PDPA ปรับแล้ว 1.2 ล้านบาท หลังพบ ถุงขนมโตเกียวรียูส (Reuse) จากเวชระเบียนผู้ป่วย
2 สิงหาคม 2568 สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หรือ สคส. แถลงบทลงโทษ "โรงพยาบาลเอกชนขนาดใหญ่" ทำข้อมูลเวชระเบียนผู้ป่วยรั่วไหล แล้วเอกสารดังกล่าวถูกนำไปเป็นซองขนมโตเกียว เกิดเป็นข่าวและกระแสในสื่อสังคมออนไลน์
จากการตรวจสอบพบว่า โรงพยาบาลดังกล่าว ในฐานะของผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ทำสัญญากับกิจการขนาดเล็กซึ่งมีลักษณะเป็นธุรกิจครอบครัว ให้ทำหน้าที่ทำลายเอกสารเวชระเบียนดังกล่าว แต่ไม่ได้มีการติดตาม ควบคุม หรือตรวจสอบกระบวนการให้เป็นไปตามมาตรฐานที่กำหนด ทำให้เอกสารเวชระเบียนกว่า 1,000 ฉบับรั่วไหล
ในส่วนของเอกชน (บุคคลธรรมดา) ผู้รับจ้างทำลายเอกสาร ก็ได้นำเวชระเบียนที่ได้รับจากโรงพยาบาลกลับไปพักไว้ที่บ้านของตนเอง โดยไม่ได้ดำเนินการตามขั้นตอนที่ตกลงไว้ และไม่ได้แจ้งเหตุการรั่วไหลให้โรงพยาบาลทราบ จึงเข้าข่ายเป็นการไม่ปฏิบัติตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) อันนำไปสู่บทลงโทษครั้งนี้
เหตุการณ์นี้แบ่งการลงโทษออกเป็น 2 กรณี
บทลงโทษที่ 1 - โรงพยาบาล ในฐานะของผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ถูกลงโทษปรับ 1,210,000 บาท
บทลงโทษที่ 2 - บุคคลธรรมดา ในฐานะผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ถูกลงโทษปรับ 16,940 บาท
รวมมูลค่าการลงโทษปรับทางปกครองกว่า 1,226,940 บาท
จากเหตุการณ์ครั้งนี้ แสดงให้เห็นแล้วว่า PDPA เอาจริงกับทุกภาคส่วนแล้ว ไม่ว่าจะเป็นหน่วยงานภาครัฐ หรือเอกชน หากยังละเลยการปฏิบัติตามกฎหมาย บทลงโทษครั้งถัดไปอาจเป็นคุณ
ภาพจาก กระทรวงการอุดมศึกษา วิทยาศาสตร์ วิจัยและนวัตกรรม