สรุปเหตุการละเมิดข้อมูลส่วนบุคคลในประเทศไทย และบทลงโทษที่องค์กรได้รับ ตั้งแต่ PDPA เริ่มบังคับใช้ จนถึงปี 2568

ตั้งแต่ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) มีผลบังคับใช้เต็มรูปแบบในเดือนมิถุนายน 2565 จนถึงปัจจุบัน (ปี 2568) โดยบทความนี้จะมุ่งเน้นกรณีที่ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) มีคำสั่งปรับทางปกครองแล้ว

ทั้งนี้ โดยทั่วไปแล้ว ชื่อขององค์กรที่ถูกปรับจะไม่มีการเปิดเผยในเอกสารทางกฎหมายสาธารณะ แต่จะระบุตามประเภทธุรกิจหรือหน่วยงานแทน โดยมีรายละเอียด ดังนี้

จากตารางข้างต้น ท่านจะเห็นได้ว่าการละเมิดข้อมูลส่วนใหญ่ เกิดจากความหละหลวมด้าน “การรักษาความมั่นคงปลอดภัย (security)” ให้กับข้อมูลส่วนบุคคล

เพื่อให้การป้องกันข้อมูลรั่วไหลเป็นไปตามมาตรฐานที่กำหนดโดย PDPA องค์กรในฐานะผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม ซึ่งครอบคลุมหลักการพื้นฐาน 3 ประการ คือ การธำรงไว้ซึ่งความลับ (Confidentiality) ความถูกต้องครบถ้วน (Integrity) และสภาพพร้อมใช้งาน (Availability) ของข้อมูลส่วนบุคคล

มาตรการรักษาความมั่นคงปลอดภัย

มาตรการรักษาความมั่นคงปลอดภัยตามมาตรฐาน PDPA ขั้นต่ำจะต้องประกอบด้วย มาตรการเชิงองค์กร (Organizational Measures) และ มาตรการเชิงเทคนิค (Technical Measures) และอาจรวมถึง มาตรการทางกายภาพ (Physical Measures) ที่จำเป็นด้วย โดยมีรายละเอียดสำคัญดังนี้

1. มาตรการเชิงองค์กร (Organizational Measures)

มาตรการเหล่านี้เกี่ยวข้องกับการบริหารจัดการ การกำหนดนโยบาย และการสร้างความตระหนักรู้ของบุคลากรในองค์กร

2. มาตรการเชิงเทคนิค (Technical Measures)

มาตรการเหล่านี้เกี่ยวข้องกับการใช้เทคโนโลยีและระบบสารสนเทศเพื่อปกป้องข้อมูล

3. มาตรการทางกายภาพ (Physical Measures)

มาตรการเหล่านี้เกี่ยวข้องกับการรักษาความปลอดภัยในพื้นที่จัดเก็บข้อมูล ทั้งในรูปแบบเอกสารและอิเล็กทรอนิกส์

แม้ว่าจะมีมาตรการป้องกันความปลอดภัยสำหรับข้อมูลส่วนบุคคลแล้ว แต่เราก็ปฏิเสธไม่ได้ว่าโลกทุกวันนี้มีการเปลี่ยนแปลงอยู่ตลอดเวลา การแฮกข้อมูลก็สามารถเกิดขึ้นทุกเมื่อ ดังนั้นองค์กรของท่านควรปฏิบัติตัวให้เกิดความเสี่ยงน้อยที่สุด ด้วยการตรวจสอบการใช้งานเทคโนโลยี พร้อมติดตั้งระบบแจ้งเตือน เพื่อลดความเสียหายที่อาจเกิดขึ้นได้อย่างทันท่วงที