ในยุคดิจิทัลที่ข้อมูลส่วนบุคคลเปรียบเสมือนขุมทรัพย์ล้ำค่า การปกป้องข้อมูลเหล่านี้จึงเป็นสิ่งสำคัญอย่างยิ่งยวด แต่ล่าสุด บริษัทอีคอมเมิร์ซรายใหญ่ของไทยกลับถูกสั่งปรับถึง 7 ล้านบาท จากการละเลยไม่ปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จนทำให้ข้อมูลลูกค้ารั่วไหลไปถึงมือมิจฉาชีพ เหตุการณ์นี้ส่งสัญญาณเตือนไปยังทุกภาคส่วนให้ตระหนักถึงความสำคัญของการรักษาความปลอดภัยของข้อมูลส่วนบุคคล
ดีอี-สคส. ปรับ 7 ล้าน บริษัทดังละเมิด PDPA เพื่อปกป้องข้อมูลส่วนบุคคล
ในวันที่ 21 สิงหาคม 2567 ณ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) นายประเสริฐ จันทรรวงทอง รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) ได้แถลงข่าวเกี่ยวกับมาตรการป้องกันและแก้ไขปัญหาข้อมูลรั่วไหลทั้งภาครัฐและเอกชน รวมถึงการนำข้อมูลส่วนบุคคลไปใช้ในทางมิชอบโดยกลุ่มมิจฉาชีพ
หนึ่งในประเด็นสำคัญ คือ คณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 ซึ่งมีอำนาจหน้าที่ในการพิจารณาเรื่องร้องเรียนเกี่ยวกับเทคโนโลยี ได้มีคำสั่งลงโทษทางปกครองบริษัทอีคอมเมิร์ซรายใหญ่ของประเทศ เป็นจำนวนเงิน 7 ล้านบาท
เนื่องจากบริษัทดังกล่าวละเลยในการปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยปล่อยให้ข้อมูลส่วนบุคคลของลูกค้าจำนวนมากรั่วไหลไปยังกลุ่มมิจฉาชีพ นอกจากนี้ บริษัทยังไม่ได้แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) และไม่ได้แจ้งเหตุการณ์การละเมิดข้อมูลส่วนบุคคลต่อ สคส. ภายในระยะเวลาที่กฎหมายกำหนด
การดำเนินการลงโทษในครั้งนี้สะท้อนให้เห็นถึงความมุ่งมั่นของรัฐบาลในการคุ้มครองสิทธิในข้อมูลส่วนบุคคลของประชาชน และเป็นเครื่องเตือนใจให้ภาคธุรกิจตระหนักถึงความสำคัญของการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล
3 ข้อหาหนัก! บริษัทละเลย PDPA เสี่ยงโดนโทษสูงสุด
บริษัทที่ถูกกล่าวหาว่าละเมิด พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีความผิด 3 ประการหลัก ๆ ดังนี้
- ละเลยการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO): แม้ว่าบริษัทจะเก็บรวบรวมข้อมูลส่วนบุคคลของลูกค้ากว่า 1 แสนราย และใช้ข้อมูลเหล่านั้นในการดำเนินธุรกิจหลัก แต่กลับไม่มี DPO ตามที่กฎหมายกำหนด ส่งผลให้เมื่อเกิดเหตุข้อมูลรั่วไหล บริษัทไม่สามารถจัดการปัญหาได้อย่างมีประสิทธิภาพ นี่ถือเป็นการฝ่าฝืนมาตรา 41 ของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล
- ไม่มีมาตรการรักษาความปลอดภัยที่เพียงพอ: บริษัทขาดระบบรักษาความปลอดภัยที่ได้มาตรฐานตามที่กฎหมายกำหนด ทำให้ข้อมูลส่วนบุคคลจำนวนมากรั่วไหลไปถึงกลุ่มมิจฉาชีพ ก่อให้เกิดความเสียหายต่อเจ้าของข้อมูลในวงกว้าง การกระทำเช่นนี้ถือเป็นการละเมิดมาตรา 37(1) ของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล
- ไม่แจ้งเหตุการณ์ละเมิดข้อมูลส่วนบุคคล: เมื่อมีผู้ร้องเรียนเกี่ยวกับการละเมิดข้อมูล บริษัทกลับเพิกเฉย ไม่ดำเนินการแก้ไข และแจ้งเหตุการณ์ให้ สคส. ทราบทันทีตามที่กฎหมายกำหนด ทำให้ไม่สามารถเยียวยาผู้เสียหายได้ทันท่วงที นี่เป็นความผิดตามมาตรา 37(4) ของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล
นอกจากโดนปรับเงิน 7 ล้านบาท บริษัทยังโดนสั่งให้ปรับปรุงระบบความปลอดภัยครั้งใหญ่ เพื่อไม่ให้ข้อมูลรั่วไหลซ้ำสอง แถมยังต้องจัดอบรมพนักงานให้รู้เรื่องการรักษาความปลอดภัยข้อมูล และต้องปรับระบบให้ทันสมัยอยู่เสมอด้วย มีเวลาแค่ 7 วันหลังจากโดนสั่งให้รายงาน สคส. ด้วยว่าทำอะไรไปบ้าง นี่เป็นครั้งแรกเลยที่บริษัทใหญ่ขนาดนี้โดนลงโทษปรับตั้งแต่ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล 2562 เริ่มใช้ ถือเป็นบทเรียนราคาแพงให้ทุกบริษัทเห็นว่าเรื่องนี้ไม่ใช่เรื่องเล่น ๆ ต้องจริงจังกับการปกป้องข้อมูลลูกค้าให้ได้มาตรฐานเดียวกับที่ยุโรปเขาทำกัน
รัฐมนตรีว่าการกระทรวง DE ย้ำ! ปรับ 7 ล้าน หวังเป็นบทเรียนให้ทุกภาคส่วนเข้มงวดเรื่องข้อมูลส่วนบุคคล
รัฐมนตรีว่าการกระทรวง DE ได้กล่าวเพิ่มเติมว่า คำสั่งปรับครั้งนี้มีจุดมุ่งหมายเพื่อปกป้องประชาชนจากปัญหาแก๊งคอลเซ็นเตอร์และข้อมูลส่วนบุคคลรั่วไหล ซึ่งเป็นปัญหาใหญ่ของประเทศมาตลอด 2 ปีที่ผ่านมา นอกจากนี้ ยังเป็นการส่งสัญญาณเตือนไปยังหน่วยงานทั้งภาครัฐและเอกชน ให้ตระหนักถึงความสำคัญของการแจ้งเหตุการณ์ข้อมูลรั่วไหลต่อสำนักงานคุ้มครองข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด โดยคำสั่งปรับนี้จะเป็นบรรทัดฐานในการพิจารณาเรื่องร้องเรียนเกี่ยวกับข้อมูลรั่วไหลในอนาคต
รัฐมนตรีฯ เชื่อมั่นว่า การลงโทษครั้งนี้จะกระตุ้นให้ทุกภาคส่วนตื่นตัวและปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 อย่างเคร่งครัดมากขึ้น ซึ่งจะเป็นส่วนสำคัญในการป้องกันอาชญากรรมทางไซเบอร์ที่มักใช้ข้อมูลส่วนบุคคลของประชาชนในการก่อเหตุ นอกจากนี้ ยังช่วยเยียวยาและสร้างความเชื่อมั่นให้กับประชาชนในการใช้บริการออนไลน์ต่าง ๆ ทั้งภาครัฐและเอกชน
ช่องทางการติดต่อ PDPC หรือ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.)
- ขอคำปรึกษาเกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล 02 114 8504 และ 02 141 6993
- สอบถามการยื่นคำร้องเรียน : 02 142 1033
- ติดต่อ PDPA Center : 02 027 8852 Line ID: @pdpcthailand
ส่งหนังสือราชการ ผ่านช่องทางอิเล็กทรอนิกส์ได้ ดังนี้ e-mail : saraban@pdpc.or.th เว็บไซต์ : www.pdpc.or.th สามารถติดต่อ เพื่อสอบถาม ขอคำปรึกษา หรือปรึกษาการยื่นเรื่องร้องเรียนได้ในวัน และ เวลาราชการ