สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ภายใต้กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) เดินหน้าบังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) อย่างเข้มข้น ล่าสุด ในรอบปีงบประมาณ 2568 ได้มีคำสั่งลงโทษปรับทางปกครองกับหน่วยงานภาครัฐ เอกชน และบริษัทผู้ประมวลผลข้อมูลส่วนบุคคล รวม 5 เรื่อง 8 คำสั่งต่อเนื่องจากในรอบปีงบประมาณ 2567 ซึ่งได้เคยมีคำสั่งลงโทษปรับทางปกครองมาแล้ว 1 เรื่อง 1 คำสั่ง รวมตั้งแต่บังคับใช้ PDPA มามีคำสั่งลงโทษปรับทางปกครองไปแล้ว 6 เรื่อง 9 คำสั่ง โดยมีมูลค่ารวมของโทษปรับทั้งสิ้นกว่า 21.5 ล้านบาท
นายประเสริฐ จันทรรวงทอง รองนายกรัฐมนตรีและ รมว.ดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) กล่าวว่า ประเทศไทยได้บังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 มาระยะหนึ่งแล้ว ซึ่งถือเป็นกฎหมายที่สำคัญอย่างยิ่งในการคุ้มครองสิทธิของประชาชนในยุคดิจิทัล รัฐบาลจึงให้ความสำคัญกับการผลักดันกลไกการบังคับใช้กฎหมายให้เกิดผลเป็นรูปธรรม โดยเฉพาะกรณีที่หน่วยงานทั้งภาครัฐและเอกชนที่มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลสำคัญของประชาชนจำนวนมากแต่ไม่จัดให้มีมาตรการรักษาความปลอดภัยที่เหมาะสมเพียงพอ อันเป็นเหตุให้มิจฉาชีพอาจฉวยโอกาสเอาไปหลอกลวงประชาชน
ในปี 2567 ได้มีคำสั่งลงโทษปรับทางปกครองไป 1 แห่งแล้ว และในปี 2568 ได้มีคำสั่งลงโทษปรับทางปกครองกับหน่วยงานที่ฝ่าฝืนหรือไม่ปฏิบัติตาม PDPA อีก ซึ่งครั้งนี้มีหน่วยงานที่ถูกลงโทษปรับทางปกครอง ทั้งหน่วยงานภาครัฐ และเอกชน ถือเป็นหมุดหมายสำคัญที่หน่วยงานรัฐและเอกชนต้องตระหนักว่า การคุ้มครองข้อมูลส่วนบุคคลไม่ใช่เพียงเรื่องของการบริหารจัดการภายใน เป็นเรื่องของความรับผิดชอบต่อสิทธิขั้นพื้นฐานของประชาชน ซึ่งกฎหมายฉบับนี้ไม่ได้เป็นแค่แนวทางปฏิบัติ แต่เป็นข้อบังคับทางกฎหมายที่ต้องปฏิบัติตามอย่างเคร่งครัด เพื่อความรับผิดชอบในการปกป้องและคุ้มครองข้อมูลส่วนบุคคลของประชาชน ไม่มีเว้นทั้งหน่วยงานภาครัฐและภาคเอกชน
รัฐบาลมีเป้าหมายในเรื่องนี้ชัดเจน คือ "ข้อมูลรั่วไหลต้องเป็นศูนย์" ซึ่งไม่สามารถเกิดขึ้นได้เพียงแค่การลงโทษภายหลัง แต่ต้องมาจากการปรับระบบคิด การจัดการความเสี่ยง และการสร้างวัฒนธรรมองค์กรที่ใส่ใจข้อมูลส่วนบุคคลอย่างจริงจัง โดยในระยะต่อไป กระทรวงฯ จะร่วมกับ สคส. และภาคีเครือข่าย ดำเนินการ 3 ด้านหลัก ได้แก่ การส่งเสริมให้ทุกองค์กรมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) อย่างเป็นระบบ การพัฒนามาตรฐานความมั่นคงปลอดภัยของระบบสารสนเทศที่ทันสมัย และการรณรงค์สร้างความรู้ความเข้าใจแก่ประชาชนในการรู้เท่าทันสิทธิของตนเอง
ด้าน พ.ต.อ.สุรพงศ์ เปล่งขำ เลขาธิการ สคศ. กล่าวว่า การลงโทษครั้งนี้เป็นผลจากกระบวนการตรวจสอบรวบรวมข้อเท็จจริง และพิจารณาของคณะกรรมการผู้เชี่ยวชาญอย่างเป็นทางการ โดยมี 5 กรณีสำคัญที่เป็นอุทาหรณ์ให้ทั้งภาครัฐและเอกชนต้องเร่งปรับตัว ได้แก่ กรณีแรก เป็นเหตุการณ์ที่เกิดขึ้นกับหน่วยงานของรัฐรายหนึ่งที่ให้บริการประชาชนผ่านระบบออนไลน์ (Web App) ซึ่งถูกโจมตีและนำข้อมูลส่วนบุคคลของประชาชนกว่า 200,000 รายไปประกาศขายใน DARK Web โดยมิชอบ
จากการตรวจสอบพบว่า หน่วยงานรัฐดังกล่าวไม่ได้จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศอย่างเหมาะสม รวมถึงใช้รหัสผ่านที่อ่อนแอ ไม่มีการประเมินความเสี่ยงและไม่ได้ทบทวนมาตรการอย่างต่อเนื่อง ทั้งยังละเลยการทำข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement) กับบริษัทพัฒนาระบบที่ทำหน้าที่เป็นผู้ประมวลผลข้อมูลส่วนบุคคล
สำหรับบริษัทพัฒนาระบบที่เกี่ยวข้องก็ไม่มีการออกแบบมาตรการรักษาความมั่นคงปลอดภัยตั้งแต่ต้น ขาดระบบควบคุมการเข้าถึงข้อมูล ไม่มีการประเมินความเสี่ยง และแม้จะไม่ได้รับข้อตกลง DPA จากหน่วยงานภาครัฐ แต่ก็ไม่ได้ดำเนินการใด ๆ เพื่อป้องกันความเสี่ยงจากการรั่วไหลของข้อมูล จึงเข้าข่ายความผิดในฐานะผู้ประมวลผลข้อมูลส่วนบุคคลตามกฎหมาย คณะกรรมการผู้เชี่ยวชาญ คณะที่ 3 จึงมีคำสั่งปรับหน่วยงานภาครัฐและบริษัทเอกชนดังกล่าว เป็นเงินทั้งสิ้นหน่วยงานละ 153,120 บาท
อีกกรณีที่ได้รับความสนใจอย่างกว้างขวาง คือเหตุการณ์ที่เกิดขึ้นกับโรงพยาบาลเอกชนขนาดใหญ่รายหนึ่ง ซึ่งปรากฏภาพถุงขนมโตเกียวที่ทำจากเอกสารเวชระเบียนของผู้ป่วย ถูกเผยแพร่ผ่านโซเชียลมีเดีย และจากการตรวจสอบพบว่ามีเอกสารเวชระเบียนของผู้ป่วยหลุดไปกว่า 1,000 ฉบับ ในขั้นตอนการส่งทำลายเอกสาร ซึ่งโรงพยาบาลดังกล่าวได้ทำข้อตกลงกับกิจการขนาดเล็กซึ่งมีลักษณะเป็นธุรกิจครอบครัวให้ทำหน้าที่ทำลายเอกสารเวชระเบียน แต่ไม่ได้มีการติดตาม ควบคุม หรือตรวจสอบกระบวนการให้เป็นไปตามมาตรฐานที่กำหนด ส่งผลให้เอกสารสำคัญซึ่งเป็นข้อมูลสุขภาพอันเป็นข้อมูลส่วนบุคคลประเภทอ่อนไหวตามมาตรา 26 รั่วไหลสู่ภายนอก โดยไม่ได้มีการลบหรือทำลายข้อมูลส่วนบุคคลให้ถูกต้องตามระยะเวลาที่กฎหมายกำหนด ในส่วนของเอกชนบุคคลธรรมดาผู้รับจ้างทำลายเอกสาร ก็ได้นำเวชระเบียนที่ได้รับจากโรงพยาบาลกลับไปพักไว้ที่บ้านของตนเอง โดยไม่ได้ดำเนินการตามขั้นตอนที่ตกลงไว้ และไม่ได้แจ้งเหตุการรั่วไหลให้โรงพยาบาลทราบ จึงเข้าข่ายเป็นการไม่ปฏิบัติตามหน้าที่ของผู้ประมวลผลข้อมูลอย่างชัดเจน คณะกรรมการผู้เชี่ยวชาญ คณะที่ 4 จึงมีมติลงโทษปรับโรงพยาบาลดังกล่าวเป็นเงิน 1,210,000 บาท และปรับบุคคลธรรมดาผู้เป็นผู้ประมวลผลข้อมูลอีก 16,940 บาท รวมเป็นมูลค่า 1,226,940 บาท
ส่วนอีก 3 กรณี เป็นกรณีที่มีข้อมูลส่วนบุคคลของประชาชนรั่วไหลจากหน่วยงานเอกชนซึ่งเป็นหน่วยงานด้านการค้าส่ง ค้าปลีกและสินค้าออนไลน์ และมีผู้เสียหายร้องเรียน อันอยู่ในความรับผิดชอบของคณะกรรมการผู้เชี่ยวชาญคณะที่ 2 โดยกรณีที่ 1 เกิดจากหน่วยงานขายเครื่องและอุปกรณ์คอมฯไม่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม ไม่แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่ สคส. ตามกฎหมาย และเป็นหน่วยงานที่มีการเก็บรวบรวมข้อมูลส่วนบุคคลอย่างสม่ำเสมอด้วยเหตุที่มีข้อมูลส่วนบุคคลจำนวนมากแต่ไม่จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล รวม 3 ข้อหา คณะกรรมการผู้เชี่ยวชาญคณะที่ 2 จึงมีคำสั่งลงโทษปรับ 7 ล้านบาท
กรณีที่ 2 เกิดจากหน่วยงานขายเครื่องสำอางไม่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม และไม่แจ้งเหตุการละเมิดของมูลส่วนบุคคลแก่ สคส.ตามกฎหมาย รวม 2 ข้อหา คณะกรรมการผู้เชี่ยวชาญคณะที่ 2 จึงมีคำสั่งลงโทษปรับ 2.5 ล้านบาท และกรณีที่ 3 เกิดจากหน่วยงานขายของเล่นสะสม ไม่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม คณะกรรมการผู้เชี่ยวชาญคณะที่ 2 จึงมีคำสั่งลงโทษปรับหน่วยงานผู้ควบคุมข้อมูลส่วนบุคคล 5 แสนบาท และลงโทษปรับหน่วยงานผู้ประมวลผลข้อมูลส่วนบุคคล 3 ล้านบาท
เลขาธิการ สคศ. กล่าวว่า 5 กรณีนี้ถือเป็นสัญญาณชัดเจนถึงทุกภาคส่วน ทั้งหน่วยงานภาครัฐ เอกชน และผู้ให้บริการที่เกี่ยวข้องว่า การจัดการข้อมูลส่วนบุคคลไม่ใช่เพียงเรื่องของเทคนิคหรือเอกสาร แต่คือความรับผิดชอบที่ต้องมีมาตรฐานด้านความปลอดภัย การประเมินความเสี่ยงอย่างสม่ำเสมอ และกลไกการกำกับติดตามที่โปร่งใส เพื่อไม่ให้เกิดความเสียหายต่อสิทธิของประชาชนอย่างไม่อาจแก้ไขได้
ทั้งนี้ สคส.อยู่ระหว่างพิจารณากรณีอื่น ๆ อีกจำนวนมาก และจะเร่งดำเนินการตามขั้นตอนทางกฎหมายอย่างเคร่งครัด พร้อมขับเคลื่อนแนวทางป้องกันเชิงรุก เพื่อให้เป้าหมาย "ข้อมูลรั่วไหลต้องเป็นศูนย์" กลายเป็นเป้าหมายสำคัญของทุกองค์กรในสังคมไทย