กกต.ไม่รอด! โดนปรับ 3.35 แสน เหตุทำข้อมูลผู้สมัคร สว.รั่วไหลกว่า 23,000 ราย
คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล สั่งลงโทษปรับ 3.35 แสนบาท สำนักงาน กกต. กรณีส่งไฟล์ข้อมูลผู้สมัคร สว.ผ่าน LINE โดยไม่มีมาตรการรักษาความปลอดภัย พร้อมตักเตือนแจ้งเหตุล่าช้า
KEY
POINTS
- กกต. ถูกคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลสั่งปรับเป็นเงิน 335,000 บาท กรณีทำข้อมูลผู้สมัคร สว. ระดับอำเภอรั่วไหลกว่า 23,000 ราย
- สาเหตุหลักเกิดจากการส่งไฟล์ข้อมูลส่วนบุคคลของผู้สมัครผ่านแอปพลิเคชัน LINE โดยไม่มีมาตรการรักษาความปลอดภัยที่เหมาะสมตามกฎหมาย PDPA
- นอกจากการถูกปรับแล้ว กกต. ยังถูกตักเตือนในประเด็นการแจ้งเหตุละเมิดข้อมูลล่าช้าเกินกว่า 72 ชั่วโมง และถูกสั่งให้แก้ไขมาตรการความปลอดภัยภายใน 30 วัน
คณะกรรมการผู้เชี่ยวชาญ คณะที่ 3 ในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ออกคำสั่งปรับสำนักงานคณะกรรมการการเลือกตั้ง (กกต.) เป็นเงิน 335,000 บาท กรณีปล่อยให้ข้อมูลรายชื่อผู้ได้รับเลือกเป็นสมาชิกวุฒิสภา (สว.) ระดับอำเภอรั่วไหล จำนวนกว่า 23,000 ราย พร้อมทั้งตักเตือนในกรณีแจ้งเหตุการณ์ล่าช้า
กรณีนี้ถูกเปิดเผยโดย ดร.อุดมธิปก ไพรเกษตร ผู้ก่อตั้งสื่อ PDPA Thailand หลังได้รับสำเนาคำสั่งคณะกรรมการผู้เชี่ยวชาญฯ ที่ 17/2568 เมื่อวันที่ 21 พฤศจิกายน 2568 โดยเหตุการณ์เกิดขึ้นเมื่อวันที่ 10 มิถุนายน 2567 เมื่อศูนย์เฝ้าระวัง PDPC Eagle Eye ตรวจพบว่ามีข้อมูลรายชื่อผู้ได้รับเลือกเป็น สว.ระดับอำเภอรั่วไหลบนเว็บไซต์และโซเชียลมีเดีย จำนวนทั้งสิ้น 23,645 ราย ข้อมูลรั่วไหลประกอบด้วย คำนำหน้านาม ชื่อ-นามสกุล หมายเลขบัตรประจำตัวประชาชน ชื่อกลุ่ม รหัสกลุ่ม อำเภอ/เขต และจังหวัด โดยไฟล์ข้อมูลถูกส่งต่อผ่านแอปพลิเคชัน LINE และมีการเผยแพร่ต่อไปยังเว็บไซต์สื่อมวลชน
คณะกรรมการฯ พบว่าสาเหตุหลักมาจากระบบบริหารจัดการการเลือก สว.มีปัญหา ทำให้ กกต.ต้องขอข้อมูลในรูปแบบ PDF และ Excel ทุกวัน เจ้าหน้าที่จึงใช้วิธีส่งไฟล์ผ่าน LINE เพื่อความสะดวกในการทำงานและส่งข้อมูลให้ผู้บังคับบัญชา แต่ปัญหาสำคัญคือ กกต.ไม่มีมาตรการรักษาความมั่นคงปลอดภัยที่ชัดเจน เช่น การเข้ารหัสไฟล์ การกำหนดสิทธิเข้าถึง หรือแนวปฏิบัติอย่างเป็นทางการ มีเพียงการกำชับด้วยวาจาหรือใช้ความระมัดระวังส่วนบุคคลเท่านั้น ซึ่งไม่เพียงพอตามมาตรฐานกฎหมาย
คณะกรรมการผู้เชี่ยวชาญฯ วินิจฉัยว่า กกต.ฝ่าฝืนพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ใน 2 ประเด็น ได้แก่ การจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยไม่เหมาะสม ตามมาตรา 37 (1) เนื่องจากการส่งไฟล์ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อนผ่าน LINE โดยไม่มีมาตรการป้องกันใดๆ ถือเป็นการขาดความระมัดระวังและไม่เป็นไปตามมาตรฐานขั้นต่ำที่กฎหมายกำหนด จึงสั่งปรับเป็นเงิน 335,000 บาท และประเด็นที่สอง คือ การแจ้งเหตุละเมิดล่าช้า ตามมาตรา 37 (4) โดยแม้ กกต.จะทราบเหตุตั้งแต่วันที่ 10-11 มิถุนายน 2567 แต่ไม่ได้แจ้งเหตุการละเมิดแก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) อย่างเป็นทางการภายใน 72 ชั่วโมง โดยแจ้งเป็นทางการเมื่อวันที่ 21 มิถุนายน 2567 ซึ่งเกินกำหนด อย่างไรก็ตาม คณะกรรมการฯ พิจารณาลดหย่อนโทษในประเด็นนี้เหลือเพียงตักเตือน เนื่องจาก กกต.ให้ความร่วมมือดีและระงับเหตุได้ทันท่วงที
นอกจากการปรับและตักเตือนแล้ว คณะกรรมการฯ ยังสั่งให้ กกต.แก้ไขปรับปรุงภายใน 30 วัน โดยต้องกำหนดมาตรการรักษาความมั่นคงปลอดภัยในการจัดการเลือกตั้ง โดยเฉพาะเรื่องการเก็บรวบรวมและเปิดเผยข้อมูล พร้อมกำหนดแนวปฏิบัติเรื่องการส่งต่อเอกสารข้อมูลส่วนบุคคลผ่านสื่อสังคมออนไลน์ เช่น LINE อย่างเป็นทางการ และต้องกำชับเจ้าหน้าที่รายงานผลการปฏิบัติต่อคณะกรรมการ
คดีนี้สะท้อนให้เห็นว่าการกำกับดูแลการใช้ข้อมูลส่วนบุคคลภายใต้กฎหมาย PDPA มีความเข้มข้นมากขึ้น องค์กรที่ยังละเลยมาตรการคุ้มครองข้อมูลส่วนบุคคลจะเผชิญความเสี่ยงเชิงกฎหมายและชื่อเสียงที่สูงขึ้น การจัดการ PDPA อย่างจริงจังจึงไม่ใช่ทางเลือก แต่เป็นสิ่งจำเป็นที่องค์กรต้องดำเนินการให้มีประสิทธิภาพ