ขู่องค์กรเตือนหน่วยงานเก็บข้อมูลส่วนบุคคลต้องได้มาตรฐานทำรั่วไหลโดนปรับทางปกครอง- ปชช.ฟ้องแพ่งได้ ย้ำตามกฎหมายต้องรีพอร์ตสำนักงานสคส. ภายใน 72 ชั่วโมง และต้องแจ้งทางเจ้าของข้อมูล ให้รับทราบด้วย
นายเธียรชัย ณ นคร ประธานกรรมการคุ้มครองข้อมูลส่วนบุคคล เปิดเผยว่า ปัจจุบันปัญหาข้อมูลส่วนบุคคลรั่วไหลที่เกิดขึ้น มีสาเหตุจากระบบการเก็บข้อมูลส่วนบุคคลขององค์กรต่างๆ ที่เป็นผู้ควบคุมข้อมูล ยังไม่ได้มาตรฐาน และบุคคลในองค์กรเป็นผู้ทำรั่วไหลเอง รวมถึงการถูกแฮ็กเกอร์ทำการแฮ็กข้อมูลในระบบ ฯลฯ ซึ่งตาม พ.ร.บ คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ พีดีพีเอ ผู้ควบคุมข้อมูลจำเป็นต้องเก็บข้อมูลส่วนบุคคล ให้มีความปลอดภัย ไม่ให้รั่วไหล
หากเกิดกรณีทำข้อมูล ของประชาชนรั่วไหลแล้ว ต้องแจ้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ภายใน 72 ชั่วโมง และต้องแจ้งทางเจ้าของข้อมูลให้รับทราบด้วย ซึ่งหากการสอบสวนผู้เชี่ยวชาญของสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) พิจารณา ออกมาว่าองค์กรนั้นๆ มีความบกพร่อง ไม่ได้มาตรฐานขั้นต่ำ มีความผิดจริง ก็จะมีโทษปรับทางปกครองตั้งแต่ 1 ล้านบาท สูงสุดไม่เกิน 5 ล้านบาท
ขณะเดียวกันประชาชนที่ข้อมูลส่วนบุคคลรั่วไหล ก็สามารถที่จะฟ้องร้องทางแพ่งต่อศาลได้ เพื่อเรียกร้องค่าเสียหายจากองค์กรที่ทำข้อมูลรั่วไหล แต่ต้องแสดงให้ศาลเห็นว่าเป็นผู้เสียหายอย่างไร และมากน้อยแค่ไหน ซึ่งศาล จะเป็นผู้พิจารณาตัดสิน นอกจากนี้ยังสามารถร้องเรียนเข้ามายัง สคส. เพื่อเรียกองค์กรที่ทำข้อมูลรั่วไหล มาเจรจาไกล่เกลี่ยและเยียวยาความเสียหายได้
ด้านนายศิวรักษ์ ศิวโมกษธรรม เลขาธิการ สคส. กล่าวว่า กรณีแฮ็กเกอร์ 9near ที่อ้างว่ามีการแฮ็กข้อมูล 55 ล้านรายชื่อ ซึ่งได้เข้ามอบตัวกับตำรวจแล้วนั้น ในส่วนของผู้เสียหายที่ข้อมูลรั่วไหล ยังไม่มีการเข้ามาร้องเรียนกับทาง สคส. ขณะที่ทางคณะกรรมการผู้เชี่ยวชาญคณะที่ 2 (ที่พิจารณาเกี่ยวกับเรื่องร้องเรียนทางเทคโนโลยีและอื่นๆ) ก็ได้มีการเชิญ หน่วยงานที่สงสัยว่าตนเองเป็นผู้ทำข้อมูลรั่วไหลมาสอบสวนแล้ว ซึ่งขณะนี้อยู่ระหว่างการพิจารณา และขอข้อมูล
การจัดเก็บข้อมูลการจราจรทางคอมพิวเตอร์ มาตรวจสอบว่ามีใครเข้ามาแฮ็กข้อมูลไปหรือไม่ ซึ่งตามกรอบระยะเวลา พิจารณาตามกฎหมาย 90 วัน และสามารถขยายระยะเวลาออกไปได้อีก 60 วัน จำนวน 2 ครั้ง อย่างไรก็ตามหลังเกิดเหตุการณ์ได้มีการเชิญ 20 หน่วยงานรัฐที่เกี่ยวข้องกับข้อมูลประชาชน มากำชับและตรวจสอบในการเก็บข้อมูลให้ได้มาตรฐานไม่ให้รั่วไหลด้วย
นายเธียรชัย กล่าวต่อว่า ขณะนี้ทาง สคส. กำลังเร่งออกกฎหมายลูกที่เหลืออีกสองฉบับ เพื่อให้การบังคับใช้ พ.ร.บ คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีประสิทธิภาพมากขึ้น คือ กฎหมายเกี่ยวกับเจ้าหน้าที่ คุ้มครองข้อมูลส่วนบุคคล (DPO- Data Protection Officer) โดยจะกำหนดถึงบทบาทหน้าที่และความจำเป็น ที่แต่ละองค์กรต้องมี DPO ซึ่งแต่ละองค์กรจะมีวิธีการแต่งตั้ง DPO อย่างไร
รวมถึงการตรวจสอบการทำงาน และบทบาทการทำหน้าที่ของดีพีโอ นอกจากนี้ยังมีร่างกฎหมายเกี่ยวกับการส่งข้อมูลไปต่างประเทศที่ต้องกำหนดแนวทางในเงื่อนไข และวิธีการว่าการที่องค์กรต่างๆที่ต้องการส่งข้อมูลส่วนบุคคลไปต่างประเทศต้องปฎิบัติอย่างไร เพื่อให้เป็นไปตาม
ทั้งนี้ กฎหมายพีดีพีเอ และมีมาตรฐานสากลเป็นที่ยอมรับของนานาประเทศ ซึ่งคาดว่ากฎหมายลูกทั้งสองฉบับน่าจะออกมาใช้งานได้ก่อนสิ้นปีนี้
บทความโดย ปานฉัตร สินสุข
————————————————————————————————————————-
ที่มา : กรุงเทพธุรกิจออนไลน์ / วันที่เผยแพร่ 1 พ.ค. 2566
Link : https://www.bangkokbiznews.com/tech/gadget/1065732