5 ตัวอย่างคดี PDPA ที่มีการละเมิดกฎหมายคุ้มครองข้อมูลส่วนบุคคล

เมื่อกฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือ PDPA เริ่มมีผลบังคับใช้อย่างเต็มรูปแบบในประเทศไทย หลายองค์กรก็เริ่มตื่นตัวมากขึ้น แต่ถึงอย่างนั้น ก็ยังมีหลายกรณีที่ละเมิดกฎหมายโดยรู้เท่าไม่ถึงการณ์ หรือเกิดจากความประมาทของบุคลากรในองค์กร

บทความนี้จะพาคุณไปดู 5 ตัวอย่างคดี PDPA ที่เกิดขึ้นจริง พร้อมถอดบทเรียนสำคัญให้เข้าใจง่าย เพื่อป้องกันไม่ให้คุณและองค์กรต้องตกอยู่ในความเสี่ยง

บทลงโทษและค่าปรับสำหรับการละเมิด PDPA

การละเมิดกฎหมาย PDPA มีโทษทั้งทางแพ่ง ทางอาญา และทางปกครอง ซึ่งมีผลรุนแรงเพื่อปกป้องข้อมูลส่วนบุคคลของทุกคน

• โทษทางปกครอง: ปรับสูงสุดถึง 5 ล้านบาท
• โทษทางอาญา: อาจถูกจำคุกไม่เกิน 1 ปี หรือปรับไม่เกิน 1 แสนบาท หรือทั้งจำทั้งปรับ
• โทษทางแพ่ง: ผู้เสียหายสามารถเรียกร้องค่าชดเชยความเสียหายได้

องค์กรและบุคคลที่เกี่ยวข้องจึงต้องปฏิบัติตาม กฎหมาย PDPA อย่างเคร่งครัด เพื่อหลีกเลี่ยงบทลงโทษที่รุนแรงและปัญหาด้านชื่อเสียงที่อาจเกิดขึ้นได้ ไม่ใช่เพียงที่ต้องเสียเงินชดเชยแล้วยังเสียชื่อเสียงและความมั่นใจให้กับลูกค้าท่านอื่่นๆด้วยเช่นกัน

เจาะลึก 5 ตัวอย่างคดี PDPA พร้อมบทลงโทษที่เกิดขึ้นจริง:

1. เผลอเปิดเผยอีเมลลูกค้าทั้งหมด เพราะใส่ CC แทน BCC

บริษัทเอกชนแห่งหนึ่งต้องการส่งอีเมลแจ้งข่าวสารไปยังลูกค้าหลายร้อยราย แต่พนักงานกลับใส่อีเมลลูกค้าทั้งหมดไว้ในช่อง CC แทน BCC ทำให้ผู้รับสามารถเห็นอีเมลของลูกค้าคนอื่นๆ ได้ทั้งหมด การกระทำนี้ถือเป็นการเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอม ทำให้บริษัทถูกลูกค้าร้องเรียนและมีการเจรจาชดเชยค่าเสียหายบางส่วน

บทลงโทษ: การเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมเป็นความผิดตามมาตรา 36 ของ PDPA มีโทษปรับสูงสุดไม่เกิน 5 ล้านบาท และอาจถูกฟ้องร้องเรียกค่าชดเชยความเสียหาย

2. กล้องวงจรปิดภายในคอนโดบันทึกภาพในพื้นที่ส่วนตัวโดยไม่แจ้ง

เจ้าของคอนโดมิเนียมรายหนึ่งติดตั้งกล้องวงจรปิดไว้หน้าห้องของผู้เช่า โดยให้เหตุผลว่าเพื่อความปลอดภัย แต่ไม่เคยแจ้งให้ผู้เช่าทราบ และกล้องยังจับภาพบริเวณภายในห้องบางส่วนผ่านทางประตูที่เปิดอยู่ได้ ผู้เช่าจึงยื่นเรื่องร้องเรียนไปยังสำนักงานคุ้มครองข้อมูลส่วนบุคคล โดยระบุว่าการกระทำนี้ละเมิดสิทธิส่วนบุคคล

บทลงโทษ: การบันทึกภาพส่วนบุคคลโดยไม่ได้รับความยินยอมขัดต่อมาตรา 36 และมาตรา 9 ของ PDPA เจ้าของคอนโดถูกสั่งให้รื้อกล้องและชำระค่าชดเชย พร้อมมีโทษปรับสูงสุดไม่เกิน 5 ล้านบาท

3. ใช้ข้อมูลลูกค้าเก่าทำการตลาด โดยไม่ได้ขอความยินยอมใหม่

บริษัทประกันภัยแห่งหนึ่งส่ง SMS และอีเมลการตลาดไปยังลูกค้าเก่าที่เคยใช้บริการเมื่อหลายปีก่อน โดยอ้างว่าเป็น “ลูกค้าเดิม” จึงไม่จำเป็นต้องขอความยินยอมอีก ลูกค้ารายหนึ่งรู้สึกรำคาญกับข้อความที่ได้รับ และตรวจสอบพบว่าไม่มีการขอ Consent ที่ชัดเจนหลัง PDPA มีผลบังคับ

บทลงโทษ: การใช้ข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมใหม่เป็นความผิดตามมาตรา 26 และมาตรา 36 PDPA โทษปรับสูงสุดไม่เกิน 5 ล้านบาท และอาจถูกสอบสวนทางกฎหมาย

4. พนักงานเผยข้อมูลลูกค้าบนโซเชียล โดยไม่ได้รับอนุญาต

ในกรณีนี้ พนักงานร้านอาหารชื่อดังโพสต์ภาพใบเสร็จของลูกค้าคนดังลงในโซเชียลมีเดีย โดยต้องการโชว์ยอดใช้จ่ายที่สูง แต่ในภาพมีชื่อ-นามสกุล และรายละเอียดการจ่ายเงินอย่างชัดเจน โพสต์ดังกล่าวถูกแชร์ต่ออย่างรวดเร็ว และสร้างความไม่พอใจให้กับลูกค้าคนดังรายนั้น

บทลงโทษ: การเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมมีความผิดตามมาตรา 36 PDPA องค์กรอาจถูกปรับสูงสุดไม่เกิน 5 ล้านบาท และพนักงานถูกลงโทษทางวินัย

5. ระบบไอทีขององค์กรรั่วไหล ทำข้อมูลพนักงานหลุด

องค์กรเอกชนขนาดใหญ่แห่งหนึ่งประสบเหตุระบบฐานข้อมูลภายในถูกแฮ็ก ทำให้ข้อมูลพนักงานหลายพันรายหลุดออกไปสู่สาธารณะ ไม่ว่าจะเป็นชื่อ-สกุล เลขบัตรประชาชน รายได้ และข้อมูลบัญชีธนาคาร เหตุการณ์นี้นำไปสู่การร้องเรียนจากพนักงานจำนวนมาก และองค์กรต้องรับผิดชอบต่อการรั่วไหลดังกล่าว

บทลงโทษ: การละเลยมาตรการรักษาความปลอดภัยข้อมูลเป็นความผิดตามมาตรา 35 และมาตรา 36 PDPA โทษปรับสูงสุดไม่เกิน 5 ล้านบาท พร้อมต้องชดเชยความเสียหายแก่ผู้เสียหาย

สิ่งที่ควรระวัง หากไม่อยากละเมิด PDPA โดยไม่รู้ตัว

เพื่อหลีกเลี่ยงความผิดพลาดแบบเดียวกับ 5 กรณีที่กล่าวมา ต่อไปนี้คือสิ่งที่ทุกองค์กรควรให้ความสำคัญ

• แจ้งให้เจ้าของข้อมูลทราบก่อนเก็บ ใช้ หรือเปิดเผยข้อมูล
• ขอความยินยอมอย่างชัดเจน และสามารถพิสูจน์ได้
• หลีกเลี่ยงการเก็บข้อมูลเกินความจำเป็น
• จำกัดการเข้าถึงข้อมูลเฉพาะผู้ที่เกี่ยวข้อง
• มีระบบจัดเก็บ และลบข้อมูลอย่างเป็นระบบ
• อบรมพนักงานให้เข้าใจหลักการของ PDPA และผลกระทบหากฝ่าฝืน
• วางแผนรับมือเมื่อเกิดข้อมูลรั่วไหล เช่น มีทีม Incident Response

บทสรุป

จาก ตัวอย่างคดี PDPA ที่กล่าวมา จะเห็นได้ชัดเจนว่า “ความตั้งใจ” ไม่ใช่ข้อแก้ตัวเมื่อเกิดการละเมิด PDPA ข้อผิดพลาดส่วนใหญ่มักมาจากความเข้าใจผิดของพนักงาน ความไม่พร้อมของระบบ IT หรือความประมาทในการสื่อสารข้อมูล

การปฏิบัติตาม PDPA ไม่ใช่เพียงแค่การมีเอกสารนโยบายหรือขอความยินยอมแบบผ่านๆ แต่เป็นเรื่องของการสร้าง “วัฒนธรรมองค์กร” ที่ทุกระดับ ตั้งแต่ผู้บริหารจนถึงพนักงานทุกคน ต้องให้ความสำคัญและปฏิบัติตามอย่างจริงจัง เพื่อปกป้องข้อมูลส่วนบุคคล และลดความเสี่ยงทางกฎหมายและชื่อเสียงขององค์กร สำหรับบริษัทไหนทียังไม่แน่ใจว่าเหตุการณ์เหล่านี้เข้าข่ายหรือไม่ สามารถโทรปรึกกับเจ้าหน้าที่ได้เช่นกัน เพื่อความมั่นใจในการให้บริการอย่างถุกต้องลดความเสี่ยงที่จะเกิดขึ้นในอนาคต

คำถามที่พบบ่อยเกี่ยวกับ PDPA

Q1: การละเมิด PDPA มีโทษอย่างไรบ้าง?

A: การละเมิด PDPA อาจถูกปรับสูงสุด 5 ล้านบาท ถูกจำคุกไม่เกิน 1 ปี หรือทั้งจำทั้งปรับ นอกจากนี้ ผู้เสียหายยังสามารถฟ้องร้องเรียกค่าชดเชยความเสียหายได้อีกด้วย

Q2: องค์กรควรเริ่มต้นอย่างไรให้สอดคล้องกับ PDPA?

A: องค์กรควรเริ่มจากการทำความเข้าใจข้อมูลส่วนบุคคลที่ตนเก็บรวบรวม ขอความยินยอมอย่างชัดเจน จัดทำนโยบายคุ้มครองข้อมูล ฝึกอบรมพนักงาน และมีมาตรการรักษาความปลอดภัยข้อมูลอย่างเข้มงวด

Q3: ถ้าไม่ได้ตั้งใจละเมิด PDPA จะโดนลงโทษไหม?

A: แม้ไม่ได้ตั้งใจละเมิด ก็ยังถือว่าผิดกฎหมาย และอาจถูกลงโทษได้ โดยเฉพาะถ้าไม่มีมาตรการป้องกันที่เหมาะสม การแสดงความรับผิดชอบและแก้ไขอย่างรวดเร็วสามารถช่วยลดความรุนแรงของบทลงโทษได้

โทร 02-096-3585

รับชมบริการของเราได้ที่ t-reg.co