‘ความรับผิดชอบ’ เป็นคำที่ยิ่งใหญ่ แต่หากดูที่แก่นความหมายซึ่งเป็นการสนธิของสองคำ คือ รับผิด+โดยชอบ อันหมายถึง ‘หน้าที่’ คือ สิ่งที่ต้องทำ แต่ก็น่าแปลกที่สิ่งเหล่านี้อาจจะไม่ใช่ทุกคน หรือทุกองค์กรอยากทำ เพราะมักจะนำไปเปรียบเทียบกับภาระอันยิ่งใหญ่ หรือผลจากการกระทำในเชิงลบที่ต้องมีคนต้องแบกรับ และอาจด้วยเหตุผลนี้ กฎหมาย PDPA หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 จึงได้กำหนด หน้าที่ ตามมาด้วยความรับผิดชอบสำหรับสถานะต่างๆ ภายใต้การดำเนินการด้านข้อมูลส่วนบุคคล โดยเฉพาะอย่างยิ่งหากเกิดข้อมูลรั่วไหลอันนำไปสู่การละเมิดข้อมูลส่วนบุคคล (Data Breach) และคำถามที่หลายคนอยากรู้คือ ความรับผิดชอบนั้นจะตกอยู่ที่ใคร?
แต่ก่อนที่จะกล่าวถึงความรับผิดชอบตามกฎหมาย PDPA ในกรณีการละเมิดข้อมูลส่วนบุคคล มาดูความหมายและตัวอย่างของการละเมิดข้อมูลส่วนบุคคลตามนิยามของกฎหมาย ซึ่งหมายถึง เหตุการณ์ หรือการกระทำที่นำไปสู่การเก็บรวบรวม เข้าถึง สูญหาย ทำลาย เปลี่ยนแปลง หรือเปิดเผยโดยไม่ได้รับอนุญาต ไม่ว่าจะเป็นการเจตนา หรือเกิดความผิดพลาดโดยไม่ตั้งใจ ยกกรณีตัวอย่าง เช่น :
- สถาบันการเงินส่งไปใบแจ้งหนีไปผิดคน
- โรงพยาบาลส่งผลตรวจสุขภาพไปผิดบ้าน
- องค์กรโดนโจมตีทางไซเบอร์
- ศูนย์ข้อมูลทำงานผิดพลาดจนทำให้ข้อมูลเสียหาย หรือถูกโจรกรรม
- การส่งต่อข้อมูลหรือแชร์โดยเจ้าของข้อมูลไม่อนุญาต
- พนักงานในองค์กรขโมยข้อมูลลูกค้าไปขายหรือใช้ประโยชน์ส่วนตัว
- ร้านกาแฟแอบติดกล้องวงจรปิดเพื่อบันทึกภาพลูกค้าที่เข้ามาใช้บริการในร้าน
ข้อมูลส่วนบุคคลที่เกิดการรั่วไหลหรือละเมิดอาจจะมีผลที่ตามมา เช่น การทำให้เจ้าของข้อมูลมีความเสี่ยง ทั้งความเสี่ยงต่อทางร่างกาย สุขภาพจิต ชื่อเสียง ทรัพย์สิน เสียโอกาส ถูกปฏิบัติที่ไม่เป็นธรรม หรือผลกระทบในด้านลบต่างๆ อันเป็นผลจากการถูกเปิดเผยข้อมูลส่วนบุคคล
ไทม์ไลน์การละเมิดข้อมูล กฎหมาย PDPA กำหนดแนวทางปฏิบัติอย่างไร
กฎหมาย PDPA ได้กำหนดบทบาทขององค์กรตามสถานะของการใช้ประโยชน์จากข้อมูลส่วนบุคคลไว้ 2 ลักษณะ คือ ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) หมายถึง บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล และ ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processer) หมายถึง บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลฯ ทั้งนี้หากเกิดการละเมิดข้อมูล องค์กรจะต้องปฏิบัติตามกฎหมายดังนี้ :
- ทราบเหตุ : องค์กรทราบเหตุข้อมูลรั่วไหล หรือการละเมิดข้อมูล หากองค์กรมีสถานะเป็นผู้ประมวลผลข้อมูลฯ จะต้องแจ้งให้ผู้ควบคุมข้อมูลฯทราบเหตุในทันที
- ค้นหาสาเหตุ : ผู้ควบคุมข้อมูลฯ หรือผู้ประมวลผลข้อมูลฯ จะต้องค้นหาสาเหตุของการรั่วไหลหรือละเมิดข้อมูลว่าเกิดจากสาเหตุใด หรือการกระทำของบุคคลใดและดำเนินการแก้ไขปัญหาดังกล่าวอย่างเหมาะสม
- กำหนดขอบเขตความเสียหาย : ผู้ควบคุมข้อมูลฯ จะต้องพิจารณาขอบเขตของความเสียหายจากกรณีการรั่วไหล หรือการละเมิดข้อมูลเพื่อการประเมินความเสี่ยงที่อาจเกิดขึ้นต่อสิทธิและเสรีภาพของเจ้าของข้อมูล
- แจ้งเหตุ : ผู้ควบคุมข้อมูลฯทำบันทึกรายการเหตุที่เกิดขึ้น และหากการรั่วไหลและละเมิดข้อมูลดังกล่าวมีความเสี่ยงจะต้องรายงานข้อมูลแก่คณะกรรมการคุ้มครองข้อมูลโดยไม่ชักช้า หรือไม่เกิน 72 ชั่วโมงนับตั้งแต่การทราบเหตุ
- แจ้งสิทธิ : หากการรั่วไหลหรือละเมิดข้อมูลที่เกิดขึ้น หากผู้ควบคุมข้อมูลฯประเมินว่ามีความเสี่ยงสูงและอาจเกิดความเสียหายแก่เจ้าของข้อมูลจะต้องแจ้งเหตุดังกล่าวให้เจ้าของข้อมูลทราบถึงเหตุการณ์ดังกล่าว รวมถึงแนวทางหรือมาตรการป้องกันและเยียวยาความเสียหายที่เกิดขึ้นตามสิทธิของเจ้าของข้อมูล
ความเสี่ยงของข้อมูลสามารถพิจารณาจากสิ่งเหล่านี่
- ประเภทของข้อมูล เช่น ข้อมูลสำเนาบัตรประชาชน บัตรเครดิต
- ความอ่อนไหว คือ วิเคราะห์ข้อมูลนั้นมีความเสี่ยงต่อบุคคลมากแค่ไหน โดยใช้หลักการพิจารณาพื้นฐานของความเสี่ยง
- ปริมาณ ข้อมูลที่รั่วไหลจำนวนมากอาจส่งผลต่อความเสียหายในวงกว้าง
- ง่ายต่อการระบุตัวตน ข้อมูลที่สามารถระบุตัวบุคลได้อาจจะส่งผลที่เป็นอันตรายต่อชีวิต สภาพจิตใจ หรือทรัพย์สิน
- ความรุนแรง โดยการวิเคราะห์ผลที่ตามมาในกรณีข้อมูลนั้นรั่วไหลและนำไปสู่การละเมิดในระดับใดบ้าง
อย่างไรก็ตาม หลักการพิจารณาความเสี่ยงนั้นขึ้นอยู่กับ ‘คุณสมบัติ’ ของผู้ควบคุมข้อมูลฯ หรือ ผู้ประมวลผลข้อมูลฯ ซึ่งจะต้องนำมาเป็นหลักการพิจารณาประกอบด้วย ยกตัวอย่างเช่น ผู้ควบคุมข้อมูลฯที่ดำเนินการด้านการเงิน บริการหมายเลขโทรศัพท์ และอินเทอร์เน็ต หรือบริการสุขภาพ ‘อาจจะ’ มีความเสียงสูง และรุนแรงกว่าผู้ควบคุมข้อมูลฯ ที่เป็นร้านขายดอกไม้ หรือขายเครื่องซักผ้า เป็นต้น
ใคร ? ควรรับผิดชอบในกรณีการละเมิดข้อมูล
ตามที่ระบุไว้ในตอนต้นว่า กฎหมาย PDPA ได้กำหนดหน้าที่ตามสถานะของการดำเนินการข้อมูลส่วนบุคคล ดังนี้ :
ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่
- จัดให้มีมาตรการรักษาความมั่นคงปลอดภัย และต้องทบทวนมาตรการเมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลง
- ในกรณีที่ต้องให้ข้อมูลส่วนฯ แก่บุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล ต้องดำเนินการเพื่อป้องกันมิให้ผู้นั้นใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ
- จัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลอย่างเหมาะสม หรือเจ้าของข้อมูลร้องขอตามสิทธิของกฎหมาย
- แจ้งเหตุ การละเมิดข้อมูลส่วนบุคคล แก่คณะกรรมการคุ้มครองข้อมูลฯ โดยไม่ชักช้าภายใน 72 ชั่วโมง นับแต่ทราบเหตุเท่าที่จะสามารถทำได้ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อเจ้าของข้อมูล ในกรณีที่การละเมิดมีความเสี่ยงสูง ให้แจ้งเหตุ การละเมิดให้เจ้าของข้อมูลทราบพร้อมกับแนวทางการเยียวยา
- หากผู้ควบคุมข้อมูลไม่ได้อยู่ในประเทศ ให้แต่งตั้งตัวแทนที่อยู่ในประเทศ เป็นหนังสือและต้องได้รับมอบอำนาจกระทำแทนโดยไม่มีข้อจำกัด
ผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่
- เก็บรวบรวมใช้ หรือเปิดเผยข้อมูลตามคำสั่งของผู้ควบคุมข้อมูลฯ เท่านั้น เว้นแต่คำสั่งนั้นขัดต่อกฎหมาย ซึ่งผู้ควบคุมข้อมูลฯ และผู้ประมวลผลข้อมูลฯ จะต้องมีข้อตกลงระหว่างกัน เพื่อควบคุมการดำเนินงานตามหน้าที่
- จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม รวมทั้งแจ้งให้ผู้ควบคุมข้อมูลฯ ทราบถึงเหตุ การละเมิดข้อมูลที่เกิดขึ้น
- จัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลไว้ หากไม่ทำบันทึกฯ จะเข้าข่ายสถานะเป็นผู้ควบคุมข้อมูลฯ
จะเห็นว่า ‘หน้าที่’ ของผู้ควบคุมข้อมูลฯ และผู้ประมวลผลข้อมูลฯ มีความเกี่ยวโยงและคล้ายกันในบางข้อ แต่หากจะถามหาความรับผิดชอบที่เกิดขึ้น อาจจะต้องดูที่เงื่อนไขสัญญาและข้อตกละระหว่างกันว่า เกิดความผิดพลาดที่เป็นการปฏิบัติตามข้อตกลงหรือ เป็นความผิดพลาดอื่นๆ เช่น ทำผิดข้อตกลง อุปกรณ์เก็บข้อมูลเกิดความเสียหาย โดนโจมตีทางไซเบอร์ หรือเป็นความผิดพลาดจากความประมาทเลินเล่อที่ไม่ได้มีเจตนา
ส่วนความรับผิดชอบที่เกิดจากการรั่วไหลและละเมิดข้อมูล ตามกฎหมาย ‘ผู้ควบคุมข้อมูลฯ’ คงไม่สามารถปฏิเสธความรับผิดชอบที่เกิดขึ้นได้ เว้นแต่จะมีเหตุผลหรือหลักฐานที่เพียงพอ อย่างไรก็ตามคำตัดสินของความผิดที่เกิดขึ้นจะเป็นหน้าที่คณะกรรมการคุ้มครองข้อมูลฯ ในการวินิจฉัยความรับผิดชอบและกำหนดบทลงโทษ
แล้ว DPO จะต้องรับผิดชอบความผิดการละเมิดดัวยหรือไม่?
สำหรับองค์กรที่มีการเก็บ ประมวลผล หรือเปิดเผยข้อมูลเป็นจำนวนมาก หรือมีการดำเนินการอย่างสม่ำเสมอจะจะต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลหรือ DPO (Data Protection Officer) ของตนตามกฎหมาย ซึ่งบางท่านอาจสงสัยว่า ตำแหน่งนี้จะต้องรับผิดชอบความเสียหายในกรณีละเมิดข้อมูลด้วยหรือไม่
หากพิจารณาจากหน้าที่ของ DPO คือ ให้คำแนะนำ ตรวจสอบการดำเนินการ ประเมินความเสี่ยง ส่งเสริมและจัดให้มีมาตรการคุ้มครองข้อมูลภายในองค์กรอย่างเหมาะสม และรักษาความลับในการทำตามหน้าที่ ซึ่งดูจากมุมนี้ดูเหมือนว่าจะต้องมีบทบาทในความรับผิดชอบหากเกิดการละเมิดด้วย
ทว่าตำแหน่ง DPO เป็นหน้าที่ซึ่งมีกฎหมาย PDPA คุ้มครอง หมายความว่า บริษัทไม่สามารถไล่ออกหรือเลิกจากในกรณีที่ DPO ปฏิบัติหน้าที่ได้ แต่หากในกรณีการละเลยการปฏิบัติหน้าที่ องค์กรอาจประเมินคุณภาพในการดำเนินงานของ DPO ได้ตามกฎขององค์กรแต่จะให้ร่วมรับผิดชอบความเสียหายในกรณีการละเมิดย่อมไม่ได้
สุดท้ายนี้ หลายๆ ท่านอาจจะสงสัยอีกว่า ในกรณีความรับผิดชอบเฉพาะบุคคลจะเกิดขึ้นในลักษณะใด ซึ่งเรื่องนี้หากเทียบเคียงกับเหตุการณ์ละเมิดและฟ้องร้องในต่างประเทศ จะเห็นว่าองค์กรจะเป็นผู้รับผิดชอบความเสียหายที่เกิดขึ้น รวมทั้งบทลงโทษ ส่วนความรับผิดเฉพาะบุคคล อาทิ เจ้าหน้าที่ หรือผู้ที่มีบทบาทสำคัญในองค์กรนั้น จะแสดงความรับผิดชอบต่อเหตุการณ์ละเมิดด้วยหรือไม่ ก็ขึ้นอยู่กับการพิจารณาของแต่ละองค์กร หรือหากเป็นการจงใจกระทำผิดเฉพาะบุคคลที่ส่งผลเสียต่อองค์กร องค์กรนั้นก็สามารถดำเนินการเอาผิดกับบุคคลดังกล่าวตามขั้นตอนของกฎหมายได้เช่นกัน