ร่างประกาศฯ หลักเกณฑ์และวิธีการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล พ.ศ. …
สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เผยแพร่ร่างประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล พ.ศ. …. (ร่างประกาศฯ)
เพื่อให้ผู้มีส่วนได้เสียได้ร่วมแสดงความคิดเห็นร่างกฎหมายลำดับรองภายใต้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ระหว่างวันที่ 2 – 20 พฤศจิกายน 2565 โดยสามรถดาวน์โหลดเอกสารและแสดงความคิดเห็นได้ผ่านช่องท่าง http://www.pdpc.or.th
ร่างประกาศฯ ดังกล่าวเป็นกฎหมายลำดับรองที่ออกตามความในมาตรา 37(4) ของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ที่กำหนดให้ ผู้ควบคุมมีหน้าที่แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สำนักงานฯ โดยไม่ชักช้าภายใน 72 ชั่วโมงนับแต่ทราบเหตุเท่าที่จะสามารถกระทำได้ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล
ในกรณีที่การละเมิดมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ให้แจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อมกับแนวทางการเยียวยาโดยไม่ชักช้าด้วย ทั้งนี้ การแจ้งดังกล่าวและข้อยกเว้นให้เป็นไปตามหลักเกณฑ์และวิธีการที่คณะกรรมการประกาศกำหนด
ร่างประกาศฯ กำหนดว่า “การละเมิดข้อมูลส่วนบุคคล” หมายความว่า การรั่วไหลหรือการละเมิดมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคล อันอาจเกิดจากเจตนา ความจงใจ หรือความประมาทเลินเล่อ หรือเหตุผิดพลาด (Accidental) หรือการกระทำผิดกฎหมายอันจะทำให้เกิดความเสียหาย ความสูญหาย การแก้ไขเปลี่ยนแปลงซึ่งข้อมูลส่วนบุคคลที่ถูกต้อง
หรือการเปิดเผยหรือเข้าถึงข้อมูลส่วนบุคคล การเผยแพร่ข้อมูลส่วนบุคคลและการเก็บรักษาข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ รวมถึงกระทำการอื่นใดโดยปราศจากความยินยอมของเจ้าของข้อมูลส่วนบุคคล
หรือการกระทำใดที่ไม่เข้าข้อยกเว้นตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ หรือไม่มีกฎหมายเฉพาะให้อำนาจไว้ ในอันที่จะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (ข้อ 3)
จากบทนิยามดังกล่าวผู้เขียนมีข้อสังเกต 2 ประการ ดังนี้
1. แม้ว่าการรั่วไหลหรือการละเมิดข้อมูลส่วนบุคคลจะเกิดจากเจตนา หรือความรู้เท่าไม่ถึงการณ์ของบุคคลากรหรือเจ้าหน้าที่ของหน่วยงานที่อาจขาดความตระหนักรู้ก็ตาม ก็ถือว่า “เหตุการละเมิด” ได้เกิดขึ้นแล้ว และองค์กรมีหน้าที่ตามกฎหมายในส่วนของการแจ้งเกิดขึ้น
2. การละเมิดข้อมูลส่วนบุคคล (personal data breach) คือ การที่ข้อมูลสูญเสียองค์ประกอบของ “ความมั่นคงปลอดภัย” อันได้แก่ การธำรงไว้ซึ่งความลับ (confidentiality) ความถูกต้องครบถ้วน (integrity) และสภาพพร้อมใช้งาน (availability) ของข้อมูลส่วนบุคคล
กรณีใดกรณีหนึ่งหรือหลายกรณีรวมกัน ตามที่กำหนดไว้ในประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565 (“ประกาศ เรื่อง มาตรการรักษาความมั่นคงปลอดภัยฯ”)
ดังนั้น จึงอาจจำแนกการละเมิดข้อมูลส่วนบุคคลได้เป็น 3 ลักษณะ กล่าวคือ
2.1.Confidentiality Breach คือ การที่ข้อมูลส่วนบุคคลสูญเสียการเป็นความลับ โดยร่างประกาศฯ ได้ให้คำอธิบายต่อกรณีดังกล่าวไว้ว่าเป็นการรั่วไหลของข้อมูลส่วนบุคคลซึ่งเกิดจากการกระทำโดยเจตนา ความจงใจ หรือความประมาทเลินเล่อ หรือเหตุผิดพลาด ทำให้การเก็บรวบรวม ใช้ เปิดเผยหรือเข้าถึงซึ่งข้อมูลส่วนบุคคลโดยมิชอบ (ร่างประกาศฯ ข้อ 4(1))
การละเมิดลักษณะนี้ ได้แก่ การที่องค์กรให้บริการจัดเก็บข้อมูลส่วนบุคคลในระบบออนไลน์ ต่อมาเกิดภัยคุกคามทางไซเบอร์ส่งผลให้ข้อมูลส่วนบุคคลรั่วไหลออกจากระบบคอมพิวเตอร์ขององค์กร หรือกรณีที่องค์กรจัดเก็บข้อมูลส่วนบุคคลสำรองไว้ใน USB ต่อมา USB ดังกล่าวถูกขโมยไปหรือหายไป หรือการส่งอีเมลผิด เป็นต้น
2.2. Integrity Breach คือ การที่ข้อมูลส่วนบุคคลสูญเสียความถูกต้องครบถ้วน กล่าวคือ เป็นการแก้ไขเปลี่ยนแปลงความถูกต้องครบถ้วนของข้อมูลส่วนบุคคลโดยมิชอบ ซึ่งเกิดจากการกระทำโดยเจตนา ความจงใจ หรือความประมาทเลินเล่อ หรือเหตุผิดพลาด ทำให้โครงสร้างข้อมูลส่วนบุคคลขาดความครบถ้วน หรือทำให้จำแนกข้อมูลคลาดเคลื่อน ผิดประเภท ผิดตำแหน่งจากที่ได้จัดเก็บข้อมูลส่วนบุคคลไว้แต่เดิม (Misfiling) (ร่างประกาศฯ ข้อ 4(2))
การละเมิดลักษณะนี้ ได้แก่ การที่ที่อยู่ของลูกค้าธนาคารไม่ถูกต้องทำให้ส่งใบแจ้งหนี้ไปผิดที่ เป็นต้น
2.3. Availability Breach คือ การที่ข้อมูลส่วนบุคคลสูญเสียสภาพพร้อมใช้งาน กล่าวคือ การทำให้ข้อมูลส่วนบุคคลไม่อยู่ในสภาพที่พร้อมใช้งานได้ ซึ่งอาจเกิดจากการกระทำโดยเจตนา ความจงใจ หรือความประมาทเลินเล่อ หรือเหตุผิดพลาด ทำให้เกิดการละเมิดข้อมูลส่วนบุคคล
หรือทำให้ไม่สามารถเข้าถึงข้อมูลส่วนบุคคลได้เป็นการถาวร หรือมีผลเป็นการทำลายข้อมูลส่วนบุคคล รวมถึงการดำเนินการใดที่ทำให้ข้อมูลส่วนบุคคลไม่อยู่ในสภาพที่พร้อมใช้งานได้ตามปกติ (ร่างประกาศฯ ข้อ 4(3))
การละเมิดลักษณะนี้ ได้แก่ การที่ระบบไฟฟ้า call center ขององค์กรขัดข้องไฟดับชั่วคราว ส่งผลให้ระบบคอมพิวเตอร์และอุปกรณ์คอมพิวเตอร์ขององค์กรไม่สามารถให้บริการ call center ชั่วคราว
หรือองค์กรถูกโจมตีจาก โปรแกรมเรียกค่าไถ่ (Ransomware) โดยที่ข้อมูลส่วนบุคคลทั้งหมดของผู้ควบคุมส่วนบุคคลถูกเข้ารหัสไฟล์โดยแฮคเกอร์ และไม่มีแฟ้มข้อมูลสำรองจึงไม่สามารถที่จะเปิดใช้ข้อมูลดังกล่าวได้ เป็นต้น
ร่างประกาศฯ ข้อ 5 ได้กำหนดหน้าที่การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลไว้ ดังนี้
1.เมื่อองค์กรได้รับแจ้งเหตุแห่งการละเมิดข้อมูลส่วนบุคคลในเบื้องต้นจากผู้ใด ไม่ว่าโดยวิธีการใดที่น่าเชื่อถือได้ องค์กรต้องดำเนินการตรวจสอบในเบื้องต้นถึงรายละเอียดการละเมิดข้อมูลส่วนบุคคลดังกล่าว โดยไม่ชักช้าว่ามีเหตุอันควรเชื่อได้ว่ามีการละเมิดข้อมูลส่วนบุคคล
2. ในการตรวจสอบเหตุแห่งการละเมิดข้อมูลส่วนบุคคลเบื้องต้น องค์กรต้องดำเนินการตรวจสอบมาตรฐานความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ในเชิงองค์กร (Organizational Measure) เชิงเทคนิค (Technical Measure) รวมถึงเชิงกายภาพ (Physical Measure)
ที่ใช้กับองค์กร พนักงาน ลูกจ้าง ตัวแทน บุคคลที่เกี่ยวข้อง หรือผู้ประมวลผลข้อมูลส่วนบุคคลของตนที่เกี่ยวข้องกับการละเมิดข้อมูลส่วนบุคคล เพื่อให้องค์กรสามารถยืนยันและรับรองได้ว่ามีเหตุแห่งการละเมิดข้อมูลส่วนบุคคลเกิดขึ้น (confirmed breach)
3. องค์กรต้องพิจารณารายละเอียดของข้อมูลและข้อเท็จจริง รวมทั้งประเมินความเสี่ยงที่อาจเกิดขึ้นได้กับเจ้าของข้อมูลส่วนบุคคลว่าอาจมีความเสี่ยงสูงที่จะกระทบต่อสิทธิเสรีภาพของเจ้าของข้อมูลส่วนบุคคล
ทั้งนี้ การแจ้งไม่ถูกต้องหรือการแจ้งล่าช้า องค์กรอาจมีความรับผิดตามมาตรา 83 มีโทษปรับทางปกครองไม่เกิน 3 ล้านบาท.
ที่มา: พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 37(4), ร่างประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล พ.ศ. ….
คอลัมน์ Tech, Law and Security
ศุภวัชร์ มาลานนท์
GMI, มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าธนบุรี
ระวีวรรณ ขันติวิริยะพานิช
บริษัท ดีพีโอเอเอเอส จำกัด
——————————————————————————————————————————————————–
ที่มา : กรุงเทพธุรกิจออนไลน์ / วันที่เผยแพร่ 17 พ.ย.65
Link : https://www.bangkokbiznews.com/news/news-update/1038506