ตลอดระยะเวลาในปี พ.ศ. 2568 (ค.ศ. 2025) ที่ผ่านมา จะเห็นจากประกาศหรือข่าวสารเกี่ยวกับเหตุการละเมิดข้อมูลส่วนบุคคลในประเทศไทยหลายต่อหลายครั้ง ซึ่งอาจเกิดจากสาเหตุหลายปัจจัย อาทิ พนักงานปฏิบัติหน้าที่แบบไม่ระวัง, องค์กรขาดมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม ครอบคลุมไปถึงการถูกแฮ็กหรือเจาะระบบ ปัจจัยเหล่านี้ล้วนเป็นจุดเริ่มต้นของเหตุการละเมิดข้อมูลส่วนบุคคล ที่อาจนำไปสู่บทลงโทษทางกฎหมายได้ทั้งสิ้น
เพื่อปกป้ององค์กรจากความเสี่ยงที่อาจเกิดขึ้น องค์กรควรเตรียมพร้อมและดำเนินการด้านการคุ้มครองข้อมูลส่วนบุคคล ให้สอดคล้องตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) โดยครอบคลุมประเด็นสำคัญ ทั้งการจัดให้มีมาตรการในการรักษาความมั่นคงปลอดภัยที่เหมาะสม, การดำเนินการเพื่อป้องกันมิให้ผู้อื่นใช้ข้อมูลโดยมิชอบ, จัดให้มีระบบในการตรวจสอบการลบหรือทำลายข้อมูลส่วนบุคคล, ฝึกอบรมและสร้างการตระหนักรู้ให้กับบุคลากรที่มีความเกี่ยวข้อง และอีกมากมายเพื่อคุ้มครองข้อมูลรวมถึงลดความเสี่ยงที่อาจจะเกิดขึ้น
PDPA Thailand รวบรวม 5 เหตุละเมิดข้อมูลส่วนบุคคล ประเทศไทย ปี 2568 (เพื่อเป็นกรณีศึกษา) ดังนี้
1. “ไปรษณีย์ไทย” รับข้อมูลผู้ใช้หลุดขายเว็บมืดกว่า 19 ล้านรายการ ยืนยันปิดกั้นแล้ว
2. สคส.เร่งตรวจสอบ บางจาก ข้อมูลรั่ว 6.5 ล้านรายการ – เร่งเตือนประชาชนทันที
3. PDPC พบเหตุสงสัยโฮมโปร เกิดเหตุละเมิดข้อมูล พร้อมแจ้งบริษัทฯ เร่งตรวจสอบ
4. ข้อมูลเวชระเบียนรั่วไหล รียูสเป็นถุงขนมโตเกียว ถูกปรับกว่า 1.2 ล้านบาท
5. สคส. เรียกสอบร้านมือถือดัง เสี่ยงผิด PDPA หลังพนักงานนำข้อมูลลูกค้าปล่อยใน Telegram
1. "ไปรษณีย์ไทย" รับข้อมูลผู้ใช้หลุดขายเว็บมืดกว่า 19 ล้านรายการ ยืนยันปิดกั้นแล้ว
เกิดเหตุการณ์อะไรขึ้น ?
พบว่ามีผู้นำฐานข้อมูลของไปรษณีย์ไทยไปเผยแพร่บนเว็บมืด (Dark Web) กว่า 19 ล้านรายการ เมื่อวันที่ 3 เม.ย.2568 ไปรษณีย์ไทยออกเอกสารชี้แจงว่า บริษัทฯ ตรวจพบการเข้าถึงข้อมูลของผู้ใช้บริการ ประกอบด้วย ชื่อ นามสกุล ที่อยู่ หมายเลขโทรศัพท์ อีเมล โดยไม่มีข้อมูลเกี่ยวกับธุรกรรมการเงินใด ๆ และนำไปเผยแพร่อยู่บน Dark Web ซึ่งไปรษณีย์ได้ปิดช่องทางการเข้าถึงข้อมูลทันที และประสานงานกับหน่วยงานที่เกี่ยวข้อง เพื่อป้องกันข้อมูลอย่างเร่งด่วน
2. สคส.เร่งตรวจสอบ บางจาก ข้อมูลรั่ว 6.5 ล้านรายการ - เร่งเตือนประชาชนทันที
เกิดเหตุการณ์อะไรขึ้น ?
บริษัทบางจากได้รายงานเหตุละเมิดมายัง สคส. เมื่อวันที่ 11 เม.ย. โดยเมื่อวันที่ 9 เม.ย. บริษัทได้รับแจ้งและตรวจพบการเข้าถึงโดยมิชอบในส่วนของระบบรับฟังความคิดเห็นลูกค้าประมาณ 6.5 ล้านรายการ จึงได้มีการปิดกั้นการเข้าถึงเพื่อแก้ไขระงับยับยั้งการเข้าถึงโดยมิชอบ ข้อมูลที่รั่วไหลไม่มีข้อมูลธุรกรรมทางการเงินหรือข้อมูลสำคัญอื่นรั่วไหลแต่อย่างใด ข้อมูลที่ถูกเข้าถึงเป็นเพียงข้อมูลพื้นฐานส่วนบุคคลเท่านั้น
ซึ่ง สคส.อยู่ระหว่างตรวจสอบและให้บริษัทบางจากตรวจสอบและรายงานเพิ่มเติมให้ครบถ้วนถึงรายละเอียดข้อมูลและผลกระทบ ตลอดจนให้รายงานถึงผลการตรวจสอบให้ทราบสาเหตุและการประเมินความเสี่ยงเพื่อกำหนดมาตรการป้องกันไม่ให้เกิดเหตุลักษณะนี้อีก ซึ่งหากพบการฝ่าฝืนหรือไม่ปฏิบัติตาม PDPA จะได้ดำเนินการตามกฏหมายต่อไป
3. PDPC พบเหตุสงสัยโฮมโปร เกิดเหตุละเมิดข้อมูล พร้อมแจ้งบริษัทฯ เร่งตรวจสอบ
เกิดเหตุการณ์อะไรขึ้น ?
วันที่ 15 เม.ย.2568 สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) หรือ “PDPC Thailand” โดย พ.ต.อ. สุรพงศ์ เปล่งขำ เลขาธิการ สคส. เปิดเผยว่า จากการปฏิบัติการเชิงรุกโดยศูนย์เฝ้าระวังการละเมิดข้อมูลส่วนบุคคล (PDPC Eagle Eye) ได้ตรวจพบเหตุสงสัยว่าอาจมีการละเมิดข้อมูลส่วนบุคคล และได้แจ้งเตือนไปยังบริษัท โฮมโปร ทันทีตั้งแต่วันที่ 12 เม.ย.2568 ภายหลังได้รับการแจ้งเตือน โฮมโปรได้เร่งดำเนินการตรวจสอบ แก้ไข ระงับ และยับยั้งเหตุละเมิด รวมถึงแจ้งเตือนประชาชนโดยทันที
แม้จะเกิดเหตุการณ์ดังกล่าว แต่โฮมโปรได้เร่งดำเนินการตรวจสอบ แก้ไข ระงับ และยับยั้งเหตุละเมิด รวมถึงแจ้งเตือนประชาชนโดยทันทีตามที่ปรากฏในประกาศ พร้อมทั้งรายงานชี้แจงเหตุภายในระยะเวลา 72 ชั่วโมง ตามกรอบเวลาที่ PDPC กำหนด ขณะเดียวกัน PDPC ก็ยังจับตาอย่างใกล้ชิดเพื่อป้องกันและคุ้มครองสิทธิของประชาชนอย่างเคร่งครัด
4. ข้อมูลเวชระเบียนรั่วไหล รียูสเป็นถุงขนมโตเกียว ถูกปรับกว่า 1.2 ล้านบาท
เกิดเหตุการณ์อะไรขึ้น ?
เมื่อวันที่ 1 ส.ค. 2568 สคส. แถลงบทลงโทษกรณีข้อมูลประชาชนรั่วไหล 5 กรณี โดยหนึ่งในเคสที่เป็นกระแสคือ “โรงพยาบาลเอกชนขนาดใหญ่” ทำเอกสารเวชระเบียนผู้ป่วยรั่วออกไปภายนอกมีการเผยแพร่ภาพ “ถุงขนมโตเกียว” ที่ทำจากเอกสารเวชระเบียนบนโซเชียล จนถูกวิพากษ์วิจารณ์อย่างมาก และตรวจพบว่าเอกสารหลุดเกิน 1,000 ฉบับ สาเหตุเกิดจากขั้นตอนการส่งทำลายเอกสารที่โรงพยาบาลไปทำข้อตกลงกับกิจการขนาดเล็กให้ทำลาย แต่ไม่ได้ติดตาม ควบคุม หรือสอบทานกระบวนการให้เป็นไปตามมาตรฐานทำให้ข้อมูลสุขภาพซึ่งเป็นข้อมูลส่วนบุคคลอ่อนไหวตามมาตรา 26 รั่วไหล และไม่ได้ถูกลบหรือทำลายให้ถูกต้องตามระยะเวลาที่กฎหมายกำหนด
สาเหตุของเหตุละเมิดข้อมูลส่วนบุคคล ?
เหตุเกิดจากการที่โรงพยาบาล (ผู้ควบคุมข้อมูล) มอบหมายงานทำลายเวชระเบียนให้ผู้รับจ้าง (บุคคลธรรมดา) แต่ขาดการติดตาม ควบคุม และตรวจสอบกระบวนการทำลายเอกสาร ให้เป็นไปตามมาตรฐานที่กำหนด ทำให้ข้อมูลสุขภาพ (ข้อมูลอ่อนไหว ม.26) ไม่ถูกทำลายหรือลบอย่างถูกต้องตามระยะเวลา และรั่วไหลออกสู่ภายนอก เพราะผู้รับจ้างทำลายเอกสาร (ผู้ประมวลผลข้อมูล) ไม่ปฏิบัติตามขั้นตอนที่ตกลงไว้ทำให้เกิดเหตุละเมิดดังกล่าว
5. สคส. เรียกสอบร้านมือถือดัง เสี่ยงผิด PDPA หลังพนักงานนำข้อมูลลูกค้าปล่อยใน Telegram
เกิดเหตุการณ์อะไรขึ้น ?
พ.ต.อ.สุรพงศ์ เปล่งขำ เลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.)กล่าวว่า สคส.ได้เชิญบริษัทร้านมือถือดัง ให้มาพบเพื่อชี้แจงถึงมาตรการรักษาความมั่นคงปลอดภัย และให้ส่งเอกสารหลักฐานเกี่ยวกับการดำเนินการตาม PDPA เนื่องจาก มีพนักงานของบริษัทฯ แอบลักลอบนำส่งรูปภาพส่วนตัวของลูกค้าเข้าเครื่องส่วนตัวโดยมิชอบ และได้นำรูปไปปล่อยต่อในกลุ่ม Telegram ซึ่งในกลุ่มประกอบด้วยพนักงานของบริษัทฯ จำนวน 6 ราย
ทั้งนี้ เหตุการณ์ดังกล่าวอยู่ระหว่างตรวจสอบและพิจารณาถึงประเด็นดังกล่าวอย่างเคร่งครัด เพื่อปกป้องและคุ้มครองข้อมูลส่วนบุคคลของประชาชนและสร้างความเชื่อมั่นให้แก่ประชาชนอย่างเต็มที่ต่อไป
สรุป
กฎหมาย PDPA ยังเอาจริงเอาจังอย่างต่อเนื่อง ไม่เว้นแต่ภาครัฐหรือภาคเอกชนต่างต้องปฏิบัติให้สอดคล้องตามที่กฎหมายกำหนด จุดเริ่มต้นของโทษปรับมักก่อกำเนิดมาจาก “จุดเล็ก” อยู่เสมอ หากยังละเลยและใช้ข้อมูลแบบไม่ระวัง โทษปรับครั้งถัดไปอาจเป็นคุณ บริการวางระบบ, สอบทานการทำงาน และฝึกอบรมด้านกฎหมาย PDPA ครบวงจร สอบถามเพิ่มเติม >> คลิก
ขอขอบคุณที่มา:
https://www.msn.com/th-th/news/national/pdpc-/ar-AA1CWDdJ
https://www.thaipbs.or.th/news/content/354970
https://www.isranews.org/article/isranews-news/137213-isra-415.html
https://www.thaipbs.or.th/news/content/350932
https://www.thansettakij.com/technology/635481
https://www.isranews.org/article/isranews-news/137051-crime-9.html
