แอนโทนี่ วิเศษ โลห์ | Partner – Tax & Legal
สุทธิกา ฤชุพันธุ์ | Counsel – Tax & Legal
ดีลอยท์ ประเทศไทย
ช่วงเดือนที่ผ่านมา หากท่านเป็นผู้ที่ติดตามซีรีส์ผ่านสตรีมเมอร์รายใหญ่ จะได้เห็นว่ามีซีรีส์ที่ติดอันดับแนะนำจากประเทศเกาหลีเกี่ยวกับทนายความสาวอัจฉริยะของสำนักงานกฎหมายแห่งหนึ่ง ซีรีส์เรื่องนี้มีหลายจุดที่น่าสนใจและให้ติดตาม ไม่ว่าจะเป็นความอัจฉริยะและความพิเศษของตัวเอกของเรื่อง เรื่องราวส่วนตัวและการเข้าสังคมของ “คนพิเศษ” คดีที่เธอได้รับมอบหมาย การยืนอยู่บนข้อเท็จจริง ความรักในกฎหมายและความถูกต้องของเธอ การนึกถึงวาฬของเธอในหลายๆ สถานการณ์ นั่นคงเป็นตัวอย่างเล็กๆ น้อยๆ ที่เพียงพอจะทำให้หลายๆ ท่านร่วมลุ้นและยิ้มไปกับเธอ
ผู้เขียนขอหยิบยกเรื่องราวตอนนึงจากซีรีส์เรื่องนี้ ที่แม้จะเป็นเรื่องสมมติ แต่จริงๆแล้ว เป็นเรื่องที่มีโอกาสเกิดขึ้นได้จริงสูงมากในประเทศไทย SPOILER ALERT!! เหตุการณ์สมมติในตอนนี้ สำนักงานกฎหมายได้รับมอบหมายให้ดูแลคดีที่บริษัทแห่งหนึ่งซึ่งเป็นเจ้าของร้านค้าออนไลน์ชื่อดังของประเทศถูกขโมยข้อมูลส่วนบุคคลของลูกค้าเป็นจำนวนมาก และถูกหน่วยงานกำกับดูแลเรียกค่าปรับเป็นจำนวน 3% ของยอดขาย หากบริษัทแห่งนี้จำเป็นจะต้องชำระค่าปรับเป็นจำนวนสูงขนาดนั้น อาจทำให้บริษัทล้มละลายได้เลย มากไปกว่านั้น เมื่อลูกค้าของร้านค้าออนไลน์ทราบว่าข้อมูลบุคคลของตนได้ถูกโจรกรรมไป ยังได้รวมตัวกันและฟ้องคดีแบบหมู่ (Class Action) ต่อร้านค้าออนไลน์แห่งนี้ และเรียกค่าเสียหายรวมกันเป็นจำนวนมหาศาล จากในเรื่อง แม้ความเสียหายอาจจะยังไม่ได้เกิดขึ้น เพราะไม่ได้เผยแพร่ข้อมูลต่อ แต่เป็นฉากที่เจ้าของร้านค้าออนไลน์จงใจให้แฮกเกอร์ทำการโจรกรรมข้อมูลส่วนบุคคล เพื่อให้หุ้นส่วนธุรกิจของตนหันมาตระหนักถึงการลงทุนในการปกป้องระบบทางเทคนิคต่างๆ ภายในองค์กร และถึงแม้ข้อมูลเหล่านั้นยังไม่ได้ถูกเผยแพร่ต่อ เนื่องจากแฮกเกอร์ได้เข้ารหัสชุดข้อมูลนั้นก่อนส่งต่อ ความเชื่อมั่นของสาธารณชนต่อร้านค้าออนไลน์รายใหญ่แห่งนี้ก็คงจะไม่เหมือนเดิมอีกต่อไป
หากเราลองกลับมาเทียบเคียงเหตุการณ์ในซีรีส์กับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (“พ.ร.บ.ฯ”) ที่เพิ่งมีผลบังคับใช้อย่างเต็มรูปแบบเมื่อวันที่ 1 มิถุนายน 2565 ที่ผ่านมา หากเหตุการณ์นี้เกิดขึ้นจริงในประเทศไทย แม้ว่าค่าปรับทางปกครองหรือค่าเสียหายทางแพ่งของไทยจะไม่ได้ถูกกำหนดจากสัดส่วนของรายได้ดังเช่นกฎหมายของฝั่งสหภาพยุโรปหรือตามที่ซีรีส์ได้หยิบมาเล่าเรื่อง แต่ พ.ร.บ.ฯ ก็ได้กำหนดโทษทางอาญาซึ่งรวมถึงโทษจำคุก และศาลยังสามารถกำหนดค่าเสียหายในเชิงลงโทษได้เป็นจำนวนไม่เกิน 2 เท่าของค่าเสียหายที่แท้จริงในทางแพ่ง
เหตุการณ์การรั่วไหลของข้อมูลส่วนบุคคล แท้จริงแล้วไม่ได้จำเป็นจะต้องเกิดจากการโจรกรรมข้อมูลโดยแฮกเกอร์หรือโดยบุคคลภายนอกองค์กรเท่านั้น การที่พนักงานขององค์กรส่งอีเมลไปยังบุคคลที่ไม่มีสิทธิที่จะเข้าถึงข้อมูลเหล่านั้นก็อาจถือเป็นการรั่วไหลของข้อมูลส่วนบุคคลได้ การกรอกชื่อผู้รับอีเมลผิดแล้วมีการแนบข้อมูลส่วนบุคคลไปด้วยโดยไม่มีการป้องกันโดยการเข้ารหัสเป็นสาเหตุของการรั่วไหลของข้อมูลมากมาย โดยที่ผู้ส่งอาจจะไม่ได้ตระหนักรู้ถึงผลกระทบที่อาจเกิดขึ้น และในหลายกรณี ก็ไม่ได้แจ้งถึงเหตุการณ์ดังกล่าวต่อผู้ที่เกี่ยวข้องเพื่อดำเนินการป้องกันหรือลดผลกระทบที่อาจจะเกิดขึ้นต่อไป และอาจทำให้มีความรับผิดภายใต้ พ.ร.บ.ฯ ที่ผู้ควบคุมข้อมูลไม่ได้จัดให้มีมาตรการป้องกันการละเมิดข้อมูลส่วนบุคคล ซึ่งอาจจะส่งผลกระทบถึงความเสียหายต่อตัวเจ้าของข้อมูลส่วนบุคคลได้
จริงอยู่ที่แม้ค่าเสียหายเป็นตัวเงินอาจมากน้อยแตกต่างกันไปตามความร้ายแรงที่เกิดขึ้น และค่าเสียหายที่เป็นตัวเงินนี้ก็อาจจะเป็นมุมมองที่บริษัทหรือองค์กรใหญ่สามารถที่จะยอมรับได้เพื่อให้คดีจบ แต่หากมองในมุมของความรับผิดชอบ (accountability) ต่อข้อมูลส่วนบุคคลที่ได้รับมา โดยเฉพาะผู้ควบคุมข้อมูลในภาคธุรกิจที่ขับเคลื่อนด้วยข้อมูลส่วนบุคคลแล้ว การรักษาปกป้องคุ้มครองข้อมูลส่วนบุคคลย่อมเป็นสิ่งที่ผู้มีส่วนได้เสียทุกฝ่ายคาดหวัง และการเสียความเชื่อมั่นในตัวองค์กรในแง่นี้ ไม่ว่าจะต่อผู้มีส่วนได้เสีย หรือต่อสาธารณชน ย่อมเป็นสิ่งที่องค์กรไม่อาจยอมรับได้ ในการนี้ ต้นทุนในการปกป้องคุ้มครองนั้นมีแนวโน้มที่จะต่ำกว่าการเข้าไปเยียวยาความเสียหายที่อาจเกิดขึ้น โดยเฉพาะกรณีที่ข้อมูลส่วนบุคคลที่รั่วไหลนั้น มีจำนวนมากหรือเป็นข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน
กรณีของภาคธุรกิจที่นำข้อมูลส่วนบุคคลต่าง ๆ มาแสวงหาประโยชน์ในเชิงพาณิชย์ เมื่อมองถึงหน้าที่ความรับผิดชอบต่อเจ้าของข้อมูลส่วนบุคคลที่ได้มอบความไว้วางใจให้องค์กรต่างๆ นำข้อมูลส่วนบุคคลมาใช้ในการประกอบธุรกิจอาจจะต้องกลับมามองและประเมินตัวเองว่าท่านเองในฐานะที่เป็นองค์กรได้เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้น ท่านได้มีการเตรียมความพร้อมในด้านต่างๆ เพื่อปฏิบัติตาม พ.ร.บ.ฯ แล้วหรือไม่ ทั้งในรูปแบบของนโยบายด้านการคุ้มครองข้อมูลส่วนบุคคล เอกสารทางกฎหมาย กระบวนการในการปฏิบัติงานต่างๆ เครื่องมือต่างๆ ที่จะช่วยท่านในการบริหารจัดการและปกป้องข้อมูลส่วนบุคคล รวมถึงความรู้และความพร้อมของบุคลากรขององค์กร การให้ความสำคัญกับเรื่องเหล่านี้ แม้จะมีต้นทุนในการสร้างให้เกิดความพร้อมในด้านต่างๆ ขึ้น แต่ต้นทุนเหล่านี้ก็น่าจะน้อยกว่าต้นทุนที่ท่านอาจต้องจ่ายเพื่อเยียวยาความเสียหายที่อาจเกิดขึ้น หรือฟื้นฟูความเชื่อมั่นให้กลับมาอีกครั้ง หากความเชื่อมั่นเหล่านั้นได้ถูกทำลายลง