คำสั่งที่ 30/2566 (คณะที่ 2) — ตักเตือน บริษัท A กรณีพนักงาน HR ประมาทเลินเล่อทำให้เอกสารปรับโครงสร้างเงินเดือนรั่วไหล (ฝ่าฝืน ม.27 ว.1 ประกอบ ม.83 · ปรับปรุง ม.37(1))
สารบัญในมาตรานี้
เรื่องร้องเรียน
- ผู้ร้องเรียน: [นางสาว ก.]
- ผู้ถูกร้องเรียน: [บริษัท A]
คำร้องเรียนนี้สรุปความได้ว่า ผู้ร้องเรียนซึ่งเป็นอดีตพนักงานบริษัท A ของผู้ถูกร้องเรียน ถูกเพื่อนร่วมงานในบริษัทเดียวกันเปิดดูเอกสารปรับโครงสร้างเงินเดือนประจำปี 2566 เนื่องจากความประมาทเลินเล่อของเจ้าหน้าที่แผนกทรัพยากรบุคคลที่มีหน้าที่ดูแลปกป้องข้อมูลส่วนบุคคลอันเป็นความลับของพนักงานบริษัทของผู้ถูกร้องเรียน ได้ฝากส่งเอกสารผ่านบุคคลที่ไม่ได้เกี่ยวข้องโดยไม่ปิดผนึกซองจดหมายเงินเดือน และมีการเปิดเผยข้อมูลให้กับเพื่อนร่วมงานคนอื่น ทำให้ผู้ร้องเรียนได้รับความเสียหายและถูกละเมิดสิทธิส่วนบุคคล จึงขอให้ดำเนินการทางกฎหมายกับผู้ถูกร้องเรียน
คำวินิจฉัย
คณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 ได้พิจารณาตรวจสอบข้อเท็จจริงแล้วเห็นว่า ผู้ถูกร้องเรียนซึ่งเป็นผู้ควบคุมข้อมูลส่วนบุคคล ต้องมีหน้าที่ดูแลข้อมูลส่วนบุคคล ซึ่งมี ชื่อ นามสกุล และข้อมูลการปรับโครงสร้างเงินเดือนของผู้ร้องเรียน มิให้ไปเปิดเผยให้กับพนักงานอื่นนอกเหนือจากเจ้าของข้อมูลส่วนบุคคล การประมาทเลินเล่อของพนักงานบริษัทผู้ถูกร้องเรียน จนทำให้มีข้อมูลรั่วไหลโดยไม่ได้รับความยินยอมดังกล่าว จึงเป็นการกระทำที่ละเมิดข้อมูลส่วนบุคคลตาม มาตรา 27 วรรคหนึ่ง ที่กำหนดห้ามมิให้ผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ประกอบ มาตรา 83 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ดังนั้น เพื่อเป็นการป้องกันไม่ให้เกิดการกระทำความผิดในลักษณะดังกล่าวอีก ผู้ถูกร้องเรียนจะต้องปรับปรุงแก้ไขมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม ตาม มาตรา 37 (1) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และเป็นไปตามมาตรการขั้นต่ำ ตามข้อ 4 (7) ของประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565
คำสั่ง
อาศัยอำนาจตามความใน มาตรา 90 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 คณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 จึงมีคำสั่งตักเตือนผู้ถูกร้องเรียน และให้ดำเนินการปรับปรุงแก้ไขมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมตาม มาตรา 37 (1) รวมทั้งพิจารณาช่วยเหลือเยียวยาผู้ร้องเรียนอย่างเหมาะสม เป็นธรรมและมีความปลอดภัยในการทำงาน โดยให้รายงานผลต่อคณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 ภายใน 30 วัน นับแต่วันที่รับคำสั่ง
สั่ง ณ วันที่ 20 ธันวาคม 2566
ประธานกรรมการผู้เชี่ยวชาญ คณะที่ 2