เกณฑ์การประเมินความเสี่ยงเมื่อเกิด เหตุการละเมิดข้อมูลส่วนบุคคล
ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565 ซึ่งมีผลใช้บังคับเมื่อวันที่ 20 มิถุนายน 2565 (ประกาศฯ) ได้กำหนดมาตรฐานขั้นต่ำในการจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมสำหรับองค์กร
โดยระบุถึงองค์กรที่เป็นผู้ควบคุมข้อมูลส่วนบุคคลคลขึ้น เพื่อให้การคุ้มครองข้อมูลส่วนบุคคลในระยะแรกที่กฎหมายมีผลใช้บังคับมีความเหมาะสม
“ความมั่นคงปลอดภัย” ตามประกาศฯ ฉบับดังกล่าว หมายความว่า “การธำรงไว้ซึ่งความลับ (confidentiality) ความถูกต้องครบถ้วน (integrity) และสภาพพร้อมใช้งาน (availability) ของข้อมูลส่วนบุคคล ทั้งนี้ เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ”
จากความหมายข้างต้นองค์กรต่าง ๆ จึงมีหน้าที่ต้องดูแลปกป้องข้อมูลส่วนบุคคลที่อยู่ในความรับผิดชอบขององค์กรให้สามารถคงการเป็นความลับ (C) มีความถูกต้อง (I) และพร้อมใช้งาน (A) โดยการจัดให้มีมาตรการเชิงองค์กร (organizational measures) และมาตรการเชิงเทคนิค (technical measures) ที่เหมาะสม
ซึ่งอาจรวมถึงมาตรการทางกายภาพ (physical measures) ที่จำเป็นด้วย โดยคำนึงถึงระดับความเสี่ยงตามลักษณะและวัตถุประสงค์ของการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ตลอดจนโอกาสเกิดและผลกระทบจากเหตุการละเมิดข้อมูลส่วนบุคคล
ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เมื่อองค์กรไม่สามารถรักษาองค์ประกอบอย่างใดอย่างหนึ่งของความมั่นคงปลอดภัยไป มาตรา 37(4) กำหนดให้องค์กรมีหน้าที่ต้องดำเนินเนินการแจ้งหรือรายงานตามเงื่อนไขที่กฎหมายกำหนดอีกด้วย
ทั้งนี้ เพื่อเป็นการป้องกันความเสียหายแก่เจ้าของของข้อมูลส่วนบุคคลที่อาจได้รับผลกะทบจากเหตุการณ์ข้อมูลรั่วไหลหรือเหตุการละเมิดข้อมูลส่วนบุคคลดังกล่าว
หน้าที่แจ้งเหตุการละเมิดข้อมูลส่วนบุคคล (Breach Notification) จึงเป็นหน้าที่ที่สำคัญขององค์กรต่าง ๆ ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลที่ต้องจัดเตรียมกระบวนการ เพื่อให้สามารถระบุความเสี่ยงที่สำคัญที่อาจจะเกิดขึ้น (identify)
สามารถป้องกันความเสี่ยงที่สำคัญที่อาจจะเกิดขึ้น (protect) มีการตรวจสอบและเฝ้าระวังภัยคุกคามและเหตุการละเมิดข้อมูลส่วนบุคคล (detect) และสามารถเผชิญเหตุเมื่อมีการตรวจพบภัยคุกคามและเหตุการละเมิดข้อมูลส่วนบุคคล (response)
พร้อมทั้งการรักษาและฟื้นฟูความเสียหายที่เกิดจากภัยคุกคามหรือเหตุการละเมิดข้อมูลส่วนบุคคล (recover) เท่าที่จำเป็น เหมาะสม และเป็นไปได้ตามระดับความเสี่ยง (ประกาศฯ ข้อ 4(3))
ตามมาตรา 37(4) เงื่อนไขสำคัญประการหนึ่งที่ต้องพิจารณาว่าต้องแจ้งหรือไม่ต้องแจ้ง คือ “การประเมินความเสี่ยงต่อสิทธิและเสรีภาพของบุคคล” ซึ่งพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ มาตรา 37(4) และประกาศฯ ยังไม่ได้กำหนดแนวทางการประเมินความเสี่ยงไว้โดยตรง
แต่ตามเงื่อนไขต่าง ๆ ของประกาศฯ ชี้ให้เห็นว่าให้พิจารณาตามลักษณะและวัตถุประสงค์ของการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล (nature and scope of processing activities) ตลอดจนโอกาสเกิด (probability of occurrence) และผลกระทบจากเหตุการละเมิดข้อมูลส่วนบุคคล (impact level)
ENISA ซึ่งเป็นหน่วยงานด้านความมั่นคงปลอดภัยทางไซเบอร์ของสหภาพยุโรปได้ให้หลักเกณฑ์การประเมินความเสี่ยงเมื่อเกิดเหตุการละเมิดข้อมูลส่วนบุคคลไว้ใน Handbook on Security of Personal Data Processing (2017) ทำนองเดียวกับแนวทางตามประกาศฯ
โดยตามแนวปฏิบัติของ ENISA ระบุว่าการประเมินความเสี่ยงสำหรับข้อมูลส่วนบุคคลมีอยู่ 4 ขั้นตอน ดังนี้
(1) พิจารณาลักษณะของการประมวลผลและบริบทที่เกี่ยวข้อง
(2) การประเมินผลกระทบ
(3) การประเมินภัยคุกคามที่เป็นไปได้และการประเมินความเป็นไปได้ (ความน่าจะเป็นที่จะเกิดภัยคุกคาม)
(4) การประเมินความเสี่ยง (จากความน่าจะเป็นและผลกระทบของภัยคุกคาม)
ในขณะที่ WP29 Guidelines on Personal data breach notification under Regulation 2016/679 กำหนดให้ใช้องค์ประกอบต่อไปนี้ในการประเมินความเสี่ยง
(1) ประเภทของเหตุการการละเมิดข้อมูลส่วนบุคคล
(2) ลักษณะ ความอ่อนไหว และจำนวนข้อมูลส่วนบุคคลที่ถูกละเมิด
(3) ความยากง่ายในการระบุตัวตนของเจ้าของข้อมูลส่วนบุคคล
(4) ความร้ายแรงของผลกระทบต่อบุคคล
(5) ลักษณะเฉพาะของบุคคล อาทิ ความเป็นผู้เยาว์หรือกลุ่มเปราะบาง
(6) ลักษณะเฉพาะของผู้ควบคุมข้อมูลส่วนบุคคล อาทิ เหตุการละเมิดข้อมูลส่วนบุคคลที่เกิดจากองค์กรที่ประมวลผลข้อมูลส่วนอ่อนไหวเป็นปกติธุรกิจ ย่อมมีความเสี่ยงมากกว่าองค์กรที่ประมวลผลข้อมูลทั่วไป เป็นต้น
(7) จำนวนผู้ที่ได้รับผลกระทบจากเหตุการละเมิดข้อมูลส่วนบุคคล
จากกรณีศึกษาข้างต้น เกณฑ์การประเมินความเสี่ยงต่อสิทธิและเสรีภาพของบุคคลจึงเป็นองค์ประกอบที่สำคัญอย่างยิ่งที่จะทำให้องค์กรสามารถปฏิบัติหน้าที่ในส่วนการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลได้สอดคล้องกับเงื่อนไขที่กฎหมายกำหนด.