“สคส. มีคำสั่งทางการปกครอง ลงโทษปรับเงิน 7 ล้าน บริษัทซื้อขายสินค้าออนไลน์ เมินกฎหมาย PDPA ปล่อยข้อมูลลูกค้ารั่ว ไม่มีมาตรการควบคุม ไม่แต่งตั้งเจ้าหน้าที่ DPO ละเลยไม่แจ้งเหตุละเมิดข้อมูลส่วนบุคคลที่รั่วไหล
21 สิงหาคม 2567, ที่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม นำโดย ประเสริฐ จันทรรวงทอง รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (DES), ดร.ศิวรักษ์ ศิวโมกษธรรม เลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล, พลเอก ดร.ภุชพงศ์ พงษ์ศิริ ประธานคณะกรรมการผู้เชี่ยวชาญคุ้มครองข้อมูลส่วนบุคคล คณะที่ 2 ที่พิจารณาเกี่ยวกับเรื่องร้องเรียน ทางเทคโนโลยีและอื่นๆ
ได้ร่วมแถลงถึง การออกคำสั่งทางปกครอง สั่งปรับบริษัทเอกชนรายใหญ่ของประเทศที่มีการซื้อขายสินค้าออนไลน์ ที่ปล่อยให้ข้อมูลส่วนบุคคลจำนวนมากรั่วไหลไปยังแก๊งคอลเซ็นเตอร์ โดยไม่มีมาตรการควบคุมดูแลรักษาความมั่นคงปลอดภัยตามที่ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนด
รวมถึงบริษัทดังกล่าวไม่มีการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) และละเลยไม่แจ้งเหตุละเมิดข้อมูลส่วนบุคคลที่รั่วไหลให้แก่สำนักงานคุ้มครองข้อมูลส่วนบุคคลทราบภายในระยะเวลาที่กฎหมายกำหนด
เผยรายละเอียดบริษัทเอกชนเมินกฎหมาย PDPA
กรณีดังกล่าวมีผู้เสียหายจำนวน 21 คนเข้าร้องเรียนกับ สคส. ซึ่งพบว่า บริษัทดังกล่าวมีการกระทำผิดเกี่ยวกับข้อมูลส่วนบุคคลตั้งแต่ปี 2563 หลังการพิจารณาคณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 จึงมีคำสั่งลงโทษปรับทางการปกครองบริษัทดังกล่าวในอัตราสูงสุดรวมจำนวนทั้งสิ้น 7 ล้านบาท โดยมีรายละเอียดดังนี้
1) บริษัทที่ถูกร้องเรียนได้เก็บรวบรวมข้อมูลส่วนบุคคลของลูกค้าจำนวนมากกว่า 1 แสนราย และใช้ข้อมูลดังกล่าวในการประกอบธุรกิจหลักของบริษัท แต่กลับไม่มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ตามที่กฎหมายกำหนด จึงทำให้เมื่อเกิดข้อมูลรั่วไหล
บริษัทดังกล่าวไม่สามารถเยียวยาแก้ไขปัญหาได้ ซึ่งเป็นกรณีดำเนินการที่ขัดต่อมาตรา 41 แห่งพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
2) ผู้ถูกร้องเรียนดังกล่าว ไม่มีมาตรการรักษาความปลอดภัยที่เหมาะสมตามที่ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนด ทำให้ข้อมูลรั่วไหลจากบริษัทดังกล่าวไปยังกลุ่มมิจฉาชีพคือแก๊งคอลเซ็นเตอร์ และก่อให้เกิดความเสียหายในวงกว้าง การกระทำดังกล่าวจึงเป็นการกระทำที่ขัดต่อมาตรา 37(1) แห่งพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
3) เมื่อเกิดเหตุข้อร้องเรียนจากเจ้าของข้อมูลส่วนบุคคล บริษัทกลับเพิกเฉยไม่ดำเนินการแก้ไข และแจ้งเหตุให้สำนักงานคุ้มครองข้อมูลส่วนบุคคลล่าช้า ทำให้ไม่สามารถเยียวยาได้ อันเป็นความผิดตามมาตรา 37 (4) พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
ในการลงโทษนั้น คณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 ได้พิจารณาปรับในแต่ละประเด็นข้อ คือ ประเด็นแรกปรับ 1 ล้านบาท ประเด็นที่ 2 และ 3 ปรับประเด็นละ 3 ล้านบาท รวม 3 ประเด็นทั้งสิ้น 7 ล้านบาท
นอกจากคำสั่งในการปรับทางปกครองดังกล่าวเป็นจำนวน 7 ล้านบาท คณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 ยังมีคำสั่งให้บริษัทผู้ถูกร้องเรียนปรับปรุงมาตรการรักษาความปลอดภัย โดยที่ป้องกันไม่ให้ข้อมูลรั่วไหลอีก
รวมถึงยังมีคำสั่งกำชับให้ บริษัทผู้ถูกร้องเรียนดำเนินการอบรมพนักงานเจ้าหน้าที่ เพิ่มเติมมาตรการรักษาความปลอดภัยให้ทันสมัยกับเทคโนโลยีที่เปลี่ยนแปลงไป และมีหน้าที่ต้องแจ้งให้สำนักงานคุ้มครองข้อมูลส่วนบุคคลทราบถึงมาตรการแก้ไขดังกล่าวภายใน 7 วัน นับแต่ได้รับคำสั่ง
ลงดาบครั้งแรกของกฎหมาย PDPA ส่งสัญญาณเตือนหน่วยงานภาครัฐและเอกชน
คำสั่งลงโทษปรับทางการปกครองดังกล่าว เป็นคำสั่งลงโทษปรับทางการปกครองฉบับแรกกับบริษัท เอกชนรายใหญ่ โดยคณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 ตั้งแต่ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีผลใช้บังคับ ซึ่งเป็นไปตามหลักเกณฑ์ของกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรปหรือ GDPR
โดย รัฐมนตรีฯ กระทรวงดิจิทัลฯ กล่าวเพิ่มเติมว่า “คำสั่งปรับดังกล่าวต้องการคุ้มครองประชาชนจากปัญหากรณีแก๊งคอลเซ็นเตอร์และข้อมูลส่วนบุคคลรั่วไหลที่เป็นปัญหาหลักของประเทศในตลอดระยะเวลา 2 ปีที่ผ่านมา”
“รวมถึงเป็นการแจ้งเตือนไปยังหน่วยงานภาครัฐและหน่วยงานภาคเอกชนที่มีข้อมูลส่วนบุคคลรั่วไหล ให้ต้องดำเนินการแจ้งสำนักงานคุ้มครองข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด โดยคำสั่งปรับทางการปกครองฉบับนี้จะใช้เป็นมาตรฐาน และบรรทัดฐานในการพิจารณาเรื่องข้อมูลรั่วไหลในภาครัฐ และภาคเอกชน ที่มีการร้องเรียนเข้าที่สำนักงานคุ้มครองข้อมูลส่วนบุคคลต่อไป”
รัฐมนตรีฯ กระทรวงดิจิทัลฯ ยังกล่าวต่อไปด้วยว่า “ผลจากการปรับครั้งนี้จะทำให้ภาครัฐและภาคเอกชนตื่นตัวในเรื่องการเคร่งครัดและปฎิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ให้มากขึ้น รวมถึงเป็นส่วนหนึ่งของมาตรการในการป้องปรามอาชญากรรมแก๊งคอลเซ็นเตอร์ที่เกิดขึ้น จากการนำเอาข้อมูลส่วนบุคคลของประชาชนที่มีอยู่มากในปัจจุบันไปใช้โดยผิดกฎหมาย”
“นอกจากนี้มาตรการดังกล่าวยังช่วยในการเยียวยาบรรเทาความเสียหายให้กับเจ้าของข้อมูลส่วนบุคคลที่ข้อมูลส่วนบุคคลรั่วไหลจากเหตุดังกล่าวข้างต้น และสร้างความเชื่อมั่นให้กับประชาชนในการใช้ข้อมูลส่วนบุคคลทางออนไลน์ทั้งภาครัฐและภาคเอกชนให้มากขึ้น” รมต.ประเสริฐ กล่าวปิดท้าย
ไพบูลย์ อมรภิญโญเกียรติ กรรมการผู้เชี่ยวชาญทางกฎหมายคุ้มครองข้อมูลส่วนบุคคล เตือนถึงหน่วยงานรัฐ และเอกชน ให้ปฏิบัติตามกฎหมาย_PDPA อย่างเคร่งครัด ในงานแถลงข่าว การออกคำสั่งลงโทษปรับเงิน 7 ล้านบาทกับบริษัทเอกชนรายใหญ่ ที่ทำผิดกฎหมาย PDPA