หน้าที่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม

หน้าที่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม

พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนดให้องค์กรมีหน้าที่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมเป็นหน้าที่ของ “ผู้ควบคุมข้อมูลส่วนบุคคล” และ “ผู้ประมวลผลข้อมูลส่วนบุคคล” ซึ่งการไม่มีมาตรการที่เหมาะสมอาจมีความรับผิดตามที่กฎหมายกำหนด

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนดให้องค์กรมีหน้าที่ ดังนี้
1.ผู้ควบคุมข้อมูลส่วนบุคคล มีหน้าที่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ และต้องทบทวนมาตรการดังกล่าวเมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม  ทั้งนี้ ให้เป็นไปตามมาตรฐานขั้นต่ำ
ที่คณะกรรมการประกาศกำหนด (มาตรา 37(1))
    2.ผู้ควบคุมข้อมูลส่วนบุคคล มีหน้าที่แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สำนักงานโดยไม่ชักช้าภายใน 72 ชั่วโมง นับแต่ทราบเหตุเท่าที่จะสามารถกระทำได้ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล

ในกรณีที่การละเมิดมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ให้แจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อมกับแนวทางการเยียวยาโดยไม่ชักช้าด้วย  ทั้งนี้ การแจ้งดังกล่าวและข้อยกเว้นให้เป็นไปตามหลักเกณฑ์และวิธีการที่คณะกรรมการประกาศกำหนด (มาตรา 37(4))

3.ผู้ประมวลผลข้อมูลส่วนบุคคล มีหน้าที่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคล โดยปราศจากอำนาจหรือโดยมิชอบ รวมทั้งแจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น (มาตรา 40(2))
    จากกฎหมายที่เกี่ยวข้อง หน้าที่เกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัย จึงอาจแบ่งออกได้เป็น 2 ส่วน กล่าวคือ 
1.หน้าที่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมเป็นหน้าที่ของ “ผู้ควบคุมข้อมูลส่วนบุคคล” และ “ผู้ประมวลผลข้อมูลส่วนบุคคล” ซึ่งการไม่มีมาตรการที่เหมาะสมอาจมีโทษปรับทางปกครองไม่เกินสามล้านบาท ตามมาตรา 83 หรือมาตรา 86 แล้วแต่กรณี
2.หน้าที่แจ้งเหตุการละเมิดข้อมูลส่วนบุคคล
2.1.ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่แจ้งต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลและ/หรือเจ้าของข้อมูลส่วนบุคคลตามเงื่อนไขที่กฎหมายกำหนด
2.2.ผู้ประมวลผลข้อมูลส่วนบุคคล มีหน้าที่แจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบเหตุการละเมิดนั้น แต่ไม่มีหน้าที่ในการแจ้งต่อสำนักงานฯ หรือเจ้าของข้อมูลส่วนบุคคล

หน้าที่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม (appropriate security measures) จึงเป็นหน้าที่ร่วมกันของทั้ง“ผู้ควบคุมข้อมูลส่วนบุคคล” และ “ผู้ประมวลผลข้อมูลส่วนบุคคล” และมีความรับผิดทางปกครองแยกออกจากกันตามที่กำหนดไว้ในมาตรา 83 หรือมาตรา 86 แล้วแต่กรณี

อย่างไรก็ตาม เนื่องจากผู้ประมวลผลข้อมูลส่วนบุคคล เป็นเพียงบุคคลที่ประมวลผลข้อมูลส่วนบุคคลตามคำสั่ง หรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล หน้าที่และความรับผิดเวลาที่เกิดข้อพิพาทใด ๆ ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล จึงมักเริ่มต้นจากการที่ผู้ควบคุมข้อมูลส่วนบุคคลถูกกล่าวหาว่ากระทำผิดหน้าที่ตามที่กฎหมายกำหนด 
    ดังนั้น พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ จึงได้กำหนดเครื่องมือสำคัญหนึ่งขึ้นมาเพื่อควบคุมและกำหนดหน้าที่และความรับผิดระหว่างผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล ได้แก่ “สัญญาการประมวลผลข้อมูลส่วนบุคคล” (Data Processing Agreement) ตามที่กำหนดไว้ในมาตรา 40

กล่าวคือ ในการดำเนินงานตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลตามที่ได้รับมอบหมายจากผู้ควบคุมข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดให้มีข้อตกลงที่มีเงื่อนไขอย่างน้อย ดังต่อไปนี้
(1) ต้องมีข้อกำหนดเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น เว้นแต่คำสั่งนั้นขัดต่อกฎหมายหรือบทบัญญัติในการคุ้มครองข้อมูลส่วนบุคคลตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯ
(2) มีข้อกำหนดเกี่ยวกับหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลในการมีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ 
(3) มีข้อกำหนดเกี่ยวกับหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลในการแจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น
(4) มีข้อกำหนดเกี่ยวกับหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลในการจัดทำบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคล 
    ข้อกำหนดทั้ง 4 ข้อเป็นกรอบเงื่อนไขเบื้องต้นที่สัญญาการประมวลผลข้อมูลส่วนบุคคล ควรกำหนดไว้ ซึ่งรายละเอียดของข้อสัญญาและข้อตกลงอื่นๆ เป็นเรื่องที่คู่สัญญาควรตกลงกันให้สอดคล้องกับกิจกรรมการประมวลผลและความเสี่ยงที่เกี่ยวข้องกับสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล 
    นอกจากนี้ ข้อตกลงในสัญญาควรมีข้อตกลงเกี่ยวกับสิทธิของผู้ควบคุมข้อมูลส่วนบุคคลในการตรวจสอบทบทวน (right to audit) เกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมของผู้ประมวลผลข้อมูลส่วนบุคคลด้วย รวมถึงเงื่อนไขอื่นๆ

เพื่อให้มั่นใจได้ว่ามาตรการรักษาความมั่นคงปลอดภัยของผู้ประมวลผลข้อมูลส่วนบุคคลจะได้รับการทบทวนเมื่อมีความจำเป็น หรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม

และควรกำหนดเงื่อนไขให้มีการแจ้งมาตรการรักษาความมั่นคงปลอดภัยดังกล่าวให้แก่บุคลากร พนักงาน ลูกจ้างหรือบุคคลที่เกี่ยวข้องของผู้ประมวลผลข้อมูลส่วนบุคคลทราบ รวมถึงกำหนดให้มีการสร้างเสริมความตระหนักรู้
    ด้านความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลให้กับกลุ่มบุคคลดังกล่าวปฏิบัติตามมาตรการที่กำหนดอย่างเคร่งครัดอีกด้วย ดังนั้น เมื่อความรับผิดอันเนื่องมาจากเหตุการณ์ข้อมูลรั่วไหลหรือเหตุการละเมิดข้อมูลส่วนบุคคลเป็นความรับผิดร่วมกันของผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล

ข้อตกลงของสัญญาการประมวลผลข้อมูลส่วนบุคคล ที่สอดคล้องกับกิจกรรมการประมวลผล จึงเป็นเครื่องมือสำคัญของทุกฝ่าย เพื่อจัดสรรหน้าที่และความรับผิดชอบระหว่างคู่สัญญา.