ถุงขนมทำพิษ PDPC ปรับ รพ. เอกชน ทำข้อมูลผู้ป่วยหลุด 1.2 ล้านบาท และลงโทษรวมกว่า 21.5 ล้านบาท

สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC หรือ สคส.) ได้จัดการแถลงข่าวครั้งสำคัญเพื่อประกาศมาตรการเชิงรุกในการบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) อย่างจริงจัง โดยเฉพาะอย่างยิ่งกรณีที่เกิดการละเมิดข้อมูลส่วนบุคคลของประชาชน ไม่ว่าจะจากหน่วยงานภาครัฐหรือเอกชน การแถลงข่าวครั้งนี้เป็นการส่งสัญญาณที่ชัดเจนว่าการคุ้มครองข้อมูลส่วนบุคคลไม่ใช่เรื่องรองอีกต่อไป แต่เป็นภารกิจสำคัญเร่งด่วนที่ทุกองค์กรต้องตระหนักและปฏิบัติอย่างเคร่งครัด

โดยมีนายประเสริฐ จันทรวงทอง รองนายกรัฐมนตรีและรัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (MDES) พร้อมด้วยทีมผู้บริหารของ PDPC ร่วมแถลงรายละเอียด

พันตำรวจเอก สุรพงษ์ เป่งขำ เลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ได้เน้นย้ำถึงที่มาและวัตถุประสงค์ของการแถลงข่าว โดยชี้ให้เห็นว่าในยุคที่เทคโนโลยีก้าวหน้าอย่างรวดเร็ว โอกาสเกิดอาชญากรรมทางเทคโนโลยีก็เพิ่มขึ้นอย่างรุนแรงเช่นกัน และบ่อยครั้ง อาชญากรรมเหล่านี้มักเริ่มต้นจากการหลอกลวงที่ใช้ข้อมูลส่วนบุคคลของประชาชนเป็นฐาน

ดังนั้น การปฏิบัติตามกฎหมาย PDPA จึงมีความสำคัญอย่างยิ่งต่อ การป้องกันอาชญากรรมทางเทคโนโลยีได้ตั้งแต่ต้นทาง รัฐบาลมีเป้าหมายที่ชัดเจนคือ “ข้อมูลรั่วไหลต้องเป็นศูนย์” ซึ่งไม่ใช่แค่การลงโทษหลังเกิดเหตุ แต่เป็นการส่งเสริมและปรับเปลี่ยนแนวคิดให้ทุกหน่วยงานมีวัฒนธรรมองค์กรที่ให้ความสำคัญกับการคุ้มครองข้อมูลส่วนบุคคล

มีการลงโทษทางปกครองรวมกว่า 21.5 ล้านบาท

ข้อมูลจากการแถลงข่าวระบุว่า PDPC ได้ดำเนินการบังคับใช้กฎหมายอย่างต่อเนื่องและเข้มข้น โดยในรอบปีงบประมาณ พ.ศ. 2567 (ซึ่งยังไม่สิ้นสุด) มีคำสั่งลงโทษปรับทางปกครองไปแล้ว 5 เรื่อง รวม 8 คำสั่ง ต่อเนื่องจากปีงบประมาณ พ.ศ. 2566 ซึ่งมี 1 เรื่อง 1 คำสั่ง ทำให้มียอดรวมการลงโทษปรับทางปกครองสะสม 6 เรื่อง 9 คำสั่ง มูลค่ารวมกว่า 21.5 ล้านบาท

1. หน่วยงานรัฐถูกโจมตีทางไซเบอร์: ข้อมูลกว่า 200,000 รายการรั่วไหลสู่ Dark Web เนื่องจากการขาดมาตรการรักษาความปลอดภัยที่เหมาะสม, ใช้รหัสผ่านที่อ่อนแอ, ไม่มีการประเมินความเสี่ยงและทบทวนมาตรการอย่างต่อเนื่อง, และละเลยการทำข้อตกลงการประมวลผลข้อมูลกับบริษัทผู้พัฒนา ระบบ ทั้งหน่วยงานรัฐและผู้พัฒนาระบบถูกปรับรายละ 153,120 บาท
2. โรงพยาบาลเอกชนทำข้อมูลเวชระเบียนหลุด: เอกสารเวชระเบียนผู้ป่วยกว่า 1,000 ฉบับหลุดออกไประหว่างขั้นตอนการทำลายเอกสาร โดยโรงพยาบาลไม่ได้ติดตามกระบวนการ และผู้รับจ้างนำเอกสารไปเก็บไว้ที่บ้านและนำไปใช้ประโยชน์อื่น เช่น ห่อขนม โรงพยาบาลถูกปรับ 1,210,000 บาท และบุคคลธรรมดาที่รับจ้างทำลายเอกสารถูกปรับ 16,940 บาท
3. บริษัทขายคอมพิวเตอร์ขนาดใหญ่: ไม่จัดมาตรฐานรักษาความปลอดภัยที่เหมาะสม, ไม่แจ้งเหตุการละเมิดข้อมูล, และไม่มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ถูกปรับ 7 ล้านบาท (เทียบเท่ากับกรณีในปี 2567)
4. บริษัทขายเครื่องสำอาง: ไม่จัดมาตรการรักษาความปลอดภัยที่เหมาะสม และไม่แจ้งเหตุการละเมิดข้อมูล ถูกปรับ 2,500,000 บาท
5. บริษัทขายของเล่นสะสม: ไม่จัดมาตรฐานรักษาความปลอดภัยที่เหมาะสม ถูกปรับโดยหน่วยงานควบคุมข้อมูลส่วนบุคคล 500,000 บาท และผู้ประมวลผลข้อมูลส่วนบุคคล 3,000,000 บาท (กรณีนี้ถูกแฮกเกอร์โจมตี แต่ผู้ขายเยียวยาผู้เสียหายรวดเร็ว ส่วนผู้รับจ้างทำระบบละเลยทำให้แฮกเกอร์ปั่นป่วนระบบนานและไม่เยียวยา/แจ้ง)

การแถลงข่าวครั้งนี้ตอกย้ำความมุ่งมั่นของรัฐบาลและ สคส. ในการบังคับใช้กฎหมาย PDPA เพื่อปกป้องข้อมูลส่วนบุคคลของประชาชนอย่างจริงจัง โดยมีเป้าหมายสูงสุดคือการทำให้การรั่วไหลของข้อมูลเป็นศูนย์ ผ่านการลงโทษที่เด็ดขาด การส่งเสริมการป้องกัน และการให้ความรู้แก่ทุกภาคส่วน เพื่อสร้างความมั่นใจในระบบดิจิทัลของประเทศและตัดวงจรอุบาทว์ของอาชญากรรมไซเบอร์ที่มักเริ่มต้นจากการใช้ข้อมูลส่วนบุคคลที่รั่วไหล