ต้นเดือน ส.ค.2568 สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ภายใต้การกำกับของกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) เปิดเผยว่า ได้มีคำสั่งลงโทษปรับทางปกครองหน่วยงานภาครัฐ เอกชน รวม 5 เรื่อง 8 คำสั่ง ข้อหาไม่จัดให้มีมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคลอย่างเหมาะสม ซึ่งมีตั้งแต่โรงพยาบาลเอกชนขนาดใหญ่ บริษัทขายคอมพิวเตอร์ แบรนด์บิวตี้สโตร์ชั้นนำ และผู้จำหน่ายอาร์ตทอยระดับโลกโดยหลังจากที่ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 (PDPA) มีผลบังคับใช้แล้ว เริ่มมีเคสปรับครั้งแรกในปีงบประมาณ 2567 จำนวน 1 ราย เป็นบริษัทขายคอมพิวเตอร์ ส่วนในปี 2568 เพิ่มขึ้นมาเป็น 5 ราย มีการสั่งปรับมูลค่ารวม 21.5 ล้านบาท พ.ต.อ. สุรพงศ์ เปล่งขำ เลขาธิการ สคส. เปิดเผยว่า มูลค่าที่สั่งปรับพิจารณาจากเจตนาที่จะรับผิดชอบ กรณีที่ถูกสั่งปรับเป็นจำนวนมาก มาจากกรณีที่ผู้ค้าไม่ยินยอมชดใช้ค่าเสียหายที่เกิดขึ้นจากการทำข้อมูลส่วนบุคคลของประชาชนรั่วไหล และแม้จะมีการสั่งปรับ ให้ชดใช้ความเสียหาย แต่ สคส.ไม่มีนโยบายเปิดเผยรายชื่อหน่วยงานที่กระทำผิด โดยจะมีการส่งคำสั่งทางปกครองตรงไปยังหน่วยงานนั้นๆแทน ซึ่งส่วนใหญ่พบว่ามีการชดเชยให้กับลูกค้าในระดับที่พึงพอใจด้วยกันทั้ง 2 ฝ่าย โดยขณะนี้ยังเหลือกรณีที่ สคส.กำลังพิจารณาอีกกว่า 1,300 เคส สะท้อนให้เห็นว่าคนไทยให้ความสำคัญกับการป้องกันข้อมูลส่วนบุคคลมากขึ้นโดยกรณีข้อมูลรั่วไหลประกอบด้วย 1.หน่วยงานภาครัฐระดับกรมถูกเจาะระบบนำข้อมูลส่วนบุคคลของประชาชน 200,000 รายไปโพสต์ขาย เพราะไม่มีมาตรการรักษาความปลอดภัยของระบบไอทีที่เหมาะสม ใช้พาสเวิร์ดที่อ่อนแอ ไม่มีการประเมินความเสี่ยงและไม่ได้ทบทวนมาตรการอย่างต่อเนื่อง จึงถูกสั่งปรับทั้งตัวหน่วยงานและบริษัทพัฒนาระบบรายละ 153,120บาท โดยข้อมูลส่วนใหญ่เป็นข้อมูลผู้สูงอายุ และอาจไม่รับรู้ว่าข้อมูลตัวเองรั่วไหลออกไป กรณีนี้จึงไม่มีการเรียกร้องค่าเสียหาย2.โรงพยาบาลเอกชนขนาดใหญ่ปล่อยให้เอกสารเวชระเบียนของผู้ป่วยถูกนำไปใช้ทำถุงขนมโตเกียว ซึ่งปรากฏว่าเป็นการว่าจ้างธุรกิจครอบครัวขนาดเล็กทำลายเอกสาร ซึ่งแทนที่จะเอาไปทำลาย กลับเอาไปขายต่อเพื่อทำเป็นถุงกระดาษ มีมติลงโทษปรับโรงพยาบาล1.2 ล้านบาท และผู้ประมวลผลข้อมูลอีก 16,940บาท3.บริษัทคอมพิวเตอร์ขนาดใหญ่ยอดขายหลักหมื่นล้านทำข้อมูลลูกค้ารั่ว จากกรณีไม่มีมาตรฐานที่รัดกุม ไม่จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลลูกค้า กรณีนี้มีผู้เสียหายเพราะลูกค้าถูกแก๊งคอลเซ็นเตอร์โทร.หา ระบุข้อมูลละเอียดเกี่ยวกับการซื้อคอมพิวเตอร์เพื่อจะหลอกลวง แต่กลับไม่มีการชดเชยให้ผู้เสียหาย สั่งปรับ 7 ล้านบาท4.แบรนด์บิวตี้สโตร์ บริษัทขายเครื่องสำอางชั้นนำ ทำข้อมูลลูกค้ารั่ว พบไม่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม และไม่แจ้งเหตุการละเมิดข้อมูลลูกค้า โดยลูกค้าถูกแก๊งคอลเซ็นเตอร์โทร.หา ระบุข้อมูลละเอียดเกี่ยวกับการซื้อเครื่องสำอางจากร้านดังกล่าวเพื่อจะหลอกลวง อย่างไรก็ตามผู้ประกอบการมีการชดเชยให้กับผู้เสียหาย จึงสั่งปรับ 2.5 ล้านบาท5.บริษัทจำหน่ายอาร์ตทอยระดับโลก ทำข้อมูลลูกค้ารั่ว จากการไม่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม แต่มีการชดเชยให้กับผู้เสียหายสั่งปรับรวม 3.5 ล้านบาทพ.ต.อ.สุรพงศ์ กล่าวว่า 5 กรณีนี้ถือเป็นสัญญาณชัดเจนถึงทุกภาคส่วนทั้งหน่วยงานภาครัฐ เอกชน และผู้ให้บริการที่เกี่ยวข้องว่า การจัดการข้อมูลส่วนบุคคลไม่ใช่เพียงเรื่องของเทคนิคหรือเอกสาร แต่คือความรับผิดชอบที่ต้องมีมาตรฐานด้านความปลอดภัย การประเมินความเสี่ยงอย่างสม่ำเสมอ และกลไกการกำกับติดตามที่โปร่งใส เพื่อไม่ให้เกิดความเสียหายต่อสิทธิของประชาชนอย่างไม่อาจแก้ไขได้.คลิกอ่านคอลัมน์ “บทความไซเบอร์เน็ต” เพิ่มเติม
