Blog > องค์กรระวังโดนฟ้อง! เหตุทำข้อมูลรั่วไหล พร้อมทบทวนแนวปฏิบัติตาม PDPA องค์กรระวังโดนฟ้อง! เหตุทำข้อมูลรั่วไหล พร้อมทบทวนแนวปฏิบัติตาม PDPA 6 days ago Share ตั้งแต่ PDPA หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล 2562 มีผลบังคับใช้เมื่อวันที่ 1 มิถุนายน พ.ศ. 2565 ที่ผ่านมา PDPA Core เชื่อว่าผู้ประกอบการจำนวนไม่น้อยคงเริ่มตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลกันมากขึ้น อย่างไรก็ตาม นับตั้งแต่ปี 2564 ที่ผ่านมา มีหลายองค์กรในประเทศไทยเผชิญกับเหตุการณ์ข้อมูลรั่วไหล ทั้งกรณีสายการบินถูกแรนซัมแวร์ลอบขโมยข้อมูลลูกค้า กรณีสถาบันการแพทย์ถูกแฮกข้อมูลคนไข้ จนกระทั่งล่าสุดในเดือนเมษายน 2566 ที่ผ่านมา ก็มีเหตุการณ์แฮกเกอร์ชื่อ “9near” อ้างว่ามีข้อมูลหลุด 55 ล้านคน ส่งผลกระทบในวงกว้างและทำให้หลายคนหวั่นวิตกไม่น้อย หากผู้ประกอบการไม่ปฏิบัติตาม PDPA หรือปฏิบัติตามไม่ครบถ้วน ผู้ประกอบการก็มีความเสี่ยงที่จะต้องรับผิดตามกฎหมาย โดยความรับผิดแบ่งออกเป็น 3 ส่วน ได้แก่ ความรับผิดทางแพ่ง ความรับผิดทางอาญา และโทษทางปกครอง ดังนี้ ความรับผิดทางแพ่ง ผู้ประกอบการจะต้องชดใช้ความเสียหายที่เกิดขึ้นจริงกับเจ้าของข้อมูลส่วนบุคคลที่ได้รับความเสียหายจากการละเมิดข้อมูล และอาจต้องชดใช้เพิ่มเติมสูงสุดอีก 2 เท่าของค่าเสียหายจริง ไม่ว่าผู้ประกอบการจงใจหรือประมาทก็ตาม (เว้นแต่จะพิสูจน์ได้ว่าเกิดจากเหตุสุดวิสัยหรือเกิดจากการกระทำหรือละเว้นการกระทำของเจ้าของข้อมูลส่วนบุคคลนั้นเอง หรือเป็นการปฏิบัติตามคำสั่งของเจ้าหน้าที่ซึ่งปฏิบัติการตามหน้าที่และอำนาจตามกฎหมาย) ความรับผิดทางอาญา ในทางอาญา โดยปกติโทษ PDPA จะสามารถยอมความกันได้ โดยความผิดเกิดจากการที่ธุรกิจในฐานะผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือเปิดเผยข้อมูลส่วนบุคคลนอกเหนือไปจากวัตถุประสงค์ที่ได้แจ้งเจ้าของข้อมูลส่วนบุคคลไว้ ซึ่งการกระทำดังกล่าวนำไปสู่โทษทางอาญาทั้งจำทั้งปรับ ซึ่งรายละเอียดก็จะมีดังนี้ การประมวลผลข้อมูลส่วนบุคคลโดยผู้ควบคุมข้อมูล ซึ่งอาจทำให้เจ้าของข้อมูลส่วนบุคคลเกิดความเสียหาย เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย ต้องระวางโทษจำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 500,000 บาท หรือทั้งจำทั้งปรับ ความผิดฐานเปิดเผยข้อมูลส่วนบุคคล ผู้ใดล่วงรู้ข้อมูลส่วนบุคคลของผู้อื่นเนื่องจากการปฏิบัติหน้าที่ตาม PDPA แล้วนำไปเปิดเผยแก่ผู้อื่น ต้องระวางโทษจำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 500,000 บาท หรือทั้งจำทั้งปรับ การกระทำความผิดนั้นเกิดจากการที่ผู้ประกอบการแสวงหาประโยชน์สำหรับตนเองหรือผู้อื่นโดยทุจริต ต้องระวางโทษจำคุกไม่เกิน 1 ปี หรือปรับไม่เกิน 1,000,000 บาท หรือทั้งจำทั้งปรับ นอกจากนี้ ในกรณีที่ผู้กระทำความผิดเป็นนิติบุคคล ถ้าการกระทำความผิดดังกล่าวเกิดจากการสั่งการหรือการกระทำของกรรมการหรือผู้จัดการหรือบุคคลซึ่งรับผิดชอบการดำเนินงานของนิติบุคคล หรือในกรณีที่บุคคลดังกล่าวมีหน้าที่ต้องสั่งการหรือกระทำการแต่กลับละเว้นไม่สั่งการหรือกระทำการนั้น ๆ กรรมการหรือผู้จัดการหรือบุคคลซึ่งรับผิดชอบการดำเนินงานของนิติบุคคลดังกล่าว ก็จะต้องรับโทษทางอาญาตามความผิดนั้น ๆ ที่เกิดขึ้นด้วย ความรับผิดทางปกครอง โทษปรับทางปกครองของผู้ประกอบการประกอบด้วยหลายฐาน สรุปสาระสำคัญดังนี้ การกระทำที่เป็นความผิด เช่น เก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากฐานทางกฎหมาย ไม่ขอความยินยอมให้ถูกต้อง โทษปรับตั้งแต่ไม่เกิน 1,000,000 บาท ถึงไม่เกิน 5,000,000 บาท การไม่ปฏิบัติตามหน้าที่ตามความรับผิดชอบ เช่น ไม่แจ้งเจ้าของข้อมูลถึงการเก็บข้อมูลจากเจ้าของข้อมูล โอนข้อมูลส่วนบุคคลไปยังต่างประเทศโดยไม่ชอบด้วยกฎหมาย ไม่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม โทษปรับตั้งแต่ไม่เกิน 1,000,000 บาท ถึงไม่เกิน 3,000,000 บาท ทบทวนแนวปฏิบัติ PDPA ที่ถูกต้อง เพื่อป้องกันความเสี่ยงจากการที่ข้อมูลรั่วไหล เพื่อป้องกันความเสี่ยงที่องค์กรของเราจะโดนฟ้องดำเนินคดีทางแพ่งและถูกลงโทษทางอาญาและปกครองตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล ภายในองค์กรควรจะมี DPO (Data Protection Officer) หรือ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นผู้ที่ให้คำปรึกษา ดูแลรักษาข้อมูลส่วนบุคคลทั้งหมดขององค์กรทั้งภายในและภายนอกให้ปลอดภัยและสอดคล้องตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) อีกทั้งประสานงานและร่วมมือกับสำนักงานคุ้มครองข้อมูลส่วนบุคคลเมื่อเกิดปัญหาข้อมูลรั่วไหลจากองค์กร รวมถึงจะต้อง ควบคุมการเข้าถึงข้อมูลส่วนบุคคลเฉพาะพนักงานหรือเจ้าหน้าที่ที่ได้รับอนุญาตแล้ว กำหนดหน้าที่ความรับผิดชอบของพนักงานหรือเจ้าหน้าที่ที่ได้รับอนุญาต เพื่อป้องกันการเข้าถึงข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาตหรือการลักลอบทำสำเนาข้อมูลส่วนบุคคล จัดให้มีวิธีการเพื่อให้สามารถตรวจสอบย้อนหลังเกี่ยวกับการเข้าถึง เปลี่ยนแปลง ลบ หรือถ่ายโอนข้อมูลส่วนบุคคลได้ ใช้ระบบจัดการการแจ้งเตือนและขอความยินยอมในการจัดเก็บข้อมูลส่วนบุคคลต่าง ๆ เช่น Cookie Consent Management ตั้งค่าพาสเวิร์ดที่คาดเดาได้ยาก มีความหลากหลาย และเปลี่ยนพาสเวิร์ดเป็นประจำ จัดให้มีการลบหรือทำลายข้อมูลส่วนบุคคลหลังจากพ้นระยะเวลาในการเก็บข้อมูล ในกรณีที่มีการละเมิดข้อมูลส่วนบุคคล ให้ติดต่อสำนักงานคุ้มครองข้อมูลส่วนบุคคลภายใน 72 ชั่วโมง นับตั้งแต่ทราบเรื่อง และแจ้งให้เจ้าของข้อมูลรู้ตัวพร้อมชี้แจงแนวทางเยียวยา สร้างความตระหนักรู้และความเข้าใจเกี่ยวกับ PDPA ให้กับพนักงานภายในองค์กรอย่างต่อเนื่องและสม่ำเสมอ ถึงแม้ความรับผิดขององค์กรจากการทำข้อมูลรั่วไหลตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลหรือ PDPA จะมีความรุนแรงแค่ไหน แต่อีกสิ่งที่องค์กรจะสูญเสียไปก็คือความเชื่อมั่นของลูกค้าในตัวองค์กร ซึ่งเป็นสิ่งที่ยากจะกู้คืนมาได้และมีความสำคัญอย่างยิ่งในการดำเนินธุรกิจขององค์กร You may also like Tutorials อะไรคือ Cookies consent ทำไมเจ้าของเว็บไซต์ต้องมี 1 week ago Tutorials จัดกิจกรรมแจกของบน Facebook อย่างไรหลัง PDPA บังคับใช้ 5 days ago Tutorials 5 เรื่องที่ต้องรู้เกี่ยวกับ Email Consent ใน PDPA 5 days ago More posts