คส.เอาจริง! สั่งปรับรัฐ-เอกชนปล่อยข้อมูลรั่ว หวังคุมเข้มพีดีพีเอทั่วไทย

 

• สคส. ได้สั่งลงโทษปรับทางปกครองหน่วยงานทั้งภาครัฐและเอกชนที่ทำข้อมูลส่วนบุคคลรั่วไหล รวมเป็นเงินกว่า 21.5 ล้านบาท เพื่อบังคับใช้กฎหมาย PDPA อย่างจริงจัง

• การสั่งปรับในปีงบประมาณ 2568 เพิ่มขึ้นอย่างมีนัยสำคัญถึง 5 เรื่อง 8 คำสั่ง ซึ่งมากกว่าปีก่อนหน้า สะท้อนการคุมเข้มที่มากขึ้น

• มีกรณีตัวอย่างการลงโทษที่ชัดเจน เช่น โรงพยาบาลเอกชนทำเวชระเบียนหลุด และหน่วยงานรัฐถูกแฮกข้อมูลเนื่องจากมาตรการความปลอดภัยไม่เพียงพอ

• รัฐบาลและ สคส. ตั้งเป้า “ข้อมูลรั่วไหลต้องเป็นศูนย์” พร้อมผลักดันมาตรการให้ทุกองค์กรมีเจ้าหน้าที่คุ้มครองข้อมูล (DPO) และยกระดับความปลอดภัยของระบบ

ในรอบปีงบประมาณ พ.ศ.2568 สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ภายใต้การกำกับของกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ได้มีคำสั่งลงโทษปรับทางปกครองกับหน่วยงานภาครัฐ เอกชน และบริษัทผู้ประมวลผลข้อมูลส่วนบุคคล ซึ่งไม่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลอย่างเหมาะสม รวม 5 เรื่อง 8 คำสั่ง

โดยในรอบปีงบประมาณ พ.ศ.2567 ได้เคยมีคำสั่งลงโทษปรับทางปกครองมาแล้ว 1 เรื่อง 1 คำสั่ง รวมตั้งแต่บังคับใช้ตามกฎหมายพีดีพีเอ มามีคำสั่งลงโทษปรับทางปกครองไปแล้ว 6 เรื่อง 9 คำสั่ง โดยมีมูลค่ารวมของโทษปรับทั้งสิ้นกว่า 21.5 ล้านบาท ดังนั้น ในปีงบประมาณ 2568 ที่ผ่านมา มีการสั่งปรับแล้วถึง 5 เรื่อง 8 คำสั่ง เพิ่มขึ้นอย่างมีนัยสำคัญจากปี 2567

นายประเสริฐ จันทรรวงทอง รองนายกรัฐมนตรีและรมว.ดีอี ระบุว่า รัฐบาลให้ความสำคัญกับการคุ้มครองสิทธิพลเมืองในยุคดิจิทัล โดยเฉพาะข้อมูลส่วนบุคคลที่หากรั่วไหล อาจถูกนำไปใช้ในทางที่ผิด สร้างความเสียหายแก่ประชาชนอย่างรุนแรง พร้อมตั้งเป้า “ข้อมูลรั่วไหลต้องเป็นศูนย์” ซึ่งจะเกิดขึ้นได้ต้องอาศัยความร่วมมือจากทุกภาคส่วนทั้งภาครัฐ เอกชน และผู้ประมวลผลข้อมูล

กระทรวงดีอี และ สคส. จึงเตรียมผลักดัน 3 มาตรการสำคัญ ได้แก่

• สนับสนุนให้ทุกองค์กรมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) อย่างเป็นระบบ
• ยกระดับมาตรฐานความมั่นคงปลอดภัยของระบบสารสนเทศ
• รณรงค์สร้างความรู้เท่าทันสิทธิของประชาชน เพื่อให้รู้วิธีปกป้องข้อมูลของตนเอง

พ.ต.อ.สุรพงศ์ เปล่งขำ เลขาธิการ สคส. เปิดเผยรายละเอียดกรณีละเมิดข้อมูลส่วนบุคคล 5 คดีสำคัญในปีนี้ เช่น กรณีรัฐ หน่วยงานหนึ่งถูกแฮก Web App ทำข้อมูลประชาชนกว่า 2 แสนรายรั่วไปขายใน DARK Web พบใช้รหัสผ่านอ่อนแอ ไม่มีการทำ DPA โดนปรับหน่วยงานละ 153,120 บาท

กรณี รพ.เอกชน เอกสารเวชระเบียนกว่า 1,000 ฉบับหลุดจากขั้นตอนทำลายเอกสาร ถูกนำไปทำเป็นซองขนมโตเกียว กระทบสิทธิผู้ป่วย ถูกปรับรวม 1.2 ล้านบาท ภาคเอกชน 3 ราย ดำเนินธุรกิจค้าส่ง ค้าปลีก และขายของออนไลน์ มีการเก็บข้อมูลส่วนบุคคลจำนวนมาก แต่ไม่จัดให้มีมาตรการป้องกันเพียงพอ ไม่แจ้งเหตุรั่วไหล และไม่แต่งตั้ง DPO ถูกสั่งปรับรวมกว่า 13 ล้านบาท

 

ทั้งนี้ สคส. ยังอยู่ระหว่างพิจารณาเรื่องร้องเรียนเพิ่มเติมจำนวนมาก และย้ำว่า “PDPA ไม่ใช่แค่แนวปฏิบัติ แต่เป็นกฎหมายที่มีผลบังคับใช้แล้ว” ทุกองค์กรต้องปรับตัวจริงจัง เพราะการจัดการข้อมูลส่วนบุคคลไม่ใช่แค่เรื่องเทคนิค แต่คือความรับผิดชอบโดยตรงต่อสิทธิพื้นฐานของประชาชน

ขณะเดียวกัน ภาคธุรกิจไทยยังต้องเร่งลงทุนในระบบ IT Security การจัดทำบันทึกกิจกรรมการประมวลผลข้อมูล (Record of Processing Activities: RoPA) และฝึกอบรมพนักงานในองค์กรให้เข้าใจความเสี่ยงข้อมูล รวมถึงวิธีจัดการเมื่อเกิดเหตุละเมิด เพื่อไม่ให้ซ้ำรอยคดีตัวอย่างที่เกิดขึ้น

สคส. ย้ำเป้าหมายเชิงรุกชัดเจน “ข้อมูลรั่วต้องไม่ใช่เรื่องปกติ” และไม่ควรมีใครต้องสูญเสียสิทธิของตนเองเพียงเพราะองค์กรละเลยหน้าที่ตามกฎหมายอีกต่อไป

 

 

 

 

 

 

 

 

 

 

---

 

ที่มา  กรุงเทพธุรกิจ  /     วันที่เผยแพร่ 1 สิงหาคม 2568

Link : https://www.bangkokbiznews.com/tech/gadget/1192423