องค์กรระวังโดนฟ้อง! เหตุทำข้อมูลรั่วไหล พร้อมทบทวนแนวปฏิบัติตาม PDPA

ตั้งแต่ PDPA หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล 2562 มีผลบังคับใช้เมื่อวันที่ 1 มิถุนายน พ.ศ. 2565 ที่ผ่านมา PDPA Core เชื่อว่าผู้ประกอบการจำนวนไม่น้อยคงเริ่มตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลกันมากขึ้น อย่างไรก็ตาม นับตั้งแต่ปี 2564 ที่ผ่านมา มีหลายองค์กรในประเทศไทยเผชิญกับเหตุการณ์ข้อมูลรั่วไหล ทั้งกรณีสายการบินถูกแรนซัมแวร์ลอบขโมยข้อมูลลูกค้า กรณีสถาบันการแพทย์ถูกแฮกข้อมูลคนไข้ จนกระทั่งล่าสุดในเดือนเมษายน 2566 ที่ผ่านมา ก็มีเหตุการณ์แฮกเกอร์ชื่อ “9near” อ้างว่ามีข้อมูลหลุด 55 ล้านคน ส่งผลกระทบในวงกว้างและทำให้หลายคนหวั่นวิตกไม่น้อย

เหตุการณ์ในครั้งนี้ นอกจากสร้างความกังวลให้กับผู้ใช้อินเทอร์เน็ต ยังสะท้อนให้เห็นว่ามาตรการหรือแนวปฏิบัติที่มีอยู่ของหลายองค์กร อาจยังไม่เพียงพอที่จะป้องกันไม่ให้ข้อมูลส่วนบุคคลรั่วไหลออกไป โดยกฎหมายคุ้มครองข้อมูลส่วนบุคคล กำหนดให้ผู้ประกอบการในฐานะผู้ควบคุมข้อมูลส่วนบุคคล มีหน้าที่ในการรักษาความปลอดภัยของข้อมูลส่วนบุคคลของเจ้าของข้อมูล และต้องไม่เปิดเผยข้อมูลส่วนบุคคลเหล่านั้นให้แก่บุคคลอื่นโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล

หากผู้ประกอบการไม่ปฏิบัติตาม PDPA หรือปฏิบัติตามไม่ครบถ้วน ผู้ประกอบการก็มีความเสี่ยงที่จะต้องรับผิดตามกฎหมาย โดยความรับผิดแบ่งออกเป็น 3 ส่วน ได้แก่ ความรับผิดทางแพ่ง ความรับผิดทางอาญา และโทษทางปกครอง ดังนี้

ความรับผิดทางแพ่ง

ผู้ประกอบการจะต้องชดใช้ความเสียหายที่เกิดขึ้นจริงกับเจ้าของข้อมูลส่วนบุคคลที่ได้รับความเสียหายจากการละเมิดข้อมูล และอาจต้องชดใช้เพิ่มเติมสูงสุดอีก 2 เท่าของค่าเสียหายจริง ไม่ว่าผู้ประกอบการจงใจหรือประมาทก็ตาม (เว้นแต่จะพิสูจน์ได้ว่าเกิดจากเหตุสุดวิสัยหรือเกิดจากการกระทำหรือละเว้นการกระทำของเจ้าของข้อมูลส่วนบุคคลนั้นเอง หรือเป็นการปฏิบัติตามคำสั่งของเจ้าหน้าที่ซึ่งปฏิบัติการตามหน้าที่และอำนาจตามกฎหมาย)

ความรับผิดทางอาญา

ในทางอาญา โดยปกติโทษ PDPA จะสามารถยอมความกันได้ โดยความผิดเกิดจากการที่ธุรกิจในฐานะผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือเปิดเผยข้อมูลส่วนบุคคลนอกเหนือไปจากวัตถุประสงค์ที่ได้แจ้งเจ้าของข้อมูลส่วนบุคคลไว้ ซึ่งการกระทำดังกล่าวนำไปสู่โทษทางอาญาทั้งจำทั้งปรับ ซึ่งรายละเอียดก็จะมีดังนี้

1. การประมวลผลข้อมูลส่วนบุคคลโดยผู้ควบคุมข้อมูล ซึ่งอาจทำให้เจ้าของข้อมูลส่วนบุคคลเกิดความเสียหาย เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย ต้องระวางโทษจำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 500,000 บาท หรือทั้งจำทั้งปรับ

2. ความผิดฐานเปิดเผยข้อมูลส่วนบุคคล ผู้ใดล่วงรู้ข้อมูลส่วนบุคคลของผู้อื่นเนื่องจากการปฏิบัติหน้าที่ตาม PDPA แล้วนำไปเปิดเผยแก่ผู้อื่น ต้องระวางโทษจำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 500,000 บาท หรือทั้งจำทั้งปรับ

3. การกระทำความผิดนั้นเกิดจากการที่ผู้ประกอบการแสวงหาประโยชน์สำหรับตนเองหรือผู้อื่นโดยทุจริต ต้องระวางโทษจำคุกไม่เกิน 1 ปี หรือปรับไม่เกิน 1,000,000 บาท หรือทั้งจำทั้งปรับ

นอกจากนี้ ในกรณีที่ผู้กระทำความผิดเป็นนิติบุคคล ถ้าการกระทำความผิดดังกล่าวเกิดจากการสั่งการหรือการกระทำของกรรมการหรือผู้จัดการหรือบุคคลซึ่งรับผิดชอบการดำเนินงานของนิติบุคคล หรือในกรณีที่บุคคลดังกล่าวมีหน้าที่ต้องสั่งการหรือกระทำการแต่กลับละเว้นไม่สั่งการหรือกระทำการนั้น ๆ กรรมการหรือผู้จัดการหรือบุคคลซึ่งรับผิดชอบการดำเนินงานของนิติบุคคลดังกล่าว ก็จะต้องรับโทษทางอาญาตามความผิดนั้น ๆ ที่เกิดขึ้นด้วย

ความรับผิดทางปกครอง

โทษปรับทางปกครองของผู้ประกอบการประกอบด้วยหลายฐาน สรุปสาระสำคัญดังนี้

1. การกระทำที่เป็นความผิด เช่น เก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากฐานทางกฎหมาย ไม่ขอความยินยอมให้ถูกต้อง โทษปรับตั้งแต่ไม่เกิน 1,000,000 บาท ถึงไม่เกิน 5,000,000 บาท

2. การไม่ปฏิบัติตามหน้าที่ตามความรับผิดชอบ เช่น ไม่แจ้งเจ้าของข้อมูลถึงการเก็บข้อมูลจากเจ้าของข้อมูล โอนข้อมูลส่วนบุคคลไปยังต่างประเทศโดยไม่ชอบด้วยกฎหมาย ไม่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม โทษปรับตั้งแต่ไม่เกิน 1,000,000 บาท ถึงไม่เกิน 3,000,000 บาท

ทบทวนแนวปฏิบัติ PDPA ที่ถูกต้อง เพื่อป้องกันความเสี่ยงจากการที่ข้อมูลรั่วไหล

เพื่อป้องกันความเสี่ยงที่องค์กรของเราจะโดนฟ้องดำเนินคดีทางแพ่งและถูกลงโทษทางอาญาและปกครองตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล ภายในองค์กรควรจะมี DPO (Data Protection Officer) หรือ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นผู้ที่ให้คำปรึกษา ดูแลรักษาข้อมูลส่วนบุคคลทั้งหมดขององค์กรทั้งภายในและภายนอกให้ปลอดภัยและสอดคล้องตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) อีกทั้งประสานงานและร่วมมือกับสำนักงานคุ้มครองข้อมูลส่วนบุคคลเมื่อเกิดปัญหาข้อมูลรั่วไหลจากองค์กร รวมถึงจะต้อง

• ควบคุมการเข้าถึงข้อมูลส่วนบุคคลเฉพาะพนักงานหรือเจ้าหน้าที่ที่ได้รับอนุญาตแล้ว
• กำหนดหน้าที่ความรับผิดชอบของพนักงานหรือเจ้าหน้าที่ที่ได้รับอนุญาต เพื่อป้องกันการเข้าถึงข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาตหรือการลักลอบทำสำเนาข้อมูลส่วนบุคคล
• จัดให้มีวิธีการเพื่อให้สามารถตรวจสอบย้อนหลังเกี่ยวกับการเข้าถึง เปลี่ยนแปลง ลบ หรือถ่ายโอนข้อมูลส่วนบุคคลได้
• ใช้ระบบจัดการการแจ้งเตือนและขอความยินยอมในการจัดเก็บข้อมูลส่วนบุคคลต่าง ๆ เช่น Cookie Consent Management
• ตั้งค่าพาสเวิร์ดที่คาดเดาได้ยาก มีความหลากหลาย และเปลี่ยนพาสเวิร์ดเป็นประจำ
• จัดให้มีการลบหรือทำลายข้อมูลส่วนบุคคลหลังจากพ้นระยะเวลาในการเก็บข้อมูล
• ในกรณีที่มีการละเมิดข้อมูลส่วนบุคคล ให้ติดต่อสำนักงานคุ้มครองข้อมูลส่วนบุคคลภายใน 72 ชั่วโมง นับตั้งแต่ทราบเรื่อง และแจ้งให้เจ้าของข้อมูลรู้ตัวพร้อมชี้แจงแนวทางเยียวยา
• สร้างความตระหนักรู้และความเข้าใจเกี่ยวกับ PDPA ให้กับพนักงานภายในองค์กรอย่างต่อเนื่องและสม่ำเสมอ

ถึงแม้ความรับผิดขององค์กรจากการทำข้อมูลรั่วไหลตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลหรือ PDPA จะมีความรุนแรงแค่ไหน แต่อีกสิ่งที่องค์กรจะสูญเสียไปก็คือความเชื่อมั่นของลูกค้าในตัวองค์กร ซึ่งเป็นสิ่งที่ยากจะกู้คืนมาได้และมีความสำคัญอย่างยิ่งในการดำเนินธุรกิจขององค์กร

ดังนั้น หากองค์กรของคุณไม่อยากต้องมาเสี่ยงกับเหตุการณ์เช่นนี้ PDPA Core มีผู้เชี่ยวชาญด้านกฎหมายมืออาชีพ ที่เข้าใจเกี่ยวกับ PDPA ในเชิงลึก พร้อมกับบริการให้คำปรึกษา จัดทำ และตรวจสอบ PDPA ในองค์กร เพื่อช่วยให้ธุรกิจของคุณเป็นไปตามกฎหมาย PDPA ได้อย่างถูกต้อง พร้อมเครื่องมือ Software อำนวยความสะดวกด้าน PDPA

*ติดต่อเราได้ที่ sales@datawow.io หรือโทร 02-024-5560 *