จากบทลงโทษ “บริษัทเอกชนรายใหญ่ของประเทศที่มีการซื้อขายสินค้าออนไลน์” ทำข้อมูลรั่วไหล เมื่อปีก่อน ส่งผลให้มีผู้ได้รับความเสียหายผ่านการใช้ข้อมูลส่วนบุคคลโดยไม่ชอบ จนเป็นข่าวในสื่อสังคมออนไลน์ ก่อนสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล จะมีคำสั่งลงวันที่ 31 กรกฎาคม 2567 โดยคำสั่งฯ ระบุ โทษทางปกครอง PDPA และค่าปรับรวมสูงถึง 7,000,000 บาท อ่านข่าวฉบับเต็ม >> ปรับจริง 7 ล้าน! ไม่ทำตาม PDPA คณะกรรมการผู้เชี่ยวชาญสั่งลงโทษทางปกครองภาคเอกชน
ล่าสุดวันที่ 1 สิงหาคม 2568 – คุณประเสริฐ จันทรรวงทอง รองนายกรัฐมนตรี และรัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ร่วมกับ พ.ต.อ.สุรพงศ์ เปล่งขำ เลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล แถลงในนามสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ลงโทษปรับ “ภาครัฐ – เอกชน” รวม 5 เรื่อง 8 คำสั่ง ในรอบปีงบประมาณ พ.ศ. 2567 ผนวกกับคำสั่งลงโทษปรับทางปกครองที่ปรับมาแล้ว 1 เรื่อง 1 คำสั่ง นับตั้งแต่มีการบังคับใช้ PDPA มามีคำสั่งลงโทษปรับทางปกครองไปแล้ว 6 เรื่อง 9 คำสั่ง มีมูลค่ารวมปรับไปแล้วทั้งสิ้นกว่า 21.5 ล้านบาท
สรุปเหตุการณ์ 5 กรณีสำคัญ จาก 8 หน่วยงาน ถูกลงโทษทางปกครอง PDPA รายละเอียดดังนี้
1. หน่วยงานรัฐถูกปรับ เหตุทำข้อมูลประชาชนรั่ว
หน่วยงานของรัฐแห่งหนึ่งให้บริการผ่าน Web Application ซึ่งว่าจ้างบริษัทแห่งหนึ่งพัฒนาระบบ แต่ละเลยมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลที่เหมาะสม ใช้รหัสผ่านอ่อนแอ ไม่มีการประเมินความเสี่ยง และไม่จัดทำข้อตกลง Data Processing Agreement (DPA) กับบริษัทพัฒนาระบบ
ผลคือ มีการเจาะระบบและนำข้อมูลประชาชนกว่า 200,000 รายไปขายใน Dark Web นำไปสู่การลงโทษปรับในครั้งนี้
โดยแบ่งการลงโทษออกเป็น 2 กรณี
1. หน่วยงานของรัฐ ในฐานะของผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ถูกลงโทษปรับ 153,120 บาท
2. บริษัทผู้พัฒนาระบบ ในฐานะผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ถูกลงโทษปรับ 153,120 บาท
2. โรงพยาบาลเอกชนทำข้อมูลเวชระเบียนหลุด เกิดเป็นกระแสถุงขนมโตเกียว
โรงพยาบาลเอกชนขนาดใหญ่ ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล (DC) ทำข้อมูลเวชระเบียนผู้ป่วยรั่วไหล แล้วเอกสารข้อมูลดังกล่าวถูกนำไปเป็นซองขนมโตเกียว เกิดเป็นข่าวในสื่อสังคมออนไลน์
ตรวจสอบพบว่า โรงพยาบาลดังกล่าวทำสัญญากับกิจการขนาดเล็กซึ่งมีลักษณะเป็นธุรกิจครอบครัวให้ทำหน้าที่ทำลายเอกสารเวชระเบียน แต่ไม่ได้มีการติดตาม ควบคุม หรือตรวจสอบกระบวนการให้เป็นไปตามมาตรฐานที่กำหนด ทำให้เอกสารเวชระเบียนกว่า 1,000 ฉบับ รั่วไหล
ในส่วนของเอกชน (บุคคลธรรมดา) ผู้รับจ้างทำลายเอกสาร ก็ได้นำเวชระเบียนผู้ป่วยที่ได้รับจากโรงพยาบาลกลับไปพักไว้ที่บ้านของตนเอง โดยไม่ได้ดำเนินการตามขั้นตอนที่ตกลงไว้ และไม่ได้แจ้งเหตุการรั่วไหลให้โรงพยาบาลทราบ จึงเข้าข่ายเป็นการไม่ปฏิบัติตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคล นำไปสู่บทลงโทษครั้งนี้
โดยแบ่งการลงโทษออกเป็น 2 กรณี
1. โรงพยาบาล ในฐานะของผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ถูกลงโทษปรับ 1,210,000 บาท
2. บุคคลธรรมดา ในฐานะผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ถูกลงโทษปรับ 16,940 บาท
3. บริษัทขายสินค้า IT ชื่อดัง ทำข้อมูลรั่ว ถูกร้องเรียนอันนำไปสู่โทษปรับกว่า 7 ล้านบาท
บริษัทขายอุปกรณ์คอมพิวเตอร์ ไม่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม ไม่แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่หน่วยงานกำกับดูแลหรือ สคส. ซึ่งเป็นหน่วยงานที่มีการเก็บรวบรวมข้อมูลส่วนบุคคลอย่างสม่ำเสมอด้วยเหตุที่มีข้อมูลส่วนบุคคลจำนวนมากแต่ไม่จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล รวม 3 ข้อหา ถูกลงโทษปรับรวม 7,000,000 บาท
4. บริษัทขายเครื่องสำอาง ทำข้อมูลรั่ว นำไปสู่กระบวนการแก๊งคอลเซ็นเตอร์ และไม่มีการเยียวยา
บริษัทขายเครื่องสำอาง ไม่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม และไม่แจ้งเหตุการละเมิดของมูลส่วนบุคคลแก่หน่วยงานกำกับดูแลหรือ สคส. รวม 2 ข้อหา ถูกลงโทษปรับรวม 2.500,000 บาท
5. บริษัทขายของเล่นสะสมระดับโลก ถูก Hacker เจาะระบบการจองสินค้า
บริษัทขายของเล่นสะสม ว่าจ้างบริษัทผู้พัฒนาระบบเพื่อใช้สำหรับจองสินค้า แต่ระบบการจองดังกล่าวถูก Hacker เจาะระบบ ตรวจสอบพบว่า ไม่มีมาตรการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศอย่างเหมาะสม แต่มีการเยียวยาผู้เสียหายซึ่งเป็นเจ้าของข้อมูลส่วนบุคคลโดยเร็ว
ส่วนของบริษัทผู้พัฒนาระบบ ซึ่งรับหน้าที่ดูแลระบบการจองของบริษัทขายของเล่นสะสมดังกล่าว ตรวจสอบพบว่า ไม่มีมาตรการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศอย่างเหมาะสม และไม่มีการตอบสนองที่รวดเร็ว และไม่มีการเยียวยาต่อผู้เสียหาย อันนำไปสู่บทลงโทษครั้งนี้
โดยแบ่งการลงโทษออกเป็น 2 กรณี
1. บริษัทขายของเล่นสะสม ในฐานะของผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ถูกลงโทษปรับ 500,000 บาท
2. บริษัทผู้พัฒนาระบบ ในฐานะผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ถูกลงโทษปรับ 3,000,000 บาท
สรุปเหตุการณ์ การลงโทษปรับทางปกครอง PDPA ในครั้งนี้
บทสรุป จาก 5 กรณีสำคัญ จาก 8 หน่วยงาน ถูกลงโทษทางปกครอง PDPA
จาก 5 กรณีนี้ เปรียบเสมือนสัญญาณที่ย้ำเตือนทั้งหน่วยงานภาครัฐ เอกชน ตลอดจนผู้ให้บริการที่เกี่ยวข้อง ควรตระหนักว่า การจัดการข้อมูลส่วนบุคคล ไม่ใช่แค่เรื่องของเอกสาร แต่คือความรับผิดชอบที่ต้องดำเนินการให้มีมาตรฐานด้านความปลอดภัย, การประเมินความเสี่ยง, การมีมาตรการรักษาความมั่นคงปลอดภัยข้อมูลที่เพียงพอ และอีกมากมาย เพื่อให้การคุ้มครองข้อมูลส่วนบุคคลของประชาชนได้รับการคุ้มครองในระดับสูงสุด ซึ่งการทำ PDPA ในองค์กรหรือหน่วยงาน จะเป็นเครื่องมือที่ช่วยแสดงถึงความโปร่งใส อันนำไปสู่ความเชื่อมั่นต่อลูกค้า, คู่ค้า, พันธมิตร, ประชาชน ตลอดจนผู้มีส่วนได้ส่วนเสียที่เกี่ยวข้องทั้งหมดอย่างมีประสิทธิภาพ และยั่งยืน
“มั่นใจได้อย่างไร ว่ารายต่อไปไม่ใช่คุณ”
เตรียมความพร้อมองค์กรด้าน PDPA & DPO ด้วยบริการจาก PDPA Thailand
ครอบคลุมการให้คำปรึกษา สอบทาน ฝึกอบรม และเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล สอบถามโทร 081-632-5918 หรือ Line: @pdpathailand
