สคส. เข้มเดินหน้าบังคับใช้ PDPA ลงโทษปรับหน่วยงานที่ปล่อยข้อมูลประชาชนรั่วไหล ไม่เว้นทั้งภาครัฐ-ภาคเอกชน

ในรอบปีงบประมาณ พ.ศ.2568 สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ภายใต้การกำกับของกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ได้มีคำสั่งลงโทษปรับทางปกครองกับหน่วยงานภาครัฐ เอกชน และบริษัทผู้ประมวลผลข้อมูลส่วนบุคคล ซึ่งไม่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลอย่างเหมาะสม รวม 5 เรื่อง 8 คำสั่ง ต่อเนื่องจากในรอบปีงบประมาณ พ.ศ.2567 ซึ่งได้เคยมีคำสั่งลงโทษปรับทางปกครองมาแล้ว 1 เรื่อง 1 คำสั่ง รวมตั้งแต่บังคับใช้ PDPA มามีคำสั่งลงโทษปรับทางปกครองไปแล้ว 6 เรื่อง 9 คำสั่ง โดยมีมูลค่ารวมของโทษปรับทั้งสิ้นกว่า 21.5 ล้านบาท

1 ส.ค. 2568 - นายประเสริฐ จันทรรวงทอง รองนายกรัฐมนตรีและรัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) กล่าวว่า ประเทศไทยได้บังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาระยะหนึ่งแล้ว ซึ่งถือเป็นกฎหมายที่สำคัญอย่างยิ่งในการคุ้มครองสิทธิของประชาชนในยุคดิจิทัล รัฐบาลจึงให้ความสำคัญกับการผลักดันกลไกการบังคับใช้กฎหมายให้เกิดผลเป็นรูปธรรม โดยเฉพาะในกรณีที่หน่วยงานทั้งภาครัฐและเอกชนที่มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลสำคัญของประชาชนจำนวนมากแต่ไม่จัดให้มีมาตรการรักษาความปลอดภัยที่เหมาะสมเพียงพอ อันเป็นเหตุให้มิจฉาชีพอาจฉวยโอกาสเอาไปหลอกลวงประชาชน ซึ่งในรอบปี พ.ศ.2567 ได้เคยมีคำสั่งลงโทษปรับทางปกครองไปหน่วยงานนึงแล้ว

และต่อมาในรอบปี 2568 นี้ ได้มีคำสั่งลงโทษปรับทางปกครองกับหน่วยงานที่ฝ่าฝืนหรือไม่ปฏิบัติตาม PDPA อีก ซึ่งครั้งนี้มีหน่วยงานที่ถูกลงโทษปรับทางปกครองทั้งหน่วยงานภาครัฐ และเอกชน ถือเป็นหมุดหมายสำคัญที่หน่วยงานรัฐและเอกชนต้องตระหนักว่า การคุ้มครองข้อมูลส่วนบุคคลไม่ใช่เพียงเรื่องของการบริหารจัดการภายใน แต่เป็นเรื่องของความรับผิดชอบต่อสิทธิขั้นพื้นฐานของประชาชน ซึ่งกฎหมายฉบับนี้ไม่ได้เป็นแค่แนวทางปฏิบัติ แต่เป็นข้อบังคับทางกฎหมายที่ต้องปฏิบัติตามอย่างเคร่งครัดเพื่อความรับผิดชอบในการปกป้องและคุ้มครองข้อมูลส่วนบุคคลของประชาชน ไม่มีเว้นทั้งหน่วยงานภาครัฐและภาคเอกชน

รัฐมนตรีว่าการกระทรวงดิจิทัลฯ ยังย้ำว่า เป้าหมายของรัฐบาลในเรื่องนี้ชัดเจน คือ “ข้อมูลรั่วไหลต้องเป็นศูนย์” ซึ่งไม่สามารถเกิดขึ้นได้เพียงแค่การลงโทษภายหลัง แต่ต้องมาจากการปรับระบบคิด การจัดการความเสี่ยง และการสร้างวัฒนธรรมองค์กรที่ใส่ใจข้อมูลส่วนบุคคลอย่างจริงจัง โดยในระยะต่อไป กระทรวงดิจิทัลฯ จะร่วมกับ สคส. และภาคีเครือข่าย ดำเนินการ 3 ด้านหลัก ได้แก่ การส่งเสริมให้ทุกองค์กรมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) อย่างเป็นระบบ การพัฒนามาตรฐานความมั่นคงปลอดภัยของระบบสารสนเทศที่ทันสมัย และการรณรงค์สร้างความรู้ความเข้าใจแก่ประชาชนในการรู้เท่าทันสิทธิของตนเอง

พ.ต.อ. สุรพงศ์ เปล่งขำ เลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เปิดเผยว่า การลงโทษในครั้งนี้เป็นผลจากกระบวนการตรวจสอบรวบรวมข้อเท็จจริง และพิจารณาของคณะกรรมการผู้เชี่ยวชาญอย่างเป็นทางการ โดยมี 5 กรณีสำคัญที่เป็นอุทาหรณ์ให้ทั้งภาครัฐและเอกชนต้องเร่งปรับตัว ได้แก่ กรณีแรก เป็นเหตุการณ์ที่เกิดขึ้นกับหน่วยงานของรัฐรายหนึ่งที่ให้บริการประชาชนผ่านระบบออนไลน์ (Web App) ซึ่งถูกโจมตีและนำข้อมูลส่วนบุคคลของประชาชนกว่า 200,000 รายไปประกาศขายใน DARK Web โดยมิชอบ

จากการตรวจสอบพบว่า หน่วยงานรัฐดังกล่าวไม่ได้จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศอย่างเหมาะสม รวมถึงใช้รหัสผ่านที่อ่อนแอ ไม่มีการประเมินความเสี่ยงและไม่ได้ทบทวนมาตรการอย่างต่อเนื่อง ทั้งยังละเลยการทำข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement) กับบริษัทพัฒนาระบบที่ทำหน้าที่เป็นผู้ประมวลผลข้อมูลส่วนบุคคล

สำหรับบริษัทพัฒนาระบบที่เกี่ยวข้อง ก็ไม่มีการออกแบบมาตรการรักษาความมั่นคงปลอดภัยตั้งแต่ต้น ขาดระบบควบคุมการเข้าถึงข้อมูล ไม่มีการประเมินความเสี่ยง และแม้จะไม่ได้รับข้อตกลง DPA จากหน่วยงานภาครัฐ แต่ก็ไม่ได้ดำเนินการใด ๆ เพื่อป้องกันความเสี่ยงจากการรั่วไหลของข้อมูล จึงเข้าข่ายความผิดในฐานะผู้ประมวลผลข้อมูลส่วนบุคคลตามกฎหมาย คณะกรรมการผู้เชี่ยวชาญ คณะที่ 3 จึงมีคำสั่งปรับหน่วยงานภาครัฐและบริษัทเอกชนดังกล่าว เป็นเงินทั้งสิ้นหน่วยงานละ 153,120 บาท

อีกหนึ่งกรณีที่ได้รับความสนใจอย่างกว้างขวาง คือเหตุการณ์ที่เกิดขึ้นกับโรงพยาบาลเอกชนขนาดใหญ่รายหนึ่ง ซึ่งปรากฏภาพถุงขนมโตเกียวที่ทำจากเอกสารเวชระเบียนของผู้ป่วย ถูกเผยแพร่ผ่านโซเชียลมีเดีย และจากการตรวจสอบพบว่ามีเอกสารเวชระเบียนของผู้ป่วยหลุดไปกว่า 1,000 ฉบับ ในขั้นตอนการส่งทำลายเอกสาร ซึ่งโรงพยาบาลดังกล่าวได้ทำข้อตกลงกับกิจการขนาดเล็กซึ่งมีลักษณะเป็นธุรกิจครอบครัวให้ทำหน้าที่ทำลายเอกสารเวชระเบียน แต่ไม่ได้มีการติดตาม ควบคุม หรือตรวจสอบกระบวนการให้เป็นไปตามมาตรฐานที่กำหนด ส่งผลให้เอกสารสำคัญซึ่งเป็นข้อมูลสุขภาพอันเป็นข้อมูลส่วนบุคคลประเภทอ่อนไหวตามมาตรา 26 รั่วไหลสู่ภายนอก

โดยไม่ได้มีการลบหรือทำลายข้อมูลส่วนบุคคลให้ถูกต้องตามระยะเวลาที่กฎหมายกำหนด ในส่วนของเอกชนบุคคลธรรมดาผู้รับจ้างทำลายเอกสาร ก็ได้นำเวชระเบียนที่ได้รับจากโรงพยาบาลกลับไปพักไว้ที่บ้านของตนเอง โดยไม่ได้ดำเนินการตามขั้นตอนที่ตกลงไว้ และไม่ได้แจ้งเหตุการรั่วไหลให้โรงพยาบาลทราบ จึงเข้าข่ายเป็นการไม่ปฏิบัติตามหน้าที่ของผู้ประมวลผลข้อมูลอย่างชัดเจน คณะกรรมการผู้เชี่ยวชาญ คณะที่ 4 จึงมีมติลงโทษปรับโรงพยาบาลดังกล่าวเป็นเงิน 1,210,000 บาท และปรับบุคคลธรรมดาผู้เป็นผู้ประมวลผลข้อมูลอีก 16,940 บาท รวมเป็นมูลค่า 1,226,940 บาท

ส่วนอีก 3 กรณี เป็นกรณีที่มีข้อมูลส่วนบุคคลของประชาชนรั่วไหลจากหน่วยงานเอกชนซึ่งเป็นหน่วยงานด้านการค้าส่ง ค้าปลีกและสินค้าออนไลน์ และมีผู้เสียหายร้องเรียน อันอยู่ในความรับผิดชอบของคณะกรรมการผู้เชี่ยวชาญคณะที่ 2 โดยกรณีที่ 1 เกิดจากหน่วยงานขายเครื่องและอุปกรณ์คอมฯไม่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม ไม่แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่ สคส. ตามกฎหมาย

และเป็นหน่วยงานที่มีการเก็บรวบรวมข้อมูลส่วนบุคคลอย่างสม่ำเสมอด้วยเหตุที่มีข้อมูลส่วนบุคคลจำนวนมากแต่ไม่จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล รวม 3 ข้อหา คณะกรรมการผู้เชี่ยวชาญคณะที่ 2 จึงมีคำสั่งลงโทษปรับ 7 ล้านบาท กรณีที่ 2 เกิดจากหน่วยงานขายเครื่องสำอางไม่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม และไม่แจ้งเหตุการละเมิดของมูลส่วนบุคคลแก่ สคส.ตามกฎหมาย รวม 2 ข้อหา คณะกรรมการผู้เชี่ยวชาญคณะที่ 2 จึงมีคำสั่งลงโทษปรับ 2.5 ล้านบาท และกรณีที่ 3 เกิดจากหน่วยงานขายของเล่นสะสม ไม่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม คณะกรรมการผู้เชี่ยวชาญคณะที่ 2 จึงมีคำสั่งลงโทษปรับหน่วยงานผู้ควบคุมข้อมูลส่วนบุคคล 5 แสนบาท และลงโทษปรับหน่วยงานผู้ประมวลผลข้อมูลส่วนบุคคล 3 ล้านบาท

พ.ต.อ. สุรพงศ์ กล่าวอีกว่า 5 กรณีนี้ถือเป็นสัญญาณชัดเจนถึงทุกภาคส่วน ทั้งหน่วยงานภาครัฐ เอกชน และผู้ให้บริการที่เกี่ยวข้องว่า การจัดการข้อมูลส่วนบุคคลไม่ใช่เพียงเรื่องของเทคนิคหรือเอกสาร แต่คือความรับผิดชอบที่ต้องมีมาตรฐานด้านความปลอดภัย การประเมินความเสี่ยงอย่างสม่ำเสมอ และกลไกการกำกับติดตามที่โปร่งใส เพื่อไม่ให้เกิดความเสียหายต่อสิทธิของประชาชนอย่างไม่อาจแก้ไขได้

ทั้งนี้ สคส. อยู่ระหว่างพิจารณากรณีอื่น ๆ อีกจำนวนมาก และจะเร่งดำเนินการตามขั้นตอนทางกฎหมายอย่างเคร่งครัด พร้อมขับเคลื่อนแนวทางป้องกันเชิงรุก เพื่อให้เป้าหมาย “ข้อมูลรั่วไหลต้องเป็นศูนย์” กลายเป็นเป้าหมายสำคัญของทุกองค์กรในสังคมไทย