เรื่องที่ 206 : กลุ่มคนร้ายขโมยข้อมูลส่วนบุคคล (Data Privacy Security Breaches) ของบริษัท รวมทั้งข้อมูลของลูกจ้างด้วย ลูกจ้างฟ้องให้บริษัทของตนรับผิดได้หรือไม่?
ประเด็นการลักขโมยข้อมูลส่วนบุคคลของคนร้ายได้ก่อให้เกิดปัญหาแก่กลุ่มธุรกิจต่าง ๆ อย่างมากมาย ในปัจจุบัน และคาดว่า ในอนาคตก็จะยิ่งทวีความรุนแรงมากขึ้น แม้นจะได้ใช้ความพยายามในการปกป้อง และการป้องกันอย่างเข้มงวดแล้วก็ตาม
สืบเนื่องจากบทความเรื่องที่ 195 : ผู้ใดควรต้องรับผิดแก่ลูกค้าในการขโมยข้อมูลส่วนตัวของลูกค้า (Breach of Data Protection)? ซึ่งเป็นกรณีพิพาทระหว่างลูกค้ากับองค์การทางธุรกิจ
ครานี้ ถึงคราวกรณีลูกจ้างฟ้องนายจ้างให้รับผิดในลักษณะคล้ายคลึงกันบ้าง
มาลองดูกันนะครับ
ลูกจ้างผู้เสียหายเคยทำงานอยู่กับนายจ้างซึ่งเป็นบริษัทย่อยในเครือของกลุ่มบริษัทขนาดใหญ่รายหนึ่ง ตามกฎระเบียบของการจ้างงาน ลูกจ้างทุกคนจะต้องแถลงข้อมูลส่วนบุคคลรวมทั้งบุคคลในครอบครัวให้บริษัทนายจ้างได้รับทราบ โดยบริษัทนายจ้างได้แจ้งในสัญญาว่าจ้าง จะดำเนินการอันสมควรในการดูแลจัดเก็บปกป้องรักษาข้อมูลเหล่านั้นไว้เป็นความลับอย่างดี
แต่การณ์กลับไม่ได้เป็นเช่นนั้น เพราะภายหลังจากลูกจ้างผู้เสียหายรายนี้ได้ลาออกจากบริษัทนายจ้างแห่งนี้แล้ว ต่อมาในเดือนมีนาคม ค.ศ. 2020 ปรากฏได้มีกลุ่มคนร้ายเข้าไปลักขโมยข้อมูลที่สำคัญ รวมทั้งข้อมูลส่วนบุคคลของลูกจ้างทั้งในอดีต และปัจจุบันของบริษัทนายจ้างแห่งนี้ ด้วยกลวิธีหลอกลวงทางอินเตอร์เน็ตที่เรียกว่า ฟิชชิ่ง (phishing) พร้อมกับได้ฝังมัลแวร์ (malware) อันตรายไว้ด้วย และทำการข่มขู่ที่จะนำข้อมูลเหล่านั้นไปเปิดเผยในอินเตอร์เน็ต หากมิได้จ่ายค่าไถ่ให้แก่กลุ่มคนร้าย
ต่อมา ไม่ทราบว่า เนื่องด้วยสาเหตุที่ไม่ได้มีการจ่ายค่าไถ่ หรือสาเหตุอื่นใดก็ตาม กลุ่มคนร้ายได้นำข้อมูลบางส่วน รวมทั้งข้อมูลส่วนบุคคลไปโพสต์ไว้ในเวปมืด หรือดาร์กเวป (dark web) ที่ผิดกฎหมายให้สามารถดาวน์โหลดไปได้
อย่างไรก็ดี บริษัทนายจ้างแห่งนี้มิได้นิ่งเฉย ตลอดช่วงเดือนมีนาคม และเมษายน ค.ศ. 2020 ที่เกิดเหตุการณ์นี้ขึ้นมา บริษัทนายจ้างแห่งนี้ก็ได้แจ้งลูกจ้างของตนทั้งในอดีต และปัจจุบันให้ได้รับทราบเป็นระยะถึงภัยคุกคามที่อาจเกิดขึ้นแก่ลูกจ้างของตนได้ พร้อมกับแนะนำให้ดำเนินการปกป้อง และการป้องกันอันสมควรเท่าที่จะสามารถกระทำได้
เพื่อบรรเทาภัยคุกคามที่อาจเกิดขึ้นได้ ตัวลูกจ้างผู้เสียหายรายนี้ก็ได้พยายามดำเนินการหลายวิธีการด้วยตนเอง ไม่ว่าจะเป็นการถ่ายโอนย้ายข้อมูลโดยเฉพาะข้อมูลทางการเงินไปจัดเก็บไว้ยังแหล่งอื่นที่ปลอดภัยมากขึ้น และลงทุนซื้อโปรแกรมดูแลรักษาความปลอดภัยเสริมเพิ่มเติมให้แก่ทั้งตนเอง และบุคคลในครอบครัว เสียทั้งเงิน และเวลาในการดำเนินการดังกล่าว
ด้วยเหตุนี้ ตัวลูกจ้างผู้เสียหายรายนี้ได้ร่วมกับลูกจ้างผู้เสียหายรายอื่นเข้ายื่นฟ้องกลุ่ม (Class Action) กล่าวโทษต่อบริษัทนายจ้างแห่งนี้ของตนว่า กระทำการละเมิดโดยประมาทเลินเล่อ และกระทำการผิดสัญญาว่าจ้างในการที่ไม่ได้จัดการดูแลรักษา และปกป้องอันเหมาะสมแก่ข้อมูลส่วนบุคคลของลูกจ้างทุกรายตามที่ได้ให้สัญญาไว้ จึงขอให้พิจารณาชดใช้ค่าเสียหายที่บังเกิดขึ้นแก่พวกตน
ศาลชั้นต้นได้ตรวจสอบพยานหลักฐานต่าง ๆ ของคู่ความทั้งสองฝ่ายแล้ว เห็นว่า พยานหลักฐานฝ่ายโจทก์ลูกจ้างผู้เสียหายยังไม่อาจรับฟังได้ว่า ฝ่ายจำเลยบริษัทนายจ้างแห่งนี้ได้กระทำผิดจริงตามข้อกล่าวหา อีกทั้งภัยคุกคามแก่ลูกจ้างผู้เสียหายนั้นก็เป็นเพียงความคาดหวังที่ไกลตัว เพราะยังไม่ได้บังเกิดภัยคุกคามนั้นขึ้นมาจริงบ้างเลย ตัดสินให้ยกฟ้องฝ่ายโจทก์ลูกจ้างผู้เสียหาย
ฝ่ายโจทก์ลูกจ้างผู้เสียหายยื่นอุทธรณ์คัดค้านคำตัดสินของศาลชั้นต้น
ศาลอุทธรณ์ได้วิเคราะห์ออกมาเป็นประเด็นต่าง ๆ ดังนี้
1) ภัยคุกคามนั้นเป็นเรื่องไกลตัวหรือไม่?
ในการพิจารณาจำต้องอาศัยข้อความจริงอื่นมาประกอบกันด้วย อันได้แก่
เจตนาของคนร้ายมีจุดมุ่งหมายที่ชัดเจนหรือไม่?
ภัยคุกคามนั้นได้ก่อให้เกิดความเสี่ยงภัยสูงขึ้นหรือเปล่า? และ
ถึงขนาดอาจทำให้ผู้เสียหายอาจถูกฟ้องร้องได้ในอนาคตหรือไม่?
ทั้งหมดนี้ ล้วนเข้าข่ายแก่เหตุการณ์ที่เกิดขึ้นนี้ทั้งสิ้น โดยเฉพาะภัยคุกคามนั้นแก่ลูกจ้างผู้เสียหายมีทั้งในด้านข้อมูลส่วนตัว และข้อมูลทางการเงินประกอบกัน ซึ่งอาจถูกนำไปใช้ในทางผิดกฎหมายขึ้นมาได้ในอนาคต มีความน่าจะเป็นค่อนข้างสูง โดยเฉพาะอย่างยิ่งการนำข้อมูลที่ลักลอบไปโพสต์ไว้ในเวปมืดที่ผิดกฎหมาย และไม่จำเป็นจะต้องรอให้เกิดความเสียหายขึ้นมาจริงเสียก่อนแต่ประการใด
2) ฝ่ายจำเลยบริษัทนายจ้างแห่งนี้ได้กระทำละเมิดโดยประมาทเลินเล่อหรือไม่?
โลกปัจจุบันมีการจัดเก็บข้อมูลทางดิจิทัลไว้อย่างมากมาย รวมทั้งข้อมูลส่วนบุคคลด้วย ฉะนั้น ทุกองค์การ หรือหน่วยงานที่จัดเก็บจำต้องตระหนักรับรู้ และวางมาตรการในการจัดเก็บดูแลรักษา และปกป้องให้เหมาะสม และสอดคล้องตามมาตรฐานของอุตสาหกรรมที่เปลี่ยนแปลงไปด้วย การละเลยจึงถือเป็นการกระทำละเมิดโดยประมาทเลินเล่อที่อาจก่อให้เกิดความเสียหายแก่ฝ่ายโจทก์ลูกจ้างผู้เสียหายดังกล่าว
3) ฝ่ายจำเลยบริษัทนายจ้างแห่งนี้ได้กระทำผิดสัญญาว่าจ้างหรือไม่?
เมื่อฝ่ายจำเลยบริษัทนายจ้างแห่งนี้ได้ให้คำมั่นในสัญญาว่าจ้างว่า จะดำเนินการอันสมควรในการดูแลจัดเก็บปกป้องรักษาข้อมูลส่วนบุคคลของลูกจ้างไว้เป็นความลับอย่างดี แต่ไม่สามารถกระทำเช่นว่านั้นได้ จำต้องรับผิดตามสัญญาดังกล่าว
ศาลอุทธรณ์จึงได้ตัดสินกลับคำพิพากษาศาลชั้นต้น ให้ฝ่ายจำเลยบริษัทนายจ้างแห่งนี้ชดใช้ค่าเสียหายแก่ฝ่ายโจทก์ลูกจ้างผู้เสียหายดังกล่าว
(อ้างอิง และเรียบเรียงมาจากคดี Clemens v. ExecuPharm Inc., 48 F 4th 146, 157-58 [3d Cir. 2022])
หมายเหตุ
โลกเราทุกวันนี้จัดเป็นโลกดิจิทัลแห่งข้อมูลข่าวสาร มีข้อมูลข่าวสารให้จัดเก็บรวบรวม และสืบค้นอยู่มากมาย ทั้งที่สำคัญ และไม่สำคัญ แน่นอนข้อมูลที่สำคัญมักมีความอ่อนไหวที่จะถูกแฮ็กเข้าไป เพื่อนำไปใช้ประโยชน์ในทางที่ผิดกฎหมายในโลกมายาทางดิจิทัลได้ง่าย หลายองค์การ และหน่วยงานจึงมีความตื่นตัวที่จะพยายามปกป้อง และป้องกันอย่างสุดความสามารถ
ยังไงอย่าลืมตรวจสอบความคุ้มครองในกรมธรรม์ประกันภัยไซเบอร์ (Cyber Insurance Policy) กับกรมธรรม์ประกันภัยความรับผิดของกรรมการ และเจ้าหน้าที่ผู้บริหาร (Directors & Officers’ Liability Insurance Policy) ของคุณด้วยว่า ได้รองรับความเสี่ยงภัยเหล่านี้แล้วยัง เนื่องด้วยปัจจุบัน กรมธรรม์ประกันภัยดังกล่าวยังไม่ได้มีมาตรฐานเดียวกัน
บริการ
- รับบรรยายให้ความรู้ด้านประกันวินาศภัย
- รับแปลเอกสารกรมธรรม์ประกันภัย (อังกฤษเป็นไทย)
สนใจติดต่อ vivatchai.amornkul@gmail.com
อ่านบทความอีกชุดที่น่าสนใจเพิ่มเติมได้ใน พบ-ป(ร)ะ -กัน(ภัย): เป็นเรื่อง เป็นราว ใน Facebook Meet Insurance ที่ https://www.facebook.com/pomamornkul/
ไม่มีความคิดเห็น:
แสดงความคิดเห็น