Phattharaphorn.kl

263

Phattharaphorn.kl
Phattharaphorn.kl

สั่งปรับ กกต. ทำข้อมูลผู้สมัคร สว.รั่ว 335,000 บาท

          สืบเนื่องจากการที่ ดร.อุดมธิปก ไพรเกษตร ผู้ก่อตั้งสื่อ PDPA Thailand ได้พบว่าสำนักงานคณะกรรมการเลือกตั้ง มีการฟ้องทางปกครอง คณะกรรมการผู้เชี่ยวชาญ คณะที่ 3 ในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เมื่อวันที่ 21 พฤศจิการยน 2568 ตาม Link นี้ https://www.facebook.com/share/p/1DKeveve74/
          ล่าสุดทาง ดร.อุดมธิปก ได้รับเอกสารสำเนาคำสั่งคณะกรรมการผู้เชี่ยวชาญ คณะที่ 3 ที่ 17 / 2568 เรื่อง การร้องเรียนเหตุละเมิดข้อมูลรายชื่อผู้ได้รับเลือกสมาชิกวุฒิสภาระดับอำเภอ จึงส่งให้ทางฝ่ายที่ปรึกษาและตรวจสอบการคุ้มครองข้อมูลส่วนบุคคลบริษัท DBC Group จำกัด ได้ศึกษา ซึ่งทาง PDPA Thailand ขอสรุปข้อเท็จจริงของการรั่วไหลข้อมูลผู้สมัคร สว. และผลกระทบจากการที่ กกต. ถูกสั่งปรับครั้งนี้ ดังนี้
1. เหตุการณ์ที่เกิดขึ้น
          ผู้ถูกร้องเรียน: สำนักงานคณะกรรมการการเลือกตั้ง (กกต.) ในฐานะ “ผู้ควบคุมข้อมูลส่วนบุคคล”
วันเกิดเหตุ: เมื่อวันที่ 10 มิถุนายน 2567 ศูนย์เฝ้าระวัง PDPC Eagle Eye ตรวจพบข้อมูลรั่วไหลบนเว็บไซต์และโซเชียลมีเดียข้อมูลที่รั่วไหล: เป็นรายชื่อผู้ได้รับเลือกเป็นสมาชิกวุฒิสภา (สว.) ระดับอำเภอ จำนวน 23,645
รายชื่อรายละเอียดข้อมูล: ประกอบด้วย คำนำหน้านาม, ชื่อ-นามสกุล, หมายเลขบัตรประจำตัวประชาชน, ชื่อกลุ่ม, รหัสกลุ่ม, อำเภอ/เขต และจังหวัดช่องทางที่รั่วไหล: ไฟล์ข้อมูลถูกส่งต่อผ่านแอปพลิเคชัน LINE และมีการเผยแพร่ต่อไปยังเว็บไซต์สื่อมวลชน
2. สาเหตุของการรั่วไหล
          ปัญหาเชิงระบบ: ระบบบริหารจัดการการเลือกสมาชิกวุฒิสภามีอุปสรรคในการดำเนินการ ผู้ถูกร้องเรียน (สำนักงาน กกต.) จึงจำเป็นต้องขอข้อมูลในรูปแบบ PDF และ Excel ทุกวันเพื่อเตรียมการสมัครทางแอปพลิเคชัน LINE
การปฏิบัติงาน: เจ้าหน้าที่ใช้วิธีส่งต่อไฟล์รายชื่อผ่านแอปพลิเคชัน LINE เพื่อความสะดวกในการปฏิบัติงานและการส่งข้อมูลให้ผู้บังคับบัญชา โดยไม่มีมาตรการรักษาความมั่นคงปลอดภัยที่ชัดเจน (เช่น การเข้ารหัสไฟล์)
การขาดมาตรการ: ไม่มีการตกลงหรือกำหนดมาตรการรักษาความปลอดภัยในการรับส่งข้อมูลผ่าน LINE อย่างเป็นทางการ มีเพียงการกำชับด้วยวาจาหรือใช้ความระมัดระวังส่วนบุคคล ซึ่งไม่เพียงพอตามมาตรฐานกฎหมาย
3. การวินิจฉัยความผิดคณะกรรมการผู้เชี่ยวชาญฯ วินิจฉัยว่า สำนักงาน กกต. มีการฝ่าฝืนพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ใน 2 ประเด็นหลัก ดังนี้:
ประเด็นที่ 1: มาตรการรักษาความมั่นคงปลอดภัยไม่เหมาะสม (ผิดมาตรา 37 (1))

ข้อเท็จจริง: การส่งไฟล์ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อนผ่าน LINE โดยไม่มีมาตรการป้องกัน (เช่น การกำหนดสิทธิเข้าถึง หรือการเข้ารหัส) ถือเป็นการกระทำที่ขาดความระมัดระวังตามวิสัย และไม่เป็นไปตามมาตรฐานขั้นต่ำที่กฎหมายกำหนด

บทลงโทษ: สั่งลงโทษ ปรับทางปกครอง เป็นเงินจำนวน 335,000 บาท (สามแสนสามหมื่นห้าพันบาทถ้วน)
ประเด็นที่ 2: แจ้งเหตุละเมิดล่าช้า (ผิดมาตรา 37 (4))

ข้อเท็จจริง: กกต. ทราบเหตุตั้งแต่วันที่ 10-11 มิถุนายน 2567 แต่ไม่ได้แจ้งเหตุการละเมิดแก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) อย่างเป็นทางการภายใน 72 ชั่วโมง (แจ้งเป็นทางการเมื่อวันที่ 21 มิถุนายน 2567 ซึ่งเกินกำหนด)

บทลงโทษ: ตักเตือน (เนื่องจากเห็นว่าหน่วยงานไม่ได้เพิกเฉย มีการระงับเหตุทันที และให้ความร่วมมือในการสอบสวนเป็นอย่างดี จึงลดหย่อนโทษจากปรับเป็นตักเตือนในประเด็นนี้)
4. บทลงโทษและคำสั่ง

          เนื่องจาก กกต. เป็นหน่วยงานรัฐขนาดกลาง ขาดความระมัดระวังแต่ไม่ได้จงใจ และให้ความร่วมมือในการระงับเหตุเป็นอย่างดี คณะกรรมการฯ จึงมีคำสั่งดังนี้:
สั่งปรับเป็นเงิน: จำนวน 335,000 บาท (สามแสนสามหมื่นห้าพันบาทถ้วน) จากกรณีไม่จัดให้มีมาตรการรักษาความปลอดภัย
ว่ากล่าวตักเตือน: ในกรณีการแจ้งเหตุล่าช้า ให้ระมัดระวังและปฏิบัติให้ถูกต้องในอนาคต
คำสั่งให้แก้ไข:
1) ให้กำหนดมาตรการรักษาความมั่นคงปลอดภัยในการจัดการเลือกตั้ง โดยเฉพาะเรื่องการเก็บรวบรวมและเปิดเผยข้อมูล
2) ให้กำหนดแนวปฏิบัติเรื่องการส่งต่อเอกสารข้อมูลส่วนบุคคลผ่านสื่อสังคมออนไลน์ (เช่น LINE) อย่างเป็นทางการ
3) ให้กำชับเจ้าหน้าที่และรายงานผลการปฏิบัติต่อคณะกรรมการภายใน 30 วัน
          อนาคตการกำกับดูแลการใช้ข้อมูลส่วนบุคคล ภายใต้กฎหมาย PDPA จะมีความเข้มข้นมากขึ้น ดังนั้น องค์กรที่ยังละเลยมาตรการคุ้มครองข้อมูลส่วนบุคคล ยิ่งรอนานเท่าไร ความเสี่ยงเชิงกฎหมายและชื่อเสียงก็ยิ่งสูงขึ้นเท่านั้น การเริ่มจัดการ PDPA อย่างจริงจังตั้งแต่วันนี้ จึงไม่ใช่ทางเลือก แต่เป็นเงื่อนไขสำคัญที่องค์กรต้องทำให้มีประสิทธิภาพ

“Privacy First. Data Next. Trust and Transformation Always.”
dpo in action อบรม pdpa dpo
DPO ภาครัฐ PDPA
หลักสูตร PDPA in Action
อบรม pdpa
DPOinActionรุ่น19 1200x300
DPO in Action TU - 1200x300
Advanced PDPA in Action สำหรับภาคเอกชน
DPS 1200x300
dpo รวม