เมื่อวันที่ 1 สิงหาคม 2025 คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ได้ประกาศการลงโทษ 5 กรณีด้วยค่าปรับรวมกว่า 15 ล้านบาท เนื่องจากการละเมิดพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) โดยครอบคลุมตั้งแต่หน่วยงานราชการ โรงพยาบาลเอกชน ไปจนถึงร้านค้าปลีกขนาดใหญ่ การลงโทษครั้งนี้นับเป็นจุดเปลี่ยนที่สำคัญที่แสดงให้เห็นว่าการปฏิบัติตาม PDPA ได้เปลี่ยนจาก “เป้าหมายที่ควรทำ” เป็น “ข้อบังคับที่จำเป็นต้องปฏิบัติตาม” อย่างเด็ดขาด
คดี “ถุงขนม” สั่นสะเทือนสังคม
คดีที่สร้างความตกใจให้กับสังคมมากที่สุดในครั้งนี้คือกรณีของโรงพยาบาลเอกชน แฟ้มประวัติผู้ป่วยที่ได้มอบหมายให้ทำลายถูกนำไปใช้เป็นกระดาษห่อ “ขนมโตเกียว” ที่ขายตามถนน ภายในแฟ้มยังมีข้อมูลของผู้ติดเชื้อไวรัสตับอักเสบบีอีกด้วย ทำให้ความวิตกกังวลและความโกรธแค้นของประชาชนเกี่ยวกับการละเมิดความเป็นส่วนตัวเพิ่มขึ้น
เหตุการณ์นี้แสดงให้เห็นว่าการรั่วไหลของข้อมูลส่วนบุคคลไม่ได้เกิดขึ้นเพียงจากการโจมตีทางไซเบอร์เท่านั้น แต่ยังอาจเกิดขึ้นในโลกกายภาพได้ด้วย PDPA ถูกใช้บังคับอย่างเข้มงวดเท่าเทียมกันทั้งกับข้อมูลดิจิทัลและข้อมูลบนกระดาษ ซึ่งเป็นการแจ้งเตือนให้สังคมทั่วไปได้รับทราบอย่างกว้างขวาง
สิ้นสุดช่วงรอบ 2 ปี เข้าสู่ยุคการบังคับใช้จริง
PDPA เริ่มบังคับใช้เต็มรูปแบบเมื่อวันที่ 1 มิถุนายน 2022 ประมาณ 2 ปีที่ผ่านมา หน่วยงานกำกับดูแลมุ่งเน้นไปที่การประชาสัมพันธ์กฎหมายและส่งเสริมการสร้างระบบการปฏิบัติตามข้อกำหนด เมื่อเดือนสิงหาคม 2024 มีการลงโทษค่าปรับสูงถึง 7 ล้านบาทกับร้านค้า IT ออนไลน์ขนาดใหญ่เป็นครั้งแรก ซึ่งเป็นสัญญาณของการบังคับใช้จริง
การลงโทษพร้อมกันในครั้งนี้แสดงให้เห็นว่าหน่วยงานกำกับดูแลได้เปลี่ยนจากขั้นตอน “การเตือน” เป็น “การดำเนินการจริง” อย่างชัดเจน ในช่วงครึ่งแรกของ 2025 PDPC ได้จัดทำแนวทางปฏิบัติให้องค์กรและมาตรการลดภาระสำหรับผู้ประกอบการขนาดกลางและขนาดย่อม เป็นการดำเนินกลยุทธ์ “จากการสนับสนุนสู่การบังคับใช้” ที่คิดคำนวณแล้วก่อนที่จะลงโทษ
การละเมิดสำคัญ 4 ประเภท ส่งผลต่อการตอบสนองขององค์กร
จากการวิเคราะห์คดีในครั้งนี้ เผยให้เห็นการละเมิด 4 ประเภทที่ PDPC ให้ความสำคัญเป็นพิเศษ
มาตรการรักษาความปลอดภัยที่ไม่เพียงพอ คือการใช้รหัสผ่านที่อ่อนแอ และการขาดการประเมินความเสี่ยงเป็นประจำ จำเป็นต้องใช้มาตรการทางเทคนิค มาตรการเชิงองค์กร และมาตรการทางกายภาพร่วมกันตามระดับความเสี่ยงของข้อมูลที่จัดการ
การไม่แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ถือเป็นการละเมิดร้ายแรง ผู้ประกอบการที่จัดการข้อมูลส่วนบุคคลมากกว่า 100,000 รายการมีความเป็นไปได้สูงที่จะต้องแต่งตั้ง DPO การให้พนักงานปัจจุบันทำหน้าที่เป็น DPO เพียงตามรูปแบบไม่เพียงพอ ต้องเป็นผู้เชี่ยวชาญที่ทำหน้าที่จริง
การแจ้งเหตุละเมิดข้อมูลล่าช้า หรือไม่แจ้ง ถูกลงโทษในกรณีของร้านค้าเทคโนโลยีและบริษัทเครื่องสำอาง ต้องแจ้งต่อ PDPC ภายใน 72 ชั่วโมงหลังจากทราบเหตุเป็นหลักการ
การขาดการกำกับดูแลผู้รับจ้าง แสดงให้เห็นว่าผู้ควบคุมข้อมูล (ผู้ว่าจ้าง) และผู้ประมวลผลข้อมูล (ผู้รับจ้าง) มีภาระผูกพันตามกฎหมายแยกกัน ในกรณีหนึ่งผู้ว่าจ้างถูกปรับ 500,000 บาท แต่ผู้รับจ้างถูกปรับ 3 ล้านบาท สูงกว่า 6 เท่า การจัดการห่วงโซ่อุปทานทั้งหมดจึงมีความสำคัญ
มาตรการตอบสนองเร่งด่วนขององค์กร
องค์กรที่ประกอบธุรกิจในไทยจำเป็นต้องทบทวนระบบการปฏิบัติตาม PDPA อย่างเร่งด่วนและครอบคลุม การตรวจสอบข้อบังคับการแต่งตั้ง DPO และการแต่งตั้งบุคลากรที่เหมาะสม การจัดทำเอกสารมาตรการรักษาความปลอดภัยตามการประเมินความเสี่ยง การจัดทำแผนตอบสนองการละเมิดที่สามารถแจ้งได้ภายใน 72 ชั่วโมง และการทำสัญญาประมวลผลข้อมูลที่เหมาะสมกับผู้รับจ้างทุกราย
การฝึกอบรมพนักงานอย่างต่อเนื่องก็สำคัญ เพื่อฝังการคุ้มครองข้อมูลเป็นวัฒนธรรมองค์กร การจัดช่องทางรับคำร้องขอเปิดเผย แก้ไข ลบข้อมูลจากบุคคลธรรมดาก็จำเป็น
คาดการณ์การบังคับใช้ที่เข้มงวดขึ้นในอนาคต
PDPC จะไม่ผ่อนผันในการบังคับใช้ แต่คาดว่าจะขยายไปยังอุตสาหกรรมที่หลากหลายมากขึ้น ค่าปรับอาจสูงขึ้นตามความร้ายแรงของการละเมิดและขนาดธุรกิจ
หน่วยงานกำกับดูแลตั้งเป้า “การละเมิดข้อมูลศูนย์” แต่ควรเข้าใจว่าเป็นการแสดงเจตนารมณ์สู่ “การละเมิดการปฏิบัติตามข้อกำหนดศูนย์” หากมีมาตรการรักษาความปลอดภัยที่เหมาะสมและปฏิบัติตามขั้นตอนที่กำหนดอย่างรวดเร็ว แม้เกิดการละเมิดข้อมูลขึ้น ก็ไม่จำเป็นต้องได้รับโทษหนัก
คาดว่าจะมีการจัดทำกฎเกณฑ์ตอบสนองเทคโนโลยีใหม่ เช่น การคุ้มครองข้อมูลในการใช้ AI กรอบการถ่ายโอนข้อมูลระหว่างประเทศ และแนวทางเทคนิคการทำให้ข้อมูลไม่สามารถระบุตัวตนได้
ความเห็นของ BKK IT News
การลงโทษพร้อมกันครั้งนี้แสดงให้เห็นว่าการคุ้มครองข้อมูลในไทยเข้าสู่ขั้นตอนใหม่ สำหรับองค์กร การปฏิบัติตาม PDPA ไม่ใช่ต้นทุนอีกต่อไป แต่เป็นการลงทุนเชิงกลยุทธ์เพื่อได้รับความไว้วางใจจากลูกค้าและสังคม
การบังคับใช้ที่เข้มงวดจะช่วยสร้างความเชื่อมั่นต่อเศรษฐกิจดิจิทัลในระยะยาว ยังเชื่อมโยงกับการต่อต้านการหลอกลวงทางโทรศัพท์ที่เป็นปัญหาสังคมร้ายแรงในไทย การตัดการรั่วไหลของข้อมูลจากแหล่งต้นทางขององค์กรจะช่วยลดความเสียหายจากอาชญากรรม
สำหรับองค์กรที่จะดำเนินธุรกิจในไทยต่อไป การปรับตัวเข้ากับสภาพแวดล้อมการกำกับดูแลใหม่นี้กลายเป็นเงื่อนไขจำเป็นสำหรับความสำเร็จ การสร้างระบบที่เหมาะสมจะช่วยสร้างฐานธุรกิจที่ยั่งยืนในยุคดิจิทัล
ลิงก์บทความอ้างอิง
- Thailand ramps up data protection enforcement – Hogan Lovells
- More Than a Warning: Eight Serious Fines Imposed in Thai Data Protection Cases – Tilleke & Gibbins
- Hospital fined after patient files used as snack bags – Bangkok Post
- PDPC levies fines of B15m in 5 data breach cases – Bangkok Post
- THAILAND: First PDPA Enforcement in Thailand: A Landmark Case | Privacy Matters
