ThaiStockNews

มาตรฐาน ISO 27001 และกฎหมายคุ้มครองข้อมูลส่วนบุคคล

มาตรฐาน ISO 27001 และกฎหมายคุ้มครองข้อมูลส่วนบุคคล

Cap & Corp Forum

แม้ว่าพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลพ.ศ. 2562 จะอยู่ในช่วงชะลอการบังคับใช้ไปอีกหนึ่งปีก็ตาม แต่พระราชบัญญัตินี้ก็ถือว่าสร้างความกังวลให้แก่ผู้ประกอบการที่อยู่ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล (Data controller) และผู้ประมวลผลข้อมูลส่วนบุคคล (Data processor) ไม่น้อย เนื่องจากพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ได้บัญญัติหน้าที่ วิธีบริหารและขั้นตอนในการดำเนินการเก็บ รวบรวม ใช้ ประมวลผล รวมถึงการที่ต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลที่เหมาะสม

โดยมีบทกำหนดโทษไว้ในกรณีที่ผู้ประกอบการไม่ปฏิบัติตามทั้งในทางแพ่งที่กำหนดให้มีค่าสินไหมเพื่อการลงโทษ (มาตรา 78) และในทางปกครองโดยกำหนดโทษปรับทางปกครองไว้ค่อนข้างสูงเพื่อปฏิบัติตามกฎหมาย ผู้ประกอบการบางส่วนให้ความสนใจไปที่การจัดทำมาตรฐานความปลอดภัยให้แก่ข้อมูลหรือ ISO 27001 (Information Security Standard) จึงมีคำถามที่ตามมาว่าหากผู้ประกอบการจัดทำมาตรฐานความปลอดภัยตามมาตรฐานของ ISO 27001 แล้วมาตรการดังกล่าวจะเพียงพอหรือไม่ในการปฏิบัติตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ

ISO 27001 ถือเป็นแนวทางการวางมาตรการความปลอดภัยแก่ข้อมูลที่มีมาตรฐานเป็นที่ยอมรับในระดับสากล มีมาตรฐานครอบคลุมสามปัจจัยหลักในการจัดเก็บดูแลรักษาข้อมูล กล่าวคือ 1) บุคลากร 2) ขั้นตอนวิธีการ และ 3) เทคโนโลยีที่นำเข้ามาช่วยในการจัดเก็บข้อมูล โดยนอกจากเป็นการกำหนดมาตรการแล้ว การจัดทำ ISO 27001 ยังเป็นการสร้างวัฒนธรรมองค์กรในเรื่องของมาตรการความปลอดภัยของข้อมูล (Awareness of security incident) และความรู้ความเข้าใจของบุคลากรในการเฝ้าระวัง (Monitor)

และรายงานสถานะความปลอดภัยหรือเหตุการณ์ด้านความปลอดภัยของข้อมูล (Detect & report security incidents) และการดำเนินการตาม ISO 27001 ยังทำให้ผู้ประกอบการต้องจัดให้มีระบบในการวางแผน พัฒนา และติดตั้งระบบการจัดการความปลอดภัยของข้อมูลหรือ Information Security Management System (ISMS) ซึ่งเป็นมาตรการและวิธีการในการจัดการความเสี่ยงทั้งในด้าน กฎหมาย (Legal) เทคนิค (Technical) และกายภาพ (Physical) โดย ISO 27001 จะให้ความสำคัญกับการจัดการใน 6 ประเด็น ดังนี้

  1. การบริหารจัดการสินทรัพย์ (Asset management)
  2. ความปลอดภัยในด้านการดำเนินงาน (Operational security)
  3. การควบคุมการเข้าถึงข้อมูล (Access control)
  4. ความปลอดภัยของข้อมูล (Information security incident management)
  5. การสร้างความตระหนักเรื่องมาตรการความปลอดภัยแก่บุคลากรขององค์กรแลละคู่สัญญาต่าง ๆ ขององค์กร (Human resource security)
  6. ความต่อเนื่องของมาตรการความปลอดภัยแก่ข้อมูล (Business continuity)

เมื่อมีการทำมาตรฐานด้านความปลอดภัยแก่ข้อมูลให้เป็นไปตาม ISO 27001 แล้ว จะเห็นได้ว่าการจัดทำมาตรการความปลอดภัยดังกล่าวจะช่วยให้ผู้ประกอบการดำเนินการตามหน้าที่ที่พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ กำหนดได้บางส่วนในเรื่องของความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลในมิติต่อไปนี้

  1. การรักษาไว้ซึ่งความลับ (Confidentiality) ความถูกต้อง (Integrity) และสภาพพร้อมใช้งาน (Availability) ของข้อมูลส่วนบุคคลซึ่งจะสอดคล้องกับข้อกำหนดตามประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมเรื่องมาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล พ.ศ. 2563
  2. การแจ้งเตือนกรณีมีข้อมูลรั่วไหล (Breach notification) ตามมาตรา 37(4)
  3. การทำบันทึกรายการข้อมูลส่วนบุคคลวัตถุประสงค์การจัดเก็บข้อมูลการใช้และเข้าถึงข้อมูล

แม้ว่าการจัดทำ ISO 27001 จะมีกระบวนการบางอย่างที่ทำให้ผู้ประกอบการสามารถปฏิบัติตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ​ ได้ แต่ ISO 27001 ก็เป็นเพียงมิติหนึ่งเท่านั้นเนื่องจาก ISO 27001 และพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ มีวัตถุประสงค์ที่ต่างกัน โดยพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ มีเป้าหมายหลักในการกำหนดมาตรฐานให้แก่องค์กรต่าง ๆ ในการเก็บรวบรวม ใช้ และประมวลผลข้อมูลส่วนบุคคลเพื่อประโยชน์​ในการปกป้องคุ้มครองความเป็นส่วนตัวของข้อมูลส่วนบุคคล (Data privacy)

ในขณะที่ ISO 27001 มุ่งหมายเฉพาะเรื่องการสร้างมาตรการความปลอดภัยของข้อมูล (Information security) และมี “การประเมินความเสี่ยงของข้อมูล” (Information security risk assessment) เป็นหัวใจสำคัญของการทำระบบการจัดการความมั่นคงปลอดภัยของข้อมูล แต่อาจจะขาดมิติในเรื่องของกระบวนการต่าง ๆ ก่อนการได้มาซึ่งข้อมูลส่วนบุคคลและการบริหารจัดการต่าง ๆ ที่เกี่ยวกับสิทธิของเจ้าของข้อมูลส่วนบุคคลไป

ทั้งนี้ ตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ได้บัญญัติรองรับสิทธิของเจ้าของข้อมูลส่วนบุคคล (Rights of data subjects) ไว้หลายประการดังต่อไปนี้

  1. สิทธิในการให้ความยินยอมและการเพิกถอนความยินยอม (Data consent)
  2. การโอนข้อมูลไปยังต่างประเทศ
  3. สิทธิในการเข้าถึงทำสำเนาและโอนข้อมูลส่วนบุคคล (Data portability)
  4. สิทธิในการคัดค้านการเก็บรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคล (Right toobject)
  5. สิทธิในการขอให้ลบหรือทำลายหรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวตนได้ (Right to be forgotten)
  6. สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง (Right to rectification)

ดังนั้น จึงเป็นหน้าที่ของผู้ประกอบการที่ต้องพัฒนาระบบการจัดการข้อมูลของตนให้สอดคล้องกับพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ​ เพื่อให้ผู้รับบริการสามารถใช้สิทธิอันเกี่ยวกับข้อมูลส่วนบุคคลได้ตามที่กฎหมายกำหนดข้างต้นได้อีกด้วย

ในทัศนะของผู้เขียนจึงเห็นว่าผู้ประกอบการไม่สามารถปฏิบัติหน้าที่ตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ​ ได้อย่างครบถ้วนได้ด้วยการจัดให้องค์กรมีมาตราฐานตาม ISO 27001 เท่านั้น เนื่องจากแนวปฏิบัติที่ดีตาม ISO 27001 เป็นเพียงส่วนช่วยด้านความปลอดภัยของข้อมูลส่วนบุคคลซึ่งเป็นเพียงส่วนหนึ่งของการปฏิบัติตามพ.ร.บ.ข้อมูลส่วนบุคคลฯ

แต่การที่ผู้ประกอบการจะสามารถปฏิบัติตามพ.ร.บ.ข้อมูลส่วนบุคคลฯ ได้อย่างถูกต้องครบถ้วน จะต้องพิจารณาตั้งแต่ขั้นตอนการได้มาซึ่งข้อมูลส่วนบุคคลว่าได้มาอย่างไร ชอบด้วยกฎหมายหรือไม่ มีฐานความชอบด้วยกฎหมายอย่างไร ใช้และประมวลผลข้อมูลที่ได้ในกรณีใดได้บ้าง ใครบ้างมีสิทธิเข้าถึงข้อมูลที่ได้มา และมีมาตรการด้านความมั่นคงปลอดภัยอย่างไร เป็นต้น

เมื่อ ISO 27001 เป็นเพียงองค์ประกอบหนึ่งในการปฏิบัติตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ดังนั้น ในช่วงการพักการบังคับใช้กฎหมายไว้ชั่วคราวนี้ จึงเป็นโอกาสอันดีที่ผู้ประกอบการในฐานะที่เป็นผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลควรจะเร่งดำเนินการต่าง ๆ เพื่อให้มีมาตรการที่สอดคล้องกับกรอบและข้อกำหนดต่าง ๆ ที่กฎหมายกำหนดไว้ โดยเฉพาะการบริหารการใช้สิทธิต่าง ๆ ของเจ้าของข้อมูล ลำพัง ISO 27001 จึงยังไม่เพียงพอครับ

ศุภวัชร์ มาลานนท์

คณะนิติศาสตร์ มหาวิทยาลัยสงขลานครินทร์

Max Planck Institute Luxembourg

ชิโนภาส อุดมผล

Optimum Solution Defined (OSDCo., Ltd.)

The post มาตรฐาน ISO 27001 และกฎหมายคุ้มครองข้อมูลส่วนบุคคล appeared first on ข่าวหุ้นธุรกิจออนไลน์.

ที่มา: ข่าวหุ้นธุรกิจออนไลน์

วันที่ August 1, 2020, 06:54

Leave a Reply

Your email address will not be published. Required fields are marked *