สคส. แถลงปรับข้อมูลรั่วไหล ปรับจริง เจ็บจริง ไม่ว่าจะเป็นภาครัฐหรือภาคเอกชน จำนวน 5 ราย

สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ( สคส. ) ภายใต้การกำกับของกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ได้มีคำสั่งลงโทษปรับทางปกครองกับหน่วยงานภาครัฐ เอกชน และบริษัทผู้ประมวลผลข้อมูลส่วนบุคคล ซึ่งได้จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลรวม 5 เรื่อง 8 คำสั่ง ต่อเนื่องจากปีงบประมาณ พ.ศ. 2567 โดยมีมูลค่ารวมโทษปรับกว่า 21.5 ล้านบาท

โดย นายประเสริฐ จันทรรวงทอง รองนายกรัฐมนตรีและรัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (DE.) แถลงการณ์ว่า พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งเป็นกฎหมายที่สำคัญในการคุ้มครองสิทธิของประชาชนในยุคดิจิทัล โดยเฉพาะกรณีหน่วนงานรัฐและเอกชนที่มีการเก็บรวบรวมข้อมูลส่วนบุคคลของประชาชนจำนวนมาก แต่ไม่จัดให้มีมาตรการรักษาความปลอดภัยที่เพียงพอ เป็นเหตุให้มิจฉาชีพฉวยโอกาส ซึ่งในช่วงที่ผ่านมาก็มีหน่วยงานทั้งภาครัฐและเอกชนได้ละเมิดข้อมูลตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล จนเป็นที่มาของการเปรียบเทียบปรับหน่วยงานทั้ง 5 โดยมีรายละเอียดดังต่อไปนี้

หน่วยงานที่ 1 การรั่วไหลผ่านการโจมตีทางไซเบอร์

หน่วยงานรัฐแห่งหนึ่งให้บริการออนไลน์ถูกโจมตีทางด้านไซเบอร์ได้รับการโจมตีทำให้ข้อมูลส่วนบุคคลรั่วไหลกว่าแสนราย สาเหตุมาจากการขาดมาตรการรักษาความมั่นคงปลอดภัยตั้งแต่ต้น ขาดระบบควบคุมการเข้าถึงข้อมูล ไม่มีการประเมินความเสี่ยงและการทบทวนมาตรการอย่างต่อเนื่อง และไม่ได้รับข้อตกลง DPA จากหน่วยงานรัฐ แต่ไม่ได้ดำเนินการเพื่อป้องกันความเสี่ยงจากการรั่วไหลของข้อมูลจึงเข้าข่ายความผิดในฐานะผู้ประมวลผลข้อมูลส่วนบุคคลตามกฎหมาย คณะกรรมการผู้เชี่ยวชาญ คณะที่ 3 จึงมีคำสั่งปรับหน่วยงานภาครัฐและเอกชน เป็นเงินทั้งสิ้นหน่วยงานละ 153,120 บาท

หน่วยงานที่ 2 การรั่วไหลในขั้นตอนการทำลายข้อมูล

โรงพยาบาลเอกชนขนาดใหญ่ ปรากฏภาพถุงขนมที่ทำจากเอกสาร เวชระเบียนของผู้ป่วย และจากการตรวจสอบพบว่ามีเอกสารเวชระเบียนของผู้ป่วยหลุดไปกว่า 1,000 ฉบับ โดยในขั้นตอนการทำลายเอกสาร โรงพยาบาลได้ทำข้อตกลงกับกิจการขนาดเล็กให้ทำลายเอกสารดังกล่าว แต่ไม่ได้ติดตามการควบคุม ส่งผลให้เอกสารสำคัญซึ่งเป็นข้อมูลสุขภาพอันเป็นข้อมูลส่วนบุคคลประเภทอ่อนไหวตาม มาตรา 26 รั่วไหลสู่ภายนอกโดยไม่ได้มีการลบหรือทำลายข้อมูลส่วนบุคคลให้ถูกต้องตามระยะเวลา ในส่วนเอกชนบุคคลธรรมดาผู้รับจ้างทำลายเอกสาร ไม่ดำเนินการตามขั้นตอนที่ตกลงไว้ และไม่ได้แจ้งเหตุการรั่วไหลให้โรงพยาบาลทราบ เข้าข่ายเป็นการไม่ปฏิบัติตามหน้าที่ของผู้ประมวลข้อมูลอย่างชัดเจน  คณะกรรมการผู้เชี่ยวชาญ คณะที่ 4 มีมติลงโทษปรับโรงพยาบาลดังกล่าว เป็นเงิน 1,210,000 บาท และปรับบุคคลธรรมดาผู้ประมวลผลข้อมูลอีก 16,940 บาท

อีก 3 กรณี เป็นกรณีที่มีข้อมูลส่วนบุคคลของประชาชนรั่วไหลจากหน่วยงานเอกชนซึ่งเป็นหน่วยงานด้านการค้าส่ง ค้าปลีกและสินค้าออนไลน์ โดย  

หน่วยงานที่ 3  มีการรั่วไหลแล้วไม่แจ้งเหตุต่อ PDPC และ ไม่จัดให้มี DPO

หน่วยงานนี้เป็นภาคเอกชน บริษัทขายเครื่องและอุปกรณ์คอมพิวเตอร์ ไม่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม ไม่แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่ สคส. และเป็นหน่วยงานที่มีการเก็บรวบรวมข้อมูลส่วนบุคคลอย่างสม่ำเสมอที่มีข้อมูลส่วนบุคคลจำนวนมากแต่ไม่จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลจำนวนมากแต่ไม่จัดให้มี DPO รวม 3 ข้อหา คณะกรรมการผู้เชี่ยวชาญคณะที่ 2 ได้มีคำสั่งลงโทษปรับ 7 ล้านบาท

หน่วยงานที่ 4 ไม่มีมาตรการรักษาความปลอดภัยที่เพียงพอ และ ไม่แจ้งเหตุต่อ PDPC 

หน่วยงานเอกชนแห่งนี้เป็น ผู้จำหน่ายเครื่องสำอางค์ โดยบริษัทแห่งนี้ไม่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม และไม่แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่ สคส. รวม 2 ข้อหา คณะกรรมการผู้เชี่ยวชาญคณะที่ 2 จึงมีคำสั่งลงโทษปรับ 2.5 ล้านบาท

หน่วยงานที่ 5 ไม่มีมาตรการรักษาความปลอดภัยที่เพียงพอ

หน่วยงานนี้เป็นภาคเอกชนเช่นกัน เป็นร้านขายของเล่นสะสม ไม่จัดให้มีมาตราการรักษาความมั่นคงปลอดภัยที่เหมาะสม คณะกรรมการผู้เชี่ยวชาญคณะที่ 2 จึงมีคำสั่งลงโทษปรับหน่วยงานผู้ควบคุมข้อมูลส่วนบุคคล 5 แสนบาท และลงโทษปรับหน่วยงานผู้ประมวลผลข้อมูลส่วนบุคคล 3 ล้านบาท

กรณีการชดเชยผู้เสียหายจากเหตุข้อมูลรั่วไหล ยกตัวอย่างกรณีที่ 5 หน่วยงานถูกแฮ็กเกอร์แล้วมีข้อมูลรั่วไหล หน่วยงานถูกปรับเป็นจำนวนเงิน 5 แสนบาท เนื่องจากมีการเยียวยาประชาชนอย่างรวดเร็ว แต่หน่วยงานที่มีการรับจ้างในการทำระบบคอมพิวเตอร์มีความละเลยในการปฏิบัติหน้าที่ ทำให้ข้อมูลที่รั่วไหลถูกแก้ไขไปประมาณ 2  แสน ไม่มีการเยียวยา และไม่แจ้งเหตุต่อ สคส.ดังนั้นหน่วยงานรัฐและเอกชนต้องใช้นโยบายป้องกันข้อมูลรั่วไหล หากเกิดการรั่วไหลข้อมูลต้องรีบแจ้งต่อ สคส. หากไม่แจ้งเหตุรั่วไหล ไม่สามารถชี้แจงได้ว่ารั่วมาจากที่ไหน  และ ไม่เยี่ยวยา  ก็จะมีการลงโทษปรับ

            รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมโดยตั้งเป้าไว้ในปี พ.ศ. 2568 ว่า “ข้อมูลรั่วไหลต้องเป็นศูนย์”  โดยในระยะต่อไปกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (DE. ) จะร่วมมือกับ สคส. และภาคีเครือข่าย ดำเนินการ 3 ด้านหลัก ได้แก่  

1)  การส่งเสริมให้ทุกองค์กรมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ( DPO )

2) การพัฒนามาตรฐานความมั่งคงปลอดภัยของระบบสารสนเทศที่ทันสมัย

3) การรณรงค์สร้างความรู้ความเข้าใจแก่ประชาชนในการรู้เท่าทันสิทธิของตนเอง

นอกจากนั้น รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ได้กล่าวโดยสรุปอีกว่า การดำเนินการในครั้งนี้เป็นการพิจารณาภายใต้ความโปร่งใส และใช้หลักกฎหมายที่เกี่ยวข้องในการพิจารณา และมีข้อมูลเพิ่มเติม 4 เรื่อง โดยใน 

• เรื่องที่ 1 พระราชกำหนดมาตรการป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยี มีผลบังคับใช้ 2 ฉบับ ซึ่งพระราชกำหนดมาตรการป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยี มีการเพิ่มโทษมากขึ้น ซึ่งมีผลบังคับใช้แล้ว

• เรื่องที่ 2 พนักงานคุ้มครองข้อมูลส่วนบุคคล DPO ขอให้ทุกหน่วยงานตระหนัก และการปฏิบัติหน้าที่อย่างเคร่งครัด ตามที่ สคส. กำหนด

• เรื่องที่ 3 ขอให้ทุกหน่วยงานปฏิบัติตามกฎหมายอย่างเคร่งครัด โดยไม่มีโทษลดย่อน ปรับตามโทษที่กำหนด ทั้งหน่วยงาน รวมถึงผู้พัฒนาระบบ

• เรื่องที่ 4  ประชาชนที่ถูกละเมิดสามารถมาใช้สิทธิได้ที่สำนักงานคุ้มครองข้อมูลส่วนบุคคล และศูนย์รับเรื่องแจ้งเหตุละเมิด

ผู้ประกอบการที่มีการเก็บข้อมูลเกิน 1 แสนซึ่งรวมถึงข้อมูลในปัจจุบัน และยังคงมีการใช้ข้อมูลนั้นอยู่ จะต้องมีการจัดตั้งให้มีพนักงานคุ้มครองข้อมูลส่วนบุคคล DPO รวมถึงหน่วยงานของรัฐด้วย หากในหน่วยงานใดไม่มี DPO จะมีการปรับ ซึ่งในการจัดตั้งให้มี DPO จะต้องแจ้งมายังสำนักงานคุ้มครองข้อมูลส่วนบุคคล เพื่อให้มีผลตามกฎหมาย หากเป็นกรณีที่ไม่มีการแจ้งจะถือว่าไม่มีผลในทางกฏหมาย อีกทั้ง  สคส. ยังมีการจัดอบรมและปรับเปลี่ยนกลยุทธ์อยู่เสมอ

ดังนั้นถึงเวลาไตร่ตรองความสำคัญจริง ๆ แล้วหรือยังสำหรับองค์กรของท่าน