บริษัทขนาดใหญ่แห่งหนึ่งทำผิด PDPA ทำไมถูกปรับถึง 7 ล้านและองค์กรได้เรียนรู้อะไรจากกรณีนี้

i-PDPA

6 กันยายน 2567

เกิดอะไรขึ้นกันแน่

              การเกิดกรณีเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลหรือ PDPA บ้านเราที่ได้เป็นข่าวใหญ่ในช่วงเวลานี้ คือ กรณีบริษัทขนาดใหญ่แห่งหนึ่งทีทำธุรกิจด้านการขายอุปกรณ์สื่อสารที่ผมขอเรียกว่า “บริษัทเจเจ” ได้ถูกสำนักงานคุ้มครองข้อมูลส่วนบุคคลใช้อำนาจในการสั่งปรับทางการปกครองเป็นจำนวนเงินสูงถึง 7 ล้านบาท ทั้งที่ PDPA กำหนดเอาไว้ว่า โทษทางปกครองจะปรับสูงสุดไม่เกิน 5 ล้านบาท

              เมื่อต้นปี 2567 มีผู้แอบอ้างเป็น พนักงานขายบริษัทเจเจ ติดต่อไปยังเจ้าของข้อมูลส่วนบุคคลหลายราย ทั้งทางไลน์และโทรศัพท์ โดยเสนอว่าบริษัทเจเจจะมีโปรโมชั่นใหม่ เช่น หากซื้อสินค้านี้มีคืนเงิน พร้อมกับหลอกให้ผู้เสียหายโอนเงินไปให้ผู้ติดต่อเข้ามา ซึ่งโดยข้อเท็จจริงแล้ว บริษัทไม่ได้มีข้อเสนอดังกล่าวแต่อย่างใด เมื่อผู้เสียหายสอบถามเพิ่มเติมจึงได้ทราบว่า ตนถูกหลอกลวง จึงทำการร้องเรียนต่อคณะกรรมการสอบสวนของสำนักงานคุ้มครองข้อมูลส่วนบุคคล โดยผู้เสียหายทั้งหมดที่ได้ร้องเรียนต่อสำนักงานมีจำนวนทั้งสิ้น 23 ราย

              ในวันที่ 27 มีนาคม 2567 สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจึงได้เรียกบริษัทเจเจเข้าชี้แจงกรณีข้อมูลส่วนบุคคลและข้อมูลการซื้อสินค้ารั่วไหล เมื่อสอบข้อเท็จจริงพบว่าข้อมูลที่มิจฉาชีพนำมากล่าวอ้าง ไม่ว่าจะเป็นข้อมูลส่วนตัวของลูกค้า ข้อมูลการซื้อสินค้า พบว่าข้อมูลที่มิจฉาชีพใช้กล่าวอ้างนั้น สอดคล้องและตรงกับข้อมูลที่บริษัทเจเจมีอยู่จริง

              และสรุปผลการสอบสวนสรุปได้ว่า เบื้องต้น บริษัทเจเจได้กระทำความผิดขัดต่อ PDPA ใน 3 ประเด็นใหญ่ และเป็นที่มาของการปรับเงินสูงถึง 7 ล้านบาท

ผิดอะไร ทำไมต้องปรับ 7 ล้านบาท

              บริษัทเจเจไม่ได้ดำเนินการตาม PDPA ในเรื่องสำคัญ 3 ประเด็น คือ

              ประเด็นที่ 1 : บริษัทเจเจในฐานะผู้ควบคุมข้อมูลส่วนบุคคล ไม่แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามมาตรา 41 (2) แห่ง พ.ร.บ.คุ้มครอง 

            บริษัทเจเจทำธุรกิจเกี่ยวกับ “การขายปลีกอุปกรณ์คอมพิวเตอร์” ซึ่งต้องใช้ข้อมูลส่วนบุคคลของลูกค้าจำนวนมาก (ตั้งแต่ 100,000 รายขึ้นไป) เพื่อใช้ในการทำคำเสนอซื้อขายสินค้าและส่งสินค้าให้แก่ลูกค้า ซึ่งถือได้ว่าการเก็บรวบรวม ใช้ หรือประมวลผลข้อมูลส่วนบุคคลของบริษัทเจเจ “เป็นกิจกรรมหลักของผู้ควบคุมข้อมูลส่วนบุคคล” เข้าข่ายว่ามีหน้าที่ที่ต้องจัดให้มี “เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)” ปรากฏว่า บริษัทเจเจมีการแต่ง DPO จริง แต่เพิ่งแต่งตั้งเมื่อวันที่ 5 เม.ย.2567 หลังเกิดเหตุ และทำหน้าที่เพียงการให้คำแนะนำในการจัดทำเอกสารตามกฎหมาย

              คณะกรรมการผู้เชี่ยวชาญเห็นว่า บริษัทเจเจไม่ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลได้อย่างถูกต้องครบถ้วนการกระทำข้างต้นถือว่าเป็นการกระทำโดยจงใจหรือประมาทเลินเล่ออย่างร้ายแรงโดยไม่ดำเนินการแก้ไข เยียวยาปัญหาดังกล่าว จึงถือเป็นกรณีร้ายแรง จึงมีคำวินิจฉัยให้ลงโทษปรับทางปกครองจำนวน 1,000,000 บาท

              ประเด็นที่ 2 : บริษัทเจเจไม่มีมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคลที่มีมาตรฐานขั้นต่ำตามที่กฎหมายกำหนด หรือไม่มีประสิทธิภาพเพียงพอทำให้เกิดเหตุการละเมิดข้อมูลส่วนบุคคล ระหว่างปี พ.ศ.2563-2567 จนถึงปัจจุบัน

              ปรากฏหลักฐานชี้ชัดว่า บริษัทเจเจไม่มีมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคลดังกล่าวที่เพียงพอ ไม่ได้จำกัดการเข้าถึงข้อมูลส่วนบุคคลของลูกค้าผู้ถูกร้องเรียนเพราะทุกคนสามารถเข้าถึงข้อมูลลูกค้าได้ทุกคน และเข้าถึงข้อมูลลูกค้าที่มีอยู่ได้ทั้งหมด รวมทั้ง มีกรณีบันทึกข้อมูลส่วนบุคคลในรูปไฟล์ Excel ซึ่งมีข้อมูลส่วนบุคคลจำนวนมาก สูญหายไปจากบริษัทเจเจเป็นระยะเวลานาน แต่บริษัทเจเจกลับเพิกเฉยไม่เคยดำเนินการแก้ไขปรับปรุงมาตรการรักษาความมั่นคงปลอดภัยในข้อมูลส่วนบุคคล จนก่อให้เกิดความเสียหายเป็นวงกว้าง

              คณะกรรมการผู้เชี่ยวชาญเห็นว่า การที่บริษัทเจเจละเลยเพิกเฉยไม่ดำเนินการมาเป็นเวลา 4 ปี   เป็นการกระทำที่เป็นความผิดที่จงใจหรือประมาทเลินเล่ออย่างร้ายแรง ผิดจริยธรรมของผู้ประกอบธุรกิจออนไลน์ที่จะกระทำ ทั้งๆ ที่บริษัทเจเจมีรายได้หลักจากการซื้อขายสินค้าที่ใช้ข้อมูลส่วนบุคคลจำนวนมากในการขายสินค้าและให้บริการ จึงมีคำวินิจฉัยให้ลงโทษปรับทางปกครองจำนวน 3,000,000 บาท

              ประเด็นที่ 3 : บริษัทเจเจไม่ดำเนินการแจ้งเหตุละเมิดแก่เจ้าหน้าที่ภายใน 72 ชั่วโมง

              จากการสอบสวนปรากฏชัดว่า บริษัทเจเจทราบว่ามีข้อมูลรั่วไหลตั้งแต่ปี พ.ศ.2563 ถึง 2567 ทั้งก่อนและหลังแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล แต่บริษัทเจเจก็ไม่เคยมีการแจ้งเหตุแห่งการละเมิดข้อมูลส่วนบุคคลแก่สำนักงานคุ้มครองข้อมูลส่วนบุคคลโดยไม่ชักช้าภายใน 72 ชั่วโมง นับแต่ทราบเหตุเท่าที่สามารถกระทำได้และไม่ได้แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่เจ้าของข้อมูลส่วนบุคคลโดยไม่ชักช้า ตามที่กฎหมายกำหนด

              คณะกรรมการผู้เชี่ยวชาญเห็นว่า เป็นการกระทำที่จงใจและเพิกเฉยต่อการรักษาสิทธิของเจ้าของข้อมูลส่วนบุคคล เป็นการกระทำที่มีเหตุร้ายแรง จึงมีคำวินิจฉัยให้บริษัทเจเจต้องชำระค่าปรับทางปกครองเพิ่มเติมเนื่องจากการไม่ปฏิบัติตามหน้าที่ในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลเป็นจำนวน 3,000,000 บาท

              เมื่อรวมทั้ง 3 ประเด็นความผิด จึงกลายเป็นเงินค่าปรับรวมทั้งสิ้น 7 ล้านบาท

สิ่งที่องค์กรควรได้เรียนรู้จากกรณีนี้

             กรณีที่เกิดขึ้นกับบริษัทเจเจ มีหลายประเด็นที่องค์กรในฐานะเป็นผู้ควบคุมข้อมูลส่วนบุคคลและพนักงานในฐานะที่เป็นคนทำงานแทนผู้ควบคุมข้อมูลส่วนบุคคลควรได้เรียนรู้เพื่อป้องกันไม่ให้เกิดความเสี่ยงที่จะดำเนินการขัดต่อ PDPA ในเรื่องเหล่านี้

              ข้อแรก การแต่งตั้งผู้ควบคุมข้อมูลส่วนบุคคล หรือ DPO มีความจำเป็น และจะต้องไม่ใช่ทำหน้าที่เพียงแค่การให้ข้อแนะนำทางกฎหมาย

              แม้ PDPA จะระบุว่า ผู้ควบคุมข้อมูลส่วนบุคคลไม่จำเป็นต้องตั้ง DPO หากไม่เข้าหลักเกณฑ์ เช่น ไม่มีการประมวลผลข้อมูลส่าวนบุคคลจำนวนมาก แต่ในความเป็นจริงแล้ว หากไม่มี DPO จะเป็นเรื่องยากที่จะหาคนขับเคลื่อนเรื่องการคุ้มครองข้อมูลส่วนบุคคลอย่างต่อเนื่องในองค์กร ดังนั้น การมี DPO ไท้ว่าจะเป็นคนในองค์กร หรือ เป็น Outsources เข้ามาก็ยังจำเป็น

              และที่สำคัญกว่านั้น บทบาทของ DPO จะต้องกว้างกว่าเพียงเรื่องด้านกฎหมาย แต่ DPO จะต้องกำกับดูและการบริหารจัดการข้อมูลส่วนบุคคล ความมั่นคงปลอดภัยของข้อมูล การให้ความรู้สร้างความตระหนักทั่วทั้งองค์กร และการจัดการบริหารการเกิดเหตุละเมิดด้วย

              ข้อที่สอง ควรแปลงข้อความกฎหมายใน PDPA มาทำเป็นกระบวนการทำงานหรือขั้นตอนการทำงาน (Work Flow/ Work Process)

              การจะให้คนในองค์กรเข้าใจเรื่องกฎหมายแล้วนำไปปฏิบัติไม่ใช่เรื่องง่าย แต่หากได้นำเรื่องที่ต้องดำเนินการ เช่น การใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล การขอความยินยอม การบริหารจัดการกรณีเกิดการละเมิดข้อมูลส่วนบุคคล นำมาแปลงเป็นขั้นตอนการทำงานเอาไว้ แล้วใช้ในการสื่อสารกับคนที่เกี่ยวข้องเพื่อให้นำไปปฏิบัติก็จะทำให้การดำเนินการตาม PDPA ง่ายขึ้น

              ข้อที่สาม ต้องประเมินให้ออกว่า ความเสี่ยงด้าน PDPA ของเราคืออะไร มีตรงไหนบ้างที่ยังต้องปิดจุดอ่อน

              องค์กรต้องประเมินให้ได้ว่า มีความเสี่ยงอะไรบ้างเกี่ยวกับการปกป้องคุ้มครองข้อมูลส่วนบุคคลที่ยังไม่ได้ดำเนินการ หรือ มีการดำเนินการแล้วแต่ยังไม่สมบูรณ์ เพื่อจะได้จัดลำดับความสำคัญ แล้วดำเนินการปิดความเสี่ยงเหล่านั้น เพราะหากไม่มีการประเมินความเสี่ยงเอาไว้ จะทำให้องค์กรในฐานะผู้ควบคุมข้อมูลส่วนบุคคลเกิดความประมาทเลินเล่อและชะล่าใจจนเกิดเหตุการณ์ที่เกินควบคุมได้

              ข้อสุดท้าย อย่าประเมินสำนักงานคุ้มครองข้อมูลส่วนบุคคลต่ำไป

              เพราะที่ผ่านมา องค์กรหรือคนทั่วไปอาจจะมองว่าสำนักงานคุ้มครองข้อมูลส่วนบุคคลยังไม่มีความพร้อมและยังเหมือนเป็นเสือกระดาษที่ไม่มีความน่าเกรงขาม แต่เวลาที่ผ่านมาทางสำนักงานเองก็ได้เร่งสร้างความพร้อมของบุคลากรและกระบวนการที่พร้อมพอสมควรจนสามารถเข้าไปตรวจสอบ ออกคำสั่งให้ผู้ควบคุมข้อมูลส่วนบุคคลต้องดำเนินการในเรื่องต่างๆและจ่ายค่าปรับไปแล้วหลายราย 

              และบริษัทเจเจก็เป็นกรณีศึกษาที่ทำให้เราได้เรียนรู้ว่า ถ้าได้ทำทั้งสี่ข้อข้างต้นแล้ว ก็จะช่วยลดโอกาสที่จะเผชิญปัญหาแบบที่บริษัทเจเจได้เผชิญอยู่ไม่น้อย