คณะกรรมการผู้เชี่ยวชาญคณะที่ 2 สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) มีคำสั่งลงโทษบริษัทเอกชนเจ้าใหญ่ เนื่องจากตรวจสอบแล้วพบว่ามีข้อมูลการซื้อสินค้าและข้อมูลส่วนบุคคลของลูกค้ารั่วไหลเป็นจำนวนมาก ทำให้มีคำสั่งฯ ระบุโทษทางปกครอง PDPA และต้องจ่ายค่าปรับเป็นเงินจำนวน 7,000,000 บาท ซึ่งนับเป็นครั้งแรกที่มีการสั่งปรับบริษัทเอกชนยักษ์ใหญ่ในประเทศไทยเลย
สคส. สั่งปรับ JIB เหตุทำข้อมูลลูกค้ารั่วไหล 7 ล้านบาท
เริ่มมาจากว่า เมื่อช่วงเดือนมีนาคมได้มีข่าวว่า ได้มีข้อมูลส่วนบุคคลของลูกค้า JIB บริษัทจำหน่ายอุปกรณ์คอมพิวเตอร์และอุปกรณ์ไอทีที่ซื้อขายสินค้าผ่านช่องทางออนไลน์จำนวนมากรั่วไหลออกไป ทำให้ข้อมูลมีความเสี่ยงที่จะตกไปอยู่ในมือมิจฉาชีพ โดยมีคนอ้างว่าเป็นพนักงานบริษัทดังกล่าวติดต่อทำให้ลูกค้าหลงเชื่อและเกิดความเสียหาย แล้วทางคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ก็มีการเรียกเข้าชี้แจง ตามรายละเอียดด้านล่าง
หลังจากตรวจสอบ แล้วก็ตรวจพบว่าบริษัทดังกล่าวไม่ได้ดำเนินการตามที่ PDPA กำหนดจริง จึงได้มีการรวบรวมพยานหลักฐานส่งไปให้คณะกรรมการผู้เชี่ยวชาญพิจารณาโทษทางปกครอง และสั่งโทษปรับรวมมูลค่ากว่า 7 ล้านบาท โดยมีรายละเอียดค่าปรับ ดังนี้
1) บริษัทที่ถูกร้องเรียนได้เก็บรวบรวมข้อมูลส่วนบุคคลของลูกค้าจำนวนมากกว่า 1 แสนราย และใช้ข้อมูลดังกล่าวในการประกอบธุรกิจหลักของบริษัท แต่กลับไม่มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ตามที่กฎหมายกำหนด จึงทำให้เมื่อเกิดข้อมูลรั่วไหล บริษัทดังกล่าวไม่สามารถเยียวยาแก้ไขปัญหาได้ ซึ่งเป็นกรณีดำเนินการที่ขัดต่อมาตรา 41 แห่งพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
2) ผู้ถูกร้องเรียนดังกล่าวไม่มีมาตรการรักษาความปลอดภัยที่เหมาะสมตามที่ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนด ทำให้ข้อมูลรั่วไหลจากบริษัทดังกล่าวไปยังกลุ่มมิจฉาชีพคือแก๊งคอลเซ็นเตอร์ และก่อให้เกิดความเสียหายในวงกว้าง การกระทำดังกล่าวจึงเป็นการกระทำที่ขัดต่อมาตรา 37(1) แห่งพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
3) เมื่อเกิดเหตุข้อร้องเรียนจากเจ้าของข้อมูลส่วนบุคคล บริษัทกลับเพิกเฉยไม่ดำเนินการแก้ไข และแจ้งเหตุให้สำนักงานคุ้มครองข้อมูลส่วนบุคคลล่าช้า ทำให้ไม่สามารถเยียวยาได้ อันเป็นความผิดตามมาตรา 37 (4) พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
นอกจากนี้ทาง สคส.ยังได้ออกคำสั่งให้บริษัทดังกล่าวปฏิบัติตาม ดังนี้
- ให้ปรับปรุงมาตรการรักษาความปลอดภัย เพื่อป้องกันไม่ให้ข้อมูลรั่วไหล
- ต้องจัดอบรมบุคลากรที่เกี่ยวข้องกับการเข้าถึง, เก็บรวบรวม, ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
- เพิ่มมาตรการรักษาความปลอดภัยให้ทันกับการเปลี่ยนแปลงของเทคโนโลยี
- ต้องแจ้งความคืบหน้าให้ทาง สคส.ทราบภายใน 7 วัน
ซึ่งถ้าบริษัทไม่ปฏิบัติตามแนวทางข้างต้นนี้ ก็จะถูกปรับเพิ่มตามกฎหมาย PDPA มาตรา 89 ในค่าปรับสูงสุดไม่เกิน 500,000 บาท
เรียกได้ว่าทางหน่วยงานที่มีความเกี่ยวข้องกับกฎหมาย PDPA ในปัจจุบัน ได้ดำเนินงานและบังคับใช้กฎหมาย PDPA อย่างจริงจังมากขึ้น แน่นอนว่าหากพบองค์กรไหนที่ไม่ดำเนินการมาตรการและมีความเสี่ยงที่จะทำข้อมูลรั่วไหล ก็จะได้รับโทษเช่นเดียวกันนั่นเอง ซึ่งเคสนี้ก็นับเป็นเคสตัวอย่างและหวังว่าจะเป็นกรณีศึกษาให้แก่องค์กรอื่น ๆ ด้วย
ที่มา : MDES
ย้อนหลังไป ปีที่แล้ว จริง ๆ เคยเจอประสบการณ์ตรง มีคนแอบอ้างว่าติดต่อมาจากบริษัททำประกันรถยนต์ ซึ่งมีประกันของบริษัทฯ ดังกล่าวจริง โดยตัวแทนอ้างว่า ประกันภัยกำลังจะหมด ด้วยข้อเสนอที่เย้ายวนใจมาก ๆ (ราคาถูกกว่าที่เคยจ่าย) สนใจจะต่อประกันเลยไหม หากใช่ ให้ยืนยันข้อมูลส่วนบุคคล ฯลฯ แต่มาโป๊ะด้วยข้อมูลบางอย่างที่มันไม่ใช่ นั่นแปลว่า ข้อมูลการประกันภัยรถยนต์ของผม หลุดและรั่วไหล แต่ไม่รู้ว่าหลุดหรือรั่วมาได้อย่างไร
โดยข้อสันนิษฐาน (เดา) ข้อมูลของต่าง ๆ ที่แก๊งคอลเซนเตอร์เอามาพูดคุยกับเรา ส่วนมาก น่าจะหลุดหรือถูกขายโดยคนในบริษัทฯ มากกว่าที่ถูกแฮก [size=3]เพราะข้อมูลส่วนบุคคลมากกว่า ๙๐% ถูกต้อง[/size][size=3] [/size]