ข่าวครึกโครมในวงการคุ้มครองข้อมูลส่วนบุคคลไทย หลังสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ภายใต้กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม แถลงข่าวการปรับทางปกครองบริษัทเอกชนขนาดใหญ่รวมกว่า 7 ล้านบาท ด้วยดำเนินกิจกรรมบริษัทฯ ไม่สอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) และกฎหมายลำดับรอง อันเป็นปัจจัยให้มีข้อมูลส่วนบุคคลรั่วไหลจำนวนมากส่งผลให้มีผู้เสียหายและการร้องเรียนตามมา
PDPA Thailand ได้รับการติดต่อเพื่อให้ข้อมูลจากผู้ ร้องเรียน PDPA ในเคสที่เกิดขึ้นจำนวน 2 ท่าน มีบทสทนาสั้น ๆ ดังนี้
ขออนุญาตเรียก “คุณ พ.” และ “คุณ ส.” (นามสมมติ)
คุณ พ: “พอดีว่าผมได้มีโอกาสใช้บริการกับบริษัทแห่งนี้ ก่อนหน้านี้ผมซื้อสินค้าที่หน้าร้านกับเขา 2-3 ครั้งซึ่งไม่มีความจำเป็นต้องให้รายชื่อหรือข้อมูลอะไร แต่ช่วงหลัง ๆ มามีความจำเป็นต้องซื้อผ่านช่องทางออนไลน์เพราะไม่สะดวกซื้อที่หน้าร้าน เลยต้องให้ข้อมูลส่วนตัวกับทางร้าน เลยตกเป็นผู้เสียหายในกรณีนี้กับเขาด้วย”
คุณ ส: “ผมได้ซื้อสินค้าเป็นคอมประกอบให้กับลูกชายผ่านช่องทางออนไลน์ของบริษัทครับ”
ทราบได้อย่างไรว่าเป็นผู้เสียหาย / ข้อมูลส่วนบุคคลถูกละเมิด?
คุณ พ: “เห็นคนโพสต์เรื่อง ให้ระวังเรื่องการอ้างและหลอกลวงโดยใช้ชื่อของทางบริษัทนั้นบนสื่อออนไลน์ ทำให้สงสัยว่าเกิดอะไรขึ้น เลยไปค้นหาข่าวจากสื่อต่าง ๆ ปรากฎว่ามีคนโพสต์บนเว็บพันทิปว่าโดนหลอก จากนั้นและมีคนออกมาโวยวายเพิ่มขึ้น จากนั้นผมได้รับ sms จากทางบริษัทแห่งดังกล่าวว่าระวังถูกหลอก ระวังผู้แอบอ้างเป็นบริษัทฯ เลยมั่นใจว่าข้อมูลส่วนบุคคลของผมรั่วไหลไปด้วยแน่”
คุณ ส: “หลังจากสั่งซื้อสินค้าเป็นคอมประกอบจากทางร้านสัก 2-3 สัปดาห์ ปรากฏว่ามีคนโทรมาหาผมบอกว่าคำสั่งซื้อมีปัญหาให้ส่งเคลม และพยายามให้แอดไลน์เพื่อดาวน์โหลดแอปอะไรบางอย่าง ผมก็เอ๊ะ! ไม่น่าจะใช่แล้ว เลยบอกไปว่ายังไม่สะดวกทำตาม หลังจากวางหูไปก็รีบไปค้นข้อมูลต่อบนโลกออนไลน์ เห็นมีคนเริ่มออกมาเตือนว่าเคยซื้อสินค้ากับบริษัทนี้มาเหมือนกัน โดนใช้ข้อมูลติดต่อมาในรูปแบบคล้าย ๆ กันจนเป็นข่าว … อันตรายมากนะครับ เพราะมิจฉาชีพสามารถยืนยันข้อมูลส่วนบุคคลและคำสั่งซื้อของผมได้ทั้งหมดเลย”
แล้วทำอย่างไรต่อ?
คุณ พ: “จากนั้นมีข่าวว่าทางสคส. เรียกบริษัทนี้ไปพบ และมีข้อสรุปเผยแพร่ผ่านทางสื่อว่าบริษัทนี้ยอมรับผิดว่าข้อมูลรั่วจริง ผมชั่งใจอยู่นานว่าจะไปร้องเรียนบริษัทนี้ต่อสคส.ดีไหม ท้ายสุดเพื่อรักษาสิทธิของผม จึงตัดสินใจไปร้องเรียนที่ ศูนย์เฝ้าระวังการละเมิดข้อมูลส่วนบุคคล – PDPC Eagle Eye ของสคส.
“โดยผมก็ต้องยืนยันตัวตน มีหลักฐานว่าเป็นลูกค้าบริษัทนั้นจริง ข้อมูลส่วนบุคคลถูกละเมิดจริง”
“ตามกฎหมาย PDPA ไม่จำเป็นต้องถูกหลอกจนเกิดความเสียหาย หรือมิจฉาชีพเอาข้อมูลส่วนบุคคลเราไปใช้แล้วถึงจะสามารถร้องเรียนได้ เพราะข้อมูลของเราถูกละเมิดแล้วจากการที่มีคนเก็บไว้และเข้าถึงได้โดยที่เราไม่ได้เห็นชอบด้วย องค์กรที่เอาข้อมูลของเราไปเก็บไว้ใช้ตั้งแต่ทีแรกต้องมีความรับผิดชอบ”
คุณ ส: “พอดีว่าผมรู้เรื่องกฎหมาย PDPA พอสมควร เลยพยายามติดต่อ DPO ของบริษัทฯ แต่ไม่ได้รับการตอบสนอง จึงเดินทางไปร้องเรียนที่ ศูนย์ Eagle Eye ไปเขียนบันทึกคำให้การเอาไว้ กลายเป็นหนึ่งในผู้ร้องเรียนในกรณีเคสทางปกครองที่ประกาศออกมานั่นเองครับ”
Feedback จากการ ร้องเรียน PDPA เราได้อะไรบ้าง นอกเหนือจากผลถูกปรับตามการแถลงข่าว?
คุณ พ: “ผมได้รับจดหมายแจ้งผลจากสคส.ที่ตัดสินลงโทษก่อนหน้าการแถลงข่าวอีก ถ้าไปดูจดหมายตัวนี้จริง ๆ แล้วจะมีจำนวนผู้ร้องเรียนและการตัดสินโทษอย่างละเอียด ผมว่าดีนะที่ภาครัฐออกมาจัดการเรื่องนี้อย่างจริงจัง”
“แม้ว่าผมไม่ได้รับการชดเชยจากเคสนี้ก็ตาม แต่การมีโทษผมว่าก็ช่วยได้ในระดับหนึ่ง ทำให้องค์กรต่าง ๆ ที่เอาข้อมูลเราไปใช้เริ่มตื่นตัว เห็นคุณค่าและดูแลข้อมูลส่วนบุคคลดีขึ้น ในฐานะเจ้าของข้อมูลฯ ผมก็แฮปปี้นะ”
“เห็นมีคนบอกว่าสามารถไปฟ้องแพ่งเรียกค่าเสียหายได้ เดี๋ยวต้องดูก่อนว่ายุ่งยากและคุ้มหรือไม่กับการฟ้อง”
คุณ ส: “นอกจากจดหมายแจ้งกลับเรื่องผลการลงโทษจากทางสคส. ส่วนตัวผมได้รับการติดต่อกลับมาจากบริษัทแห่งนั้นเพื่อขอโทษด้วยครับ”
“โชคดีที่ผมรู้ทันมิจฉาชีพทำให้ยังไม่เกิด Financial Lost ใด ๆ หวังว่าข้อมูลส่วนบุคคลของผมที่หลุดรั่วไปจะไม่ถูกนำมาใช้หลอกลวงอะไรผมอีก ผมเองก็คงระมัดระวังตัวมากขึ้น”
อยากฝากอะไรให้เจ้าของข้อมูลส่วนบุคคลท่านอื่น?
คุณ พ: “จากเหตุการณ์นี้ ผมอยากให้ทุกคนรู้ว่ามีสิทธิในข้อมูลส่วนบุคคลของตัวเอง ไม่ใช่องค์กรเอาไปแล้วกลายเป็นขององค์กร และขอให้องค์กรต่าง ๆ ปฎิบัติให้ถูกต้องตามกฎหมาย PDPA”
คุณ ส: “ทุกอย่างเริ่มต้นที่ตัวคุณ อยากให้ออกมาใช้สิทธิในข้อมูลส่วนบุคคลกันมาก ๆ จะได้เป็นแรงกดดันให้องค์กรหันมาคุ้มครองข้อมูลส่วนบุคคลกันอย่างจริงจัง”
