สคส.เอาจริง! สั่งปรับรัฐ-เอกชนปล่อยข้อมูลรั่ว หวังคุมเข้มพีดีพีเอทั่วไทย
ในรอบปีงบประมาณ พ.ศ.2568 สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ภายใต้การกำกับของกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ได้มีคำสั่งลงโทษปรับทางปกครองกับหน่วยงานภาครัฐ เอกชน และบริษัทผู้ประมวลผลข้อมูลส่วนบุคคล ซึ่งไม่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลอย่างเหมาะสม รวม 5 เรื่อง 8 คำสั่ง
โดยในรอบปีงบประมาณ พ.ศ.2567 ได้เคยมีคำสั่งลงโทษปรับทางปกครองมาแล้ว 1 เรื่อง 1 คำสั่ง รวมตั้งแต่บังคับใช้ตามกฎหมายพีดีพีเอ มามีคำสั่งลงโทษปรับทางปกครองไปแล้ว 6 เรื่อง 9 คำสั่ง โดยมีมูลค่ารวมของโทษปรับทั้งสิ้นกว่า 21.5 ล้านบาท ดังนั้น ในปีงบประมาณ 2568 ที่ผ่านมา มีการสั่งปรับแล้วถึง 5 เรื่อง 8 คำสั่ง เพิ่มขึ้นอย่างมีนัยสำคัญจากปี 2567
นายประเสริฐ จันทรรวงทอง รองนายกรัฐมนตรีและรมว.ดีอี ระบุว่า รัฐบาลให้ความสำคัญกับการคุ้มครองสิทธิพลเมืองในยุคดิจิทัล โดยเฉพาะข้อมูลส่วนบุคคลที่หากรั่วไหล อาจถูกนำไปใช้ในทางที่ผิด สร้างความเสียหายแก่ประชาชนอย่างรุนแรง พร้อมตั้งเป้า “ข้อมูลรั่วไหลต้องเป็นศูนย์” ซึ่งจะเกิดขึ้นได้ต้องอาศัยความร่วมมือจากทุกภาคส่วนทั้งภาครัฐ เอกชน และผู้ประมวลผลข้อมูล
กระทรวงดีอี และ สคส. จึงเตรียมผลักดัน 3 มาตรการสำคัญ ได้แก่
- สนับสนุนให้ทุกองค์กรมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) อย่างเป็นระบบ
- ยกระดับมาตรฐานความมั่นคงปลอดภัยของระบบสารสนเทศ
- รณรงค์สร้างความรู้เท่าทันสิทธิของประชาชน เพื่อให้รู้วิธีปกป้องข้อมูลของตนเอง
พ.ต.อ.สุรพงศ์ เปล่งขำ เลขาธิการ สคส. เปิดเผยรายละเอียดกรณีละเมิดข้อมูลส่วนบุคคล 5 คดีสำคัญในปีนี้ เช่น กรณีรัฐ หน่วยงานหนึ่งถูกแฮก Web App ทำข้อมูลประชาชนกว่า 2 แสนรายรั่วไปขายใน DARK Web พบใช้รหัสผ่านอ่อนแอ ไม่มีการทำ DPA โดนปรับหน่วยงานละ 153,120 บาท
กรณี รพ.เอกชน เอกสารเวชระเบียนกว่า 1,000 ฉบับหลุดจากขั้นตอนทำลายเอกสาร ถูกนำไปทำเป็นซองขนมโตเกียว กระทบสิทธิผู้ป่วย ถูกปรับรวม 1.2 ล้านบาท ภาคเอกชน 3 ราย ดำเนินธุรกิจค้าส่ง ค้าปลีก และขายของออนไลน์ มีการเก็บข้อมูลส่วนบุคคลจำนวนมาก แต่ไม่จัดให้มีมาตรการป้องกันเพียงพอ ไม่แจ้งเหตุรั่วไหล และไม่แต่งตั้ง DPO ถูกสั่งปรับรวมกว่า 13 ล้านบาท
ทั้งนี้ สคส. ยังอยู่ระหว่างพิจารณาเรื่องร้องเรียนเพิ่มเติมจำนวนมาก และย้ำว่า “PDPA ไม่ใช่แค่แนวปฏิบัติ แต่เป็นกฎหมายที่มีผลบังคับใช้แล้ว” ทุกองค์กรต้องปรับตัวจริงจัง เพราะการจัดการข้อมูลส่วนบุคคลไม่ใช่แค่เรื่องเทคนิค แต่คือความรับผิดชอบโดยตรงต่อสิทธิพื้นฐานของประชาชน
ขณะเดียวกัน ภาคธุรกิจไทยยังต้องเร่งลงทุนในระบบ IT Security การจัดทำบันทึกกิจกรรมการประมวลผลข้อมูล (Record of Processing Activities: RoPA) และฝึกอบรมพนักงานในองค์กรให้เข้าใจความเสี่ยงข้อมูล รวมถึงวิธีจัดการเมื่อเกิดเหตุละเมิด เพื่อไม่ให้ซ้ำรอยคดีตัวอย่างที่เกิดขึ้น
สคส. ย้ำเป้าหมายเชิงรุกชัดเจน “ข้อมูลรั่วต้องไม่ใช่เรื่องปกติ” และไม่ควรมีใครต้องสูญเสียสิทธิของตนเองเพียงเพราะองค์กรละเลยหน้าที่ตามกฎหมายอีกต่อไป