สคส.สั่งปรับครั้งแรกจ่าย 7,000,000 บาท ความผิดฐาน ข้อมูลส่วนบุคคลรั่วไหล!
โดย
 |
| |
สคส.สั่งปรับครั้งแรกจ่าย 7,000,000 บาท
ความผิดฐาน ข้อมูลส่วนบุคคลรั่วไหล!
|
ที่มาของข่าว
วันที่ 21 สิงหาคม 2567 ณ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม แถลงข่าวการป้องกันปัญหาเรื่องข้อมูลรั่วไหลภาครัฐ ภาคเอกชน รวมถึงแก้ไขปัญหาแก๊งคอลเซ็นเตอร์ที่ใช้ข้อมูลส่วนบุคคลของประชาชนไปกระทำความผิดกฎหมาย ได้มีคำสั่งปรับบริษัทเอกชนรายใหญ่ของประเทศที่มีการซื้อขายสินค้าออนไลน์ ที่ปล่อยให้ข้อมูลส่วนบุคคลจำนวนมากรั่วไหลไปยังแก๊งคอลเซ็นเตอร์ โดย ไม่มีมาตรการควบคุมดูแลรักษาความมั่นคงปลอดภัยตามที่ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนด รวมถึงบริษัทดังกล่าวไม่มีการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) และละเลยไม่แจ้งเหตุละเมิดข้อมูลส่วนบุคคลที่รั่วไหล แก่สำนักงานคุ้มครองข้อมูลส่วนบุคคลทราบภายในระยะเวลาที่กฎหมายกำหนด จึงมีคำสั่งลงโทษปรับทางการปกครองบริษัทดังกล่าวในอัตราสูงสุด ทั้งสิ้น 7 ล้านบาท โดยมีรายละเอียดดังนี้
ความผิด
1.ความผิดที่ 1 ไม่จัดตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล(DPO)
ขัดต่อมาตรา 41 ระบุว่า ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของตน
บริษัทที่โดนสั่งปรับได้มีการเก็บรวบรวม ใช้ ข้อมูลส่วนบุคคลของลูกค้า มากกว่า 100,000 ราย และใช้ข้อมูลในการประกอบธุรกิจหลักของบริษัท แต่ไม่มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล(DPO) ตามที่กฎหมายกำหนดโทษทางปกครอง มาตรา 82 ปรับไม่เกิน 1,000,000 บาท
2.ความผิดที่ 2 ไม่มีมาตรการรักษาความปลอดภัยของข้อมูล
ขัดต่อมาตรา 37(1) ระบุว่า ผู้ควบคุมข้อมูลส่วนบุคคล ต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคล
บริษัทที่โดนสั่งปรับไม่มีมาตรการรักษาความปลอดภัยที่เหมาะสม ทำให้ข้อมูลรั่วไหลจากบริษัท ไปยังกลุ่มมิจฉาชีพคือแก๊งคอลเซ็นเตอร์ และก่อให้เกิดความเสียหายในวงกว้าง โทษทางปกครอง มาตรา 83 ปรับไม่เกิน 3,000,000 บาท
3.ความผิดที่ 3 ไม่แจ้งเหตุข้อมูลรั่วไหลกับสำนักงานฯ
ขัดต่อมาตรา 37(4) ระบุว่า ผู้ควบคุมข้อมูลส่วนบุคคล ต้องแจ้งเหตุ การละเมิดข้อมูลส่วนบุคคลแก่สำนักงานโดยไม่ชักช้าภายใน 72 ชั่วโมง นับตั้งแต่ทราบเรื่อง
เมื่อเกิดเหตุรั่วไหล มีการร้องเรียนจากเจ้าของข้อมูลส่วนบุคคล บริษัทดังกล่าว กลับเพิกเฉย ไม่ดำเนินการแก้ไข และแจ้งเหตุให้กับสำนักงานฯ ล่าช้า ทำให้ไม่สามารถเยียวยาได้ โทษทางปกครอง มาตรา 83 ปรับไม่เกิน 3,000,000 บาท
นอกจากโดนปรับแล้ว
คณะกรรมการยังมีคำสั่งให้บริษัทที่โดนปรับปฏิบัติตาม ดังนี้
1. ปรับปรุงมาตรการ รักษาความปลอดภัย
2.อบรมพนักงานเจ้าหน้าที่
3.เพิ่มเติมมาตรการการรักษา ความปลอดภัยให้ทันสมัย
4.แจ้งผลการปรับปรุงให้สำนักงานฯทราบ ภายใน 7 วัน
|
|
|
