วันนี้ (21 สิงหาคม 2567) กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม และสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ได้จัดแถลงข่าวครั้งสำคัญ ประกาศการลงโทษปรับทางปกครองแก่บริษัทเอกชนรายหนึ่งเป็นจำนวนเงิน 7 ล้านบาท อันเนื่องมาจากการละเมิดพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
สาระสำคัญของการแถลงข่าว
- การละเมิดข้อมูลส่วนบุคคล: บริษัทดังกล่าวได้ละเมิดข้อมูลส่วนบุคคลของลูกค้ามากกว่า 100,000 ราย โดยไม่มีมาตรการรักษาความปลอดภัยที่เหมาะสม
- การไม่ปฏิบัติตามกฎหมาย: บริษัทไม่ได้แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ตามที่กฎหมายกำหนด
- ความล่าช้าในการแจ้งเหตุ: บริษัทละเลยการแจ้งเหตุละเมิดข้อมูลส่วนบุคคลให้แก่สำนักงาน PDPC ภายในระยะเวลาที่กำหนด
- ผลกระทบต่อประชาชน: ข้อมูลที่รั่วไหลถูกนำไปใช้โดยแก๊งคอลเซ็นเตอร์ สร้างความเสียหายให้แก่ประชาชนในวงกว้าง
ผู้เข้าร่วมการแถลงข่าว
การแถลงข่าวครั้งนี้มีผู้บริหารระดับสูงเข้าร่วม ประกอบด้วย :
นายประเสริฐ จันทรรวงทอง – รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม
นายประเสริฐ จันทรรวงทอง – รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม
นายไพบูลย์ อมรภิญโญเกียรติ – กรรมการผู้เชี่ยวชาญด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคล
ดร. ศิวรักษ์ ศิวโมกษธรรม – เลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
สรุปเนื้อหาการแถลงข่าว
สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ประกาศปรับบริษัทเอกชนขนาดใหญ่รายหนึ่งเป็นเงิน 7 ล้านบาท ซึ่งถือเป็นการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลครั้งสำคัญของไทย บริษัทดังกล่าวถูกปรับด้วยสาเหตุหลักสามประการ ได้แก่ การไม่แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) การขาดมาตรการรักษาความปลอดภัยที่เหมาะสม และการละเลยและล่าช้าในการแจ้งเหตุละเมิดข้อมูล ส่งผลให้เกิดการรั่วไหลของข้อมูลลูกค้ามากกว่า 100,000 ราย ซึ่งถูกนำไปใช้โดยแก๊งคอลเซ็นเตอร์ สร้างความเสียหายแก่ประชาชนในวงกว้าง
กรณีนี้ถือเป็นบทเรียนสำคัญสำหรับองค์กรทุกแห่งในการให้ความสำคัญกับการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลอย่างจริงจัง โดย PDPC ได้ดำเนินมาตรการต่างๆ เพื่อส่งเสริมการปฏิบัติตามกฎหมาย เช่น การจัดตั้งศูนย์ PDPC Eagle Eye เพื่อเฝ้าระวังการละเมิด การขยายสาขา PDPC Center เพื่อให้คำปรึกษาและรับเรื่องร้องเรียน และการสนับสนุนให้องค์กรแต่งตั้ง DPO องค์กรควรตระหนักถึงความสำคัญของการมีมาตรการรักษาความปลอดภัยที่เหมาะสม การแจ้งเหตุละเมิดข้อมูลอย่างทันท่วงที และการเยียวยาผู้ได้รับผลกระทบอย่างมีประสิทธิภาพ เพื่อหลีกเลี่ยงบทลงโทษและสร้างความเชื่อมั่นให้กับผู้ใช้บริการ
รายละเอียดเกี่ยวกับบริษัทที่ถูกปรับ
แม้ว่าทางการจะ ไม่เปิดเผยชื่อบริษัทที่ถูกปรับ แต่มีข้อมูลบางประการที่ได้รับการเปิดเผยในการแถลงข่าว:
- ขนาดของธุรกิจ: เป็นบริษัทขนาดใหญ่ มีพนักงานจำนวนมาก และมีขนาดธุรกิจที่มีมูลค่านับหมื่นล้านบาท
- ลักษณะการดำเนินธุรกิจ: บริษัทมีการเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลของลูกค้าเป็นจำนวนมากในการประกอบธุรกิจหลัก
- จำนวนผู้ได้รับผลกระทบ: มีข้อมูลส่วนบุคคลของลูกค้ามากกว่า 100,000 รายที่ได้รับผลกระทบจากการรั่วไหล
- ระยะเวลาของการกระทำความผิด: การกระทำความผิดของบริษัทเริ่มตั้งแต่ปี 2563
- การร้องเรียน: มีผู้ร้องเรียนต่อสำนักงาน PDPC จำนวน 21 ราย แม้ว่าผู้ได้รับผลกระทบจะมีจำนวนมากกว่านี้มาก
- การตอบสนองต่อปัญหา: บริษัทแสดงความเพิกเฉยต่อการแก้ไขปัญหาและการแจ้งเหตุล่าช้า แม้จะได้รับการเตือนจากทาง PDPC แล้ว
ด้วยลักษณะและขนาดของบริษัท รวมถึงผลกระทบที่เกิดขึ้น ทำให้คณะกรรมการผู้เชี่ยวชาญตัดสินใจลงโทษปรับในอัตราสูงสุดเป็นจำนวนเงิน 7 ล้านบาท โดยแบ่งเป็น:
- 1 ล้านบาท สำหรับการไม่แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)
- 3 ล้านบาท สำหรับการไม่มีมาตรการรักษาความปลอดภัยที่เหมาะสม
- 3 ล้านบาท สำหรับการละเลยและล่าช้าในการแจ้งเหตุละเมิด
มาตรการของ PDPC
- การจัดตั้งศูนย์ PDPC Eagle Eye: เพื่อเฝ้าระวังและป้องกันการละเมิดข้อมูลส่วนบุคคล
- การขยายสาขา PDPC Center: เพิ่มช่องทางให้ประชาชนเข้าถึงการให้คำปรึกษาและรับเรื่องร้องเรียน
- การกำกับดูแลผ่าน DPO: สนับสนุนให้องค์กรแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เพื่อช่วยกำกับดูแลการปฏิบัติตามกฎหมาย
สาเหตุของการปรับและบทเรียนสำหรับองค์กรอื่น
การปรับบริษัทเอกชนรายนี้เป็นกรณีศึกษาสำคัญสำหรับองค์กรทุกแห่งในประเทศไทย โดยมีสาเหตุหลักของการปรับและบทเรียนสำหรับองค์กรอื่น ดังนี้ :
1. การไม่แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)
- สาเหตุ: บริษัทไม่ได้แต่งตั้ง DPO ตามที่กฎหมายกำหนด แม้จะมีการจัดเก็บและใช้ข้อมูลส่วนบุคคลจำนวนมาก
- บทเรียน: องค์กรที่มีข้อมูลส่วนบุคคลเกิน 100,000 รายการ หรือมีการใช้ข้อมูลส่วนบุคคลเป็นส่วนสำคัญในการดำเนินธุรกิจ ต้องแต่งตั้ง DPO โดยไม่ชักช้า
2. ขาดมาตรการรักษาความปลอดภัยที่เหมาะสม
- สาเหตุ: บริษัทไม่มีมาตรการรักษาความปลอดภัยที่เพียงพอ ทำให้เกิดการรั่วไหลของข้อมูล
- บทเรียน: องค์กรต้องจัดให้มีมาตรการรักษาความปลอดภัยที่เหมาะสม ทั้งทางเทคนิคและการบริหารจัดการ เพื่อป้องกันการรั่วไหลของข้อมูล
3. การละเลยและล่าช้าในการแจ้งเหตุละเมิด
- สาเหตุ: บริษัทไม่แจ้งเหตุละเมิดข้อมูลให้ PDPC ทราบภายในระยะเวลาที่กำหนด และไม่ดำเนินการแก้ไขปัญหาอย่างทันท่วงที
- บทเรียน: เมื่อเกิดเหตุข้อมูลรั่วไหล องค์กรต้องแจ้ง PDPC ภายใน 72 ชั่วโมง หรือไม่เกิน 15 วัน และต้องดำเนินการแก้ไขปัญหาโดยเร็ว
4. การไม่ให้ความสำคัญกับการปฏิบัติตามกฎหมาย
- สาเหตุ: แม้จะได้รับการเตือนจาก PDPC แล้ว บริษัทยังคงเพิกเฉยและไม่ดำเนินการแก้ไข
- บทเรียน: องค์กรควรให้ความสำคัญกับการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลอย่างจริงจัง และตอบสนองต่อคำเตือนหรือคำแนะนำจากหน่วยงานกำกับดูแลอย่างรวดเร็ว
5. ขาดการเยียวยาผู้ได้รับผลกระทบ
- สาเหตุ: บริษัทไม่สามารถเยียวยาหรือแก้ปัญหาให้กับประชาชนที่ได้รับผลกระทบได้อย่างเหมาะสม
- บทเรียน: องค์กรควรมีแผนรับมือกับเหตุละเมิดข้อมูล รวมถึงมาตรการในการเยียวยาผู้ได้รับผลกระทบอย่างรวดเร็วและมีประสิทธิภาพ
ข้อควรรู้สำหรับองค์กรและประชาชน
- องค์กรที่มีข้อมูลส่วนบุคคลเกิน 100,000 รายการ ต้องแต่งตั้ง DPO
- เมื่อเกิดเหตุข้อมูลรั่วไหล ต้องแจ้ง PDPC ภายใน 72 ชั่วโมง หรือไม่เกิน 15 วัน
- ประชาชนสามารถร้องเรียนกรณีถูกละเมิดข้อมูลส่วนบุคคลได้ที่ศูนย์ PDPC Center
การประกาศบทลงโทษครั้งนี้ถือเป็นก้าวสำคัญในการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทย แสดงให้เห็นถึงความมุ่งมั่นของภาครัฐในการปกป้องสิทธิความเป็นส่วนตัวของประชาชน และสร้างความเชื่อมั่นในระบบการคุ้มครองข้อมูลส่วนบุคคลของประเทศ
DPO Outsource Service By t-reg
DPO Outsource Service by t-reg บริการใหม่ล่าสุดจาก t-reg จะทำให้การจัดการข้อมูลส่วนบุคคลขององค์กรคุณเป็นเรื่องง่าย
สนใจบริการหรือสอบถามเพิ่มเติม
โทร 089-698-2591
รับชมบริการอื่นของเราได้ที่ t-reg.co
