ถูก ขโมยข้อมูล ไปทำบัตรเครดิต ผิด PDPA อย่างไร?

#PDPACase | ถูก ขโมยข้อมูล ไปทำบัตรเครดิต ผิด PDPA อย่างไร?

ขโมยข้อมูล

จากข่าวล่าสุดที่มีการเข้าจับกุมอดีตพนักงานธนาคาร หลังขโมยเอกสารข้อมูลส่วนบุคคลไปใช้สมัครบัตรเครดิต และนำไปกดเงินกว่า 5 แสนบาท กรณีดังกล่าวถือเป็นเคสที่น่าสนใจไม่น้อย เพราะนอกจากการตั้งข้อสงสัยถึงมาตรการรักษาความปลอดภัยในการเก็บรักษาข้อมูลส่วนบุคคล ยังเกี่ยวข้องกับการรับมือ เช่น หากคุณคือผู้เสียหายที่ถูก ขโมยข้อมูล ส่วนบุคคลไป จะต้องทำอย่างไร OneFence มีคำแนะนำ และขั้นตอนในการจัดการเกี่ยวกับการละเมิดข้อมูลส่วนบุคคลมาฝาก

ก่อนอื่นต้องทำความเข้าใจก่อนว่า กฎหมาย PDPA นั้น ถูกเขียนขึ้นมาเพื่อช่วยรักษาสิทธิส่วนบุคคล และช่วยคุ้มครองไม่ให้ข้อมูลส่วนบุคคล ไม่ว่าจะอยู่ในรูปแบบใดก็ตามถูกละเมิด ซึ่งนั่นก็รวมถึงข้อมูล และเอกสารที่เกี่ยวข้องกับข้อมูลส่วนบุคคลในรูปแบบเอกสารด้วย

ดังนั้นในกรณีที่เจ้าของข้อมูลมีการมอบเอกสารที่เป็นข้อมูลส่วนบุคคลในรูปแบบเอกสารให้กับหน่วยงาน หรือองค์กรเพื่อทำธุรกรรมต่าง ๆ ทางหน่วยงานจะต้องมีการขอความยินยอมในการเก็บ รวบรวม ใช้ และประมวลผลของข้อมูลนั้น ๆ และหากพบในภายหลังว่ามีการรั่วไหลของข้อมูล หรือเอกสารข้อมูลส่วนบุคคลนั้นถูกนำไปใช้ในทางมิชอบ ไม่ว่าจะเกิดจากความประมาทเลินเล่อ หรือเกิดจากการถูกจารกรรม เจ้าของข้อมูลสามารถแจ้งต่อผู้ควบคุมข้อมูลส่วนบุคคลได้ โดยสามารถแจ้งทางวาจา เป็นเอกสารลายลักษณ์อักษร หรือทางอิเล็กทรอนิกส์ โดยผู้ควบคุมข้อมูลส่วนบุคคลจะต้องดำเนินการตรวจสอบ และประเมินความเสี่ยงเหตุการละเมิดที่จะกระทบต่อสิทธิหรือเสรีภาพส่วนบุคคล หากเหตุการณ์ที่เกิดขึ้นส่งผลกระทบ จะต้องรีบระงับหรือแก้ไขในทันที และต้องมีการแจ้งต่อสำนักคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายใน 72 ชั่วโมง รวมถึงต้องแจ้งต่อเจ้าของข้อมูล และแจ้งแนวทางการเยียวยาโดยไม่ชักช้า 

ทั้งนี้หากผู้ควบคุมข้อมูลส่วนบุคคลเพิกเฉย เจ้าของข้อมูลก็สามารถร้องเรียนได้ เนื่องจากในมาตรา 73 วรรคหนึ่ง ในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนดไว้ว่า

“เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องเรียนในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคล ฝ่าฝืนหรือไม่ปฏิบัติตามพระราชบัญญัติ หรือประกาศที่ออกตามพระราชบัญญัตินี้”

ซึ่งถ้าหากสำนักงานคณะกรรมคุ้มครองข้อมูลส่วนบุคคลพบว่า ผู้ควบคุมข้อมูลส่วนบุคคลละเลย หรือกระทำผิดจริงก็จะมีความผิดทางปกครอง และต้องรับโทษทางปกครอง ขณะที่บริษัทที่มีจัดเก็บข้อมูลส่วนบุคคลก็จะมีความผิดทางแพ่ง โดยต้องชดใช้ตามมูลค่าความเสียหายจริง และชดใช้ค่าสินไหมทดแทน สูงสุดไม่เกิน 2 เท่าของค่าเสียหาย รวมถึง อาจโดนโทษทางอาญา จำคุกไม่เกิน 1 ปี หรือปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ และโทษทางปกครอง ปรับสูงสุดเป็นเงินกว่า 5 ล้านบาท

ดังนั้นหากในอนาคตคุณมีการมอบเอกสารที่เกี่ยวข้องกับข้อมูลส่วนบุคคลให้กับหน่วยงานหรือองค์กร แล้วไม่มั่นใจ หรือกังวลว่าจะเอกสารเหล่านั้นจะรั่วไหล และถูกนำไปใช้ในทางที่มิชอบ เจ้าของข้อมูลสามารถแจ้งให้ทำการลบข้อมูลได้ในภายหลัง หรือให้ส่งกลับมายังเจ้าของข้อมูลได้เช่นกัน 

ได้ทราบเช่นนี้แล้ว คงจะพอทำให้หลายคนวางใจได้บ้างว่า หากในอนาคตเกิดเหตุไม่คาดคิดอย่างการถูก ขโมยข้อมูล ส่วนบุคคลขึ้น ก็สามารถร้องเรียนได้อย่างแน่นอน แต่ทั้งนี้วิธีที่ปลอดภัยกว่าคือ เจ้าของข้อมูลส่วนบุคคลอย่ามอบเอกสารข้อมูลส่วนบุคคลให้ใครโดยง่าย เพราะตราบใดที่คุณไม่มอบข้อมูลส่วนตัวให้ใคร โอกาสที่จะถูกนำไปใช้ในทางมิชอบก็จะลดลงด้วยเช่นกัน 

ขอบคุณข้อมูลจาก