Articles
แชร์

PDPA บังคับใช้อย่างจริงจัง เตือนองค์กรเร่งปกป้องข้อมูลส่วนบุคคล

PDPA บังคับใช้อย่างจริงจัง ลงโทษปรับหลายล้านบาทเป็นอุทาหรณ์สำคัญให้องค์กรตื่นตัว ป้องกันความเสียหายและรักษาความน่าเชื่อถือ

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ที่มีผลบังคับใช้ในประเทศไทย ไม่ได้เป็นเพียงกฎหมายอีกฉบับที่องค์กรต้องเรียนรู้และดำเนินการตาม หากแต่ได้กลายเป็น “บทเรียนราคาแพง” ที่กำลังส่งสัญญาณเตือนอย่างจริงจังไปยังทุกหน่วยงาน ไม่ว่าจะเป็นภาครัฐหรือภาคเอกชน ให้หันกลับมาตระหนักถึงความสำคัญของ “ความรับผิดชอบ” ในการคุ้มครองข้อมูลส่วนบุคคลที่อยู่ภายใต้การดูแลของตน ดังนั้น PDPA ไม่ใช่เพียงเครื่องมือทางกฎหมาย แต่คือเครื่องสะท้อนถึงคุณธรรม จริยธรรม และความโปร่งใสในการดำเนินงานขององค์กรท่ามกลางโลกยุคดิจิทัลที่ข้อมูลคือทรัพย์สินอันมีค่า

การบังคับใช้กฎหมายก็ไม่ใช่เพียงนามธรรมอีกต่อไป เมื่อข้อมูลจาก สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ได้ยืนยันถึงความเข้มงวดในการดำเนินการตามกฎหมายอย่างจริงจัง โดยในปี 2568 เพียงปีเดียว สคส. ได้ออกคำสั่งปรับทางปกครองแล้วถึง 5 กรณี รวม 8 คำสั่ง คิดเป็นมูลค่ารวมกว่า 21.5 ล้านบาท ซึ่งถือเป็นการต่อยอดจากปี 2567 ที่มีการลงโทษไปแล้ว 1 กรณี ซึ่งกรณีเหล่านี้ล้วนเป็น บทเรียนสำคัญ ที่ตอกย้ำว่า ความหละหลวมในการจัดการข้อมูลส่วนบุคคล ไม่ใช่เรื่องเล็กน้อยที่สามารถมองข้ามได้อีกต่อไป แต่เป็นจุดอ่อนที่อาจนำมาซึ่งความเสียหายอย่างร้ายแรง ทั้งในด้านการเงิน ชื่อเสียง และความเชื่อมั่นของประชาชน

บทเรียนจากกรณีศึกษา: ความเสียหายที่เกิดขึ้นจริง

กรณีที่โดดเด่นและเป็นที่พูดถึงอย่างกว้างขวางคือ เหตุข้อมูลรั่วไหลจากหน่วยงานภาครัฐ ที่ให้บริการผ่านระบบออนไลน์ ซึ่งถูกโจมตีจนข้อมูลประชาชนกว่า 200,000 รายถูกนำไปประกาศขายใน Dark Web ต้นเหตุมาจากการขาดมาตรการรักษาความปลอดภัยที่เหมาะสม การใช้รหัสผ่านที่อ่อนแอ และการละเลยการประเมินความเสี่ยงอย่างต่อเนื่อง ทำให้หน่วยงานนี้และบริษัทผู้พัฒนาระบบถูกปรับรายละ 153,120 บาท จากการตรวจสอบพบว่า หน่วยงานรัฐดังกล่าวไม่ได้จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศอย่างเหมาะสม รวมถึงใช้รหัสผ่านที่อ่อนแอ ไม่มีการประเมินความเสี่ยงและไม่ได้ทบทวนมาตรการอย่างต่อเนื่อง สำหรับบริษัทพัฒนาระบบที่เกี่ยวข้อง ก็ไม่มีการออกแบบมาตรการรักษาความมั่นคงปลอดภัยตั้งแต่ต้น ขาดระบบควบคุมการเข้าถึงข้อมูล ไม่มีการประเมินความเสี่ยง และแม้จะไม่ได้รับข้อตกลง DPA จากหน่วยงานภาครัฐ แต่ก็ไม่ได้ดำเนินการใด ๆ เพื่อป้องกันความเสี่ยงจากการรั่วไหลของข้อมูล จึงเข้าข่ายความผิดในฐานะผู้ประมวลผลข้อมูลส่วนบุคคลตามกฎหมาย อีกกรณีที่สร้างความตกใจไม่แพ้กันคือ โรงพยาบาลเอกชนขนาดใหญ่ ที่ปล่อยให้เอกสารเวชระเบียนของผู้ป่วยกว่า 1,000 ฉบับ รั่วไหลไปสู่ภายนอกจนถูกนำไปทำเป็นถุงขนมโตเกียว เหตุการณ์นี้เกิดขึ้นในขั้นตอนการทำลายเอกสาร ซึ่งโรงพยาบาลไม่ได้ควบคุมกระบวนการของผู้รับจ้างอย่างรัดกุม ทำให้ข้อมูลสุขภาพซึ่งเป็นข้อมูลอ่อนไหว (Sensitive Data) รั่วไหล ส่งผลให้โรงพยาบาลถูกปรับ 1.21 ล้านบาท ซึ่งโรงพยาบาลดังกล่าวได้ทำข้อตกลงกับกิจการขนาดเล็กซึ่งมีลักษณะเป็นธุรกิจครอบครัวให้ทำหน้าที่ทำลายเอกสารเวชระเบียน แต่ไม่ได้มีการติดตาม ควบคุม หรือตรวจสอบกระบวนการให้เป็นไปตามมาตรฐานที่กำหนด ส่งผลให้เอกสารสำคัญซึ่งเป็นข้อมูลสุขภาพอันเป็นข้อมูลส่วนบุคคลประเภทอ่อนไหวตามมาตรา 26 รั่วไหลสู่ภายนอก โดยไม่ได้มีการลบหรือทำลายข้อมูลส่วนบุคคลให้ถูกต้องตามระยะเวลาที่กฎหมายกำหนด ในส่วนของเอกชนบุคคลธรรมดาผู้รับจ้างทำลายเอกสาร ก็ได้นำเวชระเบียนที่ได้รับจากโรงพยาบาลกลับไปพักไว้ที่บ้านของตนเอง โดยไม่ได้ดำเนินการตามขั้นตอนที่ตกลงไว้ และไม่ได้แจ้งเหตุการรั่วไหลให้โรงพยาบาลทราบ จึงเข้าข่ายเป็นการไม่ปฏิบัติตามหน้าที่ของผู้ประมวลผลข้อมูลอย่างชัดเจน นอกจากนี้ ยังมีอีก 3 กรณีที่เกิดขึ้นกับหน่วยงานภาคเอกชนในกลุ่มธุรกิจค้าส่ง-ค้าปลีก และสินค้าออนไลน์ ที่มีโทษปรับสูงถึงหลักล้านบาท ซึ่งมีประเด็นสำคัญคือ ไม่จัดให้มีมาตรการรักษาความปลอดภัยที่เหมาะสม และ ไม่แจ้งเหตุข้อมูลรั่วไหล แก่ สคส. ตามกฎหมาย ซึ่งการไม่แจ้งเหตุถือเป็นการละเลยหน้าที่ที่สำคัญอย่างยิ่ง 5 กรณีนี้ถือเป็นสัญญาณชัดเจนถึงทุกภาคส่วน ทั้งหน่วยงานภาครัฐ เอกชน และผู้ให้บริการที่เกี่ยวข้องว่า การจัดการข้อมูลส่วนบุคคลไม่ใช่เพียงเรื่องของเทคนิคหรือเอกสาร แต่คือความรับผิดชอบที่ต้องมีมาตรฐานด้านความปลอดภัย การประเมินความเสี่ยงอย่างสม่ำเสมอ และกลไกการกำกับติดตามที่โปร่งใส เพื่อไม่ให้เกิดความเสียหายต่อสิทธิของประชาชนอย่างไม่อาจแก้ไขได้ ติดตามเนื้อหาข่าวเพิ่มเติมได้ที่นี่

ตารางสรุปกรณีการลงโทษปรับตาม PDPA

การปกป้องข้อมูลส่วนบุคคลไม่ใช่เรื่องของฝ่ายไอทีเพียงฝ่ายเดียว

เหตุการณ์ที่เกิดขึ้นจากการละเลยในการจัดการข้อมูลส่วนบุคคล เป็นบทเรียนที่สะท้อนอย่างชัดเจนว่า “ความมั่นคงปลอดภัยของข้อมูล” ไม่ได้เป็นเพียงประเด็นทางเทคนิคที่ต้องฝากไว้กับฝ่ายไอทีหรือแผนกเทคโนโลยีสารสนเทศเท่านั้น แต่เป็น ภารกิจร่วมของทั้งองค์กร ที่ทุกคนต้องมีส่วนรับผิดชอบ ตั้งแต่ระดับผู้บริหารที่ต้องกำหนดนโยบายและวัฒนธรรมองค์กร ไปจนถึงพนักงานทุกระดับที่ต้องตระหนักและปฏิบัติตามแนวทางอย่างเคร่งครัด การละเลยแม้เพียงเล็กน้อยจากบุคคลใดบุคคลหนึ่ง อาจกลายเป็นจุดเริ่มต้นของความเสียหายครั้งใหญ่ที่ส่งผลกระทบต่อทั้งองค์กร ไม่เพียงแต่จะก่อให้เกิดค่าใช้จ่ายมหาศาลในรูปของค่าปรับหรือการฟ้องร้อง แต่ยังอาจบั่นทอนความน่าเชื่อถือและภาพลักษณ์ขององค์กรในสายตาของลูกค้าและสังคมอย่างไม่อาจกู้คืนได้

ดังนั้น การคุ้มครองข้อมูลส่วนบุคคลควรได้รับการยกระดับให้เป็นวาระสำคัญขององค์กร ไม่ใช่เพียงเพื่อให้เป็นไปตามกฎหมาย แต่เพื่อสร้าง ความไว้วางใจระยะยาว และวางรากฐานของการดำเนินธุรกิจอย่างยั่งยืนในยุคดิจิทัล

เพื่อเป็นการป้องกันไม่ให้เกิดเหตุซ้ำรอย ทุกองค์กรควรหันมาให้ความสำคัญกับแนวทางการป้องกันเชิงรุก ดังนี้:
  • สร้างวัฒนธรรมองค์กรที่ใส่ใจข้อมูล: จัดอบรมให้พนักงานมีความรู้ความเข้าใจเกี่ยวกับ PDPA และวิธีการจัดการข้อมูลที่ถูกต้อง
  • การจัดการความเสี่ยงด้านความมั่นคงปลอดภัย: มีการประเมินความเสี่ยง (Risk Assessment) ของระบบสารสนเทศอย่างสม่ำเสมอ และปรับปรุงมาตรการรักษาความปลอดภัยให้ทันสมัยอยู่เสมอ
  • ควบคุมการเข้าถึงข้อมูลอย่างเคร่งครัด: กำหนดสิทธิ์การเข้าถึงข้อมูลให้เฉพาะผู้ที่จำเป็นต้องใช้ในการทำงานเท่านั้น (Principle of Least Privilege)
  • ทำสัญญากับผู้ประมวลผลข้อมูลอย่างรัดกุม: จัดทำข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (DPA) ที่ระบุหน้าที่ความรับผิดชอบและมาตรการด้านความปลอดภัยอย่างชัดเจนกับคู่ค้าหรือผู้ให้บริการภายนอก
  • มาตรการควบคุมด้านความมั่นคงปลอดภัยข้อมูล: จัดให้มีมาตรฐานความมั่นคงปลอดภัยข้อมูลที่เหมาะสมเพียงพอ เช่น การเข้ารหัสข้อมูลส่วนบุคคลโดยเฉพาะอย่างยิ่งข้อมูลส่วนส่วนบุคคลแบบอ่อนไหวตลอดวงจรชีวิตของข้อมูล การจัดทำข้อมูลนิรนาม (Data anonymization) โดยอาจจะอ้างอิงกับมาตรฐานสากล เช่น ISO 27001, ISO 27701, NIST framework และมาตรฐานอื่นที่เกี่ยวข้อง
  • มีแผนรับมือเหตุการณ์ข้อมูลรั่วไหล: จัดทำแผน Privacy breach management เพื่อเตรียมพร้อมรับมือเมื่อเกิดเหตุการณ์ไม่คาดฝัน และสามารถแจ้งเหตุต่อ สคส. ได้ทันท่วงทีภายใน 72 ชั่วโมง
นายประเสริฐ จันทรรวงทอง รองนายกรัฐมนตรีและรัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) กล่าวว่า ประเทศไทยได้บังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาระยะหนึ่งแล้ว ซึ่งถือเป็นกฎหมายที่สำคัญอย่างยิ่งในการคุ้มครองสิทธิของประชาชนในยุคดิจิทัล โดยรัฐบาลมีเป้าหมายที่ชัดเจนในเรื่องนี้ คือ “ข้อมูลรั่วไหลต้องเป็นศูนย์” ซึ่งไม่อาจบรรลุได้เพียงด้วยการลงโทษภายหลังความเสียหายเกิดขึ้น หากแต่ต้องอาศัย การปรับแนวคิดองค์กร การบริหารความเสี่ยงอย่างเป็นระบบ และการปลูกฝังวัฒนธรรมที่ให้ความสำคัญกับการคุ้มครองข้อมูลส่วนบุคคลในทุกระดับ

ในระยะต่อไป กระทรวงดิจิทัลฯ จะร่วมมือกับ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) และเครือข่ายพันธมิตร เดินหน้ายกระดับมาตรการเชิงนโยบายใน 3 ด้านสำคัญ ได้แก่:

  1. ส่งเสริมให้องค์กรแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) อย่างเป็นระบบและมีบทบาทชัดเจน

  2. พัฒนามาตรฐานด้านความมั่นคงปลอดภัยสารสนเทศ ให้เท่าทันความเสี่ยงในยุคดิจิทัล

  3. สร้างการรับรู้และความเข้าใจให้กับประชาชน เพื่อให้ตระหนักถึงสิทธิของตนในการควบคุมและปกป้องข้อมูลส่วนบุคคล

ขณะเดียวกันบทลงโทษที่เกิดขึ้นจริงในช่วงที่ผ่านมา ถือเป็นหลักฐานชัดเจนว่า PDPA  หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นข้อบังคับที่ถูกบังคับใช้อย่างเคร่งครัดและจริงจัง การเพิกเฉยหรือประมาทเลินเล่อในการปฏิบัติตามกฎหมายฉบับนี้ อาจนำมาซึ่งผลกระทบที่รุนแรง ทั้งในแง่ของค่าปรับมหาศาล และความเสียหายต่อชื่อเสียงองค์กรที่อาจยากจะกอบกู้คืน ด้วยเหตุนี้ จึงถึงเวลาแล้วที่ทุกองค์กรต้องเร่งปรับตัว ยกระดับมาตรการด้านการคุ้มครองข้อมูลส่วนบุคคลให้กลายเป็นวาระสำคัญขององค์กร ไม่ใช่เพียงเพื่อลดความเสี่ยงทางกฎหมาย แต่เพื่อสร้างความเชื่อมั่นให้กับประชาชน และเป็นรากฐานสำคัญในการขับเคลื่อนสังคมดิจิทัลของประเทศไทยให้เติบโตอย่างมั่นคงและยั่งยืน เพราะในยุคที่ข้อมูลกลายเป็น “สินทรัพย์” ที่ทรงคุณค่า และการละเมิดข้อมูลเพียงหนึ่งครั้งอาจหมายถึงความเสียหายทางธุรกิจที่ไม่สามารถประเมินมูลค่าได้ องค์กรจึงต้องมองการคุ้มครองข้อมูลส่วนบุคคลในเชิงกลยุทธ์ ไม่ใช่แค่ภารกิจของฝ่ายใดฝ่ายหนึ่ง

การลงมือในวันนี้ไม่ใช่เพียงการป้องกันวิกฤติในวันข้างหน้า แต่เป็นการวางรากฐานที่มั่นคงให้กับประเทศไทยในการก้าวสู่ “สังคมดิจิทัลที่ปลอดภัย น่าเชื่อถือ และยั่งยืน” ซึ่งจะเป็นพลังขับเคลื่อนสำคัญในการสร้างสรรค์เศรษฐกิจ สังคม และภาครัฐยุคใหม่ที่ประชาชนไว้วางใจได้อย่างแท้จริง

หากองค์กรของคุณกำลังมองหาแนวทางในการยกระดับการคุ้มครองข้อมูลส่วนบุคคลให้เป็นไปตามข้อกำหนดของ PDPA อย่างเป็นระบบ
ดูรายละเอียดบริการที่ปรึกษาด้าน PDPA Consulting Service คลิกที่นี่

ที่ปรึกษา ACinfotec มีความเชี่ยวชาญในเชิงลึกในการออกแบบสถาปัตยกรรมด้านความมั่นคงปลอดภัยข้อมูลและไซเบอร์ (Information Security and Cybersecurity Architecture) ให้กับองค์กรทุกขนาดทั้งภาครัฐและภาคเอกชน ในทุกภาคส่วนธุรกิจ มาอย่างยาวนานกว่า 20 ปี
รับคำปรึกษาเบื้องต้นโดยไม่เสียค่าใช้จ่าย Email: sales@acinfotec.com หรือโทร 02-670-8980-4

PDPA บังคับใช้อย่างจริงจัง ลงโทษปรับหลายล้านบาทเป็นอุทาหรณ์สำคัญให้องค์กรตื่นตัว ป้องกันความเสียหายและรักษาความน่าเชื่อถือ

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ที่มีผลบังคับใช้ในประเทศไทย ไม่ได้เป็นเพียงกฎหมายอีกฉบับที่องค์กรต้องเรียนรู้และดำเนินการตาม หากแต่ได้กลายเป็น “บทเรียนราคาแพง” ที่กำลังส่งสัญญาณเตือนอย่างจริงจังไปยังทุกหน่วยงาน ไม่ว่าจะเป็นภาครัฐหรือภาคเอกชน ให้หันกลับมาตระหนักถึงความสำคัญของ “ความรับผิดชอบ” ในการคุ้มครองข้อมูลส่วนบุคคลที่อยู่ภายใต้การดูแลของตน ดังนั้น PDPA ไม่ใช่เพียงเครื่องมือทางกฎหมาย แต่คือเครื่องสะท้อนถึงคุณธรรม จริยธรรม และความโปร่งใสในการดำเนินงานขององค์กรท่ามกลางโลกยุคดิจิทัลที่ข้อมูลคือทรัพย์สินอันมีค่า

การบังคับใช้กฎหมายก็ไม่ใช่เพียงนามธรรมอีกต่อไป เมื่อข้อมูลจาก สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ได้ยืนยันถึงความเข้มงวดในการดำเนินการตามกฎหมายอย่างจริงจัง โดยในปี 2568 เพียงปีเดียว สคส. ได้ออกคำสั่งปรับทางปกครองแล้วถึง 5 กรณี รวม 8 คำสั่ง คิดเป็นมูลค่ารวมกว่า 21.5 ล้านบาท ซึ่งถือเป็นการต่อยอดจากปี 2567 ที่มีการลงโทษไปแล้ว 1 กรณี ซึ่งกรณีเหล่านี้ล้วนเป็น บทเรียนสำคัญ ที่ตอกย้ำว่า ความหละหลวมในการจัดการข้อมูลส่วนบุคคล ไม่ใช่เรื่องเล็กน้อยที่สามารถมองข้ามได้อีกต่อไป แต่เป็นจุดอ่อนที่อาจนำมาซึ่งความเสียหายอย่างร้ายแรง ทั้งในด้านการเงิน ชื่อเสียง และความเชื่อมั่นของประชาชน

บทเรียนจากกรณีศึกษา: ความเสียหายที่เกิดขึ้นจริง

กรณีที่โดดเด่นและเป็นที่พูดถึงอย่างกว้างขวางคือ เหตุข้อมูลรั่วไหลจากหน่วยงานภาครัฐ ที่ให้บริการผ่านระบบออนไลน์ ซึ่งถูกโจมตีจนข้อมูลประชาชนกว่า 200,000 รายถูกนำไปประกาศขายใน Dark Web ต้นเหตุมาจากการขาดมาตรการรักษาความปลอดภัยที่เหมาะสม การใช้รหัสผ่านที่อ่อนแอ และการละเลยการประเมินความเสี่ยงอย่างต่อเนื่อง ทำให้หน่วยงานนี้และบริษัทผู้พัฒนาระบบถูกปรับรายละ 153,120 บาท จากการตรวจสอบพบว่า หน่วยงานรัฐดังกล่าวไม่ได้จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศอย่างเหมาะสม รวมถึงใช้รหัสผ่านที่อ่อนแอ ไม่มีการประเมินความเสี่ยงและไม่ได้ทบทวนมาตรการอย่างต่อเนื่อง สำหรับบริษัทพัฒนาระบบที่เกี่ยวข้อง ก็ไม่มีการออกแบบมาตรการรักษาความมั่นคงปลอดภัยตั้งแต่ต้น ขาดระบบควบคุมการเข้าถึงข้อมูล ไม่มีการประเมินความเสี่ยง และแม้จะไม่ได้รับข้อตกลง DPA จากหน่วยงานภาครัฐ แต่ก็ไม่ได้ดำเนินการใด ๆ เพื่อป้องกันความเสี่ยงจากการรั่วไหลของข้อมูล จึงเข้าข่ายความผิดในฐานะผู้ประมวลผลข้อมูลส่วนบุคคลตามกฎหมาย

อีกกรณีที่สร้างความตกใจไม่แพ้กันคือ โรงพยาบาลเอกชนขนาดใหญ่ ที่ปล่อยให้เอกสารเวชระเบียนของผู้ป่วยกว่า 1,000 ฉบับ รั่วไหลไปสู่ภายนอกจนถูกนำไปทำเป็นถุงขนมโตเกียว เหตุการณ์นี้เกิดขึ้นในขั้นตอนการทำลายเอกสาร ซึ่งโรงพยาบาลไม่ได้ควบคุมกระบวนการของผู้รับจ้างอย่างรัดกุม ทำให้ข้อมูลสุขภาพซึ่งเป็นข้อมูลอ่อนไหว (Sensitive Data) รั่วไหล ส่งผลให้โรงพยาบาลถูกปรับ 1.21 ล้านบาท ซึ่งโรงพยาบาลดังกล่าวได้ทำข้อตกลงกับกิจการขนาดเล็กซึ่งมีลักษณะเป็นธุรกิจครอบครัวให้ทำหน้าที่ทำลายเอกสารเวชระเบียน แต่ไม่ได้มีการติดตาม ควบคุม หรือตรวจสอบกระบวนการให้เป็นไปตามมาตรฐานที่กำหนด ส่งผลให้เอกสารสำคัญซึ่งเป็นข้อมูลสุขภาพอันเป็นข้อมูลส่วนบุคคลประเภทอ่อนไหวตามมาตรา 26 รั่วไหลสู่ภายนอก โดยไม่ได้มีการลบหรือทำลายข้อมูลส่วนบุคคลให้ถูกต้องตามระยะเวลาที่กฎหมายกำหนด ในส่วนของเอกชนบุคคลธรรมดาผู้รับจ้างทำลายเอกสาร ก็ได้นำเวชระเบียนที่ได้รับจากโรงพยาบาลกลับไปพักไว้ที่บ้านของตนเอง โดยไม่ได้ดำเนินการตามขั้นตอนที่ตกลงไว้ และไม่ได้แจ้งเหตุการรั่วไหลให้โรงพยาบาลทราบ จึงเข้าข่ายเป็นการไม่ปฏิบัติตามหน้าที่ของผู้ประมวลผลข้อมูลอย่างชัดเจน

นอกจากนี้ ยังมีอีก 3 กรณีที่เกิดขึ้นกับหน่วยงานภาคเอกชนในกลุ่มธุรกิจค้าส่ง-ค้าปลีก และสินค้าออนไลน์ ที่มีโทษปรับสูงถึงหลักล้านบาท ซึ่งมีประเด็นสำคัญคือ ไม่จัดให้มีมาตรการรักษาความปลอดภัยที่เหมาะสม และ ไม่แจ้งเหตุข้อมูลรั่วไหล แก่ สคส. ตามกฎหมาย ซึ่งการไม่แจ้งเหตุถือเป็นการละเลยหน้าที่ที่สำคัญอย่างยิ่ง

5 กรณีนี้ถือเป็นสัญญาณชัดเจนถึงทุกภาคส่วน ทั้งหน่วยงานภาครัฐ เอกชน และผู้ให้บริการที่เกี่ยวข้องว่า การจัดการข้อมูลส่วนบุคคลไม่ใช่เพียงเรื่องของเทคนิคหรือเอกสาร แต่คือความรับผิดชอบที่ต้องมีมาตรฐานด้านความปลอดภัย การประเมินความเสี่ยงอย่างสม่ำเสมอ และกลไกการกำกับติดตามที่โปร่งใส เพื่อไม่ให้เกิดความเสียหายต่อสิทธิของประชาชนอย่างไม่อาจแก้ไขได้

ติดตามเนื้อหาข่าวเพิ่มเติมได้ที่นี่

ตารางสรุปกรณีการลงโทษปรับตาม PDPA

การปกป้องข้อมูลส่วนบุคคลไม่ใช่เรื่องของฝ่ายไอทีเพียงฝ่ายเดียว

เหตุการณ์ที่เกิดขึ้นจากการละเลยในการจัดการข้อมูลส่วนบุคคล เป็นบทเรียนที่สะท้อนอย่างชัดเจนว่า “ความมั่นคงปลอดภัยของข้อมูล” ไม่ได้เป็นเพียงประเด็นทางเทคนิคที่ต้องฝากไว้กับฝ่ายไอทีหรือแผนกเทคโนโลยีสารสนเทศเท่านั้น แต่เป็น ภารกิจร่วมของทั้งองค์กร ที่ทุกคนต้องมีส่วนรับผิดชอบ ตั้งแต่ระดับผู้บริหารที่ต้องกำหนดนโยบายและวัฒนธรรมองค์กร ไปจนถึงพนักงานทุกระดับที่ต้องตระหนักและปฏิบัติตามแนวทางอย่างเคร่งครัด การละเลยแม้เพียงเล็กน้อยจากบุคคลใดบุคคลหนึ่ง อาจกลายเป็นจุดเริ่มต้นของความเสียหายครั้งใหญ่ที่ส่งผลกระทบต่อทั้งองค์กร ไม่เพียงแต่จะก่อให้เกิดค่าใช้จ่ายมหาศาลในรูปของค่าปรับหรือการฟ้องร้อง แต่ยังอาจบั่นทอนความน่าเชื่อถือและภาพลักษณ์ขององค์กรในสายตาของลูกค้าและสังคมอย่างไม่อาจกู้คืนได้

ดังนั้น การคุ้มครองข้อมูลส่วนบุคคลควรได้รับการยกระดับให้เป็นวาระสำคัญขององค์กร ไม่ใช่เพียงเพื่อให้เป็นไปตามกฎหมาย แต่เพื่อสร้าง ความไว้วางใจระยะยาว และวางรากฐานของการดำเนินธุรกิจอย่างยั่งยืนในยุคดิจิทัล

เพื่อเป็นการป้องกันไม่ให้เกิดเหตุซ้ำรอย ทุกองค์กรควรหันมาให้ความสำคัญกับแนวทางการป้องกันเชิงรุก ดังนี้:

  • สร้างวัฒนธรรมองค์กรที่ใส่ใจข้อมูล: จัดอบรมให้พนักงานมีความรู้ความเข้าใจเกี่ยวกับ PDPA และวิธีการจัดการข้อมูลที่ถูกต้อง
  • การจัดการความเสี่ยงด้านความมั่นคงปลอดภัย: มีการประเมินความเสี่ยง (Risk Assessment) ของระบบสารสนเทศอย่างสม่ำเสมอ และปรับปรุงมาตรการรักษาความปลอดภัยให้ทันสมัยอยู่เสมอ
  • ควบคุมการเข้าถึงข้อมูลอย่างเคร่งครัด: กำหนดสิทธิ์การเข้าถึงข้อมูลให้เฉพาะผู้ที่จำเป็นต้องใช้ในการทำงานเท่านั้น (Principle of Least Privilege)
  • ทำสัญญากับผู้ประมวลผลข้อมูลอย่างรัดกุม: จัดทำข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (DPA) ที่ระบุหน้าที่ความรับผิดชอบและมาตรการด้านความปลอดภัยอย่างชัดเจนกับคู่ค้าหรือผู้ให้บริการภายนอก
  • มาตรการควบคุมด้านความมั่นคงปลอดภัยข้อมูล: จัดให้มีมาตรฐานความมั่นคงปลอดภัยข้อมูลที่เหมาะสมเพียงพอ เช่น การเข้ารหัสข้อมูลส่วนบุคคลโดยเฉพาะอย่างยิ่งข้อมูลส่วนส่วนบุคคลแบบอ่อนไหวตลอดวงจรชีวิตของข้อมูล การจัดทำข้อมูลนิรนาม (Data anonymization) โดยอาจจะอ้างอิงกับมาตรฐานสากล เช่น ISO 27001, ISO 27701, NIST framework และมาตรฐานอื่นที่เกี่ยวข้อง
  • มีแผนรับมือเหตุการณ์ข้อมูลรั่วไหล: จัดทำแผน Privacy breach management เพื่อเตรียมพร้อมรับมือเมื่อเกิดเหตุการณ์ไม่คาดฝัน และสามารถแจ้งเหตุต่อ สคส. ได้ทันท่วงทีภายใน 72 ชั่วโมง

นายประเสริฐ จันทรรวงทอง รองนายกรัฐมนตรีและรัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) กล่าวว่า ประเทศไทยได้บังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาระยะหนึ่งแล้ว ซึ่งถือเป็นกฎหมายที่สำคัญอย่างยิ่งในการคุ้มครองสิทธิของประชาชนในยุคดิจิทัล โดยรัฐบาลมีเป้าหมายที่ชัดเจนในเรื่องนี้ คือ “ข้อมูลรั่วไหลต้องเป็นศูนย์” ซึ่งไม่อาจบรรลุได้เพียงด้วยการลงโทษภายหลังความเสียหายเกิดขึ้น หากแต่ต้องอาศัย การปรับแนวคิดองค์กร การบริหารความเสี่ยงอย่างเป็นระบบ และการปลูกฝังวัฒนธรรมที่ให้ความสำคัญกับการคุ้มครองข้อมูลส่วนบุคคลในทุกระดับ

ในระยะต่อไป กระทรวงดิจิทัลฯ จะร่วมมือกับ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) และเครือข่ายพันธมิตร เดินหน้ายกระดับมาตรการเชิงนโยบายใน 3 ด้านสำคัญ ได้แก่:

  1. ส่งเสริมให้องค์กรแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) อย่างเป็นระบบและมีบทบาทชัดเจน

  2. พัฒนามาตรฐานด้านความมั่นคงปลอดภัยสารสนเทศ ให้เท่าทันความเสี่ยงในยุคดิจิทัล

  3. สร้างการรับรู้และความเข้าใจให้กับประชาชน เพื่อให้ตระหนักถึงสิทธิของตนในการควบคุมและปกป้องข้อมูลส่วนบุคคล

ขณะเดียวกันบทลงโทษที่เกิดขึ้นจริงในช่วงที่ผ่านมา ถือเป็นหลักฐานชัดเจนว่า PDPA  หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นข้อบังคับที่ถูกบังคับใช้อย่างเคร่งครัดและจริงจัง การเพิกเฉยหรือประมาทเลินเล่อในการปฏิบัติตามกฎหมายฉบับนี้ อาจนำมาซึ่งผลกระทบที่รุนแรง ทั้งในแง่ของค่าปรับมหาศาล และความเสียหายต่อชื่อเสียงองค์กรที่อาจยากจะกอบกู้คืน

ด้วยเหตุนี้ จึงถึงเวลาแล้วที่ทุกองค์กรต้องเร่งปรับตัว ยกระดับมาตรการด้านการคุ้มครองข้อมูลส่วนบุคคลให้กลายเป็นวาระสำคัญขององค์กร ไม่ใช่เพียงเพื่อลดความเสี่ยงทางกฎหมาย แต่เพื่อสร้างความเชื่อมั่นให้กับประชาชน และเป็นรากฐานสำคัญในการขับเคลื่อนสังคมดิจิทัลของประเทศไทยให้เติบโตอย่างมั่นคงและยั่งยืน เพราะในยุคที่ข้อมูลกลายเป็น “สินทรัพย์” ที่ทรงคุณค่า และการละเมิดข้อมูลเพียงหนึ่งครั้งอาจหมายถึงความเสียหายทางธุรกิจที่ไม่สามารถประเมินมูลค่าได้ องค์กรจึงต้องมองการคุ้มครองข้อมูลส่วนบุคคลในเชิงกลยุทธ์ ไม่ใช่แค่ภารกิจของฝ่ายใดฝ่ายหนึ่ง

การลงมือในวันนี้ไม่ใช่เพียงการป้องกันวิกฤติในวันข้างหน้า แต่เป็นการวางรากฐานที่มั่นคงให้กับประเทศไทยในการก้าวสู่ “สังคมดิจิทัลที่ปลอดภัย น่าเชื่อถือ และยั่งยืน” ซึ่งจะเป็นพลังขับเคลื่อนสำคัญในการสร้างสรรค์เศรษฐกิจ สังคม และภาครัฐยุคใหม่ที่ประชาชนไว้วางใจได้อย่างแท้จริง

หากองค์กรของคุณกำลังมองหาแนวทางในการยกระดับการคุ้มครองข้อมูลส่วนบุคคลให้เป็นไปตามข้อกำหนดของ PDPA อย่างเป็นระบบ
ดูรายละเอียดบริการที่ปรึกษาด้าน PDPA Consulting Service คลิกที่นี่

ที่ปรึกษา ACinfotec มีความเชี่ยวชาญในเชิงลึกในการออกแบบสถาปัตยกรรมด้านความมั่นคงปลอดภัยข้อมูลและไซเบอร์ (Information Security and Cybersecurity Architecture) ให้กับองค์กรทุกขนาดทั้งภาครัฐและภาคเอกชน ในทุกภาคส่วนธุรกิจ มาอย่างยาวนานกว่า 20 ปี

รับคำปรึกษาเบื้องต้นโดยไม่เสียค่าใช้จ่าย

Email: sales@acinfotec.com หรือโทร 02-670-8980-4

ISO-27701-01-1200x619
Uncategorized
ISO 27701:2025 เปรียบเทียบกับเวอร์ชันเดิม มีอะไรเปลี่ยนแปลงบ้าง
พ.ย. 05, 2025
Advertorial-27701-WEB-scaled_11zon
Uncategorized
ISO 27701:2025 เตรียมองค์กรให้พร้อมสู่การจัดการความเป็นส่วนตัว
พ.ย. 05, 2025
ISO-27701-03-scaled_11zon
Uncategorized
ISO 27701 (Privacy Information Management)
พ.ย. 05, 2025
ติดต่อเรา
เพื่อรับคำปรึกษาข้อมูลเพิ่มเติม
ACinfotec พร้อมเป็นพาร์ตเนอร์เคียงข้างคุณ ตั้งแต่ก้าวแรก… จนถึงการรับรอง

ติดต่อเรา เพื่อขอรับคำปรึกษาฟรี : services@acinfotec.com หรือโทร 02-670-8980-4
สามารดาวน์โหลดเอกสารแนะนำบริการของ ACinfotec ที่นี่

Contact us