ค้นหา
ทีวีออนไลน์
เว็บไซต์ในเครือ
ALTVALTVVIPAVIPAThe ActiveThe ActiveThai PBS KidsKidsThai PBS PodcastPodcastThai PBS WorldWorldDecodeDecodeCitizen+Citizen+
เว็บไซต์บริการ
C-SITEC-SITELocalsLocalsPolicy WatchPolicy WatchThe VisualThe VisualThai PBS VerifyThai PBS Verify
ข่าว
การเมืองทันโลกทั่วไทยปากท้องไลฟ์สไตล์ - บันเทิงกีฬาต่างประเทศพระราชสำนักภัยพิบัติภูมิภาคไลฟ์สไตล์วิทยาศาสตร์เทคโนโลยีศิลปะ - บันเทิงเศรษฐกิจสังคมสิ่งแวดล้อมอาชญากรรม
รายการ
รายการข่าวรายการออนไลน์เด็กและเยาวชนสุขภาพ อาหาร ท่องเที่ยววาไรตี้ เรียลลิตี้ละคร ซีรีส์สารคดีกีฬารายการพิเศษรายการเรียงตามตัวอักษรรายการเรียงตามหมวดเพลย์ลิสต์
บริการ
Thai PBS MuseumThai PBS ACADEMYเยี่ยมชมไทยพีบีเอสประกาศคัดสรรผู้ผลิตรายการประกาศจัดหาพัสดุสิขสิทธิ์ข่าวและรายการศูนย์ข้อมูลข่าวสารจดหมายข่าวคำถามที่พบบ่อย
เกี่ยวกับ Thai PBS
วิสัยทัศน์ และพันธกิจที่มาของ ส.ส.ท.รู้จักอัตลักษณ์ไทยพีบีเอสโครงสร้างองค์กรคณะกรรมการนโยบาย ส.ส.ท.คณะกรรมการบริหาร ส.ส.ท.คณะกรรมการบริหารสถานีรางวัลแห่งความภาคภูมิใจติดต่อเรา
ติดตาม Thai PBS
องค์กรข้อมูลสาธารณะ / ITAรับเรื่องร้องเรียน
หน้าหลัก
ข่าว
ชมสด
รายการ
คลิปสั้น

ลงโทษปรับ 1.2 ล้านบาท รพ.เอกชน ปม "ถุงขนมโตเกียว" จาก "เวชระเบียนผู้ป่วย"

สังคม
13:36
1,240
ลงโทษปรับ 1.2 ล้านบาท รพ.เอกชน ปม "ถุงขนมโตเกียว" จาก "เวชระเบียนผู้ป่วย"
สคส. เข้มเดินหน้าบังคับใช้ PDPA ลงโทษปรับ 1.2 ล้านบาท "โรงพยาบาลเอกชนขนาดใหญ่" ปม "ถุงขนมโตเกียว" จาก "เวชระเบียนผู้ป่วย"

เมื่อวันที่ 1 ส.ค.2568 สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) แถลงถึงบทลงโทษปรับหน่วยงานที่ปล่อยข้อมูลประชาชนรั่วไหล ทั้งภาครัฐ-ภาคเอกชน โดยมี 5 กรณีสำคัญ หนึ่งในนั้นคือกรณีที่ได้รับความสนใจอย่างกว้างขวาง คือเหตุการณ์ที่เกิดขึ้นกับ "โรงพยาบาลเอกชนขนาดใหญ่" ทำข้อมูลเวชระเบียนผู้ป่วยรั่วไหล ปรากฏภาพ "ถุงขนมโตเกียวที่ทำจากเอกสารเวชระเบียนของผู้ป่วย ถูกเผยแพร่ผ่านโซเชียลมีเดีย จนเกิดเป็นกระแสวิพากษ์วิจารณ์อย่างมาก

จากการตรวจสอบพบว่ามีเอกสารเวชระเบียนของผู้ป่วยหลุดไปกว่า 1,000 ฉบับ ในขั้นตอนการส่งทำลายเอกสาร ซึ่งโรงพยาบาลดังกล่าวได้ทำข้อตกลงกับกิจการขนาดเล็กซึ่งมีลักษณะเป็นธุรกิจครอบครัวให้ทำหน้าที่ทำลายเอกสารเวชระเบียน แต่ไม่ได้มีการติดตาม ควบคุม หรือตรวจสอบกระบวนการให้เป็นไปตามมาตรฐานที่กำหนด ส่งผลให้เอกสารสำคัญซึ่งเป็นข้อมูลสุขภาพอันเป็นข้อมูลส่วนบุคคลประเภทอ่อนไหวตามมาตรา 26 รั่วไหลสู่ภายนอก โดยไม่ได้มีการลบหรือทำลายข้อมูลส่วนบุคคลให้ถูกต้องตามระยะเวลาที่กฎหมายกำหนด

ในส่วนของเอกชนบุคคลธรรมดาผู้รับจ้างทำลายเอกสาร ก็ได้นำเวชระเบียนที่ได้รับจากโรงพยาบาลกลับไปพักไว้ที่บ้านของตนเอง โดยไม่ได้ดำเนินการตามขั้นตอนที่ตกลงไว้ และไม่ได้แจ้งเหตุการรั่วไหลให้โรงพยาบาลทราบ จึงเข้าข่ายเป็นการไม่ปฏิบัติตามหน้าที่ของผู้ประมวลผลข้อมูลอย่างชัดเจน คณะกรรมการผู้เชี่ยวชาญ คณะที่ 4 จึงมีมติลงโทษ 

  • "โรงพยาบาล" ถูกปรับเป็นเงิน 1,210,000 บาท
  • "บุคคลธรรมดา" ผู้เป็นผู้ประมวลผลข้อมูล ถูกปรับเป็นเงิน 16,940 บาท 

รวมเป็นมูลค่า 1,226,940 บาท

ปรับอีกรายหน่วยงานของรัฐ หลังปล่อยข้อมูลหลุด

นอกจากนี้ยังมีกรณีอื่น ๆ ที่เป็นอุทาหรณ์ให้ทั้งภาครัฐและเอกชนต้องเร่งปรับตัว ได้แก่ เหตุการณ์ที่เกิดขึ้นกับ "หน่วยงานของรัฐรายหนึ่ง" ที่ให้บริการประชาชนผ่านระบบออนไลน์ (Web App) ซึ่งถูกโจมตีและนำข้อมูลส่วนบุคคลของประชาชนกว่า 200,000 ราย ไปประกาศขายใน DARK Web โดยมิชอบ

จากการตรวจสอบพบว่า หน่วยงานรัฐดังกล่าวไม่ได้จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศอย่างเหมาะสม รวมถึงใช้รหัสผ่านที่อ่อนแอ ไม่มีการประเมินความเสี่ยงและไม่ได้ทบทวนมาตรการอย่างต่อเนื่อง ทั้งยังละเลยการทำข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement) กับบริษัทพัฒนาระบบที่ทำหน้าที่เป็นผู้ประมวลผลข้อมูลส่วนบุคคล

สำหรับบริษัทพัฒนาระบบที่เกี่ยวข้อง ก็ไม่มีการออกแบบมาตรการรักษาความมั่นคงปลอดภัยตั้งแต่ต้น ขาดระบบควบคุมการเข้าถึงข้อมูล ไม่มีการประเมินความเสี่ยง และแม้จะไม่ได้รับข้อตกลง DPA จากหน่วยงานภาครัฐ แต่ก็ไม่ได้ดำเนินการใด ๆ เพื่อป้องกันความเสี่ยงจากการรั่วไหลของข้อมูล จึงเข้าข่ายความผิดในฐานะผู้ประมวลผลข้อมูลส่วนบุคคลตามกฎหมาย คณะกรรมการผู้เชี่ยวชาญ คณะที่ 3 จึงมีคำสั่งปรับหน่วยงานภาครัฐและบริษัทเอกชนดังกล่าว เป็นเงินทั้งสิ้น หน่วยงานละ 153,120 บาท

ส่วนอีก 3 กรณี เป็นกรณีที่มีข้อมูลส่วนบุคคลของประชาชนรั่วไหลจาก "หน่วยงานเอกชน ซึ่งเป็นหน่วยงานด้านการค้าส่ง ค้าปลีกและสินค้าออนไลน์" และมีผู้เสียหายร้องเรียน อันอยู่ในความรับผิดชอบของคณะกรรมการผู้เชี่ยวชาญคณะที่ 2 โดยกรณีที่ 1 เกิดจากหน่วยงานขายเครื่องและอุปกรณ์คอมฯไม่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม ไม่แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่ สคส. ตามกฎหมาย และเป็นหน่วยงานที่มีการเก็บรวบรวมข้อมูลส่วนบุคคลอย่างสม่ำเสมอด้วยเหตุที่มีข้อมูลส่วนบุคคลจำนวนมากแต่ไม่จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล รวม 3 ข้อหา คณะกรรมการผู้เชี่ยวชาญคณะที่ 2 จึงมีคำสั่งลงโทษปรับ 7 ล้านบาท

กรณีที่ 2 เกิดจาก "หน่วยงานขายเครื่องสำอาง" ไม่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม และไม่แจ้งเหตุการละเมิดของมูลส่วนบุคคลแก่ สคส.ตามกฎหมาย รวม 2 ข้อหา คณะกรรมการผู้เชี่ยวชาญคณะที่ 2 จึงมีคำสั่งลงโทษปรับ 2.5 ล้านบาท และกรณีที่ 3 เกิดจาก "หน่วยงานขายของเล่นสะสม" ไม่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม คณะกรรมการผู้เชี่ยวชาญคณะที่ 2 จึงมีคำสั่งลงโทษปรับหน่วยงานผู้ควบคุมข้อมูลส่วนบุคคล 5 แสนบาท และลงโทษปรับหน่วยงานผู้ประมวลผลข้อมูลส่วนบุคคล 3 ล้านบาท

พ.ต.อ. สุรพงศ์ เปล่งขำ เลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เปิดเผยว่า การลงโทษในครั้งนี้เป็นผลจากกระบวนการตรวจสอบรวบรวมข้อเท็จจริง และพิจารณาของคณะกรรมการผู้เชี่ยวชาญอย่างเป็นทางการ ทั้ง 5 กรณีนี้ถือเป็นสัญญาณชัดเจนถึงทุกภาคส่วน ทั้งหน่วยงานภาครัฐ เอกชน และผู้ให้บริการที่เกี่ยวข้องว่า การจัดการข้อมูลส่วนบุคคลไม่ใช่เพียงเรื่องของเทคนิคหรือเอกสาร แต่คือความรับผิดชอบที่ต้องมีมาตรฐานด้านความปลอดภัย การประเมินความเสี่ยงอย่างสม่ำเสมอ และกลไกการกำกับติดตามที่โปร่งใส เพื่อไม่ให้เกิดความเสียหายต่อสิทธิของประชาชนอย่างไม่อาจแก้ไขได้

ทั้งนี้ ในรอบปีงบประมาณ พ.ศ.2568 สคส. ภายใต้การกำกับของกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ได้มีคำสั่งลงโทษปรับทางปกครองกับหน่วยงานภาครัฐ เอกชน และบริษัทผู้ประมวลผลข้อมูลส่วนบุคคล ซึ่งไม่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลอย่างเหมาะสม รวม 5 เรื่อง 8 คำสั่ง ต่อเนื่องจากในรอบปีงบประมาณ พ.ศ.2567 ซึ่งได้เคยมีคำสั่งลงโทษปรับทางปกครองมาแล้ว 1 เรื่อง 1 คำสั่ง รวมตั้งแต่บังคับใช้ PDPA มามีคำสั่งลงโทษปรับทางปกครองไปแล้ว 6 เรื่อง 9 คำสั่ง โดยมีมูลค่ารวมของโทษปรับทั้งสิ้นกว่า 21.5 ล้านบาท

อ่านข่าว : โฆษก ทบ. โต้กัมพูชาบิดเบือน กล่าวหาไทยทำร้าย 2 ทหาร

ยิงทำลายได้ทันที! ผบ.ทบ.ออกแนวปฏิบัติ “ต่อต้านโดรน” ไม่ทราบฝ่าย

“ฟาสแทร็ค” ม.144 สอย “พิเชษฐ์” ครม.อุ๊งอิ๊งค์-สส.-สว.ลุ้นคิวต่อไป

แท็กที่เกี่ยวข้อง: