คำสั่งที่ 8/2567 (คณะที่ 1) — ให้ผู้ถูกร้องเรียนปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลอย่างเคร่งครัด กรณีติดต่อขายผลิตภัณฑ์หลังถอนความยินยอม

เรื่องร้องเรียน

• ผู้ร้องเรียน: [นาย ก.]
• ผู้ถูกร้องเรียน: [ธนาคาร A]

คำร้องเรียนนี้สรุปความได้ว่า ผู้ถูกร้องเรียนได้มีการติดต่อหาผู้ร้องเรียนเพื่อชักชวนสมัครทำบัตรเครดิต ซึ่งทางผู้ร้องเรียนแจ้งว่าไม่เคยให้ความยินยอมในการติดต่อขายผลิตภัณฑ์ใด ๆ กับผู้ถูกร้องเรียนแต่อย่างใด หลังจากนั้นผู้ร้องเรียนจึงได้ยกเลิกการให้ความยินยอมข้อมูลส่วนบุคคลและผู้ถูกร้องเรียนได้ส่งข้อความกลับมายืนยันการยกเลิกดังกล่าว ต่อมาหลังจากผู้ร้องเรียนยกเลิกการให้ความยินยอมแล้ว ยังคงมีเจ้าหน้าที่ของผู้ถูกร้องเรียนติดต่อมาขายผลิตภัณฑ์เช่นเดิม จึงเชื่อว่าผู้ถูกร้องเรียนไม่ได้ปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

คำวินิจฉัย

คณะกรรมการผู้เชี่ยวชาญ คณะที่ 1 พิจารณาแล้วเห็นว่า ผู้ถูกร้องเรียนมีสถานะเป็นผู้ควบคุมข้อมูลส่วนบุคคลตามมาตรา 6 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กรณีเจ้าหน้าที่ของผู้ถูกร้องเรียนได้ติดต่อไปยังผู้ร้องเรียนเพื่อชักชวนให้ทำบัตรผลิตภัณฑ์ดังกล่าว ถือเป็นการฝ่าฝืนไม่ปฏิบัติตามกฎหมาย เนื่องจากผู้ร้องเรียนถอนความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไปแล้ว ผู้ถูกร้องเรียนจึงไม่มีอำนาจเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามกฎหมายอีกต่อไปตาม มาตรา 19 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 แต่ผู้ถูกร้องเรียนยังคงติดต่อผู้ร้องเรียนเพื่อขายผลิตภัณฑ์อยู่ การกระทำดังกล่าวจึงเป็นการไม่ปฏิบัติตาม มาตรา 27 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งต่อมาผู้ถูกร้องเรียนและผู้ร้องเรียนได้ประนีประนอมยอมความกันแล้ว

คำสั่ง

อาศัยอำนาจตามความใน มาตรา 74 (1) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ประกอบกับความใน ข้อ 16 ของระเบียบคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ว่าด้วยการยื่น การไม่รับเรื่อง การยุติเรื่อง การพิจารณา และระยะเวลาในการพิจารณาคำร้องเรียน พ.ศ. 2565 และความในข้อ 4 (7) แห่งประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565 คณะกรรมการผู้เชี่ยวชาญ คณะที่ 1 จึงมีคำสั่งดังนี้

1. ให้ผู้ถูกร้องเรียนจัดให้มีการสร้างเสริมความตระหนักรู้ด้านความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลและการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลให้บุคลากร พนักงาน เจ้าหน้าที่ ที่เกี่ยวข้องกับการเข้าถึง เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลทราบและถือปฏิบัติตาม มาตรา 37 (1) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ประกอบความใน ข้อ 4 (7) แห่งประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565

2. ให้ปรับปรุงแก้ไขการบริหารจัดการคำร้องหรือคำขอต่าง ๆ ที่เกี่ยวข้องกับสิทธิต่าง ๆ ของเจ้าของข้อมูลส่วนบุคคลให้สอดคล้องกับกฎหมายและความคาดหวังโดยสมเหตุสมผลของเจ้าของข้อมูลส่วนบุคคล โดยเฉพาะเรื่องระยะเวลาในการดำเนินการเพื่อให้การถอนความยินยอมมีผลใช้บังคับเพื่อให้มีระยะเวลาการถอนที่รวดเร็วมากยิ่งขึ้นและมีประสิทธิภาพ

3. เมื่อได้ดำเนินการแล้วให้รายงานผลการปฏิบัติต่อคณะกรรมการผู้เชี่ยวชาญ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ภายใน 30 วัน นับแต่วันที่ได้รับคำสั่ง

สั่ง ณ วันที่ 11 มีนาคม พ.ศ. 2567

ประธานกรรมการผู้เชี่ยวชาญ คณะที่ 1

เอกสารต้นฉบับ

• PDF ต้นฉบับ (local)
• ที่มา: pdpc.or.th