พิษกฎหมาย PDPA กกต.ถูกสั่งปรับ 3.35 แสนบาท ทำข้อมูลผู้สมัครสว.ระดับอำเภอ 23,645 รายชื่อ รั่วออกโซเชียล ชี้จนท.ส่งผ่านไลน์ แต่ไร้มาตรการรักษาความปลอดภัย แถมรู้แต่แจ้ง สคส.ล่าช้า
เมื่อวันที่ 11 ธ.ค.2568 เพจ PDPA Thailand โพสต์ข้อความระบุว่า สั่งปรับ กกต. ทำข้อมูลผู้สมัคร สว.รั่ว 335,000 บาท
ทั้งนี้ เป็นกรณีสืบเนื่องจากการที่ นายอุดมธิปก ไพรเกษตร Dome Udomtipok Phaikaset ผู้ก่อตั้งสื่อ PDPA Thailand ได้พบว่า สำนักงานคณะกรรมการเลือกตั้ง (กกต.) มีการฟ้องทางปกครอง คณะกรรมการผู้เชี่ยวชาญ คณะที่ 3 ในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เมื่อวันที่ 21 พ.ย. 2568
และล่าสุดทางนายอุดมธิปก ได้รับเอกสารสำเนาคำสั่งคณะกรรมการผู้เชี่ยวชาญ คณะที่ 3 ที่ 17 / 2568 เรื่อง การร้องเรียนเหตุละเมิดข้อมูลรายชื่อผู้ได้รับเลือกสมาชิกวุฒิสภาระดับอำเภอ
จึงส่งให้ทางฝ่ายที่ปรึกษาและตรวจสอบการคุ้มครองข้อมูลส่วนบุคคลบริษัท DBC Group จำกัด ได้ศึกษา ซึ่งทาง PDPA Thailand ขอสรุปข้อเท็จจริงของการรั่วไหลข้อมูลผู้สมัคร สว. และผลกระทบ
จากที่ กกต. ถูกสั่งปรับครั้งนี้ ดังนี้ 1.เหตุการณ์ที่เกิดขึ้น ผู้ถูกร้องเรียน: สำนักงานคณะกรรมการการเลือกตั้ง (กกต.) ในฐานะ “ผู้ควบคุมข้อมูลส่วนบุคคล” วันเกิดเหตุ: เมื่อวันที่ 10 มิ.ย.2567 ศูนย์เฝ้าระวัง PDPC Eagle Eye ตรวจพบข้อมูลรั่วไหลบนเว็บไซต์และโซเชียลมีเดีย
ข้อมูลที่รั่วไหล: เป็นรายชื่อผู้ได้รับเลือกเป็นสว. ระดับอำเภอ จำนวน 23,645 รายชื่อ รายละเอียดข้อมูล: ประกอบด้วย คำนำหน้านาม, ชื่อ-นามสกุล, หมายเลขบัตรประจำตัวประชาชน, ชื่อกลุ่ม, รหัสกลุ่ม, อำเภอ/เขต และจังหวัด ช่องทางที่รั่วไหล: ไฟล์ข้อมูลถูกส่งต่อผ่านแอปพลิเคชัน LINE และมีการเผยแพร่ต่อไปยังเว็บไซต์สื่อมวลชน
2.สาเหตุของการรั่วไหล ปัญหาเชิงระบบ: ระบบบริหารจัดการการเลือกสมาชิกวุฒิสภามีอุปสรรคในการดำเนินการ ผู้ถูกร้องเรียน (สำนักงาน กกต.) จึงจำเป็นต้องขอข้อมูลในรูปแบบ PDF และ Excel ทุกวันเพื่อเตรียมการสมัครทางแอปพลิเคชัน LINE
การปฏิบัติงาน: เจ้าหน้าที่ใช้วิธีส่งต่อไฟล์รายชื่อผ่านแอปพลิเคชัน LINE เพื่อความสะดวกในการปฏิบัติงานและการส่งข้อมูลให้ผู้บังคับบัญชา โดยไม่มีมาตรการรักษาความมั่นคงปลอดภัยที่ชัดเจน (เช่น การเข้ารหัสไฟล์) การขาดมาตรการ: ไม่มีการตกลงหรือกำหนดมาตรการรักษาความปลอดภัยในการรับส่งข้อมูลผ่าน LINE อย่างเป็นทางการ มีเพียงการกำชับด้วยวาจาหรือใช้ความระมัดระวังส่วนบุคคล ซึ่งไม่เพียงพอตามมาตรฐานกฎหมาย
3.การวินิจฉัยความผิดคณะกรรมการผู้เชี่ยวชาญฯ วินิจฉัยว่า สำนักงาน กกต. มีการฝ่าฝืนพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ใน 2 ประเด็นหลัก ดังนี้: ประเด็นที่ 1 มาตรการรักษาความมั่นคงปลอดภัยไม่เหมาะสม (ผิดมาตรา 37 (1)
ข้อเท็จจริง: การส่งไฟล์ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อนผ่าน LINE โดยไม่มีมาตรการป้องกัน เช่น การกำหนดสิทธิเข้าถึง หรือการเข้ารหัส ถือเป็นการกระทำที่ขาดความระมัดระวังตามวิสัย และไม่เป็นไปตามมาตรฐานขั้นต่ำที่กฎหมายกำหนด บทลงโทษ: สั่งลงโทษ ปรับทางปกครอง เป็นเงินจำนวน 335,000 บาท
ประเด็นที่ 2 แจ้งเหตุละเมิดล่าช้า ผิดมาตรา 37 (4) ข้อเท็จจริง: กกต. ทราบเหตุตั้งแต่วันที่ 10-11 มิถุนายน 2567 แต่ไม่ได้แจ้งเหตุการละเมิดแก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) อย่างเป็นทางการภายใน 72 ชั่วโมง (แจ้งเป็นทางการเมื่อวันที่ 21 มิถุนายน 2567 ซึ่งเกินกำหนด)
บทลงโทษ: ตักเตือน (เนื่องจากเห็นว่าหน่วยงานไม่ได้เพิกเฉย มีการระงับเหตุทันที และให้ความร่วมมือในการสอบสวนเป็นอย่างดี จึงลดหย่อนโทษจากปรับเป็นตักเตือนในประเด็นนี้
บทลงโทษและคำสั่งเนื่องจาก กกต. เป็นหน่วยงานรัฐขนาดกลาง ขาดความระมัดระวังแต่ไม่ได้จงใจ และให้ความร่วมมือในการระงับเหตุเป็นอย่างดี คณะกรรมการฯ จึงมีคำสั่งดังนี้ สั่งปรับเป็นเงินจำนวน 335,000 บาท จากกรณีไม่จัดให้มีมาตรการรักษาความปลอดภัย ว่ากล่าวตักเตือนในกรณีการแจ้งเหตุล่าช้า ให้ระมัดระวังและปฏิบัติให้ถูกต้องในอนาคต
คำสั่งให้แก้ไข ให้กำหนดมาตรการรักษาความมั่นคงปลอดภัยในการจัดการเลือกตั้ง โดยเฉพาะเรื่องการเก็บรวบรวมและเปิดเผยข้อมูล 2) ให้กำหนดแนวปฏิบัติเรื่องการส่งต่อเอกสารข้อมูลส่วนบุคคลผ่านสื่อสังคมออนไลน์ เช่น LINE อย่างเป็นทางการให้กำชับเจ้าหน้าที่และรายงานผลการปฏิบัติต่อคณะกรรมการภายใน 30 วัน
อนาคตการกำกับดูแลการใช้ข้อมูลส่วนบุคคล ภายใต้กฎหมาย PDPA จะมีความเข้มข้นมากขึ้น ดังนั้น องค์กรที่ยังละเลยมาตรการคุ้มครองข้อมูลส่วนบุคคล ยิ่งรอนานเท่าไร ความเสี่ยงเชิงกฎหมายและชื่อเสียงก็ยิ่งสูงขึ้นเท่านั้น การเริ่มจัดการ PDPA อย่างจริงจังตั้งแต่วันนี้ จึงไม่ใช่ทางเลือก แต่เป็นเงื่อนไขสำคัญที่องค์กรต้องทำให้มีประสิทธิภาพ
