กรณีสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) แถลงข่าวการลงโทษสั่งปรับบริษัทเอกชนขนาดใหญ่สูงถึง 7 ล้านบาท ด้วยมีความผิดฐานไม่ดำเนินการตาม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA เมื่อวันที่ 21 สิงหาคม 2567

ดร.อุดมธิปก ไพรเกษตร ประธานเจ้าหน้าที่บริหาร บริษัท ดีบีซี กรุ๊ป จำกัด และผู้ก่อตั้ง PDPA Thailand ในฐานะ ผู้เชี่ยวชาญ PDPA เผยถึงอุทาหรณ์และข้อคิดที่องค์กรทั่วประเทศได้รับจากเคสดังกล่าว และสามารถนำไปประยุกต์ใช้กับการดำเนินงานให้สอดคล้องตามกฎหมาย PDPA ในหลากหลายประเด็น ดังนี้

เหตุสั่งปรับ 7 ล้านบาท องค์กรพลาดอะไร?

“หลัก ๆ ก็ตามการแถลงข่าวเลยครับ 3 เรื่องใหญ่ที่องค์กรเอกชนแห่งนั้นพลาดคือ

1. 1. ไม่มี DPO หรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เมื่อเข้าข่ายจำเป็นต้องแต่งตั้ง ตาม PDPA มาตรา 41(2)

   2. ไม่มีมาตรการรักษาความมั่นคงปลอดภัยข้อมูลที่เพียงพอ ตาม PDPA มาตรา 37(1) และ

   3. ไม่มีการแจ้งเหตุละเมิดภายใน 72 ชั่วโมงนับตั้งแต่ทราบเรื่อง ตาม PDPA มาตรา 37 (4)”

“ผมว่าองค์กรหลาย ๆ แห่ง (รวมถึงบริษัทที่โดนปรับ) อาจจะไม่รู้ว่าต้องมี DPO ไม่ว่าจะด้วยไม่ได้ติดตามข่าวสารอย่างใกล้ชิด หรือตีความเงื่อนไขในกฎหมายแม่/กฎหมายลูกไม่ถูก ไม่ชัวร์ว่าต้องทำอย่างไร ความซับซ้อนของปัญหาและการโดนปรับทั้งหมดเริ่มต้นที่จุดนี้”

“ลองคิดตามดูนะครับว่า หากคุณมี DPO คุณก็จะไม่ผิดแล้วในกระทงตามข้อ 1. เมื่อมี DPO แล้วก็จะช่วยแนะนำการทำตามกฎหมายในแง่มุมต่าง ๆ ทั้งมาตรการรักษาความมั่นคงปลอดภัยข้อมูลและการแจ้งเหตุละเมิด ความเสี่ยงที่จะผิดกฎหมาย PDPA ในแง่มุมอื่น ๆ ก็ลดลงตามไปด้วย”

“ด้านมาตรการรักษาความมั่นคงปลอดภัย องค์กรมักเน้นการคุ้มครองข้อมูลจากคนภายนอก เจาะระบบเข้ามาเอาข้อมูลไป แต่จากกรณีศึกษาทั่วโลกจะพบว่า หลายครั้งการละเมิดข้อมูลมีที่มาจากคนในองค์กรเอง ด้วยสาเหตุเช่น ความไม่ชอบหน้ากัน ผลประโยชน์ และความประมาท เป็นต้น การมีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลที่ครอบคลุมทั้งใน-นอกองค์กรถึงมีความสำคัญ – DPO ที่มีประสบการณ์และความชำนาญจะเข้าใจ”

ดังนั้นเพื่อลดโอกาสพลาดยิ่งขึ้นไปอีก DPO ที่แต่งตั้ง (และทีม) ต้องมีความรู้ความเข้าใจในตัวบทกฎหมายและการปรับองค์กรตามกฎหมายที่มากพอ ซึ่งสมัยนี้ก็มีหลักสูตรฝึกอบรมที่เปิดสอนแบบเจาะลึก และหลาย ๆ แห่งก็มีเนื้อหาของหลักสูตรที่สอดคล้องตามที่สคส.กำหนด”

ค่าปรับเหมาะสมหรือไม่กับเคสนี้?

“หลาย ๆ คนโดยเฉพาะผู้บริโภคส่วนใหญ่คงบอกว่า บริษัทขนาดใหญ่รายได้มากมายโดนปรับจำนวนนี้คงเหมือนแค่สะเก็ดหินกระเด็นมาโดน ไม่รู้สึกอะไร แต่ผมมองความเสียหายว่าไม่ได้เป็นเพียงแค่จำนวนเงิน เพราะการถูกสั่งปรับกระทบต่อชื่อเสียงแน่นอน อาจสร้างความเสียหายเชิงธุรกิจตามมาอย่างไม่สามารถประเมินได้ก็เป็นได้”

“เรื่องการพิจารณาค่าปรับเป็นเรื่องที่ยากจะให้ความเห็น เนื่องจากมีหลายปัจจัยมาเกี่ยวข้อง ผมเชื่อว่าทางคณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 คงได้พินิจพิเคราะห์อย่างถี่ถ้วนแล้ว”

“ขณะเดียวกันผู้เสียหายไม่ว่าจะโดนหลอกหรือไม่ แต่เป็นลูกค้าของบริษัทนี้ที่ข้อมูลรั่วออกไป มีสิทธิที่ยื่นฟ้องทางแพ่งตาม PDPA เพื่อเรียกค่าเสียหายจากบริษัทกับศาลแพ่งต่อไปได้อีกด้วย”

องค์กรที่ผิด PDPA หลังจากนี้?

“หากมีเคสแบบเดียวกันในช่วงเวลาก่อนหน้านี้ เชื่อว่าการพิจารณาสั่งลงโทษปรับคงไม่แตกต่างกันเท่าไหร่นัก – อย่างไรก็ตามผมเชื่อว่า หลังจากนี้หากองค์กรละเมิดกฎหมาย PDPA ในลักษณะแบบเดียวกัน อาจมีการลงโทษที่รุนแรงเพิ่มขึ้น เพราะการสั่งปรับได้สร้างความตระหนักรู้ต่อสังคมแล้ว มาตรฐานถูกยกขึ้นมาแล้ว การตัดสินของคณะกรรมการผู้เชี่ยวชาญก็อาจเข้มงวดมากขึ้น เพราะอย่าลืมว่ายังมีอีกหลายมาตราและลักษณะความผิดตามกฎหมายที่เรายังไม่ทราบว่าได้รับการพิจารณาในการกระทำความผิดครั้งนี้ด้วยหรือไม่ ทั้งนี้ต้องพิจารณาขนาดขององค์กร รายได้ และพฤติกรรม/กิจกรรมขององค์กรร่วมด้วย”

ทิศทางการคุ้มครองข้อมูลฯ หลังจากนี้จะเป็นอย่างไร?

“ผมขอแบ่งออกเป็น 3 กลุ่มครับ

กลุ่มแรกสำหรับองค์กรเอกชนในฐานะผู้ควบคุมข้อมูลส่วนบุคคลจะตื่นตัวเรื่องนี้มากเป็นพิเศษ เพราะโทษชัดเจนว่า 1) การมี DPO สำคัญ และ 2) ต้องปฎิบัติตามกฎหมาย PDPA โดยจะให้ความสำคัญกับ Cyber Security ก่อน ซึ่งอาจจะไม่ถูกสักทีเดียว เพราะท้ายที่สุดการถูกร้องเรียนจากเจ้าของข้อมูลส่วนบุคคลอาจไม่ได้เกิดจากกรณีที่มีข้อมูลถูกละเมิดหรือรั่วไหลเพียงอย่างเดียว และการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลไปที่ สคส.จะมีมากขึ้นเรื่อย ๆ ในทุกรูปแบบ เพราะไม่มั่นใจว่าควรแจ้งหรือไม่

ส่วนกลุ่มที่ 2 คือ เจ้าของข้อมูลส่วนบุคคล (Data Subject) ซึ่งจะมาใช้สิทธิข้อมูลส่วนบุคคลของตนเองกับทางผู้ควบคุมข้อมูลส่วนบุคคลกันมากขึ้น และจะร้องเรียนกับทาง สคส.เพิ่มมากขึ้น เพราะเริ่มรู้กันแล้วว่าสามารถทำได้ ร้องเรียนได้ และมีต้นทุนในการร้องเรียนต่ำ 

และกลุ่มสุดท้ายคือหน่วยงานของรัฐ ที่เป็นผู้ควบคุมข้อมูลส่วนบุคคล อาจจะยังไม่ตระหนักถึงความเสี่ยงและผลกระทบต่อข้อมูลส่วนบุคคลมากนัก แต่จะเริ่มปฏิบัติตาม PDPA เพิ่มมากขึ้น เพราะคาดว่าแรงกดดันจากสังคมที่จะให้ลงโทษหน่วยงานรัฐที่ละเมิดไม่ปฏิบัติตามกฎหมาย PDPA จะสูงขึ้น”

องค์กรอยากเริ่มทำ PDPA ทำอย่างไร?

การทำ PDPA ให้ถูกต้องเป็นเรื่องไม่ยาก แต่ต้องมีความเข้าใจในธุรกิจขององค์กร กฎหมายที่เกี่ยวข้องไม่เฉพาะ PDPA กระบวนการทำงานขององค์กร และเทคโนโลยีสารสนเทศที่เกี่ยวข้อง

“ขั้นตอนที่ 1 – องค์กรควรเริ่มด้วยการตั้งคำถามว่า องค์กรเราต้องใช้ข้อมูลส่วนบุคคลจากใคร แบบไหน เพื่อไปทำอะไร รวมทั้งสำรวจข้อมูลส่วนบุคคลที่องค์กรองค์กรมีอยู่

ขั้นตอนที่ 2 – แต่งตั้ง DPO หากเข้าข่ายจำเป็นต้องมี มีพนักงานหรือคณะทำงานด้านการคุ้มครองข้อมูลส่วนบุคคล หากไม่มั่นใจก็อาจจะหาคนที่เข้าใจเรื่องนี้มาช่วย หรือพัฒนาบุคลากรขององค์กรเพื่อให้เข้าใจเรื่อง PDPA องค์กรที่มีการเก็บข้อมูลส่วนบุคคลจำนวนมาก (เกิน 100,000 ราย) หรือทำกิจกรรมที่มีการประมวลผลข้อมูลโดยตรงเป็นหลัก ให้ตีไว้ก่อนเลยว่าต้องมี DPO

ขั้นตอนที่ 3 – มอบหมายให้คนที่ดูแลรับผิดชอบเริ่มต้นจัดทำ บันทึกรายการกิจกรรมการประมวลผล (RoPA) เพื่อให้มองเห็นและติดตามข้อมูลในองค์กรได้ จัดทำประกาศความเป็นส่วนตัว (Privacy Notice) ให้เจ้าของข้อมูลส่วนบุคคลทราบแสดงความโปร่งใส มีมาตรการรองรับการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล และเริ่มสร้างมาตรการความมั่นคงปลอดภัยข้อมูลที่เหมาะสมกับองค์กรและระดับความเสี่ยงของข้อมูล โดยอาจเริ่มจากมาตรการที่ลงทุนน้อย ทำได้ง่าย และขยับไปสู่การปรับเปลี่ยนโครงสร้างขนาดใหญ่ตามลำดับ”

ดร.อุดมธิปกเชื่อว่า “การทำ 3 ขั้นตอนนี้ช่วยลดความเสี่ยงไม่ถูกปรับ 7 ล้านอย่างแน่นอน”

หรือหากไม่ถนัดทำเอง PDPA Thailand มีบริการที่เหมาะสมกับทุกองค์กร คลิก
ยังไม่มั่นใจว่าองค์กรจำเป็นต้องแต่งตั้ง DPO หรือไม่ ทำแบบประเมินองค์กร คลิก
เช็ก 15 เรื่องที่ DPO ต้องทำ แนะนำโดย ผู้เชี่ยวชาญ PDPA เพื่อคุ้มครองข้อมูลส่วนบุคคลได้ตามกฎหมาย คลิก