support@icik-academy.com
ในยุคที่ข้อมูลเปรียบเสมือนขุมทรัพย์ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือที่รู้จักกันในชื่อ PDPA (Personal Data Protection Act) ได้ถือกำเนิดขึ้นและมีผลบังคับใช้เต็มรูปแบบเมื่อวันที่ 1 มิถุนายน 2565 เปรียบได้กับ “เกราะป้องกัน” ที่มอบสิทธิให้ประชาชนสามารถควบคุมข้อมูลส่วนบุคคลของตนเองได้มากขึ้น อย่างไรก็ตาม แม้จะมีกฎหมายคุ้มครอง แต่ข่าวข้อมูลรั่วไหลและการละเมิดสิทธิส่วนบุคคลก็ยังคงเกิดขึ้นอย่างต่อเนื่อง สะท้อนให้เห็นถึงความท้าทายในการบังคับใช้และความตระหนักรู้ของทุกภาคส่วนในสังคม
เจาะลึกหัวใจของ PDPA: สิทธิของเรามีอะไรบ้าง?
PDPA ถูกร่างขึ้นโดยได้รับอิทธิพลจากกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (GDPR) โดยมีวัตถุประสงค์หลักเพื่อป้องกันการนำข้อมูลส่วนบุคคลไปใช้โดยไม่ได้รับอนุญาต และสร้างมาตรฐานการจัดเก็บ การใช้ และการเปิดเผยข้อมูลให้มีความปลอดภัย แหล่งที่มา: สรุป PDPA คืออะไร ฉบับเข้าใจง่าย พร้อมแนะแนว
หัวใจสำคัญของกฎหมายนี้คือการให้อำนาจแก่ “เจ้าของข้อมูล” อย่างเต็มที่ โดยสิทธิพื้นฐานที่ควรรู้ ได้แก่:
การไม่ปฏิบัติตามกฎหมาย PDPA มีบทลงโทษที่รุนแรง ทั้งโทษทางแพ่ง โทษทางปกครอง (ปรับสูงสุดถึง 5 ล้านบาท) และโทษทางอาญา (จำคุกสูงสุด 1 ปี) เพื่อให้องค์กรตระหนักถึงความสำคัญในการปกป้องข้อมูล แหล่งที่มา: กฎหมาย PDPA โทษหนักแค่ไหน?
สถานการณ์ปัจจุบัน: เมื่อ “ข้อมูล” ยังคงเป็นสินค้าในตลาดมืด
แม้ PDPA จะมีผลบังคับใช้แล้ว แต่สถานการณ์การละเมิดข้อมูลส่วนบุคคลในไทยยังคงน่าเป็นห่วง จากสถิติของสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) หรือ PDPC พบว่ายังคงมีเรื่องร้องเรียนเข้ามาอย่างต่อเนื่อง และมีเหตุการณ์ข้อมูลรั่วไหลเกิดขึ้นกับองค์กรทั้งภาครัฐและเอกชน สร้างความเดือดร้อนและความเสียหายในวงกว้าง โดยเฉพาะอย่างยิ่งการถูกนำข้อมูลไปใช้โดยแก๊งคอลเซ็นเตอร์และมิจฉาชีพออนไลน์
กรณีศึกษาที่เกิดขึ้นจริง:
บทลงโทษครั้งประวัติศาสตร์: บริษัทเอกชนถูกปรับ 7 ล้านบาท
เมื่อวันที่ 21 สิงหาคม พ.ศ. 2567 กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม และ PDPC ได้ประกาศลงโทษปรับทางปกครองแก่บริษัทเอกชนแห่งหนึ่งเป็นจำนวนเงินสูงถึง 7 ล้านบาท นับเป็นก้าวสำคัญในการบังคับใช้กฎหมาย PDPA อย่างจริงจัง สาเหตุหลักของการถูกลงโทษมาจากหลายปัจจัยประกอบกัน ได้แก่:
กรณีนี้เป็นเครื่องเตือนใจให้ทุกองค์กรเห็นว่า กฎหมาย PDPA ไม่ใช่แค่ “เสือกระดาษ” และการลงทุนในระบบความปลอดภัยของข้อมูลเป็นสิ่งที่ไม่สามารถละเลยได้อีกต่อไป แหล่งที่มา: PDPC ประกาศปรับบริษัทเอกชน 7 ล้านบาท ฐานละเมิดข้อมูลส่วนบุคคล
กรณีข้อมูลสมาชิกรั่วไหล: เมื่อความภักดีของลูกค้าถูกสั่นคลอน
ช่วงปลายปี พ.ศ. 2567 มีรายงานข่าวว่าแฮกเกอร์ได้ประกาศขายข้อมูลที่อ้างว่าเป็นของสมาชิกบัตรสะสมคะแนนชื่อดังรายหนึ่งของไทย โดยระบุว่ามีข้อมูลกว่า 5 ล้านบัญชี ซึ่งประกอบด้วยข้อมูลส่วนบุคคลที่สำคัญ เช่น ชื่อ-นามสกุล หมายเลขบัตรประชาชน และเบอร์โทรศัพท์ เหตุการณ์เช่นนี้ไม่เพียงแต่สร้างความเสี่ยงให้เจ้าของข้อมูลถูกนำข้อมูลไปใช้ในทางที่ผิด แต่ยังส่งผลกระทบต่อความเชื่อมั่นของลูกค้าที่มีต่อแบรนด์โดยตรง
แม้ในหลายกรณีที่เกิดจากการถูกโจมตีทางไซเบอร์ แต่ภายใต้ PDPA องค์กรผู้ควบคุมข้อมูล (Data Controller) มีหน้าที่ต้องจัดให้มีมาตรการรักษาความปลอดภัยที่เหมาะสม เพื่อป้องกันการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต หากมาตรการหละหลวมก็อาจเข้าข่ายเป็นการไม่ปฏิบัติตามกฎหมายได้ แหล่งที่มา: เหตุละเมิดข้อมูลส่วนบุคคลไทย 2567 – บทสรุปความเสี่ยงและผลกระทบที่องค์กรต้องเผชิญ
ก้าวต่อไปของสังคมไทยกับการคุ้มครองข้อมูลส่วนบุคคล
การมีกฎหมาย PDPA ถือเป็นจุดเริ่มต้นที่ดี แต่การจะสร้างวัฒนธรรมการเคารพสิทธิในข้อมูลส่วนบุคคลให้เกิดขึ้นจริงได้นั้น ต้องอาศัยความร่วมมือจากทุกฝ่าย ทั้ง องค์กรธุรกิจ ที่ต้องลงทุนและให้ความสำคัญกับการวางระบบคุ้มครองข้อมูลอย่างจริงจัง, ภาครัฐ ในฐานะผู้กำกับดูแล ที่ต้องบังคับใช้กฎหมายอย่างเข้มแข็งและตรวจสอบอย่างสม่ำเสมอ และที่สำคัญที่สุดคือ ประชาชน ที่ต้องตระหนักถึงสิทธิของตนเอง ใช้ความระมัดระวังในการให้ข้อมูล และกล้าที่จะร้องเรียนเมื่อพบเห็นการละเมิดสิทธิ
เพราะในโลกยุคดิจิทัล การปกป้องข้อมูลส่วนบุคคลก็ไม่ต่างอะไรกับการล็อคประตูบ้านของเราเอง ที่ต้องทำด้วยความใส่ใจและไม่ประมาท
