กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) และสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) เดินหน้าบังคับใช้กฎหมาย PDPA อย่างจริงจัง โดยในรอบปีงบประมาณ 2568 ได้มีคำสั่งลงโทษปรับทางปกครองหน่วยงานภาครัฐและเอกชนรวม 5 กรณี 8 คำสั่ง ฐานไม่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสม ส่งผลให้มีมูลค่าโทษปรับรวมตั้งแต่เริ่มบังคับใช้กฎหมายกว่า 21.5 ล้านบาท
นายประเสริฐ จันทรรวงทอง รองนายกรัฐมนตรีและรัฐมนตรีว่าการกระทรวงดิจิทัลฯ กล่าวว่า รัฐบาลให้ความสำคัญกับการคุ้มครองสิทธิของประชาชน และการลงโทษปรับทางปกครองครั้งนี้ถือเป็นหมุดหมายสำคัญที่แสดงให้เห็นว่ากฎหมาย PDPA เป็นข้อบังคับที่ทุกองค์กรต้องปฏิบัติตามอย่างเคร่งครัด โดยรัฐบาลตั้งเป้าหมายชัดเจนว่า “ข้อมูลรั่วไหลต้องเป็นศูนย์” ซึ่งจะเกิดขึ้นได้จากการสร้างวัฒนธรรมองค์กรที่ใส่ใจข้อมูลส่วนบุคคลอย่างจริงจัง โดยกระทรวงฯ จะเร่งผลักดัน 3 ด้านหลัก คือ การส่งเสริมให้มีเจ้าหน้าที่ DPO, การพัฒนามาตรฐานความปลอดภัย และการสร้างความรู้ความเข้าใจแก่ประชาชน
ด้าน พ.ต.อ. สุรพงศ์ เปล่งขำ เลขาธิการ สคส. ได้เปิดเผยรายละเอียดกรณีศึกษาสำคัญ เช่น กรณีข้อมูลประชาชนกว่า 200,000 รายชื่อของหน่วยงานรัฐรั่วไหลสู่ Dark Web และกรณีเอกสารเวชระเบียนของผู้ป่วยจากโรงพยาบาลเอกชนถูกนำไปทำเป็นถุงขนม ซึ่งทั้งสองกรณีมีการลงโทษปรับทั้งผู้ควบคุมข้อมูล (หน่วยงานรัฐ, โรงพยาบาล) และผู้ประมวลผลข้อมูล (บริษัทพัฒนาซอฟต์แวร์, ผู้รับจ้างทำลายเอกสาร) นอกจากนี้ยังมีกรณีของธุรกิจค้าปลีกและออนไลน์ที่ถูกปรับในอัตราสูงถึง 7 ล้านบาท เนื่องจากไม่ปฏิบัติตามกฎหมายหลายข้อหา
เปิด 5 เคสอุทาหรณ์ที่ทุกองค์กรต้องรู้
พ.ต.อ. สุรพงศ์ เปล่งขำ เลขาธิการ สคส. ได้เปิดเผยรายละเอียด 5 กรณีสำคัญที่นำไปสู่การลงโทษปรับครั้งใหญ่ ได้แก่:
บริษัทขายของเล่นสะสม: ไม่มีมาตรการรักษาความปลอดภัยที่เหมาะสม ผู้ควบคุมข้อมูล (บริษัท) ถูกปรับ 5 แสนบาท และ ผู้ประมวลผลข้อมูลถูกปรับ 3 ล้านบาท
หน่วยงานรัฐ และ บริษัทพัฒนาซอฟต์แวร์: ปล่อยให้ข้อมูลประชาชนกว่า 2 แสนรายชื่อรั่วไหลไปประกาศขายบน Dark Web เหตุจากระบบความปลอดภัยอ่อนแอและไม่มีข้อตกลง DPA ที่รัดกุม ถูกปรับรายละ 153,120 บาท
โรงพยาบาลเอกชน และ ผู้รับจ้างทำลายเอกสาร: เคสสุดช็อกที่เอกสารเวชระเบียนกว่า 1,000 ฉบับ ถูกนำไปทำเป็น “ถุงขนมโตเกียว” เหตุจากขาดการกำกับดูแลผู้รับจ้าง โรงพยาบาลถูกปรับ 1,210,000 บาท และ ผู้รับจ้างถูกปรับ 16,940 บาท
บริษัทขายอุปกรณ์คอมพิวเตอร์: มี 3 ความผิดร้ายแรง คือ ไม่มีมาตรการรักษาความปลอดภัย, ไม่แจ้งเหตุข้อมูลรั่วไหล และไม่มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ถูกปรับหนักที่สุด 7 ล้านบาท
บริษัทขายเครื่องสำอาง: ไม่มีมาตรการรักษาความปลอดภัยและไม่แจ้งเหตุข้อมูลรั่วไหล ถูกปรับ 2.5 ล้านบาท
การดำเนินการครั้งนี้ถือเป็นสัญญาณเตือนให้ทุกภาคส่วนต้องยกระดับมาตรฐานการจัดการข้อมูลส่วนบุคคลอย่างเร่งด่วน โดย สคส. ยืนยันว่าจะเดินหน้าตรวจสอบและบังคับใช้กฎหมายอย่างต่อเนื่องต่อไป
