ทุกฝ่ายเสวนาร่วมเสนอแนวทาง หน่วยงานของรัฐจัดการข้อมูลส่วนบุคคลถูกต้องและปลอดภัย เพื่อประเทศและประชาชน

หน่วยงานของรัฐมีข้อมูลคนไทยทุกคน และมีความจำเป็นต้องใช้ข้อมูลส่วนบุคคลในการให้บริการ วางแผน และพัฒนาประเทศ การใช้ข้อมูลส่วนบุคคลให้ถูกต้อง และคุ้มครองข้อมูลให้ปลอดภัย จึงเป็นประโยชน์ต่อรัฐ สังคม และเจ้าของข้อมูลเอง หน่วยงานของรัฐจำเป็นต้องคำนึงถึงประเด็นใด และข้องเกี่ยวกับกฎหมายหรือกฎระเบียบฉบับใดบ้าง ตอบโจทย์ด้วยเสวนาโดย 4 หน่วยงาน: DGA, OIA, NSCA และ TPDPA

18 ตุลาคม 2567 – สถาบันเสริมศึกษาและทรัพยากรมนุษย์ (ICEHR) มหาวิทยาลัยธรรมศาสตร์ ร่วมกับ สมาคมผู้ตรวจสอบและให้คำปรึกษาการคุ้มครองข้อมูลส่วนบุคคลไทย (TPDPA) จัดเสวนาพิเศษ “การจัดการข้อมูลส่วนบุคคลหน่วยงานของรัฐให้ถูกต้องและปลอดภัย” ณ หอประชุมศรีบูรพา (หอประชุมเล็ก) มหาวิทยาลัยธรรมศาสตร์ ท่าพระจันทร์ รวมผู้แทนจากหน่วยงานร่วมสนับสนุนและผลักดันแนวทางการคุ้มครองข้อมูลส่วนบุคคลหน่วยงานของรัฐภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) รู้ลึก รู้จริง พร้อมตอบคำถามผู้เข้าร่วมรับฟังได้อย่างตรงประเด็น

เสวนาในครั้งนี้ได้รับเกียรติจากผู้แทน 4 หน่วยงาน ได้แก่

1. สำนักงานรัฐบาลดิจิทัล (องค์การมหาชน) (สพร.)

2. สำนักงานคณะกรรมการข้อมูลข่าวสารของราชการ (สขร.)

3. สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.)

4. สมาคมผู้ตรวจสอบและให้คำปรึกษาการคุ้มครองข้อมูลส่วนบุคคลไทย (TPDPA)

และมี อ.สุกฤษ โกยอัครเดช เลขาธิการและประธานฝ่ายวิเทศสัมพันธ์ สมาคมผู้ตรวจสอบและให้คำปรึกษาการคุ้มครองข้อมูลส่วนบุคคลไทย และ อ.อิสรานุวัฒน์ ศรีคุณ วิทยากรด้านกฎหมาย สถาบันเสริมศึกษาและทรัพยากรมนุษย์ มหาวิทยาลัยธรรมศาสตร์ เป็นผู้ดำเนินรายการเสวนา โดยประเด็นที่ได้รับความสนใจในระหว่างการเสวนามีดังนี้

ดร.อุรัชฎา เกตุพรหม ผู้อำนวยการฝ่ายมาตรฐานดิจิทัลภาครัฐ สำนักงานรัฐบาลดิจิทัล (องค์การมหาชน) หรือ DGA กล่าวถึงบทบาทในฐานะหน่วยงานที่มีพันธกิจในการพัฒนาระบบดิจิทัลสำหรับหน่วยงานของรัฐ เมื่อกฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทยถูกใช้บังคับว่า “การนำเทคโนโลยีมาใช้ช่วยอำนวยความสะดวกและประสิทธิภาพในการให้บริการประชาชน แต่ก็เปรียบเสมือนดาบสองคม เพราะการใช้เทคโนโลยีมาพร้อมความเสี่ยงทั้งการถูกโจมตี ถูกละเมิด ต้องสร้างความสมดุล เราจึงพยายามปรับปรุงการบริการต่าง ๆ ให้สอดคล้องกับ PDPA ตามไปด้วย เช่น ยึดหลักธรรมาภิบาลและความปลอดภัยในการส่งต่อข้อมูล วางแนวปฏิบัติให้แก่ส่วนงานที่เกี่ยวข้อง มีการสุ่มตรวจอยู่เสมอ เป็นต้น และเร่งปรับปรุงกระบวนการทำงานของส่วนงานให้มีมาตรฐานระดับเดียวกันและครอบคลุมทุกภาคส่วน”

นอกจากนี้ DGA เองยังมีมาตรการในการจัดเก็บข้อมูลส่วนบุคคลให้เป็นไปตามมาตรฐานความปลอดภัย เก็บข้อมูลเท่าที่จำเป็น (Data Minimization) “จากเดิมที่เคยเก็บข้อมูลบัตรประชาชน 13 หลักในทุกกิจกรรม ก็ปรับมาเก็บเฉพาะชื่อ-สกุลในบางกิจกรรม ทั้งนี้ขึ้นอยู่กับระดับความจำเป็นในการใช้ข้อมูลในการยืนยันตัวตนด้วย” เพื่อลดความเสี่ยงและภาระในการเก็บรักษาข้อมูลชุดนั้น

คุณเฉลิมพล เลียบทวี ผู้อำนวยการส่วนส่งเสริมและเผยแพร่สิทธิรับรู้ข้อมูลข่าวสาร สำนักงานคณะกรรมการข้อมูลข่าวสารของราชการ (สขร.) หรือ OIA ให้ความเห็น “เนื่องจากสขร.เองและหน่วยงานของรัฐทั้งหมดภายใต้พระราชบัญญัติข้อมูลข่าวสารของราชการ พ.ศ. 2540 มีหน้าที่ในการเผยแพร่ข้อมูลข่าวสารของราชการ เปิดเผยเป็นหลัก ปกปิดเป็นรอง แม้จะเปิดเผยข้อมูลส่วนบุคคลโดยอาศัยหลักทางกฎหมายอย่างถูกต้อง แต่ก็จำเป็นต้องคำนึงว่าการเปิดเผยข้อมูลนั้นจะรุกล้ำความเป็นส่วนตัวหรือไม่ ต้องหาสมดุลให้เจอเพื่อให้หน่วยงานสามารถทำงานได้”

“หน่วยงานของรัฐมีความจำเป็นต้องเปิดเผยข้อมูลเพื่อให้สอดคล้องกับพันธกิจเรื่องการแสดงความโปร่งใสของหน่วยงานของรัฐ แต่ต้องไม่ขัดต่อพ.ร.บ.ข้อมูลข่าวสารของราชการฯ ไม่มากเกินความจำเป็น และข้อมูลที่ไม่ได้รับการเปิดเผยต่อสาธารณะต้องอยู่ในมาตรการรักษาความมั่นคงปลอดภัยในระดับสูงสุด” คุณเฉลิมพลย้ำเตือน

ด้าน พันตำรวจเอก ณัทกฤช พรหมจันทร์ ผู้อำนวยการสำนักบริหารโครงสร้างพื้นฐานสำคัญทางสารสนเทศ สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) หรือ NCSA สนับสนุนให้หน่วยงานของรัฐทำตามกฎหมาย PDPA เป็นอย่างยิ่ง เนื่องจาก “พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 เปรียบเสมือนพี่น้องกับกฎหมาย PDPA หากปฏิบัติตาม PDPA เป็นอย่างดีแล้ว การป้องกันการถูกโจมตีทางไซเบอร์ก็จะดีตามไปด้วย ทั้งในเรื่องของการวางมาตรการเชิงองค์กร การวางระบบเก็บข้อมูล และการวางมาตรการรักษาความมั่นคงปลอดภัยข้อมูลที่มีประสิทธิภาพ”

และเสริมเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลและการรักษาความมั่นคงปลอดภัยทางไซเบอร์ว่า “1) หน่วยงานของรัฐควรเก็บรักษาข้อมูลส่วนบุคคลบนระบบที่มีความน่าเชื่อถือ มีนักพัฒนาระบบ และต้องมีมาตรการรักษาความมั่นคงปลอดภัยสูง และ 2) ในเชิงบุคลากร จากสถิติบุคลากรของหน่วยงานที่มีความเชี่ยวชาญด้านคอมพิวเตอร์มีเพียง 1-2% จาก 54,000 กว่าหน่วยงาน และแต่ละคนต้องสวมหมวกหลายใบ ทำให้มีความเสี่ยงเกิดความผิดพลาด ควรส่งเสริมให้มีบุคลากรด้านนี้อย่างเพียงพอ หรือมีการฝึกอบรมบุคลากรให้ตระหนักถึงความสำคัญด้านการคุ้มครองข้อมูลฯ เพื่อส่งเสริมความมั่นคงปลอดภัยในระยะยาวและ 3) ปรับปรุงเชิงองค์กร เชิงบุคลากร และประเด็นต่าง ๆ ตามโครงสร้างกฎหมายให้สอดคล้องไปพร้อมกัน”

คุณสันต์ภพ พรวัฒนะกิจ ผู้เชี่ยวชาญด้านการคุ้มครองข้อมูลส่วนบุคคล และอุปนายกสมาคมผู้ตรวจสอบและให้คำปรึกษาการคุ้มครองข้อมูลส่วนบุคคลไทย (TPDPA) เห็นตรงกันว่าหน่วยงานรัฐมีข้อมูลส่วนบุคคลในปริมาณมาก มักตกเป็นเป้าจับตามองของผู้ไม่ประสงค์ดีหรือ Hacker จึงยิ่งจำเป็นต้องมีมาตรการรักษาความมั่นคงปลอดภัยที่เพียงพอ พร้อมมีบุคลากรที่เชี่ยวชาญด้าน PDPA

“PDPA เป็นกฎหมายใหม่ เป็นความท้าทายที่หน่วยงานของรัฐต้องเผชิญในการปฏิบัติตาม ไม่ว่าจะในประเด็นการจัดการมาตรการรักษาความมั่นคงปลอดภัย ทั้งในเชิงกายภาพและเชิงเทคนิค การขับเคลื่อนให้ PDPA ประยุกต์ใช้ในทุกภาคส่วนของหน่วยงาน หรือการสร้างความตระหนักรู้ในกลุ่มบุคลากร เพื่อให้หน่วยงานเดินไปในทิศทางเดียวกันและสร้างความยั่งยืนด้านการคุ้มครองข้อมูลส่วนบุคคลในองค์กรได้มากที่สุด”

“ความเข้าใจแรกของการปฏิบัติตาม PDPA คือองค์กรหรือหน่วยงานห้ามใช้ข้อมูลส่วนบุคคล ซึ่งจริง ๆ แล้วไม่ใช่ กฎหมายสนับสนุนให้ใช้ข้อมูลด้วยซ้ำ เพียงแต่ PDPA จะเข้าช่วยกำกับให้สามารถใช้ข้อมูลส่วนบุคคลได้อย่างถูกต้อง ซึ่งมีการลงโทษอย่างเอาจริงเอาจัง ทำให้สิ่งนี้เป็นหนึ่งในความท้าทายของหน่วยงานของรัฐในปัจจุบัน”

ดร.อุดมธิปก ไพรเกษตร นายกสมาคมผู้ตรวจสอบและให้คำปรึกษาการคุ้มครองข้อมูลส่วนบุคคลไทย (TPDPA) ให้ข้อเสนอแนะว่า “การใช้ข้อมูลส่วนบุคคลของหน่วยงานของรัฐไม่อาจหลีกเลี่ยงได้ ทั้งในมุมของการบริหารจัดการหรือการบริการภาคประชาชน จึงควรต้องตระหนักเกี่ยวกับการใช้ข้อมูลส่วนบุคคลให้สอดคล้องตามกฎหมาย PDPA เก็บรวบรวมข้อมูลเท่าที่จำเป็น และส่วนที่เห็นผลมากที่สุดในการลดโอกาสละเมิดข้อมูลส่วนบุคคล คือ บุคลากร (People) หากตระหนักและให้ความสำคัญกับข้อมูลส่วนบุคคล หน่วยงานก็สามารถปฏิบัติตามกฎหมายกำหนดได้อย่างเคร่งครัด”

“ทุกส่วนงานราชการอย่างน้อยควรมีเจ้าหน้าที่ที่รู้เรื่องกฎหมายข้อมูลข่าวสารทางราชการ Data Governance กฎหมายไซเบอร์ และกฎหมายคุ้มครองข้อมูลส่วนบุคคล ซึ่งคนที่รู้เรื่อง PDPA อาจไม่จำเป็นต้องเรียกว่า เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ DPO ก็ได้”

นอกเหนือจากมาตรการรักษาความมั่นคงปลอดภัยข้อมูลฯ และกำลังคนที่มีความรู้ ดร.อุดมธิปกยังให้ความสำคัญกับการประเมินผลกระทบการคุ้มครองข้อมูลส่วนบุคคล หรือ DPIA ในการจัดทำโครงการของหน่วยงานของรัฐ เพื่อให้ทราบความเสี่ยงในแต่ละกิจกรรม พร้อมหาวิธีการป้องกันและแก้ไขความเสี่ยงที่อาจเกิดขึ้นได้

บทสรุปการเสวนา

4 หน่วยงานที่สนับสนุนด้านการจัดการข้อมูลส่วนบุคคลหน่วยงานของรัฐตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA) ให้ถูกต้องและปลอดภัย ได้ให้ข้อมูลเกี่ยวกับความคืบหน้าในการดำเนินงานภายในหน่วยงาน ตลอดจนให้คำแนะนำแก่หน่วยงานของรัฐอื่น ๆ ดังนี้

• หน่วยงานของรัฐมีพันธกิจในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล และมีอำนาจให้สามารถกระทำได้ เมื่อกฎหมาย PDPA เข้ามามีบทบาท หน่วยงานจำเป็นต้องปรับปรุงกระบวนการและมาตรการ โดยคำนึงถึงสมดุลความเป็นส่วนตัวของเจ้าของข้อมูลส่วนบุคคลร่วมด้วย

• การปรับปรุงมาตรการรักษาความมั่นคงปลอดภัยของข้อมูล และการส่งเสริมให้มีบุคลากรที่เชี่ยวชาญด้านการคุ้มครองข้อมูลส่วนบุคคล ไซเบอร์ และกฎหมายที่เกี่ยวข้องคอยดูแล เป็น 2 ประเด็นใหญ่ที่หน่วยงานของรัฐต้องให้ความสำคัญ

• การสร้างความตระหนักรู้แก่บุคลากรในทุกหน่วยงานและส่วนงานจะช่วยให้การทำตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลเป็นไปอย่างยั่งยืน

หน่วยงานของรัฐ องค์การมหาชน รัฐวิสาหกิจ หรือหน่วยงานที่เกี่ยวข้องอื่น ๆ สนใจพัฒนาบุคลากรด้านการคุ้มครองข้อมูลส่วนบุคคล รวมถึงกฎหมายที่เกี่ยวข้อง เพื่อให้สามารถดำเนินการตามกฎหมาย PDPA ได้อย่างครอบคลุมและยั่งยืน สามารถศึกษาเพิ่มเติมที่: https://pdpathailand.com/dpo-in-action/tu/ หรือโทร. 081-6325918 •