สคส. ฟัน 6 เคสผิดกฎหมาย PDPA ปรับรวมกว่า 21.5 ล้านบาท โดนทั้งหน่วยงานรัฐและเอกชน

สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ภายใต้การกำกับของกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) แถลงผลการดำเนินมาตรการลงโทษทางปกครองตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) อย่างเป็นทางการ โดยได้สั่งปรับหน่วยงานทั้งภาครัฐและเอกชนที่ละเมิดกฎหมายไปแล้ว รวม 6 เรื่อง 9 คำสั่ง คิดเป็นมูลค่ารวมกว่า 21.5 ล้านบาท ย้ำชัด รัฐบาลเอาจริงกับการปกป้องข้อมูลส่วนบุคคลของประชาชน โดยมีเป้าหมายสูงสุดคือ “ข้อมูลรั่วไหลต้องเป็นศูนย์”

นายประเสริฐ จันทรรวงทอง รองนายกรัฐมนตรีและรัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) เน้นย้ำว่า กฎหมาย PDPA มีความสำคัญอย่างยิ่งต่อการคุ้มครองสิทธิของประชาชนในยุคดิจิทัล และรัฐบาลมีความมุ่งมั่นที่จะบังคับใช้กฎหมายฉบับนี้อย่างจริงจัง โดยเฉพาะกับหน่วยงานทั้งภาครัฐและเอกชนที่เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลจำนวนมาก แต่กลับไม่มีมาตรการรักษาความปลอดภัยที่เพียงพอ ซึ่งอาจเป็นช่องทางให้มิจฉาชีพนำข้อมูลไปหลอกลวงประชาชนได้

สรุปภาพรวมคำสั่งปรับทางปกครอง:

• รอบปีงบประมาณ พ.ศ. 2567: มีคำสั่งลงโทษปรับทางปกครอง 1 เรื่อง 1 คำสั่ง เป็น บริษัทเอกชนแห่งหนึ่ง ซึ่งถูกปรับไป 7 ล้านบาท
• รอบปีงบประมาณ พ.ศ. 2568: มีคำสั่งลงโทษปรับทางปกครองเพิ่มเติม 5 เรื่อง 8 คำสั่ง ซึ่งครอบคลุมทั้งหน่วยงานภาครัฐและเอกชน

กรณีสำคัญที่ถูกสั่งปรับในรอบปีงบประมาณ พ.ศ. 2568

1. กรณีหน่วยงานรัฐถูกโจมตีทางไซเบอร์

• หน่วยงานของรัฐแห่งหนึ่ง (ผู้ควบคุมข้อมูลส่วนบุคคล)ให้บริการออนไลน์ ถูกโจมตีทำให้ข้อมูลส่วนบุคคลกว่า 200,000 ราย รั่วไหลเข้าสู่ Dark Web
  • สาเหตุเกิดจาก ขาดมาตรการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศที่ไม่เหมาะสม ใช้รหัสผ่านที่อ่อนแอ, ไม่มีการประเมินความเสี่ยงและทบทวนมาตรการอย่างต่อเนื่อง, และ ละเลยการทำข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement หรือ DPA) กับบริษัทผู้พัฒนาระบบ
  • มีมูลค่าปรับ: 153,120 บาท
• บริษัทผู้พัฒนาระบบ (ผู้ประมวลผลข้อมูลส่วนบุคคล)
  • สาเหตุ: ไม่ได้ออกแบบมาตรการรักษาความมั่นคงปลอดภัยตั้งแต่เริ่มต้น, ขาดระบบควบคุมการเข้าถึงข้อมูล, ไม่มีการประเมินความเสี่ยง, และไม่ได้ดำเนินการใดๆ เพื่อป้องกันความเสี่ยงจากการรั่วไหลของข้อมูล แม้จะไม่ได้มีข้อตกลง DPA กับหน่วยงานรัฐ
  • มูลค่าปรับ: 153,120 บาท

2. กรณีโรงพยาบาลเอกชนทำข้อมูลเวชระเบียนผู้ป่วยหลุด

• โรงพยาบาลเอกชนขนาดใหญ่แห่งหนึ่ง (ผู้ควบคุมข้อมูลส่วนบุคคล): ปล่อยให้เอกสารเวชระเบียนของผู้ป่วยกว่า 1,000 ฉบับ หลุดออกไปในขั้นตอนการทำลายเอกสาร ซึ่งปรากฏภาพถุงขนมโตเกียวที่ทำจากเอกสารเวชระเบียนของผู้ป่วย ถูกเผยแพร่ผ่านโซเชียลมีเดีย
  • สาเหตุ: ไม่ได้ติดตาม ควบคุม หรือตรวจสอบกระบวนการทำลายเอกสารให้เป็นไปตามมาตรฐานที่กำหนด, และไม่ได้ลบหรือทำลายข้อมูลสุขภาพซึ่งเป็นข้อมูลอ่อนไหวตามกฎหมายอย่างถูกต้อง
  • มูลค่าปรับ: 1,210,000 บาท
• บุคคลธรรมดาผู้รับจ้างทำลายเอกสาร (ผู้ประมวลผลข้อมูลส่วนบุคคล):
  • สาเหตุ: นำเวชระเบียนที่ได้รับจากโรงพยาบาลกลับไปเก็บไว้ที่บ้านของตนเอง โดยไม่ดำเนินการตามขั้นตอนที่ตกลงไว้, ไม่แจ้งเหตุการรั่วไหลให้โรงพยาบาลทราบ, และมีการนำเอกสารไปใช้ประโยชน์อื่น เช่น ทำถุงห่อขนม
  • มูลค่าปรับ: 16,940 บาท

3. กรณีบริษัทขายคอมพิวเตอร์ขนาดใหญ่

• บริษัทขายคอมพิวเตอร์ขนาดใหญ่ (ผู้ควบคุมข้อมูลส่วนบุคคล):
  • สาเหตุ: ไม่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม, ไม่แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่ สคส. ตามกฎหมาย, และ ไม่มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) แม้จะเป็นหน่วยงานที่เก็บรวบรวมข้อมูลส่วนบุคคลจำนวนมากและสม่ำเสมอ (มีปัญหากับแก๊ง Call Center และพนักงานภายในองค์กรไม่ดูแล, มีประชาชนร้องเรียนเข้ามาหลายร้อยราย และไม่ได้เยียวยาผู้เสียหายตามกำหนด)
  • มูลค่าปรับ: 7,000,000 บาท

4. กรณีบริษัทขายเครื่องสำอาง

• บริษัทขายเครื่องสำอาง (ผู้ควบคุมข้อมูลส่วนบุคคล):
  • สาเหตุ: ไม่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม และ ไม่แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่ สคส. ตามกฎหมาย (มีปัญหามาจากแก๊ง Call Center และมีการเยียวยาผู้เสียหาย ซึ่งเป็นปัจจัยหนึ่งที่ทำให้ค่าปรับลดลง)
  • มูลค่าปรับ: 2,500,000 บาท

5. กรณีบริษัทขายของเล่นสะสม

• บริษัทขายของเล่นสะสมยี่ห้อดัง (ผู้ควบคุมข้อมูลส่วนบุคคล):
  • สาเหตุ: ไม่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม (ระบบถูกแฮกเกอร์โจมตี แต่มีการเยียวยาประชาชนที่ได้รับผลกระทบอย่างรวดเร็ว)
  • มูลค่าปรับ: 500,000 บาท
• ผู้ประมวลผลข้อมูลส่วนบุคคล (บริษัทที่รับจ้างทำระบบคอมพิวเตอร์):
  • สาเหตุ: ละเลยในการปล่อยให้แฮกเกอร์เข้าไประบบได้ถึง 10 นาที ซึ่งทำให้ข้อมูลลูกค้าประมาณ 10 ล้านรายการถูกแก้ไขไปกว่า 200,000 รายการ, ไม่มีการแจ้งเหตุการละเมิดข้อมูล จนประชาชนผู้เสียหายต้องเป็นฝ่ายแจ้งเข้ามา, และ ไม่มีการเยียวยาผู้เสียหาย
  • มูลค่าปรับ: 3,000,000 บาท

มาตรการหลังจากนี้และบทเรียนสำหรับองค์กร

กระทรวงดีอีจะร่วมกับ สคส. และภาคีเครือข่าย ดำเนินการใน 3 ด้านหลัก ได้แก่ ส่งเสริมการมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) อย่างเป็นระบบในทุกองค์กร, พัฒนามาตรฐานความมั่นคงปลอดภัยของระบบสารสนเทศให้ทันสมัยและมีการตรวจสอบสม่ำเสมอ, และ รณรงค์สร้างความรู้ความเข้าใจแก่ประชาชนให้ตระหนักถึงสิทธิ์ของตนเอง

สคส. ย้ำว่า การจัดการข้อมูลส่วนบุคคลไม่ใช่แค่เรื่องของเทคนิคหรือเอกสาร แต่คือ ความรับผิดชอบที่ต้องมีมาตรฐานด้านความมั่นคงปลอดภัย การประเมินความเสี่ยงอย่างสม่ำเสมอ และกลไกการกำกับติดตามที่โปร่งใส เพื่อป้องกันความเสียหายต่อสิทธิของประชาชน

หากหน่วยงานใดถูกสั่งปรับ จะต้องชำระค่าปรับภายใน 30 วันนับแต่ได้รับคำสั่ง และต้องแก้ไขระบบที่ถูกแฮกด้วย หากไม่ดำเนินการ คณะกรรมการผู้เชี่ยวชาญอาจใช้อำนาจตามมาตรา 89 ในการปรับวันละ 500,000 บาท ทั้งนี้ สคส. ให้ความสำคัญกับการเยียวยาผู้เสียหายเป็นอันดับแรก ซึ่งเป็นปัจจัยหนึ่งในการพิจารณาค่าปรับ

ประชาชนหรือผู้ประกอบการที่มีข้อสงสัยเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล หรือต้องการแจ้งเหตุอันอาจละเมิดสิทธิ สามารถติดต่อ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) โทร. 02-111-8800 หรือทางอีเมล [email protected] เพื่อร่วมกันสร้างมาตรฐานการปกป้องข้อมูลส่วนบุคคลของประเทศให้เป็นไปตามเป้าหมาย “ข้อมูลรั่วไหลเป็นศูนย์”