knowledgebank

i-PDPA 6 กันยายน 2567 เกิดอะไรขึ้นกันแน่               การเกิดกรณีเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลหรือ PDPA บ้านเราที่ได้เป็นข่าวใหญ่ในช่วงเวลานี้ คือ กรณีบริษัทขนาดใหญ่แห่งหนึ่งทีทำธุรกิจด้านการขายอุปกรณ์สื่อสารที่ผมขอเรียกว่า “บริษัทเจเจ” ได้ถูกสำนักงานคุ้มครองข้อมูลส่วนบุคคลใช้อำนาจในการสั่งปรับทางการปกครองเป็นจำนวนเงินสูงถึง 7 ล้านบาท ทั้งที่ PDPA กำหนดเอาไว้ว่า โทษทางปกครองจะปรับสูงสุดไม่เกิน 5 ล้านบาท               เมื่อต้นปี 2567 มีผู้แอบอ้างเป็น พนักงานขายบริษัทเจเจ ติดต่อไปยังเจ้าของข้อมูลส่วนบุคคลหลายราย ทั้งทางไลน์และโทรศัพท์ โดยเสนอว่าบริษัทเจเจจะมีโปรโมชั่นใหม่ เช่น หากซื้อสินค้านี้มีคืนเงิน พร้อมกับหลอกให้ผู้เสียหายโอนเงินไปให้ผู้ติดต่อเข้ามา ซึ่งโดยข้อเท็จจริงแล้ว บริษัทไม่ได้มีข้อเสนอดังกล่าวแต่อย่างใด เมื่อผู้เสียหายสอบถามเพิ่มเติมจึงได้ทราบว่า ตนถูกหลอกลวง จึงทำการร้องเรียนต่อคณะกรรมการสอบสวนของสำนักงานคุ้มครองข้อมูลส่วนบุคคล โดยผู้เสียหายทั้งหมดที่ได้ร้องเรียนต่อสำนักงานมีจำนวนทั้งสิ้น 23 ราย               ในวันที่ 27 มีนาคม 2567 สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจึงได้เรียกบริษัทเจเจเข้าชี้แจงกรณีข้อมูลส่วนบุคคลและข้อมูลการซื้อสินค้ารั่วไหล เมื่อสอบข้อเท็จจริงพบว่าข้อมูลที่มิจฉาชีพนำมากล่าวอ้าง ไม่ว่าจะเป็นข้อมูลส่วนตัวของลูกค้า ข้อมูลการซื้อสินค้า พบว่าข้อมูลที่มิจฉาชีพใช้กล่าวอ้างนั้น สอดคล้องและตรงกับข้อมูลที่บริษัทเจเจมีอยู่จริง               และสรุปผลการสอบสวนสรุปได้ว่า เบื้องต้น บริษัทเจเจได้กระทำความผิดขัดต่อ PDPA ใน 3 ประเด็นใหญ่ […]

i-PDPA                มีกรณีศึกษาที่น่าสนใจอยู่กรณีหนึ่งเกี่ยวกับ PDPA เรื่องมีอยู่ว่า บริษัทแห่งหนึ่งเปิด Folder ให้พนักงานแต่ละคนเก็บข้อมูลที่เกี่ยวกับการทำงานลงใน One Drive โดยมีข้อกำหนดว่าห้ามไม่ให้พนักงานเก็บข้อมูลส่วนตัวหรือข้อมูลอื่นที่ไม่ใช่ในงานมาลงไว้ใน One Drive                ปรากฎว่า มีพนักงานขอลาออกให้มีผลวันที่ 1 เมษายน และเมื่อครบกำหนดวันพ้นสภาพพนักงาน ระบบ IT จะเข้าไปล็อกระบบเพื่อทำการ Cleansing ข้อมูลที่มีอยู่ในนั้น แต่พนักงานซึ่งพ้นสภาพไปแล้ว มาขอใช้สิทธิการขอเข้าถึงข้อมูลส่วนบุคคลที่เจ้าตัวเก็บไว้เอง กรณีนี้บริษัทในฐานะผู้ควบคุมข้อมูลส่วนบุคคลควรทำอย่างไร ความเห็นของ i-PDPA                กรณีนี้ i-PDPA เห็นว่า บริษัทในฐานะผู้ควบคุมข้อมูลส่วนบุคคลไม่ได้เป็นผู้เก็บรวบรวม ใช้ เปิดเผย หรือส่งต่อข้อมูลส่วนบุคคลดังกล่าว ที่จะเข้าข่ายการเป็นจุดตั้งต้นของการเป็นผู้ควบคุมข้อมูลส่วนบุคค อีกทั้งไม่ได้ใช้ประโยชน์อะไรจากข้อมูลส่วนบุคคลที่ว่านี้ ดังนั้น ผู้ควบคุมข้อมูลส่วนบุคคลจึงสามารถปฏิเสธการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject) ท่านนี้ ได้ โดยอ้างเหตุของการมีอยู่ของข้อมูลนั้น ไม่ได้มาจากกระบวนการทำงานภายใต้ผู้ควบคุมข้อมูลส่วนบุคคลที่ต้องเก็บรวบรวม ใช้เปิดเผยข้อมูลนั้น                อย่างไรก็ตามหาก DPO จะดำเนินการเพื่อช่วยพนักงานในการประสานงานกับหน่วยงาน IT ว่า มีช่องทางจะกู้ข้อมูลมาได้หรือไม่ ก็เป็นการดำเนินการในฐานะเพื่อนร่วมงาน ไม่ใช่ในบทบาทของ DPO                เป็นความเห็นของ […]