ประเดิมโทษ PDPA สคส. ลงดาบ สั่งปรับ บริษัทเอกชน

ประเดิมโทษ PDPA สคส. ลงดาบ สั่งปรับ บริษัทเอกชน 7 ล้านบาท ฐานทำข้อมูลรั่วไหล

21 Aug 2024 Privacy & Data Protection

วันนี้ (21 ส.ค. 2567) เมื่อเวลา 10.30 น. สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล(สคส.) ไลฟ์แถลงข่าว ฟันโทษปรับบริษัทเอกชนรายใหญ่ของประเทศ ฐานทำข้อมูลรั่วไหลโดยนาย ประเสริฐ จันทรรวงทอง รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมแถลงการณ์ถึงกรณีดังกล่าวใจความว่า คณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 ที่รับข้อร้องเรียนเกี่ยวกับเทคโนโลยีและอื่น ๆ ได้มีคำสั่งปรับบริษัทเอกชนรายใหญ่แห่งหนึ่งที่มีการซื้อขายสินค้าออนไลน์ ซึ่งปล่อยให้ข้อมูลส่วนบุคคลจำนวนมากรั่วไหลไปยังแก๊งคอลเซ็นเตอร์ รวมจำนวนทั้งสิ้น 7 ล้านบาท

โดยมีรายละเอียดโทษ 3 กระทง ดังนี้

บริษัทที่ถูกร้องเรียนได้เก็บรวบรวมข้อมูลส่วนบุคคลของลูกค้าจำนวนมากกว่า 1 แสนราย และใช้ข้อมูลดังกล่าวในการประกอบธุรกิจหลักของบริษัท แต่กลับไม่มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ตามที่กฎหมายกำหนด จึงทำให้เมื่อเกิดข้อมูลรั่วไหล บริษัทดังกล่าวไม่สามารถเยียวยาแก้ไขปัญหาได้ ซึ่งเป็นกรณีดำเนินการที่ขัดต่อมาตรา 41 แห่ง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลพ.ศ. 2562 (โทษปรับ 1 ล้านบาท)
ผู้ถูกร้องเรียนดังกล่าวไม่มีมาตรการรักษาความปลอดภัยที่เหมาะสมตามที่ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนด ทำให้ข้อมูลรั่วไหลจากบริษัทดังกล่าวไปยังกลุ่มมิจฉาชีพ คือแก๊งคอลเซ็นเตอร์ และก่อให้เกิดความเสียหายในวงกว้าง การกระทำดังกล่าวจึงเป็นการกระทำที่ขัดต่อมาตรา 37(1) แห่งพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (โทษปรับ 3 ล้านบาท)
เมื่อเกิดเหตุข้อร้องเรียนจากเจ้าของข้อมูลส่วนบุคคล บริษัทกลับเพิกเฉยไม่ดำเนินการแก้ไข และแจ้งเหตุให้สำนักงานคุ้มครองข้อมูลส่วนบุคคลล่าช้า ทำให้ไม่สามารถเยียวยาได้ อันเป็น ความผิดตามมาตรา 37(4) พ.ม.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (โทษปรับ 3 ล้านบาท)

นอกจากคำสั่งในการปรับทางปกครองเป็นจำนวน 7 ล้านบาท คณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 ยังมีคำสั่งให้บริษัทผู้ถูกร้องเรียนปรับปรุงมาตรการรักษาความปลอดภัย โดยที่ป้องกันไม่ให้ข้อมูลรั่วไหลอีก

นอกจากนี้ยังมีคำสั่งกำชับให้บริษัทผู้ถูกร้องเรียนดำเนินการอบรมพนักงานเจ้าหน้าที่ รวมถึงเพิ่มมาตราการรักษาความปลอดภัยให้ทันสมัยกับเทคโนโลยีที่เปลี่ยนแปลงไป และมีหน้าที่ต้องแจ้งให้สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลทราบถึงมาตรการแก้ไขดังกล่าวภายใน 7 วันนับแต่ได้รับคำสั่ง

หากบริษัทใดขาดเครื่องมือบริหารจัดการ PDPA พวกเรา Security Pitch มีโซลูชัน Privacy Management สามารถลงทะเบียนกรอกฟอร์มนัด Demo ระบบได้ที่ : Privacy Management

สอบถามข้อมูลผลิตภัณฑ์ “OneFence”

Tel. : 061-462-6414, 064-189-9292

Line : @securitypitch

Email : [email protected]

บทความที่น่าสนใจ

onefence PDPA ข้อมูลส่วนบุคคล พรบข้อมูลส่วนบุคคล สคส สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

18 Sep 2024

จริงหรือ? เพจเจอร์ระเบิด เพราะโดนแฮ็ก

วานนี้ (17 ก.ย. 2567) เกิดเหตุเพจเจอร์หลายร้อยเครื่องของกลุ่ม ฮิซบอลเลาะห์ระเบิดในเลบานอน จนมีผู้เสียชีวิต 9 ราย และผู้บาดเจ็บอีกราว […]

17 Sep 2024

ประกาศแล้ว! มาตรฐานความปลอดภัยไซเบอร์บนระบบคลาวด์

ย้อนกลับไปช่วงต้นปีที่ผ่านมา เกิดเหตุการณ์ข้อมูลรั่วไหลครั้งใหญ่ในประเทศไทย มีข้อมูลรั่วไหลมากกว่า 20 ล้านชุด หลุดบน Dark Web เหตุการณ์ครั้งนั้นไม่เพียงก่อให้เกิดการพูดถึงมาตรการรักษาความปลอดภัยที่มีประสิทธิภาพของหน่วยงานรัฐ หากยังนำมาสู่การเรียกร้องให้รัฐเร่งในเรื่องมาตรฐานของระบบคลาวด์ […]