พิษกม.PDPA กกต.ถูกสั่งปรับ 335,000 บาท ปมทำข้อมูลรายชื่อผู้ได้รับเลือกเป็นสว.ระดับอำเภอ 23,645 รายชื่อ รั่วออกโซเชียล ชี้จนท.ส่งผ่านไลน์เพื่อสะดวกในการทำงาน แต่ไร้มาตรการรักษาความปลอดภัย แถมรู้เหตุแล้วแต่แจ้งสคส.ล่าช้า
วันนี้(11ธ.ค.) เพจ PDPA Thailand โพสต์ข้อความระบุว่า สั่งปรับ กกต. ทำข้อมูลผู้สมัคร สว.รั่ว 335,000 บาท
ทั้งนี้เป็นกรณีสืบเนื่องจากการที่ ดร.อุดมธิปก ไพรเกษตร Dome Udomtipok Phaikaset ผู้ก่อตั้งสื่อ PDPA Thailand ได้พบว่าสำนักงานคณะกรรมการเลือกตั้ง มีการฟ้องทางปกครอง คณะกรรมการผู้เชี่ยวชาญ คณะที่ 3 ในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เมื่อวันที่ 21 พฤศจิการยน 2568
และล่าสุดทาง ดร.อุดมธิปก ได้รับเอกสารสำเนาคำสั่งคณะกรรมการผู้เชี่ยวชาญ คณะที่ 3 ที่ 17 / 2568 เรื่อง การร้องเรียนเหตุละเมิดข้อมูลรายชื่อผู้ได้รับเลือกสมาชิกวุฒิสภาระดับอำเภอ จึงส่งให้ทางฝ่ายที่ปรึกษาและตรวจสอบการคุ้มครองข้อมูลส่วนบุคคลบริษัท DBC Group จำกัด ได้ศึกษา ซึ่งทาง PDPA Thailand ขอสรุปข้อเท็จจริงของการรั่วไหลข้อมูลผู้สมัคร สว. และผลกระทบจากการที่ กกต. ถูกสั่งปรับครั้งนี้ ดังนี้ 1. เหตุการณ์ที่เกิดขึ้น
ผู้ถูกร้องเรียน: สำนักงานคณะกรรมการการเลือกตั้ง (กกต.) ในฐานะ "ผู้ควบคุมข้อมูลส่วนบุคคล"
วันเกิดเหตุ: เมื่อวันที่ 10 มิถุนายน 2567 ศูนย์เฝ้าระวัง PDPC Eagle Eye ตรวจพบข้อมูลรั่วไหลบนเว็บไซต์และโซเชียลมีเดีย
ข้อมูลที่รั่วไหล: เป็นรายชื่อผู้ได้รับเลือกเป็นสมาชิกวุฒิสภา (สว.) ระดับอำเภอ จำนวน 23,645 รายชื่อ
รายละเอียดข้อมูล: ประกอบด้วย คำนำหน้านาม, ชื่อ-นามสกุล, หมายเลขบัตรประจำตัวประชาชน, ชื่อกลุ่ม, รหัสกลุ่ม, อำเภอ/เขต และจังหวัด ช่องทางที่รั่วไหล: ไฟล์ข้อมูลถูกส่งต่อผ่านแอปพลิเคชัน LINE และมีการเผยแพร่ต่อไปยังเว็บไซต์สื่อมวลชน
2.สาเหตุของการรั่วไหล
ปัญหาเชิงระบบ: ระบบบริหารจัดการการเลือกสมาชิกวุฒิสภามีอุปสรรคในการดำเนินการ ผู้ถูกร้องเรียน (สำนักงาน กกต.) จึงจำเป็นต้องขอข้อมูลในรูปแบบ PDF และ Excel ทุกวันเพื่อเตรียมการสมัครทางแอปพลิเคชัน LINE
การปฏิบัติงาน: เจ้าหน้าที่ใช้วิธีส่งต่อไฟล์รายชื่อผ่านแอปพลิเคชัน LINE เพื่อความสะดวกในการปฏิบัติงานและการส่งข้อมูลให้ผู้บังคับบัญชา โดยไม่มีมาตรการรักษาความมั่นคงปลอดภัยที่ชัดเจน (เช่น การเข้ารหัสไฟล์) การขาดมาตรการ: ไม่มีการตกลงหรือกำหนดมาตรการรักษาความปลอดภัยในการรับส่งข้อมูลผ่าน LINE อย่างเป็นทางการ มีเพียงการกำชับด้วยวาจาหรือใช้ความระมัดระวังส่วนบุคคล ซึ่งไม่เพียงพอตามมาตรฐานกฎหมาย
3.การวินิจฉัยความผิดคณะกรรมการผู้เชี่ยวชาญฯ วินิจฉัยว่า สำนักงาน กกต. มีการฝ่าฝืนพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ใน 2 ประเด็นหลัก ดังนี้:
ประเด็นที่ 1: มาตรการรักษาความมั่นคงปลอดภัยไม่เหมาะสม (ผิดมาตรา 37 (1)) ข้อเท็จจริง: การส่งไฟล์ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อนผ่าน LINE โดยไม่มีมาตรการป้องกัน (เช่น การกำหนดสิทธิเข้าถึง หรือการเข้ารหัส) ถือเป็นการกระทำที่ขาดความระมัดระวังตามวิสัย และไม่เป็นไปตามมาตรฐานขั้นต่ำที่กฎหมายกำหนด
บทลงโทษ: สั่งลงโทษ ปรับทางปกครอง เป็นเงินจำนวน 335,000 บาท (สามแสนสามหมื่นห้าพันบาทถ้วน)
ประเด็นที่ 2: แจ้งเหตุละเมิดล่าช้า (ผิดมาตรา 37 (4))ข้อเท็จจริง: กกต. ทราบเหตุตั้งแต่วันที่ 10-11 มิถุนายน 2567 แต่ไม่ได้แจ้งเหตุการละเมิดแก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) อย่างเป็นทางการภายใน 72 ชั่วโมง (แจ้งเป็นทางการเมื่อวันที่ 21 มิถุนายน 2567 ซึ่งเกินกำหนด) บทลงโทษ: ตักเตือน (เนื่องจากเห็นว่าหน่วยงานไม่ได้เพิกเฉย มีการระงับเหตุทันที และให้ความร่วมมือในการสอบสวนเป็นอย่างดี จึงลดหย่อนโทษจากปรับเป็นตักเตือนในประเด็นนี้)
บทลงโทษและคำสั่ง
เนื่องจาก กกต. เป็นหน่วยงานรัฐขนาดกลาง ขาดความระมัดระวังแต่ไม่ได้จงใจ และให้ความร่วมมือในการระงับเหตุเป็นอย่างดี คณะกรรมการฯ จึงมีคำสั่งดังนี้:สั่งปรับเป็นเงิน: จำนวน 335,000 บาท (สามแสนสามหมื่นห้าพันบาทถ้วน) จากกรณีไม่จัดให้มีมาตรการรักษาความปลอดภัย
ว่ากล่าวตักเตือน: ในกรณีการแจ้งเหตุล่าช้า ให้ระมัดระวังและปฏิบัติให้ถูกต้องในอนาคต
คำสั่งให้แก้ไข:
ให้กำหนดมาตรการรักษาความมั่นคงปลอดภัยในการจัดการเลือกตั้ง โดยเฉพาะเรื่องการเก็บรวบรวมและเปิดเผยข้อมูล 2) ให้กำหนดแนวปฏิบัติเรื่องการส่งต่อเอกสารข้อมูลส่วนบุคคลผ่านสื่อสังคมออนไลน์ (เช่น LINE) อย่างเป็นทางการ
ให้กำชับเจ้าหน้าที่และรายงานผลการปฏิบัติต่อคณะกรรมการภายใน 30 วัน
อนาคตการกำกับดูแลการใช้ข้อมูลส่วนบุคคล ภายใต้กฎหมาย PDPA จะมีความเข้มข้นมากขึ้น ดังนั้น องค์กรที่ยังละเลยมาตรการคุ้มครองข้อมูลส่วนบุคคล ยิ่งรอนานเท่าไร ความเสี่ยงเชิงกฎหมายและชื่อเสียงก็ยิ่งสูงขึ้นเท่านั้น การเริ่มจัดการ PDPA อย่างจริงจังตั้งแต่วันนี้ จึงไม่ใช่ทางเลือก แต่เป็นเงื่อนไขสำคัญที่องค์กรต้องทำให้มีประสิทธิภา