ในยุคที่เทคโนโลยีดิจิทัลเข้ามามีบทบาทสำคัญในระบบการศึกษา โรงเรียนจำนวนมากหันมาใช้เทคโนโลยีเพื่อสนับสนุนการเรียนการสอนและการบริหารจัดการภายในหรือระบบจัดเก็บข้อมูลนักเรียน เช่น Google Classroom, Microsoft Teams, SchoolBright ซึ่งการใช้เทคโนโลยีเหล่านี้ถึงแม้จะช่วยเพิ่มประสิทธิภาพการบริหารจัดการการเรียนการสอนแต่ก็อาจทำให้เกิดความเสี่ยงด้านความเป็นส่วนตัวและการรั่วไหลของข้อมูลส่วนบุคคล โดยเฉพาะเมื่อต้องมีการส่งโอนข้อมูลส่วนบุคคลของนักเรียนให้กับผู้ให้บริการภายนอก
เหตุการณ์ศึกษาที่เกิดขึ้นจริงที่สะท้อนปัญหานี้ได้ชัดเจน คือเหตุการณ์ Appscook Data Leak ซึ่งเกิดขึ้นในปี 2023 โดยแพลตฟอร์ม Appscook ที่ให้บริการระบบการจัดเก็บข้อมูลของโรงเรียนในอินเดียและศรีลังกาพบว่ามีการตั้งค่าระบบคลาวด์ผิดพลาด ทำให้ข้อมูลนักเรียนจากโรงเรียนกว่า 600 แห่งรั่วไหลสู่สาธารณะ ข้อมูลที่หลุดออกมารวมถึงชื่อ รูปถ่าย สูติบัตร ใบเสร็จค่าเทอม และข้อมูลของผู้ปกครองโดยสาเหตุหลักของเหตุการณ์นี้คือการกำหนดสิทธิ์การเข้าถึงไฟล์ที่ไม่เหมาะสมจึงส่งผลให้บุคคลที่ไม่มีสิทธิ์สามารถเข้าถึงข้อมูลได้ผ่านลิงก์สาธารณะซึ่งเหตุการณ์นี้สะท้อนถึงความจำเป็นของมาตรการรักษาความมั่นคงปลอดภัยและการจัดทำข้อตกลงการประมวลผลข้อมูล (Data Processing Agreement:DPA) ระหว่างโรงเรียนกับผู้ให้บริการภายนอกเพื่อป้องกันเหตุการณ์ในลักษณะเดียวกัน
ภายใต้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ (PDPA) แบ่งบทบาทดังนี้
• โรงเรียน ทำหน้าที่เป็น ผู้ควบคุมข้อมูลส่วนบุคคล — มีอำนาจในการตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล
• ผู้ให้บริการภายนอก ทำหน้าที่ เป็นผู้ประมวลผลข้อมูลส่วนบุคคล — ดำเนินการกับข้อมูลส่วนบุคคลตามขอบเขตที่โรงเรียนกำหนดไว้เท่านั้น
ซึ่งหมายความว่าแม้โรงเรียนจะมีการมอบหมายการดำเนินการที่เกี่ยวข้องกับข้อมูลให้บุคคลภายนอกแต่หน้าที่ในการปกป้องข้อมูลส่วนบุคคลเด็กก็ยังคงเป็นความรับผิดชอบของโรงเรียนอย่างไม่อาจหลีกเลี่ยงได้
ข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement: DPA) คือเครื่องมือพื้นฐานในการกำหนดกรอบการคุ้มครองข้อมูลนักเรียนที่มีประสิทธิภาพ เป็นข้อตกลงที่กำหนดอย่างชัดเจนว่าผู้ประมวลผลข้อมูลสามารถจัดการข้อมูลส่วนบุคคลอย่างไร และต้องดำเนินการภายในขอบเขตที่ตกลงกันไว้เท่านั้น
DPA ที่ครอบคลุมสำหรับการคุ้มครองข้อมูลนักเรียนควรระบุสาระสำคัญดังต่อไปนี้
• วัตถุประสงค์และขอบเขตของการประมวลผลข้อมูลส่วนบุคคล
• ประเภทของข้อมูลที่เกี่ยวข้อง
• ระยะเวลาการจัดเก็บข้อมูล
• มาตรการรักษาความมั่นคงปลอดภัย
• ข้อจำกัดในการนำข้อมูลไปใช้ในวัตถุประสงค์อื่นนอกเหนือจากที่กำหนด
• กระบวนการแจ้งเหตุละเมิดข้อมูล
หากไม่มี DPA โรงเรียนจะไม่สามารถควบคุมการใช้งานข้อมูลส่วนบุคคลเด็กและไม่สามารถตรวจสอบได้ว่าข้อมูลได้รับการคุ้มครองอย่างเพียงพอหรือไม่ หากเกิดการรั่วไหลโดยที่ไม่มีหลักฐานว่ามีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสม โรงเรียนอาจเกิดความรับผิดทางแพ่ง อาญา และทางปกครองตาม PDPA ได้รวมถึงเกิดความเสียหายต่อชื่อเสียงและกระทบต่อความเชื่อมั่นของสังคม
ข้อมูลส่วนบุคคลเด็กต้องการการปกป้องในระดับที่สูงกว่าข้อมูลของผู้ใหญ่อย่างมีนัยสำคัญ ตามมาตรา 20 PDPA ผู้เยาว์มีความสามารถทางกฎหมายจำกัดในการให้ความยินยอมในการประมวลผลข้อมูลด้วยตนเอง
ซึ่งหมายความว่าในหลายกรณี โรงเรียนจำเป็นต้องได้รับความยินยอมจากผู้ใช้อำนาจปกครองหรือผู้แทนตามกฎหมายก่อนที่จะเก็บรวบรวมหรือใช้ข้อมูลส่วนบุคคล นอกจากเรื่องความยินยอมแล้ว การคุ้มครองข้อมูลนักเรียนยังต้องคำนึงถึงความละเอียดอ่อนของข้อมูลส่วนบุคคล ไม่ว่าจะเป็นข้อมูลประวัติ ข้อมูลสุขภาพ และข้อมูลอื่น ๆ ที่อาจก่อให้เกิดความเสียหายร้ายแรงหากถูกนำไปใช้ในทางที่ผิด เนื่องจากเด็กยังไม่สามารถปกป้องสิทธิของตนเองได้อย่างเต็มที่ โรงเรียนจึงควรปฏิบัติตามแนวทางและข้อกำหนดด้านการคุ้มครองข้อมูลส่วนบุคคลอย่างเคร่งครัด เพื่อให้การจัดการข้อมูลส่วนบุคคลของนักเรียนเป็นไปอย่างถูกต้องตามกฎหมายเป็นไปตามมาตรฐานการคุ้มครองข้อมูลส่วนบุคคล และสอดคล้องกับหลักสิทธิเด็ก
การคุ้มครองข้อมูลนักเรียนที่มีประสิทธิภาพควรกำหนดให้มีทั้งมาตรการเชิงองค์กร เชิงเทคนิค และเชิงกายภาพ เช่น
1. การจัดทำข้อตกลงการประมวลผลข้อมูลส่วนบุคค (DPA) ในกรณีที่มีผู้ประมวลผลข้อมูลส่วนบุคคล
2. การเข้ารหัสข้อมูล (Encryption) ทั้งในการจัดเก็บและการส่งข้อมูล เพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต
3. การควบคุมการเข้าถึงข้อมูล โดยจำกัดสิทธิ์เฉพาะบุคลากรที่ได้รับมอบหมายและใช้ระบบยืนยันตัวตนที่เหมาะสม
4. การติดตามตรวจสอบการเข้าถึงข้อมูลอย่างต่อเนื่อง เพื่อตรวจจับกิจกรรมที่น่าสงสัยได้ตั้งแต่เนิ่น ๆ
5. การให้ความรู้บุคลากรภายในเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล เพื่อสร้างตระหนักรู้ด้านการคุ้มครองข้อมูลส่วนบุคคลให้กับบุคลากร
6. การจัดให้มีแนวทางรองรับเมื่อเกิดเหตุละเมิดข้อมูลส่วนบุคคล
สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ได้ดำเนินการอย่างเป็นรูปธรรมในการยกระดับมาตรฐานระดับชาติด้านข้อมูลส่วนบุคคลเด็ก รวมถึงแผนการจัดตั้งคณะทำงานเฉพาะกิจ โดยมุ่งเน้น 3 ด้านหลัก ดังนี้
1. การเสริมสร้างความเข้มแข็งด้านกฎหมาย — แผนพัฒนาแนวปฏิบัติ หรือคำแนะนำเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของเด็ก โดยเฉพาะแพลตฟอร์มดิจิทัลที่มีเด็กเป็นกลุ่มผู้ใช้งาน ให้มีการกำหนดอายุผู้ใช้งานเพื่อการออกแบบความยินยอมหรือการดูแลที่เหมาะสม รวมถึงเรื่องผู้ใช้อำนาจปกครองกระทำการแทนต้องมีกระบวนการให้ความยินยอมและการยืนยันเหมาะสมเชื่อถือได้
2. การเพิ่มความเข้มงวดในการกำกับดูแล — ส่งเสริมด้านการป้องกันโดยยกระดับเรื่องการกำกับดูแลและการตรวจสอบผู้ควบคุมข้อมูลส่วนบุคคลให้เพิ่มความเข้มงวดในการตรวจสอบแพลตฟอร์มที่มีเด็กเป็นผู้ใช้งานหลัก โดยแนะนำให้มี Privacy by design รวมถึงการประเมินผลกระทบสิทธิของเด็ก
3. การสร้างความตระหนักรู้ในวงกว้าง — ให้ความรู้แก่เด็ก ผู้ปกครอง และสถาบันการศึกษาเกี่ยวกับสิทธิของเจ้าของข้อมูลส่วนบุคคล รวมถึงการจัดให้มีช่องทางรับเรื่องร้องเรียนเมื่อเกิดเหตุละเมิดข้อมูลส่วนบุคคล
นอกจากนี้ สคส. ยังได้ร่วมมือกับUNICEF Thailand โดย UNICEF ได้ร่วมให้ข้อมูลและข้อเสนอแนะแนวทางที่มีความเกี่ยวข้องกับข้อมูลเด็กผ่านแนวปฏิบัติด้านการคุ้มครองข้อมูลส่วนบุคคลเกี่ยวกับเทคโนโลยีปัญญาประดิษฐ์ (AI) ที่ สคส. อยู่ระหว่างการดำเนินการจัดทำเพื่อเป็นแนวปฏิบัติ ซึ่งจะเป็นประโยชน์ในด้านการคุ้มครองข้อมูลส่วนบุคคลให้กับประเทศต่อไป
การคุ้มครองข้อมูลนักเรียนไม่ใช่เพียงการปฏิบัติตามข้อกำหนดทางกฎหมาย แต่คือความรับผิดชอบหลักของโรงเรียนทุกแห่งที่ดำเนินงานในยุคดิจิทัล ข้อมูลส่วนบุคคลเด็กมีความละเอียดอ่อนเป็นพิเศษ และเด็กที่เป็นเจ้าของข้อมูลเหล่านั้นก็ยังขาดความสามารถในการปกป้องตนเองได้อย่างเต็มที่ โรงเรียนที่ให้ความสำคัญกับการคุ้มครองข้อมูลนักเรียน มีมาตรการรักษาความปลอดภัยที่เข้มงวด และวัฒนธรรมองค์กรที่มีความรับผิดชอบต่อการคุ้มครองข้อมูลส่วนบุคคล ไม่เพียงแต่ลดความเสี่ยงทางกฎหมายเท่านั้น แต่ยังสร้างรากฐานการคุ้มครองข้อมูลส่วนบุคคลอย่างมีประสิทธิภาพและยั่งยืน
