ในปีงบประมาณ 2568 สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หรือ สคส. ได้ลงโทษปรับ ทางปกครองหน่วยงานทั้งภาครัฐและเอกชนรวม 5 กรณี เป็นเงินกว่า 21.5 ล้านบาท เนื่องจากไม่ปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) อย่างเคร่งครัด ทำให้เกิดเหตุข้อมูลรั่วไหล
นายประเสริฐ จันทรรวงทอง รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) ย้ำว่ารัฐบาลให้ความสำคัญกับการบังคับใช้กฎหมาย PDPA อย่างจริงจัง โดยมีเป้าหมายคือข้อมูลรั่วไหลต้องเป็นศูนย์ และชี้ว่ากฎหมายนี้ไม่ใช่แค่แนวปฏิบัติ แต่เป็นข้อบังคับที่ทุกองค์กรต้องทำตามอย่างเคร่งครัดเพื่อคุ้มครองสิทธิของประชาชน
กรณีตัวอย่างที่สำคัญซึ่งเป็นบทเรียนให้ทุกองค์กรต้องตระหนักคือ
หน่วยงานรัฐทำข้อมูลรั่ว 2 แสนรายชื่อ โดยหน่วยงานรัฐแห่งหนึ่งถูกแฮกเกอร์โจมตีเว็บไซต์ และนำข้อมูลประชาชนไปขายบน DARK Web เนื่องจากระบบความปลอดภัยหละหลวม ใช้รหัสผ่านที่คาดเดาง่าย และไม่มีข้อตกลงควบคุมการประมวลผลข้อมูลกับบริษัทผู้พัฒนาระบบ ทำให้ทั้งหน่วยงานรัฐและบริษัทผู้พัฒนาถูกปรับรายละกว่า 1.5 แสนบาท
โรงพยาบาลทำเวชระเบียนผู้ป่วยหลุด โดยโรงพยาบาลเอกชนขนาดใหญ่แห่งหนึ่งกลายเป็นข่าวดัง เมื่อมีการนำเอกสารเวชระเบียน หรือข้อมูลสุขภาพซึ่งเป็นข้อมูลอ่อนไหว ไปทำเป็นถุงใส่ขนมโตเกียว สาเหตุเกิดจากการจ้างบริษัทขนาดเล็กไปทำลายเอกสาร แต่ไม่ได้ควบคุมดูแลให้ดี ทำให้เอกสารกว่า 1,000 ฉบับรั่วไหลออกไป โรงพยาบาลจึงถูกปรับกว่า 1.2 ล้านบาท และบริษัทที่รับจ้างทำลายเอกสารถูกปรับอีกราว 17,000 บาท
บริษัทเอกชน 3 แห่งถูกปรับหนัก
1.บริษัทขายอุปกรณ์คอมพิวเตอร์ ถูกปรับ 7 ล้านบาท เพราะระบบความปลอดภัยไม่ดี, ไม่แจ้งเหตุข้อมูลรั่วไหลให้ สคส. ทราบ และไม่มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
2.บริษัทขายเครื่องสำอาง ถูกปรับ 2.5 ล้านบาท เพราะระบบความปลอดภัยไม่ดีและไม่แจ้งเหตุข้อมูลรั่วไหล
3.บริษัทขายของเล่นสะสม ถูกปรับรวม 3.5 ล้านบาท โดยปรับทั้งผู้ควบคุมและผู้ประมวลผลข้อมูล เนื่องจากระบบความปลอดภัยไม่เพียงพอ
สคส. ยืนยันว่ากรณีเหล่านี้เป็นสัญญาณเตือนที่ชัดเจนว่าทุกองค์กรต้องจัดการข้อมูลส่วนบุคคลอย่างมีความรับผิดชอบ มีมาตรฐานความปลอดภัย และประเมินความเสี่ยงเสมอ โดยกระทรวงดิจิทัลฯ และ สคส. จะเดินหน้า 3 เรื่องหลัก คือ ผลักดันให้ทุกองค์กรมี DPO, พัฒนามาตรฐานความปลอดภัยของระบบ และสร้างความเข้าใจให้ประชาชนรู้ทันสิทธิของตนเอง
ที่มา
กระทรวง DE
