ประเดิมโทษ PDPA สคส. ลงดาบ สั่งปรับ บริษัทเอกชน 7 ล้านบาท ฐานทำข้อมูลรั่วไหล

วันนี้ (21 ส.ค. 2567) เมื่อเวลา 10.30 น. สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล(สคส.) ไลฟ์แถลงข่าว ฟันโทษปรับบริษัทเอกชนรายใหญ่ของประเทศ ฐานทำข้อมูลรั่วไหลโดยนาย ประเสริฐ จันทรรวงทอง รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมแถลงการณ์ถึงกรณีดังกล่าวใจความว่า คณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 ที่รับข้อร้องเรียนเกี่ยวกับเทคโนโลยีและอื่น ๆ ได้มีคำสั่งปรับบริษัทเอกชนรายใหญ่แห่งหนึ่งที่มีการซื้อขายสินค้าออนไลน์ ซึ่งปล่อยให้ข้อมูลส่วนบุคคลจำนวนมากรั่วไหลไปยังแก๊งคอลเซ็นเตอร์ รวมจำนวนทั้งสิ้น 7 ล้านบาท

โดยมีรายละเอียดโทษ 3 กระทง ดังนี้

  1. บริษัทที่ถูกร้องเรียนได้เก็บรวบรวมข้อมูลส่วนบุคคลของลูกค้าจำนวนมากกว่า 1 แสนราย และใช้ข้อมูลดังกล่าวในการประกอบธุรกิจหลักของบริษัท แต่กลับไม่มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ตามที่กฎหมายกำหนด จึงทำให้เมื่อเกิดข้อมูลรั่วไหล บริษัทดังกล่าวไม่สามารถเยียวยาแก้ไขปัญหาได้ ซึ่งเป็นกรณีดำเนินการที่ขัดต่อมาตรา 41 แห่ง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลพ.ศ. 2562 (โทษปรับ 1 ล้านบาท)
  2. ผู้ถูกร้องเรียนดังกล่าวไม่มีมาตรการรักษาความปลอดภัยที่เหมาะสมตามที่ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนด ทำให้ข้อมูลรั่วไหลจากบริษัทดังกล่าวไปยังกลุ่มมิจฉาชีพ คือแก๊งคอลเซ็นเตอร์ และก่อให้เกิดความเสียหายในวงกว้าง การกระทำดังกล่าวจึงเป็นการกระทำที่ขัดต่อมาตรา 37(1) แห่งพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (โทษปรับ 3 ล้านบาท)
  3. เมื่อเกิดเหตุข้อร้องเรียนจากเจ้าของข้อมูลส่วนบุคคล บริษัทกลับเพิกเฉยไม่ดำเนินการแก้ไข และแจ้งเหตุให้สำนักงานคุ้มครองข้อมูลส่วนบุคคลล่าช้า ทำให้ไม่สามารถเยียวยาได้ อันเป็น ความผิดตามมาตรา 37(4) พ.ม.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (โทษปรับ 3 ล้านบาท)

นอกจากคำสั่งในการปรับทางปกครองเป็นจำนวน 7 ล้านบาท คณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 ยังมีคำสั่งให้บริษัทผู้ถูกร้องเรียนปรับปรุงมาตรการรักษาความปลอดภัย โดยที่ป้องกันไม่ให้ข้อมูลรั่วไหลอีก

นอกจากนี้ยังมีคำสั่งกำชับให้บริษัทผู้ถูกร้องเรียนดำเนินการอบรมพนักงานเจ้าหน้าที่ รวมถึงเพิ่มมาตราการรักษาความปลอดภัยให้ทันสมัยกับเทคโนโลยีที่เปลี่ยนแปลงไป และมีหน้าที่ต้องแจ้งให้สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลทราบถึงมาตรการแก้ไขดังกล่าวภายใน 7 วันนับแต่ได้รับคำสั่ง

หากบริษัทใดขาดเครื่องมือบริหารจัดการ PDPA พวกเรา Security Pitch มีโซลูชัน Privacy Management สามารถลงทะเบียนกรอกฟอร์มนัด Demo ระบบได้ที่ : Privacy Management

สอบถามข้อมูลผลิตภัณฑ์ “OneFence”

Tel. : 061-462-6414, 064-189-9292

Line : @securitypitch

Email : [email protected]

บทความที่น่าสนใจ