]

t-reg PDPA Platform

อิออนธนสินทรัพย์ทำ ข้อมูลส่วนบุคคล pdpa ของลูกค้ารั่วไหล

เนื้อหาในบทความ

เนื้อหาในบทความนี้

แบงก์ชาติได้ออกมาประกาศเกี่ยวกับ 2 ผู้ให้บริการทางการเงินฝ่าฝืนหลักเกณฑ์การให้บริการลูกค้าอย่างเป็นธรรม ซึ่ง 1 ผู้ให้บริการนั้นได้ฝ่าฝืนทำ ข้อมูลส่วนบุคคล pdpa ของลูกค้ารั่วไหลอีกด้วย โดยเหตุการณ์ดังกล่าวจะมีเนื้อหาส่วนไหนที่เกี่ยวข้องกับกฎหมาย PDPA บ้างนั้นสามารถติดตามได้ในบทความนี้

ความเป็นมาของประกาศครั้งนี้จากแบงก์ชาติ

จากข่าวของธนาคารแห่งประเทศไทย (ธปท.) หรือแบงก์ชาติ ฉบับที่ 12/2565 ได้ออกประกาศมาเมื่อวันที่ 21 มีนาคม 2565 เรื่องการกล่าวโทษผู้ให้บริการทางการเงิน กรณีฝ่าฝืนหรือไม่ปฏิบัติตามหลักเกณฑ์ด้านการให้บริการแก่ลูกค้าอย่างเป็นธรรม (Market conduct) ซึ่งมาจากการเรียนร้องของประชาชน และจากการตรวจสอบของ ธปท. พบว่าในช่วงที่ผ่านมา พบว่า

มีผู้ให้บริการสินเชื่อรายย่อยจำนวน 2 รายฝ่ายฝืน หรือไม่ปฏิบัติตามหลักเกณฑ์ด้าน Market Conduct ที่เกี่ยวข้องกับข้อมูลลูกค้า ซึ่งถือว่ามีความผิดตามประกาศคณะปฏิวัติ ฉบับที่ 58 ประกาศกระทรวงการคลัง และประกาศธนาคารแห่งประเทศไทย ซึ่งมี 1 รายในนั้นได้ละเมิดกฎหมายฉบับนี้ในหมวด 2 ข้อ 9 ที่เกี่ยวกับการรักษาข้อมูลของผู้บริโภคซึ่งรายนั้นก็คือบริษัท อิออน ธนสินทรัพย์ (ไทยแลนด์) จำกัด (มหาชน) หรือบริษัท “อิออน”

อิออนกระทำผิดใน ข้อมูลส่วนบุคคล pdpa ของลูกค้าอย่างไร ?

ในประกาศข่าว ธปท. ​ฉบับที่ 12/2565 แจ้งว่า บริษัท อิออน ธนสินทรัพย์ (ไทยแลนด์) จำกัด (มหาชน) (“บริษัทอิออน”) ไม่ดูแลข้อมูลลูกค้ารวมทั้งไม่ควบคุมดูแลการปฏิบัติงานและการให้บริการอย่างถูกต้องและเป็นธรรม ทำให้มีการเปิดเผยข้อมูลลูกค้าให้บุคคลอื่นเพื่อเสนอขายกรมธรรม์ประกันภัย โดยไม่ได้รับความยินยอมจากลูกค้า อีกทั้งเมื่อลูกค้าแจ้งไม่รับการติดต่อเพื่อเสนอให้บริการอื่น บริษัทอิออนก็ไม่ได้ดำเนินการโดยเร็ว ทำให้ยังมีการติดต่อและรบกวนลูกค้าอย่างต่อเนื่อง ปัจจุบันการดำเนินคดีอยู่ระหว่างการพิจารณาของพนักงานสอบสวน

ซึ่งสรุปได้ใจความว่า

บริษัทอิออนนั้นได้มีการเปิดเผยข้อมูลลูกค้าให้บริษัทอื่น ๆ ติดต่อลูกค้าเพื่อขายประกันภัย โดยที่ไม่ได้รับความยินยอมจากลูกค้า และเมื่อลูกค้าแจ้งกลับไปว่าไม่สะดวกที่จะให้บริษัทอิออนเสนอบริการอื่น ทางบริษัทก็ไม่รีบดำเนินการ จนทำให้มีการโทรไปรบกวนลูกค้าซ้ำอย่างต่อเนื่อง ซึ่งปัจจุบันกรณีนี้อยู่ในการดำเนินคดีอยู่ระหว่างการสอบสวนของเจ้าหน้าที่

จากกรณี ข้อมูลส่วนบุคคล pdpa ที่เกิดขึ้นเกี่ยวข้องกับกฎหมาย PDPA อย่างไร

จากกรณีที่เกิดขึ้น บริษัทอิออนไม่มีการควบคุมดูแลการใช้ข้อมูลลูกค้า จึงทำให้เกิดการรบกวนลูกค้าคนที่ยินยอม และไม่ยินยอมให้นำข้อมูลไปใช้ ซึ่งตามกฎหมาย PDPA (พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล) ได้ระบุไว้ในส่วนที่ 3 การใช้หรือเปิดเผยข้อมูลส่วนบุคคล มาตรา 27 ซึ่งสรุปได้ว่า

บริษัทที่ได้รับข้อมูลส่วนบุคคลจากผู้ใช้บริการ ต้องไม่ใช้หรือเปิดเผยข้อมูลส่วนบุคคล นอกเหนือจากวัตถุประสงค์ที่ขอข้อมูลมา หากต้องการใช้ หรือเปิดเผยข้อมูลต้องมีการบันทึกรายการการใช้ข้อมูลส่วนนี้

และในสิทธิ์ของผู้ให้ข้อมูล (เจ้าของข้อมูล) กฎหมายก็ได้ระบุในมาตรา 32 และ 33 เช่นเดียวกัน ไว้ว่า

เจ้าของข้อมูลมีสิทธิ์คัดค้านในการเก็บรวบรวม ใช้ เปิดเผย ข้อมูลของตน รวมถึงมีสิทธิ์ขอถอนความยินยอมในการใช้เก็บรวบรวม ใช้ และเปิดเผยข้อมูล ซึ่งถ้าทางผู้ควบคุมข้อมูลต้องทำตามสิทธิ์ของเจ้าของข้อมูลภายใน 30 วัน

ไม่ใช่แค่ประเทศไทย ที่เคยเกิดเหตุการณ์ ข้อมูลส่วนบุคคล pdpa แบบนี้

หลายคนคงสงสัยว่าเหตุการณ์แบบนี้ เคยเกิดขึ้นในต่างประเทศที่มีกฎหมายข้อมูลส่วนบุคคลบังคับใช้หรือไม่  ซึ่งคำตอบก็คือ ใช่ เคยเกิดเหตุการณ์แบบนี้ในประเทศอิตาลี ซึ่งเป็นหนึ่งในประเทศแห่งสหภาพยุโรปที่มีกฎหมาย GDPR หรือกฎหมายคุ้มครองข้อมูลส่วนบุคคลบังคับใช้

ย้อนกลับไปเมื่อช่วงต้นปี 2020 ที่ผ่านมา บริษัทผู้ให้บริการโทรคมนาคมรายใหญ่ของประเทศอิตาลีอย่าง เทเลคอมอิตาเลีย ได้ถูกหน่วยงานคุ้มครองข้อมูลส่วนบุคคลของประเทศหรือที่เรียกกันว่า Garante ฟ้องร้องฐานละเมิดข้อมูลส่วนบุคคลของผู้ใช้บริการ และบุคคลอื่นที่ไม่ใช่ผู้ใช้บริการ

โดยความผิดครั้งนี้ เกิดจากการร้องเรียนของลูกค้า และคนที่ไม่ใช่ลูกค้าบริษัทเทเลคอมอิตาเลีย พร้อมกับการตรวจสอบของ Garante พบว่าทางเทเลคอมอิตาเลียได้กระทำความผิดด้วยการใช้ข้อมูลลูกค้าผิดวัตถุประสงค์ที่จัดเก็บด้วยการให้ outsource โทรไปเสนอโปรโมชันลูกค้าถี่เกินจนก่อให้เกิดความรำคาญ และเมื่อมีลูกค้าขอคัดค้านในการใช้สิทธิ์ในข้อมูล หรือขอให้ลบข้อมูลทางบริษัทกลับนิ่งเฉย จนถูกฟ้องร้องฐานละเมิดข้อมูลส่วนบุคคลลูกค้าถูกปรับประมาณ 27.8 ล้านเหรียญยูโร  นับว่าเคสนี้เป็นเคสใหญ่ของการละเมิดข้อมูลส่วนบุคคลของลูกค้าได้เลยทีเดียว

ถ้ากฎหมาย PDPA บังคับแล้ว จะได้รับโทษอย่างไรบ้าง

ตามบทลงโทษที่เขียนไว้ในกฎหมาย PDPA หรือพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลว่า ผู้ที่ฝ่าฝืนกฎหมายฉบับนี้จะต้องได้รับโทษทางกฎหมายซึ่งแบ่งออกเป็น

โทษทางแพ่ง

โทษทางแพ่งได้กำหนดไว้ว่าให้ผู้กระทำผิดชดใช้ค่าสินไหมทดแทนที่เกิดขึ้นจริงให้กับเจ้าของข้อมูลส่วนบุคคลที่ได้รับความเสียหายจากการละเมิด และอาจจะต้องจ่ายบวกเพิ่มอีกเป็นค่าสินไหมทดแทนเพื่อการลงโทษเพิ่มเติมได้อีก 2 เท่าของค่าเสียหายจริง

โทษทางอาญา

โทษทางอาญาจะมีทั้งโทษจำคุก และโทษปรับ โดยโทษจำคุกมีโทษสูงสุดไม่เกิน 1 ปี หรือ ปรับไม่เกิน 1 ล้านบาท หรือมั้งจำทั้งปรับ ส่วนในกรณีที่ผู้กระทำความผิดคือบริษัท (นิติบุคคล) ที่ไม่สามารถติดคุกได้ ซึ่งความผิดส่วนนี้จะตกมาที่ผู้บริหาร, กรรมการ หรือบุคคลซึ่งรับผิดชอบในการดำเนินงานของบริษัทนั้น ๆ ที่จะต้องรับโทษแทน

โทษทางปกครอง

โทษปรับ มี ตั้งแต่ 1 ล้านบาทจนถึงสูงสุดไม่เกิน 5 ล้านบาท ซึ่งโทษทางปกครองนี้จะแยกต่างหากกับการชดใช้ค่าเสียหายที่เกิดจากโทษทางแพ่งและโทษทางอาญาด้วย

ซึ่งบอกได้เลยว่าถ้ากฎหมาย PDPA (พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล) บังคับใช้แล้ว องค์กรที่ไม่ได้มีการทำตามกฎ PDPA อาจจะต้องได้รับโทษตามที่กล่าวไปข้างต้น นอกจากนี้ยังนำไปสู่การเสื่อมเสียชื่อเสียง และลดความน่าเชื่อในการดำเนินธุรกิจร่วมกับคู่ค้าในอนาคตอีกด้วย

บทสรุปของเคสทำ ข้อมูลส่วนบุคคล pdpa ในครั้งนี้

อ่านถึงจุดนี้ หลายคนคงเริ่มเห็นภาพแล้วว่า ทำไมทุกองค์กรต้องทำให้ถูกกฎหมาย PDPA ก่อนบังคับใช้จริงเดือนมิถุนายนที่กำลังจะถึงนี้ เพราะนอกจากจะช่วยให้องค์กรทำถูกกฎหมาย เพื่อแสดงความรับผิดชอบต่อสังคม รวมถึงมีการแสดงให้เห็นความปลอดภัยของการรักษาข้อมูลบริษัทยิ่งส่งผลต่อความน่าเชื่อถือขององค์กรในระยะยาว ดังนั้นหากท่านกำลังมองหาแพลตฟอร์มที่จะช่วยให้ท่านบรรลุกฎหมาย PDPA ได้อย่างครบจบทั้งกระบวนการ t-reg ก็สามารถตอบโจทย์ท่านได้เป็นอย่างดี สนใจดูข้อมูลเพิ่มเติมได้ที่ t-reg.co

สามารถคลิกอ่านข้อมูล พ.ร.บ. ฉบับเต็ม: พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.๒๕๖๒

สามารถคลิกอ่าน ข่าว ธปท. ​ฉบับที่ 12/2565 ฉบับเต็ม:  เรื่อง การกล่าวโทษผู้ให้บริการทางการเงิน กรณีฝ่าฝืนหรือไม่ปฏิบัติตามหลักเกณฑ์ ด้านการให้บริการแก่ลูกค้าอย่างเป็นธรรม (Market conduct)

FREE EVENT

ร่วมฟังแนวทางการยกระดับการบริหารจัดการข้อมูลส่วนบุคคลสำหรับองค์กรที่มี Data Subject จำนวนมาก เพื่อเพิ่มความน่าเชื่อถือให้กับองค์กร ด้วยไกด์ไลน์การทำ ROPA ที่เป็นหัวใจสำคัญในการสำเร็จกระบวนการ PDPA ควบคู่กับ Digital Transformation และแบ่งปันข้อมูลเชิงลึก โดยผู้เชี่ยวชาญที่มีประสบการณ์ให้คำปรึกษาด้านกระบวนการ PDPA สำเร็จแล้วกว่า 60 องค์กร และได้รับ Certificate จากสถาบันดิจิตัล (DCT) และมาตรฐานสากล ICDL หลักสูตร Personal Data Protection

RELATED POST
Case Study

WARNING! ถูกละเมิดความเป็นส่วนตัว ถูกองค์กรประมวลผลข้อมูลส่วนบุคคลโดยที่เราไม่ยินยอม ทำอะไรได้บ้าง?

กฎหมาย PDPA บังคับใช้อย่างเป็นทางการ พร้อมกับกฎหมายลำดับรองที่ประกาศออกมาแล้ว หากเกิดข้อพิพาท หรือเกิดการละเมิดข้อมูลส่วนบุคคล เจ้าของข้อมูลต้องทำอย่างไร? t-reg

อ่านต่อ »
pdpa-dpia
t-reg news

ทำความรู้จัก DPIA (Data Protection Impact Assessment) สำคัญต่อองค์กรอย่างไร? ควรริเริ่มและดำเนินการอย่างไรให้สำเร็จ

ปฏิเสธไม่ได้ว่าปัจจุบัน จำนวนของข้อมูลในองค์กร ยิ่งมากยิ่งเป็นสิ่งที่ดีต่อการโฆษณา ดีต่อการพัฒนาผลิตภัณฑ์ แต่ขณะเดียวกันยิ่งมีข้อมูลมาก ก็ยิ่งมีความเสี่ยงต่อการรั่วไหล เสี่ยงต่อการจารกรรมข้อมูล ดังนั้นการหยิบยืมข้อมูลจากเจ้าของข้อมูลส่วนบุคคล

อ่านต่อ »
5 ข้อดีของ PDPA
t-reg knowledge

5 ข้อดีของ PDPA ที่ทำให้คุณเข้าใจว่าทำไมควรทำ

PDPA หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ไม่ได้เป็นกฎหมายให้ภาครัฐหรือเอกชนทำตามเพียงอย่างเดียว แต่ทำไมควรทำลองมาดู 5 ข้อดีกัน

อ่านต่อ »
important PDPA
t-reg knowledge

สรุปสาระสำคัญของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล!

ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ข้อมูลส่วนตัวรวมทั้งข้อมูลการใช้งานของ User ถ้าหากเก็บรวบรวมดีๆ จะมีมูลค่ามหาศาล แต่นั่นเป็นดาบสองคมที่อาจทำให้มีผู้ไม่ประสงค์ดีขโมยข้อมูลไปใช้

อ่านต่อ »
ถอดคำแถลงการณ์ข้อมูลรั่วไหล บริษัทมือถือชื่อดัง
t-reg news

ถอดคำแถลงการณ์ Service Provider ยักษ์ใหญ่ บอกอะไรกับเราบ้างนะ ?!

     เรียกได้ว่าช่วงสุดสัปดาห์ที่ผ่านมาหลายท่านคงได้ยินข่าวที่ผู้ให้บริการยักษ์ใหญ่แห่งหนึ่งออกมาประกาศเกี่ยวกับข้อมูลผู้ใช้ที่หลุดรั่วออกไปพร้อมกับวิธีการแก้ไขกับสิ่งที่เกิดขึ้น แม้ในปัจจุบัน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลหรือ PDPA จะยังไม่บังคับใช้ แต่การที่

อ่านต่อ »
pdpa ประกันภัย
t-reg knowledge

10 เรื่องที่บริษัทประกันควรรู้เกี่ยวกับ PDPA X ธุรกิจประกันภัย เข้าใจกฎหมาย ธุรกิจไปได้ไกลกว่า

PDPA ประกันภัย สำคัญอย่างไรในยุคที่กฎหมายคุ้มครองข้อมูลของลูกค้า? ธุรกิจประกันภัย เป็นหนึ่งในธุรกิจที่ใช้ข้อมูลส่วนบุคคลประกอบการดำเนินธุรกรรม  อาทิ การนำข้อมูลส่วนบุคคลมาใช้สนับสนุนการรับพิจารณาประกัน การปฏิบัติตามสัญญา การให้บริการลูกค้า

อ่านต่อ »

ส่งต่อบทความดีๆ ได้ที่นี่