เมื่อข้อมูลส่วนบุคคลเรารั่วไหลเราควรได้รับแจ้งอย่างไรจากผู้ควบคุมข้อมูล

i-PDPA 20 พฤศจิกายน 2567               ในช่วงเพียง 2 สัปดาห์ที่ผ่านมา ได้เกิดเหตุข้อมูลส่วนบุคคลรั่วไหลจากฐานข้อมูลลูกค้า 2 ราย คือจากร้านอาหารเฟรนไชส์หนึ่งราย และอีกหนึ่งรายจากห้างสรรพสินค้าชื่อดังที่มีข้อมูลรั่วไหลจากข้อมูลบัตรสมาชิก               ที่น่าสนใจคือ การชี้แจงจากผู้ควบคุมข้อมูลส่วนบุคคลทั้งสองราย เป็นไปในแนวทางที่คล้ายคลึงกัน คือรับรู้ว่ามีเหตุข้อมูลรั่วไหลเกิดเหตุละเมิด แต่เป็นข้อมูลที่ไม่น่ากังวล และขอให้เจ้าของข้อมูลส่งบุคคลผู้ได้รับแจ้งใช้ความระมัดระวังในการทำธุรกรรมที่เกี่ยวข้องกับข้อมูลส่วนบุคคล เช่น การกด Link การแจ้งเบอร์OTP แต่ประเด็นคือว่า การที่เจ้าของข้อมูลส่วนบุคคลได้รับแจ้งตามภาพนี้ เพียงพอหรือไม่ ในกรณีเกิดการละเมิดข้อมูลส่วนบุคคล PDPA ซึ่งในมาตรา มาตรา 37(4)  มีการกำหนดแนวทางไว้ว่าแยกเป็น 3 กรณี คือ               1.กรณีประเมินว่าไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล  ผู้ควบคุมข้อมูลส่วนบุคคลไม่ต้องแจ้งแก่ทั้งสำนักงานคุ้มครองข้อมูลส่วนบุคคล และเจ้าของข้อมูลส่วนบุคคล               2.กรณีประเมินว่ามีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล  ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งแก่สำนักงานคุ้มครองข้อมูลส่วนบุคคลแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สำนักงานโดยไม่ชักช้าภายใน72 ชั่วโมง  “ นับแต่ทราบเหตุ”                3.กรณีประเมินว่ามีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล  ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งเหตุละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบ พร้อมกับแนวทางการเยียวยา โดยไม่ชักช้า และต้องแจ้งสำนักงานคุ้มครองข้อมูลส่วนบุคคลโดยไม่ชักช้าภายใน72 ชั่วโมง  “ นับแต่ทราบเหตุ”                ประเด็นสำคัญคือ คนที่จะประเมินว่าไม่เสี่ยง เสี่ยง หรือ เสี่ยงสูง คือ ผู้ควบคุมข้อมูลส่วนบุคคลประเมินตามแนวทางที่กำหนดไว้ใน”ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล พ.ศ. 2565”               ดังนั้น หากผู้ควบคุมข้อมูลส่วนบุคคลประเมินเองว่า เข้ากรณีไหนใน 3 กรณี สิ่งที่ผู้ควบคุมข้อมูลส่วนบุคคลจะดำเนินการก็จะล้อไปตามการตีความและหากจะดูข้อความที่ทั้ง 2 กรณี คือ เฟรนไชส์ และห้างสรรพสินค้าดังแจ้งแก่ลูกค้า สะท้อนว่า เขาประเมินว่า ไม่เสี่ยง ดังนั้น จึงแจ้งกับเจ้าของข้อมูลส่วนบุคคลด้วยเนื้อความที่ไม่ได้ครบถ้วนตามแนวทางที่กำหนดไว้ คือ  ถ้าหากเราไม่พอใจในการชี้แจงนี้จะทำอย่างไร หากเรามองว่า เรามีความเสี่ยง หรือ เสี่ยงสูงที่จะกระทบสิทธิและเสรีภาพของเรา เราสามารถจะดำเนินการดังนี้               ทางเลือกแรก แจ้งขอใช้สิทธิเจ้าของข้อมูลส่วนบุคคลในการขอให้เฟรนไชส์ และห้างสรรพสินค้าดังลบข้อมูลส่วนบุคคลของเราออกจากการเก็บรวบรวม                ทางเลือกที่สอง แจ้งร้องเรียนต่อสำนักงานคุ้มครองข้อมูลส่วนบุคคลว่า เรามีความเสี่ยงจากการเกิดเหตุละเมิด ซึ่งผู้ควบคุมข้อมูลส่วนบุคคลควรจะมีการดำเนินการมากกว่านี้ เช่น มาตรการการเยียวยา เป็นต้น เป็นแนวทางที่ขอให้ไว้กับท่านที่เจอกรณีข้อมูลส่งนบุคคลของท่านรั่วไหล แล้วอยากจะได้รับการคุ้มครองที่มากกว่าที่ได้รับแจ้งมา #PDPA #การรั่วไหลของข้อมูลส่วนบุคคล

i- PDPA

November 25, 2024

บริษัทขนาดใหญ่แห่งหนึ่งทำผิด PDPA ทำไมถูกปรับถึง 7 ล้านและองค์กรได้เรียนรู้อะไรจากกรณีนี้

i-PDPA 6 กันยายน 2567 เกิดอะไรขึ้นกันแน่               การเกิดกรณีเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลหรือ PDPA บ้านเราที่ได้เป็นข่าวใหญ่ในช่วงเวลานี้ คือ กรณีบริษัทขนาดใหญ่แห่งหนึ่งทีทำธุรกิจด้านการขายอุปกรณ์สื่อสารที่ผมขอเรียกว่า “บริษัทเจเจ” ได้ถูกสำนักงานคุ้มครองข้อมูลส่วนบุคคลใช้อำนาจในการสั่งปรับทางการปกครองเป็นจำนวนเงินสูงถึง 7 ล้านบาท ทั้งที่ PDPA กำหนดเอาไว้ว่า โทษทางปกครองจะปรับสูงสุดไม่เกิน 5 ล้านบาท               เมื่อต้นปี 2567 มีผู้แอบอ้างเป็น พนักงานขายบริษัทเจเจ ติดต่อไปยังเจ้าของข้อมูลส่วนบุคคลหลายราย ทั้งทางไลน์และโทรศัพท์ โดยเสนอว่าบริษัทเจเจจะมีโปรโมชั่นใหม่ เช่น หากซื้อสินค้านี้มีคืนเงิน พร้อมกับหลอกให้ผู้เสียหายโอนเงินไปให้ผู้ติดต่อเข้ามา ซึ่งโดยข้อเท็จจริงแล้ว บริษัทไม่ได้มีข้อเสนอดังกล่าวแต่อย่างใด เมื่อผู้เสียหายสอบถามเพิ่มเติมจึงได้ทราบว่า ตนถูกหลอกลวง จึงทำการร้องเรียนต่อคณะกรรมการสอบสวนของสำนักงานคุ้มครองข้อมูลส่วนบุคคล โดยผู้เสียหายทั้งหมดที่ได้ร้องเรียนต่อสำนักงานมีจำนวนทั้งสิ้น 23 ราย               ในวันที่ 27 มีนาคม 2567 สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจึงได้เรียกบริษัทเจเจเข้าชี้แจงกรณีข้อมูลส่วนบุคคลและข้อมูลการซื้อสินค้ารั่วไหล เมื่อสอบข้อเท็จจริงพบว่าข้อมูลที่มิจฉาชีพนำมากล่าวอ้าง ไม่ว่าจะเป็นข้อมูลส่วนตัวของลูกค้า ข้อมูลการซื้อสินค้า พบว่าข้อมูลที่มิจฉาชีพใช้กล่าวอ้างนั้น สอดคล้องและตรงกับข้อมูลที่บริษัทเจเจมีอยู่จริง               และสรุปผลการสอบสวนสรุปได้ว่า เบื้องต้น บริษัทเจเจได้กระทำความผิดขัดต่อ PDPA ใน 3 ประเด็นใหญ่ […]

i- PDPA

September 9, 2024

พนักงานนำข้อมูลมาเก็บไว้ใน One Drive เอง- ผู้ควบคุมข้อมูลส่วนบุคคลต้องรับผิดชอบหรือไม่

i-PDPA                มีกรณีศึกษาที่น่าสนใจอยู่กรณีหนึ่งเกี่ยวกับ PDPA เรื่องมีอยู่ว่า บริษัทแห่งหนึ่งเปิด Folder ให้พนักงานแต่ละคนเก็บข้อมูลที่เกี่ยวกับการทำงานลงใน One Drive โดยมีข้อกำหนดว่าห้ามไม่ให้พนักงานเก็บข้อมูลส่วนตัวหรือข้อมูลอื่นที่ไม่ใช่ในงานมาลงไว้ใน One Drive                ปรากฎว่า มีพนักงานขอลาออกให้มีผลวันที่ 1 เมษายน และเมื่อครบกำหนดวันพ้นสภาพพนักงาน ระบบ IT จะเข้าไปล็อกระบบเพื่อทำการ Cleansing ข้อมูลที่มีอยู่ในนั้น แต่พนักงานซึ่งพ้นสภาพไปแล้ว มาขอใช้สิทธิการขอเข้าถึงข้อมูลส่วนบุคคลที่เจ้าตัวเก็บไว้เอง กรณีนี้บริษัทในฐานะผู้ควบคุมข้อมูลส่วนบุคคลควรทำอย่างไร ความเห็นของ i-PDPA                กรณีนี้ i-PDPA เห็นว่า บริษัทในฐานะผู้ควบคุมข้อมูลส่วนบุคคลไม่ได้เป็นผู้เก็บรวบรวม ใช้ เปิดเผย หรือส่งต่อข้อมูลส่วนบุคคลดังกล่าว ที่จะเข้าข่ายการเป็นจุดตั้งต้นของการเป็นผู้ควบคุมข้อมูลส่วนบุคค อีกทั้งไม่ได้ใช้ประโยชน์อะไรจากข้อมูลส่วนบุคคลที่ว่านี้ ดังนั้น ผู้ควบคุมข้อมูลส่วนบุคคลจึงสามารถปฏิเสธการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject) ท่านนี้ ได้ โดยอ้างเหตุของการมีอยู่ของข้อมูลนั้น ไม่ได้มาจากกระบวนการทำงานภายใต้ผู้ควบคุมข้อมูลส่วนบุคคลที่ต้องเก็บรวบรวม ใช้เปิดเผยข้อมูลนั้น                อย่างไรก็ตามหาก DPO จะดำเนินการเพื่อช่วยพนักงานในการประสานงานกับหน่วยงาน IT ว่า มีช่องทางจะกู้ข้อมูลมาได้หรือไม่ ก็เป็นการดำเนินการในฐานะเพื่อนร่วมงาน ไม่ใช่ในบทบาทของ DPO                เป็นความเห็นของ […]

i- PDPA

May 19, 2023