ดีอีสั่งฟันเอกชนปรับ 7 ล.

ปล่อยข้อมูลปชช.รั่วไหล

ถึงมือแก๊งคอลเซ็นเตอร์

“ประเสริฐ”รมว.ดีอี คุมเข้มข้อมูลส่วนบุคคล ฟันบริษัทเอกชนรายใหญ่ สั่งปรับ 7 ล้านบาทปมทำข้อมูลรั่วไหล หลุดไปถึงมือแก๊งคอลเซ็นเตอร์ ชี้ลงโทษปรับรายแรก นับตั้งแต่บังคับใช้พ.ร.บ.คุ้มครองข้อมูลฯ

เมื่อวันที่ 21 สิงหาคม นายประเสริฐ จันทรรวงทอง รมว.ดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) แถลงความคืบหน้าการป้องกันและแก้ปัญหาข้อมูลรั่วไหลภาครัฐ ภาคเอกชน รวมถึงการปราบปรามแก๊งคอลเซ็นเตอร์ ที่ใช้ข้อมูลส่วนบุคคลของประชาชนไปกระทำผิดกฎหมาย ที่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ว่าคณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 ซึ่งรับข้อร้องเรียนเกี่ยวกับเทคโนโลยีและอื่นๆได้มีคำสั่งปรับบริษัทเอกชนรายใหญ่ ที่มีการซื้อขายสินค้าออนไลน์ แล้วปล่อยให้ข้อมูลส่วนบุคคลจำนวนมากรั่วไหลไปยังแก๊งคอลเซ็นเตอร์ โดยไม่มีมาตรการควบคุมดูแล ตามที่ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 กำหนด รวมทั้งไม่มีการตั้งเจ้าหน้าที่คุ้มครองข้อมูลฯ และละเลยไม่แจ้งเหตุละเมิดข้อมูลฯ ให้กับทางสำนักงานคุ้มครองข้อมูลฯ ทราบภายในระยะเวลาที่กฎหมายกำหนด

ทั้งนี้ คณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 ได้มีคำสั่งลงโทษปรับทางการปกครองบริษัทดังกล่าวในอัตราสูงสุด รวมทั้งสิ้น 7 ล้านบาท มีรายละเอียดดังนี้ 1.บริษัทที่ถูกร้องเรียนได้เก็บรวบรวมข้อมูลส่วนบุคคลของลูกค้ามากกว่า 1 แสนราย และใช้ข้อมูลดังกล่าวในการประกอบธุรกิจหลักของบริษัท แต่กลับไม่มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ตามที่กฎหมายกำหนด จึงทำให้เมื่อเกิดข้อมูลรั่วไหล บริษัทดังกล่าวไม่สามารถเยียวยาแก้ปัญหาได้ ซึ่งขัดต่อมาตรา 41 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562

2.ผู้ถูกร้องเรียนดังกล่าวไม่มีมาตรการรักษาความปลอดภัยที่เหมาะสมตามที่ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 กำหนด ทำให้ข้อมูลรั่วไหลจากบริษัทดังกล่าวไปยังกลุ่มมิจฉาชีพคือแก๊งคอลเซ็นเตอร์ ก่อให้เกิดความเสียหายในวงกว้าง ซึ่งการกระทำดังกล่าวขัดต่อมาตรา 37 (1) พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 และ 3.เมื่อเกิดเหตุข้อร้องเรียนจากเจ้าของข้อมูลส่วนบุคคล บริษัทกลับเพิกเฉยไม่ดำเนินการแก้ไขและแจ้งเหตุให้สำนักงานคุ้มครองข้อมูลส่วนบุคคล ล่าช้า ทำให้ไม่สามารถเยียวยาได้ เป็นความผิดตามมาตรา 37 (4) พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562

นายประเสริฐ กล่าวต่อว่า นอกจากนี้คณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 ยังมีคำสั่งให้บริษัทผู้ถูกร้องเรียนปรับปรุงมาตรการรักษาความปลอดภัย โดยป้องกันไม่ให้ข้อมูลรั่วไหลอีก รวมทั้งมีคำสั่งกำชับให้บริษัทผู้ถูกร้องเรียน อบรมพนักงานเจ้าหน้าที่ รวมถึงเพิ่มเติมมาตรการรักษาความปลอดภัยให้ทันกับเทคโนโลยีที่เปลี่ยนแปลงไป และต้องแจ้งสำนักงานคุ้มครองข้อมูลฯ ทราบ ภายใน 7 วัน นับแต่ได้รับคำสั่ง

“คำสั่งลงโทษปรับทางการปกครองดังกล่าว เป็นคำสั่งลงโทษปรับทางการปกครองฉบับแรกกับบริษัทเอกชนรายใหญ่ นับตั้งแต่ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 มีผลใช้บังคับใช้ ซึ่งเป็นไปตามหลักเกณฑ์ของกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรปหรือ GDPR” นายประเสริฐ กล่าว

นายประเสริฐ กล่าวอีกว่า คำสั่งปรับดังกล่าวต้องการคุ้มครองประชาชนจากปัญหากรณีแก๊งคอลเซ็นเตอร์ และข้อมูลส่วนบุคคลรั่วไหล ที่เป็นปัญหาหลักในตลอดระยะเวลา 2 ปีที่ผ่านมา รวมถึงเป็นการแจ้งเตือนไปยังหน่วยงานภาครัฐและภาคเอกชน ที่มีข้อมูลส่วนบุคคลรั่วไหล ต้องแจ้งสำนักงานคุ้มครองข้อมูลส่วนบุคคล ตามที่กฎหมายกำหนด โดยคำสั่งปรับทางการปกครองฉบับนี้จะใช้เป็นมาตรฐาน และบรรทัดฐานในการพิจารณาเรื่องข้อมูลรั่วไหลในภาครัฐและภาคเอกชน

รมว.ดีอี กล่าวว่า การปรับครั้งนี้จะทำให้ภาครัฐและภาคเอกชน ตื่นตัว เคร่งครัด และปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 มากขึ้น รวมทั้งเป็นส่วนหนึ่งของมาตรการในการป้องปรามแก๊งคอลเซ็นเตอร์ ที่นำข้อมูลส่วนบุคคลไปใช้โดยผิดกฎหมาย นอกจากนี้มาตรการดังกล่าวยังช่วยบรรเทาความเสียหายของเจ้าของข้อมูลที่รั่วไหล สร้างความเชื่อมั่นให้ประชาชนในการใช้ข้อมูลส่วนบุคคลทางออนไลน์