เมื่อ ‘ยูเอสบีแฟลชไดรฟ์’ หายไป ใครต้องรับผิดชอบ

เมื่อ ‘ยูเอสบีแฟลชไดรฟ์’ หายไป ใครต้องรับผิดชอบ

ข้อเท็จจริงในคดีนี้ สืบเนื่องจากการที่เจ้าหน้าที่ของหน่วยงาน ทำยูเอสบีแฟลชไดรฟ์สูญหาย โดยไม่ได้ทำการเข้ารหัสข้อมูล

1629302198100

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 37 กำหนดหน้าที่ขององค์กรในฐานะผู้ควบคุมข้อมูลส่วนบุคคลในส่วนที่เกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัย ไว้ดังนี้

  • ต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ
  • ต้องทบทวนมาตรการดังกล่าวเมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม

              หน้าที่ทั้งสองประการดังกล่าวเป็นหน้าที่ในเชิงองค์กร องค์กรจึงมีหน้าที่ต้องสร้างกระบวนการทำงานภายในองค์กรให้สอดคล้องกับหน้าที่ตามกฎหมายข้างต้น ซึ่งมาตรการที่องค์กรจำเป็นต้องดำเนินการเพื่อให้สามารถธำรงไว้ซึ่งความปลอดภัยของข้อมูลนั้นมีอยู่หลายประการ กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ได้กำหนดแนวทางเรื่องมาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลให้ผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล

              มาตรการดังกล่าวควรครอบคลุมถึงมาตรการป้องกันด้านการบริหารจัดการ (administrative safeguard) มาตรการป้องกันด้านเทคนิค (technical safeguard) และมาตรการป้องกันทางกายภาพ (physical safeguard) ในเรื่องการเข้าถึงหรือควบคุมการใช้งานข้อมูลส่วนบุคคล (access control) โดยอย่างน้อยต้องประกอบด้วยการดำเนินการ ดังต่อไปนี้

  • การควบคุมการเข้าถึงข้อมูลส่วนบุคคลและอุปกรณ์ในการจัดเก็บและประมวลผลข้อมูล ส่วนบุคคลโดยคำนึงถึงการใช้งานและความมั่นคงปลอดภัย
  • การกำหนดเกี่ยวกับการอนุญาตหรือการกำหนดสิทธิในการเข้าถึงข้อมูลส่วนบุคคล
  • การบริหารจัดการการเข้าถึงของผู้ใช้งาน เพื่อควบคุมการเข้าถึงข้อมูลส่วนบุคคลเฉพาะผู้ที่ได้รับอนุญาตแล้ว
  • การกำหนดหน้าที่ความรับผิดชอบของผู้ใช้งานเพื่อป้องกัน การเข้าถึงข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต การเปิดเผย การล่วงรู้ หรือการลักลอบทำสำเนาข้อมูล ส่วนบุคคล การลักขโมยอุปกรณ์จัดเก็บหรือประมวลผลข้อมูลส่วนบุคคล
  • การจัดให้มีวิธีการเพื่อให้สามารถตรวจสอบย้อนหลังเกี่ยวกับการเข้าถึง เปลี่ยนแปลง ลบ หรือถ่ายโอนข้อมูลส่วนบุคคล ให้สอดคล้องเหมาะสมกับวิธีการและสื่อที่ใช้ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

              อย่างไรก็ตาม ในยุคที่คนจำนวนมากต้องปฏิบัติงานนอกสถานที่ทำงานจนเป็นเรื่องปกติและสามารถเข้าถึงข้อมูลต่าง ๆ ขององค์กรผ่านระบบเทคโนโลยีสารสนเทศ มีการใช้อุปกรณ์แบบพกพาในการทำงานมากขึ้น ๆ รวมถึงการใช้อุปกรณ์ของตนเองในการปฏิบัติงาน (Bring your own device, BYOD) ทำให้หน้าที่และความรับผิดขององค์กรด้าน “มาตรการรักษาความมั่นคงปลอดภัย” มีความท้าทายมากขึ้นตามลำดับ เนื่องจากความรับผิดขององค์กรได้ถูกนำออกไปนอกองค์กรโดยพนักงานของตนเอง ซึ่งองค์กรในฐานะผู้ควบคุมข้อมูลส่วนบุคคลก็ยังมีหน้าที่ต้องกำหนดมาตรการต่าง ๆ ที่เหมาะสมเพื่อให้มั่นใจว่าข้อมูลส่วนบุคคลนั้นจะมั่นคงปลอดภัยอย่างแท้จริง

           เพื่อทำความเข้าใจต่อหน้าที่ตามมาตรา 37 ข้างต้น มีกรณีศึกษาที่น่าสนใจเกิดขึ้นในประเทศโปแลนด์ที่น่าจะนำมาเป็นตัวอย่างได้ โดยเมื่อวันที่ 13 กรกฎาคม 2564 ที่ผ่านมา หน่วยงานบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศโปแลนด์ (Polish Data Protection Authority, Polish DPA) ได้มีคำสั่งปรับหน่วยงานในกระบวนการยุติธรรมแห่งหนึ่งที่ปฏิบัติไม่ถูกต้องตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรปหรือ GDPR ในประเด็นมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม

              ข้อเท็จจริงในคดีนี้สืบเนื่องจากการที่เจ้าหน้าที่ของหน่วยงานได้ทำยูเอสบีแฟลชไดรฟ์สูญหาย ซึ่งในยูเอสบีแฟลชไดรฟ์ดังกล่าวมีข้อมูลของบุคคลที่อยู่ระหว่างการถูกคุมประพฤติจำนวน 400 รายอยู่ และข้อมูลเหล่านั้นไม่ได้ถูกเข้ารหัสไว้ ซึ่งหมายความว่าการสูญหายของยูเอสบีแฟลชไดรฟ์อาจสร้างความเสียหายต่อบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลอย่างร้ายแรง

             เนื่องจากเป็นข้อมูลที่เกี่ยวเนื่องกับประวัติการกระทำความผิดของบุคคล แม้ว่าในคดีนี้จะไม่ปรากฎว่าข้อมูลเหล่านั้นได้ถูกเข้าถึงโดยบุคคลที่ไม่มีอำนาจหน้าที่หรือไม่ และไม่ปรากฏว่าได้เกิดความเสียหายโดยตรงต่อเจ้าของข้อมูลส่วนบุคคลหรือไม่ก็ตาม อาทิ การถูกขโมยตัวตน เป็นต้น แต่การที่ยูเอสบีแฟลชไดรฟ์สูญหายไปนั้นถือได้ว่าองค์กรไม่สามารถธำรงไว้ซึ่งความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลและครบองค์ประกอบของการเกิดเหตุการละเมิดข้อมูลส่วนบุคคลตามที่ GDPR กำหนดไว้

              ซึ่งเมื่อปรากฏข้อเท็จจริงว่ามีเหตุการละเมิดข้อมูลส่วนบุคคลจากการที่ยูเอสบีแฟลชไดรฟ์สูญหาย องค์กรในฐานะผู้ควบคุมข้อมูลส่วนบุคคลก็ได้ดำเนินการแจ้งเหตุการละเมิดตามเงื่อนไขที่กฎหมายกำหนด (breach notification) แต่ปัญหาไม่ได้จบเพียงการแจ้ง เมื่อ Polish DPA ได้ทำการสืบสวนและพบว่าหน่วยงานนั้นไม่ได้ทำการเข้ารหัสข้อมูล (encryption) เพื่อป้องกันการเข้าถึงข้อมูลในยูเอสบีแฟลชไดรฟ์ แม้ว่าในกระบวนการสอบสวนผู้แทนขององค์กรจะได้ชี้แจงว่าองค์กรได้จัดให้มีมาตรฐานและกระบวนการต่าง ๆ ที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล รวมถึงการจัดอบรมให้แก่พนักงาน และมีการตรวจสอบและกำกับโดยเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลขององค์กรตลอดเวลาแล้วก็ตาม

              องค์กรดังกล่าวได้ชี้แจงด้วยว่าหน้าที่ในการรักษาความมั่นคงปลอดภัยของข้อมูลที่อยู่ในอุปกรณ์เคลื่อนที่เป็นหน้าที่ของพนักงานที่นำข้อมูลไปใช้ ซึ่งต่อกรณีดังกล่าว Polish DPA เห็นว่าเป็นมาตรการที่ไม่เหมาะสม แม้การจัดอบรมให้พนักงานจะเป็นส่วนหนึ่งของการสร้างมาตรการเชิงองค์กร (administrative safeguard) แต่การไม่ดำเนินการให้มีมาตรการและข้อกำหนดเรื่องการเข้ารหัสข้อมูลถือว่าเป็นความบกพร่องในส่วนมาตรการด้านเทคนิค (technical safeguard) ที่จำเป็นต้องมี

         กรณีนี้ Polish DPA  เห็นว่าผู้ที่ต้องรับผิดคือองค์กรในฐานะผู้ควบคุมข้อมูลส่วนบุคคลที่ไม่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยทางเทคนิคที่เหมาะสม ไม่ใช่พนักงานที่ปฏิบัติหน้าที่ จึงมีคำสั่งปรับองค์กรดังกล่าวเป็นเงินราว ๆ 2,200 ยูโร

              จากกรณีข้างต้น อาจสรุปได้ว่า

  • การอบรม การสร้างความตระหนักรู้เกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลเป็นมาตรการเชิงองค์กรที่สำคัญและจำเป็นต้องมี แต่มาตรการด้านเทคนิคเพื่อป้องกันการเข้าถึงข้อมูลก็เป็นเรื่องสำคัญและจำเป็นต้องมีเช่นกัน
  • ข้อมูลขณะจัดเก็บ (data at rest) และข้อมูลขณะส่งต่อ (data in transit) โดยเฉพาะที่เป็นข้อมูลอ่อนไหว ควรถูกเข้ารหัสเสมอ
  • ความรับผิดตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล โดยหลักการเป็นขององค์กรไม่ใช่พนักงาน.