เลขาฯ สคส. เปิดเคสอุทาหรณ์ ปรับหนัก รพ.ดังปล่อยเวชระเบียนทำถุงขนมโตเกียว-บริษัทไอทีทำข้อมูลหลุดขายเว็บมืด ย้ำรัฐบาลเอาจริง ไม่มียกเว้น
นายประเสริฐ จันทรรวงทอง รองนายกรัฐมนตรีและรัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) ประกาศกร้าว เดินหน้านโยบาย "ข้อมูลรั่วไหลต้องเป็นศูนย์" สั่งการให้สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) บังคับใช้กฎหมาย PDPA อย่างจริงจังและเด็ดขาด โดยล่าสุดได้ลงโทษปรับทางปกครองหน่วยงานทั้งภาครัฐและเอกชนที่ปล่อยปละละเลยจนข้อมูลประชาชนรั่วไหล ถือเป็นการส่งสัญญาณชัดว่ารัฐบาลเอาจริงและไม่มีข้อยกเว้น
นายประเสริฐย้ำว่า "การคุ้มครองข้อมูลส่วนบุคคลไม่ใช่แค่แนวปฏิบัติ แต่เป็นความรับผิดชอบทางกฎหมายต่อสิทธิขั้นพื้นฐานของประชาชน หน่วยงานใดที่เก็บข้อมูลจำนวนมากแต่มีมาตรการรักษาความปลอดภัยหละหลวม จนมิจฉาชีพนำไปใช้หลอกลวงประชาชน จะต้องถูกลงโทษตามกฎหมายอย่างเคร่งครัด เป้าหมายของเราชัดเจนคือ ข้อมูลรั่วไหลต้องเป็นศูนย์"
ด้าน พ.ต.อ. สุรพงศ์ เปล่งขำ เลขาธิการ สคส. ได้เปิดเผย 5 กรณีตัวอย่างล่าสุดที่คณะกรรมการผู้เชี่ยวชาญมีคำสั่งลงโทษปรับ เพื่อเป็นอุทาหรณ์ให้ทุกองค์กรตื่นตัว
- หน่วยงานรัฐ-บริษัทเอกชน โดนปรับคู่: หน่วยงานรัฐแห่งหนึ่งถูกแฮกเกอร์โจมตีแอปพลิเคชันบริการประชาชน นำข้อมูลกว่า 200,000 รายชื่อไปขายในเว็บมืด สาเหตุจากระบบความปลอดภัยอ่อนแอและใช้รหัสผ่านง่ายเกินไป ถูกสั่งปรับ 153,120 บาท ส่วนบริษัทผู้พัฒนาระบบก็ถูกปรับในจำนวนเท่ากัน ฐานละเลยการออกแบบระบบให้ปลอดภัย
- เคสสุดสะเทือนใจ "ถุงขนมโตเกียวเวชระเบียน": โรงพยาบาลเอกชนขนาดใหญ่ ถูกสั่งปรับถึง 1,210,000 บาท หลังมีภาพเอกสารเวชระเบียนผู้ป่วยกว่า 1,000 ฉบับ ถูกนำไปทำเป็นถุงขนมโตเกียว เนื่องจากโรงพยาบาลจ้างธุรกิจครอบครัวขนาดเล็กไปทำลายเอกสาร แต่ไม่มีการควบคุมตรวจสอบกระบวนการที่รัดกุม ส่วนผู้รับจ้างก็ถูกปรับอีก 16,940 บาท
- บริษัทขายอุปกรณ์คอมพิวเตอร์ โดนโทษหนัก 7 ล้านบาท: ทำข้อมูลลูกค้ารั่วไหล แต่ไม่แจ้งเหตุต่อ สคส., ไม่มีมาตรการรักษาความปลอดภัยที่เหมาะสม และไม่มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ถือเป็นการทำผิดถึง 3 กระทง
- บริษัทขายเครื่องสำอาง ถูกปรับ 2.5 ล้านบาท: มีความผิด 2 ข้อหา คือไม่มีมาตรการรักษาความปลอดภัยที่เพียงพอ และไม่แจ้งเหตุข้อมูลรั่วไหลตามที่กฎหมายกำหนด
- บริษัทขายของเล่นสะสม โดนปรับรวม 3.5 ล้านบาท: โดยสั่งปรับตัวบริษัทผู้ควบคุมข้อมูล 5 แสนบาท และปรับบริษัทผู้ประมวลผลข้อมูล (ผู้รับจ้างดูแลระบบ) อีก 3 ล้านบาท ฐานไม่มีมาตรการป้องกันที่เหมาะสม
พ.ต.อ. สุรพงศ์ กล่าวทิ้งท้ายว่า "ทั้ง 5 กรณีนี้คือสัญญาณเตือนไปยังทุกองค์กร การจัดการข้อมูลคือความรับผิดชอบที่ต้องมีมาตรฐานสูงสุด ขณะนี้ยังมีอีกหลายกรณีที่อยู่ระหว่างการพิจารณา ซึ่ง สคส. จะดำเนินการอย่างเด็ดขาด เพื่อสร้างสังคมดิจิทัลที่ปลอดภัยและน่าเชื่อถือสำหรับคนไทยทุกคน"




