Pichitchai Sangnak

4

Pichitchai Sangnak
Pichitchai Sangnak
ลงโทษปรับ PDPA กกต.
คำสั่งของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ที่ลงโทษปรับทางปกครองสำนักงานคณะกรรมการการเลือกตั้ง (กกต.) จากกรณีข้อมูลผู้สมัคร สว. รั่วไหล ถือเป็นกรณีศึกษาสำคัญที่สะท้อนบทเรียนหลายประการต่อสังคม หน่วยงานรัฐ และองค์กรต่างๆ ดังนี้ครับ:

1. หน่วยงานรัฐ “ต้อง” รับผิดชอบตามกฎหมาย PDPA อย่างเคร่งครัด

กรณีนี้ชี้ให้เห็นชัดเจนว่า กฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA) บังคับใช้กับทุกองค์กรไม่เว้นแม้แต่ “หน่วยงานของรัฐ” อย่าง กกต. ซึ่งมีสถานะเป็น “ผู้ควบคุมข้อมูลส่วนบุคคล”
บทเรียน: แม้จะเป็นหน่วยงานระดับชาติที่มีหน้าที่ตามรัฐธรรมนูญ แต่หากละเลยมาตรการรักษาความปลอดภัยข้อมูลส่วนบุคคล ก็จะถูกตรวจสอบและลงโทษ “ปรับทางปกครอง” ได้จริง ซึ่งในกรณีนี้ กกต. ถูกสั่งปรับเป็นเงินจำนวน 335,000 บาท

2. การส่งข้อมูลที่มีความเป็นส่วนตัวสูงผ่านแอปพลิเคชันสนทนา (เช่น LINE) มีความเสี่ยงสูง

สาเหตุหลักของข้อมูลรั่วไหลในกรณีนี้เกิดจากการส่งต่อไฟล์รายชื่อที่มีข้อมูลส่วนบุคคลที่มีความเป็นส่วนตัวสูง เช่น เลขบัตรประชาชน ผ่านแอปพลิเคชัน LINE เพื่อความสะดวกรวดเร็วในการทำงาน แต่ไม่มีมาตรการเข้ารหัสหรือป้องกันที่เหมาะสม
บทเรียน: การทำงานผ่าน Social Media โดยไม่มี “มาตรการรักษาความมั่นคงปลอดภัย” ที่ชัดเจน ถือเป็นการฝ่าฝืนกฎหมาย องค์กรต้องกำหนดแนวปฏิบัติให้ชัดเจนว่าเอกสารใดห้ามส่งผ่านไลน์ หรือต้องมีวิธีส่งที่ปลอดภัยกว่านี้

3. "ความตระหนักรู้" และ "มาตรการที่เป็นลายลักษณ์อักษร" สำคัญกว่าความเข้าใจกันเอง

กกต. ชี้แจงว่ามีการพูดคุยกันในที่ประชุมเรื่องการส่งข้อมูล แต่ “ไม่มีระเบียบปฏิบัติเป็นลายลักษณ์อักษร” หรือกำหนดมาตรการที่ชัดเจนเกี่ยวกับการรับส่งไฟล์
บทเรียน: การอ้างว่าเจ้าหน้าที่ระมัดระวังกันเอง หรือดำเนินการเพียงเล็กน้อยด้วยตัวเจ้าหน้าที่เอง (Human diligence) นั้นไม่เพียงพอที่จะถือว่าเป็น “มาตรการรักษาความมั่นคงปลอดภัย” ตามมาตรฐานกฎหมาย องค์กรต้องมีมาตรการเชิงองค์กร (Organizational Measures) และเชิงเทคนิค (Technical Measures) ที่เป็นทางการ

4. กฎเหล็ก 72 ชั่วโมง สำหรับการแจ้งเหตุการละเมิด

ในกรณีนี้ กกต. ทราบเหตุตั้งแต่วันที่ 10-11 มิถุนายน แต่แจ้งเหตุไปยัง สคส. อย่างเป็นทางการในวันที่ 21 มิถุนายน ซึ่งล่าช้ากว่ากำหนด 72 ชั่วโมง
บทเรียน: เมื่อรู้ว่าข้อมูลรั่วไหล หน้าที่ของผู้ควบคุมข้อมูลคือต้องแจ้ง สคส. “โดยไม่ชักช้า” ภายใน ๗๒ ชั่วโมง แม้ กกต. จะพยายามแก้ไขหน้างานแล้ว แต่การไม่แจ้งตามเวลาที่กำหนดก็ถือเป็นความผิด ซึ่งในกรณีนี้ กกต. ได้รับโทษเป็นการ “ตักเตือน” สำหรับประเด็นนี้

5. ปัจจัยบรรเทาโทษ: ความร่วมมือและการแก้ไขทันที

แม้จะมีความผิด แต่คณะกรรมการฯ ได้ลดหย่อนโทษปรับให้ โดยพิจารณาจากปัจจัยแวดล้อมต่างๆ
  • บทเรียน: หากเกิดเหตุผิดพลาดขึ้น สิ่งที่ช่วยผ่อนหนักเป็นเบาได้คือ:
    1. การระงับยับยั้งเหตุทันทีที่เกิดเรื่อง
    2. การให้ความร่วมมือในการสอบสวนอย่างดี
    3. การยอมรับข้อเท็จจริงและไม่มีเจตนาร้าย (เป็นเพียงความประมาทเลินเล่อไม่ร้ายแรง)
    4. ประวัติการไม่เคยถูกลงโทษมาก่อน

บทสรุปจากกรณีการลงโทษปรับ กกต.

สังคมได้เรียนรู้ว่า “ความสะดวกในการทำงาน (เช่น ใช้ LINE) ต้องไม่แลกมาด้วยความปลอดภัยของข้อมูลประชาชน” และกฎหมาย PDPA มีผลบังคับใช้จริงจังไม่เลือกปฏิบัติ ซึ่งทุกองค์กรต้องเร่งสร้างมาตรการควบคุมการใช้สื่อสังคมออนไลน์ในการทำงานให้รัดกุมยิ่งขึ้นครับ
dpo in action อบรม pdpa dpo
DPO ภาครัฐ PDPA
หลักสูตร PDPA in Action
อบรม pdpa
DPOinActionรุ่น19 1200x300
DPO in Action TU - 1200x300
Advanced PDPA in Action สำหรับภาคเอกชน
DPS 1200x300
dpo รวม