เมื่อวันที่ 22 ก.พ. 67 สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) หรือ PDPC ได้จัดให้มีการประชุมออนไลน์ ผ่านระบบซูมและเฟสบุ๊กไลฟ์ เพื่อขับเคลื่อนนโยบายการป้องกันและคุ้มครองข้อมูลส่วนบุคคลแก่ผู้บริหารและเจ้าหน้าที่ขององค์กรปกครองส่วนท้องถิ่น (อปท.) จำนวนกว่า 7 พันหน่วยงาน และผู้ว่าราชการจังหวัดทั่วประเทศ ณ ห้องประชุมใหญ่ บริษัท โทรคมนาคมแห่งชาติ แจ้งวัฒนะ โดยมีนายประเสริฐ จันทรรวงทอง รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) เดินทางมาเป็นประธานและมอบนโยบาย พร้อมกับการเข้าร่วมรับฟังจากตัวแทนหลายหน่วยงาน เข้าร่วมรับฟังด้วย

ทั้งนี้ ดร.ศิวรักษ์ ศิวโมกษธรรม เลขาธิการ สคส. ได้เป็นผู้กล่าวต้อนรับ พร้อมระบุว่า การประชุมครั้งนี้นับเป็นจุดเริ่มต้นของการร่วมมือกันเพื่อป้องกันและคุ้มครองข้อมูลของประชาชนมิให้รั่วไหลอย่างจริงจัง โดยประการแรกที่สำคัญ คือการเพิ่มความรอบคอบระมัดระวังมิให้เปิดเผยข้อมูลของประชาชนเกินความจำเป็น หรือถ้าจำเป็นก็ต้องเป็นไปอย่างเหมาะสม เช่น เปิดเผยเฉพาะบางส่วน หรือการใช้สัญญลักษณ์ X แทนตัวเลขบางส่วน ข้างหน้า 5 ตัว ข้างหลัง 5 ตัว อย่างไรก็ตาม ที่ผ่านมา สคส.ได้ทำการตรวจสอบหน่วยงานรัฐไปกว่า 2 หมื่นหน่วยงาน พบประมาณ 5 พันกว่าหน่วยงานมีการปล่อยให้เกิดการรั่วไหลของข้อมูลประชาชน

ขณะที่นายประเสริฐ จันทรรวงทอง เริ่มกล่าวให้นโยบายว่า เรื่องการรักษาข้อมูลส่วนบุคคลขององค์กรเป็นเรื่องสำคัญ ซึ่งการรั่วไหลของข้อมูลได้สร้างความเสียหายอย่างยิ่ง โดยเฉพาะหากหลุดไปอยู่ในมือพวกแก๊งคอลเซ็นเตอร์ และเมื่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเมื่อเข้ามารับผิดชอบดูแล ตนเองได้มอบนโยบายให้ดูแลข้อมูลส่วนบุคคลให้มีความมั่นคงและปลอดภัยสูงสุด และเมื่อมติคณะรัฐมนตรีเมื่อวันที่ 21 พฤศจิกายน 2566 ให้มีการแต่งตั้งศูนย์เฝ้าระวังการละเมิดข้อมูลส่วนบุคคล PDPC Eagle Eye (พีดีพีซี อีเกิ้ลอาย) ตามข้อเสนอของกระทรวงดิจิทัลฯ เพื่อทำหน้าที่ตรวจสอบ ค้นหาและเฝ้าระวังการรั่วไหลของข้อมูลส่วนบุคคลจากองค์กรต่างๆ ในระยะเร่งด่วน หรือควิกวิน (quick win)

อย่างไรก็ตาม จากการตรวจสอบที่พบว่า ในจำนวน 5 พันกว่าหน่วยงาน จาก 2 หมื่นกว่าหน่วยงานที่ทำข้อรั่วไหลนั้น องค์กรปกส่วนท้องถิ่น (อปท.) ติดอันดับต้นๆ ของการทำข้อมูลรั่วไหล และขณะที่ อปท.ทั่วประเทศมีจำนวนมากถึง 7 พันกว่าแห่ง ดังนั้น สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล จึงต้องเข้ามาประสานความร่วมมือกับ อปท.อย่างใกล้ชิดเพื่อร่วมกันขับเคลื่อนการป้องกันและคุ้มครองข้อมูลส่วนบุคคล โดยมีประเด็นสำคัญประกอบด้วย

1. ห้ามเปิดเผยข้อมูลเกินความจำเป็น หรือเปิดเผยโดยไม่มีมาตรการป้องกันที่เหมาะสม โดยขอความร่วมมือ

อปท.ทั้งหมด ได้แก่ องค์การบริหารส่วนจังหวัด (อบจ.) องค์การบริหารส่วนตำบล (อบต.) เทศบาล ทั่วประเทศ ในกรณีที่มีความจำเป็นต้องเผยแพร่หรือเปิดเผยข้อมูลส่วนบุคคลของประชาชน ควรแทนหรือพรางข้อมูลส่วนบุคคลด้วยตัวอักษร X 5 ตัวเป็นอย่างน้อย เพื่อไม่ให้มีการระบุตัวตนได้โดยง่าย และเป็นการป้องกันการนำข้อมูลส่วนบุคคลของประชาชนไปใช้โดยมิชอบ เช่น หมายเลขบัตรประจำตัวประชาชน XXXXX X7890 หรือ เบอร์โทรศัพท์ 12345 XXXXX

2. แต่งตั้งผู้ประสานงานด้านการคุ้มครองข้อมูลส่วนบุคคล ให้ทุกหน่วยงานหรือทุกจังหวัดแต่งตั้งผู้ประสานงานประจำหน่วยงานหรือประจำจังหวัดขึ้น พร้อมแจ้งมายัง PDPC เพื่อเป็นเครือข่ายในการสอดส่องดูแลและประสานงานเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลกับ PDPC ต่อไป

3. กำกับดูแลให้เป็นไปตามกฎหมายที่เกี่ยวข้อง โดยขอให้ผู้ว่าราชการจังหวัดกำกับดูแลหน่วยงานที่อยู่ภายใต้กำกับปฏิบัติหน้าที่ตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด เพื่อป้องกันและการคุ้มครองข้อมูลส่วนบุคคลเกิดประสิทธิภาพสูงสุด

และ 4.การให้ความร่วมมือกับ PDPC ตามแผนจัดการสัมมนาถ่ายทอดความรู้ ในการสร้างความตระหนักรู้การป้องกันและคุ้มครองข้อมูลส่วนบุคคลแก่ อปท. ทุกหน่วยทั่วประเทศ ตามที่จะกำหนดต่อไป

รมว.ดีอี ยังขอให้ผู้บริหาร อปท. เตรียมการก้าวไปสู่การเป็นรัฐบาลดิจิทัล เรื่องของ paperless หรือจากเดิมที่ต้องเป็นเอกสารในรูปกระดาษ ในอนาคตอันใกล้นี้คงต้องขอความร่วมมือจาก อปท. ให้เป็นเอกสารอิเล็กทรอนิกส์ ซึ่งขณะที่กระทรวงดีอีได้จัดทำเป็นที่เรียบร้อยแล้วทั้งหมด ซึ่งจะมีการหารือกับ รมว.กระทรวงมหาดไทยต่อไป

นอกจากนี้ ภายหลังเสร็จสิ้นการมอบนโยบาย รมว.ดีอี ยังตอบข้อสักถามการแบ่งระยะเวลาการขับเคลื่อนนโยบายและจะมีการประเมินผลอย่างไร ด้วยว่า เรามี 3 ระยะ โดยระยะต้นที่เรียกว่า ควิก วิน (quick win) ก็คือการทำงานเชิงรุกที่เราทำอยู่ทุกวันนี้ที่เรียกศูนย์ PDPC Eagle Eye ที่ทำได้เลยถ้ามีเหตุส่งสัยว่าข้อมูลจะรั่ว พร้อมมีการป้องกันให้ความรู้ต่างๆ

ระยะกลาง คือเราจะใช้คลาวด์ โพลีซี(cloud policy)ไม่ให้เกิดความซ้ำซ้อน ที่สำคัญคือ ข้อมูลจะมีความมั่นคงปลอดภัยสูง ซึ่งการที่ cloud อยู่ในที่ต่างๆ ก็จะเกิดมาตรฐานไม่เหมือนกัน สุดท้ายเรื่องในระยะยาว ก็คือเรื่องการแก้กฎหมาย เพราะวันนี้ กฎหมาย PDPA ฉบับนี้เข้าสู่ปีที่ 5 หากถามว่าเป็นกฎหมายใหม่หรือเก่าไหม ก็ไม่เชิง แต่ด้วย 5 ปีที่แล้วเทคโนโลยีได้เปลี่ยนไป จึงจำเป็นจะต้องปรับปรุงกฎหมายให้ทันสมัยขึ้นอย่างเช่น เรื่องการรับผิด เรื่องโทษของการขายข้อมูล ซึ่งในต่างประเทศจะมีโทษหนักกว่านี้

โดยขณะนี้ได้เริ่มดำเนินการแล้ว เหลือเพียงขั้นตอนสุดท้ายคือสรุปประเด็นเข้ากฤษฎีกา เข้า ครม. และเข้าสู่สภาฯ เพราะเป็นพระราชบัญญัติ (พ.ร.บ.) ซึ่งสมัยสภาฯ นี้อาจจะไม่ทัน เพราะสภาฯ จะปิดในเดือนมีนาคมนี้แล้ว ก็คงจะเป็นการนำเข้าประชุมสภาฯ ในสมัยหน้า