่า ข้อมูลนายจ้าง พนักงาน คู่ค้า ลูกค้า ข้อความที่สนทนา แลเอกสารต่าง ๆ ที่ได้มีการส่งต่อจะถูกนำไปใช้ที่นอกเหนือจากวัตถุประสงค์ของบริษัท หรือแชร์เอกสารที่ส่งไปให้บุคคลภายนอกได้ทราบด้วยหรือไม่ และแน่นอนว่าการไม่มีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสมดังกล่าวเป็นการละเมิดกฎหมายข้อมูลส่วนบุคคลอย่างชัดเจน และเกิดเป็นกรณีฟ้องร้องในหลาย ๆ กรณีในยุโรป อังกฤษ และสหรัฐอเมริกา
เคล็ดลับการปกป้องข้อมูลส่วนบุคคลสำหรับบริษัทที่ใช้ LINE Group
1. ใช้น้อย ๆ และใช้อย่างระมัดระวัง : บริษัทควรหลีกเลี่ยงการให้พนักงานทั้งหมดสมัครไลน์กลุ่มบริษัท เนื่องจากไม่มีความจำเป็นเท่าที่ควร และเป็นความเสี่ยงที่บริษัทจะต้องแบกรับ แม้มองว่าเป็นเหตุผลเพื่อการสื่อสารที่รวดเร็ว ก็อาจจะพิจารณาช่องทางสื่อสารอื่นที่ปลอดภัยและถูกพัฒนามาเพื่อธุรกิจจะเหมาะสมกว่า เช่น แอปพลิเคชันแชททีมที่ปรับแต่งมาเป็นพิเศษ แต่หากมีความจำเป็นจะต้องใช้ LINE Group อาจะพิจาณาเป็นรายแผนก หรือแต่ละโปรเจคแยกกันอย่างชัดเจนจะดีกว่า
2. การตระหนักรู้เป็นสิ่งสำคัญ : องค์กรที่มีความจำเป็นต้องใช้ LINE Group ในการติดต่อสื่อสาร เช่น ลูกค้าถนัดใช้ช่องทางนี้ จะต้องมีการอบรมหรือการ ‘Educate’ ด้านกฎหมาย PDPA แก่พนักงาน ขณะเดียวกันควรมีการสร้างวัฒนธรรมการปกป้องข้อมูลส่วนบุคคลของพนักงานและการักษาข้อมูลที่เป็นความลับทางธุรกิจด้วย
3. อัปเดตข้อมูลสมาชิกอยู่เสมอ : การป้องกันผู้ที่ไม่เกี่ยวข้องในหน้าที่ หรือไม่มีความจำเป็นในงานนั้นๆ แล้ว LINE Group ควรจะต้องมีการอัปเดตให้เป็นปัจจุบันอยู่เสมอ เพื่อเป็นมาตรการป้องกันความเสี่ยงการละเมิดข้อมูลสมาชิกจากอดีตพนักงาน หรือบุคคลภายนอก
4. กฎเป็นพื้นฐานของการอยู่ร่วมกัน : มารยาทการสื่อสารเป็นสิ่งสำคัญ แต่บ่อยครั้งก็มีการละเลย ด้วยเหตุนี้ การตั้งกฎกลุ่มหรือระเบียบการสื่อสารระหว่างคู่สนทนาหรือระหว่างองค์กรจึงเป็นสิ่งที่ควรนำมาใช้ ซึ่งไม่เพียงเป็นการสร้างกติกาเพื่อการอยู่ในแพลตฟอร์มออนไลน์ร่วมกัน แต่ยังสามารถป้องกันเหตุละเมิดจากการกระทำที่ไม่เจตนาหรือเกินขอบเขตได้อีกด้วย
5. แต่งตั้งผู้ดูแลกลุ่มโดยตรง : การแต่งตั้งผู้มีหน้าที่และอำนาจโดยตรงในการดูแลความเรียบร้อยของ LINE Group อาจเป็นสิ่งที่ดูหยุมหยิมไปบ้าง แต่หากมองที่การปกป้องข้อมูลให้มีความปลอดภัยก็เป็นสิ่งที่พอจะเข้าใจได้ ที่สำคัญผู้ดูแลกลุ่มจะต้องมีความรู้และความเข้าใจเรื่องทางเทคนิคและไอทีดีพอสมควรเพื่อที่จะสามารถป้องการการโจรกรรมข้อมูลสมาชิกในกลุ่มได้อย่างทันท่วงที
อย่างไรก็ตาม เราไม่ได้จะบอกว่าการใช้ LINE Group เป็นสิ่งที่อันตรายหรือควรหลีกเลี่ยง เนื่องจากในปัจจุบันแอปพลิเคชันได้มีการพัฒนาและปรับแต่งให้มีความปลอดภัยและสอดคล้องกับกฎหมาย PDPA
แต่กระนั้น การใช้ก็ควรดูที่วัตถุประสงค์ ความจำเป็น และมีแนวทางด้านการคุ้มครองข้อมูลส่วนบุคคลอย่างเหมาะสม ที่สำคัญคือ ต้องจำไว้เสมอว่า การเก็บ รวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลจะต้องได้รับความยินยอมจากเจ้าของข้อมูล หรือเป็นสิทธิโดยชอบตามกฎหมายเท่านั้น
