พิษกฎหมาย PDPA กกต.ถูกสั่งปรับ 335,000 บ. ปมทำข้อมูลผู้สมัครสว.ระดับอำเภอ 23,645 รายชื่อ รั่วออกโซเชียล ชี้จนท.ส่งผ่านไลน์เพื่อสะดวกในการทำงาน แต่ไร้มาตรการรักษาความปลอดภัย แถมรู้เหตุแล้วแต่แจ้ง สคส.ล่าช้า
เมื่อวันที่ 11 ธันวาคม 2568 เพจ PDPA Thailand โพสต์ข้อความระบุว่า สั่งปรับ กกต.ทำข้อมูลผู้สมัคร ส.ว.รั่ว 335,000 บาท ทั้งนี้ เป็นกรณีสืบเนื่องจากการที่ นายอุดมธิปก ไพรเกษตร Dome Udomtipok Phaikaset ผู้ก่อตั้งสื่อ PDPA Thailand ได้พบว่า สำนักงานคณะกรรมการเลือกตั้งมีการฟ้องทางปกครอง คณะกรรมการผู้เชี่ยวชาญ คณะที่ 3 ในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เมื่อวันที่ 21 พฤศจิกายน 2568 และล่าสุด นายอุดมธิปกได้รับเอกสารสำเนาคำสั่งคณะกรรมการผู้เชี่ยวชาญ คณะที่ 3 ที่ 17/2568 เรื่อง การร้องเรียนเหตุละเมิดข้อมูลรายชื่อผู้ได้รับเลือกสมาชิกวุฒิสภาระดับอำเภอ จึงส่งให้ทางฝ่ายที่ปรึกษาและตรวจสอบการคุ้มครองข้อมูลส่วนบุคคลบริษัท DBC Group จำกัด ได้ศึกษา ซึ่งทาง PDPA Thailand ขอสรุปข้อเท็จจริงของการรั่วไหลข้อมูลผู้สมัคร ส.ว.และผลกระทบจากการที่ กกต.ถูกสั่งปรับครั้งนี้ ดังนี้
1.เหตุการณ์ที่เกิดขึ้น ผู้ถูกร้องเรียน: สำนักงานคณะกรรมการการเลือกตั้ง (กกต.) ในฐานะ “ผู้ควบคุมข้อมูลส่วนบุคคล” วันเกิดเหตุ: เมื่อวันที่ 10 มิ.ย.2567 ศูนย์เฝ้าระวัง PDPC Eagle Eye ตรวจพบข้อมูลรั่วไหลบนเว็บไซต์และโซเชียลมีเดีย
ข้อมูลที่รั่วไหล: เป็นรายชื่อผู้ได้รับเลือกเป็นสมาชิกวุฒิสภา (ส.ว.) ระดับอำเภอ จำนวน 23,645 รายชื่อ รายละเอียดข้อมูล: ประกอบด้วย คำนำหน้านาม, ชื่อ-นามสกุล, หมายเลขบัตรประจำตัวประชาชน, ชื่อกลุ่ม, รหัสกลุ่ม, อำเภอ/เขต และจังหวัด ช่องทางที่รั่วไหล: ไฟล์ข้อมูลถูกส่งต่อผ่านแอพพลิเคชั่น LINE และมีการเผยแพร่ต่อไปยังเว็บไซต์สื่อมวลชน
2.สาเหตุของการรั่วไหล ปัญหาเชิงระบบ: ระบบบริหารจัดการการเลือกสมาชิกวุฒิสภามีอุปสรรคในการดำเนินการ ผู้ถูกร้องเรียน (สำนักงาน กกต.) จึงจำเป็นต้องขอข้อมูลในรูปแบบ PDF และ Excel ทุกวันเพื่อเตรียมการสมัครทางแอพพลิเคชั่น LINE การปฏิบัติงาน: เจ้าหน้าที่ใช้วิธีส่งต่อไฟล์รายชื่อผ่านแอพพลิเคชั่น LINE เพื่อความสะดวกในการปฏิบัติงานและการส่งข้อมูลให้ผู้บังคับบัญชา โดยไม่มีมาตรการรักษาความมั่นคงปลอดภัยที่ชัดเจน (เช่น การเข้ารหัสไฟล์) การขาดมาตรการ: ไม่มีการตกลงหรือกำหนดมาตรการรักษาความปลอดภัยในการรับส่งข้อมูลผ่าน LINE อย่างเป็นทางการ มีเพียงการกำชับด้วยวาจาหรือใช้ความระมัดระวังส่วนบุคคล ซึ่งไม่เพียงพอตามมาตรฐานกฎหมาย
3.การวินิจฉัยความผิดคณะกรรมการผู้เชี่ยวชาญฯ วินิจฉัยว่า สำนักงาน กกต.มีการฝ่าฝืนพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 (PDPA) ใน 2 ประเด็นหลัก ดังนี้: ประเด็นที่ 1 มาตรการรักษาความมั่นคงปลอดภัยไม่เหมาะสม ผิดมาตรา 37 (1) ข้อเท็จจริง: การส่งไฟล์ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อนผ่าน LINE โดยไม่มีมาตรการป้องกัน เช่น การกำหนดสิทธิเข้าถึง หรือการเข้ารหัส ถือเป็นการกระทำที่ขาดความระมัดระวังตามวิสัย และไม่เป็นไปตามมาตรฐานขั้นต่ำที่กฎหมายกำหนด บทลงโทษ: สั่งลงโทษ ปรับทางปกครอง เป็นเงินจำนวน 335,000 บาท
ประเด็นที่ 2 แจ้งเหตุละเมิดล่าช้า ผิดมาตรา 37 (4) ข้อเท็จจริง: กกต.ทราบเหตุตั้งแต่วันที่ 10-11 มิถุนายน 2567 แต่ไม่ได้แจ้งเหตุการละเมิดแก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) อย่างเป็นทางการภายใน 72 ชั่วโมง (แจ้งเป็นทางการเมื่อวันที่ 21 มิถุนายน 2567 ซึ่งเกินกำหนด) บทลงโทษ: ตักเตือน (เนื่องจากเห็นว่าหน่วยงานไม่ได้เพิกเฉย มีการระงับเหตุทันที และให้ความร่วมมือในการสอบสวนเป็นอย่างดี จึงลดหย่อนโทษจากปรับเป็นตักเตือนในประเด็นนี้)
บทลงโทษและคำสั่งเนื่องจาก กกต.เป็นหน่วยงานรัฐขนาดกลาง ขาดความระมัดระวังแต่ไม่ได้จงใจ และให้ความร่วมมือในการระงับเหตุเป็นอย่างดี คณะกรรมการฯ จึงมีคำสั่งดังนี้ สั่งปรับเป็นเงินจำนวน 335,000 บาท จากกรณีไม่จัดให้มีมาตรการรักษาความปลอดภัย ว่ากล่าวตักเตือนในกรณีการแจ้งเหตุล่าช้า ให้ระมัดระวังและปฏิบัติให้ถูกต้องในอนาคต
คำสั่งให้แก้ไข ให้กำหนดมาตรการรักษาความมั่นคงปลอดภัยในการจัดการเลือกตั้ง โดยเฉพาะเรื่องการเก็บรวบรวมและเปิดเผยข้อมูล 2) ให้กำหนดแนวปฏิบัติเรื่องการส่งต่อเอกสารข้อมูลส่วนบุคคลผ่านสื่อสังคมออนไลน์ เช่น LINE อย่างเป็นทางการ ให้กำชับเจ้าหน้าที่และรายงานผลการปฏิบัติต่อคณะกรรมการภายใน 30 วัน
อนาคตการกำกับดูแลการใช้ข้อมูลส่วนบุคคล ภายใต้กฎหมาย PDPA จะมีความเข้มข้นมากขึ้น ดังนั้น องค์กรที่ยังละเลยมาตรการคุ้มครองข้อมูลส่วนบุคคล ยิ่งรอนานเท่าไร ความเสี่ยงเชิงกฎหมายและชื่อเสียงก็ยิ่งสูงขึ้นเท่านั้น การเริ่มจัดการ PDPA อย่างจริงจังตั้งแต่วันนี้ จึงไม่ใช่ทางเลือก แต่เป็นเงื่อนไขสำคัญที่องค์กรต้องทำให้มีประสิทธิภาพ
