‘ประเสริฐ’ สั่ง สคส. บังคับใช้ PDPA ลงโทษหน่วยงานที่ละเลยการคุ้มครอง

วันนี้ (1 ส.ค. 68) นายประเสริฐ จันทรรวงทอง รองนายกรัฐมนตรี และรัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม กล่าวว่า ประเทศไทยบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ซึ่งรัฐบาลให้ความสำคัญกับการบังคับใช้กฎหมาย โดยเฉพาะกรณีหน่วยงานภาครัฐและเอกชนที่เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลสำคัญของประชาชนจำนวนมาก แต่ไม่จัดให้มีมาตรการรักษาความปลอดภัยที่เหมาะสมเพียงพอ

ปี พ.ศ.2567 เคยมีคำสั่งลงโทษปรับทางปกครองหน่วยงานหนึ่งแล้ว ต่อมาปี 2568 มีคำสั่งลงโทษปรับทางปกครองกับหน่วยงานที่ฝ่าฝืนหรือไม่ปฏิบัติตาม PDPA อีก ถือเป็นหมุดหมายสำคัญที่หน่วยงานรัฐและเอกชนต้องตระหนักว่า การคุ้มครองข้อมูลส่วนบุคคลไม่ใช่เพียงเรื่องการบริหารจัดการภายใน แต่เป็นเรื่องความรับผิดชอบต่อสิทธิขั้นพื้นฐานของประชาชน เป้าหมายของรัฐบาล คือ ข้อมูลรั่วไหลต้องเป็นศูนย์

พ.ต.อ.สุรพงศ์ เปล่งขำ เลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) เปิดเผยว่า การลงโทษมี 5 กรณีสำคัญ ได้แก่

กรณีแรก หน่วยงานรัฐรายหนึ่งให้บริการประชาชนผ่านระบบออนไลน์ ถูกโจมตีและนำข้อมูลส่วนบุคคลของประชาชนกว่า 200,000 ราย ไปประกาศขายใน DARK Web จากการตรวจสอบพบว่า หน่วยงานรัฐดังกล่าวไม่มีมาตรการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศอย่างเหมาะสม ใช้รหัสผ่านอ่อนแอ ละเลยการทำข้อตกลงการประมวลผลข้อมูลส่วนบุคคลกับบริษัทพัฒนาระบบ

สำหรับบริษัทพัฒนาระบบ ไม่มีการออกแบบมาตรการรักษาความมั่นคงปลอดภัยตั้งแต่ต้น ขาดระบบควบคุมการเข้าถึงข้อมูล ไม่มีการประเมินความเสี่ยง ไม่ได้ดำเนินการใด ๆ เพื่อป้องกันความเสี่ยงจากการรั่วไหลของข้อมูล เข้าข่ายความผิดในฐานะผู้ประมวลผลข้อมูลส่วนบุคคลตามกฎหมาย จึงสั่งปรับหน่วยงานภาครัฐและบริษัทเอกชนดังกล่าวหน่วยงานละ 153,120 บาท

กรณีที่ 2 โรงพยาบาลเอกชนขนาดใหญ่รายหนึ่ง ปรากฏภาพถุงขนมโตเกียวที่ทำจากเอกสารเวชระเบียนของผู้ป่วย จากการตรวจสอบพบว่ามีเอกสารเวชระเบียนของผู้ป่วยหลุดไปกว่า 1,000 ฉบับ ในขั้นตอนการส่งทำลายเอกสาร โรงพยาบาลดังกล่าวทำข้อตกลงกับกิจการขนาดเล็กซึ่งเป็นธุรกิจครอบครัวให้ทำลายเอกสารเวชระเบียน แต่ไม่มีการติดตาม ส่งผลให้เอกสารรั่วไหลสู่ภายนอก

ส่วนเอกชนบุคคลธรรมดาผู้รับจ้างทำลายเอกสาร ไม่ได้แจ้งเหตุการรั่วไหลให้โรงพยาบาลทราบ เข้าข่ายไม่ปฏิบัติตามหน้าที่ของผู้ประมวลผลข้อมูลอย่างชัดเจน จึงลงโทษปรับโรงพยาบาล 1,210,000 บาท และปรับบุคคลธรรมดา 16,940 บาท รวม 1,226,940 บาท

สำหรับอีก 3 กรณี เป็นกรณีข้อมูลส่วนบุคคลรั่วไหลจากหน่วยงานเอกชนด้านการค้าส่ง ค้าปลีกและสินค้าออนไลน์ และมีผู้เสียหายร้องเรียน โดยเอกชนรายที่ 1 เกิดจากหน่วยงานขายเครื่องและอุปกรณ์คอมฯ ไม่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม ไม่แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่ สคส. ตามกฎหมาย ไม่จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล จึงสั่งลงโทษปรับ 7 ล้านบาท

เอกชนรายที่ 2 เกิดจากหน่วยงานขายเครื่องสำอางไม่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม และไม่แจ้งเหตุการละเมิดของมูลส่วนบุคคลแก่ สคส. ตามกฎหมาย จึงสั่งลงโทษปรับ 2.5 ล้านบาท เอกชนรายที่ 3 เกิดจากหน่วยงานขายของเล่นสะสม ไม่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม จึงสั่งลงโทษปรับหน่วยงานผู้ควบคุมข้อมูลส่วนบุคคล 5 แสนบาท และลงโทษปรับหน่วยงานผู้ประมวลผลข้อมูลส่วนบุคคล 3 ล้านบาท