“…จากข้อเท็จจริงในการตรวจสอบพบเพิ่มเติมอีกว่า ผู้ถูกร้องเรียน นอกจากไม่มีมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคลดังกล่าวที่เพียงพอแล้ว ยังไม่จำกัดการเข้าถึงข้อมูลส่วนบุคคลของลูกค้าผู้ถูกร้องเรียน กล่าวคือ พนักงานเจ้าหน้าที่ของผู้ถูกร้องเรียนเกือบทุกแผนก ไม่ว่าจะเป็นพนักงานฝ่ายขายออนไลน์ ฝ่ายบรรจุสินค้า ฝ่ายการเงิน ฝ่ายบัญชี และพนักงานทุกคนสามารถเข้าถึง ข้อมูลส่วนบุคคลของลูกค้าได้ทั้งหมด…”
....................................
สืบเนื่องจากกรณีที่เมื่อวันที่ 31 ก.ค.2567 คณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 (เรื่องร้องเรียนเกี่ยวกับเทคโนโลยีดิจิทัล และอื่นๆ) สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ได้มีคำสั่งลงโทษปรับทางปกครอง บริษัท เจ.ไอ.บี. คอมพิวเตอร์ กรุ๊ป จำกัด (JIB) ผู้จัดจำหน่ายคอมพิวเตอร์และอุปกรณ์ไอที
โดยลงโทษปรับ บริษัท เจ.ไอ.บี. คอมพิวเตอร์ฯ เป็นเงิน 7 ล้านบาท เนื่องจากทำให้ข้อมูลส่วนบุคคลของลูกค้าที่มีการซื้อขายสินค้าออนไลน์รั่วไหล และมีความบกพร่องในการทำตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA) นั้น (อ่านประกอบ : ลงดาบ PDPA ครั้งแรก! สคส.สั่งปรับ บ.JIB 7 ล้าน ทำข้อมูลลูกค้าออนไลน์รั่วไหลจำนวนมาก)
สำนักข่าวอิศรา (www.isranews.org) จึงขอนำเสนอรายละเอียดของคำสั่งคณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 ที่มี พล.อ.ภุชพงศ์ พงษ์ศิริ ในกรณีนี้ ซึ่งคำสั่งดังกล่าวได้มีการวินิจฉัยพฤติการณ์ของบริษัท เจ.ไอ.บี. คอมพิวเตอร์ฯ ใน 3 ประเด็น ก่อนจะมีคำสั่งลงโทษปรับทางปกครองกับ บริษัท เจ.ไอ.บี. คอมพิวเตอร์ฯ รวม 7 ล้านบาท มีรายละเอียด ดังนี้
@ลูกค้า 23 ราย ยื่นร้องเรียนปม JIB ทำข้อมูลส่วนบุคคลรั่ว
คำสั่งคณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 ที่ คจ 7/2567 เรื่อง ให้ปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลอย่างเคร่งครัด
ผู้ร้องเรียน ตามรายชื่อผู้ร้องแนบท้าย จำนวน 23 ราย
ผู้ถูกร้องเรียน บริษัท เจ.ไอ.บี.คอมพิวเตอร์ กรุ๊ป จำกัด
เรื่องร้องเรียนนี้สรุปความได้ว่า ผู้ร้องเรียนเป็นลูกค้าที่ทำการซื้อขายสินค้ากับ บริษัท เจ.ไอ.บี. คอมพิวเตอร์ กรุ๊ป จำกัด (“ผู้ถูกร้องเรียน”) ผ่านช่องทางออนไลน์ในช่วงระยะเวลานับตั้งแต่ปี พ.ศ.2563 จนถึง พ.ศ.2567
ต่อมามีบุคคลแอบอ้างเป็นพนักงานของผู้ถูกร้องเรียนติดต่อเข้ามาแจ้งรายละเอียดข้อมูลส่วนบุคคลของผู้ร้องเรียนได้แก่ ชื่อตัว ชื่อสกุล ที่อยู่ หมายเลขบัตรประจำตัวประชาชน หมายเลขโทรศัพท์เคลื่อนที่ หมายเลขคำสั่งซื้อ สินค้าที่ซื้อ และจำนวนมูลค่าของสินค้าที่ซื้อ ส่งผลให้ผู้ร้องเรียนหลงเชื่อจนทำให้เกิดความเสียหาย จึงได้ยื่นร้องเรียนมายังสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
จากข้อเท็จจริงดังกล่าวข้างต้น ผู้ถูกร้องเรียนถือเป็น “ผู้ควบคุมข้อมูลส่วนบุคคล” ตามมาตรา 6 แห่ง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 เนื่องจากผู้ถูกร้องเรียนเป็นนิติบุคคลที่มีอำนาจหน้าที่ในการตัดสินใจ เก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของลูกค้าที่ทำการซื้อขายสินค้ากับผู้ถูกร้องเรียน
ดังนั้น ผู้ถูกร้องเรียนในฐานะผู้ควบคุมข้อมูลส่วนบุคคลจึงมีหน้าที่ตามกฎหมาย ตามมาตรา 37 และมาตรา 41 แห่ง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ซึ่งมีรายละเอียดดังต่อไปนี้
(1) ผู้ถูกร้องเรียนต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบและต้องทบทวนมาตรการดังกล่าวเมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม ทั้งนี้ ให้เป็นไปตามมาตรฐานขั้นต่ำที่คณะกรรมการประกาศกำหนด (มาตรา 37 (1))
(2) ผู้ถูกร้องเรียนต้องแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สำนักงานคุ้มครองข้อมูลส่วนบุคคลโดยไม่ชักช้าภายใน 72 ชั่วโมงนับแต่ทราบเหตุเท่าที่จะสามารถกระทำได้ และในกรณีที่การละเมิดข้อมูลส่วนบุคคลมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิเสรีภาพของบุคคล ให้แจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อมแนวทางการเยียวยาโดยไม่ชักช้า (มาตรา 37 (4))
(3) ผู้ถูกร้องเรียนต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามข้อกำหนดและเงื่อนไขที่กฎหมายกำหนด ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลมีการเก็บรวบรวม ใช้ข้อมูลส่วนบุคคลจำนวนมาก และใช้ข้อมูลส่วนบุคคลดังกล่าวเป็นกิจกรรมหลัก (Core Activities) ของบริษัท (มาตรา 41)
จากข้อเท็จจริงที่มีผู้ร้องเรียน ยื่นต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเพื่อให้ดำเนินการตรวจสอบ พบว่า ผู้ถูกร้องเรียนมีการกระทำที่ละเมิดข้อมูลส่วนบุคคล คือ ไม่มีมาตรการป้องกันรักษาความปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสมทำให้ข้อมูลส่วนบุคคลรั่วไหลจากองค์กรจำนวนมาก จนปรากฏเป็นข่าวต่อสาธารณชนและรายละเอียดปรากฏตามบันทึกถ้อยคำของผู้ถูกร้องเรียน และพยานหลักฐานที่เกี่ยวข้อง คณะกรรมการผู้เชี่ยวชาญจึงต้องพิจารณาประเด็นข้อกฎหมายที่เกี่ยวข้อง ดังต่อไปนี้
@สั่งปรับ 1 ล้านบาท ไม่แจ้งเหตุละเมิด‘ข้อมูลส่วนบุคคล’
ประเด็นที่ 1 ผู้ถูกร้องเรียนในฐานะผู้ควบคุมข้อมูลส่วนบุคคล มีหน้าที่ต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามมาตรา 41 (2) แห่ง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือไม่
จากข้อเท็จจริงในการสอบสวนและหนังสือรับรองของบริษัทผู้ถูกร้องเรียนที่จดทะเบียนกับกรมพัฒนาธุรกิจการค้า กระทรวงพาณิชย์ ระบุชัดเจนว่า ผู้ถูกร้องเรียนเป็นผู้ควบคุมข้อมูลส่วนบุคคลที่ประกอบธุรกิจเกี่ยวกับ “การขายปลีกอุปกรณ์คอมพิวเตอร์” โดยมีทุนจดทะเบียน 350 ล้านบาท และมีรายได้มากกว่า 6,000 ล้านบาทต่อปี โดยจำหน่ายสินค้าให้แก่ผู้บริโภคทั่วประเทศ ถือได้ว่า ธุรกิจของผู้ถูกร้องเรียนเป็นกิจการขนาดใหญ่
โดยในการซื้อขายอุปกรณ์คอมพิวเตอร์ดังกล่าว ผู้ถูกร้องเรียนได้ใช้ข้อมูลส่วนบุคคลของลูกค้าจำนวนมาก (จำนวนมากตั้งแต่ 100,000 รายขึ้นไป) เพื่อใช้ในการทำคำเสนอซื้อขายสินค้าและส่งสินค้าให้แก่ลูกค้า ซึ่งถือได้ว่าการเก็บรวบรวม ใช้ หรือประมวลผลข้อมูลส่วนบุคคลของผู้ถูกร้องเรียนดังกล่าว “เป็นกิจกรรมหลักของผู้ควบคุมข้อมูลส่วนบุคคล” ที่มีข้อมูลส่วนบุคคลจำนวนมากตามมาตรา 41 (2) แห่ง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562
ดังนั้น ผู้ถูกร้องเรียนจึงมีหน้าที่ที่ต้องจัดให้มี “เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” ตามมาตรา 41 (2) แห่ง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ประกอบกับประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง การจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามมาตรา 41 (2) แห่ง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 พ.ศ.2566 ฉบับลงวันที่ 14 ก.ย.2566 ซึ่งมีผลใช้บังคับวันที่ 13 ธ.ค.2566
เมื่อพิจารณาข้อเท็จจริงและจากการตรวจสอบพบว่า ผู้ถูกร้องเรียนได้เก็บรวบรวมและใช้ข้อมูลส่วนบุคคลของลูกค้าจำนวนมากกว่า 100,000 ราย ซึ่งถือว่าผู้ถูกร้องเรียนประกอบกิจกรรมหลักทางธุรกิจที่มีการใช้ข้อมูลส่วนบุคคลจำนวนมาก ซึ่งเป็นส่วนหนึ่งของการประกอบธุรกิจหลักของบริษัทเพื่อแสวงหากำไร
โดยจากคำให้การของตัวแทนผู้รับมอบอำนาจของผู้ถูกร้องเรียน ผู้ถูกร้องเรียนทราบถึงปัญหาการรั่วไหลของข้อมูลส่วนบุคคลในบริษัทผู้ถูกร้องเรียนตั้งแต่ปี 2563 แต่ผู้ถูกร้องเรียนกลับไม่ได้แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามที่กฎหมายกำหนดเพื่อแก้ปัญหาดังกล่าว
ข้อเท็จจริงดังกล่าวสอดคล้องกับคำให้การของตัวแทนผู้รับมอบอำนาจผู้ถูกร้องเรียนที่ยอมรับว่า ผู้ถูกร้องเรียนเพิ่งแต่งตั้ง (ข้อมูลถูกปิดทับ) เป็นเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เมื่อวันที่ 5 เม.ย.2567 โดยมีหน้าที่เพียงการให้คำแนะนำในการจัดทำเอกสารตามกฎหมาย (รายละเอียดปรากฏตามบันทึกการให้ข้อมูลกับพนักงานเจ้าหน้าที่ เรื่อง การให้ข้อมูลเกี่ยวกับเหตุการละเมิดข้อมูลส่วนบุคคลของบริษัทผู้ถูกร้องเรียน ฉบับลงวันที่ 6 มิ.ย.2567) โดยการแต่งตั้งดังกล่าว ไม่ได้ดำเนินการภายในระยะเวลาที่กฎหมายกำหนด และเป็นการแต่งตั้งภายหลังจากที่เกิดเหตุละเมิดข้อมูลส่วนบุคคลขึ้นแล้ว
พฤติกรรมดังกล่าวเมื่อพิจารณาหลักเกณฑ์การพิจารณาโทษปรับทางปกครอง โดยพิจารณาถึงรายละเอียดการกระทำความผิด ขนาดกิจการ ความร้ายแรงของข้อมูลที่รั่วไหล มาตรฐานจริยธรรมทางธุรกิจ จึงระบุได้อย่างชัดเจนว่า ผู้ถูกร้องเรียนมีเจตนาฝ่าฝืนและไม่ปฏิบัติตาม มาตรา 41 แห่ง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 และประกาศที่เกี่ยวข้อง จึงเป็นเหตุทำให้ผู้ถูกร้องเรียนไม่สามารถปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลได้อย่างถูกต้องครบถ้วน
กล่าวคือ ผู้ถูกร้องเรียนไม่ดำเนินการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล หรือประสานงานกับหน่วยงานของรัฐหรือเจ้าของข้อมูลส่วนบุคคลที่รั่วไหลจำนวนมาก ทั้งๆ ที่ทราบว่า มีข้อมูลรั่วไหลตั้งแต่ปี พ.ศ.2563 รวมถึงเป็นเหตุที่ผู้ถูกร้องเรียนไม่สามารถเยียวยาความเสียหายที่เกิดขึ้นจากการละเมิดข้อมูลส่วนบุคคลได้อย่างทันท่วงทีหรือมีประสิทธิภาพเท่าที่ควร
อาศัยอำนาจตามมาตรา 41 และมาตรา 82 แห่ง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 และประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์การพิจารณาออกคำสั่งลงโทษปรับทางปกครองของคณะกรรมการผู้เชี่ยวชาญ พ.ศ.2565
คณะกรรมการผู้เชี่ยวชาญมีความเห็นว่า การกระทำข้างต้นถือว่าเป็นการกระทำโดยจงใจหรือประมาทเลินเล่ออย่างร้ายแรงโดยไม่ดำเนินการแก้ไข เยียวยาปัญหาดังกล่าว อันผิดแนวปฏิบัติทางธุรกิจที่ธุรกิจพึงกระทำ จึงถือเป็นกรณีร้ายแรง คณะกรรมการผู้เชี่ยวชาญจึงมีคำวินิจฉัยให้ลงโทษปรับทางปกครองในอัตราสูงสุดจำนวน 1,000,000 บาท
@‘พนง.’เกือบทุกแผนกเข้าถึง‘ข้อมูลส่วนบุคคล’ลูกค้าได้
ประเด็นที่ 2 ผู้ถูกร้องเรียนมีมาตรการรักษาความปลอดภัยข้อมูลส่วนบุคคลที่เหมาะสมตามที่กฎหมายกำหนดหรือไม่
เมื่อพิจารณาข้อเท็จจริงและสาเหตุที่ข้อมูลส่วนบุคคลรั่วไหลจากบริษัทผู้ถูกร้องเรียนจนถึงมือคอลเซ็นเตอร์ (Call Center) นำข้อมูลที่ละเมิดข้อมูลส่วนบุคคลดังกล่าวไปใช้ (อันประกอบด้วยชื่อนามบุคคล หมายเลขเอกสาร คำร้องขอผู้ร้องเรียน คำให้การของผู้ถูกร้องเรียน และรายละเอียดข้อมูลต่าง ๆ ที่เกี่ยวข้อง) เพื่อตรวจสอบว่า ข้อมูลส่วนบุคคลรั่วไหลจากสาเหตุใด และผู้ถูกร้องเรียนมีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสมตามที่กฎหมายกำหนดหรือไม่
คณะกรรมการผู้เชี่ยวชาญพบว่า ข้อมูลที่รั่วไหลเกิดจากที่ผู้ถูกร้องเรียนไม่มีมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคลที่มีมาตรฐานขั้นต่ำตามที่กฎหมายกำหนด หรือไม่มีประสิทธิภาพเพียงพอทำให้เกิดเหตุการละเมิดข้อมูลส่วนบุคคล ระหว่างปี พ.ศ.2563-2567 จนถึงปัจจุบัน (ตามคำให้การของผู้ถูกร้องเรียน)
นอกจากนี้ ยังปรากฏข้อเท็จจริงว่า มีผู้ร้องเรียนในระหว่างวันที่ 20 ม.ค.2567 ถึง 31 มิ.ย.2567 จำนวนสูงถึง 422 ราย (ซึ่งในส่วนนี้มีผู้ร้องเรียนถึงสำนักงานคุ้มครองข้อมูลส่วนบุคคล จำนวน 23 ราย) ซึ่งตามมาตรา 37 (1) แห่ง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562
ประกอบกับข้อ 4. ของประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความปลอดภัยข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ.2565 ฉบับลงวันที่ 20 มิ.ย.2565 ระบุโดยชัดเจนในประกาศข้อ 4 ว่า
“ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ต้องจัดให้มีมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบตามกฎหมายกำหนด โดยต้องจำกัดสิทธิในการเข้าถึงและทำสำเนาข้อมูลส่วนบุคคล”
จากข้อเท็จจริงในการตรวจสอบพบเพิ่มเติมอีกว่า ผู้ถูกร้องเรียน นอกจากไม่มีมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคลดังกล่าวที่เพียงพอแล้ว ยังไม่จำกัดการเข้าถึงข้อมูลส่วนบุคคลของลูกค้าผู้ถูกร้องเรียน กล่าวคือ พนักงานเจ้าหน้าที่ของผู้ถูกร้องเรียนเกือบทุกแผนก ไม่ว่าจะเป็นพนักงานฝ่ายขายออนไลน์ ฝ่ายบรรจุสินค้า ฝ่ายการเงิน ฝ่ายบัญชี และพนักงานทุกคนสามารถเข้าถึง ข้อมูลส่วนบุคคลของลูกค้าได้ทั้งหมด
ไม่มีมาตรการการควบคุมการเข้าถึงข้อมูลส่วนบุคคลและส่วนประกอบของระบบสารสนเทศที่สำคัญ (Access Control) และการกำหนดสิทธิในการเข้าถึงหรือใช้งาน (Authorization) ตามประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ.2565
นอกจากนี้ เมื่อผู้ถูกร้องเรียนทราบว่า มีการบันทึกข้อมูลส่วนบุคคลในไฟล์ Excel ซึ่งมีข้อมูลส่วนบุคคลจำนวนมาก สูญหายไปจากบริษัทเป็นระยะเวลานาน แต่ผู้ถูกร้องเรียนกลับเพิกเฉยไม่เคยดำเนินการแก้ไขปรับปรุงมาตรการรักษาความมั่นคงปลอดภัยในข้อมูลส่วนบุคคล ตามที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 กำหนด จนก่อให้เกิดความเสียหายเป็นวงกว้าง
อาศัยข้อมูลจากข้อเท็จจริง พยานบุคคล พยานเอกสารดังกล่าวข้างต้น จึงบ่งชี้โดยชัดเจนว่าการกระทำดังกล่าวของผู้ควบคุมข้อมูลส่วนบุคคล เป็นการกระทำที่ขัดต่อมาตรา 37 (1) แห่ง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ซึ่งระบุให้ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ต้องจัดให้มีมาตรการรักษาความปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ แก้ไข เปลี่ยนแปลง หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจโดยมิชอบ
รวมถึงเมื่อเกิดเหตุข้อมูลส่วนบุคคลรั่วไหลด้วยเทคโนโลยีที่เปลี่ยนแปลงผู้ควบคุมข้อมูลส่วนบุคคลต้องทบทวนมาตรการดังกล่าวเมื่อมีความจำเป็นหรือเทคโนโลยีเปลี่ยนแปลงตามมาตรฐานขั้นต่ำตามประกาศของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ.2565 ข้างต้น
ดังนั้น การที่ผู้ถูกร้องเรียนละเลยไม่แก้ไขมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคล จากกรณีที่ข้อมูลส่วนบุคคลรั่วไหลตั้งแต่ปี พ.ศ.2563 จนถึงวันที่พิจารณาข้อร้องเรียนเป็นระยะเวลาถึง 4 ปีโดยต่อเนื่องกัน
การกระทำดังกล่าวของผู้ถูกร้องเรียน จึงถือว่าเป็นการกระทำที่เป็นความผิดที่จงใจหรือประมาทเลินเล่ออย่างร้ายแรงอันเป็นกรณีร้ายแรงโดยผิดจริยธรรมของผู้ประกอบธุรกิจออนไลน์ที่จะกระทำ ทั้งๆ ที่ผู้ถูกร้องเรียนมีรายได้หลักจากการซื้อขายสินค้าที่ใช้ข้อมูลส่วนบุคคลจำนวนมากในการขายสินค้าและให้บริการ
โดยเฉพาะในช่วงปี ในช่วงปี พ.ศ.2563 ถึง 2566 ที่ข้อมูลส่วนบุคคลรั่วไหลมีรายได้รวม 4 ปีที่ข้อมูลรั่วไหลมากกว่า 30,000 ล้านบาท (กล่าวคือ ปี พ.ศ.2563 รายได้ 8,261,260,121.00 บาท ปี พ.ศ.2564 รายได้ 10,264,195,141.00 บาท ปี พ.ศ.2565 รายได้ 8,656,355,022.00 บาท และปี พ.ศ.2566 รายได้ 7,125,537,627.00 บาท)
อาศัยอำนาจตามมาตรา 37 (1) ประกอบกับมาตรา 83 ของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 และประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์การพิจารณาออกคำสั่งลงโทษปรับทางปกครองของคณะกรรมการผู้เชี่ยวชาญ พ.ศ.2565 ที่เกี่ยวข้อง คณะกรรมการจึงมีคำวินิจฉัยให้ผู้ถูกร้องเรียนต้องรับผิดในการชำระโทษปรับทางการปกครองในอัตราสูงสุดเป็นจำนวน 3,000,000 บาท
@เพิกเฉยในการ‘รักษาสิทธิ’เจ้าของข้อมูลส่วนบุคคล
ประเด็นที่ 3 ผู้ถูกร้องเรียนได้แจ้งเหตุละเมิดข้อมูลส่วนบุคคลตามที่กฎหมายกำหนดหรือไม่
ตามมาตรา 37 ของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ได้กำหนดหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคลในทางกฎหมายว่า นอกจากต้องมีมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสมแล้ว ยังต้องมีหน้าที่ในการแจ้งเหตุละเมิดข้อมูลส่วนบุคคลแก่สำนักงานคุ้มครองข้อมูลส่วนบุคคล และเจ้าของข้อมูลส่วนบุคคลที่ได้รับผลกระทบอีกด้วย ซึ่งหน้าที่ดังกล่าวเป็นหน้าที่ที่แยกต่างหากออกจากการจัดให้มีมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคล
ดังนั้น เมื่อข้อเท็จจริงปรากฏว่า ผู้ถูกร้องเรียนไม่ได้ดำเนินการแจ้งเหตุละเมิดข้อมูลส่วนบุคคลต่อสำนักงานคุ้มครองข้อมูลส่วนบุคคล และเจ้าของข้อมูลส่วนบุคคล จึงถือเป็นการกระทำละเมิดต่างกรรมต่างวาระกับการไม่ดำเนินการ ในการจัดให้มีมาตรการในการรักษาความปลอดภัยของข้อมูลส่วนบุคคลคณะกรรมการผู้เชี่ยวชาญ จึงจำเป็นต้องแยกพิจารณาโทษทางปกครองในกรณีไม่ได้แจ้งเหตุละเมิดข้อมูลส่วนบุคคลต่างหากเป็นอีกกรณีหนึ่ง
เมื่อข้อเท็จจริงที่ปรากฏในคำวินิจฉัยข้างต้นในประเด็นที่ 1 และ 2 แม้ผู้ถูกร้องเรียนทราบว่า มีข้อมูลรั่วไหลตั้งแต่ปี พ.ศ.2563 ถึง 2567 ทั้งก่อนและหลังตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล แต่ผู้ถูกร้องเรียนก็ไม่เคยมีการแจ้งเหตุแห่งการละเมิดข้อมูลส่วนบุคคลแก่สำนักงานคุ้มครองข้อมูลส่วนบุคคลโดยไม่ชักช้าภายใน 72 ชั่วโมง นับแต่ทราบเหตุเท่าที่สามารถกระทำได้
และไม่ได้แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่เจ้าของข้อมูลส่วนบุคคลโดยไม่ชักช้า ตามที่กฎหมายกำหนดไว้ในมาตรา 37 (4) แห่ง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 และประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล ฉบับลงวันที่ 15 ธ.ค.2565
และยังเพิกเฉยปล่อยเหตุร้องเรียนมายังสำนักงานคุ้มครองข้อมูลส่วนบุคคลจำนวนมาก และเผยแพร่ในสื่อโซเชียลมีเดีย สื่อสังคม ออนไลน์ กรณีข้อมูลส่วนบุคคลรั่วไหลดังที่ปรากฏทั่วไปต่อสาธารณชน ซึ่งการกระทำดังกล่าวของผู้ถูกร้องเรียนถือว่าเป็นการกระทำที่จงใจและเพิกเฉยต่อการรักษาสิทธิของเจ้าของข้อมูลส่วนบุคคล
อันเป็นเจตนารมณ์ของกฎหมายคุ้มครองข้อมูลส่วนบุคคลและเป็นการกระทำที่มีเหตุร้ายแรง อันเป็นความผิดตามมาตรา 37 (4) และมาตรา 83 แห่ง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ประกอบกับประกาศของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลที่เกี่ยวข้อง
อาศัยอำนาจตามมาตรา 37 (4) ประกอบกับมาตรา 83 แห่ง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 และประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์การพิจารณาออกคำสั่งลงโทษปรับทางปกครองของคณะกรรมการผู้เชี่ยวชาญ พ.ศ.2565 คณะกรรมการผู้เชี่ยวชาญจึงมีคำวินิจฉัยให้ ผู้ถูกร้องเรียนต้องชำระค่าปรับทางปกครองเพิ่มเติมเนื่องจากการไม่ปฏิบัติตามหน้าที่ในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลในอัตราสูงสุดเป็นจำนวน 3,000,000 บาท
@สั่ง‘เจ.ไอ.บี.’ปรับปรุงมาตรการรักษาความปลอดภัย
คำสั่งทางการปกครองให้ดำเนินการเพิ่มเติม เพื่อเป็นการเยียวยาต่อเหตุการณ์ละเมิดข้อมูลส่วนบุคคล
นอกจากนี้ เนื่องจากการกระทำดังกล่าวของผู้ถูกร้องเรียนเป็นการกระทำโดยจงใจหรือประมาทเลินเล่ออย่างร้ายแรง ทำให้มิจฉาชีพกลุ่ม Call Center นำข้อมูลส่วนบุคคลของลูกค้าของผู้ถูกร้องเรียนไปหลอกลวงประชาชนตลอดเวลาและก่อให้เกิดความเสียหายในวงกว้างจนถึงปัจจุบัน
โดยที่ผู้ถูกร้องเรียนไม่เคยแก้ไขหรือปรับปรุงมาตรการรักษาความมั่นคงปลอดภัยตามมาตรฐานขั้นต่ำที่กฎหมายกำหนด รวมถึงไม่เคยแจ้งการละเมิดข้อมูลส่วนบุคคลแก่สำนักงานคุ้มครองข้อมูลส่วนบุคคลแต่อย่างใด
ดังนั้น เพื่อเป็นการระงับเหตุการละเมิดข้อมูลส่วนบุคคลหรือเยียวยาความเสียหายที่เกิดขึ้นต่อเจ้าของข้อมูลส่วนบุคคลจำนวนมากอย่างต่อเนื่องจนถึงปัจจุบัน คณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 อาศัยอำนาจตามมาตรา 72 , 90 แห่ง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 และประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์การพิจารณาออกคำสั่งลงโทษปรับทางปกครองของคณะกรรมการผู้เชี่ยวชาญ พ.ศ.2565 ฉบับลงวันที่ 20 มิ.ย.2565
คณะกรรมการผู้เชี่ยวชาญ จึงมีคำสั่งให้ผู้ถูกร้องเรียน ปฏิบัติตามประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ.2565 โดยให้ดำเนินการแก้ไข ปรับปรุงมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อมิให้มีการรั่วไหลของข้อมูลส่วนบุคคลหรือมีการกระทำละเมิดข้อมูลส่วนบุคคลโดยเร็วที่สุด
โดยใช้มาตรการทั้งในเชิงองค์กร (Organization Measure) มาตรการเชิงเทคนิค (Technical Measure) และมาตรการทางกายภาพ (Physical Measure) ในการแก้ไขระบบคอมพิวเตอร์ที่ดูแลบริหาร จัดการข้อมูลส่วนบุคคล โดยให้ดำเนินการโดยเร่งด่วนภายใน 30 วัน นับแต่วันที่ได้รับคำสั่งของคณะกรรมการผู้เชี่ยวชาญ คณะที่ 2
รวมถึงดำเนินการประชาสัมพันธ์โดยการแจ้งเป็นลายลักษณ์อักษรหรือวิธีการทางอิเล็กทรอนิกส์ที่เชื่อถือได้แก่เจ้าของข้อมูลส่วนบุคคลที่ข้อมูลส่วนบุคคลรั่วไหลโดยตรงทันทีตามที่มาตรา 37 (4) แห่ง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 กำหนด และให้ผู้ถูกร้องเรียนมีหน้าที่ต้องแจ้ง ความคืบหน้าให้แก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลทราบโดยเร่งด่วนทุก 7 วัน นับแต่ได้รับ คำสั่งฉบับนี้ เพื่อแก้ไขปัญหาดังกล่าวโดยทันที
หากไม่ดำเนินการดังกล่าว คณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 จะพิจารณาโทษปรับทางปกครองกรณีการไม่ปฏิบัติตามคำสั่งเพิ่มเติม ตามมาตรา 89 แห่งพระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562
@ลงโทษปรับ JIB รวม 3 กระทง 7 ล้าน-สั่งปรับปรุงระบบ
อาศัยอำนาจตามมาตรา 72, 90 แห่ง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 คณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 จึงมีคำสั่งให้ผู้ถูกร้องเรียนปฏิบัติตามคำสั่งดังต่อไปนี้
1.ลงโทษปรับทางปกครอง เนื่องจากเป็นกรณีจงใจหรือประมาทเลินเล่ออย่างร้ายแรง โดยไม่ดำเนินการแก้ไขเยียวยา ตามมาตรา 41 และมาตรา 82 แห่ง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 และประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์การพิจารณาออกคำสั่ง ลงโทษปรับทางปกครองของคณะกรรมการผู้เชี่ยวชาญ พ.ศ.2565 จำนวน 1,000,000 บาท
2.ลงโทษปรับทางปกครองเนื่องจากไม่มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมตามมาตรา 37 (1) ประกอบกับมาตรา 83 ของ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 และประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์การพิจารณาออกคำสั่งลงโทษปรับทางปกครองของคณะกรรมการผู้เชี่ยวชาญ พ.ศ.2565 จำนวน 3,000,000 บาท
3.ลงโทษปรับทางปกครองเนื่องจากการไม่แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด ตามมาตรา 37 (4) ประกอบกับมาตรา 83 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 และประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์การพิจารณาออกคำสั่งลงโทษปรับทางปกครองของคณะกรรมการผู้เชี่ยวชาญ พ.ศ.2565 จำนวน 3,000,000 บาท
4.ให้ผู้ถูกร้องเรียนปรับปรุงมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อมิให้มีการรั่วไหลของข้อมูลส่วนบุคคลหรือมีการกระทำละเมิดข้อมูลส่วนบุคคลโดยเร็วที่สุด โดยใช้มาตรการทั้งในเชิงองค์กร (Organization Measure) มาตรการเชิงเทคนิค (Technical Measure) และมาตรการทางกายภาพ (Physical Measure) ในการแก้ไขระบบคอมพิวเตอร์ที่ดูแลบริหารจัดการข้อมูลส่วนบุคคล พร้อมทั้งรายงานผลการปฏิบัติต่อคณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ภายใน 30 วันนับแต่วันที่ได้รับคำสั่ง
5.ให้ผู้ถูกร้องเรียนจัดให้มีการสร้างเสริมความตระหนักรู้ถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลและการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลให้บุคลากร พนักงาน เจ้าหน้าที่ที่เกี่ยวข้องกับการเข้าถึง เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลทราบและถือปฏิบัติตามมาตรา 37 (1) แห่ง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562
ประกอบประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ.2565 ข้อ 4 (7) พร้อมทั้งรายงานผลการปฏิบัติต่อคณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ภายใน 30 วันนับแต่วันที่ได้รับคำสั่ง
6.ให้ผู้ถูกร้องเรียนมีหน้าที่ต้องแจ้งความคืบหน้าให้แก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลทราบ ทุก 7 วัน นับแต่วันที่ได้รับคำสั่ง เพื่อแก้ไขปัญหาดังกล่าวโดยทันที หากไม่ดำเนินการคณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 จะพิจารณาโทษปรับทางปกครองกรณีการไม่ปฏิบัติตามคำสั่งเพิ่มเติมตามมาตรา 89 แห่ง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562
เหล่านี้เป็นพฤติการณ์และข้อเท็จจริง กรณี JIB มีการกระทำความผิดตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 (กฎหมาย PDPA) ก่อนที่ ‘คณะกรรมการผู้เชี่ยวชาญ’ คณะที่ 2 จะมีคำสั่งปรับ JIB เป็นเงินรวม 7 ล้านบาท พร้อมทั้งให้ไปปรับปรุงแก้ไขมาตรการรักษาความมั่นคงปลอดภัย เพื่อป้องกันไม่ให้ ‘ข้อมูลส่วนบุคคล’ ของลูกค้ารั่วไหลซ้ำอีก!
อ่านประกอบ :
ลงดาบ PDPA ครั้งแรก! สคส.สั่งปรับ บ.JIB 7 ล้าน ทำข้อมูลลูกค้าออนไลน์รั่วไหลจำนวนมาก
Isranews Agency | สำนักข่าวอิศรา 