ถอดบทเรียน JIB ทำข้อมูลลูกค้ารั่ว ถูกปรับ 7 ล้านบาท
เมื่อสัปดาห์ที่ผ่านมา บริษัท เจไอบี คอมพิวเตอร์ กรุ๊ป จำกัด หรือ JIB ออกแถลงการณ์ขอโทษหลังเกิดกรณีข้อมูลลูกค้ารั่วไหลไปยังแก๊งคอลเซ็นเตอร์ หลังจากที่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) แถลงข่าวการลงโทษสั่งปรับบริษัท เอกชนขนาดใหญ่สูงถึง 7 ล้านบาท ด้วยมีความผิดฐานไม่ดำเนินการตาม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA เมื่อวันที่ 21 ส.ค. 2567 ที่ผ่านมา
นายอุดมธิปก ไพรเกษตร ประธานเจ้าหน้าที่บริหาร บริษัท ดีบีซี กรุ๊ป จำกัด และผู้ก่อตั้ง PDPA Thailand ในฐานะผู้เชี่ยวชาญด้านการคุ้มครองข้อมูลส่วนบุคคลไทย เผยถึงอุทาหรณ์และข้อคิดที่องค์กรธุรกิจทั่วประเทศได้รับ จากเคสดังกล่าว และสามารถนำไปประยุกต์ใช้กับการดำเนินงานให้สอดคล้องตามกฎหมาย PDPA ในหลากหลาย ประเด็น ดังนี้
เหตุสั่งปรับ 7 ล้านบาท องค์กรพลาดอะไร?
3 เรื่องใหญ่ที่องค์กรเอกชนแห่งนั้นพลาดคือ
1. ไม่มี DPO หรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เมื่อเข้าข่ายจำเป็นต้องแต่งตั้ง ตาม PDPA มาตรา 41(2)
2. ไม่มีมาตรการรักษาความมั่นคงปลอดภัยข้อมูลที่เพียงพอ ตาม PDPA มาตรา 37(1) และ
3. ไม่มีการแจ้งเหตุละเมิดภายใน 72 ชั่วโมงนับตั้งแต่ทราบเรื่อง ตาม PDPA มาตรา 37 (4)
องค์กรหลาย ๆ แห่ง (รวมถึงบริษัทที่โดนปรับ) อาจจะไม่รู้ว่าต้องมี DPO ไม่ว่าจะด้วยไม่ได้ติดตาม ข่าวสารอย่างใกล้ชิด หรือตีความเงื่อนไขในกฎหมายแม่/กฎหมายลูกไม่ถูก ไม่ชัวร์ว่าต้องทำอย่างไร ความซับซ้อน ของปัญหาและการโดนปรับทั้งหมดเริ่มต้นที่จุดนี้ ซึ่งหากคุณมี DPO คุณก็จะไม่ผิดแล้วในกระทงตามข้อ 1. เมื่อมี DPO แล้วก็จะช่วยแนะนำการทำตามกฎหมายในแง่มุมต่าง ๆ ทั้งมาตรการรักษาความมั่นคงปลอดภัยข้อมูล และ การแจ้งเหตุละเมิดความเสี่ยงที่จะผิดกฎหมาย PDPA ในแง่มุมอื่น ๆ ก็ลดลงตามไปด้วย
ด้านมาตรการรักษา ความมั่นคงปลอดภัย องค์กรมักเน้นการคุ้มครองข้อมูลจากคนภายนอก เจาะระบบเข้ามาเอาข้อมูลไป แต่จาก กรณีศึกษาทั่วโลกจะพบว่า หลายครั้งการละเมิดข้อมูลมีที่มาจากคนในองค์กรเอง ด้วยสาเหตุเช่น ความไม่ชอบ หน้ากัน ผลประโยชน์ และความประมาท เป็นต้น การมีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลที่ครอบคลุม ทั้งในและนอกองค์กรจึงมีความสำคัญ DPO ที่มีประสบการณ์และความชำนาญจะเข้าใจ
ดังนั้นเพื่อลดโอกาสพลาดยิ่งขึ้นไปอีก DPO ที่แต่งตั้ง (และทีม) ต้องมีความรู้ความเข้าใจในตัวบทกฎหมาย และการปรับองค์กรตามกฎหมายที่มากพอ ซึ่งสมัยนี้ก็มีหลักสูตรฝึกอบรมที่เปิดสอนแบบเจาะลึก และหลาย ๆ แห่ง ก็มีเนื้อหาของหลักสูตรที่สอดคล้องตามที่สคส.กำหนด
ค่าปรับเหมาะสมหรือไม่กับเคสนี้?
เขากล่าวว่า หลาย ๆ คนโดยเฉพาะผู้บริโภคส่วนใหญ่คงบอกว่า บริษัทขนาดใหญ่รายได้มากมาย โดนปรับจำนวนนี้คงเหมือนแค่สะเก็ดหินกระเด็นมาโดน ไม่รู้สึกอะไร ส่วนตัวมองความเสียหายว่าไม่ได้เป็นเพียง แค่จำนวนเงิน เพราะการถูกสั่งปรับกระทบต่อชื่อเสียงแน่นอน อาจสร้างความเสียหายเชิงธุรกิจตามมาอย่างไม่ สามารถประเมินได้ก็เป็นได้ ซึ่งเรื่องการพิจารณาค่าปรับเป็นเรื่องที่ยากจะให้ความเห็น เนื่องจากมีหลายปัจจัยมา เกี่ยวข้อง
เชื่อว่าทางคณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 คงได้พินิจพิเคราะห์อย่างถี่ถ้วนแล้ว ขณะเดียวกันผู้เสียหายไม่ว่าจะโดนหลอกหรือไม่ แต่เป็นลูกค้าของบริษัทนี้ที่ข้อมูลรั่วออกไป มีสิทธิที่ยื่น ฟ้องทางแพ่งตาม PDPA เพื่อเรียกค่าเสียหายจากบริษัทกับศาลแพ่งต่อไปได้อีกด้วย
สำหรับองค์กรที่ผิด PDPA หลังจากนี้ มองว่า หากมีเคสแบบเดียวกันในช่วงเวลาก่อนหน้านี้ เชื่อว่า การพิจารณาสั่งลงโทษปรับคงไม่แตกต่างกันเท่าไหร่ แต่ก็เชื่อว่า หลังจากนี้หากองค์กรละเมิดกฎหมาย PDPA ในลักษณะแบบเดียวกัน อาจมีการลงโทษที่รุนแรงเพิ่มขึ้น เพราะการสั่งปรับได้สร้างความตระหนักรู้ต่อสังคมแล้ว
มาตรฐานถูกยกขึ้นมาแล้ว การตัดสินของคณะกรรมการผู้เชี่ยวชาญก็อาจเข้มงวดมากขึ้น เพราะอย่าลืมว่า ยังมีอีกหลายมาตราและลักษณะความผิดตามกฎหมายที่เรายังไม่ทราบว่าได้รับการพิจารณาในการกระทำความผิดครั้งนี้ด้วยหรือไม่ ทั้งนี้ต้องพิจารณาขนาดขององค์กร รายได้ และพฤติกรรม/กิจกรรมขององค์กรร่วมด้วย
ทิศทางการคุ้มครองข้อมูลฯ หลังจากนี้จะเป็นอย่างไร?
นายอุดมธิปก กล่าวว่า ขอแบ่งออกเป็น 3 กลุ่ม กลุ่มแรกสำหรับองค์กรเอกชน ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล จะตื่นตัวเรื่องนี้มากเป็นพิเศษ เพราะโทษชัดเจนว่า 1) การมี DPO สำคัญ และ 2) ต้องปฎิบัติตามกฎหมาย PDPA โดยจะให้ความสำคัญกับ Cyber Security ก่อน ซึ่งอาจจะไม่ถูกสักทีเดียว เพราะท้ายที่สุดการถูกร้องเรียน จากเจ้าของข้อมูลส่วนบุคคลอาจไม่ได้เกิดจากกรณีที่มีข้อมูลถูกละเมิดหรือรั่วไหลเพียงอย่างเดียว และการแจ้งเหตุ การละเมิดข้อมูลส่วนบุคคลไปที่ สคส.จะมีมากขึ้นเรื่อย ๆ ในทุกรูปแบบ เพราะไม่มั่นใจว่าควรแจ้งหรือไม่
ส่วนกลุ่มที่ 2 คือ เจ้าของข้อมูลส่วนบุคคล (Data Subject) จะมาใช้สิทธิข้อมูลส่วนบุคคลของตนเอง กับทางผู้ควบคุมข้อมูลส่วนบุคคลกันมากขึ้น และจะร้องเรียนกับทาง สคส.เพิ่มมากขึ้น เพราะเริ่มรู้กันแล้วว่า สามารถทำได้ ร้องเรียนได้ และมีต้นทุนในการร้องเรียนต่ำ
และกลุ่มสุดท้ายคือหน่วยงานของรัฐ ที่เป็นผู้ควบคุมข้อมูลส่วนบุคคล อาจจะยังไม่ตระหนักถึงความเสี่ยง และผลกระทบต่อข้อมูลส่วนบุคคลมากนัก แต่จะเริ่มปฏิบัติตาม PDPA เพิ่มมากขึ้น เพราะคาดว่าแรงกดดันจากสังคม ที่จะให้ลงโทษหน่วยงานรัฐที่ละเมิดไม่ปฏิบัติตามกฎหมาย PDPA จะสูงขึ้น
องค์กรอยากเริ่มทำ PDPA ทำอย่างไร?
การทำ PDPA ให้ถูกต้องเป็นเรื่องไม่ยาก แต่ต้องมีความเข้าใจในธุรกิจขององค์กร กฎหมายที่เกี่ยวข้องไม่เฉพาะ PDPA กระบวนการทำงานขององค์กร และเทคโนโลยีสารสนเทศที่เกี่ยวข้อง โดยมีขั้นตอนดังนี้
ขั้นตอนที่ 1 - องค์กรควรเริ่มด้วยการตั้งคำถามว่า องค์กรเราต้องใช้ข้อมูลส่วนบุคคลจากใคร แบบไหน เพื่อไปทำอะไร รวมทั้งสำรวจข้อมูลส่วนบุคคลที่องค์กรองค์กรมีอยู่
ขั้นตอนที่ 2 - แต่งตั้ง DPO หากเข้าข่ายจำเป็นต้องมี มีพนักงานหรือคณะทำงานด้านการคุ้มครองข้อมูลส่วนบุคคล หากไม่มั่นใจก็อาจจะหาคนที่เข้าใจเรื่องนี้มาช่วย หรือพัฒนาบุคลากรขององค์กรเพื่อให้เข้าใจเรื่อง PDPA องค์กรที่มีการเก็บข้อมูลส่วนบุคคลจำนวนมาก (เกิน 100,000 ราย) หรือทำกิจกรรมที่มีการประมวลผลข้อมูลโดยตรงเป็นหลัก ให้ตีไว้ก่อนเลยว่าต้องมี DPO
ขั้นตอนที่ 3 - มอบหมายให้คนที่ดูแลรับผิดชอบเริ่มต้นจัดทำ บันทึกรายการกิจกรรมการประมวลผล (RoPA) เพื่อให้มองเห็นและติดตามข้อมูลในองค์กรได้ จัดทำประกาศความเป็นส่วนตัว (Privacy Notice) ให้เจ้าของข้อมูลส่วนบุคคลทราบแสดงความโปร่งใส มีมาตรการรองรับการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล และเริ่มสร้างมาตรการความมั่นคงปลอดภัยข้อมูลที่เหมาะสมกับองค์กรและระดับความเสี่ยงของข้อมูล โดยอาจเริ่มจากมาตรการที่ลงทุนน้อย ทำได้ง่าย และขยับไปสู่การปรับเปลี่ยนโครงสร้างขนาดใหญ่ตามลำดับ
การทำ 3 ขั้นตอนนี้ช่วยลดความเสี่ยงไม่ถูกปรับ 7 ล้านอย่างแน่นอน
Tuyên bố từ chối trách nhiệm: Bản quyền của bài viết này thuộc về tác giả gốc. Việc đăng lại bài viết này chỉ nhằm mục đích truyền tải thông tin và không cấu thành bất kỳ lời khuyên đầu tư nào. Nếu có bất kỳ hành vi vi phạm nào, vui lòng liên hệ với chúng tôi ngay lập tức. Chúng tôi sẽ sửa đổi hoặc xóa bài viết. Cảm ơn bạn.
