คำสั่งที่ 4/2567 (คณะที่ 1) — ตักเตือนและให้แก้ไข กรณีอดีตนายจ้างนำชื่อ-นามสกุลอดีตพนักงานไปใช้ในใบเตือนต่ออายุประกันรถยนต์

เรื่องร้องเรียน

• ผู้ร้องเรียน: [นางสาว ก.]
• ผู้ถูกร้องเรียน: [บริษัท A.]

คำร้องเรียนนี้สรุปความได้ว่า ผู้ถูกร้องเรียน (อดีตนายจ้าง) แอบอ้างใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้ร้องเรียน (อดีตพนักงาน) ได้แก่ ชื่อตัว ชื่อสกุล โดยไม่ชอบด้วยกฎหมาย นำไปจัดทำเอกสารใบเตือนต่ออายุประกันรถส่งให้แก่ลูกค้าผู้ใช้บริการของบริษัทผู้ถูกร้องเรียน โดยไม่ได้ให้ความยินยอมแต่อย่างใด ทำให้ผู้ร้องเรียนได้รับความเสียหาย และทำให้ผู้ใช้บริการเกิดความสับสน

คำวินิจฉัย

คณะกรรมการผู้เชี่ยวชาญ คณะที่ 1 พิจารณาแล้วเห็นว่า ผู้ถูกร้องเรียนในฐานะอดีตนายจ้าง มีสถานะเป็นผู้ควบคุมข้อมูลส่วนบุคคลตามมาตรา 6 การใช้ หรือเปิดเผยชื่อ นามสกุลของผู้ร้องเรียน อดีตพนักงาน ในการจัดทำใบเตือนต่ออายุประกันรถส่งแก่ลูกค้าของผู้ถูกร้องเรียน โดยไม่ได้รับความยินยอมจากผู้ร้องเรียนหรือมีฐานทางกฎหมายอื่น ๆ ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้ร้องเรียนตามที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนด เป็นกรณีผู้ถูกร้องเรียนฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ตาม มาตรา 27 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และไม่ดำเนินการให้ข้อมูลส่วนบุคคลถูกต้อง เป็นปัจจุบัน สมบูรณ์ และก่อให้เกิดความเข้าใจผิด การกระทำของผู้ถูกร้องเรียนจึงฝ่าฝืนไม่ปฏิบัติตาม มาตรา 35 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 อีกทั้ง ผู้ถูกร้องเรียนมีหน้าที่ตามกฎหมายต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบตาม มาตรา 37 (1) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ประกอบประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565 แต่เนื่องจากผู้ร้องเรียนกับผู้ถูกร้องเรียนมีการเจรจาไกล่เกลี่ยกันได้ และผู้ถูกร้องเรียนปรับแก้ไขตามความประสงค์ของผู้ร้องเรียนแล้ว ผู้ร้องเรียนจึงได้แจ้งความประสงค์ขอถอนเรื่องร้องเรียน

คำสั่ง

อาศัยอำนาจตามความใน มาตรา 90 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 คณะกรรมการผู้เชี่ยวชาญ คณะที่ 1 จึงมีคำสั่งตักเตือนและแก้ไข ดังต่อไปนี้

1. การกระทำของผู้ถูกร้องเรียนเป็นการละเมิดข้อมูลส่วนบุคคล แต่เนื่องจากไม่ปรากฏว่าเคยปฏิบัติฝ่าฝืนพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาก่อน จึงขอเตือนให้ผู้ถูกร้องเรียนปฏิบัติให้ถูกต้องตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจะได้บันทึกการตักเตือนครั้งนี้ไว้ในฐานข้อมูล หากผู้ถูกร้องเรียนกระทำฝ่าฝืนพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 อีก คณะกรรมการผู้เชี่ยวชาญ คณะที่ 1 จะดำเนินการตามกฎหมายอย่างเข้มงวดต่อไป

2. ให้ผู้ถูกร้องเรียนจัดให้มีมาตรการที่เหมาะสมเพื่อให้ข้อมูลส่วนบุคคลถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิดตาม มาตรา 35 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยการปรับปรุงบุคลากร กระบวนการ หรือเทคโนโลยี ให้มีประสิทธิภาพและความเหมาะสมตามระดับความเสี่ยงต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล

3. ให้ผู้ถูกร้องเรียนจัดให้มีการสร้างเสริมความตระหนักรู้ด้านความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลและการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลให้บุคลากร พนักงาน เจ้าหน้าที่ ที่เกี่ยวข้องกับการเข้าถึง เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลทราบและถือปฏิบัติตาม มาตรา 37 (1) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ประกอบความใน ข้อ 4 (7) แห่งประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565

4. ให้ดำเนินการตามข้อ 2 และข้อ 3 พร้อมทั้งรายงานผลการปฏิบัติต่อคณะกรรมการผู้เชี่ยวชาญ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ภายใน 30 วัน นับแต่วันที่ได้รับคำสั่ง

สั่ง ณ วันที่ 11 มีนาคม พ.ศ. 2567

ประธานกรรมการผู้เชี่ยวชาญ คณะที่ 1

เอกสารต้นฉบับ

• PDF ต้นฉบับ (local)
• ที่มา: pdpc.or.th