สคส.สั่งปรับ 7 ล้านบาท บ.เอกชน ทำข้อมูลลูกค้ากว่าแสนราย รั่วไหลไปยังแก๊งคอลฯ

สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หรือ สคส. สั่งปรับบริษัทเอกชนด้านไอทีแห่งหนึ่ง 7 ล้านบาท หลังตรวจสอบพบว่าบริษัทแห่งนี้ทำข้อมูลส่วนบุคคลขอลูกค้าหลุดไปยังแก๊งคอลเซ็นเตอร์กว่า 100,000 รายชื่อ ซึ่งถือเป็นความผิดตาม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล โดยทางกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ยืนยันจะใช้การลงโทษนี้เป็นบรรทัดฐานในการตัดสินกับผู้กระทำความผิดรายต่อๆ ไป



สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หรือ สคส. เปิดเผยว่า กรณีที่บริษัทเอกชนด้านไอทีแห่งหนึ่ง ปล่อยให้มีการรั่วไหลของข้อมูลส่วนบุคคลฐานลูกค้า เพื่อใช้ประกอบธุรกิจของบริษัทจำนวนกว่า 100,000 คนออกมา เบื้องต้นมีผู้มาร้องเรียนจำนวน 23 คน ซึ่งได้รับความเสียหายถูกหลอกให้ลงทุนจากมิจฉาชีพ แก๊งคอลเซ็นเตอร์ที่นำข้อมามาใช้ก่อเหตุ โดยพบว่าข้อมูลนี้หลุดออกจากบริษัทนี้ตั้งแต่ช่วงปี 2563 และได้รับการร้องเรียนจากผู้เสียหายเข้ามาในช่วงปี 2566 จากการตรวจสอบของคณะกรรมการผู้เชี่ยวชาญคณะที่ 2 ที่รับเรื่องร้องเรียนเกี่ยวกับเทคโนโลยีและอื่นๆ



พบว่า บริษัทที่ถูกร้องเรียนได้เก็บรวบรวมข้อมูลส่วนบุคคลของลูกค้าจำนวนมากกว่า 1 แสนราย และใช้ข้อมูลดังกล่าวในการประกอบธุรกิจหลักของบริษัท แต่กลับไม่มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ตามที่กฎหมายกำหนด เมื่อเกิดข้อมูลรั่วไหลก็ไม่สามารถเยียวยาแก้ไขปัญหาได้ ซึ่งขัดต่อมาตรา 41 ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562



บริษัทแห่งนี้ไม่มีมาตรการรักษาความปลอดภัยที่เหมาะสมตามที่ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนด จนก่อให้เกิดความเสียหายในวงกว้าง ซึ่งขัดต่อมาตรา 37(1) แห่งพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562



และ เมื่อเกิดเหตุข้อร้องเรียน บริษัทกลับเพิกเฉยไม่ดำเนินการแก้ไข และแจ้งเหตุให้สำนักงานคุ้มครองข้อมูลส่วนบุคคลล่าช้า ทำให้ไม่สามารถเยียวยาได้ ซึ่งเป็นความผิดตามมาตรา 37 (4) พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562



ทางคณะกรรมการจึงมีคำสั่งลงโทษปรับทางการปกครองบริษัทดังกล่าวในอัตราสูงสุด 7 ล้านบาท



นอกจากนี้ยังมีคำสั่งให้บริษัทผู้ถูกร้องเรียนปรับปรุงมาตรการรักษาความปลอดภัย เพื่อป้องกันให้ข้อมูลไม่เกิดรั่วไหลอีก และ กำชับพนักงาน รวมถึงเพิ่มมาตรการรักษาความปลอดภัยให้ทันสมัย โดยส่งกลับมาให้ สคส.รับทราบภายใน 7 วัน ตั้งแต่ได้รับคำสั่ง



นายประเสริฐ จันทรรวงทอง รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ระบุว่า คำสั่งลงโทษทางปกครองฉบับนี้ เป็นคำสั่งปรับฉบับแรกกับบริษัทเอกชนรายใหญ่ ซึ่งเป็นไปตาม พรบ.คุ้มครองข้อมูลส่วนบุคคลมีผลบังคับใช้ในปี 2562 ตามหลักเกณฑ์เดียวกันกับสหภาพยุโรป หรือ GDPR เพื่อคุ้มครองประชาชนจากปัญหาเเก๊งคอลเซ็นเตอร์และข้อมูลส่วนบุคคลรั่วไหล ที่เป็นปัญหาหลักของประเทศตลอด 2 ปีที่ผ่านมา



รัฐมนตรีกระทรวงดิจิทัลได้ย้ำ ว่าคำสั่งปรับนี้จะเป็นมาตรฐาน และบรรทัดฐานการพิจารณาข้อมูลรั่วไหลในหน่วยงานของภาครัฐและเอกชน ที่มีการร้องเรียนเข้ามายัง สคส.ต่อไป โดยประชาชนที่สงสัยเรื่องข้อมูลส่วนบุคคลรั่วไหล สามารถร้องเรียนเข้ามายัง สคส.ได้ในวันและเวลาราชการ ทั้งเบอร์โทรศัพท์ 020278852 และ ไลน์ออฟฟิเชียล @pdpcthailand