14 ก.ย. 2566 – นายศิวรักษ์ ศิวโมกษธรรม เลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เปิดเผยถึงกรณีมีผู้บุกรุกทางไซเบอร์เข้าระบบสารสนเทศของบริษัท ไอซอฟเทล (ประเทศไทย) จำกัด ว่า สำนักงานฯ ได้ติดตามสถานการณ์ที่เกิดขึ้นอย่างใกล้ชิด จึงเชิญทั้งสองบริษัทมาชี้แจงให้ข้อมูลเพิ่มเติมเมื่อวันที่11 กันยายน 2566 พบว่า เกิดจากบริการเซอร์วิส Mobile PBX ซึ่งเป็นระบบที่ทำให้โทรศัพท์มือถือทำหน้าที่เสมือนโทรศัพท์สำนักงาน และ AWN ให้บริการดังกล่าวแก่ลูกค้าประเภทองค์กร โดยใช้ระบบของไอซอฟเทล ต่อมาไอซอฟเทลพบว่าระบบสารสนเทศที่ให้บริการเซอร์วิส Mobile PBX ถูกบุกรุกทางไซเบอร์และอาจมีข้อมูลส่วนบุคคลรั่วไหล จึงรายงานหน่วยงานที่เกี่ยวข้องถึงปัญหาดังกล่าว
สำนักงานฯ จึงได้กำชับให้ทั้งสองบริษัทตรวจสอบและแก้ไขปัญหาที่เกิดขึ้นอย่างละเอียด รอบคอบ และให้ปฏิบัติตามกฎหมาย PDPA อย่างเคร่งครัด บริษัทที่เกี่ยวข้องทั้งหมดต้องเข้าใจบทบาทและหน้าที่ของตนตามกฎหมาย ซึ่งตามประกาศฯ หลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล พ.ศ. 2565 กำหนดให้บริษัทที่เป็นผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่แจ้งเหตุละเมิดข้อมูลส่วนบุคคลแก่บริษัทที่เป็นผู้ควบคุมข้อมูลส่วนบุคคลภายใน 72 ชั่วโมง
จากนั้น บริษัทผู้ควบคุมข้อมูลส่วนบุคคลเมื่อได้รับแจ้งเหตุแล้ว ต้องรีบแก้ไขหรือป้องกันเหตุการณ์ที่เกิดขึ้นไม่ให้ลุกลามสร้างความเสียหายหรือเกิดผลกระทบเพิ่มเติมและต้องประเมินความเสี่ยงว่าเหตุการณ์ที่เกิดขึ้นจะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคลเพียงใด โดยพิจารณาจากลักษณะของเหตุการณ์ปริมาณข้อมูลส่วนบุคคลที่เกี่ยวข้อง รวมถึงความเสียหายที่อาจเกิดขึ้นกับเจ้าของข้อมูลส่วนบุคคล
บริษัทผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งเหตุมายัง สคส. โดยระบุลักษณะของการละเมิดและผลกระทบที่อาจเกิดขึ้นมายังสำนักงานฯ ภายใน 72 ชั่วโมงนับแต่ทราบเหตุเท่าที่จะสามารถกระทำได้ แต่หากมีเหตุจำเป็นที่ไม่สามารถแจ้งได้ภายในระยะเวลาดังกล่าว ก็ให้แจ้งโดยเร็วแต่ไม่เกิน 15 วัน และบริษัทผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งเจ้าของข้อมูลส่วนบุคคลพร้อมกับแนวทางการเยียวยา หากการละเมิดมีความเสี่ยงกระทบต่อสิทธิของบุคคลสูง
นอกจากนี้ บริษัทต้องป้องกันและทบทวนมาตรการรักษาความมั่นคงปลอดภัยระบบสารสนเทศและข้อมูลส่วนบุคคลให้แข็งแกร่ง ไม่ให้เกิดเหตุการณ์ข้อมูลส่วนบุคคลรั่วไหลอีกในอนาคต ซึ่งตามกฎหมาย PDPA ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดให้มีมาตรการป้องกันการเข้าถึง หรือเปิดเผยข้อมูลส่วนบุคคลโดยมิชอบ และต้องกำหนดเรื่องมาตรการรักษาความมั่นคงปลอดภัยไว้ในข้อตกลงระหว่างผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลด้วย
อย่างไรก็ดี สคส. มีการตรวจสอบเชิงรุกและเฝ้าระวังติดตามการฝ่าฝืนไม่ปฏิบัติตามกฎหมาย PDPA อย่างต่อเนื่อง และมีศูนย์ให้คำปรึกษาและรับเรื่องร้องเรียนสำหรับบริการและคุ้มครองสิทธิของประชาชนเพื่อสร้างความเชื่อมั่นในการบังคับใช้กฎหมาย ทั้งนี้ การฝ่าฝืนกฎหมาย PDPA และกฎหมายอื่นที่เกี่ยวข้อง อาทิ การเก็บรวบรวม การนำข้อมูลส่วนบุคคลของประชาชนออกมาเผยแพร่หรือนำมาใช้โดยมิชอบ มีโทษหนักทั้งทางแพ่ง ทางอาญา และทางปกครอง จึงขอให้ทุกภาคส่วนมีความเชื่อมั่นและปฏิบัติตามกฎหมาย PDPA อย่างเคร่งครัด
