ข่าวสารและบทความล่าสุด

ในปีงบประมาณ 2568 สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ภายใต้การกำกับของกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ได้มีคำสั่งลงโทษปรับทางปกครอง 5 เรื่อง 8 คำสั่ง โดยมีมูลค่ารวมทั้งสิ้นกว่า 21.5 ล้านบาท สำหรับการละเมิดพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) ของทั้งภาครัฐและภาคเอกชนที่ปล่อยข้อมูลประชาชนรั่วไหล

 เคสที่ 1 : หน่วยงานภาครัฐ

ข้อมูลของประชาชนกว่า 200,000 รายถูกปล่อยออกไปใน Dark Web เนื่องจากหน่วยงานไม่ได้จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม รวมถึงใช้รหัสผ่านที่อ่อนแอ ไม่มีการประเมินความเสี่ยงและไม่ได้ทบทวนมาตรการอย่างต่อเนื่อง ทั้งยังละเลยการทำข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (DPA) กับบริษัทพัฒนาระบบ ซึ่งบริษัทพัฒนาระบบก็ไม่ได้ดำเนินการใด ๆ เพื่อป้องกันความเสี่ยงจากการรั่วไหลของข้อมูล ส่งผลให้น่วยงานภาครัฐและบริษัทถูกปรับหน่วยงานละ 153,120 บาท

เคสที่ 2 : โรงพยาบาลเอกชน

ข้อมูลเวชระเบียนของผู้ป่วยไม่ได้ถูกทำลายและรั่วไหลไปยังโซเชียลมีเดีย โดยโรงพยาบาลได้จ้างธุรกิจขนาดเล็กให้ทำลายเอกสาร แต่ไม่ได้มีการติดตาม ควบคุม หรือตรวจสอบกระบวนการให้เป็นไปตามมาตรฐานที่กำหนด ส่วนผู้รับจ้างเองก็ไม่ได้ดำเนินการตามขั้นตอนที่ตกลงไว้ และไม่ได้แจ้งเหตุการรั่วไหลให้โรงพยาบาลทราบส่งผลให้โรงพยาบาลถูกปรับ 1,210,000 บาท และผู้รับจ้างถูกปรับ 16,940 บาท

เคสที่ 3 : หน่วยงานขายเครื่องและอุปกรณ์คอมฯ

ไม่ได้จัดมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม ไม่ได้แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) และไม่ได้แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลต่อสคส. ส่งผลให้บริษัทถูกปรับ 7 ล้านบาท

เคสที่ 4 : หน่วยงานขายเครื่องสำอาง

บริษัทไม่รักษามาตรการรักษาความปลอดภัยที่เหมาะสมและไม่รายงานการละเมิดข้อมูลส่วนบุคคลต่อสคส. ส่งผลให้บริษัทถูกปรับ 2.5 ล้านบาท

เคสที่ 5 : บริษัทขายของเล่นสะสม

บริษัทไม่มีมาตรการรักษาความปลอดภัยที่เหมาะสม ผู้ควบคุมข้อมูลส่วนบุคคลจึงถูกปรับ 500,000 บาท และผู้ประมวลผลข้อมูลส่วนบุคคลถูกปรับ 3 ล้านบาท

ทั้งนี้ สคส. อยู่ระหว่างพิจารณากรณีอื่น ๆ อีกจำนวนมาก และจะเร่งดำเนินการตามขั้นตอนทางกฎหมายอย่างเคร่งครัด พร้อมขับเคลื่อนแนวทางป้องกันเชิงรุก เพื่อให้เป้าหมาย “ข้อมูลรั่วไหลต้องเป็นศูนย์” กลายเป็นเป้าหมายสำคัญของทุกองค์กรในสังคมไทย