หน่วยงานภาครัฐประมาทเลินเล่อจนทำให้ ข้อมูลส่วนบุคคลรั่วไหล และมีผู้ไม่หวังดีนำไปใช้ในทางมิชอบ ผิดกฎหมาย PDPA อย่างไร? และเจ้าของข้อมูลส่วนบุคคลจะมีขั้นตอนอย่างไรในการฟ้องร้อง หรือร้องเรียนกับใครได้บ้าง?

สืบเนื่องจากเหตุการณ์ข้อมูลส่วนบุคคลของคนไทยกว่า 55 ล้านคนเกิดการรั่วไหล จากฝีมือการแฮ็กของแฮ็กเกอร์นาม 9Near ที่ขโมยข้อมูลส่วนบุคคลไปขายบนดาร์กเว็บ และมีการข่มขู่ผ่านสื่อมวลชนว่าหากไม่จ่ายค่าไถ่ข้อมูลจะทำการปล่อยข้อมูลออกไป อาจทำให้ผู้ที่มีความกังวลกลัวว่าข้อมูลส่วนบุคคลของตนจะรั่วไหลโดยคิดว่าเมื่อภาครัฐเป็นผู้ทำให้ข้อมูลส่วนบุคคลรั่วไหลเสียเองจะมีความผิดหรือไม่ และผิดอย่างไร? แล้วจะสามารถฟ้องร้องเพื่อให้ชดเชยความเสียหายได้หรือไม่ ครั้งนี้ Security Pitch จะพาไปทำความเข้าใจในเรื่องข้อกฎหมาย PDPA ที่เกี่ยวข้องให้มากขึ้น

ข่าวที่เกี่ยวข้อง – กระแสสังคมจ่อฟ้อง PDPA เอาผิดหน่วยงานหลังแฮ็กเกอร์ขู่ แฉ ข้อมูลส่วนบุคคล คนไทย 55 ล้านคน

ก่อนที่จะทราบว่าการรั่วไหลของข้อมูลส่วนบุคคลนั้นจะผิดตามกฎหมายอย่างไร ก็อาจต้องทำความเข้าใจว่า ไม่ว่าข้อมูลส่วนบุคคลแบบใดรั่วไหลออกไปยังสาธารณะ หรือมีการนำไปใช้ในทางมิชอบ และผิดวัตถุประสงค์ องค์กรนั้น ๆ จะมีความผิดตามกฎหมาย PDPA ไม่ว่าจะเป็นข้อมูลที่อยู่ในรูปแบบดิจิทัล หรือข้อมูลส่วนบุคคลที่อยู่ในรูปแบบเอกสารก็ตาม

หากเจ้าของข้อมูลทราบว่า ข้อมูลส่วนบุคคลรั่วไหล ไม่ว่าจะเป็นการทราบด้วยตัวเอง หรือทราบจากองค์กรที่จัดเก็บข้อมูลส่วนบุคคล เจ้าของข้อมูลสามารถแจ้งต่อผู้ควบคุมข้อมูลส่วนบุคคลได้ โดยสามารถแจ้งทางวาจา เป็นเอกสารลายลักษณ์อักษร หรือทางอิเล็กทรอนิกส์ โดยผู้ควบคุมข้อมูลส่วนบุคคลจะต้องดำเนินการตรวจสอบ และประเมินความเสี่ยงเหตุการละเมิดที่จะกระทบต่อสิทธิหรือเสรีภาพส่วนบุคคล หากเหตุการณ์ที่เกิดขึ้นส่งผลกระทบ จะต้องรีบระงับหรือแก้ไขในทันที และต้องมีการแจ้งต่อสำนักคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายใน 72 ชั่วโมง รวมถึงต้องแจ้งต่อเจ้าของข้อมูล และแจ้งแนวทางการเยียวยาโดยไม่ชักช้า และหากผู้ควบคุมข้อมูลส่วนบุคคลเพิกเฉย เจ้าของข้อมูลก็สามารถร้องเรียนได้ เนื่องจากในมาตรา 73 วรรคหนึ่ง ในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนดไว้ว่า

“เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องเรียนในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคล ฝ่าฝืนหรือไม่ปฏิบัติตามพระราชบัญญัติ หรือประกาศที่ออกตามพระราชบัญญัตินี้”

ซึ่งถ้าหากสำนักงานคณะกรรมคุ้มครองข้อมูลส่วนบุคคลพบว่า ผู้ควบคุมข้อมูลส่วนบุคคลละเลย หรือกระทำผิดจริงก็จะมีความผิดทางปกครอง และต้องรับโทษทางปกครอง ขณะที่บริษัทที่มีจัดเก็บข้อมูลส่วนบุคคลก็จะมีความผิดทางแพ่ง โดยต้องชดใช้ตามมูลค่าความเสียหายจริง และชดใช้ค่าสินไหมทดแทน สูงสุดไม่เกิน 2 เท่าของค่าเสียหาย รวมถึง อาจโดนโทษทางอาญา จำคุกไม่เกิน 1 ปี หรือปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ และโทษทางปกครอง ปรับสูงสุดเป็นเงินกว่า 5 ล้านบาท

นอกจากนี้ หากคุณพบว่ามีปัญหาเรื่องข้อมูลส่วนบุคคลรั่วไหล ทำให้ขาดความมั่นใจในการจัดเก็บข้อมูลส่วนบุคคลกับองค์กรนั้น ๆ และต้องการถอนความยินยอม เจ้าของข้อมูลสามารถแจ้งให้ทำการลบข้อมูลได้ในภายหลัง หรือให้ส่งกลับมายังเจ้าของข้อมูลได้เช่นกัน และถ้าหากยังไม่มั่นใจว่าข้อมูลของตัวเองจะถูกนำไปใช้ในทางมิชอบในอนาคตหรือไม่ เจ้าของข้อมูลก็สามารถไปลงบันทึกประจำวันเพื่อแสดงความบริสุทธิ์ใจได้เช่นกัน

ได้ทราบแบบนี้แล้ว เจ้าของข้อมูลส่วนบุคคลที่มีความกังวลเรื่องข้อมูลส่วนบุคคลที่รั่วไหลก็สามารถวางแผนรับมือกับสิ่งที่อาจเกิดขึ้นได้อย่างทันท่วงที แต่ถ้าจะให้ปลอดภัยจริง ๆ ก็มีวิธีที่ปลอดภัยกว่า นั่นก็คือ เจ้าของข้อมูลส่วนบุคคลอย่ามอบเอกสารข้อมูลส่วนบุคคลให้ใครโดยง่าย เพราะตราบใดที่คุณไม่มอบข้อมูลส่วนตัวให้ใคร โอกาสที่จะถูกนำไปใช้ในทางมิชอบก็จะลดลงด้วยเช่นกัน

ขอบคุณข้อมูลจาก

• ราชกิจจานุเบกษา