ในยุคดิจิทัลที่ข้อมูลส่วนบุคคลมีมูลค่าสูง การรั่วไหลของข้อมูลจึงกลายเป็นปัญหาใหญ่ที่สร้างความเสียหายต่อทั้งบุคคลและองค์กร โดยกฏหมาย PDPA จะมี 2 บทบาท ที่จะมีหน้าที่และบทบาทที่ต้องรับผิดชอบในการดำเนินการของข้อมูลส่วนบุคคล คือ “ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)” และ “ผู้ประมวลผลข้อมูลส่วนบุคคล Data Processor)”
🔷 ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เช่น บริษัท ห้างสรรพสินค้า โรงพยาบาล หรือหน่วยงานภาครัฐ
🔷ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ องค์กรหรือบุคคลที่ได้รับมอบหมายจากผู้ควบคุมข้อมูล (Data Controller) ให้ทำหน้าที่ประมวลผลข้อมูลส่วนบุคคลตามคำสั่งและวัตถุประสงค์ที่กำหนดไว้ โดยไม่ได้มีอำนาจในการตัดสินใจเกี่ยวกับการเก็บรวบรวม การใช้ หรือการเปิดเผยข้อมูลส่วนบุคคลนั้นเอง
โดยกฎหมายคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนดให้ "ผู้ควบคุมข้อมูลส่วนบุคคล" เป็นผู้รับผิดชอบหลัก
ในการปกป้องข้อมูลส่วนบุคคล 🔐
แล้วกรณีข้อมูลส่วนบุคคลรั่วไหล ทั้ง 2 บทบาทจะทำหน้าที่อย่างไร ?
📍หน้าที่และความรับผิดชอบของ “ผู้ควบคุมข้อมูลส่วนบุคคล”
• แจ้งเหตุการณ์ข้อมูลรั่วไหลให้เจ้าของข้อมูลทราบโดยเร็วที่สุด
• ดำเนินการเพื่อแก้ไขสาเหตุของการรั่วไหล
• แจ้งรายงานการละเมิดข้อมูลต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายใน 72 ชั่วโมงหลังจากทราบเหตุ
• ใช้มาตรการป้องกันเพื่อป้องกันมิให้เกิดเหตุการณ์ข้อมูลรั่วไหลอีก
• ชดเชยค่าสินไหมแก่เจ้าของข้อมูลตามความเสียหายที่เกิดขึ้น
กรณีมีการรั่วไหลหรือละเมิดข้อมูลซึ่งหากตรวจสอบแล้ว “ผู้ควบคุมข้อมูลส่วนบุคคล” ไม่ปฏิบัติตามกฏหมาย PDPA อาจโดนโทษทางปกครองสูงสุดถึง 5 ล้านบาท และผู้บริหารมีโทษจำคุกไม่เกิน 1 ปี 🛑
📍หน้าที่และความรับผิดชอบของ “ผู้ประมวลผลข้อมูลส่วนบุคคล”
• ดำเนินการประมวลผลข้อมูลตามคำสั่งและข้อกำหนดที่ได้รับจากผู้ควบคุมข้อมูลเท่านั้น ไม่สามารถใช้ข้อมูลเพื่อวัตถุประสงค์อื่นโดยไม่ได้รับอนุญาต
• มีมาตรการป้องกันข้อมูลที่เหมาะสมและเพียงพอ เพื่อปกป้องข้อมูลส่วนบุคคลจากการเข้าถึงโดยไม่ได้รับอนุญาต การสูญหาย หรือการถูกทำลาย
• หากเกิดเหตุการณ์การละเมิดข้อมูล ผู้ประมวลผลข้อมูลต้องแจ้งให้ผู้ควบคุมข้อมูลทราบทันที เพื่อให้สามารถดำเนินการแก้ไขและแจ้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด
และในกรณีที่มีข้อมูลรั่วไหลที่เกิดจาก”ผู้ประมวลผลข้อมูล”ก็สามารถโดนโทษทางปกครองที่อาจจะต้องเสียค่าปรับถึง 5 ล้านบาท ได้เช่นกันยกตัวอย่างกรณีดังนี้
• ไม่ปฏิบัติตามคำสั่งของผู้ควบคุมข้อมูล (ไม่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม)
• การโอนข้อมูลส่วนบุคคลไปต่างประเทศโดยไม่ชอบด้วยกฎหมาย
โดยสรุปแล้วหากข้อมูลส่วนบุคคลของท่านในฐานะเจ้าของข้อมูลมีการรั่วไหลสิ่งที่ท่านสามารถทำได้คือ
✅แจ้งหน่วยงานที่เกี่ยวข้องทันที เช่น บัตรเครดิตหรือบัญชีธนาคาร ให้ติดต่อธนาคารหรือสถาบันการเงินที่เกี่ยวข้องเพื่อแจ้งเหตุ
และขอคำแนะนำในการป้องกันการใช้ข้อมูลโดยไม่ได้รับอนุญาต
✅ เปลี่ยนรหัสผ่านของบัญชีที่อาจถูกแฮ็ก โดยใช้รหัสผ่านที่แข็งแกร่งและไม่ซ้ำกันในแต่ละบัญชี
✅ อย่าคลิกลิงก์หรือตอบกลับอีเมลที่น่าสงสัย ! หากไม่แน่ใจเกี่ยวกับอีเมลหรือข้อความที่ได้รับ ให้ติดต่อหน่วยงานที่เกี่ยวข้อง
เพื่อยืนยันความถูกต้อง
✅ แจ้งหน่วยงานคุ้มครองข้อมูลส่วนบุคคล
เจ้าของข้อมูลสามารถร้องเรียนต่อ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
• ยื่นโดยตรงต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล โทร. 02-142-1033, 02-141-6993
• ยื่นผ่านทางไปรษณีย์มายังสำนักงาน
• ยื่นผ่านช่องทางอิเล็กทรอนิกส์หรือช่องทางอื่นตามที่สำนักงานกำหนด
