สาเหตุยอดฮิตปัญหาการละเมิดข้อมูลส่วนบุคคลในบริษัท SME เกิดจาก ‘การรั่วไหลจากภายใน’ เป็นที่ทราบดีว่าในการดำเนินธุรกิจยุคใหม่ ‘ข้อมูล’ คือทรัพย์สินสำคัญขององค์กร ไม่ว่าจะเป็น ข้อมูลลูกค้า/คู่ค้า, ข้อมูลของพนักงาน, ข้อมูลอีเมล, ข้อมูลทรัพย์สินทางปัญญา ข้อมูลการเงิน ตลอดจนข้อมูลธุรกิจที่สำคัญอื่นๆ ที่ธุรกิจมีการรวบรวม จัดเก็บ ใช้งาน ประมวลผล หรือส่งต่อ รวมถึงทำประโยชน์ในด้านต่างๆ ทั้งในรูปแบบข้อมูลกระดาษและไฟล์ดิจิทัล
และด้วยปัจจัยด้านต้นทุนการจัดการ ตลอดจนการมุ่งสร้างรายได้และการเติบโตมากกว่ามิติด้านความปลอดภัย เลยทำให้ที่ผ่านมา ธุรกิจขนาดกลางและขนาดเล็กส่วนใหญ่ไม่ได้มีมาตรการในการปกป้องและคุ้มครองข้อมูลที่เพียงพอ ตัวอย่างที่เห็นได้ชัด อาทิ การให้สิทธิ์พนักงานในการเข้าถึงข้อมูลโดยไม่มีข้อจำกัด เป็นความเสี่ยงที่พบมากแทบทุกองค์กร ตัวอย่างที่เห็นได้ชัด คือ กรณีพนักงานนำข้อมูลลูกค้าไปขายหรือใช้ผิดวัตถุประสงค์
ประเด็นต่อมาคือ ด้านมาตรฐานในการปกป้องและรักษาข้อมูลที่ SME ส่วนใหญ่ยังมองว่าเป็นต้นทุนที่ ‘สิ้นเปลือง’ จึงทำให้บริษัท SME ส่วนใหญ่ไม่มีเจ้าหน้าที่เฉพาะด้านในการรักษา ปกป้องและจัดการข้อมูล ที่ผ่านมาจะเป็นในลักษณะการยกบทบาทนี้ให้ฝ่ายไอที หรือพนักงานที่รับผิดชอบต่องานนั่นๆ เป็นผู้จัดเก็บข้อมูล และกระจัดกระจาย ด้วยเหตุนี้ จึงเกิดความเสี่ยงทั้งจากภายใน และภายนอก อาทิ การโดนโจมตีทางไซเบอร์และข้อมูลเกิดการรั่วไหล
คำแนะนำในส่วนนี้ SME สามารถยับยั้ง และป้องกันได้โดยการปรับปรุงหรือลงทุนด้านอุปกรณ์ เทคโนโลยี มีพนักงานที่รับผิดชอบโดยตรง ตรวจเช็คและสำรองข้อมูลอย่างสม่ำเสมอ รวมทั้งการให้ความรู้และแนวทางแก่พนักงานในการป้องกันการโดนโจมตีทางไซเบอร์ และตระหนักถึงค่านิยมการรักษาข้อมูลในองค์กร
แต่จะเห็นได้ว่ามิติที่กล่าวถึงในข้างต้น ทั้งความเสี่ยงจากปัจจัยภายนอก และภายในล้วนเกิดการ ‘มุมมองการถูกกระทำ’ คือ การที่บริษัท หรือเจ้าหน้าที่ภายในบริษัทถูกละเมิดข้อมูลส่วนบุคคล แต่อย่าลืมว่าภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคลที่กำลังจะประกาศใช้ในเร็วๆ นี้ บริษัท SME อาจจะเข้าข่ายกระทำผิดกฎหมาย PDPA โดยการละเมิดข้อมูลส่วนบุคคลผู้อื่น ซึ่งในที่นี้เรามีกรณีตัวอย่างที่ธุรกิจคุณอาจกำลังทำผิดกฎหมายอยู่
7 เรื่องที่ SME อาจเข้าข่ายกำลังทำผิดกฎหมาย PDPA ซะเอง
- ใช้อีเมลภายในองค์กร: หนึ่งในกรณีศึกษายอดฮิตของการละเมิดข้อมูลระหว่างบริษัทกับบุคคล อ้างอิงตามสาระสำคัญตามกฎหมาย PDPA ได้นิยามข้อมูลส่วนบุคคลไว้ว่า ‘ข้อมูลที่สามารถระบุตัวตนบุคคลทั้งทางตรงและทางอ้อม’ และ ‘อีเมล’ ก็เป็นสิ่งที่ถูกส่งต่อกันโดยที่บางครั้ง ลูกค้า คู่ค้า ผู้ประสานงาน หรือพนักงานก็ยังไม่ได้ยินยอมให้มีการเปิดเผย รวมทั้งมีสิทธิ์ที่จะไม่ยินยอมให้เปิดเผยได้ด้วย และหากมีการเปิดเผยก็เข้าข่ายการละเมิดข้อมูลส่วนบุคคลในทันที
- ใช้ ‘LINE’ เป็นช่องทางติดต่อสื่อสารภายในองค์กร : อีกประเด็นที่อาจจะนำไปสู่การละเมิดได้ง่ายมากคือ การใช้แอปพลิเคชันติดต่อสื่อสารภายในองค์กร ยกตัวอย่างที่การใช้ LINE Chat, LINE Group ที่มีการส่งรูปภาพ สำเนาเอกสาร ข้อมูลลูกค้า/คู่ค้า ข้อมูลพนักงาน หรือเอกสารต่างๆ ที่ส่งต่อกันใน LINE Group ของบริษัท เข้าข่ายมีความผิดหากมีการเผยแพร่หรือส่งต่อให้บุคคลที่สามโดยเจ้าของข้อมูลไม่ได้ยินยอม ในเคสนี้ก็หมายรวมถึงแอปพลิเคชันแชทต่างๆ ด้วย
- ประชุมออนไลน์ : การเข้าใช้งานแพลตฟอร์มประชุมออนไลน์ในปัจจุบันเรามักจะเห็นว่ามีการใช้กด ‘Term of Service’ หรือการ ‘ยินยอม’ ให้เข้าถึงข้อมูลตัวบุคคลและเก็บคุกกี้เพื่อประโยชน์ในกิจกรรมต่างๆ ของผู้ให้บริการ แต่นั่นก็เป็นการยินยอมระหว่าง แพลตฟอร์มผู้ให้บริการ กับ ผู้ใช้บริการ ไม่ได้หมายรวมถึง การอนุญาตให้ผู้เข้าร่วมประชุมสามารถบักทึกภาพ เสียง การประชุมที่เปิดเผยใบหน้า ชื่อ หรือข้อมูลส่วนตัวของบุคคลอื่นที่เข้ารวมประชุมไปเผยแพร่ต่อได้ ยิ่งหากบริษัทจะมีการเปิดเผยข้อมูลดังกล่าว เพื่อประโยชน์ในด้านต่างๆ ควรมีการแจ้งบอกวัตถุประสงค์การใช้งาน และขอความยินยอมจากเจ้าของข้อมูลทุกครั้ง ไม่อย่างนั้นก็เข้าข่ายกระทำผิดกฎหมาย PDPA ไม่ว่าจะจงใจหรือไม่ก็ตาม
- ติดกล้องวงจรปิดไว้ในสถานประกอบการ : ติดกล้อง CCTV เพื่อบันทึกภาพ และเสียง ไว้ในบริษัท หากไม่แจ้งให้ทราบอาจนำไปสู่การเปิดเผยข้อมูลส่วนบุคคลและถูกฟ้องร้องดำเนินคดีทั้งทางแพ่งและอาญา ดังจะเห็นว่าในสถานประกอบการทุกวันนี้มีการติดกล้องวงจรปิดเพื่อประโยชน์ในด้านต่างๆ แต่ตามกฎหมายคุ้มครองข้อมูลระบุ หากมีการติดกล้องวงจรปิดจะต้องมีการแจ้งให้ทราบอย่างชัดเจน ไม่หลบซ่อน ซึ่งนี่เป็นอีกสิ่งหนึ่งที่ถูกละเลย และข้อควรระวัง
- ตรวจสอบประวัติพนักงาน : แค่ตรวจสอบประวัติพนักงานเพื่อพิจารณาเข้าทำงานก็มีความผิดเหรอ? ผิดแน่หากคุณทำธุรกิจด้านบริษัทรักษาความปลอดภัย แม่บ้าน หรืองานขับรถขนส่งและได้นำข้อมูลส่วนตัว หรือหมายเลขบัตรประจำตัวของบุคคลที่มาสมัครงานไปให้เจ้าหน้าที่ตรวจสอบ ‘ข้อมูลอาชญากรรม’ โดยไม่ได้รับการยินยอมจากบุคคลนั้น เพราะนี่เข้าข่ายการละเมิด ‘ข้อมูลอ่อนไหว’ ที่สุ่มเสี่ยงโทษจำคุก และค่าปรับสูงถึง 5 ล้านบาท และยังไม่รวมค่าสินไหมทดแทนอีกด้วย
- เก็บข้อมูลสุขภาพ / ลายนิ้วมือ/ใบหน้า : ธุรกิจส่วนใหญ่มีการใช้ข้อมูลชีวภาพ ในการยืนยันตัวตน อาทิการแสกนลายนิ้วมือเข้าทำงานของพนักงาน จำเป็นต้องขอความยินยอมอย่างชัดแจ้ง หรือแม่แต่การเก็บข้อมูลสุขภาพพนักงาน หากไม่แจ้งให้เจ้าของข้อมูลหรือพนักงานทราบก็เข้าข่ายกระทำผิดกฎหมาย PDPA เช่นกัน
- การใช้บุคคลภายนอกส่งเอกสารให้ลูกค้า : หากเป็นเจ้าหน้าที่ Messenger ภายในองค์กรทำหน้าที่ส่งเอกสารหรือสิ่งของต่างๆ ให้กับลูกค้า หรือคู่ค้าเองก็ไม่มีความเสี่ยงมากนัก แต่เมื่อใดก็ตามที่บริษัทใช้บริการมอเตอร์ไซด์รับจ้าง หรือไรเดอร์ที่เป็นบุคคลธรรมดาเพื่อส่งเอกสารหรือสิ่งของต่างๆ โดยให้ชื่อ ที่อยู่ เบอร์โทร แก่ผู้จัดส่งก็อาจเสี่ยงที่ข้อมูลนั้นอาจถูกละเมิดได้ เพราะคงไม่มีสัญญาการให้บริการส่งของที่คุ้มครองข้อมูลอย่างเป็นมาตรฐานระหว่างกัน1.
อย่างไรก็ตาม จากทั้ง 7 เรื่องความเสี่ยงของบริษัท SME ในการกระทำที่เข้าข่ายการละเมิดของมูลส่วนบุคคล กระทำผิดกฎหมาย PDPA ยังมีอีกหลายประเด็นที่เรายังไม่ได้กล่าวถึง และจะกล่าวถึงในบทความต่อๆ ไป อันเนื่องจากยังสามารถ ‘ตีความ’ การกระทำผิดตามบทบัญญัติใน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ กฎหมาย PDPA ที่เกี่ยวโยงกับธุรกิจได้อีกในหลายๆ ด้าน
ด้วยเหตุนี่ มาตรการป้องกันการกระทำผิดกฎหมาย PDPA ที่ผ่านมา องค์กรและบริษัทต่างเริ่มมีการจัดทำ นโยบายการคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy) ประกาศความเป็นส่วนตัว (Privacy notice) รวมถึงการทำเอกสารขอความยินยอม (Consent) เพื่อชี้แจงรายละเอียด และรูปแบบ วิธีการจัดการข้อมูล ประมวลผลข้อมูลส่วนบุคคลของลูกค้า/คู่ค้า รวมทั้งการกำหนดวัตถุประสงค์ในการเก็บรวบรวมใช้ เปิดเผย และประมวลผล ตลอดจนระยะเวลาในการเก็บรักษาอย่างชัดเจน หรือแม้แต่มีการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล (DPIA) ป้องกันความเสียหายที่อาจจะเกิดขึ้น เพื่อให้สอดคล้องกับกฎหมายใหม่ที่กำลังประกาศใช้ในวันที่ 1 มิถุนายน 2565 นี้
สำหรับ ธุรกิจใดที่ยังไม่ได้ทำ หรือยังไม่ได้เริ่มทำ คำแนะนำเดียวคือเริ่มต้นตั้งแต่ตอนนี้ ก่อนที่ ‘ความเสี่ยง’ จะกลายเป็น ‘ความซวย’ มาเยือนในอนาคต
