70% ประชากรไทย ข้อมูลรั่วไหล!? 3 สิ่งที่ทุกคนควรทำตามกฎหมาย PDPA เมื่อองค์กรทำข้อมูลหลุด

November 05, 2023

70% ประชากรไทย ข้อมูลรั่วไหล!? 3 สิ่งที่ทุกคนควรทำตามกฎหมาย PDPA เมื่อองค์กรทำข้อมูลหลุด

รู้หรือไม่? เมื่อเดือนเมษายน 2566 ที่ผ่านมา มีแฮกเกอร์ผู้ใช้ชื่อบัญชี “9near” อ้างว่ามีข้อมูลส่วนตัวของคนไทยกว่า 55 ล้านรายชื่อ

(ประเทศไทยมีจำนวนประชากรรวมทั้งสิ้น ณ เดือนกันยายน 2566 อยู่ที่ 66,061,517 อ้างอิงข้อมูลจากเว็บไซต์กระทรวงมหาดไทย) ส่งผลให้กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (กระทรวงดีอีเอส) ต้องรีบร้อนออกมาแถลงข่าวชี้แจง

แม้ล่าสุดจะมีรายงานว่าผู้กระทำผิดถูกจับกุมตัวเรียบร้อยแล้ว แต่เหตุการณ์ข้อมูลโดนแฮกครั้งนี้ก็ยังคงสร้างความกังวลใจให้กับผู้ใช้อินเทอร์เน็ต ชาวไทยจำนวนไม่น้อย ที่เคยถูกผู้ประกอบการขอข้อมูลส่วนตัวต่าง ๆ ไปมากมาย ไม่ว่าจะเป็น ชื่อ-นามสกุล รูปภาพ วันเกิด ที่อยู่หรือเลขประจำตัวประชาชน ซึ่งล้วนแต่เป็นข้อมูลส่วนบุคคล หากตกอยู่ในมือของผู้ไม่หวังดี ก็อาจก่อให้เกิดความเดือดร้อนกับเจ้าของข้อมูลได้ ไม่ว่าจะด้วยฝีมือของแฮกเกอร์อย่าง “9near” หรือแม้แต่พนักงานของบริษัทที่แอบเอาข้อมูลของเราไปขายก็ตาม

แน่นอนว่าข้อมูลหลุด 55 ล้านคน ไม่ใช่เรื่องเล็ก ๆ นี่อาจจะเป็นสัญญาณเตือนให้เราทุกคนตื่นตัวและตระหนักที่จะรับมือหากเกิดเหตุการณ์เช่นนี้ขึ้นอีก ในบทความนี้ PDPA Core จะมาแนะนำ 3 สิ่งที่ทุกคนควรทำ เมื่อรู้ตัวว่าข้อมูลส่วนตัวของตนเองเกิดรั่วไหลหรือถูกแฮก เพื่อให้สอดคล้องกับกฎหมาย PDPA หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

1. ทำความเข้าใจว่าใครบ้างเป็นผู้มีส่วนเกี่ยวข้องกับข้อมูลส่วนบุคคลของเรา

ก่อนจะดำเนินการใด ๆ เราต้องพิจารณาก่อนว่าใครบ้างเป็นผู้มีส่วนเกี่ยวข้องกับข้อมูลส่วนบุคคลของเราที่รั่วไหลออกไป ซึ่งอาจประกอบด้วย 1) ผู้ประกอบการที่ขอข้อมูลส่วนบุคคลจากเราไป 2) บุคคลภายนอกที่ได้รับข้อมูลส่วนบุคคลจากผู้ประกอบการ (เช่น บริษัทขนส่ง บริษัทประกันภัย บริษัทให้บริการคลาวด์) 3) แฮกเกอร์หรือมิจฉาชีพที่ทำการโจรกรรมข้อมูลส่วนบุคคล เพื่อที่เราจะได้ตีกรอบที่มาของการรั่วไหล และกำหนดตัวผู้รับผิดชอบได้อย่างถูกต้อง

2. ยื่นคำร้องเรียนต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.)

ภายใต้ PDPA หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล 2562 นั้น ถ้าเจ้าของข้อมูลส่วนบุคคลพบว่าผู้ประกอบการที่ควบคุมหรือประมวลผลข้อมูลส่วนบุคคลของเรา ไม่ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล เช่น เมื่อมีการละเมิดข้อมูลส่วนบุคคลเกิดขึ้นแล้ว ไม่แจ้งให้เราทราบหรือไม่บอกแนวทางแก้ไขเยียวยา หรือผู้ประกอบการเปิดเผยข้อมูลส่วนตัวของเราให้บุคคลภายนอกโดยไม่ได้ขอความยินยอม ในกรณีเหล่านี้ เจ้าของข้อมูลส่วนบุคคลสามารถยื่นคำร้องเรียนต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ได้ทันที โดยสามารถสอบถามขั้นตอนและวิธีการได้ที่เบอร์โทรศัพท์ 02-142-1033 หรืออีเมล saraban@pdpc.or.th จะมีเจ้าหน้าที่ของสำนักงานพร้อมให้คำปรึกษาและแนะนำในเวลาราชการ

3. แจ้งความร้องทุกข์และฟ้องร้องเพื่อดำเนินคดีกับผู้กระทำผิด

ในฐานะเจ้าของข้อมูลส่วนบุคคล ในกรณีที่มีการดำเนินคดีฟ้องร้องเกิดขึ้น เจ้าของข้อมูลมีสิทธิเรียกค่าชดเชยตามกระบวนการขั้นตอนทางกฎหมายได้ดังนี้

  • โทษทางแพ่ง

กำหนดให้ชดใช้ค่าสินไหมทดแทนที่เกิดขึ้นจริงกับเจ้าของข้อมูลส่วนบุคคลที่ได้รับความเสียหายจากการละเมิดข้อมูล และผู้ควบคุมข้อมูลส่วนบุคคลอาจจะต้องจ่ายเพิ่มเติมสูงสุดอีก 2 เท่าของค่าเสียหายจริง ไม่ว่าจะจงใจให้เกิดเหตุการณ์หรือไม่ตั้งใจก็ตาม ยกเว้นเสียว่าจะพิสูจน์ได้ว่าเกิดจากเหตุสุดวิสัยหรือเกิดจากการกระทำหรือละเว้นการกระทำของเจ้าของข้อมูลส่วนบุคคลนั้นเอง หรือเป็นการปฏิบัติตามคำสั่งของเจ้าหน้าที่ซึ่งปฏิบัติการตามหน้าที่และอำนาจตามกฎหมาย

  • โทษทางอาญา

ในทางอาญา โดยปกติโทษ PDPA จะสามารถยอมความกันได้ โดยความผิดเกิดจากการที่ธุรกิจในฐานะผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือเปิดเผยข้อมูลส่วนบุคคลนอกเหนือไปจากวัตถุประสงค์ที่ได้แจ้งเจ้าของข้อมูลส่วนบุคคลไว้ ซึ่งการกระทำดังกล่าวนำไปสู่โทษทางอาญาทั้งจำทั้งปรับ ซึ่งรายละเอียดก็จะมีดังนี้

  • การประมวลผลข้อมูลส่วนบุคคลโดยผู้ควบคุมข้อมูล ซึ่งอาจทำให้เจ้าของข้อมูลส่วนบุคคลเกิดความเสียหาย เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย ต้องระวางโทษจำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 500,000 บาท หรือทั้งจำทั้งปรับ
  • ความผิดฐานเปิดเผยข้อมูลส่วนบุคคล ผู้ใดล่วงรู้ข้อมูลส่วนบุคคลของผู้อื่นเนื่องจากการปฏิบัติหน้าที่ตาม PDPA แล้วนำไปเปิดเผยแก่ผู้อื่น ต้องระวางโทษจำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 500,000 บาท หรือทั้งจำทั้งปรับ
  • การกระทำความผิดนั้นเกิดจากการที่ผู้ประกอบการแสวงหาประโยชน์สำหรับตนเองหรือผู้อื่นโดยทุจริต ต้องระวางโทษจำคุกไม่เกิน 1 ปี หรือปรับไม่เกิน 1,000,000 บาท หรือทั้งจำทั้งปรับ

นอกจากนั้นแล้ว ในกรณีที่ผู้กระทำความผิดเป็นนิติบุคคล ถ้าการกระทำผิดดังกล่าวเกิดจากการสั่งการหรือการกระทำของกรรมการหรือผู้จัดการ หรือบุคคลซึ่งรับผิดชอบการดำเนินงานของนิติบุคคลนั้น หรือกรณีที่บุคคลดังกล่าวมีหน้าที่ต้องสั่งการหรือกระทำการแต่ละเว้นไม่สั่งการหรือกระทำการ บุคคลนั้นต้องรับโทษทางอาญาตามความผิดนั้น ๆ ที่เกิดขึ้นด้วย

  • โทษทางปกครอง

ในทางปกครอง กรณีที่ไม่ปฏิบัติตาม PDPA ไม่ว่าจะเป็นการใช้ข้อมูล เปิดเผยข้อมูล หรือส่งโอนข้อมูลส่วนบุคคลไปต่างประเทศ อาจต้องโทษปรับสูงสุด 5,000,000 บาท

ดังนั้นในกรณีที่เราได้รับความเสียหายจากการรั่วไหลของข้อมูลส่วนตัว เพราะผู้ประกอบการไม่ระมัดระวังหรือผู้ประกอบการเป็นผู้กระทำผิดเสียเอง เช่น ถูกนำเอาเลขบัตรประชาชนไปใช้ทำธุรกรรมโดยมิชอบ เราสามารถแจ้งความร้องทุกข์กับพนักงานสอบสวนในสถานีตำรวจท้องที่ได้ทันที และฟ้องร้องดำเนินคดีตามกระบวนการทางกฎหมายกับผู้กระทำผิดได้ ซึ่งเราจะต้องโดยจัดเตรียมเอกสารหลักฐานต่าง ๆ ไปให้พร้อม เช่น หลักฐานยืนยันความเป็นเจ้าของข้อมูลส่วนบุคคล หลักฐานการละเมิดข้อมูลส่วนบุคคล เป็นต้น

วิธีป้องกันไม่ให้ข้อมูลส่วนบุคคลรั่วไหล

ทุกวันนี้ข้อมูลส่วนบุคคลถูกนำไปใช้ในหลากหลายช่องทาง ทั้งที่เรารู้ตัวและไม่รู้ตัว ดังนั้นในฐานะเจ้าของข้อมูลควรรู้จักวิธีรับมือเพื่อป้องกันไม่ให้ข้อมูลรั่วไหล ซึ่งทำได้ดังนี้

  • หลีกเลี่ยงการใช้ Wi-Fi สาธารณะ เพื่อป้องกันการดักจับข้อมูลส่วนบุคคล

  • Cookie Consent เมื่อใช้งานเว็บไซต์ เราจะพบ Pop-up ของ Cookie Consent เพื่อขอความยินยอมในการจัดเก็บไฟล์คุกกี้และข้อมูลต่าง ๆ จากผู้ใช้งานเว็บไซต์ ดังนั้นทุกครั้งที่ใช้งาน เราควรอ่านและพิจารณาอย่างรอบคอบเกี่ยวกับเงื่อนไขและนโยบายของผู้ประกอบการ ก่อนจะให้ความยินยอม

  • อัปเดตระบบปฏิบัติการและตั้งค่าเบราว์เซอร์ให้ทันสมัยอยู่เสมอ

  • ตั้งค่าพาสเวิร์ดที่คาดเดาได้ยาก มีความหลากหลาย และเปลี่ยนพาสเวิร์ดเป็นประจำ

  • การทำธุรกรรมทางการเงิน เจ้าของข้อมูลมีสิทธิที่จะเลือกยินยอมหรือไม่ยินยอมในการให้ข้อมูลส่วนบุคคล ดังนั้นจึงควรตรวจสอบให้ดีก่อนว่าข้อมูลดังกล่าวจะถูกนำไปใช้เพื่อวัตถุประสงค์ใดบ้าง

  • ตรวจสอบประวัติการใช้งานอินเทอร์เน็ตอยู่เสมอ เพื่อป้องกันการติดตามทางออนไลน์

แม้ว่าจะมีมาตรการป้องกันความปลอดภัยสำหรับข้อมูลส่วนบุคคลแล้ว แต่เราก็ปฏิเสธไม่ได้ว่าโลกทุกวันนี้มีการเปลี่ยนแปลงอยู่ตลอดเวลา การแฮกข้อมูลก็สามารถเกิดขึ้นทุกเมื่อ ดังนั้นเจ้าของข้อมูลควรปฏิบัติตัวให้เกิดความเสี่ยงน้อยที่สุด ด้วยการตรวจสอบการใช้งานเทคโนโลยี พร้อมติดตั้งระบบแจ้งเตือน เพื่อลดความเสียหายที่อาจเกิดขึ้นได้อย่างทันท่วงที

ฉะนั้น หากองค์กรของคุณไม่อยากต้องมาเสี่ยงกับเหตุการณ์เช่นนี้ PDPA Core มีผู้เชี่ยวชาญด้านกฎหมายมืออาชีพ ที่เข้าใจเกี่ยวกับ PDPA ในเชิงลึก พร้อมกับบริการให้คำปรึกษา จัดทำ และตรวจสอบ PDPA ในองค์กร เพื่อช่วยให้ธุรกิจของคุณเป็นไปตามกฎหมาย PDPA ได้อย่างถูกต้อง ติดต่อเราได้ที่ sales@datawow.io หรือโทร 02-024-5560

  • PDPA Core

ให้คำปรึกษาและดำเนินการ

ให้ธุรกิจของคุณ สอดคล้องกับ PDPA

ดูข้อมูลเพิ่มเติม

บทความที่เกี่ยวข้อง

2 ปีผ่านไปกับกฎหมาย PDPA: มีการเปลี่ยนแปลงอะไรที่องค์กรต้องปรับตัวบ้าง?

2 ปีผ่านไปกับกฎหมาย PDPA: มีการเปลี่ยนแปลงอะไรที่องค์กรต้องปรับตัวบ้าง?

25/04/2024

บริษัท เดต้า ว้าว จำกัด

1778 อาคารซัมเมอร์ฮับ ออฟฟิศ, ชั้น 6 ถนนสุขุมวิท แขวงพระโขนง เขตคลองเตย กรุงเทพมหานคร 10110 ประเทศไทย

โทร: 02-024-5560

sales@datawow.io

ISO