ถอดบทเรียนข้อมูลลูกค้ารั่ว ”เจไอบี”จุดเปลี่ยนคุ้มครองข้อมูลส่วนบุคคลไทย

PDPA เป็นการเปลี่ยนแปลงครั้งสำคัญในภูมิทัศน์การคุ้มครองข้อมูลของไทย องค์กรต่าง ๆ ต้องให้ความสำคัญกับการปฏิบัติตามกฎหมายเพื่อหลีกเลี่ยงบทลงโทษที่รุนแรงและความเสียหายต่อชื่อเสียง กรณีล่าสุดแสดงให้เห็นชัดเจนว่าหน่วยงานกำกับดูแลกำลังบังคับใช้กฎหมายจริงจัง

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) ประกาศในราชกิจจานุเบกษาเมื่อวันที่ 27 พฤษภาคม 2562 และมีผลบังคับใช้อย่างเต็มรูปแบบในวันที่ 1 มิถุนายน 2565 กฎหมายนี้มีวัตถุประสงค์เพื่อคุ้มครองข้อมูลส่วนบุคคลและควบคุมการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลโดยทั้งหน่วยงานภาครัฐและเอกชน

ล่าสุดเมื่อ 21 ก.ค. ที่ผ่านมาเป็นครั้งแรกนับตั้งแต่มี พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act – PDPA) มีบทลงโทษกับองค์กรที่ละเมิดข้อมูลส่วนบุคคล   โดยสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ได้ออกคำสั่งลงโทษปรับทางการปกครองฉบับแรกกับบริษัทจำหน่ายคอมพิวเตอร์และอุปกรณ์ไอทีรายใหญ่รายหนึ่ง ที่ถูกร้องเรียนดังกล่าวได้เก็บรวบรวมข้อมูลส่วนบุคคลของลูกค้าจำนวนมากกว่าหนึ่งแสนราย และใช้ข้อมูลดังกล่าวในการประกอบธุรกิจหลักของบริษัท แต่กลับไม่มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ตามที่กฎหมายกำหนด จึงทำให้เมื่อเกิดข้อมูลรั่วไหล บริษัทดังกล่าวไม่สามารถเยียวยาแก้ไขปัญหาได้

โดยคำสั่งลงโทษปรับจำนวน 7 ล้านบาท แบ่งเป็นไม่แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) จำนวน 1 ล้านบาท , ขาดมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม จำนวน  3 ล้านบาท  และ ไม่แจ้งเหตุละเมิดข้อมูลส่วนบุคคลภายในระยะเวลาที่กำหนด  จำนวน 3 ล้านบาท ขณะเดียวกันยังให้บริษัทดังกล่าวมีการกำหนดมาตรการแก้ไขเพิ่มเติม รวมถึงการปรับปรุงมาตรการรักษาความปลอดภัย การฝึกอบรมพนักงาน และการรายงานความคืบหน้าต่อ สคส. อย่างสม่ำเสมอ

ขณะที่บริษัทเจไอบี คอมพิวเตอร์ กรุ๊ป จำกัด  ออกมายอมรับ โดยออกแถลงการณ์ โดยระบุว่าจากเหตุการณ์ข้อมูลส่วนบุคคลรั่วไหลที่เกิดขึ้น มีสาเหตุจากการเข้าถึงข้อมูลส่วนบุคคลของผู้ที่ไม่ได้รับอนุญาตจากนอกบริษัท เจไอบี คอมพิวเตอร์ กรุ๊ป 

ทางบริษัท เจไอบี คอมพิวเตอร์ กรุ๊ป จำกัด ดำเนินการรับผิดชอบกับเหตุการณ์ที่เกิดขึ้น โดยการยกระดับมาตรการป้องกันและรักษาความปลอดภัยข้อมูล เพื่อเป็นหลักประกันว่าข้อมูลส่วนบุคคลที่อยู่ภายใต้การควบคุมภายในของบริษัทฯ จะมีความมั่นคงปลอดภัยจากภัยคุกคามต่างๆ รวมถึงมีการจ้างบริษัทผู้เชี่ยวชาญด้านไซเบอร์ซีเคียวริตี้ และทีมกฎหมายมืออาชีพ เข้ามาร่วมตรวจสอบและแก้ไขอย่างเร่งด่วน เพื่อเพิ่มความมั่นใจในมาตรฐานการรักษาความปลอดภัยของข้อมูลให้มากยิ่งขึ้น ตามที่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกำหนด

กรณีลงโทษปรับทางปกครองบริษัท เจไอบี คอมพิวเตอร์ กรุ๊ป จำกัด  ในครั้งนี้ถือเป็นเคสแรกที่เกิดขึ้นในประเทศไทย  และเป็นการส่งสัญญาณไปยังองค์กรต่างๆ ในประเทศไทย  ให้ปฎิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA)  โดยการแต่งตั้ง DPO เป็นสิ่งจำเป็น: องค์กรขนาดใหญ่ที่ประมวลผลข้อมูลส่วนบุคคลจำนวนมาก (มากกว่า 100,000 ราย) จำเป็นต้องแต่งตั้ง DPO ในขณะที่มาตรการรักษาความปลอดภัยนั้นองค์กรต้องใช้มาตรการทางเทคนิคและการจัดการที่เหมาะสมเพื่อรักษาความปลอดภัยของข้อมูล รวมถึงการควบคุมการเข้าถึงและการกำหนดสิทธิ์ และการแจ้งเหตุละเมิดข้อมูลนั้น องค์กรต้องรายงานเหตุละเมิดข้อมูลต่อ สคส. ภายใน 72 ชั่วโมง และแจ้งเจ้าของข้อมูลหากการละเมิดนั้นมีแนวโน้มที่จะส่งผลกระทบต่อสิทธิและเสรีภาพของพวกเขาในระดับสูง

สำหรับขั้นตอนการปฏิบัติตามกฎหมายสำหรับองค์กรนั้น ประกอบด้วย 1.ตรวจสอบข้อมูล: องค์กรควรเริ่มต้นด้วยการระบุว่าพวกเขาเก็บรวบรวมข้อมูลส่วนบุคคลอะไร จากใคร และเพื่อวัตถุประสงค์ใด 2.แต่งตั้ง DPO: แต่งตั้ง DPO หากจำเป็น หรือจัดตั้งทีมที่รับผิดชอบด้านการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล 3.จัดทำเอกสารและความโปร่งใส: จัดทำบันทึกรายการกิจกรรมการประมวลผล (RoPA) สร้างประกาศความเป็นส่วนตัว และกำหนดขั้นตอนสำหรับการจัดการคำขอใช้สิทธิของเจ้าของข้อมูล 4.มาตรการรักษาความปลอดภัย: ใช้มาตรการรักษาความปลอดภัยที่เหมาะสมตามขนาดขององค์กร กิจกรรมการประมวลผลข้อมูล และระดับความเสี่ยง   และ 5 การฝึกอบรมและวัฒนธรรมองค์กร: พัฒนาวัฒนธรรมการคุ้มครองข้อมูลผ่านการฝึกอบรมพนักงานและโครงการสร้างความตระหนักอย่างสม่ำเสมอ

ในยุคนี้ข้อมูลส่วนบุคคลถือเป็นเรื่องที่องค์กรต้องให้ความสำคัญ กรณีที่เกิดขึ้นกับบ เจไอบี คอมพิวเตอร์   ทำให้องค์กรต้องคงต้องกลับไปสำรวจตัวเองว่าปฎิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) อย่างจริงจัง โดยหากข้อผิดพลาดทำข้อมูลลูกค้ารั่วไหล นอกเหนือจากบทลงโทษทางการเงิน การละเมิด PDPA สามารถสร้างความเสียหายอย่างรุนแรงต่อชื่อเสียงของบริษัทและทำลายความไว้วางใจของลูกค้า

จำกัด และนำข้อมูลส่วนบุคคลและข้อมูลการซื้อสินค้าของลูกค้าบางส่วนไปเผยแพร่และสร้างความเสียหาย แม้ว่าทางบริษัทฯ จะมีมาตรการและระบบรักษาความมั่นคงปลอดภัยอยู่แล้วก็ตาม

แชร์ไปยัง: