เผยสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ปรับ "โรงพยาบาลเอกชนขนาดใหญ่" 1.2 ล้านบาท กรณีถุงขนมโตเกียวรียูสจากเวชระเบียนผู้ป่วย ทำข้อมูลเวชระเบียนผู้ป่วยรั่วไหล เข้าข่ายเป็นการไม่ปฏิบัติตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)

เมื่อวันที่ 1 สิงหาคม 2568 เพจ PDPA Thailand รายงานว่า สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หรือ สคส. แถลงบทลงโทษ "โรงพยาบาลเอกชนขนาดใหญ่" ทำข้อมูลเวชระเบียนผู้ป่วยรั่วไหล แล้วเอกสารดังกล่าวถูกนำไปเป็นซองขนมโตเกียว เกิดเป็นข่าวและกระแสในสื่อสังคมออนไลน์

จากการตรวจสอบพบว่า โรงพยาบาลดังกล่าว ในฐานะของผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ทำสัญญากับกิจการขนาดเล็กซึ่งมีลักษณะเป็นธุรกิจครอบครัว ให้ทำหน้าที่ทำลายเอกสารเวชระเบียนดังกล่าว แต่ไม่ได้มีการติดตาม ควบคุม หรือตรวจสอบกระบวนการให้เป็นไปตามมาตรฐานที่กำหนด ทำให้เอกสารเวชระเบียนกว่า 1,000 ฉบับรั่วไหล

ในส่วนของเอกชน (บุคคลธรรมดา) ผู้รับจ้างทำลายเอกสาร ก็ได้นำเวชระเบียนที่ได้รับจากโรงพยาบาลกลับไปพักไว้ที่บ้านของตนเอง โดยไม่ได้ดำเนินการตามขั้นตอนที่ตกลงไว้ และไม่ได้แจ้งเหตุการรั่วไหลให้โรงพยาบาลทราบ จึงเข้าข่ายเป็นการไม่ปฏิบัติตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) อันนำไปสู่บทลงโทษครั้งนี้

เหตุการณ์นี้แบ่งการลงโทษออกเป็น 2 กรณี บทลงโทษที่ 1 - โรงพยาบาล ในฐานะของผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ถูกลงโทษปรับ 1,210,000 บาท บทลงโทษที่ 2 - บุคคลธรรมดา ในฐานะผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ถูกลงโทษปรับ 16,940 บาท รวมมูลค่าการลงโทษปรับทางปกครองกว่า 1,226,940 บาท

Thai PBS รายงานเพิ่มเติมว่า นอกจากนี้ยังมีกรณีอื่น ๆ ที่เป็นอุทาหรณ์ให้ทั้งภาครัฐและเอกชนต้องเร่งปรับตัว ได้แก่ เหตุการณ์ที่เกิดขึ้นกับ "หน่วยงานของรัฐรายหนึ่ง" ที่ให้บริการประชาชนผ่านระบบออนไลน์ (Web App) ซึ่งถูกโจมตีและนำข้อมูลส่วนบุคคลของประชาชนกว่า 200,000 ราย ไปประกาศขายใน DARK Web โดยมิชอบ

จากการตรวจสอบพบว่า หน่วยงานรัฐดังกล่าวไม่ได้จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศอย่างเหมาะสม รวมถึงใช้รหัสผ่านที่อ่อนแอ ไม่มีการประเมินความเสี่ยงและไม่ได้ทบทวนมาตรการอย่างต่อเนื่อง ทั้งยังละเลยการทำข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement) กับบริษัทพัฒนาระบบที่ทำหน้าที่เป็นผู้ประมวลผลข้อมูลส่วนบุคคล

สำหรับบริษัทพัฒนาระบบที่เกี่ยวข้อง ก็ไม่มีการออกแบบมาตรการรักษาความมั่นคงปลอดภัยตั้งแต่ต้น ขาดระบบควบคุมการเข้าถึงข้อมูล ไม่มีการประเมินความเสี่ยง และแม้จะไม่ได้รับข้อตกลง DPA จากหน่วยงานภาครัฐ แต่ก็ไม่ได้ดำเนินการใด ๆ เพื่อป้องกันความเสี่ยงจากการรั่วไหลของข้อมูล จึงเข้าข่ายความผิดในฐานะผู้ประมวลผลข้อมูลส่วนบุคคลตามกฎหมาย คณะกรรมการผู้เชี่ยวชาญ คณะที่ 3 จึงมีคำสั่งปรับหน่วยงานภาครัฐและบริษัทเอกชนดังกล่าว เป็นเงินทั้งสิ้น หน่วยงานละ 153,120 บาท

ส่วนอีก 3 กรณี เป็นกรณีที่มีข้อมูลส่วนบุคคลของประชาชนรั่วไหลจาก "หน่วยงานเอกชน ซึ่งเป็นหน่วยงานด้านการค้าส่ง ค้าปลีกและสินค้าออนไลน์" และมีผู้เสียหายร้องเรียน อันอยู่ในความรับผิดชอบของคณะกรรมการผู้เชี่ยวชาญคณะที่ 2 โดยกรณีที่ 1 เกิดจากหน่วยงานขายเครื่องและอุปกรณ์คอมฯไม่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม ไม่แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่ สคส. ตามกฎหมาย และเป็นหน่วยงานที่มีการเก็บรวบรวมข้อมูลส่วนบุคคลอย่างสม่ำเสมอด้วยเหตุที่มีข้อมูลส่วนบุคคลจำนวนมากแต่ไม่จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล รวม 3 ข้อหา คณะกรรมการผู้เชี่ยวชาญคณะที่ 2 จึงมีคำสั่งลงโทษปรับ 7 ล้านบาท

กรณีที่ 2 เกิดจาก "หน่วยงานขายเครื่องสำอาง" ไม่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม และไม่แจ้งเหตุการละเมิดของมูลส่วนบุคคลแก่ สคส.ตามกฎหมาย รวม 2 ข้อหา คณะกรรมการผู้เชี่ยวชาญคณะที่ 2 จึงมีคำสั่งลงโทษปรับ 2.5 ล้านบาท และกรณีที่ 3 เกิดจาก "หน่วยงานขายของเล่นสะสม" ไม่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม คณะกรรมการผู้เชี่ยวชาญคณะที่ 2 จึงมีคำสั่งลงโทษปรับหน่วยงานผู้ควบคุมข้อมูลส่วนบุคคล 5 แสนบาท และลงโทษปรับหน่วยงานผู้ประมวลผลข้อมูลส่วนบุคคล 3 ล้านบาท

พ.ต.อ. สุรพงศ์ เปล่งขำ เลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เปิดเผยว่า การลงโทษในครั้งนี้เป็นผลจากกระบวนการตรวจสอบรวบรวมข้อเท็จจริง และพิจารณาของคณะกรรมการผู้เชี่ยวชาญอย่างเป็นทางการ ทั้ง 5 กรณีนี้ถือเป็นสัญญาณชัดเจนถึงทุกภาคส่วน ทั้งหน่วยงานภาครัฐ เอกชน และผู้ให้บริการที่เกี่ยวข้องว่า การจัดการข้อมูลส่วนบุคคลไม่ใช่เพียงเรื่องของเทคนิคหรือเอกสาร แต่คือความรับผิดชอบที่ต้องมีมาตรฐานด้านความปลอดภัย การประเมินความเสี่ยงอย่างสม่ำเสมอ และกลไกการกำกับติดตามที่โปร่งใส เพื่อไม่ให้เกิดความเสียหายต่อสิทธิของประชาชนอย่างไม่อาจแก้ไขได้

ทั้งนี้ ในรอบปีงบประมาณ พ.ศ.2568 สคส. ภายใต้การกำกับของกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ได้มีคำสั่งลงโทษปรับทางปกครองกับหน่วยงานภาครัฐ เอกชน และบริษัทผู้ประมวลผลข้อมูลส่วนบุคคล ซึ่งไม่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลอย่างเหมาะสม รวม 5 เรื่อง 8 คำสั่ง ต่อเนื่องจากในรอบปีงบประมาณ พ.ศ.2567 ซึ่งได้เคยมีคำสั่งลงโทษปรับทางปกครองมาแล้ว 1 เรื่อง 1 คำสั่ง รวมตั้งแต่บังคับใช้ PDPA มามีคำสั่งลงโทษปรับทางปกครองไปแล้ว 6 เรื่อง 9 คำสั่ง โดยมีมูลค่ารวมของโทษปรับทั้งสิ้นกว่า 21.5 ล้านบาท