สคส.สั่งปรับบริษัทเอกชนรายใหญ่ 7 ลบ. ฐานปล่อยข้อมูลรั่วไหลถึงมือแก๊งคอลเซ็นเตอร์
ประเดิมครั้งแรก! สคส.สั่งปรับบริษัทเอกชนรายใหญ่ 7 ล้านบาท ฐานปล่อยข้อมูลรั่วไหลจำนวนมาก และข้อมูลถูกส่งผ่านไปถึงแก๊งคอลเซ็นเตอร์แล้ว สร้างความเสียหายให้กับประชาชน
วันที่ 21 สิงหาคม 2567 เวลา 11.00 น. สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) แถลงข่าว สคส.คุมเข้ม สั่งปรับข้อมูลรั่วไหลภาคเอกชน จำนวน 7 ล้านบาท ที่ ศูนย์บริการประชาชน PDPA Center
นายประเสริฐ จันทรรวงทอง รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม กล่าวว่า ตั้งแต่หน่วยงาน สคส.ได้ก่อตั้งขึ้น และมีพระราชบัญญัติที่เกี่ยวข้อง นับเป็นครั้งแรกที่ได้ดำเนินการตามกฎหมาย และที่สำคัญได้ให้ความสำคัญถึงการปฏิบัติตามกฎหมายในเรื่องการคุ้มครองข้อมูลส่วนบุคคลอย่างเข้มงวด
สืบเนื่องจากมีบริษัทแห่งหนึ่งได้ปล่อยให้มีการรั่วไหลของข้อมูลจำนวนมาก และข้อมูลเหล่านั้นได้ถูกส่งผ่านไปยังแก๊งคอลเซ็นเตอร์และสร้างความเสียหายให้กับประชาชน โดยที่ไม่มีมาตรการควบคุม กำกับดูแลแต่อย่างใด โดยเฉพาะอย่างยิ่งไม่ปฏิบัติตาม พ.ร.บ.ว่า ด้วยการคุ้มครองข้อมูลส่วนบุคคล ซึ่งในเรื่องนี้ทางสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้ทำการตักเตือน บอกกล่าว แจ้งไปยังบริษัทดังกล่าว แต่ระยะเวลาที่ผ่านมาไม่ได้รับการปฏิบัติตาม จนในที่สุดมีผู้เสียหายจำนวนมาก
ขณะนี้หลังจากที่คณะกรรมการชุดที่ 2 ได้ดำเนินการตรวจสอบข้อมูลแล้ว เห็นว่ามีองค์ประกอบหลายอย่าง โดยเฉพาะอย่างยิ่งนอกจากไม่ปฏิบัติตาม พ.ร.บ.แล้ว ยังไม่มีการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือเจ้าหน้าที่ DPO และละเลยในการไม่แจ้งเหตุละเมิดข้อมูลส่วนบุคคลให้แก่สำนักงาน สคส.ได้รับทราบภายในระยะเวลาที่กำหนด
ทั้งนี้ หลังจากให้ระยะเวลาในการให้บริษัทเอกชนดังกล่าวในการปรับปรุงแล้ว คณะกรรมการผู้เชี่ยวชาญคณะที่ 2 ได้พิจารณาและคำสั่งลงโทษปรับทางการปกครองบริษัทดังกล่าวในอัตราสูงสุด เป็นจำนวนเงินทั้งสิ้น 7 ล้านบาท โดยบริษัทแห่งนี้เป็นบริษัทขนาดใหญ่ มีขนาดธุรกิจวงเงินนับหมื่นล้านบาท
"ผลจากการดำเนินการในครั้งนี้ จะสร้างความตื่นตัวในภาครัฐและเอกชนในเรื่องของการเคร่งครัดและปฏิบัติตาม พ.ร.บ.ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ซึ่งมีผลบังคับใช้ตั้งแต่ปี 2562 อยากให้ทุกคนตระหนักถึงความสำคัญในการปราบปรามด้านอาชญากรรมทางไซเบอร์ แก๊งคอลเซ็นเตอร์ที่เกิดขึ้น เอาข้อมูลไปขายทำให้เกิดความเสียหายต่างๆ และยังช่วยเยียวผู้เสียหาย การดำเนินการครั้งนี้จะสร้างความเชื่อมั่นให้กับประชาชน และสร้างความมั่นคงทางด้านไซเบอร์"
พล.อ.ภุชพงศ์ พงษ์ศิริ ประธานกรรมการผู้เชี่ยวชาญด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคล กล่าวว่า กรณีดังกล่าวมีประชาชนที่ถูกละเมิดข้อมูลส่วนบุคคลมากกว่า 100,000 ราย แต่มีผู้ที่มาร้องเรียนจริง 21 ราย โดยบริษัทแห่งนี้ได้กระทำความผิดมาตั้งแต่ปี 2563
ทั้งนี้ สามารถสรุปประเด็นความผิดได้เป็น 3 เรื่อง ดังนี้
- บริษัทที่ถูกร้องเรียนได้เก็บรวบรวมข้อมูลส่วนบุคคลของลูกค้าจำนวนมากกว่า 100,000 ราย และใช้ข้อมูลดังกล่าวในการประกอบธุรกิจหลักของบริษัท แต่กลับไม่มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด จึงทำให้เกิดข้อมูลรั่วไหล และบริษัทดังกล่าวไม่สามารถเยียวยา แก้ปัญหาให้ประชาชนได้ ซึ่งเป็นกรณีที่ดำเนินการขัดต่อมาตรา 41 แห่งพ.ร.บ.ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 สรุปคือแม้บริษัทรู้เรื่องแล้ว แต่ก็ไม่เยียวยาให้ประชาชนที่เดือดร้อน ในประเด็นนี้ลงโทษปรับ 1 ล้านบาท
- ผู้ถูกร้องเรียนดังกล่าว ไม่มีมาตรการรักษาความปลอดภัยที่เหมาะสม ตามที่พ.ร.บ.ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 กำหนด ทำให้ข้อมูลรั่วไหลจากบริษัทดังกล่าวไปยังกลุ่มมิจฉาชีพ แก๊งคอลเซนเตอร์ และก่อให้เกิดความเสียหายในวงกว้าง การกระทำดังกล่าวขัดต่อมาตรา 37 (1) แห่งพ.ร.บ.ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ในประเด็นนี้ลงโทษปรับ 3 ล้านบาท
- เมื่อเกิดเหตุข้อขัดข้อง และการร้องเรียนจากเจ้าของข้อมูลส่วนบุคคลจำนวน 21 ราย บริษัทกลับเพิกเฉย ไม่ดำเนินการแก้ไข และแจ้งเหตุให้สคส. ล่าช้า ทำให้ไม่สามารถเยียวยาได้ เป็นความผิดตามมาตรา 37 (4) พ.ร.บ.ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ในประเด็นนี้ลงโทษปรับ 3 ล้านบาท