สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) หรือ PDPC ในฐานะหน่วยงานกำกับ ดูแลการบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ กฎหมาย PDPA ได้ติดตามตรวจสอบกรณี มีผู้บุกรุกทางไซเบอร์เข้าระบบสารสนเทศของบริษัท ไอซอฟเทล (ประเทศไทย) จำกัด ซึ่งเป็นผู้ให้บริการเซอร์วิส Mobile PBX ระบบที่ทำให้โทรศัพท์มือถือทำหน้าที่เสมือนโทรศัพท์สำนักงาน ให้แก่ลูกค้านิติบุคคลของบริษัท แอดวานซ์ ไวร์เลส เน็ทเวอร์ค จำกัด หรือ เอดับบลิวเอ็น (AWN) ซึ่งอาจทำให้มีข้อมูลส่วนบุคคลรั่วไหล
ดร.ศิวรักษ์ ศิวโมกษธรรม เลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เปิดเผยถึงกรณีดังกล่าวว่า “สำนักงานฯ ได้ติดตามสถานการณ์ที่เกิดขึ้นอย่างใกล้ชิด จึงเชิญทั้งสองบริษัทมาชี้แจงให้ข้อมูลเพิ่มเติมเมื่อวันที่ 11 กันยายน 2566 พบว่า เกิดจากบริการเซอร์วิส Mobile PBX ซึ่งเป็นระบบที่ทำให้โทรศัพท์มือถือทำหน้าที่เสมือนโทรศัพท์สำนักงาน และ AWN ให้บริการดังกล่าวแก่ลูกค้าประเภทองค์กร โดยใช้ระบบของไอซอฟเทล ต่อมา
ไอซอฟเทลพบว่าระบบสารสนเทศที่ให้บริการเซอร์วิส Mobile PBX ถูกบุกรุกทางไซเบอร์และอาจมีข้อมูลส่วนบุคคลรั่วไหล จึงรายงานหน่วยงานที่เกี่ยวข้องถึงปัญหาดังกล่าว”
โดยสำนักงานฯ จึงได้กำชับให้ทั้งสองบริษัทตรวจสอบและแก้ไขปัญหาที่เกิดขึ้นอย่างละเอียด รอบคอบ และให้ปฏิบัติตามกฎหมาย PDPA อย่างเคร่งครัด บริษัทที่เกี่ยวข้องทั้งหมดต้องเข้าใจบทบาทและหน้าที่ของตนตามกฎหมาย ซึ่งตามประกาศฯ หลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล พ.ศ. 2565 กำหนดให้บริษัทที่เป็นผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่แจ้งเหตุละเมิดข้อมูลส่วนบุคคลแก่บริษัทที่เป็นผู้ควบคุมข้อมูลส่วนบุคคลภายใน 72 ชั่วโมง จากนั้น บริษัทผู้ควบคุมข้อมูลส่วนบุคคลเมื่อได้รับแจ้งเหตุแล้ว ต้องรีบแก้ไขหรือป้องกันเหตุการณ์ที่เกิดขึ้นไม่ให้ลุกลามสร้างความเสียหายหรือเกิดผลกระทบเพิ่มเติมและต้องประเมินความเสี่ยงว่าเหตุการณ์ที่เกิดขึ้นจะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคลเพียงใด โดยพิจารณาจากลักษณะของเหตุการณ์ ปริมาณข้อมูลส่วนบุคคลที่เกี่ยวข้อง รวมถึงความเสียหายที่อาจเกิดขึ้นกับเจ้าของข้อมูลส่วนบุคคล
ทั้งนี้บริษัทผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งเหตุมายัง สคส. โดยระบุลักษณะของการละเมิดและผลกระทบที่อาจเกิดขึ้นมายังสำนักงานฯ ภายใน 72 ชั่วโมงนับแต่ทราบเหตุเท่าที่จะสามารถกระทำได้ แต่หากมีเหตุจำเป็นที่ไม่สามารถแจ้งได้ภายในระยะเวลาดังกล่าว ก็ให้แจ้งโดยเร็วแต่ไม่เกิน 15 วัน และบริษัทผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งเจ้าของข้อมูลส่วนบุคคลพร้อมกับแนวทางการเยียวยา หากการละเมิดมีความเสี่ยงกระทบต่อสิทธิของบุคคลสูง
นอกจากนี้ บริษัทต้องป้องกันและทบทวนมาตรการรักษาความมั่นคงปลอดภัยระบบสารสนเทศและข้อมูลส่วนบุคคลให้แข็งแกร่ง ไม่ให้เกิดเหตุการณ์ข้อมูลส่วนบุคคลรั่วไหลอีกในอนาคต ซึ่งตามกฎหมาย PDPA ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดให้มีมาตรการป้องกันการเข้าถึง หรือเปิดเผยข้อมูลส่วนบุคคลโดยมิชอบ และต้องกำหนดเรื่องมาตรการรักษาความมั่นคงปลอดภัยไว้ในข้อตกลงระหว่างผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลด้วย”
ดร.ศิวรักษ์กล่าวอีกว่า สคส. มีการตรวจสอบเชิงรุกและเฝ้าระวังติดตามการฝ่าฝืนไม่ปฏิบัติตามกฎหมาย PDPA อย่างต่อเนื่อง และมีศูนย์ให้คำปรึกษาและรับเรื่องร้องเรียนสำหรับบริการและคุ้มครองสิทธิของประชาชน เพื่อสร้างความเชื่อมั่นในการบังคับใช้กฎหมาย ทั้งนี้ การฝ่าฝืนกฎหมาย PDPA และกฎหมายอื่นที่เกี่ยวข้อง อาทิ การเก็บรวบรวม การนำข้อมูลส่วนบุคคลของประชาชนออกมาเผยแพร่หรือนำมาใช้โดยมิชอบ มีโทษหนักทั้งทางแพ่ง ทางอาญา และทางปกครอง จึงขอให้ทุกภาคส่วนมีความเชื่อมั่นและปฏิบัติตามกฎหมาย PDPA อย่างเคร่งครัด