มาตรฐาน ISO 27001 และกฎหมายคุ้มครองข้อมูลส่วนบุคคล

Cap & Corp Forum

แม้ว่าพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลพ.ศ. 2562 จะอยู่ในช่วงชะลอการบังคับใช้ไปอีกหนึ่งปีก็ตาม แต่พระราชบัญญัตินี้ก็ถือว่าสร้างความกังวลให้แก่ผู้ประกอบการที่อยู่ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล (Data controller) และผู้ประมวลผลข้อมูลส่วนบุคคล (Data processor) ไม่น้อย เนื่องจากพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ได้บัญญัติหน้าที่ วิธีบริหารและขั้นตอนในการดำเนินการเก็บ รวบรวม ใช้ ประมวลผล รวมถึงการที่ต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลที่เหมาะสม

โดยมีบทกำหนดโทษไว้ในกรณีที่ผู้ประกอบการไม่ปฏิบัติตามทั้งในทางแพ่งที่กำหนดให้มีค่าสินไหมเพื่อการลงโทษ (มาตรา 78) และในทางปกครองโดยกำหนดโทษปรับทางปกครองไว้ค่อนข้างสูงเพื่อปฏิบัติตามกฎหมาย ผู้ประกอบการบางส่วนให้ความสนใจไปที่การจัดทำมาตรฐานความปลอดภัยให้แก่ข้อมูลหรือ ISO 27001 (Information Security Standard) จึงมีคำถามที่ตามมาว่าหากผู้ประกอบการจัดทำมาตรฐานความปลอดภัยตามมาตรฐานของ ISO 27001 แล้วมาตรการดังกล่าวจะเพียงพอหรือไม่ในการปฏิบัติตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ

ISO 27001 ถือเป็นแนวทางการวางมาตรการความปลอดภัยแก่ข้อมูลที่มีมาตรฐานเป็นที่ยอมรับในระดับสากล มีมาตรฐานครอบคลุมสามปัจจัยหลักในการจัดเก็บดูแลรักษาข้อมูล กล่าวคือ 1) บุคลากร 2) ขั้นตอนวิธีการ และ 3) เทคโนโลยีที่นำเข้ามาช่วยในการจัดเก็บข้อมูล โดยนอกจากเป็นการกำหนดมาตรการแล้ว การจัดทำ ISO 27001 ยังเป็นการสร้างวัฒนธรรมองค์กรในเรื่องของมาตรการความปลอดภัยของข้อมูล (Awareness of security incident) และความรู้ความเข้าใจของบุคลากรในการเฝ้าระวัง (Monitor)

และรายงานสถานะความปลอดภัยหรือเหตุการณ์ด้านความปลอดภัยของข้อมูล (Detect & report security incidents) และการดำเนินการตาม ISO 27001 ยังทำให้ผู้ประกอบการต้องจัดให้มีระบบในการวางแผน พัฒนา และติดตั้งระบบการจัดการความปลอดภัยของข้อมูลหรือ Information Security Management System (ISMS) ซึ่งเป็นมาตรการและวิธีการในการจัดการความเสี่ยงทั้งในด้าน กฎหมาย (Legal) เทคนิค (Technical) และกายภาพ (Physical) โดย ISO 27001 จะให้ความสำคัญกับการจัดการใน 6 ประเด็น ดังนี้

1. การบริหารจัดการสินทรัพย์ (Asset management)
2. ความปลอดภัยในด้านการดำเนินงาน (Operational security)
3. การควบคุมการเข้าถึงข้อมูล (Access control)
4. ความปลอดภัยของข้อมูล (Information security incident management)
5. การสร้างความตระหนักเรื่องมาตรการความปลอดภัยแก่บุคลากรขององค์กรแลละคู่สัญญาต่าง ๆ ขององค์กร (Human resource security)
6. ความต่อเนื่องของมาตรการความปลอดภัยแก่ข้อมูล (Business continuity)

เมื่อมีการทำมาตรฐานด้านความปลอดภัยแก่ข้อมูลให้เป็นไปตาม ISO 27001 แล้ว จะเห็นได้ว่าการจัดทำมาตรการความปลอดภัยดังกล่าวจะช่วยให้ผู้ประกอบการดำเนินการตามหน้าที่ที่พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ กำหนดได้บางส่วนในเรื่องของความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลในมิติต่อไปนี้

1. การรักษาไว้ซึ่งความลับ (Confidentiality) ความถูกต้อง (Integrity) และสภาพพร้อมใช้งาน (Availability) ของข้อมูลส่วนบุคคลซึ่งจะสอดคล้องกับข้อกำหนดตามประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมเรื่องมาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล พ.ศ. 2563
2. การแจ้งเตือนกรณีมีข้อมูลรั่วไหล (Breach notification) ตามมาตรา 37(4)
3. การทำบันทึกรายการข้อมูลส่วนบุคคลวัตถุประสงค์การจัดเก็บข้อมูลการใช้และเข้าถึงข้อมูล

แม้ว่าการจัดทำ ISO 27001 จะมีกระบวนการบางอย่างที่ทำให้ผู้ประกอบการสามารถปฏิบัติตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ​ ได้ แต่ ISO 27001 ก็เป็นเพียงมิติหนึ่งเท่านั้นเนื่องจาก ISO 27001 และพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ มีวัตถุประสงค์ที่ต่างกัน โดยพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ มีเป้าหมายหลักในการกำหนดมาตรฐานให้แก่องค์กรต่าง ๆ ในการเก็บรวบรวม ใช้ และประมวลผลข้อมูลส่วนบุคคลเพื่อประโยชน์​ในการปกป้องคุ้มครองความเป็นส่วนตัวของข้อมูลส่วนบุคคล (Data privacy)

ในขณะที่ ISO 27001 มุ่งหมายเฉพาะเรื่องการสร้างมาตรการความปลอดภัยของข้อมูล (Information security) และมี “การประเมินความเสี่ยงของข้อมูล” (Information security risk assessment) เป็นหัวใจสำคัญของการทำระบบการจัดการความมั่นคงปลอดภัยของข้อมูล แต่อาจจะขาดมิติในเรื่องของกระบวนการต่าง ๆ ก่อนการได้มาซึ่งข้อมูลส่วนบุคคลและการบริหารจัดการต่าง ๆ ที่เกี่ยวกับสิทธิของเจ้าของข้อมูลส่วนบุคคลไป

ทั้งนี้ ตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ได้บัญญัติรองรับสิทธิของเจ้าของข้อมูลส่วนบุคคล (Rights of data subjects) ไว้หลายประการดังต่อไปนี้

1. สิทธิในการให้ความยินยอมและการเพิกถอนความยินยอม (Data consent)
2. การโอนข้อมูลไปยังต่างประเทศ
3. สิทธิในการเข้าถึงทำสำเนาและโอนข้อมูลส่วนบุคคล (Data portability)
4. สิทธิในการคัดค้านการเก็บรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคล (Right toobject)
5. สิทธิในการขอให้ลบหรือทำลายหรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวตนได้ (Right to be forgotten)
6. สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง (Right to rectification)

ดังนั้น จึงเป็นหน้าที่ของผู้ประกอบการที่ต้องพัฒนาระบบการจัดการข้อมูลของตนให้สอดคล้องกับพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ​ เพื่อให้ผู้รับบริการสามารถใช้สิทธิอันเกี่ยวกับข้อมูลส่วนบุคคลได้ตามที่กฎหมายกำหนดข้างต้นได้อีกด้วย

ในทัศนะของผู้เขียนจึงเห็นว่าผู้ประกอบการไม่สามารถปฏิบัติหน้าที่ตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ​ ได้อย่างครบถ้วนได้ด้วยการจัดให้องค์กรมีมาตราฐานตาม ISO 27001 เท่านั้น เนื่องจากแนวปฏิบัติที่ดีตาม ISO 27001 เป็นเพียงส่วนช่วยด้านความปลอดภัยของข้อมูลส่วนบุคคลซึ่งเป็นเพียงส่วนหนึ่งของการปฏิบัติตามพ.ร.บ.ข้อมูลส่วนบุคคลฯ

แต่การที่ผู้ประกอบการจะสามารถปฏิบัติตามพ.ร.บ.ข้อมูลส่วนบุคคลฯ ได้อย่างถูกต้องครบถ้วน จะต้องพิจารณาตั้งแต่ขั้นตอนการได้มาซึ่งข้อมูลส่วนบุคคลว่าได้มาอย่างไร ชอบด้วยกฎหมายหรือไม่ มีฐานความชอบด้วยกฎหมายอย่างไร ใช้และประมวลผลข้อมูลที่ได้ในกรณีใดได้บ้าง ใครบ้างมีสิทธิเข้าถึงข้อมูลที่ได้มา และมีมาตรการด้านความมั่นคงปลอดภัยอย่างไร เป็นต้น

เมื่อ ISO 27001 เป็นเพียงองค์ประกอบหนึ่งในการปฏิบัติตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ดังนั้น ในช่วงการพักการบังคับใช้กฎหมายไว้ชั่วคราวนี้ จึงเป็นโอกาสอันดีที่ผู้ประกอบการในฐานะที่เป็นผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลควรจะเร่งดำเนินการต่าง ๆ เพื่อให้มีมาตรการที่สอดคล้องกับกรอบและข้อกำหนดต่าง ๆ ที่กฎหมายกำหนดไว้ โดยเฉพาะการบริหารการใช้สิทธิต่าง ๆ ของเจ้าของข้อมูล ลำพัง ISO 27001 จึงยังไม่เพียงพอครับ

…

ศุภวัชร์ มาลานนท์

คณะนิติศาสตร์ มหาวิทยาลัยสงขลานครินทร์

Max Planck Institute Luxembourg

ชิโนภาส อุดมผล

Optimum Solution Defined (OSDCo., Ltd.)