รัฐบาลไทยเข้มงวด PDPA ขั้นสูงสุด ～ ลงโทษหน่วยงานรัฐและเอกชน รวม 21.5 ล้านบาท องค์กรต้องปรับระบบกำกับดูแลข้อมูล

คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ประกาศเมื่อวันที่ 1 สิงหาคม 2025 ลงโทษปรับทางปกครองจำนวน 8 คดี จาก 5 กรณี ค่าปรับรวม 14.5 ล้านบาท ทำให้ยอดรวมค่าปรับตั้งแต่เริ่มใช้ PDPA สูงถึง 21.5 ล้านบาท การดำเนินการครั้งนี้แสดงให้เห็นการเปลี่ยนแปลงจากระยะ “เพิ่มความตระหนัก” สู่ยุคการบังคับใช้กฎหมายอย่างจริงจัง

ระยะผ่อนผัน 2 ปี สิ้นสุดแล้ว การบังคับใช้เข้มงวดเริ่มต้น

PDPA มีผลบังคับใช้เต็มรูปแบบตั้งแต่เดือนมิถุนายน 2022 แต่ช่วง 2 ปีหลังจากนั้น เป็นระยะผ่อนผันตามข้อเท็จจริง PDPC ให้ความสำคัญกับการให้คำแนะนำและการฝึกอบรมแก่องค์กร โดยหลีกเลี่ยงมาตรการลงโทษ อย่างไรก็ตาม เริ่มต้นด้วยค่าปรับครั้งแรกขนาดใหญ่ 7 ล้านบาทในเดือนสิงหาคม 2024 ทัศนคติของหน่วยงานกำกับดูแลได้เปลี่ยนแปลงอย่างมีนัยสำคัญ

การดำเนินการครั้งนี้ยืนยันว่าการเปลี่ยนแปลงดังกล่าวไม่ใช่เพียงชั่วคราว แต่เป็นการเปลี่ยนนโยบายถาวร การตรวจสอบอย่างกว้างขวางตั้งแต่หน่วยงานรัฐ โรงพยาบาลเอกชน จนถึงผู้ค้าปลีกรายใหญ่ ไม่คำนึงถึงอุตสาหกรรมหรือขนาดองค์กร หมายถึง PDPC เริ่มการบังคับใช้ “ทุกด้าน”

รูปแบบการละเมิดที่พบในคดีที่ตรวจพบ

จากการวิเคราะห์ 8 คดีในครั้งนี้ พบรูปแบบการละเมิดทั่วไป 4 ประเภท

มาตรการรักษาความปลอดภัยไม่เพียงพอ ทุกกรณีมีปัญหาการจัดการความปลอดภัยพื้นฐานที่บกพร่อง หน่วยงานรัฐมีปัญหาการใช้รหัสผ่านที่อ่อนแอและขาดการประเมินความเสี่ยงเป็นประจำ โรงพยาบาลเอกชนมีปัญหาการกำกับดูแลผู้ประกอบการกำจัดของเสียไม่เพียงพอ จนทำให้เวชระเบียนผู้ป่วยถูกนำไปใช้ห่อขนมข้างถนน

การละเมิดกฎ 72 ชั่วโมง บริษัทที่ละเลยไม่แจ้งเหตุการณ์ข้อมูลรั่วไหลต่อ PDPC ภายใน 72 ชั่วโมง ได้รับการลงโทษอย่างเข้มงวด ผู้ค้าปลีกเทคโนโลยี (7 ล้านบาท) และบริษัทเครื่องสำอาง (2.5 ล้านบาท) เป็นตัวอย่าง

ไม่แต่งตั้ง DPO การไม่แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลที่จำเป็นสำหรับองค์กรที่จัดการข้อมูลส่วนบุคคลขนาดใหญ่ นำไปสู่ค่าปรับสูงสุด ค่าปรับ 7 ล้านบาทของผู้ค้าปลีกเทคโนโลยีเป็นผลจากการละเมิดหน้าที่พื้นฐานหลายประการร่วมกัน

การจัดการผู้รับจ้างที่บกพร่อง การจัดการผู้ประมวลผลข้อมูลบุคคลที่สามที่ไม่เพียงพอเป็นปัญหาในหลายกรณี โดยเฉพาะหน่วयงานรัฐที่ไม่ได้จัดทำสัญญาประมวลผลข้อมูล (DPA) ที่ตรงตามข้อกำหนดทางกฎหมาย ถูกชี้เป็นการละเมิดที่เฉพาะเจาะจง

ตำแหน่งในฐานะมาตรการต่อต้านการฉ้อโกง Call Center

การบังคับใช้ PDPA อย่างเข้มงวดไม่ใช่เพียงการเสริมสร้างการปฏิบัติตามกฎระเบียบ แต่มีแง่มุมการต่อต้านการฉ้อโกง Call Center ที่รุนแรงขึ้นอย่างชัดเจน ในกรณีครั้งนี้มีหลายรายงานที่ข้อมูลที่รั่วไหลจากบริษัทถูกกลุ่มฉ้อโกงนำไปใช้โดยตรง

รัฐบาลให้ความสำคัญสูงสุดในการป้องกันไม่ให้การจัดการข้อมูลที่บกพร่องของบริษัทกลายเป็น “เชื้อเพลิง” สำหรับอาชญากรรม และปกป้องความปลอดภัยของประชาชน ภารกิจทางสังคมนี้เป็นแรงขับเคลื่อนของทัศนคติการบังคับใช้ที่เข้มงวดของหน่วยงานกำกับดูแล

ความเป็นจริงใหม่ที่องค์กรเผชิญ

แผนแม่บทของ PDPC สำหรับปี 2024-2027 กำหนดเป้าหมายเฉพาะคือการบรรลุอัตราการปฏิบัติตาม PDPA 100% สำหรับบริษัทจดทะเบียนและหน่วยงานรัฐ นี่ไม่ใช่ “เป้าหมายที่พยายาม” แต่เป็นเป้าหมายบังคับที่ต้องบรรลุ

สำหรับองค์กร การปฏิบัติตาม PDPA ไม่ใช่เพียงต้นทุนอีกต่อไป แต่กลายเป็น “ใบอนุญาตประกอบธุรกิจ” สำหรับดำเนินธุรกิจต่อในตลาดไทย ความเสี่ยงค่าปรับหลายล้านบาทจำเป็นต้องได้รับการจัดการในฐานะประเด็นผู้บริหารสำคัญสูงสุดในระดับคณะกรรมการ

BKK IT News คาดการณ์ว่าระบบการบังคับใช้ที่เข้มงวดนี้จะดำเนินต่อไปในอีกหลายปีข้างหน้า และอาจเข้มงวดมากขึ้น หากองค์กรตอบสนองช้า จะเสี่ยงต่อความเสียหายทางการเงินและการสูญเสียมูลค่าแบรนด์ที่ฟื้นตัวยาก

การตอบสนองเร่งด่วนที่จำเป็นใน 5 ด้าน

องค์กรจำเป็นต้องดำเนินการตอบสนองเร่งด่วนใน 5 ด้านต่อไปนี้

การทำให้การกำกับดูแลข้อมูลเป็นประเด็นการจัดการ ทำให้การปฏิบัติตาม PDPA เป็นวาระประจำของคณะกรรมการ และสร้างระบบที่ผู้บริหารระดับสูงกำกับดูแลโดยตรง

การตรวจสอบเร่งด่วนข้อกำหนดพื้นฐาน ดำเนินการตรวจสอบเร่งด่วนสถานะปัจจุบันใน 4 ด้าน ได้แก่ มาตรการรักษาความปลอดภัย กระบวนการแจ้งการละเมิด การแต่งตั้ง DPO และการจัดการผู้รับจ้าง

การสร้างความมีประสิทธิผลของ DPO สร้าง DPO ไม่ใช่เพียงตำแหน่งงานเพิ่มเติม แต่เป็นหน้าที่ที่มีอำนาจและความเป็นอิสระจริง

การทบทวนการจัดการผู้รับจ้างโดยสิ้นเชิง จัดทำ DPA ที่ตรงตามข้อกำหนดทางกฎหมายกับผู้ประมวลผลข้อมูลทั้งหมด และสร้างระบบกำกับดูแลอย่างต่อเนื่อง

การสร้างระบบตอบสนอง 72 ชั่วโมง เพื่อให้ปฏิบัติตามหน้าที่แจ้งเหตุการละเมิดข้อมูลอย่างแน่นอน ดำเนินการฝึกอบรมการตอบสนองจริงที่เกี่ยวข้องกับหน่วยงานที่เกี่ยวข้อง

กฎระเบียบความเป็นส่วนตัวของข้อมูลในไทยไม่ใช่ความเสี่ยงเชิงทฤษฎีอีกต่อไป แต่กลายเป็นประเด็นการจัดการที่เป็นจริงและสำคัญ คำถามที่ถูกถามไม่ใช่ “PDPA จะถูกบังคับใช้หรือไม่” แต่เป็น “ใครจะเป็นคนต่อไปที่ถูกตรวจสอบ” ความสามารถในการปรับตัวให้เข้ากับความเป็นจริงใหม่นี้จะเป็นตัวกำหนดความสำเร็จทางธุรกิจในอนาคตของไทย

ลิงก์บทความอ้างอิง

• More Than a Warning: Eight Serious Fines Imposed in Thai Data Protection Cases
• Thailand ramps up data protection enforcement – Hogan Lovells
• Hospital fined Bt1.2m after medical records used as snack bags – Thai PBS World
• Thailand: PDPA Crackdown 2025: Are You Next? – Major Fines and Lessons from Thailand’s Latest Enforcement
• Thailand’s Data Privacy Landscape in the First Half of 2025 – Tilleke & Gibbins