เนื้อหาในบทความนี้
แบงก์ชาติได้ออกมาประกาศเกี่ยวกับ 2 ผู้ให้บริการทางการเงินฝ่าฝืนหลักเกณฑ์การให้บริการลูกค้าอย่างเป็นธรรม ซึ่ง 1 ผู้ให้บริการนั้นได้ฝ่าฝืนทำ ข้อมูลส่วนบุคคล pdpa ของลูกค้ารั่วไหลอีกด้วย โดยเหตุการณ์ดังกล่าวจะมีเนื้อหาส่วนไหนที่เกี่ยวข้องกับกฎหมาย PDPA บ้างนั้นสามารถติดตามได้ในบทความนี้
ความเป็นมาของประกาศครั้งนี้จากแบงก์ชาติ
จากข่าวของธนาคารแห่งประเทศไทย (ธปท.) หรือแบงก์ชาติ ฉบับที่ 12/2565 ได้ออกประกาศมาเมื่อวันที่ 21 มีนาคม 2565 เรื่องการกล่าวโทษผู้ให้บริการทางการเงิน กรณีฝ่าฝืนหรือไม่ปฏิบัติตามหลักเกณฑ์ด้านการให้บริการแก่ลูกค้าอย่างเป็นธรรม (Market conduct) ซึ่งมาจากการเรียนร้องของประชาชน และจากการตรวจสอบของ ธปท. พบว่าในช่วงที่ผ่านมา พบว่า
มีผู้ให้บริการสินเชื่อรายย่อยจำนวน 2 รายฝ่ายฝืน หรือไม่ปฏิบัติตามหลักเกณฑ์ด้าน Market Conduct ที่เกี่ยวข้องกับข้อมูลลูกค้า ซึ่งถือว่ามีความผิดตามประกาศคณะปฏิวัติ ฉบับที่ 58 ประกาศกระทรวงการคลัง และประกาศธนาคารแห่งประเทศไทย ซึ่งมี 1 รายในนั้นได้ละเมิดกฎหมายฉบับนี้ในหมวด 2 ข้อ 9 ที่เกี่ยวกับการรักษาข้อมูลของผู้บริโภคซึ่งรายนั้นก็คือบริษัท อิออน ธนสินทรัพย์ (ไทยแลนด์) จำกัด (มหาชน) หรือบริษัท “อิออน”
อิออนกระทำผิดใน ข้อมูลส่วนบุคคล pdpa ของลูกค้าอย่างไร ?
ในประกาศข่าว ธปท. ฉบับที่ 12/2565 แจ้งว่า บริษัท อิออน ธนสินทรัพย์ (ไทยแลนด์) จำกัด (มหาชน) (“บริษัทอิออน”) ไม่ดูแลข้อมูลลูกค้ารวมทั้งไม่ควบคุมดูแลการปฏิบัติงานและการให้บริการอย่างถูกต้องและเป็นธรรม ทำให้มีการเปิดเผยข้อมูลลูกค้าให้บุคคลอื่นเพื่อเสนอขายกรมธรรม์ประกันภัย โดยไม่ได้รับความยินยอมจากลูกค้า อีกทั้งเมื่อลูกค้าแจ้งไม่รับการติดต่อเพื่อเสนอให้บริการอื่น บริษัทอิออนก็ไม่ได้ดำเนินการโดยเร็ว ทำให้ยังมีการติดต่อและรบกวนลูกค้าอย่างต่อเนื่อง ปัจจุบันการดำเนินคดีอยู่ระหว่างการพิจารณาของพนักงานสอบสวน
ซึ่งสรุปได้ใจความว่า
บริษัทอิออนนั้นได้มีการเปิดเผยข้อมูลลูกค้าให้บริษัทอื่น ๆ ติดต่อลูกค้าเพื่อขายประกันภัย โดยที่ไม่ได้รับความยินยอมจากลูกค้า และเมื่อลูกค้าแจ้งกลับไปว่าไม่สะดวกที่จะให้บริษัทอิออนเสนอบริการอื่น ทางบริษัทก็ไม่รีบดำเนินการ จนทำให้มีการโทรไปรบกวนลูกค้าซ้ำอย่างต่อเนื่อง ซึ่งปัจจุบันกรณีนี้อยู่ในการดำเนินคดีอยู่ระหว่างการสอบสวนของเจ้าหน้าที่
จากกรณี ข้อมูลส่วนบุคคล pdpa ที่เกิดขึ้นเกี่ยวข้องกับกฎหมาย PDPA อย่างไร
จากกรณีที่เกิดขึ้น บริษัทอิออนไม่มีการควบคุมดูแลการใช้ข้อมูลลูกค้า จึงทำให้เกิดการรบกวนลูกค้าคนที่ยินยอม และไม่ยินยอมให้นำข้อมูลไปใช้ ซึ่งตามกฎหมาย PDPA (พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล) ได้ระบุไว้ในส่วนที่ 3 การใช้หรือเปิดเผยข้อมูลส่วนบุคคล มาตรา 27 ซึ่งสรุปได้ว่า
บริษัทที่ได้รับข้อมูลส่วนบุคคลจากผู้ใช้บริการ ต้องไม่ใช้หรือเปิดเผยข้อมูลส่วนบุคคล นอกเหนือจากวัตถุประสงค์ที่ขอข้อมูลมา หากต้องการใช้ หรือเปิดเผยข้อมูลต้องมีการบันทึกรายการการใช้ข้อมูลส่วนนี้
และในสิทธิ์ของผู้ให้ข้อมูล (เจ้าของข้อมูล) กฎหมายก็ได้ระบุในมาตรา 32 และ 33 เช่นเดียวกัน ไว้ว่า
เจ้าของข้อมูลมีสิทธิ์คัดค้านในการเก็บรวบรวม ใช้ เปิดเผย ข้อมูลของตน รวมถึงมีสิทธิ์ขอถอนความยินยอมในการใช้เก็บรวบรวม ใช้ และเปิดเผยข้อมูล ซึ่งถ้าทางผู้ควบคุมข้อมูลต้องทำตามสิทธิ์ของเจ้าของข้อมูลภายใน 30 วัน
ไม่ใช่แค่ประเทศไทย ที่เคยเกิดเหตุการณ์ ข้อมูลส่วนบุคคล pdpa แบบนี้
หลายคนคงสงสัยว่าเหตุการณ์แบบนี้ เคยเกิดขึ้นในต่างประเทศที่มีกฎหมายข้อมูลส่วนบุคคลบังคับใช้หรือไม่ ซึ่งคำตอบก็คือ ใช่ เคยเกิดเหตุการณ์แบบนี้ในประเทศอิตาลี ซึ่งเป็นหนึ่งในประเทศแห่งสหภาพยุโรปที่มีกฎหมาย GDPR หรือกฎหมายคุ้มครองข้อมูลส่วนบุคคลบังคับใช้
ย้อนกลับไปเมื่อช่วงต้นปี 2020 ที่ผ่านมา บริษัทผู้ให้บริการโทรคมนาคมรายใหญ่ของประเทศอิตาลีอย่าง เทเลคอมอิตาเลีย ได้ถูกหน่วยงานคุ้มครองข้อมูลส่วนบุคคลของประเทศหรือที่เรียกกันว่า Garante ฟ้องร้องฐานละเมิดข้อมูลส่วนบุคคลของผู้ใช้บริการ และบุคคลอื่นที่ไม่ใช่ผู้ใช้บริการ
โดยความผิดครั้งนี้ เกิดจากการร้องเรียนของลูกค้า และคนที่ไม่ใช่ลูกค้าบริษัทเทเลคอมอิตาเลีย พร้อมกับการตรวจสอบของ Garante พบว่าทางเทเลคอมอิตาเลียได้กระทำความผิดด้วยการใช้ข้อมูลลูกค้าผิดวัตถุประสงค์ที่จัดเก็บด้วยการให้ outsource โทรไปเสนอโปรโมชันลูกค้าถี่เกินจนก่อให้เกิดความรำคาญ และเมื่อมีลูกค้าขอคัดค้านในการใช้สิทธิ์ในข้อมูล หรือขอให้ลบข้อมูลทางบริษัทกลับนิ่งเฉย จนถูกฟ้องร้องฐานละเมิดข้อมูลส่วนบุคคลลูกค้าถูกปรับประมาณ 27.8 ล้านเหรียญยูโร นับว่าเคสนี้เป็นเคสใหญ่ของการละเมิดข้อมูลส่วนบุคคลของลูกค้าได้เลยทีเดียว
ถ้ากฎหมาย PDPA บังคับแล้ว จะได้รับโทษอย่างไรบ้าง
ตามบทลงโทษที่เขียนไว้ในกฎหมาย PDPA หรือพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลว่า ผู้ที่ฝ่าฝืนกฎหมายฉบับนี้จะต้องได้รับโทษทางกฎหมายซึ่งแบ่งออกเป็น
โทษทางแพ่ง
โทษทางแพ่งได้กำหนดไว้ว่าให้ผู้กระทำผิดชดใช้ค่าสินไหมทดแทนที่เกิดขึ้นจริงให้กับเจ้าของข้อมูลส่วนบุคคลที่ได้รับความเสียหายจากการละเมิด และอาจจะต้องจ่ายบวกเพิ่มอีกเป็นค่าสินไหมทดแทนเพื่อการลงโทษเพิ่มเติมได้อีก 2 เท่าของค่าเสียหายจริง
โทษทางอาญา
โทษทางอาญาจะมีทั้งโทษจำคุก และโทษปรับ โดยโทษจำคุกมีโทษสูงสุดไม่เกิน 1 ปี หรือ ปรับไม่เกิน 1 ล้านบาท หรือมั้งจำทั้งปรับ ส่วนในกรณีที่ผู้กระทำความผิดคือบริษัท (นิติบุคคล) ที่ไม่สามารถติดคุกได้ ซึ่งความผิดส่วนนี้จะตกมาที่ผู้บริหาร, กรรมการ หรือบุคคลซึ่งรับผิดชอบในการดำเนินงานของบริษัทนั้น ๆ ที่จะต้องรับโทษแทน
โทษทางปกครอง
โทษปรับ มี ตั้งแต่ 1 ล้านบาทจนถึงสูงสุดไม่เกิน 5 ล้านบาท ซึ่งโทษทางปกครองนี้จะแยกต่างหากกับการชดใช้ค่าเสียหายที่เกิดจากโทษทางแพ่งและโทษทางอาญาด้วย
ซึ่งบอกได้เลยว่าถ้ากฎหมาย PDPA (พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล) บังคับใช้แล้ว องค์กรที่ไม่ได้มีการทำตามกฎ PDPA อาจจะต้องได้รับโทษตามที่กล่าวไปข้างต้น นอกจากนี้ยังนำไปสู่การเสื่อมเสียชื่อเสียง และลดความน่าเชื่อในการดำเนินธุรกิจร่วมกับคู่ค้าในอนาคตอีกด้วย
บทสรุปของเคสทำ ข้อมูลส่วนบุคคล pdpa ในครั้งนี้
อ่านถึงจุดนี้ หลายคนคงเริ่มเห็นภาพแล้วว่า ทำไมทุกองค์กรต้องทำให้ถูกกฎหมาย PDPA ก่อนบังคับใช้จริงเดือนมิถุนายนที่กำลังจะถึงนี้ เพราะนอกจากจะช่วยให้องค์กรทำถูกกฎหมาย เพื่อแสดงความรับผิดชอบต่อสังคม รวมถึงมีการแสดงให้เห็นความปลอดภัยของการรักษาข้อมูลบริษัทยิ่งส่งผลต่อความน่าเชื่อถือขององค์กรในระยะยาว ดังนั้นหากท่านกำลังมองหาแพลตฟอร์มที่จะช่วยให้ท่านบรรลุกฎหมาย PDPA ได้อย่างครบจบทั้งกระบวนการ t-reg ก็สามารถตอบโจทย์ท่านได้เป็นอย่างดี สนใจดูข้อมูลเพิ่มเติมได้ที่ t-reg.co
สามารถคลิกอ่านข้อมูล พ.ร.บ. ฉบับเต็ม: พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.๒๕๖๒
สามารถคลิกอ่าน ข่าว ธปท. ฉบับที่ 12/2565 ฉบับเต็ม: เรื่อง การกล่าวโทษผู้ให้บริการทางการเงิน กรณีฝ่าฝืนหรือไม่ปฏิบัติตามหลักเกณฑ์ ด้านการให้บริการแก่ลูกค้าอย่างเป็นธรรม (Market conduct)