กรณีศึกษา โทษ PDPA และ GDPR  เคสล่าสุด

จากกรณีล่าสุดที่ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หรือ สคส. ซึ่งเป็นหน่วยงานที่กำกับดูแลด้านการคุ้มครองข้อมูลส่วนบุคคลของไทย สั่งลงโทษบริษัทเอกชนรายหนึ่ง ด้วยโทษทางปกครอง เป็นจำนวนเงิน 7 ล้านบาท นอกจากเป็นเคส PDPA เคสแรกของไทย ที่แสดงให้เห็นว่า สคส. ลงโทษจริงปรับจริงแน่ หากศึกษาบทลงโทษยังเต็มไปด้วยองค์ประกอบมากมาย 

กรณีนี้ของไทย สคส. ได้ระบุถึงบทลงโทษไว้ 3 ข้อด้วยกัน คือ 

1) บริษัทที่ถูกร้องเรียนได้เก็บรวบรวมข้อมูลส่วนบุคคลของลูกค้าจำนวนมากกว่า 1 แสนราย  และใช้ข้อมูลดังกล่าวในการประกอบธุรกิจหลักของบริษัท แต่กลับไม่มีเจ้าหน้าที่คุ้มครอง ข้อมูลส่วนบุคคล ตามที่กฎหมายกำหนด จึงทำให้เมื่อเกิดข้อมูลรั่วไหล บริษัทดังกล่าวไม่สามารถเยียวยาแก้ไขปัญหาได้ ซึ่งเป็นกรณีดำเนินการที่ขัดต่อมาตรา 41 แห่ง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

2) ผู้ถูกร้องเรียนดังกล่าวไม่มีมาตรการรักษาความปลอดภัยที่เหมาะสมตามที่ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนด ทำให้ข้อมูลรั่วไหลจากบริษัทดังกล่าวไปยังกลุ่มมิจฉาชีพ คือแก๊งคอลเซ็นเตอร์ และก่อให้เกิดความเสียหายในวงกว้าง การกระทำดังกล่าวจึงเป็นการกระทำที่ขัดต่อมาตรา 37(1) แห่ง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

3) เมื่อเกิดเหตุข้อร้องเรียนจากเจ้าของข้อมูลส่วนบุคคล บริษัทกลับเพิกเฉยไม่ดำเนินการแก้ไข และแจ้งเหตุให้สำนักงานคุ้มครองข้อมูลส่วนบุคคลล่าช้า ทำให้ไม่สามารถเยียวยาได้ อันเป็นความผิดตามมาตรา 37 (4) พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

ทั้งนี้หากลงลึกไปถึงรายละเอียดของคำสั่งคณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 ซึ่งวินิจฉัยพฤติการณ์ กรณีมาตรการรักษาความปลอดภัยข้อมูลส่วนบุคคลของบริษัทดังกล่าวนี้ (อ้างอิงจากข้อมูลของเว็บไซต์สำนักข่าวอิศรา) ยังระบุว่า

เมื่อพิจารณาข้อเท็จจริงและสาเหตุที่ข้อมูลส่วนบุคคลรั่วไหลจากบริษัทผู้ถูกร้องเรียนจนถึงมือแก็งค์คอลเซ็นเตอร์ (Call Center) นำข้อมูลที่ละเมิดข้อมูลส่วนบุคคลดังกล่าวไปใช้ ที่ประกอบด้วย ชื่อนามบุคคล หมายเลขเอกสาร คำร้องขอผู้ร้องเรียน คำให้การของผู้ถูกร้องเรียน และรายละเอียดข้อมูลต่าง ๆ ที่เกี่ยวข้อง

คณะกรรมการผู้เชี่ยวชาญพบว่า ข้อมูลที่รั่วไหลเกิดจากที่ผู้ถูกร้องเรียนไม่มีมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคลที่มีมาตรฐานขั้นต่ำ ตามที่กฎหมายกำหนด หรือไม่มีประสิทธิภาพเพียงพอทำให้เกิดเหตุการละเมิดข้อมูลส่วนบุคคล ในช่วงระหว่างปี พ.ศ.2563-2567 จนถึงปัจจุบัน (ตามคำให้การของผู้ถูกร้องเรียน)

นอกจากนี้ ยังปรากฏข้อเท็จจริงว่า มีผู้ร้องเรียนระหว่างวันที่ 20 ม.ค.2567 ถึง 31 มิ.ย.2567 จำนวนสูงถึง 422 ราย ซึ่งในส่วนนี้มีผู้ร้องเรียนถึงสำนักงานคุ้มครองข้อมูลส่วนบุคคล จำนวน 23 ราย 

ซึ่งตามมาตรา 37 (1) แห่ง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ประกอบกับข้อ 4. ของประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่องมาตรการรักษาความปลอดภัยข้อมูลส่วน บุคคลของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ.2565 ฉบับลงวันที่ 20 มิ.ย.2565 ระบุโดยชัดเจนในประกาศข้อ 4 ว่า

“ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ต้องจัดให้มีมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคล โดยปราศจาก อำนาจหรือโดยมิชอบตามกฎหมายกำหนด โดยต้องจำกัดสิทธิในการเข้าถึงและ ทำสำเนาข้อมูลส่วนบุคคล”

และหากจะตีความถึงการจัดให้มีมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสม (อ้างอิงจาก กรอบการทำงานเป็นขั้นตอนการปฏิบัติของผู้ควบคุมข้อมูล (Data Controller ของ สพร.) 

ได้อธิบายมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคลครอบคลุมไว้ 3 ประเด็น คือ 

  • การธำรงไว้ซึ่งความลับ (Confidentiality) 
  • ความถูกต้องครบถ้วน (Integrity) และ 
  • สภาพพร้อมใช้งาน (Availability) ของข้อมูลส่วนบุคคล 

ทั้งนี้ เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยมิชอบ อย่างน้อยควรประกอบด้วยการดำเนินการ ดังต่อไปนี้

1.มาตรการป้องกันด้านการบริหารจัดการ (Administrative Safeguard)

1.1 มีการออกระเบียบ วิธีปฏิบัติ สำหรับควบคุมการเข้าถึงข้อมูลส่วนบุคคล และอุปกรณ์ในการจัดเก็บและประมวลผลข้อมูลส่วนบุคคลโดยคำนึงถึงการใช้งานและความมั่นคงปลอดภัย เช่น กำหนดให้มีบันทึกการเข้าออกพื้นที่ กำหนดให้เจ้าหน้าที่รักษาความปลอดภัยตรวจสอบผู้มีสิทธิผ่านเข้าออก มีการกำหนดรายชื่อผู้มีสิทธิเข้าถึง

ทั้งนี้ความเข้มข้นของมาตรการ ให้เป็นไปตามระดับความเสี่ยง หรือ ความเสียหายที่อาจเกิดขึ้นหากข้อมูลส่วนบุคคลรั่วไหล ถูกแก้ไข ถูกคัดลอก หรือ ถูกทำลาย โดยมิชอบ 

1.2 มีการกำหนดเกี่ยวกับการอนุญาตหรือการกำหนดสิทธิในการเข้าถึงข้อมูลส่วนบุคคลของผู้ใช้งาน (User Responsibilities)  แบ่งเป็น รูปแบบต่าง ๆ เช่น สิทธิในการเข้าดู แก้ไข เพิ่มเติม เปิดเผยและเผยแพร่ การตรวจสอบคุณภาพข้อมูล ตลอดจนการลบทำลาย

2. มาตรการป้องกันด้านเทคนิค (Technical Safeguard) 

2.1 การจัดให้มีวิธีการเพื่อให้สามารถตรวจสอบย้อนหลังเกี่ยวกับการเข้าถึง เปลี่ยนแปลง ลบ หรือถ่ายโอนข้อมูลส่วนบุคคล ให้สอดคล้องเหมาะสมกับวิธีการและสื่อที่ใช้ในการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคล

2.2 การบริหารจัดการการเข้าถึงของผู้ใช้งาน (User Access Management) เพื่อควบคุมการเข้าถึงข้อมูลส่วนบุคคลเฉพาะผู้ที่ได้รับอนุญาต ตามระดับสิทธิการใช้งาน ได้แก่ การนำเข้า เปลี่ยนแปลง แก้ไข เปิดเผย ตลอดจนการลบทำลาย 

 2.3 จัดให้มีระบบสำรองและกู้คืนข้อมูล เพื่อให้ระบบ และ/หรือ บริการต่าง ๆ ยังสามารถดำเนินการได้อย่างต่อเนื่อง

3.มาตรการป้องกันทางกายภาพ (physical safeguard) ในเรื่องของการเข้าถึงหรือควบคุมการใช้งานข้อมูลส่วนบุคคล (Access Control) 

3.1 มีการควบคุมการเข้าถึงข้อมูลส่วนบุคคลและอุปกรณ์ในการจัดเก็บและประมวลผลข้อมูลส่วนบุคคลโดยคำนึงถึงการใช้งานและความมั่นคงปลอดภัย เช่น มีบันทึกการเข้าออกพื้นที่, มีเจ้าหน้าที่รักษาความปลอดภัยของพื้นที่, มีระบบกล้องวงจรปิด, มีการล้อมรั้วและล็อคประตูทุกครั้ง, มีระบบบัตรผ่านเฉพาะผู้มีสิทธิเข้าออก 

ทั้งนี้ความเข้มข้นของมาตรการ ให้เป็นไปตามระดับความเสี่ยง หรือ ความเสียหายที่อาจเกิดขึ้นหากข้อมูลส่วนบุคคลรั่วไหล ถูกแก้ไข ถูกคัดลอก หรือ ถูกทำลาย โดยมิชอบ 

3.2 กำหนดหน้าที่ความรับผิดชอบของผู้ใช้งาน (User Responsibilities) เพื่อป้องกันการเข้าถึงข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต การเปิดเผย การล่วงรู้ หรือการลักลอบทำสำเนาข้อมูลส่วนบุคคล การลักขโมยอุปกรณ์จัดเก็บหรือประมวลผลข้อมูลส่วนบุคคล  การลักลอบนำอุปกรณ์เข้าออก

จากข้อมูลข้างต้น ที่กล่าวถึงโทษและเนื้อหาการวินิจฉัยของคณะกรรมการผู้เชี่ยวชาญ ตามกฎหมาย PDPA มาดูกันว่าเหมือนหรือแตกต่างจากต้นแบบ อย่าง GDPR ของยุโรป หรือไม่ อย่างไร?

กรณีศึกษาในฝั่ง GDPR

เมื่อวันที่ 27 สิงหาคม มีรายงานว่า บริษัท Uber ผู้นำด้านแพลตฟอร์มคมนาคม ของ สหรัฐฯ ซึ่งคล้ายกับ Grab และ Line Man ในประเทศไทย ถูกสหภาพยุโรปสั่งปรับจำนวนมหาศาลตามกฎหมาย GDPR เนื่องจากไม่ปกป้องข้อมูลส่วนบุคคลของ คนขับ (Driver) 

รายละเอียดมีอยู่ว่า Dutch Data Protection Authority (DPA)ในประเทศเนเธอร์แลนด์ สั่งปรับบริษัท Uber เป็นจำนวนเงิน 290 ล้านยูโรหรือ 325 ล้านเหรียญสหรัฐ เนื่องจากละเมิดกฎหมายคุ้มครองข้อมูลส่วนบุคคล (GDPR) ของสหภาพยุโรป โดยมีคนขับ Uber ชาวฝรั่งเศส จำนวน 170 คน ร้องเรียนผ่านกลุ่มสิทธิมนุษยชนในฝรั่งเศส จากนั้นจึงส่งต่อเรื่องร้องเรียน ไปยัง DPA ของเนเธอร์แลนด์ เนื่องจากสำนักงานใหญ่ของ Uber ในยุโรปนั้นตั้งอยู่ในประเทศเนเธอร์แลนด์

จากการสืบสวนของ DPA พบว่า Uber ได้รวบรวมข้อมูลที่ละเอียดอ่อนของคนขับ (Driver) เช่น 

  • ข้อมูลบัญชี
  • ใบอนุญาตขับแท็กซี่ 
  • ข้อมูลที่อยู่ 
  • รูปถ่าย 
  • รายละเอียดการชำระเงิน 
  • เอกสารแสดงตัวตน 
  • ข้อมูลทางอาญาและทางการแพทย์ 

ข้อมูลเหล่านี้ถูกจัดเก็บในเซิร์ฟเวอร์ของสหรัฐฯ โดยไม่ได้ใช้ “เครื่องมือสำหรับการโอนย้ายข้อมูล” ที่เหมาะสมสำหรับการโอนข้อมูลออกนอกสหภาพยุโรป นั่นคือ Uber ไม่ได้ใช้ Standard Contractual Clauses ตั้งแต่เดือนสิงหาคม ปี 2021 ข้อมูลของผู้ขับขี่จากสหภาพยุโรปจึงไม่ได้รับการปกป้องอย่างเพียงพอ อย่างไรก็ตามทาง DPA ของเนเธอร์แลนด์ก็ออกแถลงการณ์ว่า บริษัทฯ ทำการยุติปัญหาดังกล่าวได้แล้ว  

นี่ไม่ใช่ครั้งแรกที่ Uber ถูกสั่งปรับและลงโทษ เพราะเมื่อปี 2018 บริษัทถูกปรับจำนวน 600,000 ยูโร จากกรณีการละเมิดข้อมูลส่วนบุคคล และ 10 ล้านยูโร ในปี 2023 จากการละเมิดข้อมูลส่วนบุคคลของคนขับรถในยุโรป

แตกต่างแค่ไหนกับกรณีของประเทศไทย

หากเปรียบเทียบกัน กรณีของ Uber คือการไม่ใช้เครื่องมือโอนย้ายข้อมูลที่เหมาะสม ซึ่งอยู่ในขอบข่ายของการถ่ายโอนข้อมูลออกนอกราชอาณาจักรตามกฎหมาย GDPR 

ตามหลักการแล้ว มี 2 วิธีในการถ่ายโอนข้อมูลส่วนบุคคลไปยังประเทศที่ไม่ใช่ เขตเศรษฐกิจยุโรป (EEA) หรือองค์กรระหว่างประเทศ โดยการถ่ายโอนอาจเกิดขึ้นบนพื้นฐานของการตัดสินใจ เรื่องความเพียงพอ หรือในกรณีที่ไม่มีการตัดสินใจเรื่องความเพียงพอให้ใช้มาตรการป้องกันที่เหมาะสม ซึ่งรวมถึงสิทธิบังคับใช้และการเยียวยาทางกฎหมายสำหรับบุคคลหากไม่มีการตัดสินใจเรื่องความเพียงพอหรือมาตรการป้องกันที่เหมาะสม ซึ่งในกฎหมาย GDPR ก็อนุญาตให้มีข้อยกเว้นบางประการ ตามสถานการณ์นั้นๆ 

การถ่ายโอนข้อมูลบนพื้นฐานของมาตรการป้องกันที่เหมาะสม จะต้องมีอุปกรณ์ถ่ายโอนย้ายข้อมูล ที่มีมาตรการป้องกันที่เหมาะสมตาม มาตรา 46 ของ GDPR ดังนี้ 

  • ข้อสัญญามาตรฐานในการคุ้มครองข้อมูล (Standard Contractual Clauses หรือ SCCs)
  • กฎองค์กรที่มีผลผูกพัน (Binding Corporate Rules หรือ BCRs)
  • ประมวลจรรยาบรรณ (Codes of Conduct)
  • กลไกการรับรอง (Certification Mechanisms)
  • ข้อสัญญาเฉพาะกรณี (Ad Hoc Contractual Clauses)

ซึ่งสิ่งที่ 2 กรณีของบริษัทไทยและ Uber แต่แตกต่างกันมากแค่ไหน บริษัทไทยจะเป็นเรื่องของบุคคลที่ทำข้อมูลรั่วไหลจากการที่บริษัทไม่มีมาตรการป้องกัน และไม่มีเจ้าหน้าที่คุ้มครองส่วนบุคคล (DPO) อีกทั้งยังเพิกเฉยต่อปัญหาที่เกิดขึ้น จนทำให้ข้อมูลส่วนบุคคลตกไปอยู่ในมือของแก็งค์คอลเซ็นเตอร์ 

แต่ในส่วนของ Uber คือ เรื่องการโอนข้อมูลเนื่องจากไม่ได้ใช่อุปกรณ์โอนข้อมูลไปยังต่างประเทศ ตามที่กฎหมาย GDPR กำหนดไว้  นั่นคือ Standard Contractual Clauses ข้อมูลของผู้ขับขี่จากสหภาพยุโรปจึง ไม่ได้รับการปกป้องอย่างเพียงพอ แต่ในข้อของการเพิกเฉยหรือไม่มี DPO บริษัทก็ไม่ได้ขาด DPO เพราะ Uber มีเจ้าหน้าที่ DPO ประจำอยู่สำนักงานที่ยุโรป หรือเพิกเฉยต่อปัญหาดังกล่าวแต่อย่างใด อีกทั้งยังมีการแก้ปัญหาหลังจากมีการร้องเรียนขึ้นในทันที 

อย่างไรก็ตามกรณีทั้งสองกรณีก็มีความคล้ายกันเรื่อง “มาตรการรักษาความปลอดภัยที่เหมาะสม”

หากพูดในเรื่องของการโอนย้ายข้อมูล ตามกฎหมาย PDPA ของไทยไม่ได้มีความแตกต่างจากกฎหมาย GDPR ของยุโรปมากนัก แต่จะให้ความสำคัญไปที่ ความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ในขณะที่ GDPR มีการกำหนดในเรื่องของอุปกรณ์ถ่ายโอนย้ายข้อมูลต้องมีอะไรบ้าง จึงจะสามารถถ่ายโอนย้ายข้อมูลส่วนบุคคลได้

นอกจากนี้หากพิจารณาในเรื่องของ มาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคลแล้ว ทั้ง 2 กรณี มีความแตกต่างกันที่ บริษัทเอกชนไทย ไม่ได้มีมาตรการรักษาความปลอดภัยข้อมูลส่วน บุคคลของผู้ควบคุมข้อมูลส่วนบุคคล แตกต่างจากของกรณี Uber ซึ่งมีการประกาศ มาตรการรักษาความปลอดภัยข้อมูลส่วนบุคคลไว้ชัดเจน และไม่ได้ปกป้องแค่ในส่วนของ Driver แต่ปกป้องข้อมูลส่วนบุคคลของลูกค้าด้วย เช่น Driver จะไม่เห็น ชื่อ-นามสกุล,หมายเลขโทรศัพท์ แม้ว่าจะมีการโทรหรือส่งข้อความถึงผู้ขับขี่ผ่านแอป Uber, คะแนนที่ลูกค้าให้กับ Driver รวมถึง รูปโปรไฟล์ของลูกค้า 

ข้อมูลส่วนบุคคลรั่วไหล ปัญหาใหญ่ระดับโลก

จากรายงานเรื่องกานโจมตีทางไซเบอร์ของ IBM ที่ดำเนินการร่วมกับ Ponemon Institute ได้เจาะลึกการโจมตีข้อมูลในองค์กร 604 แห่งทั่วโลกพูดคุยกับผู้นำด้านความปลอดภัย และธุรกิจมากกว่า 3,500 แห่ง

ตามรายงานพบว่า ความเสียหายเฉลี่ยทั่วโลกของการโจมตีข้อมูลในปี 2024 เพิ่มขึ้นเป็น 4.88 ล้านดอลลาร์ นั่นคือการเพิ่มขึ้น 10% จากปี 2023 และมากกว่าครึ่งหนึ่ง ขององค์กรที่ถูกโจมตีโดยภัยไซเบอร์ จะทำการถ่ายโอนต้นทุนความเสียหายเหล่านั้นไปยังผู้บริโภค โดยการเรียกเก็บเงินสำหรับสินค้าและบริการมากขึ้น เช่น เมื่อบริษัทถูกแฮ็ก บริษัทส่วนใหญ่จะขึ้นราคาสินค้าและบริการให้ครอบคลุมความเสียหายที่ได้รับ

รายงานยังพบว่า การละเมิดข้อมูลเกือบครึ่งหนึ่ง (46%) เกี่ยวข้องกับข้อมูลส่วนบุคคลของลูกค้า เช่น หมายเลขประกันสังคม อีเมล หมายเลขโทรศัพท์ ที่อยู่  ทรัพย์สินทางปัญญา เช่น ความลับทางการค้า ถูกขโมยไปใน 43% ของข้อมูลทั้งหมด 

การแก้ไขปัญหา 

วิธีการแก้ไขปัญหาเหล่านี้ อาจต้องเน้นไปที่ การฝึกอบรมพนักงาน , การใช้เทคโนโลยี  AI เพื่อตรวจจับภัยคุกคามในระยะเริ่มต้นและตอบสนองได้เร็วขึ้น หรือการนำเทคโนโลยีด้านความปลอดภัยเข้ามาบริหารจัดการและป้องกันข้อมูลขององค์กรรั่วไหล

ที่มา : EU, National Cybersecurity Alliance, Mashable

สอบถามข้อมูลผลิตภัณฑ์ “OneFence”

Tel. : 061-462-6414, 064-189-9292

Line : @securitypitch

Email : [email protected]

บทความที่น่าสนใจ