หน่วยงานรัฐถูกร้องข้อมูลรั่วมากสุด 63 ราย รองลงมาด้านการเงิน 29 ราย ประกันชีวิตประกันภัย 23 ราย ย้ำองค์กรใดทำข้อมูลรั่วต้องแจ้ง PDPC ภายใน 72 ชั่วโมง
นายศิวรักษ์ ศิวโมกษธรรม เลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) หรือ PDPC เปิดเผยว่า ในรอบ 9 เดือน ของปี 2567 มีการร้องเรียนจำนวนมากเกี่ยวกับการละเมิดข้อมูลส่วนบุคคลจากบริษัทเอกชนต่าง ๆ หรือหน่วยงานภาครัฐที่นำข้อมูลไปใช้อย่างไม่ถูกต้อง โดยมีจำนวน 342 ราย
แยกเป็นด้านการเงิน 29 ราย ด้านประกันชีวิตประกันภัย 23 ราย ด้านโทรคมนาคม 5 ราย ด้านการซื้อสินค้าออนไลน์ 4 ราย หน่วยงานรัฐ 63 ราย โดยร้องเรียนผ่าน 3 ช่องทาง มายังสำนักงานฯ ได้แก่ call center , เอกสาร และมายื่นเรื่องด้วยตัวเอง ทั้งนี้ สคส.ได้นำเสนอให้คณะกรรมการผู้เชี่ยวชาญกฎหมายพิจารณาแล้ว ขณะนี้อยู่ระหว่างการตรวจสอบ จำนวน 273 ราย และยุติเรื่อง 38 ราย
ทาง สคส. ขอย้ำว่าการละเมิดดังกล่าวสร้างผลกระทบต่อผู้เสียหายที่พยายามร้องขอความยุติธรรมเบื้องต้น แต่ในหลายกรณี บริษัทหรือองค์กรนั้น ๆ ไม่ได้ตอบสนองหรือดำเนินการใดๆเพื่อแก้ไขปัญหาตามคำร้องขอของผู้เสียหาย ซึ่งกรณีเช่นนี้อาจจะโดนโทษปรับอย่างหนักตามที่เคยเป็นข่าวมาก่อนหน้านี้
https://www.posttoday.com/business/712782
ล่าสุด บริษัทดำเนินธุรกิจร้านอาหารและเครื่องดื่ม ชื่อดัง ได้ออกประกาศผ่านแจ้งเตือนลูกค้าผ่านทางเพจเฟซบุ๊กเรื่องมีการส่งข้อความในไลน์ และส่งลิงค์เพื่อรักษาและสถานะการใช้งาน โดยได้ขอให้ลูกค้าระมัดระวังในการคลิกลิงก์ดังกล่าว พร้อมทั้งยืนยันว่ามีการจัดเก็บด้วยมาตรการความปลอดภัยสูงสุด โดยข้อมูลที่จัดเก็บเป็นข้อมูลทั่วไป ไม่มีการเก็บข้อมูลด้านการเงินของลูกค้าแต่อย่างใด
สคส.ได้เร่งดำเนินการประสานงานกับผู้บริหารของบริษัทดังกล่าว เพื่อตรวจสอบความน่าเชื่อถือและสาเหตุแห่งการละเมิด เพื่อป้องกัน แก้ไข ในทันที โดยให้บริษัทดังกล่าวประเมินความเสี่ยงที่อาจมีผลกระทบต่อเจ้าของข้อมูลส่วนบุคคล และรายงานชี้แจงเหตุการละเมิดข้อมูลส่วนบุคคลดังกล่าวตลอดจนมาตรการรักษาความมั่นคงปลอดภัย ต่อ สคส.ภายใน 72 ชม.พร้อมทั้งพิจารณาแจ้งเหตุละเมิดให้กับเจ้าของข้อมูลส่วนบุคคลที่ได้รับผลกระทบ ทราบเพื่อระวังป้องกันโดยทันที
ทั้งนี้ สคส. จะได้เร่งรัดติดตามการรายงานดังกล่าวให้ครบถ้วนเพื่อป้องกันและคุ้มครองข้อมูลส่วนบุคคล ของประชาชนที่อาจมีผลกระทบได้อย่างมีประสิทธิภาพ ยับยั้งไม่ให้เกิดความเสียหายและทบทวนมาตรการให้เข้มแข็งยิ่งขึ้น พร้อมทั้งจะได้ดำนินการตรวจสอบและรวบรวมข้อเท็จจริงกรณีหากพบการกระทำผิดเนื่องจาก การฝ่าฝืนหรือไม่ปฏิบัติตาม PDPA และขยายผลการบังคับใช้กฎหมายที่เกี่ยวข้องต่อไป
Cr.
https://www.posttoday.com/business/715359
ซึ่งกรณีเช่นนี้อาจจะโดนโทษปรับอย่างหนักตามที่เคยเป็นข่าวมาก่อนหน้านี้
https://www.posttoday.com/business/712782
ถอดบทเรียน JIB ทำข้อมูลลูกค้ารั่ว ถูกปรับ 7 ล้านบาท
ผู้เชี่ยวชาญ PDPA พาถอดบทเรียนธุรกิจกรณี JIB ทำข้อมูลลูกค้ารั่วถึงแก๊งคอลเซ็นเตอร์ ถูกปรับ 7 ล้านบาท เผย 3 สิ่งใหญ่ที่เอกชนพลาดและอาจซ้ำรอย JIB
เมื่อสัปดาห์ที่ผ่านมา บริษัท เจไอบี คอมพิวเตอร์ กรุ๊ป จำกัด หรือ JIB ออกแถลงการณ์ขอโทษหลังเกิดกรณีข้อมูลลูกค้ารั่วไหลไปยังแก๊งคอลเซ็นเตอร์ หลังจากที่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) แถลงข่าวการลงโทษสั่งปรับบริษัท เอกชนขนาดใหญ่สูงถึง 7 ล้านบาท ด้วยมีความผิดฐานไม่ดำเนินการตาม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA เมื่อวันที่ 21 ส.ค. 2567 ที่ผ่านมา
นายอุดมธิปก ไพรเกษตร ประธานเจ้าหน้าที่บริหาร บริษัท ดีบีซี กรุ๊ป จำกัด และผู้ก่อตั้ง PDPA Thailand ในฐานะผู้เชี่ยวชาญด้านการคุ้มครองข้อมูลส่วนบุคคลไทย เผยถึงอุทาหรณ์และข้อคิดที่องค์กรธุรกิจทั่วประเทศได้รับ จากเคสดังกล่าว และสามารถนำไปประยุกต์ใช้กับการดำเนินงานให้สอดคล้องตามกฎหมาย PDPA ในหลากหลาย ประเด็น ดังนี้
เหตุสั่งปรับ 7 ล้านบาท องค์กรพลาดอะไร?
3 เรื่องใหญ่ที่องค์กรเอกชนแห่งนั้นพลาดคือ
1. ไม่มี DPO หรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เมื่อเข้าข่ายจำเป็นต้องแต่งตั้ง ตาม PDPA มาตรา 41(2)
2. ไม่มีมาตรการรักษาความมั่นคงปลอดภัยข้อมูลที่เพียงพอ ตาม PDPA มาตรา 37(1) และ
3. ไม่มีการแจ้งเหตุละเมิดภายใน 72 ชั่วโมงนับตั้งแต่ทราบเรื่อง ตาม PDPA มาตรา 37 (4)
องค์กรหลาย ๆ แห่ง (รวมถึงบริษัทที่โดนปรับ) อาจจะไม่รู้ว่าต้องมี DPO ไม่ว่าจะด้วยไม่ได้ติดตาม ข่าวสารอย่างใกล้ชิด หรือตีความเงื่อนไขในกฎหมายแม่/กฎหมายลูกไม่ถูก ไม่ชัวร์ว่าต้องทำอย่างไร ความซับซ้อน ของปัญหาและการโดนปรับทั้งหมดเริ่มต้นที่จุดนี้ ซึ่งหากคุณมี DPO คุณก็จะไม่ผิดแล้วในกระทงตามข้อ 1. เมื่อมี DPO แล้วก็จะช่วยแนะนำการทำตามกฎหมายในแง่มุมต่าง ๆ ทั้งมาตรการรักษาความมั่นคงปลอดภัยข้อมูล และ การแจ้งเหตุละเมิดความเสี่ยงที่จะผิดกฎหมาย PDPA ในแง่มุมอื่น ๆ ก็ลดลงตามไปด้วย
ด้านมาตรการรักษา ความมั่นคงปลอดภัย องค์กรมักเน้นการคุ้มครองข้อมูลจากคนภายนอก เจาะระบบเข้ามาเอาข้อมูลไป แต่จาก กรณีศึกษาทั่วโลกจะพบว่า หลายครั้งการละเมิดข้อมูลมีที่มาจากคนในองค์กรเอง ด้วยสาเหตุเช่น ความไม่ชอบ หน้ากัน ผลประโยชน์ และความประมาท เป็นต้น การมีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลที่ครอบคลุม ทั้งในและนอกองค์กรจึงมีความสำคัญ DPO ที่มีประสบการณ์และความชำนาญจะเข้าใจ
ดังนั้นเพื่อลดโอกาสพลาดยิ่งขึ้นไปอีก DPO ที่แต่งตั้ง (และทีม) ต้องมีความรู้ความเข้าใจในตัวบทกฎหมาย และการปรับองค์กรตามกฎหมายที่มากพอ ซึ่งสมัยนี้ก็มีหลักสูตรฝึกอบรมที่เปิดสอนแบบเจาะลึก และหลาย ๆ แห่ง ก็มีเนื้อหาของหลักสูตรที่สอดคล้องตามที่สคส.กำหนด
ค่าปรับเหมาะสมหรือไม่กับเคสนี้?
เขากล่าวว่า หลาย ๆ คนโดยเฉพาะผู้บริโภคส่วนใหญ่คงบอกว่า บริษัทขนาดใหญ่รายได้มากมาย โดนปรับจำนวนนี้คงเหมือนแค่สะเก็ดหินกระเด็นมาโดน ไม่รู้สึกอะไร ส่วนตัวมองความเสียหายว่าไม่ได้เป็นเพียง แค่จำนวนเงิน เพราะการถูกสั่งปรับกระทบต่อชื่อเสียงแน่นอน อาจสร้างความเสียหายเชิงธุรกิจตามมาอย่างไม่ สามารถประเมินได้ก็เป็นได้ ซึ่งเรื่องการพิจารณาค่าปรับเป็นเรื่องที่ยากจะให้ความเห็น เนื่องจากมีหลายปัจจัยมา เกี่ยวข้อง
เชื่อว่าทางคณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 คงได้พินิจพิเคราะห์อย่างถี่ถ้วนแล้ว ขณะเดียวกันผู้เสียหายไม่ว่าจะโดนหลอกหรือไม่ แต่เป็นลูกค้าของบริษัทนี้ที่ข้อมูลรั่วออกไป มีสิทธิที่ยื่น ฟ้องทางแพ่งตาม PDPA เพื่อเรียกค่าเสียหายจากบริษัทกับศาลแพ่งต่อไปได้อีกด้วย
สำหรับองค์กรที่ผิด PDPA หลังจากนี้ มองว่า หากมีเคสแบบเดียวกันในช่วงเวลาก่อนหน้านี้ เชื่อว่า การพิจารณาสั่งลงโทษปรับคงไม่แตกต่างกันเท่าไหร่ แต่ก็เชื่อว่า หลังจากนี้หากองค์กรละเมิดกฎหมาย PDPA ในลักษณะแบบเดียวกัน อาจมีการลงโทษที่รุนแรงเพิ่มขึ้น เพราะการสั่งปรับได้สร้างความตระหนักรู้ต่อสังคมแล้ว
มาตรฐานถูกยกขึ้นมาแล้ว การตัดสินของคณะกรรมการผู้เชี่ยวชาญก็อาจเข้มงวดมากขึ้น เพราะอย่าลืมว่า ยังมีอีกหลายมาตราและลักษณะความผิดตามกฎหมายที่เรายังไม่ทราบว่าได้รับการพิจารณาในการกระทำความผิดครั้งนี้ด้วยหรือไม่ ทั้งนี้ต้องพิจารณาขนาดขององค์กร รายได้ และพฤติกรรม/กิจกรรมขององค์กรร่วมด้วย
ทิศทางการคุ้มครองข้อมูลฯ หลังจากนี้จะเป็นอย่างไร?
นายอุดมธิปก กล่าวว่า ขอแบ่งออกเป็น 3 กลุ่ม กลุ่มแรกสำหรับองค์กรเอกชน ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล จะตื่นตัวเรื่องนี้มากเป็นพิเศษ เพราะโทษชัดเจนว่า 1) การมี DPO สำคัญ และ 2) ต้องปฎิบัติตามกฎหมาย PDPA โดยจะให้ความสำคัญกับ Cyber Security ก่อน ซึ่งอาจจะไม่ถูกสักทีเดียว เพราะท้ายที่สุดการถูกร้องเรียน จากเจ้าของข้อมูลส่วนบุคคลอาจไม่ได้เกิดจากกรณีที่มีข้อมูลถูกละเมิดหรือรั่วไหลเพียงอย่างเดียว และการแจ้งเหตุ การละเมิดข้อมูลส่วนบุคคลไปที่ สคส.จะมีมากขึ้นเรื่อย ๆ ในทุกรูปแบบ เพราะไม่มั่นใจว่าควรแจ้งหรือไม่
ส่วนกลุ่มที่ 2 คือ เจ้าของข้อมูลส่วนบุคคล (Data Subject) จะมาใช้สิทธิข้อมูลส่วนบุคคลของตนเอง กับทางผู้ควบคุมข้อมูลส่วนบุคคลกันมากขึ้น และจะร้องเรียนกับทาง สคส.เพิ่มมากขึ้น เพราะเริ่มรู้กันแล้วว่า สามารถทำได้ ร้องเรียนได้ และมีต้นทุนในการร้องเรียนต่ำ
และกลุ่มสุดท้ายคือหน่วยงานของรัฐ ที่เป็นผู้ควบคุมข้อมูลส่วนบุคคล อาจจะยังไม่ตระหนักถึงความเสี่ยง และผลกระทบต่อข้อมูลส่วนบุคคลมากนัก แต่จะเริ่มปฏิบัติตาม PDPA เพิ่มมากขึ้น เพราะคาดว่าแรงกดดันจากสังคม ที่จะให้ลงโทษหน่วยงานรัฐที่ละเมิดไม่ปฏิบัติตามกฎหมาย PDPA จะสูงขึ้น
องค์กรอยากเริ่มทำ PDPA ทำอย่างไร?
การทำ PDPA ให้ถูกต้องเป็นเรื่องไม่ยาก แต่ต้องมีความเข้าใจในธุรกิจขององค์กร กฎหมายที่เกี่ยวข้องไม่เฉพาะ PDPA กระบวนการทำงานขององค์กร และเทคโนโลยีสารสนเทศที่เกี่ยวข้อง โดยมีขั้นตอนดังนี้
ขั้นตอนที่ 1 - องค์กรควรเริ่มด้วยการตั้งคำถามว่า องค์กรเราต้องใช้ข้อมูลส่วนบุคคลจากใคร แบบไหน เพื่อไปทำอะไร รวมทั้งสำรวจข้อมูลส่วนบุคคลที่องค์กรองค์กรมีอยู่
ขั้นตอนที่ 2 - แต่งตั้ง DPO หากเข้าข่ายจำเป็นต้องมี มีพนักงานหรือคณะทำงานด้านการคุ้มครองข้อมูลส่วนบุคคล หากไม่มั่นใจก็อาจจะหาคนที่เข้าใจเรื่องนี้มาช่วย หรือพัฒนาบุคลากรขององค์กรเพื่อให้เข้าใจเรื่อง PDPA องค์กรที่มีการเก็บข้อมูลส่วนบุคคลจำนวนมาก (เกิน 100,000 ราย) หรือทำกิจกรรมที่มีการประมวลผลข้อมูลโดยตรงเป็นหลัก ให้ตีไว้ก่อนเลยว่าต้องมี DPO
ขั้นตอนที่ 3 - มอบหมายให้คนที่ดูแลรับผิดชอบเริ่มต้นจัดทำ บันทึกรายการกิจกรรมการประมวลผล (RoPA) เพื่อให้มองเห็นและติดตามข้อมูลในองค์กรได้ จัดทำประกาศความเป็นส่วนตัว (Privacy Notice) ให้เจ้าของข้อมูลส่วนบุคคลทราบแสดงความโปร่งใส มีมาตรการรองรับการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล และเริ่มสร้างมาตรการความมั่นคงปลอดภัยข้อมูลที่เหมาะสมกับองค์กรและระดับความเสี่ยงของข้อมูล โดยอาจเริ่มจากมาตรการที่ลงทุนน้อย ทำได้ง่าย และขยับไปสู่การปรับเปลี่ยนโครงสร้างขนาดใหญ่ตามลำดับ
การทำ 3 ขั้นตอนนี้ช่วยลดความเสี่ยงไม่ถูกปรับ 7 ล้านอย่างแน่นอน
เปิดสถิติข้อมูลรั่ว 9 เดือน รัฐ-เอกชนโดนร้อง 342 ราย
นายศิวรักษ์ ศิวโมกษธรรม เลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) หรือ PDPC เปิดเผยว่า ในรอบ 9 เดือน ของปี 2567 มีการร้องเรียนจำนวนมากเกี่ยวกับการละเมิดข้อมูลส่วนบุคคลจากบริษัทเอกชนต่าง ๆ หรือหน่วยงานภาครัฐที่นำข้อมูลไปใช้อย่างไม่ถูกต้อง โดยมีจำนวน 342 ราย
แยกเป็นด้านการเงิน 29 ราย ด้านประกันชีวิตประกันภัย 23 ราย ด้านโทรคมนาคม 5 ราย ด้านการซื้อสินค้าออนไลน์ 4 ราย หน่วยงานรัฐ 63 ราย โดยร้องเรียนผ่าน 3 ช่องทาง มายังสำนักงานฯ ได้แก่ call center , เอกสาร และมายื่นเรื่องด้วยตัวเอง ทั้งนี้ สคส.ได้นำเสนอให้คณะกรรมการผู้เชี่ยวชาญกฎหมายพิจารณาแล้ว ขณะนี้อยู่ระหว่างการตรวจสอบ จำนวน 273 ราย และยุติเรื่อง 38 ราย
ทาง สคส. ขอย้ำว่าการละเมิดดังกล่าวสร้างผลกระทบต่อผู้เสียหายที่พยายามร้องขอความยุติธรรมเบื้องต้น แต่ในหลายกรณี บริษัทหรือองค์กรนั้น ๆ ไม่ได้ตอบสนองหรือดำเนินการใดๆเพื่อแก้ไขปัญหาตามคำร้องขอของผู้เสียหาย ซึ่งกรณีเช่นนี้อาจจะโดนโทษปรับอย่างหนักตามที่เคยเป็นข่าวมาก่อนหน้านี้ https://www.posttoday.com/business/712782
ล่าสุด บริษัทดำเนินธุรกิจร้านอาหารและเครื่องดื่ม ชื่อดัง ได้ออกประกาศผ่านแจ้งเตือนลูกค้าผ่านทางเพจเฟซบุ๊กเรื่องมีการส่งข้อความในไลน์ และส่งลิงค์เพื่อรักษาและสถานะการใช้งาน โดยได้ขอให้ลูกค้าระมัดระวังในการคลิกลิงก์ดังกล่าว พร้อมทั้งยืนยันว่ามีการจัดเก็บด้วยมาตรการความปลอดภัยสูงสุด โดยข้อมูลที่จัดเก็บเป็นข้อมูลทั่วไป ไม่มีการเก็บข้อมูลด้านการเงินของลูกค้าแต่อย่างใด
สคส.ได้เร่งดำเนินการประสานงานกับผู้บริหารของบริษัทดังกล่าว เพื่อตรวจสอบความน่าเชื่อถือและสาเหตุแห่งการละเมิด เพื่อป้องกัน แก้ไข ในทันที โดยให้บริษัทดังกล่าวประเมินความเสี่ยงที่อาจมีผลกระทบต่อเจ้าของข้อมูลส่วนบุคคล และรายงานชี้แจงเหตุการละเมิดข้อมูลส่วนบุคคลดังกล่าวตลอดจนมาตรการรักษาความมั่นคงปลอดภัย ต่อ สคส.ภายใน 72 ชม.พร้อมทั้งพิจารณาแจ้งเหตุละเมิดให้กับเจ้าของข้อมูลส่วนบุคคลที่ได้รับผลกระทบ ทราบเพื่อระวังป้องกันโดยทันที
ทั้งนี้ สคส. จะได้เร่งรัดติดตามการรายงานดังกล่าวให้ครบถ้วนเพื่อป้องกันและคุ้มครองข้อมูลส่วนบุคคล ของประชาชนที่อาจมีผลกระทบได้อย่างมีประสิทธิภาพ ยับยั้งไม่ให้เกิดความเสียหายและทบทวนมาตรการให้เข้มแข็งยิ่งขึ้น พร้อมทั้งจะได้ดำนินการตรวจสอบและรวบรวมข้อเท็จจริงกรณีหากพบการกระทำผิดเนื่องจาก การฝ่าฝืนหรือไม่ปฏิบัติตาม PDPA และขยายผลการบังคับใช้กฎหมายที่เกี่ยวข้องต่อไป
Cr. https://www.posttoday.com/business/715359
ซึ่งกรณีเช่นนี้อาจจะโดนโทษปรับอย่างหนักตามที่เคยเป็นข่าวมาก่อนหน้านี้ https://www.posttoday.com/business/712782
ถอดบทเรียน JIB ทำข้อมูลลูกค้ารั่ว ถูกปรับ 7 ล้านบาท
ผู้เชี่ยวชาญ PDPA พาถอดบทเรียนธุรกิจกรณี JIB ทำข้อมูลลูกค้ารั่วถึงแก๊งคอลเซ็นเตอร์ ถูกปรับ 7 ล้านบาท เผย 3 สิ่งใหญ่ที่เอกชนพลาดและอาจซ้ำรอย JIB
เมื่อสัปดาห์ที่ผ่านมา บริษัท เจไอบี คอมพิวเตอร์ กรุ๊ป จำกัด หรือ JIB ออกแถลงการณ์ขอโทษหลังเกิดกรณีข้อมูลลูกค้ารั่วไหลไปยังแก๊งคอลเซ็นเตอร์ หลังจากที่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) แถลงข่าวการลงโทษสั่งปรับบริษัท เอกชนขนาดใหญ่สูงถึง 7 ล้านบาท ด้วยมีความผิดฐานไม่ดำเนินการตาม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA เมื่อวันที่ 21 ส.ค. 2567 ที่ผ่านมา
นายอุดมธิปก ไพรเกษตร ประธานเจ้าหน้าที่บริหาร บริษัท ดีบีซี กรุ๊ป จำกัด และผู้ก่อตั้ง PDPA Thailand ในฐานะผู้เชี่ยวชาญด้านการคุ้มครองข้อมูลส่วนบุคคลไทย เผยถึงอุทาหรณ์และข้อคิดที่องค์กรธุรกิจทั่วประเทศได้รับ จากเคสดังกล่าว และสามารถนำไปประยุกต์ใช้กับการดำเนินงานให้สอดคล้องตามกฎหมาย PDPA ในหลากหลาย ประเด็น ดังนี้
เหตุสั่งปรับ 7 ล้านบาท องค์กรพลาดอะไร?
3 เรื่องใหญ่ที่องค์กรเอกชนแห่งนั้นพลาดคือ
1. ไม่มี DPO หรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เมื่อเข้าข่ายจำเป็นต้องแต่งตั้ง ตาม PDPA มาตรา 41(2)
2. ไม่มีมาตรการรักษาความมั่นคงปลอดภัยข้อมูลที่เพียงพอ ตาม PDPA มาตรา 37(1) และ
3. ไม่มีการแจ้งเหตุละเมิดภายใน 72 ชั่วโมงนับตั้งแต่ทราบเรื่อง ตาม PDPA มาตรา 37 (4)
องค์กรหลาย ๆ แห่ง (รวมถึงบริษัทที่โดนปรับ) อาจจะไม่รู้ว่าต้องมี DPO ไม่ว่าจะด้วยไม่ได้ติดตาม ข่าวสารอย่างใกล้ชิด หรือตีความเงื่อนไขในกฎหมายแม่/กฎหมายลูกไม่ถูก ไม่ชัวร์ว่าต้องทำอย่างไร ความซับซ้อน ของปัญหาและการโดนปรับทั้งหมดเริ่มต้นที่จุดนี้ ซึ่งหากคุณมี DPO คุณก็จะไม่ผิดแล้วในกระทงตามข้อ 1. เมื่อมี DPO แล้วก็จะช่วยแนะนำการทำตามกฎหมายในแง่มุมต่าง ๆ ทั้งมาตรการรักษาความมั่นคงปลอดภัยข้อมูล และ การแจ้งเหตุละเมิดความเสี่ยงที่จะผิดกฎหมาย PDPA ในแง่มุมอื่น ๆ ก็ลดลงตามไปด้วย
ด้านมาตรการรักษา ความมั่นคงปลอดภัย องค์กรมักเน้นการคุ้มครองข้อมูลจากคนภายนอก เจาะระบบเข้ามาเอาข้อมูลไป แต่จาก กรณีศึกษาทั่วโลกจะพบว่า หลายครั้งการละเมิดข้อมูลมีที่มาจากคนในองค์กรเอง ด้วยสาเหตุเช่น ความไม่ชอบ หน้ากัน ผลประโยชน์ และความประมาท เป็นต้น การมีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลที่ครอบคลุม ทั้งในและนอกองค์กรจึงมีความสำคัญ DPO ที่มีประสบการณ์และความชำนาญจะเข้าใจ
ดังนั้นเพื่อลดโอกาสพลาดยิ่งขึ้นไปอีก DPO ที่แต่งตั้ง (และทีม) ต้องมีความรู้ความเข้าใจในตัวบทกฎหมาย และการปรับองค์กรตามกฎหมายที่มากพอ ซึ่งสมัยนี้ก็มีหลักสูตรฝึกอบรมที่เปิดสอนแบบเจาะลึก และหลาย ๆ แห่ง ก็มีเนื้อหาของหลักสูตรที่สอดคล้องตามที่สคส.กำหนด
ค่าปรับเหมาะสมหรือไม่กับเคสนี้?
เขากล่าวว่า หลาย ๆ คนโดยเฉพาะผู้บริโภคส่วนใหญ่คงบอกว่า บริษัทขนาดใหญ่รายได้มากมาย โดนปรับจำนวนนี้คงเหมือนแค่สะเก็ดหินกระเด็นมาโดน ไม่รู้สึกอะไร ส่วนตัวมองความเสียหายว่าไม่ได้เป็นเพียง แค่จำนวนเงิน เพราะการถูกสั่งปรับกระทบต่อชื่อเสียงแน่นอน อาจสร้างความเสียหายเชิงธุรกิจตามมาอย่างไม่ สามารถประเมินได้ก็เป็นได้ ซึ่งเรื่องการพิจารณาค่าปรับเป็นเรื่องที่ยากจะให้ความเห็น เนื่องจากมีหลายปัจจัยมา เกี่ยวข้อง
เชื่อว่าทางคณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 คงได้พินิจพิเคราะห์อย่างถี่ถ้วนแล้ว ขณะเดียวกันผู้เสียหายไม่ว่าจะโดนหลอกหรือไม่ แต่เป็นลูกค้าของบริษัทนี้ที่ข้อมูลรั่วออกไป มีสิทธิที่ยื่น ฟ้องทางแพ่งตาม PDPA เพื่อเรียกค่าเสียหายจากบริษัทกับศาลแพ่งต่อไปได้อีกด้วย
สำหรับองค์กรที่ผิด PDPA หลังจากนี้ มองว่า หากมีเคสแบบเดียวกันในช่วงเวลาก่อนหน้านี้ เชื่อว่า การพิจารณาสั่งลงโทษปรับคงไม่แตกต่างกันเท่าไหร่ แต่ก็เชื่อว่า หลังจากนี้หากองค์กรละเมิดกฎหมาย PDPA ในลักษณะแบบเดียวกัน อาจมีการลงโทษที่รุนแรงเพิ่มขึ้น เพราะการสั่งปรับได้สร้างความตระหนักรู้ต่อสังคมแล้ว
มาตรฐานถูกยกขึ้นมาแล้ว การตัดสินของคณะกรรมการผู้เชี่ยวชาญก็อาจเข้มงวดมากขึ้น เพราะอย่าลืมว่า ยังมีอีกหลายมาตราและลักษณะความผิดตามกฎหมายที่เรายังไม่ทราบว่าได้รับการพิจารณาในการกระทำความผิดครั้งนี้ด้วยหรือไม่ ทั้งนี้ต้องพิจารณาขนาดขององค์กร รายได้ และพฤติกรรม/กิจกรรมขององค์กรร่วมด้วย
ทิศทางการคุ้มครองข้อมูลฯ หลังจากนี้จะเป็นอย่างไร?
นายอุดมธิปก กล่าวว่า ขอแบ่งออกเป็น 3 กลุ่ม กลุ่มแรกสำหรับองค์กรเอกชน ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล จะตื่นตัวเรื่องนี้มากเป็นพิเศษ เพราะโทษชัดเจนว่า 1) การมี DPO สำคัญ และ 2) ต้องปฎิบัติตามกฎหมาย PDPA โดยจะให้ความสำคัญกับ Cyber Security ก่อน ซึ่งอาจจะไม่ถูกสักทีเดียว เพราะท้ายที่สุดการถูกร้องเรียน จากเจ้าของข้อมูลส่วนบุคคลอาจไม่ได้เกิดจากกรณีที่มีข้อมูลถูกละเมิดหรือรั่วไหลเพียงอย่างเดียว และการแจ้งเหตุ การละเมิดข้อมูลส่วนบุคคลไปที่ สคส.จะมีมากขึ้นเรื่อย ๆ ในทุกรูปแบบ เพราะไม่มั่นใจว่าควรแจ้งหรือไม่
ส่วนกลุ่มที่ 2 คือ เจ้าของข้อมูลส่วนบุคคล (Data Subject) จะมาใช้สิทธิข้อมูลส่วนบุคคลของตนเอง กับทางผู้ควบคุมข้อมูลส่วนบุคคลกันมากขึ้น และจะร้องเรียนกับทาง สคส.เพิ่มมากขึ้น เพราะเริ่มรู้กันแล้วว่า สามารถทำได้ ร้องเรียนได้ และมีต้นทุนในการร้องเรียนต่ำ
และกลุ่มสุดท้ายคือหน่วยงานของรัฐ ที่เป็นผู้ควบคุมข้อมูลส่วนบุคคล อาจจะยังไม่ตระหนักถึงความเสี่ยง และผลกระทบต่อข้อมูลส่วนบุคคลมากนัก แต่จะเริ่มปฏิบัติตาม PDPA เพิ่มมากขึ้น เพราะคาดว่าแรงกดดันจากสังคม ที่จะให้ลงโทษหน่วยงานรัฐที่ละเมิดไม่ปฏิบัติตามกฎหมาย PDPA จะสูงขึ้น
องค์กรอยากเริ่มทำ PDPA ทำอย่างไร?
การทำ PDPA ให้ถูกต้องเป็นเรื่องไม่ยาก แต่ต้องมีความเข้าใจในธุรกิจขององค์กร กฎหมายที่เกี่ยวข้องไม่เฉพาะ PDPA กระบวนการทำงานขององค์กร และเทคโนโลยีสารสนเทศที่เกี่ยวข้อง โดยมีขั้นตอนดังนี้
ขั้นตอนที่ 1 - องค์กรควรเริ่มด้วยการตั้งคำถามว่า องค์กรเราต้องใช้ข้อมูลส่วนบุคคลจากใคร แบบไหน เพื่อไปทำอะไร รวมทั้งสำรวจข้อมูลส่วนบุคคลที่องค์กรองค์กรมีอยู่
ขั้นตอนที่ 2 - แต่งตั้ง DPO หากเข้าข่ายจำเป็นต้องมี มีพนักงานหรือคณะทำงานด้านการคุ้มครองข้อมูลส่วนบุคคล หากไม่มั่นใจก็อาจจะหาคนที่เข้าใจเรื่องนี้มาช่วย หรือพัฒนาบุคลากรขององค์กรเพื่อให้เข้าใจเรื่อง PDPA องค์กรที่มีการเก็บข้อมูลส่วนบุคคลจำนวนมาก (เกิน 100,000 ราย) หรือทำกิจกรรมที่มีการประมวลผลข้อมูลโดยตรงเป็นหลัก ให้ตีไว้ก่อนเลยว่าต้องมี DPO
ขั้นตอนที่ 3 - มอบหมายให้คนที่ดูแลรับผิดชอบเริ่มต้นจัดทำ บันทึกรายการกิจกรรมการประมวลผล (RoPA) เพื่อให้มองเห็นและติดตามข้อมูลในองค์กรได้ จัดทำประกาศความเป็นส่วนตัว (Privacy Notice) ให้เจ้าของข้อมูลส่วนบุคคลทราบแสดงความโปร่งใส มีมาตรการรองรับการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล และเริ่มสร้างมาตรการความมั่นคงปลอดภัยข้อมูลที่เหมาะสมกับองค์กรและระดับความเสี่ยงของข้อมูล โดยอาจเริ่มจากมาตรการที่ลงทุนน้อย ทำได้ง่าย และขยับไปสู่การปรับเปลี่ยนโครงสร้างขนาดใหญ่ตามลำดับ
การทำ 3 ขั้นตอนนี้ช่วยลดความเสี่ยงไม่ถูกปรับ 7 ล้านอย่างแน่นอน