Remote Access หน้าที่และความรับผิดของผู้ประมวลผลข้อมูลส่วนบุคคล
ในหลาย ๆ กรณี Remote Access ก็อาจกระทำโดยบุคคลภายนอกหรือ “บริษัทผู้ให้บริการ” เพื่อเข้าไปในระบบคอมพิวเตอร์ของผู้รับบริการ
Cap & Corp Forum
Remote Access หรือการเข้าถึงคอมพิวเตอร์หรือเครือข่ายจากระยะทางไกลภายในบริษัทหรือสาขาของบริษัทหรือกลุ่มบริษัทในเครือเพื่อให้สามารถเข้าถึงเครือข่ายขององค์กรเป็นเรื่องที่มีความแพร่หลายมากขึ้นในช่วงของสถานการณ์การแพร่ระบาดของโควิด-19
ซึ่งในหลาย ๆ กรณี Remote Access ก็อาจกระทำโดยบุคคลภายนอกหรือ “บริษัทผู้ให้บริการ” เพื่อเข้าไปในระบบคอมพิวเตอร์ของผู้รับบริการ โดยในการทำ Remote Access แต่ละครั้งมีประเด็นทางกฎหมายที่เกี่ยวข้องหลายประการโดยเฉพาะประเด็นของการคุ้มครองข้อมูลส่วนบุคคลและมาตรการด้านความปลอดภัยของข้อมูลดังกล่าว
ในการให้บริการต่าง ๆ เกี่ยวกับระบบคอมพิวเตอร์ขององค์กร อาจมีหลาย ๆ กรณีที่ผู้ให้บริการ เช่น ผู้ให้บริการ Cloud service, PBIX, SIP Trunk DID Numbers และ Software security ฯลฯ ก็อาจมีความจำเป็นต้องเข้าไปในระบบคอมพิวเตอร์ของผู้รับบริการ อาทิ เพื่อการแก้ไขปัญหาทางเทคนิคที่เกิดขึ้นจากการให้บริการ การปรับปรุงระบบตามปกติ การเข้าไปแก้ไขหรือการดึงข้อมูลต่าง ๆ ฯลฯ
ซึ่งตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 นั้น การดำเนินการดังกล่าวอาจทำให้ผู้ให้บริการนั้นมีสถานะเป็นผู้ประมวลผลข้อมูลส่วนบุคคลตามกฎหมายไปด้วย ซึ่งการเป็น “ผู้ประมวลผลข้อมูลส่วนบุคคล” (Data processor) ได้ก่อให้เกิดสิทธิหน้าที่และความรับผิดตามกฎหมายหลาย ๆ ประการต่อผู้รับบริการในฐานะผู้ควบคุมข้อมูลส่วนบลุคคล (Data controller) และผู้ให้บริการในฐานะผู้ประมวลผลข้อมูลส่วนบุคคล
โดยเฉพาะหากข้อมูลที่เข้าไปเกี่ยวข้องเป็นข้อมูลที่มีความอ่อนไหวเป็นพิเศษหรือกฎหมายให้ความคุ้มครองเป็นพิเศษ อาทิ ข้อมูลเกี่ยวกับเชื้อชาติเผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพความพิการ ข้อมูลสหภาพแรงงานข้อมูลพันธุกรรมข้อมูลชีวภาพ เป็นต้น
โดยข้อมูลชีวภาพนั้นพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ให้หมายความถึงข้อมูลส่วนบุคคลที่เกิดจากการใช้เทคนิคหรือเทคโนโลยีที่เกี่ยวข้องกับการนำลักษณะเด่นทางกายภาพหรือทางพฤติกรรมของบุคคลมาใช้ทำให้สามารถยืนยันตัวตนของบุคคลนั้นที่ไม่เหมือนกับบุคคลอื่นได้ เช่น ข้อมูลภาพจำลองใบหน้า ข้อมูลจำลองม่านตา หรือข้อมูลจำลองลายนิ้วมือ
ซึ่งการประมวลผลหรือการเก็บรวบรวมหรือให้มูลที่มีความอ่อนไหวเป็นพิเศษข้างต้นโดยไม่เป็นไปตามเงื่อนไขของกฎหมาย ก็อาจทำให้ทั้งผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลต้องมีความรับผิดทางอาญาได้อีกด้วย
มาตรการที่เหมาะสมที่สุดในการดำเนินการทั้งในส่วนของผู้รับบริการและผู้ให้บริการที่อาจมีความจำเป็นต้องประมวลผลข้อมูลส่วนบุคคลของพนักงานในองค์กรหรือลูกค้าของบริษัทในกรณีที่ข้อมูลเหล่านั้นมีทั้งข้อมูลทั่วไปและข้อมูลที่มีความอ่อนไหวเป็นพิเศษและกฎหมายมีมาตรการคุ้มครองโดยเฉพาะ
คือการจัดให้มี “การให้ความยินยอม” ในการเก็บ รวบรวม ใช้ และการประมวลผลข้อมูลส่วนบุคคล ตั้งแต่ในชั้นของการเก็บรวบรวมข้อมูลส่วนบุคคล โดยผู้รับบริการในฐานะผู้ควบคุมข้อมูลส่วนบุคคลเพื่อใช้เป็นฐานความชอบด้วยกฎหมายของการดำเนินการใด ๆ ต่อข้อมูลส่วนบุคคลนั้น โดยความยินยอมตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ กฎหมายกำหนดหลักเกณฑ์เบื้องต้นไว้ ดังนี้
- ความยินยอมดังกล่าวต้องทำโดยชัดแจ้งเป็นหนังสือหรือทำโดยผ่านระบบอิเล็กทรอนิกส์
- ความยินยอมนั้นต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน
- ความยินยอมนั้นต้องมีแบบหรือข้อความที่เข้าถึงได้ง่ายและเข้าใจได้รวมทั้งใช้ภาษาที่อ่านง่ายและไม่เป็นการหลอกลวงหรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์
- ความยินยอมนั้นต้องคำนึงอย่างถึงที่สุดในความเป็นอิสระของเจ้าของข้อมูลส่วนบุคคลในการให้ความยินยอม
- ต้องมีการแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยมีข้อมูลที่ต้องแจ้ง ดังนี้
(1) วัตถุประสงค์ของการเก็บรวบรวมเพื่อการนำข้อมูลส่วนบุคคลไปใช้หรือเปิดเผย
(2) แจ้งให้ทราบถึงกรณีที่เจ้าของข้อมูลส่วนบุคคลต้องให้ข้อมูลส่วนบุคคลเพื่อปฏิบัติตามกฎหมายหรือสัญญาหรือมีความจำเป็นต้องให้ข้อมูลส่วนบุคคลเพื่อเข้าทำสัญญารวมทั้งแจ้งถึงผลกระทบที่เป็นไปได้จากการไม่ให้ข้อมูลส่วนบุคคล
(3) ข้อมูลส่วนบุคคลที่จะมีการเก็บรวบรวมและระยะเวลาในการเก็บรวบรวมไว้ทั้งนี้ในกรณีที่ไม่สามารถกำหนดระยะเวลาดังกล่าวได้ชัดเจนให้กำหนดระยะเวลาที่อาจคาดหมายได้ตามมาตรฐานของการเก็บรวบรวม
(4) ประเภทของบุคคลหรือหน่วยงานซึ่งข้อมูลส่วนบุคคลที่เก็บรวบรวมอาจจะถูกเปิดเผย
(5) ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล สถานที่ติดต่อและวิธีการติดต่อในกรณีที่มีตัวแทนหรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลให้แจ้งข้อมูลสถานที่ติดต่อและวิธีการติดต่อของตัวแทนหรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลด้วย
(6) สิทธิของเจ้าของข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด อาทิ สิทธิในการเพิกถอนความยินยอม สิทธิในการขอสำเนาข้อมูลส่วนบุคคล สิทธิในการขอให้โอนข้อมูลส่วนบุคคล สิทธิคัดค้านการเก็บรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคล และสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ เป็นต้น
- ให้เก็บรวบรวมได้เท่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น
- ในการเข้าทำสัญญาซึ่งรวมถึงการให้บริการใด ๆ ต้องไม่มีเงื่อนไขในการให้ความยินยอมเพื่อเก็บรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่ไม่มีความจำเป็นหรือเกี่ยวข้องสำหรับการเข้าทำสัญญาซึ่งรวมถึงการให้บริการนั้น ๆ
และโดยที่ผู้ให้บริการทำหน้าที่ประมวลผลข้อมูลส่วนบุคคลในนามของผู้ควบคุมข้อมูลส่วนบุคคล หากผู้ควบคุมข้อมูลส่วนบุคคล เก็บรวบรวม หรือใช้ข้อมูลส่วนบุคคลโดยไม่ชอบด้วยกฎหมายแล้ว ฐานความชอบด้วยกฎหมายของผู้ให้บริการย่อมไม่มีไปด้วยเช่นกันและอาจก่อให้เกิดความรับผิดอื่น ๆ ตามมา
ดังนั้นในส่วนของ “ผู้ให้บริการ” และ “ผู้รับบริการ” ในการดำเนินงานตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลตามที่ได้รับมอบหมายจากผู้ควบคุมข้อมูลส่วนบุคคลจึงจำเป็นต้องจัดให้มีข้อตกลงระหว่างกัน (Data Processing Agreements, DPA) เพื่อควบคุมการดำเนินงานตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลให้เป็นไปตามกฎหมายด้วย
โอกาสหน้า ผู้เขียนจะนำเรื่อง DPA มาเล่าสู่กันฟังครับ
…
ศุภวัชร์ มาลานนท์
คณะนิติศาสตร์ มหาวิทยาลัยสงขลานครินทร์
ชิโนภาส อุดมผล
Optimum Solution Defined (OSDCo., Ltd.)