สำนักงาน กสทช. มีหนังสือแจ้งทรูให้รับผิดชอบและเยียวยาความเสียหายที่เกิดขึ้นต่อผู้ใช้บริการทั้งทางแพ่งและอาญา กรณีข้อมูลบัตรประชาชนลูกค้าหลุด พร้อมกำชับโอเปอเรเตอร์รายอื่นต้องจัดให้มีมาตรการป้องและรักษาความปลอดภัยของข้อมูลผู้ใช้บริการ
จากกรณีที่ สำนักงาน กสทช.ได้เชิญผู้ที่เกี่ยวข้องกับกรณีที่ปรากฏข่าวผ่านสื่อสารมวลชนว่า ทรูมูฟ เอช ทำข้อมูลบัตรประชาชนลูกค้าหลุดเป็นจำนวนมาก มาชี้แจงข้อเท็จจริง ณ สำนักงาน กสทช. เมื่อวานนี้ (17 เม.ย. 2561)
ฐากร ตัณฑสิทธิ์ เลขาธิการคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ (เลขาธิการ กสทช.) เปิดเผยว่า กสทช. ได้มีหนังสือถึงบริษัท เรียล มูฟ จำกัด ให้ปฏิบัติตามประกาศคณะกรรมการกิจการโทรคมนาคมแห่งชาติ เรื่อง มาตรการคุ้มครองสิทธิของผู้ใช้บริการโทรคมนาคมเกี่ยวกับข้อมูลส่วนบุคคล สิทธิในความเป็นส่วนตัว และเสรีภาพในการสื่อสารถึงกันโดยทางโทรคมนาคม โดยอาศัยอำนาจตามมาตรา 64 แห่ง พ.ร.บ.การประกอบกิจการโทรคมนาคม พ.ศ. 2544 มีคำสั่งให้ บริษัทฯ ระงับการกระทำที่ฝ่าฝืน แก้ไขปรับปรุง และปฏิบัติให้ถูกต้องเหมาะสม ในเรื่องดังต่อไปนี้
1. ต้องใมีมาตรการป้องกันและรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลทั้งทางด้านเทคนิคและการจัดการภายในองค์กรในรูปแบบที่เหมาะสมกับบริการโทรศัพท์เคลื่อนที่ โดยอย่างน้อยต้องปรับระดับรักษาความปลอดภัยให้เหมาะสมกับความเสี่ยงที่เกิดขึ้นตามการพัฒนาทางเทคโนโลยี และให้มีการตรวจสอบระบบการรักษาความปลอดภัยจากผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูล
2. จัดให้มีช่องทางการตรวจสอบจากประชาชนที่อาจได้รับผลกระทบ โดยไม่คิดค่าใช้จ่าย
3. ให้ บจ. เรียล มูฟฯ รับผิดชอบและเยียวยาความเสียหายที่เกิดขึ้นต่อผู้ใช้บริการที่ได้รับผลกระทบ ทั้งความเสียหายที่เกิดขึ้นในทางแพ่งและทางอาญา
4. ให้รายงานผลการดำเนินการตามคำสั่งตามข้อ 1. 2. และ 3. มายังสำนักงาน กสทช. ภายใน 7 วัน นับแต่วันที่ได้รับหนังสือฉบับนี้ และรายงานความคืบหน้าในการดำเนินการตามคำสั่งนี้เป็นระยะๆ ทุก 15 วัน
หาก บจ. เรียล มูฟฯ ไม่ดำเนินการตามคำสั่งนี้ เลขาธิการ กสทช. จะใช้มาตรการบังคับทางปกครองกำหนดค่าปรับทางปกครองตามกฎหมายไม่ต่ำกว่าสองหมื่นบาทต่อวัน ตามมาตรา 66 แห่ง พ.ร.บ.การประกอบกิจการโทรคมนาคม พ.ศ. 2544
แต่หาก บจ. เรียล มูฟฯ มีสิทธิโต้แย้งคำสั่ง ดังกล่าวได้โดยยื่นอุทธรณ์ต่อ กสทช. ภายในระยะเวลา 15 วัน นับแต่วันที่ได้รับหนังสือฉบับนี้ ตามมาตรา 65 แห่ง พ.ร.บ.การประกอบกิจการโทรคมนาคม พ.ศ. 2544
นอกจากนี้ กสทช. ได้มีหนังสือถึงผู้ให้บริการโทรศัพท์เคลื่อนที่รายอื่นๆ ว่า ต้องจัดให้มีมาตรการป้องกันและรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ทั้งทางด้านเทคนิคและการจัดการภายในองค์กรในรูปแบบที่เหมาะสมกับแต่ละบริการโทรคมนาคม ตามข้อ 10 ของประกาศ กทช. อย่างเคร่งครัด
หากเกิดกรณีที่ไม่เป็นไปตามที่ประกาศกำหนด ผู้รับใบอนุญาตต้องควบคุมดูแลให้ระงับการกระทำที่ฝ่าฝืน หรือแก้ไขปรับปรุงหรือปฏิบัติตามให้ถูกต้องเหมาะสม และผู้รับใบอนุญาตต้องผูกพันในการดำเนินการใด ๆ ของบุคคลดังกล่าวเสมือนว่าผู้รับใบอนุญาตเป็นผู้ดำเนินการด้วยตนเอง ตามข้อ 18 ของประกาศดังกล่าวกำหนดไว้.