Pichitchai Sangnak

[post-views]

Pichitchai Sangnak
Pichitchai Sangnak
โทษปรับ ลงโทษ PDPA 2568
จากบทลงโทษ “บริษัทเอกชนรายใหญ่ของประเทศที่มีการซื้อขายสินค้าออนไลน์” ทำข้อมูลรั่วไหล เมื่อปีก่อน ส่งผลให้มีผู้ได้รับความเสียหายผ่านการใช้ข้อมูลส่วนบุคคลโดยไม่ชอบ จนเป็นข่าวในสื่อสังคมออนไลน์ ก่อนสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล จะมีคำสั่งลงวันที่ 31 กรกฎาคม 2567  โดยคำสั่งฯ ระบุ โทษทางปกครอง PDPA และค่าปรับรวมสูงถึง 7,000,000 บาท อ่านข่าวฉบับเต็ม >> ปรับจริง 7 ล้าน! ไม่ทำตาม PDPA คณะกรรมการผู้เชี่ยวชาญสั่งลงโทษทางปกครองภาคเอกชน
ล่าสุดวันที่ 1 สิงหาคม 2568 – คุณประเสริฐ จันทรรวงทอง รองนายกรัฐมนตรี และรัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ร่วมกับ พ.ต.อ.สุรพงศ์ เปล่งขำ เลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล แถลงในนามสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ลงโทษปรับ “ภาครัฐ – เอกชน” รวม 5 เรื่อง 8 คำสั่ง ในรอบปีงบประมาณ พ.ศ. 2567 ผนวกกับคำสั่งลงโทษปรับทางปกครองที่ปรับมาแล้ว 1 เรื่อง 1 คำสั่ง นับตั้งแต่มีการบังคับใช้ PDPA มามีคำสั่งลงโทษปรับทางปกครองไปแล้ว 6 เรื่อง 9 คำสั่ง มีมูลค่ารวมปรับไปแล้วทั้งสิ้นกว่า 21.5 ล้านบาท

สรุปเหตุการณ์ 5 กรณีสำคัญ จาก 8 หน่วยงาน ถูกลงโทษทางปกครอง PDPA รายละเอียดดังนี้


1. หน่วยงานรัฐถูกปรับ เหตุทำข้อมูลประชาชนรั่ว
     หน่วยงานของรัฐแห่งหนึ่งให้บริการผ่าน Web Application ซึ่งว่าจ้างบริษัทแห่งหนึ่งพัฒนาระบบ แต่ละเลยมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลที่เหมาะสม ใช้รหัสผ่านอ่อนแอ ไม่มีการประเมินความเสี่ยง และไม่จัดทำข้อตกลง Data Processing Agreement (DPA) กับบริษัทพัฒนาระบบ
ผลคือ มีการเจาะระบบและนำข้อมูลประชาชนกว่า 200,000 รายไปขายใน Dark Web นำไปสู่การลงโทษปรับในครั้งนี้
โดยแบ่งการลงโทษออกเป็น 2 กรณี
1. หน่วยงานของรัฐ ในฐานะของผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ถูกลงโทษปรับ 153,120 บาท
2. บริษัทผู้พัฒนาระบบ ในฐานะผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ถูกลงโทษปรับ 153,120 บาท

2. โรงพยาบาลเอกชนทำข้อมูลเวชระเบียนหลุด เกิดเป็นกระแสถุงขนมโตเกียว
     โรงพยาบาลเอกชนขนาดใหญ่ ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล (DC) ทำข้อมูลเวชระเบียนผู้ป่วยรั่วไหล แล้วเอกสารข้อมูลดังกล่าวถูกนำไปเป็นซองขนมโตเกียว เกิดเป็นข่าวในสื่อสังคมออนไลน์ 
ตรวจสอบพบว่า โรงพยาบาลดังกล่าวทำสัญญากับกิจการขนาดเล็กซึ่งมีลักษณะเป็นธุรกิจครอบครัวให้ทำหน้าที่ทำลายเอกสารเวชระเบียน แต่ไม่ได้มีการติดตาม ควบคุม หรือตรวจสอบกระบวนการให้เป็นไปตามมาตรฐานที่กำหนด ทำให้เอกสารเวชระเบียนกว่า 1,000 ฉบับ รั่วไหล
ในส่วนของเอกชน (บุคคลธรรมดา) ผู้รับจ้างทำลายเอกสาร ก็ได้นำเวชระเบียนผู้ป่วยที่ได้รับจากโรงพยาบาลกลับไปพักไว้ที่บ้านของตนเอง โดยไม่ได้ดำเนินการตามขั้นตอนที่ตกลงไว้ และไม่ได้แจ้งเหตุการรั่วไหลให้โรงพยาบาลทราบ จึงเข้าข่ายเป็นการไม่ปฏิบัติตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคล นำไปสู่บทลงโทษครั้งนี้
โดยแบ่งการลงโทษออกเป็น 2 กรณี
1. โรงพยาบาล ในฐานะของผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ถูกลงโทษปรับ 1,210,000 บาท
2. บุคคลธรรมดา ในฐานะผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ถูกลงโทษปรับ 16,940 บาท

3. บริษัทขายสินค้า IT ชื่อดัง ทำข้อมูลรั่ว ถูกร้องเรียนอันนำไปสู่โทษปรับกว่า 7 ล้านบาท
     บริษัทขายอุปกรณ์คอมพิวเตอร์ ไม่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม ไม่แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่หน่วยงานกำกับดูแลหรือ สคส. ซึ่งเป็นหน่วยงานที่มีการเก็บรวบรวมข้อมูลส่วนบุคคลอย่างสม่ำเสมอด้วยเหตุที่มีข้อมูลส่วนบุคคลจำนวนมากแต่ไม่จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล รวม 3 ข้อหา ถูกลงโทษปรับรวม 7,000,000 บาท

4. บริษัทขายเครื่องสำอาง ทำข้อมูลรั่ว นำไปสู่กระบวนการแก๊งคอลเซ็นเตอร์ และไม่มีการเยียวยา
     บริษัทขายเครื่องสำอาง ไม่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม และไม่แจ้งเหตุการละเมิดของมูลส่วนบุคคลแก่หน่วยงานกำกับดูแลหรือ สคส. รวม 2 ข้อหา ถูกลงโทษปรับรวม 2.500,000 บาท

5. บริษัทขายของเล่นสะสมระดับโลก ถูก Hacker เจาะระบบการจองสินค้า
     บริษัทขายของเล่นสะสม ว่าจ้างบริษัทผู้พัฒนาระบบเพื่อใช้สำหรับจองสินค้า แต่ระบบการจองดังกล่าวถูก Hacker เจาะระบบ ตรวจสอบพบว่า ไม่มีมาตรการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศอย่างเหมาะสม แต่มีการเยียวยาผู้เสียหายซึ่งเป็นเจ้าของข้อมูลส่วนบุคคลโดยเร็ว
ส่วนของบริษัทผู้พัฒนาระบบ ซึ่งรับหน้าที่ดูแลระบบการจองของบริษัทขายของเล่นสะสมดังกล่าว ตรวจสอบพบว่า ไม่มีมาตรการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศอย่างเหมาะสม และไม่มีการตอบสนองที่รวดเร็ว และไม่มีการเยียวยาต่อผู้เสียหาย อันนำไปสู่บทลงโทษครั้งนี้
โดยแบ่งการลงโทษออกเป็น 2 กรณี
1. บริษัทขายของเล่นสะสม ในฐานะของผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ถูกลงโทษปรับ 500,000 บาท
2. บริษัทผู้พัฒนาระบบ ในฐานะผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ถูกลงโทษปรับ 3,000,000 บาท
สรุปเหตุการณ์ การลงโทษปรับทางปกครอง PDPA ในครั้งนี้
ลงโทษ ปรับ PDPA
บทสรุป จาก 5 กรณีสำคัญ จาก 8 หน่วยงาน ถูกลงโทษทางปกครอง PDPA
     จาก 5 กรณีนี้ เปรียบเสมือนสัญญาณที่ย้ำเตือนทั้งหน่วยงานภาครัฐ เอกชน ตลอดจนผู้ให้บริการที่เกี่ยวข้อง ควรตระหนักว่า การจัดการข้อมูลส่วนบุคคล ไม่ใช่แค่เรื่องของเอกสาร แต่คือความรับผิดชอบที่ต้องดำเนินการให้มีมาตรฐานด้านความปลอดภัย, การประเมินความเสี่ยง, การมีมาตรการรักษาความมั่นคงปลอดภัยข้อมูลที่เพียงพอ และอีกมากมาย เพื่อให้การคุ้มครองข้อมูลส่วนบุคคลของประชาชนได้รับการคุ้มครองในระดับสูงสุด ซึ่งการทำ PDPA ในองค์กรหรือหน่วยงาน จะเป็นเครื่องมือที่ช่วยแสดงถึงความโปร่งใส อันนำไปสู่ความเชื่อมั่นต่อลูกค้า, คู่ค้า, พันธมิตร, ประชาชน ตลอดจนผู้มีส่วนได้ส่วนเสียที่เกี่ยวข้องทั้งหมดอย่างมีประสิทธิภาพ และยั่งยืน
 

“มั่นใจได้อย่างไร ว่ารายต่อไปไม่ใช่คุณ”

เตรียมความพร้อมองค์กรด้าน PDPA & DPO ด้วยบริการจาก PDPA Thailand
ครอบคลุมการให้คำปรึกษา สอบทาน ฝึกอบรม และเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล สอบถามโทร 081-632-5918  หรือ Line: @pdpathailand

 

รับชมแถลงการฉบับเต็ม คลิก >> https://www.facebook.com/pdpc.th/videos/4315039248821870
dpo in action อบรม pdpa dpo
DPOinActionรุ่น19 1200x300