ดีอีเอส – สคส. ฟันไม่เลี้ยง! สั่งปรับ 21.5 ล้านบาท ข้อมูลส่วนบุคคลรั่ว

กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส) และ สคส. แถลงผลงานบังคับใช้กฎหมาย PDPA อย่างจริงจัง สั่งปรับหน่วยงานรัฐ-เอกชนรวมกว่า 21.5 ล้านบาท ฐานทำข้อมูลประชาชนรั่วไหล โดยไม่เว้นทั้งภาครัฐและเอกชน พร้อมประกาศกร้าวเดินหน้าสู่เป้าหมาย “ข้อมูลรั่วไหลต้องเป็นศูนย์” สร้างวัฒนธรรมองค์กรใหม่ด้านความปลอดภัยข้อมูล และทลายแก๊งคอลเซ็นเตอร์ที่ต้นตอ

กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) และสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ได้จัดการแถลงข่าวครั้งสำคัญ เพื่อประกาศผลการดำเนินมาตรการลงโทษทางปกครองต่อหน่วยงานที่ฝ่าฝืน พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ซึ่งสะท้อนให้เห็นถึงความมุ่งมั่นของรัฐบาลในการปกป้องสิทธิของประชาชนอย่างเป็นรูปธรรม

นายประเสริฐ จันทรรวงทอง รองนายกรัฐมนตรีและรัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) กล่าวว่า “ประเทศไทยได้บังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯ มาระยะหนึ่งแล้ว ซึ่งเป็นกฎหมายที่สำคัญอย่างยิ่งในการคุ้มครองสิทธิของประชาชนในยุคดิจิทัล รัฐบาลจึงให้ความสำคัญกับการผลักดันกลไกการบังคับใช้กฎหมายให้เกิดผลเป็นรูปธรรม โดยเฉพาะกับหน่วยงานที่ไม่จัดให้มีมาตรการรักษาความปลอดภัยที่เหมาะสม การลงโทษครั้งนี้ถือเป็นหมุดหมายสำคัญที่ทุกหน่วยงานต้องตระหนักว่า การคุ้มครองข้อมูลส่วนบุคคลไม่ใช่เพียงเรื่องของการบริหารจัดการภายใน แต่เป็นเรื่องของความรับผิดชอบต่อสิทธิขั้นพื้นฐานของประชาชน และเป็นข้อบังคับที่ต้องปฏิบัติตามอย่างเคร่งครัด ไม่มีเว้นทั้งหน่วยงานภาครัฐและภาคเอกชน”

นับตั้งแต่มีการบังคับใช้กฎหมาย PDPA อย่างเต็มรูปแบบ สคส. ได้มีคำสั่งลงโทษปรับทางปกครองไปแล้วทั้งสิ้น 6 เรื่อง 9 คำสั่ง คิดเป็นมูลค่าค่าปรับรวมกว่า 21.5 ล้านบาท โดยในรอบปีงบประมาณ พ.ศ. 2567 ได้มีคำสั่งลงโทษไปแล้ว 1 เรื่อง 1 คำสั่ง และล่าสุดในรอบปีงบประมาณ พ.ศ. 2568 ได้มีคำสั่งลงโทษเพิ่มอีก 5 เรื่อง 8 คำสั่ง กับหน่วยงานที่ฝ่าฝืน

เจาะลึก 5 คดีดัง บทเรียนราคาแพงที่ทุกองค์กรต้องจดจำ

พ.ต.อ. สุรพงศ์ เปล่งขำ เลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เปิดเผยว่า การลงโทษทั้ง 5 กรณีล่าสุด ถือเป็นอุทาหรณ์สำคัญที่ทุกภาคส่วนต้องเร่งปรับตัว

1. หน่วยงานรัฐถูกแฮก ข้อมูลกว่า 2 แสนราย ถูกขายใน DARK Web: หน่วยงานของรัฐที่ให้บริการผ่านระบบออนไลน์ (Web App) ถูกโจมตีทางไซเบอร์ ทำให้ข้อมูลประชาชนกว่า 200,000 รายชื่อ ถูกนำไปประกาศขายใน DARK Web จากการตรวจสอบพบว่าสาเหตุเกิดจากการใช้รหัสผ่านที่อ่อนแอ, ไม่มีการประเมินความเสี่ยงอย่างต่อเนื่อง และที่สำคัญคือการละเลยที่จะทำ ข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement) กับบริษัทผู้พัฒนาระบบ ส่วนบริษัทผู้พัฒนาระบบก็ขาดการออกแบบมาตรการความปลอดภัยที่รัดกุมตั้งแต่ต้น คณะกรรมการผู้เชี่ยวชาญจึงมีคำสั่ง ปรับทั้งหน่วยงานรัฐและบริษัทผู้พัฒนารายละ 153,120 บาท
2. โรงพยาบาลเอกชนทำเวชระเบียนหลุด กลายเป็นถุงขนมโตเกียว: เกิดเหตุการณ์ที่น่าตกใจเมื่อมีการพบ ถุงขนมโตเกียวที่ทำจากเอกสารเวชระเบียนของผู้ป่วย เผยแพร่ผ่านโซเชียลมีเดีย จากการตรวจสอบพบว่ามีเอกสารข้อมูลสุขภาพซึ่งเป็นข้อมูลอ่อนไหวตามมาตรา 26 รั่วไหลออกไปกว่า 1,000 ฉบับ สาเหตุเกิดจากการที่โรงพยาบาลจ้างกิจการขนาดเล็ก (ธุรกิจครอบครัว) ให้ทำลายเอกสาร แต่ไม่ได้ควบคุมหรือตรวจสอบกระบวนการให้เป็นไปตามมาตรฐาน คณะกรรมการผู้เชี่ยวชาญจึงมีมติ ลงโทษปรับโรงพยาบาลเป็นเงิน 1,210,000 บาท และ ปรับบุคคลธรรมดาผู้รับจ้างทำลายเอกสารอีก 16,940 บาท
3. บริษัทคอมพิวเตอร์ยักษ์ใหญ่ โดนปรับ 7 ล้านบาท: หน่วยงานขายเครื่องและอุปกรณ์คอมพิวเตอร์ ถูกลงโทษปรับเป็นเงินสูงถึง 7,000,000 บาท จาก 3 ข้อหาหนัก ได้แก่ ไม่จัดให้มีมาตรการรักษาความปลอดภัยที่เหมาะสม, ไม่แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่ สคส.และที่สำคัญคือ ไม่มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ทั้งที่เป็นหน่วยงานที่มีการเก็บข้อมูลลูกค้าจำนวนมากอย่างสม่ำเสมอ
4. บริษัทเครื่องสำอาง ไม่แจ้งเหตุ-ไม่ป้องกัน: ถูกปรับเป็นเงิน 2,500,000 บาท จาก 2 ข้อหา คือ ไม่จัดให้มีมาตรการรักษาความปลอดภัยที่เหมาะสม และไม่แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่ สคส. ตามกฎหมาย
5. บริษัทของเล่นสะสม บทเรียนของผู้ควบคุมและผู้ประมวลผล: กรณีนี้คณะกรรมการผู้เชี่ยวชาญได้สั่ง ปรับหน่วยงานผู้ควบคุมข้อมูลส่วนบุคคล (บริษัทของเล่น) 500,000 บาท และ ลงโทษปรับหน่วยงานผู้ประมวลผลข้อมูลส่วนบุคคล 3,000,000 บาท ฐานไม่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม

พ.ต.อ. สุรพงศ์ เปล่งขำ กล่าวสรุปว่า “5 กรณีนี้ถือเป็นสัญญาณชัดเจนถึงทุกภาคส่วนว่า การจัดการข้อมูลส่วนบุคคลไม่ใช่เพียงเรื่องของเทคนิคหรือเอกสาร แต่คือความรับผิดชอบที่ต้องมีมาตรฐานด้านความปลอดภัย การประเมินความเสี่ยงอย่างสม่ำเสมอ และกลไกการกำกับติดตามที่โปร่งใส”

3 แนวทางหลัก มุ่งสู่ “Zero Data Leakage” และยกระดับความเชื่อมั่น

นายประเสริฐย้ำว่าเป้าหมายของรัฐบาลคือ “ข้อมูลรั่วไหลต้องเป็นศูนย์” ซึ่งต้องเกิดจากการปรับระบบคิดและการสร้างวัฒนธรรมองค์กร โดยในระยะต่อไป กระทรวงดีอีเอสจะร่วมกับ สคส. และภาคีเครือข่าย ดำเนินการ 3 ด้านหลัก ได้แก่:

1. ส่งเสริมให้ทุกองค์กรมี DPO อย่างเป็นระบบ
2. พัฒนามาตรฐานความมั่นคงปลอดภัยของระบบสารสนเทศที่ทันสมัย
3. รณรงค์สร้างความรู้ความเข้าใจแก่ประชาชนให้รู้เท่าทันสิทธิของตนเอง

ทาง สคส. ยืนยันว่ากำลังอยู่ระหว่างการพิจารณากรณีอื่น ๆ อีกจำนวนมาก และจะเร่งดำเนินการตามกฎหมายอย่างเคร่งครัด เพื่อผลักดันให้เป้าหมาย “ข้อมูลรั่วไหลต้องเป็นศูนย์” กลายเป็นเป้าหมายสำคัญของทุกองค์กรในสังคมไทย

กรณี World App กับข้อมูลม่านตา: สคส. จับตาไม่กระพริบ

นอกเหนือจากประเด็นการลงโทษข้างต้น ในการแถลงข่าวยังมีการหยิบยกกรณี “World App” ที่มีการให้ผลตอบแทนเพื่อแลกกับการสแกนม่านตา ซึ่งถือเป็น ข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Personal Data) สคส. ได้ให้ความเห็นว่ากำลังจับตาและตรวจสอบเรื่องดังกล่าวอย่างใกล้ชิด เนื่องจากเกี่ยวข้องกับสิทธิความเป็นส่วนตัวและการขอความยินยอมที่ต้องเป็นไปตามกฎหมาย PDPA แม้จะเป็นบริษัทข้ามชาติ แต่หากมีการดำเนินการในประเทศไทย สคส. ก็มีอำนาจในการเข้าไปตรวจสอบเพื่อให้ความเป็นธรรมกับประชาชน โดยจะพิจารณาอย่างรอบคอบเพื่อไม่ให้เป็นการขัดขวางนวัตกรรมและเทคโนโลยีใหม่ๆ

หากประชาชนหรือผู้ประกอบการมีข้อสงสัยเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล หรือต้องการแจ้งเหตุอันอาจละเมิดสิทธิ สามารถติดต่อ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ได้ที่เบอร์โทรศัพท์ 02-111-8800 หรือทางอีเมล [email protected]

#PDPA #คุ้มครองข้อมูลส่วนบุคคล #สคส #PDPC #กระทรวงดีอีเอส #DataLeakage #ข้อมูลรั่ว #CyberSecurity #กฎหมายPDPA #เศรษฐกิจดิจิทัล #ZeroDataLeakage #ค่าปรับPDPA