“ประเสริฐ” เข้มนโยบายเจ้าหน้าที่ DPO ภาครัฐ เฝ้าระวังข้อมูลรั่ว
“ประเสริฐ" มอบนโยบายเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) กลุ่มภาครัฐ 85 หน่วยงาน ยกระดับความเข้มข้นศูนย์ Eagle Eye เฝ้าระวังเหตุละเมิด พบ 8 เดือน มี 192 เรื่อง ส่วนใหญ่มาจากการเผยแพร่ข้อมูลประชาชนโดยไม่มีกระบวนการปกปิดข้อมูลที่สำคัญ
นายประเสริฐ จันทรรวงทอง รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) กล่าวว่า รัฐบาลและกระทรวงดีอี ให้ความสำคัญเรื่องการคุ้มครองข้อมูลส่วนบุคคลของประชาชน โดยมอบนโยบายให้สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หรือ PDPC กำกับดูแลหน่วยงานทั้งภาครัฐและเอกชนให้มีการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลอย่างเคร่งครัด เฝ้าระวังและป้องปรามไม่ให้มีการรั่วไหลของข้อมูลส่วนบุคคลประชาชนจากหน่วยงานต่างๆ
ทั้งนี้ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือ กฎหมายพีดีพีเอ กำหนดให้หน่วยงานต่างๆทั้งภาครัฐและเอกชนต้องมี เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer : DPO) เพื่อทำหน้าที่คุ้มครองข้อมูลส่วนบุคคลขององค์กรตนเองไม่ให้รั่วไหล โดยกฎหมายกำหนดหน่วยงานที่ต้องมี DPO 3 กลุ่ม ประกอบด้วย
1.หน่วยงานรัฐที่กฎหมายกำหนด 2.หน่วยงานที่จำเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่ำเสมอ และมีข้อมูลส่วนบุคคลเป็นจำนวนมาก และ 3.กลุ่มองค์กรที่มีการใช้ข้อมูลอ่อนไหวหรือข้อมูลลักษณะพิเศษตาม มาตรา 26 ได้แก่ คลินิก บริษัทรักษาความปลอดภัย เป็นต้น
ดังนั้นกระทรวงดีอีจึงได้มอบนโยบายให้หน่วยงานภาครัฐ จำนวน 85 หน่วยงานให้ทำหน้าที่ DPO อย่างเคร่งครัด ได้แก่
1. ตรวจสอบและดูแลให้หน่วยงานมีการปฏิบัติตามกฎหมาย พีดีพีเอ อย่างเคร่งครัด
2. ตรวจสอบเฝ้าระวังไม่ให้มีข้อมูลส่วนบุคคลของประชาชนรั่วไหลบนเว็บไซต์และช่องทางอื่น ๆ
3. ตรวจสอบไม่ให้มีการเก็บรวบรวมหรือเผยแพร่ข้อมูลส่วนบุคคลของประชาชนมากเกินความจำเป็น
4. จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยสำหรับเข้าถึงข้อมูลส่วนบุคคล อาทิ การพิสูจน์ยืนยันตัวตน กำหนดสิทธิในการเข้าถึงและใช้งานข้อมูลฯ
5. จัดให้มีมาตรการกำกับดูแลเจ้าหน้าที่ภายในหน่วยงานไม่ให้มีการนำข้อมูลส่วนบุคคลของประชาชนไปขาย หรือเปิดเผยโดยมิชอบ
6. จัดให้มีการฝึกอบรมเพื่อสร้างองค์ความรู้และความตระหนักรู้ด้านการคุ้มครองข้อมูลส่วนบุคคลให้แก่เจ้าหน้าที่ภายในหน่วยงาน
DPO เป็นกลไกสำคัญในการช่วยให้การคุ้มครองข้อมูลส่วนบุคคลของประชาชนมีประสิทธิภาพมากขึ้น DPO จึงเปรียบเสมือนเป็น Super Hero ผู้คุ้มครองข้อมูลส่วนบุคคลของประชาชนให้ปลอดภัยจากมิจฉาชีพและอันตรายต่าง ๆ
นอกจากนี้ PDPC จัดให้มีกลไกส่งเสริมการปฏิบัติหน้าที่ของ DPO โดยจัดทำแบบตรวจแนะนำการกำกับการคุ้มครองข้อมูลส่วนบุคคล (Regulator Checklist) เพื่อสนับสนุนและช่วยเหลือให้ DPO สามารถดำเนินงานได้อย่างมีประสิทธิภาพและสอดคล้องกับกฎหมาย กลไกการป้องปราม ผ่านการจัดตั้งศูนย์เฝ้าระวังและติดตามสถานการณ์การคุ้มครองข้อมูลส่วนบุคคล ด้วยระบบ AI หรือ ศูนย์ PDPC Eagle Eye เพื่อทำหน้าที่สำรวจความเสี่ยงการเผยแพร่ข้อมูลส่วนบุคคลบนอินเทอร์เน็ต พร้อมดำเนินการติดตามและเก็บรวบรวมข้อมูลเป็นสถิติเพื่อใช้ในการประเมินและวิเคราะห์สถานการณ์ เพื่อที่จะนำข้อมูลไปประสานกับเครือข่ายเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล และขยายผลบังคับใช้กฎหมายในกรณีตรวจพบการละเมิดข้อมูลส่วนบุคคล
สำหรับสถิติการเฝ้าระวังตรวจพบเหตุละเมิดของศูนย์ Eagle Eye ตั้งแต่วันที่ 1 เม.ย.-8 พ.ย.2566 ตรวจพบเหตุละเมิดมากถึง 192 เรื่อง โดยสาเหตุการละเมิดมากที่สุดจากมาจากการเผยแพร่ข้อมูลประชาชนโดยไม่มีกระบวนการปกปิดข้อมูลที่สำคัญ (No Masking) 176 เรื่อง และประเภทหน่วยงานที่ตรวจพบมากที่สุดคือ หน่วยงานของรัฐ-รัฐวิสาหกิจ 154 เรื่อง รองลงมาเป็นธุรกิจการศึกษา 21 เรื่อง
ส่วนในฝั่งของการรับแจ้งเหตุละเมิด กับ สำนักงาน PDPC ได้รับแจ้งรวม 382 เรื่อง แบ่งเป็น ปี 2565 จำนวน 158 เรื่อง (1 มิ.ย. – 31 ธ.ค. 2565) และปี 2566 จำนวน 224 เรื่อง (1 ม.ค. – 8 พ.ย. 2566) โดยสาเหตุการละเมิด 5 อันดับแรกมาจากข้อมูลรั่วไหล 130 เรื่อง, ความบกพร่องของผู้ปฏิบัติงาน 82 เรื่อง, ไม่ปกปิดข้อมูลส่วนบุคคล 57 เรื่อง, เว็บไซต์ขายข้อมูล 43 เรื่อง และ มัลแวร์ 24 เรื่อง
ประเภทธุรกิจที่รับแจ้งมากที่สุด 5 อันดับแรก คือ การเงินการธนาคาร 118 เรื่อง, หน่วยงานของรัฐ-รัฐวิสาหกิจ 92 เรื่อง, ค้าปลีกและค้าส่ง 37 เรื่อง, การศึกษา 26 เรื่อง และเทคโนโลยีสารสนเทศและโทรคมนาคม 17 เรื่อง