เหตุการณ์ละเมิดข้อมูลส่วนบุคคลของผู้เยาว์และนักศึกษาโดยหน่วยงานของรัฐ

Cap & Corp Forum

การประมวลผลข้อมูลส่วนบุคคลที่ดำเนินการโดยหน่วยงานของรัฐนั้นถือว่าอยู่ภายใต้บังคับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เช่นกัน โดยมีเพียงการประมวลผลข้อมูลในบางกิจการเท่านั้นที่ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ มาตรา 4 (2) (4) (5) และ (6) ให้การยกเว้นไว้ บทความนี้ผู้เขียนจึงขอนำกรณีศึกษาที่หน่วยงานของรัฐสองแห่งในประเทศสมาชิกของสหภาพยุโรปถูกลงโทษจากการฝ่าฝืน GDPR มาเล่าให้ท่านผู้อ่านฟังเพื่อเป็นกรณีศึกษาสำหรับการบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ในอนาคต และเพื่อสร้างความตระหนักรู้ร่วมกันต่อหน้าที่ในการคุ้มครองความเป็นส่วนตัวของข้อมูลส่วนบุคคล

กรณีที่ 1 : เทศบาลเมือง Bergen และข้อมูลส่วนบุคคลของผู้เยาว์

Datatilsynet ซึ่งเป็นองค์กรคุ้มครองข้อมูลส่วนบุคคลของประเทศนอร์เวย์ (The Norwegian Data Protection Authority) และมีอำนาจการบังคับใช้ GDPR ในประเทศนอร์เวย์ ได้มีคำสั่งลงโทษปรับเทศบาลเมือง Bergen เป็นเงินจำนวน 276,000 ยูโร โดยข้อเท็จจริงในคดีดังกล่าวเกิดขึ้นในเดือนตุลาคม 2562 เมื่อ Datatilsynet ได้รับแจ้งว่าเกิดเหตุการณ์ละเมิดข้อมูลส่วนบุคคลของผู้เยาว์จากการที่เทศบาลเมือง Bergen ได้พัฒนาเว็บพอร์ทัลและแอปพลิเคชันขึ้นมาเพื่อใช้ในการสื่อสารระหว่างบ้านกับโรงเรียน โดย 1) ไม่มีการจัดทำมาตรการด้านความมั่นคงปลอดภัย (security measure) อย่างเพียงพอและเหมาะสมต่อข้อมูลส่วนบุคคลของนักเรียนและผู้ปกครอง และ 2) ไม่มีการสื่อสารหรือกำหนดแนวทางเรื่องมาตรการความมั่นคงปลอดภัยสำหรับข้อมูลส่วนบุคคลแก่เจ้าของข้อมูลส่วนบุคคลก่อนที่เว็บพอร์ทัลและแอปพลิเคชันดังกล่าวจะถูกนำมาใช้ โดยคำวินิจฉัยของ Datatilsynet มีประเด็นที่น่าสนใจดังต่อไปนี้

(1) ข้อมูลส่วนบุคคลของผู้เยาว์ควรจัดอยู่ในชั้นความลับสูงสุด (highest degree of confidentiality) เนื่องจากผู้เยาว์ถือเป็นกลุ่มเสี่ยงมากที่จะได้รับอันตรายต่อชีวิตและสุขภาพหากเกิดเหตุการณ์ละเมิดข้อมูลส่วนบุคคล (data breach)

(2) ข้อมูลส่วนบุคคลที่จัดเก็บต้องมีการจำกัดการเข้าถึง (access management) เฉพาะผู้มีหน้าที่เกี่ยวข้องกับการใช้ข้อมูลส่วนบุคคลนั้น ๆ เท่านั้น (authorized persons) แต่ในกรณีของเทศบาลเมือง Bergen เกิดเหตุการณ์ที่ข้อมูลสถานที่ติดต่อซึ่งเป็นความลับ (confidential address) ของนักเรียนรายหนึ่งถูกเผยแพร่ไปยังครอบครัวอื่น ๆ ของนักเรียนในชั้นเดียวกันเป็นต้น

(3) ไม่มีการจัดทำแบบประเมินความเสี่ยง (risk assessment) สำหรับข้อมูลส่วนบุคคล

(4) เทศบาลเมือง Bergen ไม่ได้ทำการจัดให้มีมาตรการด้านความมั่นคงทางด้านเทคนิคและด้านองค์กร (technical and organizational measure) ซึ่งเป็นผลให้ในการประมวลผลข้อมูลส่วนบุคคลดังกล่าวไม่เป็นความลับและถูกเข้าถึงได้โดยบุคคลอื่น

กรณีที่ 2 : Warsaw University of Life Science และข้อมูลการเข้าศึกษาต่อ

คดีนี้เกิดขึ้นในประเทศโปแลนด์เมื่อ UODO (The Polish Data Protection Authority) มีคำสั่งปรับ Warsaw University of Life Science ซึ่งเป็นมหาวิทยาลัยด้านการเกษตรที่ใหญ่ที่สุดในโปแลนด์เป็นเงินจำนวน 11,000 ยูโร เนื่องจากการที่เครื่องคอมพิวเตอร์ส่วนบุคคลแบบพกพาของพนักงานมหาวิทยาลัยคนหนึ่งถูกขโมยไป ซึ่งเครื่องคอมพิวเตอร์ดังกล่าวพนักงานคนนี้ได้ใช้เพื่อการทำงานในมหาวิทยาลัยด้วย โดยเขาได้ใช้เครื่องคอมพิวเตอร์ส่วนตัวของเขาในการประมวลผลข้อมูลส่วนบุคคลของผู้ที่สมัครเข้าเรียนที่มหาวิทยาลัยแห่งนี้ และมีข้อมูลย้อนหลังไปไม่น้อยกว่า 5 ปี และข้อมูลที่อยู่ในคอมพิวเตอร์นั้นอาจเกี่ยวข้องกับผู้สมัครเข้าศึกษาจำนวนกว่า 100 ราย

การกระทำฝ่าฝืน GDPR ของมหาวิทยาลัยเกิดจากการที่ยินยอมให้มีการใช้เครื่องคอมพิวเตอร์ส่วนบุคคลในการประมวลผลข้อมูลส่วนบุคคลของผู้สมัครเข้าศึกษาโดยที่ไม่มีมาตรการด้านความปลอดภัยที่เหมาะสม และไม่มีการลงบันทึกการเข้าถึงและการนำข้อมูลส่วนบุคคลของผู้สมัครเข้าศึกษาไปใช้ ทั้ง ๆ ที่ข้อมูลดังกล่าวควรเป็นความลับและไม่สมควรถูกเข้าถึงโดยง่าย การละเลยของมหาวิทยาลัยจึงขัดหรือแย้งต่อหน้าที่และหลักความรับผิดชอบของมหาวิทยาลัยในฐานะผู้ควบคุมข้อมูลส่วนบุคล ซึ่งจากการสอบสวนของ UODO ถือว่ามหาวิทยาลัยบกพร่องทั้งการจัดให้มีมาตรการด้านความมั่นคงทางด้านเทคนิคและด้านองค์กร

หากกรณีดังกล่าวเกิดขึ้นในประเทศไทย ?

จากกรณีศึกษาทั้งสองกรณีข้างต้นตามมาตรา 40 (1) พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ผู้ควบคุมข้อมูลส่วนบุคคลที่ดำเนินกิจกรรมในลักษณะเดียวกับเทศบาลเมือง Bergen และ Warsaw University of Life Science ไม่ว่าจะเป็นหน่วยงานรัฐหรือเอกชนก็ตาม ก็มีหน้าที่ต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง เปลี่ยนแปลง แก้ไข และการเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจเช่นเดียวกัน โดยในการรักษาการเป็นความลับของข้อมูลนั้น ผู้ประกอบการหรือผู้ควบคุมข้อมูลส่วนบุคคลอาจดำเนินการจัดเก็บข้อมูลส่วนบุคคลโดยการแปลงข้อมูลดังกล่าวให้อยู่ในรูปของข้อมูลนิรนาม (anonymization) โดยการเปลี่ยนแปลงส่วนใดส่วนหนึ่งของข้อมูลหรือปกปิดบางส่วนของข้อมูล (masking) หรือการแฝงข้อมูลหรือการใช้รหัสหรือชื่อที่กำหนดขึ้นมาใหม่เพื่อใช้แทนข้อมูลที่สามารถระบุตัวตนของเจ้าของข้อมูลส่วนบุคคลได้ (pseudonymization) เป็นต้น

ประการสำคัญ ในการประมวลผลข้อมูลส่วนบุคคลต้องกระทำอยู่บนพื้นฐานของหลักความจำเป็นและความได้สัดส่วน (minimization and proportionateprincipal) การกำหนดสิทธิในการเข้าถึงข้อมูลของบุคคลภายในองค์กรจึงเป็นเรื่องสำคัญ ผู้ประกอบการควรวางมาตรการการระบุตัวตนและกำหนดว่าบุคคลใดบ้างที่มีความจำเป็นในการเข้าถึงข้อมูลส่วนบุคคล (identity and access management) เพียงเท่าที่จำเป็นต่อการประมวลผลข้อมูลส่วนบุคคลให้บรรลุวัตถุประสงค์ตามที่องค์กรหรือผู้ประกอบการมีสิทธิกระทำได้บนฐานความชอบด้วยกฎหมายฐานใดฐานหนึ่งเท่านั้น

ข้อสังเกตประการสำคัญจากกรณีของเทศบาลเมือง Bergen นั้น Datatilsynet ถือว่าข้อมูลส่วนบุคคลของผู้เยาว์เป็นข้อมูลที่มีความเสี่ยงสูงแม้ไม่ใช่ข้อมูลละเอียดอ่อน (sensitive data) และควรจัดอยู่ในชั้นความลับขั้นสูงสุด การดำเนินการจัดเก็บข้อมูลส่วนบุคคลของผู้เยาว์นั้นจึงจำเป็นอย่างยิ่งที่จะต้องจัดให้มีมาตรการด้านความมั่นคงปลอดภัยที่มีมาตรฐานสูงกว่าและรัดกุมมากกว่าการจัดเก็บข้อมูลส่วนบุคคลของบุคคลทั่วไป

ส่วนกรณีของ Warsaw University of Life Science เป็นกรณีเหตุละเมิดที่เกิดจากคอมพิวเตอร์หายเพียงเครื่องเดียวเท่านั้น และข้อเท็จจริงก็ไม่ปรากฏด้วยว่าหายไปไหน ใครเอาไป และมีการเข้าถึงข้อมูลในคอมพิวเตอร์หรือไม่ ซึ่งเหตุละเมิดลักษณะนี้มีโอกาสเกิดขึ้นได้ง่ายมาก และอาจเป็นเรื่องใกล้ตัวที่หลาย ๆ หน่วยงานอาจจะยังไม่มีมาตรการที่เหมาะสม

…

ศุภวัชร์ มาลานนท์

คณะนิติศาสตร์ มหาวิทยาลัยสงขลานครินทร์

Max Planck Institute Luxembourg

ชิโนภาส อุดมผล

Optimum Solution Defined (OSDCo., Ltd.)