สคส. สั่งปรับเอกชน 7 ล้าน ปล่อยให้ข้อมูลส่วนตัวประชาชนหลุด

‘ประเสริฐ’ เผย สคส. สั่งปรับเอกชน 7 ล้าน ปล่อยให้ข้อมูลส่วนตัวประชาชนหลุดถึงมือแก๊งคอลเซ็นเตอร์ กำชับปรับปรุงมาตรการรักษาความปลอดภัย ป้องกันข้อมูลรั่วไหล​ สร้างความเชื่อมั่นให้ประชาชน

วันนี้​ (21 ส​.ค.​ 67) นายประเสริฐ จันทรรวงทอง รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) แถลงความคืบหน้าการป้องกันและแก้ไขปัญหาข้อมูลรั่วไหลภาครัฐ ภาคเอกชน รวมถึงการปราบปรามแก๊งคอลเซ็นเตอร์ที่ใช้ข้อมูลส่วนบุคคลของประชาชนไปกระทำความผิดกฎหมายที่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.)

นายประเสริฐ​ กล่าวว่า คณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 มีคำสั่งปรับบริษัทเอกชนรายใหญ่ของประเทศที่มีการซื้อขายสินค้าออนไลน์ ปล่อยให้ข้อมูลส่วนบุคคลรั่วไหลไปยังแก๊งคอลเซ็นเตอร์ โดยไม่มีมาตรการควบคุมตามที่ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 กำหนด รวมถึงบริษัทดังกล่าวไม่มีการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) และละเลยไม่แจ้งเหตุละเมิดข้อมูลส่วนบุคคลที่รั่วไหลให้แก่​ สคส.ทราบภายในระยะเวลาที่กำหนด

ทั้งนี้​ คณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 มีคำสั่งลงโทษปรับทางการปกครองบริษัทดังกล่าวในอัตราสูงสุดรวมจำนวนทั้งสิ้น 7 ล้านบาท โดยมีรายละเอียดดังนี้

1.บริษัทที่ถูกร้องเรียนได้เก็บรวบรวมข้อมูลส่วนบุคคลของลูกค้ามากกว่า 1 แสนราย และใช้ข้อมูลดังกล่าวประกอบธุรกิจหลักของบริษัท แต่กลับไม่มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด ทำให้เมื่อเกิดข้อมูลรั่วไหล บริษัทดังกล่าวไม่สามารถเยียวยาแก้ไขปัญหาได้​ เป็นกรณีดำเนินการที่ขัดต่อมาตรา 41 แห่ง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562

2.ผู้ถูกร้องเรียนดังกล่าวไม่มีมาตรการรักษาความปลอดภัยที่เหมาะสมตามที่ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 กำหนด ทำให้ข้อมูลรั่วไหลไปยังกลุ่มมิจฉาชีพแก๊งคอลเซ็นเตอร์ เกิดความเสียหายในวงกว้าง เป็นการกระทำที่ขัดต่อมาตรา 37(1) แห่ง​ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562

3.เมื่อเกิดเหตุข้อร้องเรียนจากเจ้าของข้อมูลส่วนบุคคล บริษัทกลับเพิกเฉยไม่ดำเนินการแก้ไข และแจ้งเหตุให้สำนักงานคุ้มครองข้อมูลส่วนบุคคลล่าช้า ทำให้ไม่สามารถเยียวยาได้ เป็นความผิดตามมาตรา​ 37 (4) พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562

นอกจากนี้​ คณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 ยังมีคำสั่งให้บริษัทผู้ถูกร้องเรียนปรับปรุงมาตรการรักษาความปลอดภัย โดยป้องกันไม่ให้ข้อมูลรั่วไหลอีก รวมทั้งมีคำสั่งกำชับให้บริษัทผู้ถูกร้องเรียนดำเนินการอบรมพนักงานเจ้าหน้าที่ รวมถึงเพิ่มเติมมาตรการรักษาความปลอดภัยให้ทันสมัย กับเทคโนโลยีที่เปลี่ยนแปลงไป และต้องแจ้งให้สำนักงานคุ้มครองข้อมูลส่วนบุคคลทราบถึงมาตรการแก้ไขดังกล่าวภายใน 7 วัน นับแต่ได้รับคำสั่ง

“คำสั่งลงโทษปรับทางการปกครองดังกล่าว เป็นคำสั่งลงโทษปรับทางการปกครองฉบับแรกกับบริษัท เอกชนรายใหญ่ โดยคณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 ตั้งแต่ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 มีผลใช้บังคับ ซึ่งเป็นไปตามหลักเกณฑ์ของกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรปหรือ GDPR” นายประเสริฐ กล่าว

นายประเสริฐ กล่าวเพิ่มเติมว่า คำสั่งปรับดังกล่าวต้องการคุ้มครองประชาชนจากปัญหากรณีแก๊งคอลเซ็นเตอร์และข้อมูลส่วนบุคคลรั่วไหลที่เป็นปัญหาหลักของประเทศในตลอดระยะเวลา 2 ปีที่ผ่านมา รวมถึงเป็นการแจ้งเตือนไปยังหน่วยงานภาครัฐและหน่วยงานภาคเอกชนที่มีข้อมูลส่วนบุคคลรั่วไหล ให้ต้องดำเนินการแจ้งสำนักงานคุ้มครองข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด

คำสั่งปรับทางการปกครองฉบับนี้จะใช้เป็นมาตรฐาน และบรรทัดฐานในการพิจารณาเรื่องข้อมูลรั่วไหลในภาครัฐ และภาคเอกชน ที่มีการร้องเรียนเข้าที่สำนักงานคุ้มครองข้อมูลส่วนบุคคลต่อไป และผลจากการปรับครั้งนี้จะทำให้ภาครัฐและภาคเอกชนเคร่งครัดและปฎิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 มากขึ้น รวมถึงเป็นส่วนหนึ่งของมาตรการในการป้องปรามอาชญากรรมแก๊งคอลเซ็นเตอร์ที่เกิดขึ้น จากการนำเอาข้อมูลส่วนบุคคลของประชาชนที่มีอยู่มากในปัจจุบันไปใช้โดยผิดกฎหมาย

นอกจากนี้มาตรการดังกล่าวยังช่วยในการเยียวยาบรรเทาความเสียหายให้กับเจ้าของข้อมูลส่วนบุคคลที่ข้อมูลส่วนบุคคลรั่วไหลจากเหตุดังกล่าวข้างต้น และสร้างความเชื่อมั่นให้กับประชาชนในการใช้ข้อมูลส่วนบุคคลทางออนไลน์ทั้งภาครัฐและภาคเอกชน