สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) หรือ PDPC ได้สั่งปรับบริษัทเอกชนแห่งหนึ่ง เป็นจำนวน 7 ล้านบาท เนื่องจากได้ปล่อยให้มีการรั่วไหลของข้อมูลจำนวนมาก และข้อมูลเหล่านั้นได้ถูกส่งผ่านไปแก๊งคอลเซนเตอร์ สร้างความเสียหายให้ประชาชน โดยที่ไม่มีการควบคุมกำกับดูแลแต่อย่างใด โดยเฉพาะอย่างยิ่งไม่ปฏิบัติตามพ.ร.บ.ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
พล.อ.ภุชพงศ์ พงษ์ศิริ ประธานกรรมการผู้เชี่ยวชาญด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคล กล่าวว่า กรณีดังกล่าวมีประชาชนที่ถูกละเมิดข้อมูลส่วนบุคคลมากกว่า 100,000 ราย แต่มีผู้ที่มาร้องเรียนจริง 21 ราย โดยบริษัทแห่งนี้ได้กระทำความผิดมาตั้งแต่ปี 2563
ทั้งนี้ สามารถสรุปประเด็นความผิดได้เป็น 3 เรื่อง ดังนี้
1. บริษัทที่ถูกร้องเรียนได้เก็บรวบรวมข้อมูลส่วนบุคคลของลูกค้าจำนวนมากกว่า 100,000 ราย และใช้ข้อมูลดังกล่าวในการประกอบธุรกิจหลักของบริษัท แต่กลับไม่มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด จึงทำให้เกิดข้อมูลรั่วไหล และบริษัทดังกล่าวไม่สามารถเยียวยา แก้ปัญหาให้ประชาชนได้ ซึ่งเป็นกรณีที่ดำเนินการขัดต่อมาตรา 41 แห่งพ.ร.บ.ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 สรุปคือแม้บริษัทรู้เรื่องแล้ว แต่ก็ไม่เยียวยาให้ประชาชนที่เดือดร้อน ในประเด็นนี้ลงโทษปรับ 1 ล้านบาท
2. ผู้ถูกร้องเรียนดังกล่าว ไม่มีมาตรการรักษาความปลอดภัยที่เหมาะสม ตามที่พ.ร.บ.ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 กำหนด ทำให้ข้อมูลรั่วไหลจากบริษัทดังกล่าวไปยังกลุ่มมิจฉาชีพ แก๊งคอลเซนเตอร์ และก่อให้เกิดความเสียหายในวงกว้าง การกระทำดังกล่าวขัดต่อมาตรา 37 (1) แห่งพ.ร.บ.ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ในประเด็นนี้ลงโทษปรับ 3 ล้านบาท
3. เมื่อเกิดเหตุข้อขัดข้อง และการร้องเรียนจากเจ้าของข้อมูลส่วนบุคคลจำนวน 21 ราย บริษัทกลับเพิกเฉย ไม่ดำเนินการแก้ไข และแจ้งเหตุให้สคส. ล่าช้า ทำให้ไม่สามารถเยียวยาได้ เป็นความผิดตามมาตรา 37 (4) พ.ร.บ.ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ในประเด็นนี้ลงโทษปรับ 3 ล้านบาท
ด้านนายประเสริฐ จันทรรวงทอง รมว.ดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) กล่าวว่า สคส. ได้ทำการตักเตือน และแจ้งไปยังบริษัทดังกล่าวแล้ว แต่บริษัทก็ไม่ปฏิบัติตาม จนในที่สุดมีผู้เสียหายจำนวนมาก หลังจากที่คณะกรรมการผู้เชี่ยวชาญคณะที่ 2 ได้ดำเนินการตรวจสอบข้อมูลแล้ว เห็นว่ามีองค์ประกอบหลายอย่าง นอกจากไม่ปฎิตามพ.ร.บ.แล้ว ยังไม่แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือเจ้าหน้าที่ DPO และละเลยในการไม่แจ้งเหตุละเมิดข้อมูลส่วนบุคคลให้สคส. รับทราบภายในระยะเวลาที่กำหนด
ดังนั้น หลังจากที่ได้แจ้งให้บริษัทดังกล่าวปรับปรุงแล้ว คณะกรรมการผู้เชี่ยวชาญคณะที่ 2 จึงได้พิจารณา และมีคำสั่งลงโทษปรับทางการปกครองบริษัทดังกล่าว ในอัตราสูงสุดเป็นจำนวนเงินทั้งสิ้น 7 ล้านบาท
"ครั้งนี้เป็นครั้งแรกที่ได้ดำเนินการตามกฎหมาย ปัจจุบัน ดีอีได้ทำงานร่วมกับหน่วยงานที่เกี่ยวข้อง และให้ความสำคัญมาก เพราะนี่เป็นสาเหตุหนึ่งที่แก๊งคอลเซนเตอร์ได้สร้างความเสียหายโดยการนำข้อมูลไปใช้ ซึ่งผลจากการดำเนินในครั้งนี้หวังว่าจะสร้างความตื่นตัวให้ทั้งภาครัฐ ภาคเอกชน ในเรื่องการเคร่งครัด และปฏิบัติตามพ.ร.บ.ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ซึ่งมีผลบังคับใช้มาตั้งแต่ปี พ.ศ.2562" นายประเสริฐ กล่าว
นายไพบูลย์ อมรภิญโญเกียรติ กรรมการผู้เชี่ยวชาญด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคล กล่าวว่า เคสนี้เป็นเคสตัวอย่าง ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล ไม่ว่าจะเป็นภาครัฐ หรือเอกชน หากมีข้อมูลส่วนบุคคลเก็บไว้ต้องมีมาตรการรักษาความปลอดภัย และหากหน่วยงานใดมีข้อมูลจำนวนมากเกิน 100,000 ราย และได้นำข้อมูลมาใช้ประกอบกิจการ เช่น Search Engines แท๊กลูกค้า หรือใช้ข้อมูลในการขายสินค้าออนไลน์ หรือภาครัฐใช้ข้อมูลในการให้บริการประชาชน จำเป็นต้องมีมาตรการรักษาความปลอดภัย มีเจ้าหน้าที่ DPO และมาตรการรักษาความปลอดภัย ระวังเรื่องข้อมูลรั่วไหล ซึ่งหากเกิดข้อมูลรั่วไหลต้องแจ้งสคส. ภายใน 72 ชั่วโมง หรือภายใน 15 วัน และถ้าข้อมูลที่รั่วไหลนั้นทำให้ประชาชนเดือดร้อน ก็ต้องแจ้งประชาชนด้วย
"ในช่วง 2-3 ปีที่ผ่านมา เรามีปัญหาข้อมูลหลุดจากหน่วยงานภาครัฐค่อนข้างเยอะ ปัจจุบัน มีร้องเรียนเรื่องข้อมูลรั่วไหลกว่า 4,000 เรื่อง ซึ่งเรื่องนี้เป็นเรื่องแรกที่ดำเนินการปรับ และเรื่องอื่น ๆ ก็จะดำเนินการตามมา ทั้งนี้ ถ้าถามว่าเคสนี้ทำไมต้องรอ 2 ปี เนื่องจากกฎหมายลูกเพิ่งเสร็จสิ้น" นายไพบูลย์ กล่าว