PDPA news

21 สิงหาคม 2567 – สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ได้ดำเนินการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA) ต่อบริษัทเอกชนรายใหญ่ของประเทศเป็นครั้งแรก โดยมีคำสั่งลงโทษทางปกครองมูลค่าสูงสุดที่เคยมีมาถึง 7,000,000 บาทจากคณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 (เรื่องร้องเรียนเกี่ยวกับเทคโนโลยีดิจิทัลและอื่น ๆ) เมื่อวันที่ 31 กรกฎาคม 2567

รายละเอียดการละเมิดและการดำเนินการลงโทษ

ก่อนหน้านี้บริษัทดังกล่าวถูกพบว่าข้อมูลส่วนบุคคลของลูกค้าจำนวนมาก ซึ่งเกี่ยวข้องกับการซื้อขายสินค้าผ่านช่องทางออนไลน์ได้รั่วไหลออกไปสู่สาธารณะ ส่งผลให้มีการใช้ข้อมูลนั้นไปในทางที่ผิดกฎหมาย ก่อให้เกิดความเสียหายต่อบุคคลหลายราย ทั้งนี้ ข่าวเกี่ยวกับการละเมิดข้อมูลดังกล่าวได้แพร่กระจายไปในสื่อสังคมออนไลน์อย่างกว้างขวาง สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้ดำเนินการตรวจสอบและพบว่าข้อมูลที่รั่วไหลนั้นเป็นข้อมูลการซื้อสินค้าและข้อมูลส่วนบุคคลจริงของลูกค้าบริษัทดังกล่าว

การรวบรวมพยานหลักฐานและคำสั่งลงโทษ

หลังจากการตรวจสอบ คณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 (เรื่องร้องเรียนเกี่ยวกับเทคโนโลยีดิจิทัลและอื่น ๆ) ได้มีคำสั่งให้บริษัทดังกล่าวรับโทษทางปกครองภายใต้กฎหมาย PDPA และกฎหมายลำดับรอง โดยมีการสั่งปรับใน 3 ประเด็นหลัก ได้แก่:

1. การไม่แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) – ค่าปรับ 1,000,000 บาท

บริษัทขนาดใหญ่นี้จัดเก็บและประมวลผลข้อมูลส่วนบุคคลของลูกค้าจำนวนมากในฐานะเป็นกิจกรรมหลักขององค์กร ซึ่งตามกฎหมาย PDPA มาตรา 41 (2) มีความจำเป็นต้องแต่งตั้งเจ้าหน้าที่ DPO แต่บริษัทกลับละเลยข้อกำหนดนี้

2. การขาดมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม – ค่าปรับ 3,000,000 บาท

บริษัทไม่มีมาตรการที่มีมาตรฐานขั้นต่ำตามกฎหมาย PDPA มาตรา 37 (1) เพื่อป้องกันการละเมิดข้อมูลส่วนบุคคล ซึ่งจากการตรวจสอบยังพบว่าบริษัทขาดมาตรการการควบคุมการเข้าถึงข้อมูลส่วนบุคคล (Access Control) และการกำหนดสิทธิในการเข้าถึงหรือใช้งาน (Authorization) อย่างมีประสิทธิภาพ

3. การไม่แจ้งเหตุละเมิดข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด – ค่าปรับ 3,000,000 บาท

เมื่อเกิดเหตุละเมิดข้อมูลส่วนบุคคลขึ้น บริษัทมีหน้าที่ต้องแจ้งต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายใน 72 ชั่วโมงหลังจากที่ทราบเหตุ และต้องแจ้งต่อเจ้าของข้อมูลหากการละเมิดนั้นส่งผลกระทบต่อสิทธิของพวกเขา ตามกฎหมาย PDPA มาตรา 37 (4) แต่บริษัทไม่ได้ดำเนินการตามข้อกำหนดดังกล่าว

แนวทางการปฏิบัติตามคำสั่งของคณะกรรมการ

นอกเหนือจากค่าปรับแล้ว คณะกรรมการผู้เชี่ยวชาญฯ ยังมีคำสั่งให้บริษัทดำเนินการปรับปรุงมาตรการรักษาความมั่นคงปลอดภัยเพื่อป้องกันการรั่วไหลของข้อมูลเพิ่มเติม ซึ่งประกอบด้วย:

- การจัดอบรมบุคลากรที่เกี่ยวข้องกับการเข้าถึง เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลให้มีความเข้าใจและความสามารถในการปฏิบัติงานตามกฎหมาย PDPA

- การพัฒนามาตรการรักษาความมั่นคงปลอดภัยให้ทันกับเทคโนโลยีที่เปลี่ยนแปลง

- การแจ้งความคืบหน้าของการปฏิบัติตามคำสั่งของคณะกรรมการให้สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลทราบภายใน 7 วัน

หากบริษัทไม่ปฏิบัติตามคำสั่งนี้ จะต้องรับโทษปรับเพิ่มเติมอีกสูงสุดไม่เกิน 500,000 บาท ตามกฎหมาย PDPA มาตรา 89

สรุปบทเรียนสำหรับภาคเอกชน

กรณีนี้สะท้อนถึงการบังคับใช้กฎหมาย PDPA ในประเทศไทยที่เริ่มมีความเข้มงวดและจริงจังมากขึ้น องค์กรที่ไม่ปรับปรุงการดำเนินงานให้สอดคล้องกับกฎหมาย PDPA อาจเสี่ยงต่อการถูกตรวจสอบและรับโทษทางปกครองได้ ซึ่งนอกจากค่าปรับแล้ว ยังส่งผลกระทบต่อชื่อเสียงและความไว้วางใจจากลูกค้าและผู้มีส่วนได้ส่วนเสียอื่น ๆ

การบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลอย่างจริงจังและมีประสิทธิภาพ จะช่วยเสริมสร้างความเชื่อมั่นให้กับผู้บริโภคและสังคมโดยรวม ซึ่งเป็นเป้าหมายหลักของการคุ้มครองข้อมูลส่วนบุคคลในประเทศไทยในอนาคต

สรุปความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล

การปฏิบัติตามกฎหมาย PDPA ไม่เพียงแต่เป็นหน้าที่ทางกฎหมายที่องค์กรต้องปฏิบัติตาม แต่ยังเป็นการเสริมสร้างความเชื่อมั่นและไว้วางใจในองค์กรจากทั้งลูกค้าและสังคมโดยรวม องค์กรที่ให้ความสำคัญและปฏิบัติตามกฎหมายอย่างถูกต้องจะมีส่วนสำคัญในการเสริมสร้างความมั่นคงและความปลอดภัยของข้อมูลส่วนบุคคลของผู้บริโภคในประเทศ

การดำเนินการที่เหมาะสมตามกฎหมาย PDPA จะเป็นก้าวสำคัญในการสร้างสังคมที่มีความรับผิดชอบและเป็นธรรมในการคุ้มครองข้อมูลส่วนบุคคล และจะช่วยให้องค์กรต่าง ๆ มีความพร้อมในการเผชิญหน้ากับความท้าทายด้านความปลอดภัยข้อมูลในยุคดิจิทัลอย่างมั่นใจ

#digitaltransformation #ades #craftbykmutt