ช่วงต้นปีมานี้ มีข่าวบริษัทด้านธุรกิจสื่อสารรายใหญ่ของไทยถูกโจรกรรมข้อมูลส่วนบุคคลของลูกค้า ซึ่งตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ กฎหมาย PDPA จะต้องแจ้งเหตุละเมิดภายในไม่เกิน 72 ชั่วโมง นับตั้งแต่ทราบเหตุ ประเด็นนี้ อาจมองได้ว่าธุรกิจขนาดใหญ่ โดยเฉพาะ ‘บริษัทมหาชน’ ที่มีการเก็บ ประมวลผล หรือเปิดเผยข้อมูลลูกค้าจำนวนมาก กำลังตกเป็นเป้าโจมตีทางไซเบอร์ และจากสถิติการโจมตีทางไซเบอร์ในช่วงนับตั้งแต่มีสถานการณ์ COVID-19 มีอัตราการเพิ่มขึ้นเป็นตัวเลขที่น่าตกใจ
อย่างไรก็ตาม บริษัทมหาชนยังมีอีกหลายประเด็นที่ ‘อ่อนไหว’ ไม่เฉพาะแค่เรื่อง Cyber Security ทำให้ช่วงเวลาที่ผ่านมาธุรกิจต่างๆ ได้มีการจัดทำนโยบายคุ้มครองข้อมูลส่วนบุคคล (Privacy Notice) รวมถึงมีการประกาศนโยบายคุ้มครองข้อมูลส่วนส่วนบุคคล (Privacy Policy) เพื่อปฏิบัติตามกฎหมาย PDPA
และถึงแม้จะมีการดำเนินการในข้างต้น แต่ยังมีความเสี่ยงในอีกหลายด้านที่ข้อมูลส่วนบุคคลจะเกิด ‘การรั่วไหล’ อันนำไปสู่การ ‘ละเมิดสิทธิ’ ที่ไม่ใช่เฉพาะข้อมูลลูกค้า เพราะ พ.ร.บ.คุ้มครองข้อมูลฯ ระบุถึงสิทธิของทุกคนที่จะได้รับความคุ้มครองความเป็นส่วนตัว
ดังนั้น การดำเนินกิจกรรมต่างๆ ของบริษัทมหาชนที่มีการซื้อขายในตลาดหลักทรัพย์ ซึ่งมีข้อมูลส่วนบุคคลอีกมากที่นำไปสู่การละเมิด ทั้งจากความประมาท เช่น กรณีโดนโจรกรรมข้อมูล หรือเกิดการรั่วไหลจากภายใน ทั้งจากความตั้งใจ หรือขาดความเข้าใจ ยกตัวอย่าง เอกสารเผยแพร่ หรือธุรกรรมต่างๆ ที่มีการเก็บข้อมูลส่วนบุคคล เช่น สัญญาการซื้อขายหุ้น จองหุ้น ประชุมผู้ถือหุ้น ข้อมูลกรรมการ ที่ปรึกษาการเงิน ฯลฯ ซึ่งเป็นข้อมูลส่วนบุคคลที่มีการส่งต่อข้อมูลแก่บุคคลที่สาม ก็อาจจะนำไปสู่การละเมิดกฎหมาย PDPA ได้ในหลายกรณี
โดยในที่นี้ เราจึงหยิบยกประเด็นข้อมูลส่วนบุคคลของบริษัทมหาชน ที่มีการเก็บข้อมูลไว้อย่าง ‘หลากหลาย’ และนอกเหนือจากกิจกรรมทางการค้าในรูปแบบปกติ และมาดูกันว่า มีมิติใดบ้างที่สุ่มเสี่ยงต่อการละเมิดกฎหมายคุ้มครองข้อมูลส่วนบุคคล
บริษัท ‘มหาชน’ เก็บข้อมูลส่วนบุคคลใดบ้าง
ตามระเบียบ บริษัทมหาชน นอกจากจะต้องมีการยื่นเอกสารแก่สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.) และนายทะเบียน กรมพัฒนาธุรกิจการค้า รวมทั้งอาจจะมีการให้ข้อมูลแก่บุคคลที่สาม ยกตัวอย่าง เช่น การคัดเลือกกรรมการ การจัดประชุมผู้ถือหุ้น การส่งต่อข้อมูลให้ บริษัท ศูนย์รับฝากหลักทรัพย์ (ประเทศไทย) จำกัด ตลอดจนการทำธุรกรรม และการดำเนินการต่างๆ
กิจกรรมดังกล่าว จึงจำเป็นต้องจัดเก็บ รวมรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลทั่วไป (Personal Data) และข้อมูลส่วนบุคคลอ่อนไหว (Sensitive data) ของผู้เริ่มจัดตั้งบริษัท ผู้บริหารของบริษัท กรรมการ กรรมการอิสระ กรรมการตรวจสอบ ผู้มีอำนาจควบคุม ที่ปรึกษาทางการเงิน ผู้ประเมินราคาทรัพย์สิน ผู้สอบบัญชี ผู้ถือหุ้น นักลงทุน คู่สัญญา ผู้รับผลประโยชน์ ผู้มีส่วนเกี่ยวข้องตามสายโลหิตของผู้รับผลประโยชน์ ผู้ที่มีกรณีพิพาทการฟ้องคดี ตลอดจนข้อมูลส่วนบุคคลของผู้เกี่ยวข้องในธุรกรรมต่างๆ โดยจะมีการเก็บข้อมูลส่วนบุคคลที่ ‘ไม่ได้รับความยินยอม’ เข้าข่ายการละเมิดกฎหมาย PDPA เช่น
- มีการข้อมูลส่วนตัวทั่วไป เช่น ชื่อ-นามสกุล คำนำหน้าชื่อ เพศ วันเดือนปีเกิด อายุหมายเลขบัตรประจำตัวประชาชน หมายเลขโทรศัพท์ อีเมล ภาพถ่ายบุคคล บัญชีธนาคาร ข้อมูลทางการเงิน การจ่ายเงินปันผล ตลอดจนข้อมูลอื่นๆ ที่สามารถเชื่อมโยงตัวบุคคลได้ทั้งทางตรงและทางอ้อม
- มีการเก็บข้อมูลส่วนบุคคลอ่อนไหว ได้แก่ ข้อมูลใบหน้าที่สำหรับใช้ในระบบการจดจำใบหน้า (Face Recognition) ลายนิ้วมือ การตรวจสอบข้อมูลการต้องโทษ ประวัติอาชญากรรม ศาสนา เชื้อชาติ ข้อมูลสหภาพแรงงาน และข้อมูลสุขภาพ
- มีการเก็บข้อมูลเด็ก ในกรณีที่ผู้รับผลประโยชน์ยังเป็นผู้เยาว์ที่ยังไม่บรรลุนิติภาวะ รวมถึงข้อมูลบุคคลไร้ความสามารถ หรือเสมือนไร้ความสามารถ
- มีการข้อมูลส่วนตัวอื่น ๆ เช่น ข้อมูลในโฉนดที่ดิน เอกสารซื้อขาย
เอกสารการแสดงการครอบครอง กรรมสิทธิ์อื่นๆ ข้อมูลเกี่ยวกับการใช้งานระบบสารสนเทศ และเว็บไซต์ภายในต่าง ๆ ข้อมูลการบันทึกภาพจากกล้องวงจรปิด การบันทึกเสียงสนทนาจากการประชุม ตลอดจนข้อมูลเผยแพร่ทั้งในรูปแบบเอกสารและอิเล็กทรอนิกส์
*** ดังนั้นจะเห็นว่า ‘บริษัทมหาชน’ มีรายการในการจัดเก็บ ประมวลผล หรือเปิดเผยข้อมูลส่วนบุคคลที่ไม่เฉพาะแค่ ‘ลูกค้า’ อีกเป็นจำนวนมาก และมีข้อมูลส่วนบุคคลจำนวนมากถูกส่งต่อข้อมูลแก่บุคคลที่สาม ยกตัวอย่างกรณีที่เห็นได้บ่อยครั้ง คือ การจัดประชุมผู้ถือหุ้น ซึ่งจะต้องมีหนังสือเชิญประชุมโดยมีการให้ศูนย์รับฝากหลักทรัพย์ฯ เป็นผู้ดำเนินการจัดส่งเอกสารที่เป็นข้อมูลส่วนบุคคลผู้ถือหุ้น คือ ชื่อนามสกุล สัญชาติ ที่อยู่ เลขบัตรประชาชน หนังสือเดินทาง เลขทะเบียนผู้ถือหุ้น เป็นต้น
‘บริษัทมหาชน’ใช้ข้อมูลส่วนบุคคล อย่างไร ไม่ผิดกฎหมาย PDPA
บริษัทมหาชนที่มีการจดทะเบียนซื้อขายในตลาดหลักทรัพย์ฯ จะมีกฎหมายคุ้มครองและ ‘จำเป็น’ ต้องดำเนินการตามกฎหมาย เช่น พระราชบัญญัติหลักทรัพย์และตลาดหลักทรัพย์ พ.ศ. 2535 พระราชบัญญัติป้องกันและปราบปรามการฟอกเงิน พ.ศ. 2542 และพระราชบัญญัติป้องกันและปราบปรามการสนับสนุนทางการเงินแก่การก่อการร้ายและการแพร่ขยายอาวุธที่มีอานุภาพทำลายล้างสูง พ.ศ. 2559 ด้วยเหตุนี้ การจัดเก็บ รวบรวมใช้ และเปิดเผยข้อมูลบุคคลจึงสามารถใช้ฐานการปฏิบัติได้ ดังนี้
1.ฐานการปฏิบัติตามกฎหมาย (Legal Obligation) : สำหรับการเปิดเผยข้อมูลต่างๆ ตามแบบที่กฎหมายกำหนดไว้นั้น เป็นหน้าที่ตามกฎหมายไม่ว่าจะเป็นประกาศของสำนักงาน ก.ล.ต. และ ข้อบังคับของตลาดหลักทรัพย์ฯที่ออกตามพรบ.หลักทรัพย์ฯ ด้วยเหตุนี้ การดำเนินการเก็บใช้ข้อมูลบุคคลในบริษัทมหาชนจึงอำนาจตามกฎหมายซึ่งนี้จึงเป็นฐานแรกที่ทุกบริษัทมหาชนใช้เป็นยันต์กันภัยจากการกระทำผิดกฎหมาย PDPA
2.ฐานการปฏิบัติตามสัญญา (Contract) : สัญญาที่เป็นลายลักษณ์อักษร ถือเป็นอีกฐานการปฏิบัติในการที่บริษัทมหาชนสามารถทำการเก็บ รวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคล อาทิ สัญญาการซื้อขายหุ้น จองหุ้น สัญญาจ้างที่ปรึกษาการเงิน สัญญาจ้างที่ปรึกษาบัญชี ผู้ตรวจสอบภายใน เป็นฐานการปฏิบัติที่เกี่ยวเนื่องกับฐานทางกฎหมาย ทั้งสามารถใช้ร่วมกันได้
3.ฐานประโยชน์อันชอบธรรม (Legitimate Interest) : เป็นฐานที่ค่อนข้าง ‘ก้ำกึ่ง’ สำหรับบริษัทมหาชนที่อาจพิจารณาว่ากิจกรรมดังกล่าวเป็นการปฏิบัติตามสิทธิโดยชอบธรรม อาทิ ข้อบังคับของตลาดหลักทรัพย์ฯ อนุญาตให้จัดเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้ เช่นการ เปิดเผยประวัติผู้สมัครเข้ารับการคัดเลือกเป็นคณะกรรมการบริษัท ข้อมูลส่วนบุคคลของ 10 ผู้ถือหุ้นรายใหญ่ หรือข้อบังคับอื่นๆ ที่ตลาดหลักทรัพย์ฯ หรือพรบ. หลักทรัพย์ฯ กำหนดให้ดำเนินการได้ แต่กระนั้น ความชอบธรรมในที่นี้ ยังต้องอ้างอิงตามกรอบข้อบังคับและฐานกฎหมายด้วย
4.ฐานความยินยอมจากเจ้าของข้อมูล (Consent) เป็นอีกฐานที่บริษัทมหาชนสามารถดำเนินการเก็บ รวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคลได้โดยความ ‘ยินยอม’ ของเจ้าของข้อมูลส่วนบุคคล และหากข้อมูลส่วนบุคคลนั้น ‘จำเป็น’ ต้องมีการจัดเก็บหรือใช้ ก็ยังสามารถอ้างอิงตามฐานประโยชน์โดยชอบธรรมได้ด้วย
อย่างไรก็ตาม ฐานความยินยอมเป็นฐานที่ค่อนข้าง ‘บอบบาง’ มากที่สุด เนื่องจากเจ้าของข้อมูลส่วนบุคคลมีสิทธิที่จะให้มีการดำเนินการระงับ แก้ไข ถ่ายโอน หรือเพิกถอนความยินยอมได้โดยง่าย และหากบริษัทมหาชนไม่มีการดำเนินการตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอ ก็จะเข้าข่ายผิดกฎหมาย PDPA ในทันที เว้นแต่จะมีฐานอื่นรองรับ
ทั้งนี้หลายท่านอาจจะตั้งคำถามว่า ประวัติการต้องโทษคดีอาญา หรือการตรวจสอบประวัติอาชญากรรม ในบางกรณีที่บริษัท ‘จำเป็น’ ต้องมีการตรวจสอบคุณสมบัติบุคคล อาทิ การคัดเลือกคณะกรรมการ แต่งตั้งที่ปรึกษา ผู้ตรวจสอบบัญชี หรือธุรกรรมอื่นๆ ที่ต้องตรวจประวัติอาชญากรรมจะต้องใช้ฐานอะไรในการดำเนินการ
คำตอบนี้ในทางกฎหมายระบุว่า ข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Data) ไม่สามารถใช้ฐานสัญญารองรับ ดังนั้นต้องพิจารณาใช้ฐานทางกฎหมายเป็นบรรทัดฐานในการดำเนินการ และฐานความยินยอมในลำดับถัดมา หรือหากพิสูจน์ว่าการดำเนินการดังกล่าวเป็นประโยชน์โดยชอบธรรม ก็สามารถใช้ฐานนี้ได้เช่นกัน แต่ก็ควรจะระมัดระวัง
อย่างไรก็ตาม บริษัทมหาชน ควรมีมาตรการและการดำเนินการจัดเก็บข้อมูลที่ความปลอดภัยที่เหมาะสม ซึ่งคำว่า ‘เหมาะสม’ ในที่นี้ไม่ใช่เหมาะสมตามรายได้หรือผลกำไรของกิจการ แต่ต้องพิจารณาความเหมาะสมตาม ‘ความเสี่ยง’ ที่มีความเป็นไปได้ว่าจะเกิดขึ้น หรือมีแนวโน้มที่อาจจะเกิดขึ้น
ซึ่งบริษัทมหาชน ต้องดำเนินการทั้งทางด้านบุคคลกร องค์ความรู้ และเทคโนโลยี เพื่อป้องกันการรั่วไหลของข้อมูล หรือการละเมิดสิทธิของบุคคลที่บริษัทมีการเก็บ รวบรวมใช้หรือเปิดเผย โดยอาจจะต้องมีการทำลาย หรือทำข้อมูลให้เป็นนิรนาม เพื่อป้องกันความเสี่ยงในเบื้องต้น ตลอดจน มีการบริหารจัดการความเสี่ยงโดยการประเมินความเสี่ยงของข้อมูลส่วนบุคคลของบริษัท ก็เป็นอีกวิธีหนึ่งที่ควรทำ
และโดยปกติ บริษัทมหาชนต่างๆ จะมีการเก็บและทำลายข้อมูลตามระยะเวลาที่กฎหมายกำหนด ทั้งยังต้องมีการปรับแต่ง แก้ไข และอัปเดตข้อมูลอย่างน้อยปีละ 1 ครั้ง เพื่อปรับปรุงและพัฒนาการจัดเก็บข้อมูลส่วนบุคคลให้มีความปลอดภัย ซึ่งจากบทเรียนของบริษัทด้านสื่อสารที่ถูกโรจกรรมข้อมูล ก็เป็นตัวอย่างสะท้อนได้ดีว่า หลายๆ ธุรกิจ ยังไม่มีความพร้อมมากพอสำหรับด้านนี้
อ้างอิงข้อมูล : https://www.asco.or.th/uploads/upfiles/files/TDPG31.pdf
