ดีอี-สคส. ปรับ 7 ล้าน บริษัทดังละเมิด PDPA เพื่อปกป้องข้อมูลส่วนบุคคล

ในยุคดิจิทัลที่ข้อมูลส่วนบุคคลเปรียบเสมือนขุมทรัพย์ล้ำค่า การปกป้องข้อมูลเหล่านี้จึงเป็นสิ่งสำคัญอย่างยิ่งยวด แต่ล่าสุด บริษัทอีคอมเมิร์ซรายใหญ่ของไทยกลับถูกสั่งปรับถึง 7 ล้านบาท จากการละเลยไม่ปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จนทำให้ข้อมูลลูกค้ารั่วไหลไปถึงมือมิจฉาชีพ เหตุการณ์นี้ส่งสัญญาณเตือนไปยังทุกภาคส่วนให้ตระหนักถึงความสำคัญของการรักษาความปลอดภัยของข้อมูลส่วนบุคคล

คอนเทนต์แนะนำ

เปิดใจ น้องเฟิร์น นิสิตคณะเภสัชศาสตร์ ผู้ชนะเลิศออกแบบโลโก้ "หมูเด้ง"

"ใหม่ ดาวิกา" ไม่ทน! ฟ้องคนด่าแรง เอาเงินมาช่วยเหลือสัตว์

ตำนาน นางนพมาศ จากพิธี "จองเปรียง" สมัยสุโขทัย สู่ประเพณี "ลอยกระทง"

ดีอี-สคส. ปรับ 7 ล้าน บริษัทดังละเมิด PDPA เพื่อปกป้องข้อมูลส่วนบุคคล

ในวันที่ 21 สิงหาคม 2567 ณ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) นายประเสริฐ จันทรรวงทอง รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) ได้แถลงข่าวเกี่ยวกับมาตรการป้องกันและแก้ไขปัญหาข้อมูลรั่วไหลทั้งภาครัฐและเอกชน รวมถึงการนำข้อมูลส่วนบุคคลไปใช้ในทางมิชอบโดยกลุ่มมิจฉาชีพ

หนึ่งในประเด็นสำคัญ คือ คณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 ซึ่งมีอำนาจหน้าที่ในการพิจารณาเรื่องร้องเรียนเกี่ยวกับเทคโนโลยี ได้มีคำสั่งลงโทษทางปกครองบริษัทอีคอมเมิร์ซรายใหญ่ของประเทศ เป็นจำนวนเงิน 7 ล้านบาท

เนื่องจากบริษัทดังกล่าวละเลยในการปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยปล่อยให้ข้อมูลส่วนบุคคลของลูกค้าจำนวนมากรั่วไหลไปยังกลุ่มมิจฉาชีพ นอกจากนี้ บริษัทยังไม่ได้แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) และไม่ได้แจ้งเหตุการณ์การละเมิดข้อมูลส่วนบุคคลต่อ สคส. ภายในระยะเวลาที่กฎหมายกำหนด

การดำเนินการลงโทษในครั้งนี้สะท้อนให้เห็นถึงความมุ่งมั่นของรัฐบาลในการคุ้มครองสิทธิในข้อมูลส่วนบุคคลของประชาชน และเป็นเครื่องเตือนใจให้ภาคธุรกิจตระหนักถึงความสำคัญของการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล

3 ข้อหาหนัก! บริษัทละเลย PDPA เสี่ยงโดนโทษสูงสุด

บริษัทที่ถูกกล่าวหาว่าละเมิด พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีความผิด 3 ประการหลัก ๆ ดังนี้

1. ละเลยการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO): แม้ว่าบริษัทจะเก็บรวบรวมข้อมูลส่วนบุคคลของลูกค้ากว่า 1 แสนราย และใช้ข้อมูลเหล่านั้นในการดำเนินธุรกิจหลัก แต่กลับไม่มี DPO ตามที่กฎหมายกำหนด ส่งผลให้เมื่อเกิดเหตุข้อมูลรั่วไหล บริษัทไม่สามารถจัดการปัญหาได้อย่างมีประสิทธิภาพ นี่ถือเป็นการฝ่าฝืนมาตรา 41 ของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล
2. ไม่มีมาตรการรักษาความปลอดภัยที่เพียงพอ: บริษัทขาดระบบรักษาความปลอดภัยที่ได้มาตรฐานตามที่กฎหมายกำหนด ทำให้ข้อมูลส่วนบุคคลจำนวนมากรั่วไหลไปถึงกลุ่มมิจฉาชีพ ก่อให้เกิดความเสียหายต่อเจ้าของข้อมูลในวงกว้าง การกระทำเช่นนี้ถือเป็นการละเมิดมาตรา 37(1) ของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล
3. ไม่แจ้งเหตุการณ์ละเมิดข้อมูลส่วนบุคคล: เมื่อมีผู้ร้องเรียนเกี่ยวกับการละเมิดข้อมูล บริษัทกลับเพิกเฉย ไม่ดำเนินการแก้ไข และแจ้งเหตุการณ์ให้ สคส. ทราบทันทีตามที่กฎหมายกำหนด ทำให้ไม่สามารถเยียวยาผู้เสียหายได้ทันท่วงที นี่เป็นความผิดตามมาตรา 37(4) ของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล

นอกจากโดนปรับเงิน 7 ล้านบาท บริษัทยังโดนสั่งให้ปรับปรุงระบบความปลอดภัยครั้งใหญ่ เพื่อไม่ให้ข้อมูลรั่วไหลซ้ำสอง แถมยังต้องจัดอบรมพนักงานให้รู้เรื่องการรักษาความปลอดภัยข้อมูล และต้องปรับระบบให้ทันสมัยอยู่เสมอด้วย มีเวลาแค่ 7 วันหลังจากโดนสั่งให้รายงาน สคส. ด้วยว่าทำอะไรไปบ้าง นี่เป็นครั้งแรกเลยที่บริษัทใหญ่ขนาดนี้โดนลงโทษปรับตั้งแต่ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล 2562 เริ่มใช้ ถือเป็นบทเรียนราคาแพงให้ทุกบริษัทเห็นว่าเรื่องนี้ไม่ใช่เรื่องเล่น ๆ ต้องจริงจังกับการปกป้องข้อมูลลูกค้าให้ได้มาตรฐานเดียวกับที่ยุโรปเขาทำกัน

รัฐมนตรีว่าการกระทรวง DE ย้ำ! ปรับ 7 ล้าน หวังเป็นบทเรียนให้ทุกภาคส่วนเข้มงวดเรื่องข้อมูลส่วนบุคคล

รัฐมนตรีว่าการกระทรวง DE ได้กล่าวเพิ่มเติมว่า คำสั่งปรับครั้งนี้มีจุดมุ่งหมายเพื่อปกป้องประชาชนจากปัญหาแก๊งคอลเซ็นเตอร์และข้อมูลส่วนบุคคลรั่วไหล ซึ่งเป็นปัญหาใหญ่ของประเทศมาตลอด 2 ปีที่ผ่านมา นอกจากนี้ ยังเป็นการส่งสัญญาณเตือนไปยังหน่วยงานทั้งภาครัฐและเอกชน ให้ตระหนักถึงความสำคัญของการแจ้งเหตุการณ์ข้อมูลรั่วไหลต่อสำนักงานคุ้มครองข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด โดยคำสั่งปรับนี้จะเป็นบรรทัดฐานในการพิจารณาเรื่องร้องเรียนเกี่ยวกับข้อมูลรั่วไหลในอนาคต

รัฐมนตรีฯ เชื่อมั่นว่า การลงโทษครั้งนี้จะกระตุ้นให้ทุกภาคส่วนตื่นตัวและปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 อย่างเคร่งครัดมากขึ้น ซึ่งจะเป็นส่วนสำคัญในการป้องกันอาชญากรรมทางไซเบอร์ที่มักใช้ข้อมูลส่วนบุคคลของประชาชนในการก่อเหตุ นอกจากนี้ ยังช่วยเยียวยาและสร้างความเชื่อมั่นให้กับประชาชนในการใช้บริการออนไลน์ต่าง ๆ ทั้งภาครัฐและเอกชน

ช่องทางการติดต่อ PDPC หรือ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) 

• ขอคำปรึกษาเกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล 02 114 8504 และ 02 141 6993
• สอบถามการยื่นคำร้องเรียน : 02 142 1033
• ติดต่อ PDPA Center : 02 027 8852 Line ID: @pdpcthailand

ส่งหนังสือราชการ ผ่านช่องทางอิเล็กทรอนิกส์ได้ ดังนี้ e-mail : saraban@pdpc.or.th เว็บไซต์ : www.pdpc.or.th สามารถติดต่อ เพื่อสอบถาม ขอคำปรึกษา หรือปรึกษาการยื่นเรื่องร้องเรียนได้ในวัน และ เวลาราชการ