แนวทางประเมินความเสี่ยงและแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ มาตรา 37 (4) กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ “แจ้งเหตุการละเมิดข้อมูลส่วนบุคคล" แก่สำนักงานโดยไม่ชักช้าภายใน 72 ชั่วโมง
นับแต่ทราบเหตุเท่าที่จะสามารถกระทำได้ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล
อย่างไรก็ตาม ในกรณีที่การละเมิดมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคลให้แจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อมกับแนวทางการเยียวยาโดยไม่ชักช้าด้วย
ตามมาตรา 37 (4) แสดงให้เห็นว่า “การประเมินความเสี่ยงต่อสิทธิและเสรีภาพของบุคคล” เป็นเงื่อนไขสำคัญประการหนึ่งที่ทำให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบว่าตนเองนั้นมีหน้าที่ต้องแจ้งหรือไม่ต้องแจ้งเหตุ แก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลและเจ้าของข้อมูลส่วนบุคคลให้ทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น
ดังนั้น ผู้ควบคุมข้อมูลส่วนบุคคลจึงจำเป็นต้องพิจารณาปัจจัยต่างๆ เพื่อใช้ในการประเมินความเสี่ยงต่อสิทธิและเสรีภาพของบุคคล เมื่อเหตุการละเมิดข้อมูลส่วนบุคคลเกิดขึ้น
คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้กำหนดปัจจัยต่างๆ ที่ผู้ควบคุมข้อมูลส่วนบุคคลอาจใช้ในการประเมินความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคลไว้ในประกาศฯ เรื่อง หลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลฯ ข้อ 12
โดยผู้ควบคุมข้อมูลส่วนบุคคลอาจพิจารณาจากปัจจัยดังต่อไปนี้
(1) ลักษณะและประเภทของการละเมิดข้อมูลส่วนบุคคล
(2) ลักษณะหรือประเภทของข้อมูลส่วนบุคคลที่เกี่ยวข้องกับการละเมิด
(3) ปริมาณของข้อมูลส่วนบุคคลที่เกี่ยวข้องกับการละเมิด ซึ่งอาจพิจารณาจากจำนวนเจ้าของข้อมูลส่วนบุคคลหรือจำนวนรายการ (records) ของข้อมูลส่วนบุคคลที่เกี่ยวข้องกับการละเมิด
(4) ลักษณะ ประเภท หรือสถานะของเจ้าของข้อมูลส่วนบุคคลที่ได้รับผลกระทบ รวมถึงข้อเท็จจริงว่าเจ้าของข้อมูลส่วนบุคคลที่ได้รับผลกระทบ ประกอบด้วยผู้เยาว์ ผู้พิการ ผู้ไร้ความสามารถผู้เสมือนไร้ความสามารถ หรือบุคคลเปราะบาง (vulnerable persons)
ที่ขาดความสามารถในการปกป้องสิทธิและประโยชน์ของตนเนื่องจากข้อจำกัดต่างๆ ด้วยหรือไม่ เพียงใด
(5) ความร้ายแรงของผลกระทบและความเสียหายที่เกิดขึ้นหรืออาจเกิดขึ้นกับเจ้าของข้อมูลส่วนบุคคล จากการละเมิดข้อมูลส่วนบุคคล และประสิทธิผลของมาตรการที่ผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือจะใช้ เพื่อป้องกัน ระงับ หรือแก้ไขเหตุการละเมิดข้อมูลส่วนบุคคล
หรือเยียวยาความเสียหาย ต่อการบรรเทาผลกระทบและความเสียหายที่เกิดขึ้นหรืออาจเกิดขึ้นกับเจ้าของข้อมูลส่วนบุคคล
(6) ผลกระทบในวงกว้างต่อธุรกิจหรือการดำเนินการของผู้ควบคุมข้อมูลส่วนบุคคลหรือต่อสาธารณะจากเหตุการละเมิดข้อมูลส่วนบุคคล
(7) ลักษณะของระบบการจัดเก็บข้อมูลส่วนบุคคลที่เกี่ยวข้องกับการละเมิด และมาตรการรักษาความมั่นคงปลอดภัยที่เกี่ยวข้องของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล
ทั้งที่เป็นมาตรการเชิงองค์กร (organizational measures) และมาตรการเชิงเทคนิค (technical measures) รวมถึงมาตรการทางกายภาพ (physical measures)
(8) สถานะทางกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลว่าเป็นบุคคลธรรมดาหรือนิติบุคคล รวมทั้งขนาดและลักษณะของกิจการของผู้ควบคุมข้อมูลส่วนบุคคล
ตัวอย่างการประเมินความเสี่ยงของการละเมิดข้อมูลส่วนบุคคล
- ตัวอย่าง กรณีไม่ต้องแจ้งเหตุแก่สำนักงานฯ และเจ้าของข้อมูลส่วนบุคคล
ผู้ควบคุมข้อมูลส่วนบุคคล จัดเก็บข้อมูลส่วนบุคคลสำรองไว้ใน USB Drive โดยมีการเข้ารหัสด้วยเทคโนโลยีที่น่าเชื่อถือ ต่อมา USB Drive ดังกล่าวสูญหายไป เนื่องจากกรณีดังกล่าวมีความเสี่ยงต่ำ
เพราะเมื่อมีการเข้ารหัสด้วยมาตรการทางเทคโนโลยีที่น่าเชื่อถือแล้ว ข้อมูลดังกล่าวไม่สามารถเปิดใช้งานได้ การที่ USB Drive สูญหายไปจึงไม่มีความเสี่ยงกับเจ้าของข้อมูลส่วนบุคคล
- ตัวอย่าง กรณีต้องแจ้งเหตุแก่สำนักงานฯ และเจ้าของข้อมูลส่วนบุคคล (ความเสี่ยงสูง)
ผู้ควบคุมข้อมูลส่วนบุคคลให้บริการจัดเก็บข้อมูลส่วนบุคคลในระบบออนไลน์ ต่อมาเกิดภัยคุกคามทางไซเบอร์ ส่งผลให้ข้อมูลส่วนบุคคลรั่วไหล เนื่องจากข้อมูลส่วนบุคคลดังกล่าวอยู่ในสภาพที่ใช้งานได้และสามารถระบุตัวบุคคลได้
การที่เกิดภัยคุกคามทางไซเบอร์อาจจะก่อให้เกิดปัญหาและผลกระทบซึ่งเกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคลจำนวนมาก
ธนาคารได้รับการติดต่อจากลูกค้าธนาคาร 1 ราย ว่าได้รับใบแจ้งหนี้เรียกเก็บเงินของบุคคลที่ไม่รู้จัก ผู้ควบคุมข้อมูลส่วนบุคคลทำการตรวจสอบแล้วภายใน 24 ชั่วโมง
พบว่ามีการรั่วไหลของข้อมูลส่วนบุคคล 10 ราย กรณีดังกล่าวต้องแจ้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
อย่างไรก็ตาม ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งเฉพาะเจ้าของข้อมูลส่วนบุคคล 10 ราย ที่ถูกเรียกเก็บเงินตามใบแจ้งหนี้ของธนาคารเท่านั้น เนื่องจากข้อมูลดังกล่าวเป็นข้อมูลที่รั่วไหลออกไปจริง
ในเบื้องต้นมีผลกระทบเฉพาะผู้ที่ถูกเรียกเก็บเงินตามใบแจ้งหนี้ อย่างไรก็ตาม ธนาคารในฐานะผู้ควบคุมข้อมูลส่วนบุคคลจะต้องดำเนินการตรวจสอบเพิ่มเติมว่า มีบุคคลอื่นใดที่ข้อมูลรั่วไหลออกไปภายนอกหรือไม่ หากพบจะต้องแจ้งเพิ่มเติม
- ตัวอย่าง กรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลมีข้อตกลงกับผู้ประมวลผลข้อมูลส่วนบุคคล (การละเมิดเกิดจากผู้รับจ้าง)
เว็บไซต์ผู้ให้บริการ Web Hosting ที่รับจ้างประมวลผลข้อมูลส่วนบุคคลจากผู้ควบคุมข้อมูลส่วนบุคคล เกิดปัญหาข้อผิดพลาดของโปรแกรมในการตรวจสอบสิทธิการเข้าถึง ทำให้ผู้ใช้บริการไม่สามารถเข้าใช้บริการได้ ต้องแจ้งผู้ควบคุมข้อมูลส่วนบุคคล
เพื่อให้แจ้งสำนักงานฯ เนื่องจากมีผลกระทบต่อกลุ่มลูกค้าพอสมควร เพราะทำให้กลุ่มลูกค้าไม่สามารถเข้าถึงข้อมูลส่วนบุคคล แต่ผู้ควบคุมข้อมูลส่วนบุคคลไม่ต้องแจ้งเจ้าของข้อมูลส่วนบุคคลที่ไม่ได้รับผลกระทบ เนื่องจากยังไม่เกิดปัญหา
สำนักงานฯ ได้จัดทำคู่มือแนวทางการประเมินความเสี่ยงและแจ้งเหตุการณ์ละเมิดข้อมูลส่วนบุคคล ซึ่งคู่มือแนวทางฯ เป็นเพียงแนวทางในการประเมินความเสี่ยง
อย่างไรก็ตาม หลักเกณฑ์ในการพิจารณาประเมินความเสี่ยงจะต้องพิจารณาจากข้อเท็จจริงตามปัจจัยที่เกี่ยวข้องเป็นกรณีๆ ไป
ที่มา : คู่มือแนวทางการประเมินความเสี่ยงและแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล โดยสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล