เอาจริง!! ปรับ 7 ล้าน บริษัทเอกชน ข้อมูลลูกค้ากว่าแสนรายหลุดถึงแก๊งคอลเซ็นเตอร์

สคส. เอาจริง สั่งปรับบริษัทเอกชน 7 ล้านบาท หลังปล่อยข้อมูลลูกค้ากว่าแสนราย รั่วไหลถึงมือแก๊งคอลเซ็นเตอร์ สร้างความเสียหายให้ประชาชน

พล.อ.ภุชพงศ์ พงษ์ศิริ ประธานกรรมการผู้เชี่ยวชาญด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคล กล่าวว่า สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) หรือ PDPC ได้สั่งปรับบริษัทเอกชนแห่งหนึ่ง เป็นจำนวน 7 ล้านบาท เนื่องจากได้ปล่อยให้มีการรั่วไหลของข้อมูลลูกค้าจำนวนมาก และข้อมูลเหล่านั้นได้ถูกส่งผ่านไปแก๊งคอลเซนเตอร์ สร้างความเสียหายให้ประชาชน

ทั้งนี้ กรณีดังกล่าวมีประชาชนที่ถูกละเมิดข้อมูลส่วนบุคคลมากกว่า 1 แสนราย แต่มีผู้ที่มาร้องเรียนจริง 21 ราย โดยบริษัทแห่งนี้ได้กระทำความผิดมาตั้งแต่ปี 2563 ซึ่งสามารถสรุปประเด็นความผิดได้เป็น 3 เรื่อง ดังนี้

1. บริษัทที่ถูกร้องเรียนได้เก็บรวบรวมข้อมูลส่วนบุคคลของลูกค้าจำนวนมากกว่า 1 แสนราย และใช้ข้อมูลดังกล่าวในการประกอบธุรกิจหลักของบริษัท แต่ไม่มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด จึงทำให้เกิดข้อมูลรั่วไหล

นอกจากนี้ ยังไม่สามารถเยียวยา แก้ปัญหาให้ประชาชนได้ ซึ่งขัดต่อมาตรา 41 แห่งพ.ร.บ.ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ลงโทษปรับ 1 ล้านบาท

2. บริษัทที่ถูกร้องเรียน ไม่มีมาตรการรักษาความปลอดภัยที่เหมาะสม ตามที่พ.ร.บ.ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 กำหนด ทำให้ข้อมูลรั่วไหลจากบริษัทดังกล่าวไปยังกลุ่มมิจฉาชีพ แก๊งคอลเซนเตอร์ และก่อให้เกิดความเสียหายในวงกว้าง ขัดต่อมาตรา 37 (1) แห่งพ.ร.บ.ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ลงโทษปรับ 3 ล้านบาท

3. เมื่อเกิดเหตุข้อขัดข้อง และการร้องเรียนจากเจ้าของข้อมูลส่วนบุคคลจำนวน 21 ราย บริษัทกลับเพิกเฉย ไม่ดำเนินการแก้ไข และแจ้งเหตุให้สคส. ล่าช้า ทำให้ไม่สามารถเยียวยาได้ เป็นความผิดตามมาตรา 37 (4) พ.ร.บ.ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ลงโทษปรับ 3 ล้านบาท

นายประเสริฐ จันทรรวงทอง รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) กล่าวว่า สคส. ได้ตักเตือน และแจ้งไปยังบริษัทดังกล่าวแล้ว แต่กลับไม่มีการปฏิบัติตาม จนกระทั่งมีผู้เสียหายจำนวนมาก

หลังจากที่คณะกรรมการผู้เชี่ยวชาญคณะที่ 2 ได้ดำเนินการตรวจสอบข้อมูลแล้ว เห็นว่ามีองค์ประกอบหลายอย่าง นอกจากไม่ปฎิบัติตามพ.ร.บ.แล้ว ยังไม่แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือเจ้าหน้าที่ DPO และไม่แจ้งเหตุละเมิดข้อมูลส่วนบุคคลให้ สคส. ทราบภายในเวลาที่กำหนด

คณะกรรมการผู้เชี่ยวชาญคณะที่ 2 จึงได้พิจารณา และมีคำสั่งลงโทษปรับทางการปกครองบริษัทดังกล่าว ในอัตราสูงสุดเป็นจำนวนเงินทั้งสิ้น 7 ล้านบาท

ที่สำคัญ ยังถือเป็นครั้งแรกที่ได้ดำเนินการตามกฎหมาย ซึ่งผลจากการดำเนินในครั้งนี้หวังว่าจะสร้างความตื่นตัวให้ทั้งภาครัฐ ภาคเอกชน ในเรื่องการเคร่งครัด และปฏิบัติตามพ.ร.บ.ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ซึ่งมีผลบังคับใช้มาตั้งแต่ปี 2562

นายไพบูลย์ อมรภิญโญเกียรติ กรรมการผู้เชี่ยวชาญด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคล กล่าวว่า ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล หากมีข้อมูลส่วนบุคคลเก็บไว้ต้องมีมาตรการรักษาความปลอดภัย และหากหน่วยงานใดมีข้อมูลจำนวนมากเกิน 1 แสนราย และได้นำข้อมูลมาใช้ประกอบกิจการ จำเป็นต้องมีมาตรการรักษาความปลอดภัย มีเจ้าหน้าที่ DPO และมาตรการรักษาความปลอดภัย ระวังเรื่องข้อมูลรั่วไหล

ทั้งนี้ หากเกิดข้อมูลรั่วไหลต้องแจ้งสคส. ภายใน 72 ชั่วโมง หรือภายใน 15 วัน และถ้าข้อมูลที่รั่วไหลนั้นทำให้ประชาชนเดือดร้อน ก็ต้องแจ้งประชาชนด้วย

ในช่วง 2-3 ปีที่ผ่านมา พบมีปัญหาข้อมูลหลุดจากหน่วยงานภาครัฐค่อนข้างเยอะ ปัจจุบัน มีร้องเรียนเรื่องข้อมูลรั่วไหลกว่า 4,000 เรื่อง ซึ่งเรื่องนี้เป็นเรื่องแรกที่ดำเนินการปรับ และเรื่องอื่น ๆ ก็จะดำเนินการตามมา

อ่านข่าวเพิ่มเติม

• ดีอี แตะมือ สกมช. ยัน แอปฯ ทางรัฐ มีระบบป้องกันข้อมูลรั่วไหล
• 'เมตา' ยอมจ่าย 5 หมื่นล้าน ยุติคดี 'ใช้ข้อมูลทางชีวภาพ' โดยไม่ได้รับอนุญาต
• ใครตั้งชื่อ ฝีดาษวานร-Mpox 'หมอยง' มีคำตอบ

ติดตามเราได้ที่

• เว็บไซต์: https://www.thebangkokinsight.com/
• Facebook: https://www.facebook.com/TheBangkokInsight
• X (Twitter):https://twitter.com/BangkokInsight
• Instagram: https://www.instagram.com/thebangkokinsight/
• Youtube:https://www.youtube.com/channel/UCYmFfMznVRzgh5ntwCz2Yxg