CrowdStrike หน้าที่และความรับผิดตาม PDPA เป็นของใคร

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA กำหนดหน้าที่ขององค์กรที่อาจเกี่ยวข้องกับเหตุการณ์ CrowdStrike ไว้ดังนี้

1 มาตรการรักษาความมั่นคงปลอดภัย (Data Security) 

กฎหมายกำหนดให้ “ผู้ควบคุมข้อมูลส่วนบุคคล”มีหน้าที่จัดให้มี “มาตรการรักษาความมั่นคงปลอดภัย” ที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผย “ข้อมูลส่วนบุคคล” โดยปราศจากอำนาจหรือโดยมิชอบ (มาตรา 37 (1))

มาตรการรักษาความมั่นคงปลอดภัยประกอบด้วย

1 มาตรการเชิงองค์กร (organizational measures) 

2 มาตรการเชิงเทคนิค (technical measures) 

3 มาตรการทางกายภาพ (physical measures) 

โดยคำนึงถึงระดับความเสี่ยงตามลักษณะและวัตถุประสงค์ของการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ตลอดจนโอกาสเกิดและผลกระทบจากเหตุการละเมิดข้อมูลส่วนบุคคล

ทั้งนี้กฎหมายไม่ได้ให้รายละเอียดในส่วนของมาตรการทั้ง 3 ลักษณะเอาไว้โดยละเอียด แต่เป็นหน้าที่ของแต่ละองค์กรที่จะต้องประเมินความเสี่ยงและจัดให้มีมาตรการในลักษณะต่าง ๆ ตามระดับความเสี่ยงอย่างเหมาะสม (risk-based approach)

CrowdStrike หน้าที่และความรับผิดตาม PDPA เป็นของใคร

โดยหนึ่งในมาตรการเชิงองค์กรที่หน่วยงานอาจนำมาใช้ในการบริหารความเสี่ยงด้านการคุ้มครองข้อมูลส่วนบุคคลในส่วนที่เกี่ยวข้องกับ IT-risk คือ แผนการบริหารความพร้อมต่อสภาวะวิกฤติ (Business Continuity Plan, BCP)

ที่กำหนดแนวทางการดำเนินการของหน่วยงานเมื่อเกิดสภาวะวิกฤตหรือภัยต่าง ๆ ที่ส่งผลให้กระบวนการทำงานของหน่วยงานหยุดชะงัก (หน่วยงานต้องสามารถ identified ภัยหรือความเสี่ยงนั้น ๆ ได้ก่อน)

เพื่อให้สามารถกลับมาดำเนินการได้อย่างต่อเนื่อง โดยเฉพาะงานบริการที่สำคัญต่อประชาชนหรือมีผู้ใช้บริการจำนวนมาก หรือที่เกี่ยวข้องกับสาธารณูปโภคขั้นพื้นฐานต่าง ๆ 

ในกรณีที่องค์กรไม่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม อาจต้องระวางโทษปรับทางปกครองไม่เกินสามล้านบาท

2.การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล (Data Breach Notification)

กฎหมายกำหนดให้ “ผู้ควบคุมข้อมูลส่วนบุคคล” มีหน้าที่แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (“สคส.”) โดยไม่ชักช้าภายใน 72 ชั่วโมงนับแต่ทราบเหตุเท่าที่จะสามารถกระทำได้

และในกรณีที่การละเมิดมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ให้แจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อมกับแนวทางการเยียวยาโดยไม่ชักช้าด้วย (มาตรา 37 (4))

โดยประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล พ.ศ. 2565 กำหนดว่า 

CrowdStrike หน้าที่และความรับผิดตาม PDPA เป็นของใคร

“การละเมิดข้อมูลส่วนบุคคล” หมายความว่า การละเมิดมาตรการรักษาความมั่นคงปลอดภัยที่ทำให้เกิดการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ ไม่ว่าจะเกิดจากเจตนา ความจงใจ ความประมาทเลินเล่อ

การกระทำโดยปราศจากอำนาจหรือโดยมิชอบ การกระทำความผิดเกี่ยวกับคอมพิวเตอร์ ภัยคุกคามทางไซเบอร์ ข้อผิดพลาดบกพร่องหรืออุบัติเหตุ หรือเหตุอื่นใด

โดยอาจจำแนกเหตุการละเมิดข้อมูลส่วนบุคคลได้เป็น 3 ประเภท ได้แก่ การละเมิดความลับของข้อมูลส่วนบุคคล (Confidentiality Breach) การละเมิดความถูกต้องครบถ้วนของข้อมูลส่วนบุคคล (Integrity Breach) และการละเมิดความพร้อมใช้งานของข้อมูลส่วนบุคคล (Availability Breach) 

ในกรณีที่องค์กรไม่ดำเนินการแจ้งเหตุการละเมิดข้อมูลต่อ สคส. หรือเจ้าของข้อมูลส่วนบุคคลตามเงื่อนไขที่กฎหมายกำหนดอย่างเหมาะสม องค์กรอาจต้องระวางโทษปรับทางปกครองไม่เกินสามล้านบาท

วิเคราะห์กรณี CrowdStrike หน้าที่และความรับผิดตาม PDPA เป็นของใคร

1.หน่วยงานที่จะมีหน้าที่และความรับผิดตาม PDPA โดยหลักการต้องเป็น “ผู้ควบคุมข้อมูลส่วนบุคคล” หรือ “ผู้ประมวลผลข้อมูลส่วนบุคคล” ตามกฎหมายเท่านั้น

หากองค์กรดังกล่าวไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลในบริบทของการประมวลผลข้อมูลส่วนบุคคลที่เกี่ยวข้อง องค์กรดังกล่าวย่อมไม่มีความรับผิดต่อเหตุการณ์นั้น ๆ เนื่องจากไม่ใช่องค์กรที่อยู่ในสถานะทางกฎหมายที่มีหน้าที่และความรับผิด

ตาม PDPA “ผู้ควบคุมข้อมูลส่วนบุคคล” หมายความว่า บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล จากกรณีของ CrowdStrike ผู้ควบคุมข้อมูลส่วนบุคคลจึงได้แก่บริษัทต่าง ๆ อาทิ สายการบิน ธนาคาร โรงพยาบาล ฯลฯ ที่ใช้บริการของ CrowdStrike เนื่องจากองค์กรเหล่านี้เป็นผู้ครอบครองข้อมูลส่วนบุคคลของลูกค้า ประชาชน หรือผู้ใช้บริการ

CrowdStrike หน้าที่และความรับผิดตาม PDPA เป็นของใคร

ในขณะที่ “ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายความว่า บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล 

ซึ่งจากรูปแบบการให้บริการและข้อมูลที่ปรากฏตามสื่อต่าง ๆ  CrowdStrike ไม่ถือเป็นผู้ประมวลผลข้อมูลส่วนบุคคลของบริษัทที่ใช้ผลิตภัณฑ์ของ CrowdStrike ดังนั้น CrowdStrike จึงไม่สามารถมีความรับผิดร่วมกับผู้ควบคุมข้อมูลส่วนบุคคลในฐานะผู้ประมวลผลข้อมูลส่วนบุคคลได้

2.ใครมีหน้าที่แจ้งเหตุการละเมิดข้อมูลส่วนบุคคล

หน้าที่แจ้งต่อ สคส. และเจ้าของข้อมูลส่วนบุคคล (ลูกค้า ผู้ใช้บริการ / ประชาชน) เป็นของบริษัทต่าง ๆ อาทิ สายการบิน ธนาคาร โรงพยาบาล ฯลฯ ที่ใช้บริการของ CrowdStrike ซึ่งเป็น “ผู้ควบคุมข้อมูลส่วนบุคคล” 

อย่างไรก็ตาม การที่จะต้องแจ้งหรือไม่ องค์กรต้องประเมินก่อนว่าเหตุการณ์ที่ระบบการให้บริการล่ม/ไม่สามารถใช้งานได้ เป็นการละเมิดมาตรการรักษาความมั่นคงปลอดภัยที่ส่งผลกระทบต่อความพร้อมใช้งานของข้อมูลส่วนบุคคล

ซึ่งทำให้ไม่สามารถเข้าถึงข้อมูลส่วนบุคคลได้ หรือมีการทำลายข้อมูลส่วนบุคคล ทำให้ข้อมูลส่วนบุคคลไม่อยู่ในสภาพที่พร้อมใช้งานได้ตามปกติหรือไม่ก่อน หากเข้าเงื่อนไขข้างต้นจึงจะก่อให้เกิดหน้าที่ในการแจ้ง

อย่างไรก็ตาม กฎหมายกำหนดให้เป็นหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น CrowdStrike จึงไม่มีหน้าที่และความรับผิดในส่วนของการแจ้งเช่นเดียวกัน ถึงแม้ว่าสาเหตุที่ทำให้เกิดการละเมิดข้อมูลส่วนบุคคลจะเกิดจาก CrowdStrike ก็ตาม

บทความนี้เป็นความเห็นส่วนตัวของผู้เขียนจากชุดข้อมูลที่มีอยู่ในสื่อสาธารณะต่าง ๆ ซึ่งหากข้อเท็จจริงในทางธุรกิจเปลี่ยนแปลงว่า CrowdStrike มีสถานะเป็นผู้ประมวลผลข้อมูลส่วนบุคคลขององค์กรต่าง ๆ ที่ซื้อผลิตภัณฑ์ ในกรณีนี้ CrowdStrike ก็อาจมีหน้าที่และความรับผิดร่วมกับผู้ควบคุมข้อมูลส่วนบุคคลได้.