การทำงานที่บ้าน และมาตรการด้านความปลอดภัยของข้อมูล

Cap & Corp Forum

ในสถานการณ์แพร่ระบาดของเชื้อไวรัสโควิด-19 มาตรการหนึ่งที่หลาย ๆ องค์กรนำมาใช้เพื่อบรรเทาปัญหาการแพร่กระจายของไวรัสหรือความเสี่ยงในการติดเชื้อคือการอนุญาตให้พนักงานสามารถทำงานจากที่บ้านได้ ซึ่งการทำงานที่บ้านหรือการไม่ต้องมาปฏิบัติงาน ณ สถานที่ของนายจ้างนั้นมีประเด็นข้อกฎหมายหลาย ๆ ประการที่เกี่ยวเนื่อง แต่ในวันนี้ผู้เขียนจะชวนท่านผู้อ่านพิจารณาปัญหาที่เกิดจากการที่พนักงานสามารถเข้าถึงเครือข่ายสารสนเทศหรือข้อมูลขององค์กรจากภายนอกองค์กรว่าอาจมีมิติในทางกฎหมายในส่วนที่เกี่ยวกับข้อมูลที่อยู่ในความครอบครองขององค์กรอย่างไรบ้าง โดยขอจำแนกเป็น 3 ประเด็น ได้แก่ 1) ข้อมูลที่เป็น “ความลับทางการค้า” 2) ข้อมูลที่เป็น “ข้อมูลส่วนบุคคล” และ 3) มาตรการด้านความมั่นคงปลอดภัยของข้อมูลนั้น

1.ข้อมูลที่เป็นความลับทางการค้า

ตามพระราชบัญญัติความลับทางการค้าพ.ศ. 2545 “ความลับทางการค้า” มีองค์ประกอบ 3 ประการ กล่าวคือ

(1) ข้อมูลการค้าซึ่งยังไม่รู้จักกันโดยทั่วไปหรือยังเข้าถึงไม่ได้ในหมู่บุคคลซึ่งโดยปกติแล้วต้องเกี่ยวข้องกับข้อมูลดังกล่าว

ส่วน “ข้อมูลการค้า” นั้น หมายความว่าสิ่งที่สื่อความหมายให้รู้ข้อความเรื่องราวข้อเท็จจริงหรือสิ่งใดไม่ว่าการสื่อความหมายนั้นจะผ่านวิธีการใด ๆ และไม่ว่าจะจัดไว้ในรูปใด ๆ และให้หมายความรวมถึงสูตรรูปแบบงานที่ได้รวบรวมหรือประกอบขึ้นโปรแกรมวิธีการเทคนิคหรือกรรมวิธีด้วย

(2) เป็นข้อมูลที่มีประโยชน์ในเชิงพาณิชย์เนื่องจากการเป็นความลับ และ

(3) เป็นข้อมูลที่ผู้ควบคุมความลับทางการค้าได้ใช้มาตรการที่เหมาะสมเพื่อรักษาไว้เป็นความลับ

ในระบบกฎหมายไทย “ความลับทางการค้า” ได้รับความคุ้มครองในลักษณะของทรัพย์สินทางปัญญาประเภทหนึ่ง เพียงแต่ระบบการคุ้มครองนั้นอาจแตกต่างออกจากทรัพย์สินทางปัญญาทั่วไปที่มีระบบการจดทะเบียนหรือจดแจ้งเพื่อให้สาธารณะรับทราบ แต่เนื่องจากลักษณะสำคัญของการคุ้มครองทรัพย์สินทางปัญญาประเภทนี้ คือ การรักษาสภาพของการเป็นความลับและต้องมีมาตรการเหมาะสมเพื่อรักษาไว้เป็นความลับ ซึ่งหากมีกรณีพิพาทเกิดขึ้นเกี่ยวกับการละเมิดความลับทางการค้า ศาลจะเป็นผู้ชี้ขาดว่ามี “ความลับทางการค้า” ที่กฎหมายคุ้มครองหรือไม่

ข้อมูลทางธุรกิจที่อาจเป็นความลับทางการค้าได้ อาทิ สูตรการผลิตต่าง ๆ ที่อาจไม่ได้จดทะเบียนสิทธิบัตร ฐานข้อมูลของลูกค้า หรือพฤติกรรมของลูกค้าในการบริโภค เป็นต้น ซึ่งการให้พนักงานสามารถเข้าถึงข้อมูลเหล่านั้นได้จากภายนอกย่อมมีความเสี่ยงที่อาจจะทำให้ข้อมูลเหล่านั้นเปิดเผยต่อสาธารณะได้

2.ข้อมูลที่เป็นข้อมูลส่วนบุคคล

แม้ว่าพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลพ.ศ. 2562 จะเริ่มใช้บังคับในวันที่ 28 พฤษภาคม 2563 แต่สภาพปัญหาที่เกิดขึ้น ณ ขณะนี้อาจจะทำให้มาตรการต่าง ๆ ที่ใช้มีความต่อเนื่องจนกระทั่งกฎหมายใช้บังคับก็ได้ ดังนั้น การเตรียมมาตรการต่าง ๆ ให้สอดคล้องกับกฎหมายในเบื้องต้นน่าจะเป็นการเหมาะสมที่สุด

ตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ “ข้อมูลส่วนบุคคล” หมายความว่าข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อมแต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ ดังนั้น ข้อมูลหลาย ๆ อย่างที่อยู่ในความครอบครองของบริษัทจึงอาจมีสภาพเป็นข้อมูลส่วนบุคคล ทั้งข้อมูลของลูกค้าที่เป็นบุคคลธรรมดาหรือข้อมูลของพนักงาน เป็นต้น ซึ่งปัญหาที่น่ากังวลมากที่สุดในแง่องค์กรที่มีข้อมูลส่วนบุคคลจำนวนมากอยู่ในความครอบครองคือการจัดการด้านความปลอดภัยของข้อมูลนั้น

โดยพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ มาตรา 37 กำหนดว่าผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมเพื่อป้องกันการสูญหายเข้าถึงใช้เปลี่ยนแปลงแก้ไขหรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบและต้องทบทวนมาตรการดังกล่าวเมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม (ทั้งนี้ให้เป็นไปตามมาตรฐานขั้นต่ำที่คณะกรรมการประกาศกำหนด) และในกรณีที่ต้องให้ข้อมูลส่วนบุคคลแก่บุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคลต้องดำเนินการเพื่อป้องกันมิให้ผู้นั้นใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบอีกด้วย

3.มาตรการด้านความมั่นคงปลอดภัยของข้อมูล

จากที่กล่าวมาข้างต้น ไม่ว่าข้อมูลที่บริษัทครอบครองอยู่จะเป็นข้อมูลที่เป็น “ความลับทางการค้า” หรือมีสภาพเป็น “ข้อมูลส่วนบุคคล” ก็ตาม เงื่อนไขทางกฎหมายประการหนึ่งที่องค์กรทางธุรกิจในฐานะผู้ครอบครองข้อมูลนั้นต้องจัดให้มีก็คือมาตรการด้านความมั่นคงปลอดภัยของข้อมูล มาตรการดังกล่าวมีความสำคัญในแง่ผลของกฎหมายดังนี้

(1)หากข้อมูลนั้นอาจเป็นความลับทางการค้า การที่บริษัทไม่มีมาตรการด้านความมั่นคงปลอดภัยของข้อมูลที่เหมาะสม ย่อมทำให้ข้อมูลนั้นอาจสิ้นสภาพการเป็นความลับทางการค้าและไม่ได้รับความคุ้มครองตามพ.ร.บ.ความลับทางการค้าฯ อีกต่อไป

(2)ในกรณีที่ข้อมูลนั้นเป็นข้อมูลส่วนบุคคล พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ กำหนดความรับผิดทางแพ่งของผู้ควบคุมข้อมูลส่วนบุคคลไว้ในกรณีที่บริษัทไม่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมและทำให้เกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคลบริษัทอาจต้องชดใช้ค่าสินไหมทดแทนให้แก่เจ้าของข้อมูลส่วนบุคคลโดยค่าสินไหมทดแทนดังกล่าวให้หมายความรวมถึงค่าใช้จ่ายทั้งหมดที่เจ้าของข้อมูลส่วนบุคคลได้ใช้จ่ายไปตามความจำเป็นในการป้องกันความเสียหายที่กำลังจะเกิดขึ้น หรือระงับความเสียหายที่เกิดขึ้นแล้วด้วย และศาลมีอำนาจสั่งให้ผู้ควบคุมข้อมูลส่วนบุคคลจ่ายค่าสินไหมทดแทนเพื่อการลงโทษเพิ่มขึ้นจากจำนวนค่าสินไหมทดแทนที่แท้จริงได้อีกไม่เกินสองเท่าของค่าสินไหมทดแทนที่แท้จริงนั้นได้อีกด้วย

ถึงตรงนี้ท่านผู้อ่านคงเห็นแล้วว่ามาตรการด้านความมั่นคงปลอดภัยของข้อมูลเป็นเรื่องสำคัญ และอาจก่อให้เกิดความรับผิดต่อลูกจ้างที่ทำให้ข้อมูลทางการค้าของบริษัทสิ้นสภาพการเป็นความลับทางการค้า หรืออาจก่อให้เกิดความรับผิดร่วมกันทั้งนายจ้างและลูกจ้างได้หากสร้างความเสียหายต่อเจ้าของข้อมูลส่วนบุคคลที่อยู่ในความครอบครองของบริษัท

ดังนั้น การมีมาตรการด้านความมั่นคงปลอดภัยของข้อมูลที่เหมาะสมตั้งแต่เบื้องต้นจึงน่าจะเป็นทางออกที่ดีที่สุดในการคุ้มครองธุรกิจ โดยเฉพาะเมื่อการทำงานที่บ้านอาจเพิ่มความเสี่ยงทางกฎหมายอีกหลายประการจากการเข้าถึงข้อมูลของคนที่ไม่มีสิทธิ

…

ศุภวัชร์ มาลานนท์

คณะนิติศาสตร์ มหาวิทยาลัยสงขลานครินทร์

Fulbright Hubert H. Humphrey Fellowship

American University Washington College of Law