ตลอดระยะเวลาในปี พ.ศ. 2568 (ค.ศ. 2025) ที่ผ่านมา จะเห็นจากประกาศหรือข่าวสารเกี่ยวกับเหตุการละเมิดข้อมูลส่วนบุคคลในประเทศไทยหลายต่อหลายครั้ง ซึ่งอาจเกิดจากสาเหตุหลายปัจจัย อาทิ พนักงานปฏิบัติหน้าที่แบบไม่ระวัง, องค์กรขาดมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม ครอบคลุมไปถึงการถูกแฮ็กหรือเจาะระบบ ปัจจัยเหล่านี้ล้วนเป็นจุดเริ่มต้นของเหตุการละเมิดข้อมูลส่วนบุคคล ที่อาจนำไปสู่บทลงโทษทางกฎหมายได้ทั้งสิ้น เพื่อปกป้ององค์กรจากความเสี่ยงที่อาจเกิดขึ้น องค์กรควรเตรียมพร้อมและดำเนินการด้านการคุ้มครองข้อมูลส่วนบุคคล ให้สอดคล้องตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) โดยครอบคลุมประเด็นสำคัญ ทั้งการจัดให้มีมาตรการในการรักษาความมั่นคงปลอดภัยที่เหมาะสม, การดำเนินการเพื่อป้องกันมิให้ผู้อื่นใช้ข้อมูลโดยมิชอบ, จัดให้มีระบบในการตรวจสอบการลบหรือทำลายข้อมูลส่วนบุคคล, ฝึกอบรมและสร้างการตระหนักรู้ให้กับบุคลากรที่มีความเกี่ยวข้อง และอีกมากมายเพื่อคุ้มครองข้อมูลรวมถึงลดความเสี่ยงที่อาจจะเกิดขึ้น PDPA Thailand รวบรวม 5  เหตุละเมิดข้อมูลส่วนบุคคล ประเทศไทย ปี 2568 (เพื่อเป็นกรณีศึกษา) ดังนี้ 1.  “ไปรษณีย์ไทย” รับข้อมูลผู้ใช้หลุดขายเว็บมืดกว่า 19 ล้านรายการ ยืนยันปิดกั้นแล้ว 2. สคส.เร่งตรวจสอบ บางจาก ข้อมูลรั่ว 6.5 ล้านรายการ…

     จากกระแสข่าว “กกต. ถูกปรับตาม PDPA” เพราะข้อมูลผู้สมัคร/ผู้ได้รับเลือก สว. รั่วไหลจำนวนมาก และมีประเด็นสำคัญข้อหนึ่งที่สะเทือนองค์กรไทยแทบทุกแห่งคือ การส่งไฟล์ข้อมูลผ่าน LINE เพื่อความสะดวกในการทำงาน แต่ไม่มีมาตรการความปลอดภัยที่เหมาะสม จนกลายเป็นช่องทางเสี่ยงที่ทำให้เกิดเหตุข้อมูลรั่วไหลได้จริง ประเด็นนี้ไม่ใช่เรื่องของ “หน่วยงานรัฐ” เท่านั้น แต่สะท้อนภาพเดียวกับภาคเอกชน/SME จำนวนมากที่ยังใช้ LINE ส่วนตัว / Messenger ส่วนตัว / WhatsApp ส่วนตัว ทำงานกับลูกค้าทั้งก่อนขาย, ระหว่างขาย และหลังขาย โดยคิดว่า “แค่แชทเอง ไม่น่ามีอะไร” แต่ในโลกของ PDPA… เมื่อมีข้อมูลที่ระบุตัวบุคคลได้อยู่ในแชท นั่นคือการประมวลผลข้อมูลส่วนบุคคลทันที และคำถามจะเปลี่ยนเป็นว่า “องค์กรควบคุมได้เท่าใด ปลอดภัยแค่ไหน และพิสูจน์ความรับผิดชอบได้หรือไม่” สารบัญเนื้อหา บทเรียนกรณี กกต. ถูกลงโทษปรับ PDPA Add a header…

คำสั่งของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ที่ลงโทษปรับทางปกครองสำนักงานคณะกรรมการการเลือกตั้ง (กกต.) จากกรณีข้อมูลผู้สมัคร สว. รั่วไหล ถือเป็นกรณีศึกษาสำคัญที่สะท้อนบทเรียนหลายประการต่อสังคม หน่วยงานรัฐ และองค์กรต่างๆ ดังนี้ครับ: 1. หน่วยงานรัฐ “ต้อง” รับผิดชอบตามกฎหมาย PDPA อย่างเคร่งครัด กรณีนี้ชี้ให้เห็นชัดเจนว่า กฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA) บังคับใช้กับทุกองค์กรไม่เว้นแม้แต่ “หน่วยงานของรัฐ” อย่าง กกต. ซึ่งมีสถานะเป็น “ผู้ควบคุมข้อมูลส่วนบุคคล” บทเรียน: แม้จะเป็นหน่วยงานระดับชาติที่มีหน้าที่ตามรัฐธรรมนูญ แต่หากละเลยมาตรการรักษาความปลอดภัยข้อมูลส่วนบุคคล ก็จะถูกตรวจสอบและลงโทษ “ปรับทางปกครอง” ได้จริง ซึ่งในกรณีนี้ กกต. ถูกสั่งปรับเป็นเงินจำนวน 335,000 บาท 2. การส่งข้อมูลที่มีความเป็นส่วนตัวสูงผ่านแอปพลิเคชันสนทนา (เช่น LINE) มีความเสี่ยงสูง สาเหตุหลักของข้อมูลรั่วไหลในกรณีนี้เกิดจากการส่งต่อไฟล์รายชื่อที่มีข้อมูลส่วนบุคคลที่มีความเป็นส่วนตัวสูง เช่น เลขบัตรประชาชน ผ่านแอปพลิเคชัน LINE เพื่อความสะดวกรวดเร็วในการทำงาน แต่ไม่มีมาตรการเข้ารหัสหรือป้องกันที่เหมาะสม บทเรียน:…

หนึ่งคำถามยอดฮิตสำหรับองค์กรคือ “เราต้องขอความยินยอมทุกครั้งที่เก็บข้อมูลจริงไหม?”      ภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA “ความยินยอม” เป็นหนึ่งในการให้เหตุผลตามกฎหมาย หรือฐานทางกฎหมาย PDPA ในการเก็บ ใช้ และเปิดเผยข้อมูลส่วนบุคคล แม้ว่าความยินยอมจะเป็นฐานทางกฎหมาย “ที่มีชื่อเสียงมากที่สุด” ในแง่ของความรู้จักหรือความคุ้นเคย แต่ก็เป็นฐานทางกฎหมายที่ต้องอาศัยความเข้าใจ และหลักการที่แม่นยำในการเลือกใช้งานและบริหารจัดการให้สอดคล้องกับ PDPA ผลกระทบขององค์กรหากขอความยินยอมไม่ถูกต้อง หรือไม่สอดคล้องกับกฎหมาย PDPA ความยินยอมนั้นนอกจากจะไม่มีผลใช้งานได้จริงตามกฎหมาย อีกทั้งยังเสี่ยงต่อบทลงโทษทั้งทางปกครองและอาญาได้อีกด้วย PDPA Thailand ชวนทุกท่านศึกษา “หลักการความยินยอมตาม PDPA” แบบย่อยง่าย อ่านแล้วสามารถนำไปใช้ในการทำงานได้จริง สารบัญเนื้อหา PDPA กับ ความยินยอม Add a header to begin generating the table of contents หลักการความยินยอมตาม PDPA…