ตั้งแต่กฎหมายคุ้มครองข้อมูลส่วนบุคคล ได้ประกาศใช้ตั้งแต่ปีพ.ศ. 2562 และมีการเลื่อนบ้านปรับเปลียนบ้างเรื่อยมา หลายบริษัทเอกชน หรือแม้แต่ภาครัฐเองก็ยังไม่มีความมั่นใจว่าจะเดินไปทางใดดี หลายแห่งเริ่มจะละเลยความสำคัญของการคุ้มครองข้อมูลดังกล่าว หรือแม้กระทั่งไม่สนใจเพราะจากความไม่ชัดเจนของตัวกฎหมายและระเบียบข้อบังคับ จนกระทั่งเมื่อวันที่ 21 สิงหาคม 2567 ที่ผ่าน ทางคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ได้สั่งลงโทษบริษัทเอกชนแห่งหนึ่งที่มีการทำข้อมูลหลุดรั่ว เป็นมูลค่าการปรับกว่า 7 ล้านบาท โดยมีเนื้อหาตามคลิปข้างล่างนี้
โดยเนื้อหาและสาเหตุการสั่งปรับมีดังนี้
1) บริษัทที่ถูกร้องเรียนได้เก็บรวบรวมข้อมูลส่วนบุคคลของลูกค้าจำนวนมากกว่า 1 แสนราย และใช้ข้อมูลดังกล่าวในการประกอบธุรกิจหลักของบริษัท แต่กลับไม่มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ตามที่กฎหมายกำหนด จึงทำให้เมื่อเกิดข้อมูลรั่วไหล บริษัทดังกล่าวไม่สามารถเยียวยาแก้ไขปัญหาได้ ซึ่งเป็นกรณีดำเนินการที่ขัดต่อมาตรา 41 แห่งพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
2) ผู้ถูกร้องเรียนดังกล่าวไม่มีมาตรการรักษาความปลอดภัยที่เหมาะสมตามที่ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนด ทำให้ข้อมูลรั่วไหลจากบริษัทดังกล่าวไปยังกลุ่มมิจฉาชีพคือแก๊งคอลเซ็นเตอร์ และก่อให้เกิดความเสียหายในวงกว้าง การกระทำดังกล่าวจึงเป็นการกระทำที่ขัดต่อมาตรา 37(1) แห่งพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
3) เมื่อเกิดเหตุข้อร้องเรียนจากเจ้าของข้อมูลส่วนบุคคล บริษัทกลับเพิกเฉยไม่ดำเนินการแก้ไข และแจ้งเหตุให้สำนักงานคุ้มครองข้อมูลส่วนบุคคลล่าช้า ทำให้ไม่สามารถเยียวยาได้ อันเป็นความผิดตามมาตรา 37 (4) พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
เพื่อให้เข้าใจได้ง่ายจะขอสรุปคำสั่งสั้น ๆ ในการปรับมีดังต่อไปนี้
บริษัทดังกล่าวไม่มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล โทษค่าปรับเป็นจำนวน 1 ล้านบาท เนื่องจากองค์กรใดก็ตามหากมีการใช้ข้อมูลส่วน การมีเจ้าหน้าที่คุ้มครองข้อมูล หรือ DPO ไม่ได้หมายถึงการมี DPO แต่งตั้งสำหรับองค์กรเพียงอย่างเดียว แต่คุณต้องมีการดำเนินการตามระเบียบปฏิบัติของ DPO อีกด้วย ซึ่งการทำงานของ DPO ไม่ได้มีแค่การจัดการการอบรม การประชุมเท่านั้นนะครับ แต่ต้องการการดำเนินการต่าง ๆ เช่น การตรวจสอบองค์กร การประสานงานกับหน่วยงานภายนและนอกอีกด้วย ที่สำคัญหากคุณมี DPO แต่ทำงานไม่ครบ คราวนี้หละ จะมีโทษถึงคุกอีกด้วยนะครับ ดังนั้นเห็นความสำคัญของ DPO ที่ต้องทำงานได้จริงแล้วหรือยังครับ
ไม่ทำการแจ้งต่อหน่วยงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ภายในเวลาที่กฎหมายกำหนด โทษค่าปรับเป็นจำนวน 3 ล้านบาท ตามมาตรา 37 อนุ 4 ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สำนักงานโดยไม่ชักช้าภายในเจ็ดสิบสองชั่วโมง นับแต่ทราบเหตุเท่าที่จะสามารถกระทำได้ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อ สิทธิและเสรีภาพของบุคคล ในกรณีที่การละเมิดมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพ ของบุคคล ให้แจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อมกับแนวทางการเยียวยา โดยไม่ชักช้าด้วย ทั้งนี้ การแจ้งดังกล่าวและข้อยกเว้นให้เป็นไปตามหลักเกณฑ์และวิธีการที่คณะกรรมการ ประกาศกำหนด ซึ่งในกรณีนี้ทางบริษัทไม่ได้มีการแจ้งต่อสำนักงาน (PDPC) ตามความเหมาะสม และตามกำหนดเวลา อย่าลืมนะครับ ไม่ว่ามีการละเมิดเมื่อใด ก็ต้องแจ้งหากกระทบสิทธิของเจ้าของข้อมูล พร้อมกับชี้แจงต่าง ๆ ให้เรียบร้อย นอกจากนั้นคำว่า "ละเมิด" ด้านข้อมูลไม่ได้หมายความว่าหลุดรั่ว โดนเจาะเท่านั้น แต่ยังหมายถึง รูปแบบอื่น ๆ อีกด้วยนะครับ
ไม่มีระบบความปลอดภัยด้านข้อมูลที่เหมาะสม โทษค่าปรับเป็นจำนวน 3 ล้านบาท ตามมาตรา 37 อนุ 1 ได้กล่าวว่า ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ และต้องทบทวน มาตรการดังกล่าวเมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มีประสิทธิภาพในการรักษา ความมั่นคงปลอดภัยที่เหมาะสม ทั้งนี้ ให้เป็นไปตามมาตรฐานขั้นต่ำที่คณะกรรมการประกาศกำหนด
ดังนั้นองค์กรของคุณถ้ายิ่งใหญ่ และมีข้อมูลเป็นจำนวนมากก็ต้องยิ่งให้ความสำคัญกับการรักษาความปลอดภัยด้านไอทีด้วย
แต่สุดท้ายนี้ คุณ ต้องเข้าใจว่า บริษัทของท่านต้องให้ความจริงจังกับ PDPA ได้แล้วนะครับ และก่อนอื่นคำว่า 7 ล้านนั้นท่านต้องทราบว่า ค่าปรับดังกล่าวนี้ยังไม่รวมสิ่งที่บริษัทต้องชดเชยต่อ "เจ้าของข้อมูล" ซึ่งจะกลายเป็นคดีความต่อเนื่องบนชั้นศาลอีกยาวนานก็ว่าได้ และจะทำให้บริษัททั้งเสียเงิน เสียชื่อเสียง เสียความน่าเชื่อถือแล้ว ยังเป็นการเสียเวลาอีกด้วย
อ้างอิง
Comments