ช่วงต้นปีมานี้ มีข่าวบริษัทด้านธุรกิจสื่อสารรายใหญ่ของไทยถูกโจรกรรมข้อมูลส่วนบุคคลของลูกค้า ซึ่งตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ กฎหมาย PDPA จะต้องแจ้งเหตุละเมิดภายในไม่เกิน 72 ชั่วโมง นับตั้งแต่ทราบเหตุ ประเด็นนี้ อาจมองได้ว่าธุรกิจขนาดใหญ่ โดยเฉพาะ ‘บริษัทมหาชน’ ที่มีการเก็บ ประมวลผล หรือเปิดเผยข้อมูลลูกค้าจำนวนมาก กำลังตกเป็นเป้าโจมตีทางไซเบอร์ และจากสถิติการโจมตีทางไซเบอร์ในช่วงนับตั้งแต่มีสถานการณ์ COVID-19 มีอัตราการเพิ่มขึ้นเป็นตัวเลขที่น่าตกใจ

อย่างไรก็ตาม บริษัทมหาชนยังมีอีกหลายประเด็นที่ ‘อ่อนไหว’ ไม่เฉพาะแค่เรื่อง Cyber Security ทำให้ช่วงเวลาที่ผ่านมาธุรกิจต่างๆ ได้มีการจัดทำนโยบายคุ้มครองข้อมูลส่วนบุคคล (Privacy Notice) รวมถึงมีการประกาศนโยบายคุ้มครองข้อมูลส่วนส่วนบุคคล (Privacy Policy) เพื่อปฏิบัติตามกฎหมาย PDPA

และถึงแม้จะมีการดำเนินการในข้างต้น แต่ยังมีความเสี่ยงในอีกหลายด้านที่ข้อมูลส่วนบุคคลจะเกิด ‘การรั่วไหล’ อันนำไปสู่การ ‘ละเมิดสิทธิ’ ที่ไม่ใช่เฉพาะข้อมูลลูกค้า เพราะ พ.ร.บ.คุ้มครองข้อมูลฯ ระบุถึงสิทธิของทุกคนที่จะได้รับความคุ้มครองความเป็นส่วนตัว

ดังนั้น การดำเนินกิจกรรมต่างๆ ของบริษัทมหาชนที่มีการซื้อขายในตลาดหลักทรัพย์ ซึ่งมีข้อมูลส่วนบุคคลอีกมากที่นำไปสู่การละเมิด ทั้งจากความประมาท เช่น กรณีโดนโจรกรรมข้อมูล หรือเกิดการรั่วไหลจากภายใน ทั้งจากความตั้งใจ หรือขาดความเข้าใจ ยกตัวอย่าง เอกสารเผยแพร่ หรือธุรกรรมต่างๆ ที่มีการเก็บข้อมูลส่วนบุคคล เช่น สัญญาการซื้อขายหุ้น จองหุ้น ประชุมผู้ถือหุ้น ข้อมูลกรรมการ ที่ปรึกษาการเงิน ฯลฯ ซึ่งเป็นข้อมูลส่วนบุคคลที่มีการส่งต่อข้อมูลแก่บุคคลที่สาม ก็อาจจะนำไปสู่การละเมิดกฎหมาย PDPA ได้ในหลายกรณี

โดยในที่นี้ เราจึงหยิบยกประเด็นข้อมูลส่วนบุคคลของบริษัทมหาชน ที่มีการเก็บข้อมูลไว้อย่าง ‘หลากหลาย’ และนอกเหนือจากกิจกรรมทางการค้าในรูปแบบปกติ  และมาดูกันว่า มีมิติใดบ้างที่สุ่มเสี่ยงต่อการละเมิดกฎหมายคุ้มครองข้อมูลส่วนบุคคล

บริษัท ‘มหาชน’ เก็บข้อมูลส่วนบุคคลใดบ้าง

ตามระเบียบ บริษัทมหาชน นอกจากจะต้องมีการยื่นเอกสารแก่สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.) และนายทะเบียน กรมพัฒนาธุรกิจการค้า รวมทั้งอาจจะมีการให้ข้อมูลแก่บุคคลที่สาม ยกตัวอย่าง เช่น การคัดเลือกกรรมการ การจัดประชุมผู้ถือหุ้น การส่งต่อข้อมูลให้ บริษัท ศูนย์รับฝากหลักทรัพย์ (ประเทศไทย) จำกัด ตลอดจนการทำธุรกรรม และการดำเนินการต่างๆ

กิจกรรมดังกล่าว จึงจำเป็นต้องจัดเก็บ รวมรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลทั่วไป (Personal Data) และข้อมูลส่วนบุคคลอ่อนไหว (Sensitive data) ของผู้เริ่มจัดตั้งบริษัท ผู้บริหารของบริษัท กรรมการ กรรมการอิสระ กรรมการตรวจสอบ ผู้มีอำนาจควบคุม ที่ปรึกษาทางการเงิน ผู้ประเมินราคาทรัพย์สิน ผู้สอบบัญชี ผู้ถือหุ้น นักลงทุน คู่สัญญา ผู้รับผลประโยชน์ ผู้มีส่วนเกี่ยวข้องตามสายโลหิตของผู้รับผลประโยชน์ ผู้ที่มีกรณีพิพาทการฟ้องคดี ตลอดจนข้อมูลส่วนบุคคลของผู้เกี่ยวข้องในธุรกรรมต่างๆ โดยจะมีการเก็บข้อมูลส่วนบุคคลที่ ‘ไม่ได้รับความยินยอม’ เข้าข่ายการละเมิดกฎหมาย PDPA เช่น 

• มีการข้อมูลส่วนตัวทั่วไป เช่น ชื่อ-นามสกุล คำนำหน้าชื่อ เพศ วันเดือนปีเกิด อายุหมายเลขบัตรประจำตัวประชาชน หมายเลขโทรศัพท์ อีเมล ภาพถ่ายบุคคล บัญชีธนาคาร ข้อมูลทางการเงิน การจ่ายเงินปันผล ตลอดจนข้อมูลอื่นๆ ที่สามารถเชื่อมโยงตัวบุคคลได้ทั้งทางตรงและทางอ้อม
• มีการเก็บข้อมูลส่วนบุคคลอ่อนไหว ได้แก่ ข้อมูลใบหน้าที่สำหรับใช้ในระบบการจดจำใบหน้า (Face Recognition) ลายนิ้วมือ การตรวจสอบข้อมูลการต้องโทษ ประวัติอาชญากรรม ศาสนา เชื้อชาติ ข้อมูลสหภาพแรงงาน และข้อมูลสุขภาพ
• มีการเก็บข้อมูลเด็ก ในกรณีที่ผู้รับผลประโยชน์ยังเป็นผู้เยาว์ที่ยังไม่บรรลุนิติภาวะ รวมถึงข้อมูลบุคคลไร้ความสามารถ หรือเสมือนไร้ความสามารถ
• มีการข้อมูลส่วนตัวอื่น ๆ เช่น ข้อมูลในโฉนดที่ดิน เอกสารซื้อขาย

เอกสารการแสดงการครอบครอง กรรมสิทธิ์อื่นๆ ข้อมูลเกี่ยวกับการใช้งานระบบสารสนเทศ และเว็บไซต์ภายในต่าง ๆ ข้อมูลการบันทึกภาพจากกล้องวงจรปิด การบันทึกเสียงสนทนาจากการประชุม ตลอดจนข้อมูลเผยแพร่ทั้งในรูปแบบเอกสารและอิเล็กทรอนิกส์

*** ดังนั้นจะเห็นว่า ‘บริษัทมหาชน’ มีรายการในการจัดเก็บ ประมวลผล หรือเปิดเผยข้อมูลส่วนบุคคลที่ไม่เฉพาะแค่ ‘ลูกค้า’ อีกเป็นจำนวนมาก และมีข้อมูลส่วนบุคคลจำนวนมากถูกส่งต่อข้อมูลแก่บุคคลที่สาม ยกตัวอย่างกรณีที่เห็นได้บ่อยครั้ง คือ การจัดประชุมผู้ถือหุ้น ซึ่งจะต้องมีหนังสือเชิญประชุมโดยมีการให้ศูนย์รับฝากหลักทรัพย์ฯ เป็นผู้ดำเนินการจัดส่งเอกสารที่เป็นข้อมูลส่วนบุคคลผู้ถือหุ้น คือ ชื่อนามสกุล สัญชาติ ที่อยู่ เลขบัตรประชาชน หนังสือเดินทาง เลขทะเบียนผู้ถือหุ้น เป็นต้น