“แก๊งคอลเซ็นเตอร์” อาละวาดหนัก ข้อมูลประชาชนเหล่านี้ไปถึงมือมิจฉาชีพเหล่านี้ได้อย่างไร ? ขณะที่ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือกฎหมาย PDPA มีผลบังคับใช้มาระยะหนึ่งแล้ว และพลันที่ สคส. ตรวจพบ “องค์กรท้องถิ่น” มีช่องโหว่ให้ข้อมูลรั่วไหลสูง แผนปฏิบัติการเชิงรุกเริ่มจึงต้องเดินหน้าสร้างความรับรู้ต่อผู้นำท้องถิ่น พร้อมจัดเครือข่าย DPO เชื่อมส่วนกลางตรวจสอบ เตือนคนท้องถิ่นเพิกเฉยมีโทษ ทั้งทางปกครอง แพ่ง ถึงอาญา
นายประเสริฐ จันทรรวงทอง รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (รมว.ดีอี) กล่าวว่า ตามที่นายกรัฐมนตรีได้สั่งการให้ ดีอี แก้ปัญหาการหลุดรั่วของข้อมูลประชาชน ตลอดจนการซื้อขายข้อมูลประชาชนตามที่เป็นข่าว จึงได้เร่งดำเนินการใน 6 มาตรการ ทั้งระยะเร่งด่วน 6 เดือน และ 12 เดือน โดยมาตรการระยะเร่งด่วนได้สั่งการให้สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) จัดตั้งศูนย์เฝ้าระวังการละเมิดข้อมูลส่วนบุคคล หรือ PDPC Eagle Eye เร่งตรวจสอบข้อมูลที่เปิดเผยต่อสาธารณะ พร้อมทั้งค้นหา เฝ้าระวัง การรั่วไหลของข้อมูลส่วนบุคคล และสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ตรวจสอบช่องโหว่ ระบบ Cybersecurity หรือระบบการรักษาความมั่นคงปลอดภัยข้อมูล พบว่า
.jpeg)
1. สคส. โดยศูนย์ PDPC Eagle Eye ระหว่าง 9 พ.ย. – 28 ธ.ค. 66 ได้เร่งตรวจสอบข้อมูลที่เปิดเผยต่อสาธารณะ 15,820 หน่วยงาน พบว่า 4,801 หน่วยงาน มีข้อมูลรั่ว โดยแบ่งเป็น - องค์กรปกครองส่วนท้องถิ่น (อปท.) 2,600 หน่วยงาน - หน่วยงานรัฐอื่น (ไม่ใช่ อปท.) 1,975 หน่วยงาน - สถาบันการศึกษา 153 หน่วยงาน - เอกชน 25 หน่วยงาน ซึ่ง 4,753 หน่วยงานได้แก้ไขแล้ว ยังเหลืออีก 48 หน่วยงาน อยู่ระหว่างดำเนินการแก้ไข
2. สกมช. ระหว่าง 9 พ.ย. – 28 ธ.ค. 66 เร่งตรวจสอบช่องโหว่ ระบบ Cybersecurity หรือระบบการรักษาความมั่นคงปลอดภัยข้อมูล โดยเฉพาะหน่วยงานภาครัฐที่เป็นหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (Critical Information Infrastructure: CII) อาทิ ด้านพลังงานและสาธารณสุข ด้านบริการภาครัฐ และการเงินการธนาคาร เป็นต้น โดยการตรวจสอบช่องโหว่ ของระบบ Cybersecurity ตรวจพบมีความเสี่ยงระดับสูง 22 หน่วยงาน และ สกมช. ได้แจ้งให้แก้ไขแล้ว
3. การซื้อขายข้อมูลส่วนบุคคลใน Meta (Facebook) พบ 10 เรื่อง และได้ดำเนินการปิดกั้นแล้ว และ 4. การซื้อขายข้อมูลใน Dark web (เว็บผิดกฎหมาย ที่คนร้ายหรือโจรออนไลน์นิยมใช้) จำนวน 3 เรื่อง
สำหรับการซื้อขายข้อมูลส่วนบุคคลที่พบทั้งใน Facebook และ Dark web ขณะนี้ อยู่ระหว่างสืบสวนดำเนินคดีร่วมกับ บช.สอท.
นายประเสริฐ กล่าวด้วยว่า “ดีอี เอาจริงเรื่องขโมยข้อมูล ซื้อขายข้อมูลส่วนบุคคล ผมได้สั่งการให้เร่งตรวจสอบการเปิดเผยข้อมูลที่ไม่เหมาะสม และระบบ Cybersecurity ของหน่วยงานต่างๆ โดยเฉพาะหน่วยงานของรัฐที่มีข้อมูลประชาชนจำนวนมาก ซึ่งยังพบว่า มีข้อมูลรั่ว และได้สั่งการให้เร่งแก้ไขไปแล้ว โดยหากหน่วยงานไหนปล่อยปละละเลยให้ข้อมูลรั่วหรือยังทำผิดซ้ำ จะลงโทษอย่างเคร่งครัดเด็ดขาดตามกฎหมาย สำหรับการดำเนินคดีกับคนร้ายขโมยข้อมูลหรือซื้อขายข้อมูล ได้มีการจับมาลงโทษแล้ว และอยู่ระหว่างทำงานร่วมกับเจ้าหน้าที่ตำรวจ เพื่อจับตัวในกรณีอื่นๆ เอามาลงโทษ ถึงเป็นโจรต่างชาติก็จะประสานตำรวจสากลเอาตัวมาลงโทษให้ได้”
- เปิดปฏิบัติการเชิงรุก
อย่างไรก็ตาม ทางด้านฝ่ายปฏิบัติการ โดยสำนักตรวจสอบและกำกับดูแล พ.ต.อ.สุรพงศ์ เปล่งขำ ผู้อำนวยการสำนักตรวจสอบและกำกับดูแล เปิดเผยถึงรายละเอียดการดำเนินงานเกี่ยวกับเรื่องนี้กับ อปท.นิวส์ ว่า พระราชบัญญัติ (พ.ร.บ.) PDPC Eagle Eye คือกลกลในการคุ้มครองข้อมูลส่วนบุคคลทั่วประเทศ โดยมีหน่วยงานหลักก็คือสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) โดยกำหนดกลไกไว้ว่า ให้ทุกคนที่เกี่ยวข้อง ที่มีข้อมูลส่วนบุคคลอื่นอยู่ในมือ จะต้องมีหน้าที่ ไม่ว่าจะหน้าที่ควบคุมข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคล หรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือคณะกรรมการที่กฎหมายกำหนดให้มีหน้าที่ ตลอดจนเจ้าหน้าที่หรือพนักงานของหน่วยงานนั้นๆ ไม่ว่าจะเป็นนิติบุคคล หรือบุคคล รัฐ หรือเอกชน ต้องปฏิบัติตามกฎหมาย
ทั้งนี้ ในส่วนของสำนักงานฯ ปัจจุบันได้เริ่มดำเนินการนโยบายเชิงรุก ทั้งการป้องปรามและการป้องกัน โดยการป้องปราม จะมีศูนย์เฝ้าระวังการละเมิดข้อมูลส่วนบุคคล (PDPC Eagle Eye) คือ จะไม่รอให้มีคนเข้ามาแจ้งเหตุแล้วถึงดำเนินการ แต่จะทำการตรวจสอบอยู่ตลอดเวลา พร้อมกับการเข้าไปแจ้งให้หน่วยงานที่ต้องปฏิบัตหน้าที่ตาม พ.ร.บ.ฯ ต้องป้องกันข้อมูลของบุคคลอื่น โดยสำนักงานฯ จะเริ่มเข้าไปแนะนำโดยมีคู่มือให้ดูแลปฏิบัติ
“คือถ้าเราไปรอให้เกิดเรื่อง นั่งรอรับเรื่องอย่างเดียว สังคมก็คงไม่สงบ โดยนโยบายเร่งด่วนของเราก็คือ การยกระดับศูนย์ PDPC Eagle Eye ขึ้นมาสแกน ที่เริ่มมาเมื่อ 9 พฤศจิกายน 2566 ซึ่งจนถึงปัจจุบันผลปรากฏว่า หน่วยงานที่มีการเปิดเผยโดยเกินความจำเป็น ส่วนใหญ่เป็นของหน่วยงานท้องถิ่น โดยที่มีข้อมูลของประชาชนแล้วนำมาเปิดเผย” พ.ต.อ.สุรพงศ์ กล่าว
- PDPC Eagle Eye พลิกใช้โปรแกรมตรวจจับ
ขณะที่ ร.ท.ฐานันดร สำราญสุข ผู้ชำนาญการ รักษาการฝ่ายเฝ้าระวังและติดตามสถานการณ์ กล่าวเสริมว่า เมื่อศูนย์ PDPC Eagle Eye เริ่มจัดตั้งเรียบร้อยแล้ว ก็มีเครื่องมือในการตรวจสอบ โดยหลักๆ ก็คือ การตรวจสอบหมายเลข 13 หลัก กับชื่อเป็นหลัก ซึ่งก็พบว่า เวลามีบุคคลค้นหาด้วยการคีย์เวิร์ดในกูเกิลด้วยเลขที่บัตรประชาชนก็จะขึ้นให้เห็น ซึ่งไม่ถูกต้อง เพราะควรมีการปกปิด และส่วนใหญ่จะอยู่ในโดเมนของ อบต. อบจ. เทศบาล ทั่วเลย อย่างเช่น เมื่อตรวจไป16,000 แห่ง ก็จะพบของ อบต.เกือบ 2,000 กว่าแห่ง โดยเฉพาะเรื่องเบี้ยยังชีพ เป็นต้น ซึ่งก็ได้แจ้งให้หน่วยงาน อบจ. อบต.นั้นๆ ทราบแล้ว ก็ให้ความร่วมมือดีครับทุกภาคส่วน
“อยากเรียนว่า ท่านรัฐมนตรี ท่านเลขาฯ ท่าน ผอ. อยากจะให้ตัดไฟตั้งแต่ต้นลม คือสาเหตุทั้งหมดที่เราต้องมาทำตรงนี้ ก็มาจากแก๊งคอลเซ็นเตอร์ รู้ไหมครับว่า พวกนี้รู้ข้อมูลเราได้อย่างไร ข้อมูลเหล่านี้หลุดมาจากหน่วยงานรัฐ ไม่รู้ผิดไม่ผิด แต่เป็นการตัดไฟตั้งแต่ต้นลม โดยที่เอกสารหลักต่างๆ ของทางราชการจะมีเลขบัตรประชาชนกับชื่อ แล้วตัวนี้เราเอาไปค้นหาต่างๆ ในระบบองรัฐ มันเลยเอาตรงนี้มาใช้ต่อโดยการหลอกประชาชน เลยใช้หลักการป้องกัน คือพอเจอปุ๊บก็รีบปิดเลย ซึ่งก็เจอทุกวัน”
พ.ต.อ.สุรพงศ์ กล่าวเสริมว่า กฎหมายคุ้มครองข้อมูลส่วนบุคคล กำหนดให้ผู้ที่ข้อมูลส่วนตัวของผู้อื่นในมือ หรือหน่วยงานต่างๆ จะมีหน้าที่หลักๆ อยู่ 2 ข้อ ก็คือคุ้มครองสิทธิส่วนบุคคลและคุ้มครองความมั่นคงปลอดภัยของข้อมูล และการคุ้มครองสิทธิความเป็นส่วนตัว (Privacy) ก็คือเป็นสิทธิในการเปิดเผยข้อมูลของเขาโดยสงวนไม่ให้ใครได้รับรู้ คือถ้าจะเปิดเผยข้อมูลของเขาก็ต้องได้รับความยินยอม ตรงนี้ก็เป็นหน้าที่ เพราะเป็นเรื่องผิดกฎหมาย เพราะถ้าทำถูกต้องตามที่กฎหมายกำหนด โอกาสที่แก๊งคอลเซ็นเตอร์จะเอาข้อมูลส่วนบุคคลจากใครไปโอกาสจะไม่มี เพราะหน่วยงานมีการระมัดระวัง
“ซึ่งวิธีการที่เราตรวจหาว่าหน่วยไหนมีมาตรการตามที่เรากำหนดหรือไม่ คือกำเราหนดขึ้นมาว่า ข้อมูลส่วนบุคคลที่แก๊งคอลเซ็นเตอร์นำไปใช้ประโยชน์ส่วนมาก ก็มีชื่อ-นามสกุล เลข 13 หลัก พอมาเป็นโปรแกรมของเรา เราก็ทำตัวเป็นแก๊งคอลเซ็นเตอร์ซะเอง โดยที่เราใช้คีย์เลข 13หลัก แล้วไปเจอหน่วยงานไหนบ้างที่มีการเผยแพร่ ปรากฏไปเจอองค์กรส่วนท้องถิ่นทั้งนั้นเลย เป็นไปได้ว่า เขาเองอาจจะไม่ทราบว่า กฎหมายควรต้องป้องกันอย่างไร แต่เราก็ใส่แคมเปญ xxxx หลังหมายเลข 13 หลักไปแล้ว พอเจอแล้วเราก็แจ้งทีละหน่วย การสร้างความรับรู้ก็เลยมีความจำเป็น เลยควรต้องประชาสัมพันธ์ออกไป คือตอนนี้เรามีแคมเปญเรียกว่า X4 เป็นการมาร์กปิดเลข 4 หลักใน 13 หลัก เราจะทำให้เลขนั้นไม่สามารถยืนยันคนได้ ถึงมิจฉาชีพได้ไปมันก็ยังไม่ถึงตัว อันนี้คือข้อที่ 1”
ข้อที่ 2 ก็คือ ต้องมีมาตรการเชิงองค์กร ที่เราเห็นว่า ข้อมูลหลุด ก็คือเผยแพร่เกินความจำเป็น คือไม่เห็นจำเป็นต้องเอาเลข 13 หลักมาเผยแพร่ แต่ว่าบางครั้งเขาก็มีหน้าที่ๆ ต้องเปิดเผยเหมือนกัน หมายถึงว่า ตัว อบจ. อบต.บางทีเขามีหน้าที่ๆ จะต้องแจ้งรายชื่อให้ทราบทั่วกัน ยกตัวอย่าง บุคคลใดที่ได้รับเบี้ยยังชีพบ้าง คือเขาอาจจะมีระเบียบของเขา แต่เขาแจ้งแค่นั้นก็พอ ไม่จำเป็นต้องแจ้ง 13 หลัก อันนี้ก็เป็นช่องโหว่ให้แก๊งคอลเซ็นเตอร์นำไปใช้ประโยชน์ได้
ข้อที่ 3 คือการเข้ารหัส บางครั้งข้อมูลบางอย่างเราต้องการแค่ให้เจ้าตัวรู้เท่านั้น เราไม่ได้จำเป็นต้องประกาศให้ทุกคนทราบ ดังนั้น ใน 3 เรื่องนี้ มีการคิดแคมเปญให้องค์กรท้องถิ่นเข้ามาช่วยกันดูแล แล้วก็ในเรื่องของมาตรกรเชิงองค์กรกำกับดูแล
- DPO อีกหนึ่งมาตรการเชิงรุก
พ.ต.อ.สุรพงศ์ เปิดเผยต่อไปว่า สำหรับการแก้ปัญหาจะต้องอาศัยการมีส่วนร่วมจากหน่วยงาน โดยต้องให้ท้องถิ่นแต่ตั้งผู้ประสานงานขึ้นมาดูแล เรียกได้ว่า เราต้องมีเครือข่าย ก็คือเราจะแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลประจำหน่วยงาน (DPO) อันนี้เป็นแผนที่เราต้องให้เขามี กล่าวคือ จริงๆ แล้วตัวนิติบุคคลไม่ว่าจะเป็น อบจ. อบต. แต่ละหน่วย ควรมี 1 คน เรียกว่าเป็นเครือข่ายเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล สมมุติว่ามี 8,000 หน่วย ก็มี 8,000 คน คือให้เขามีเจ้าหน้าที่ไว้ก่อน
ด้านนายกิตตินันท์ ศรีมงคล ผู้อำนวยการฝ่ายกำกับการคุ้มครองข้อมูลส่วนบุคคล กล่าวเสริมว่า กฎหมายฉบับนี้ บังคับกับผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งผู้ควบคุมข้อมูลส่วนบุคคลหมายความว่า บุคคล หรือนิติบุคคลที่มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ทีนี้ถ้าหากว่าไปดู พ.ร.บ.หรือระเบียบบริหารราชการแผ่นดิน องค์การบริหารส่วนท้องถิ่น ไม่ว่าจะเป็น อบต. อบจ.ก็ถือว่าเป็นนิติบุคคลหนึ่ง ก็ตกอยู่ภายใต้ พ.ร.บ.ฉบับนี้ ซึ่งพ.ร.บ.ฉบับนี้จะมี 2 ส่วน
ส่วนที่ 1 กฎหมายกำหนดให้นิติบุคคลทำอะไรบ้าง เป็นลิสต์รายการออกมา ตัวลิสต์นี้ก็คือตามที่ ผอ.บอกคือเราได้ทำเป็นแบบตรวจแนะนำ ก็เอาแบบตรวจแนะนำไปเช็คว่า ข้อ 1 ทำหรือยัง 2 ทำหรือยัง ก็จะง่ายต่อการอิมพรีเมนท์ตัว PDPA ส่วนที่ 2 จะพูดถึงเรื่องสิทธิของเจ้าของข้อมูลส่วนบุคคล ในกรณีนี้จะเป็นสิทธิของเจ้าของข้อมูลส่วนบุคคล ของประชาชนที่อยู่ในท้องถิ่นนั้นๆ ว่า ท่านมีสิทธิอะไรบ้าง เช่น มีสิทธิเข้าถึงข้อมูลส่วนบุคคลที่ อบต. อบจ.ได้เก็บไว้ สิทธิในการคัดค้าน ในการลบ อันนี้รายละเอียดกฎหมายก็กำหนดไว้อยู่
ทีนี้เข้าใจว่า อบต.หรือ อบจ.อาจจะยังไม่ตระหนักรู้เกี่ยวกับ พ.ร.บ.ข้อมูลส่วนบุคคล เราก็มีแผนที่จะทำความร่วมมือกับทางกรมการปกครองส่วนท้องถิ่นภายใต้กระทรวงมหาดไทยว่า เราจะมีการจัดประชุมให้ท่านรู้ตัวก่อนว่า ท่านอยู่ภายใต้ พ.ร.บ.ฉบับนี้ เพราะเชื่อว่าหน่วยงานท้องถิ่นอาจจะยังไม่รู้ตัวด้วยซ้ำว่าอยู่ภายใต้ พ.ร.บ.ฉบับนี้ อันดับแรกต้องรู้ตัวก่อน อันดับ 2 เมื่อรู้ตัวแล้วก็ต้องรู้ว่าต้องทำอะไรบ้าง ก็จะเป็นแบบตรวจแนะนำที่เราแจกไป 3. หลังจากที่รู้ตัวแล้ว ก็สามารถทำแบบตรวจได้เลย เรียกว่าเป็นการประเมินตัวเองว่า ทำอะไรไปแล้วบ้าง
“จากนั้นเราก็จะมีแบบตรวจแนะนำ ก็คือเราจะไปเป็นโค้ช ดูซิว่าเช็คลิสท์ที่เราแจกไปนั้นติดตรงไหนบ้าง ถ้าไม่สามารถดำเนินได้เราก็จะได้แนะนำว่าควรทำอย่างนี้ๆ ทีนี้ในส่วนของที่ว่าถ้าไม่ทำแล้วจะเอาผิด คงไม่ได้ถึงขนาดว่า ถ้าไม่ทำแล้วจะเป็นเรื่องผิด ซึ่งกฎหมายกำหนดเป็นความผิด บางอย่างที่กำหนดให้ทำ เช่น การแจ้ง Privacy Notice ถ้าไม่ทำถือว่าความผิด แต่อย่างไรก็ตาม ในช่วงระยะแรก อยากจะให้เป็นการจับมือแล้วก็เดินไปด้วยกัน ถ้าคุณไม่ทำคุณทำนะอะไรแบบนี้ ระยะถัดไปถ้ายังไม่ทำอีกอาจจะต้องพิจารณาเรื่องความรับผิดทางปกครอง คือผมยังเชื่อว่า หลายหน่วยที่เป็นอบต. อบจ. ยังไมรู้ว่าหน่วยงานของตนเองอยู่ภายใต้ พ.ร.บฯ ฉบับนี้ด้วย อันนี้เราก็ต้องสร้างความรับรู้สร้างความเข้าใจก่อนที่จะมีการลงไปตรวจสอบ”
- เตรียมจัดประชุมผู้นำท้องถิ่น
พ.ต.อ.สุรพงศ์ เปิดเผยด้วยว่า มีนโยบายให้รีบดำเนินการประชุมกับหน่วยงาน อปท.ทั้งประเทศด่วน โดยทาง สคส.ได้ประสานกับกระทรวงมหาดไทย โดยกรมส่งเสริมการปกครองท้องถิ่น แม้ว่าจะไม่ได้เป็นผู้บังคับบัญชาโดยตรง แต่ก็ทำหน้าที่ประสานงานกับท้องถิ่นอยู่ ก็จะร่วมมือในการจัดการในครั้งนี้ 1. ก็คือจะร่วมสร้างความรู้ทั่วกัน 2. เรื่องการเปิดเผยข้อมูล อาจจะไม่ถึงการเช็คลิสท์ แค่ข้อมูลเลข 13 หลักก็ห้ามเปิดเผย ซึ่งจะมีการเรียกประชุมทั่วประเทศ เร็วๆนี้ คาดว่าประมาณต้นเดือนกุมภาพันธ์ โดยหารือกับทางกรมส่งเสริมท้องถิ่น น่าจะเป็นการประชุมออนไลน์ กับแถลงการณ์ทีเดียว แล้วก็จัดสถานที่ประชุม ถ้าอยู่ส่วนกลางใกล้ก็มากัน
นายกิตตินันท์ กล่าวเสริมว่า จะมีการส่งเสริมด้าน NEGATIVE ถ้าท่านไม่ทำก็จะผิดนะ แต่อย่างไรก็ตามเราก็จะส่งเสริมด้าน POSITIVE ด้วย เพื่อเป็นขวัญกำลังใจให้ อบต. คือจะมีโครงการที่จะจัดเกี่ยวกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลดีเด่น หรือ อบจ. อบต.ดีเด่น อย่างถ้าเราบอกแผนไป แล้วคุณทำตามแผนเราก็จะมีการแจกรางวัลในช่วงปลายปีนี้ หรือต้นปีหน้า เพื่อให้ได้ตระหนักเกี่ยวกับ พ.ร.บ. PDPA
สำหรับในส่วนของ DPO กฎหมายไม่ได้กำหนดว่าจะต้องจ้างบุคคลภายนอก อาจจะแต่งตั้งขึ้นมาจากเจ้าหน้าที่ใน อปท.เองก็ได้ แต่แนะนำว่า บุคคลที่เป็น DPO จะต้องมีความรู้ 3 อย่างคือ 1. กฎหมายคุ้มครองข้อมูลส่วนบุคคลและข้อมูลกฎหมายที่เกี่ยวข้อง เช่น พ.ร.บ.ข้อมูลข่าวสารของราชการ, พ.ร.บ.การบริหารงาน.ภาครัฐผ่านระบบดิจิทอล เป็นต้น 2. ต้องมีความรู้ด้านไอที 3. ต้องมีความรู้เรื่องบริบทขององค์กร นอกจากนี้ กฎหมายไม่ได้กำหนดว่า DPO ต้องมีแค่ 1 ท่าน ถ้าพิจารณาแล้วเห็นว่าหลายๆ ท่าน มีองค์ความรู้ก็สามารถจัดตั้งเป็นคณะ แล้วก็ไม่จำเป็นต้องจ้างเอกชนหรือบริษัทภายนอก ก็สามารถสร้างจากบุคคลากรที่อยู่ภายใน อบต.เองก็ได้ ตั้งแล้วก็ต้องแจ้งข้อมูลที่เกี่ยวข้องกับ DPO มาที่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ซึ่งเขาจะเป็นตัวเชื่อมกับสำนักงาน
“ผมขอขยายความของ DPO ซึ่งมีหน้าที่ 4 ประการ 1. แนะนำการคุ้มครองข้อมูลส่วนบุคคลให้กับ อบต. อบจ. รวมถึงผู้รับจ้าง อบต. อบจ. ด้วย 2. ตรวจสอบการปฏิบัติตามนโยบายการจัดการข้อมูลส่วนบุคคล 3. ประสานงานกับสำนักงานฯ เพราะสำนักงานฯ จะประสานไปยัง DPO ให้คุ้มครองข้อมูลส่วนบุคคลที่อยู่ใน อบจ.นั้น 4. อันนี้สำคัญรักษาความลับที่ได้รับรู้จากการปฏิบัติหน้าที่ขององค์กร ถ้าเป็น DPO แล้วได้ล่วงรู้ข้อมูลความลับต่างๆ แล้วนำไปเปิดเผยตรงนี้กฎหมายกำหนดไว้เลยว่ามีโทษทางอาญา
พ.ต.อ.สุรพงศ์ กล่าวเสริมว่า ต่อไปต้องมีหลักสูตรเกี่ยวกับ DPO ก็อยู่ในแผน แต่ระหว่างที่ยังไม่มีหลักสูตร ก็จะมีการจัดอบรมให้กับหน่วยงานราชการต่างๆ ทั่วไป แล้วก็มีการตรวจแนะนำ แล้วถือโอกาสให้ความรู้ไปด้วย แต่ในอนาคตก็จะมีหลักสูตรแน่นอนครับ ตอนนี้เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลคุณสมบัติก็คือต้องพิจารณาตามความเหมาะสมไปก่อน แต่ว่าที่แน่ๆ คือต้องไม่ขัดแย้งกับหน้าที่ๆ ทำอยู่ เช่น ไม่ได้เป็นคนเก็บข้อมูลเอง ตรวจสอบเอง คือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลต้องมีความเป็นเอกเทศต่างหาก และต้องขึ้นตรงกับหัวหน้าหน่วยงานโดยตรง
- ท้องถิ่นเพิกเฉยมีบทลงโทษ
พ.ต.อ.สุรพงศ์ กล่าวว่า คือกฎหมายกำหนดโทษจะมีทั้งแพ่ง อาญา ปกครอง โดยโทษในเรื่องการปกครอง มีโทษปรับตั้งแต่ 1,000,000 - 3,000,000 - 5,000,000 บาท ทางอาญาเปิดเผยโดยมิชอบ จะมีความผิดทางอาญา อันนี้มาตรา 79 โทษจำคุกประมาณ 6 เดือน หรือ 1 ปี ปรับ 5แสน อันนี้คือผู้ที่เป็นเจ้าของหน่วยงาน ผู้ที่ตัดสินใจเก็บรวบรวมใช้ข้อมูลด้วยตนเองแล้วนำไปเปิดเผย อันนี้ผู้เสียหายร้องทุกข์ได้ อีกกรณีหนึ่ง ผู้ใดที่ล่วงรู้ข้อมูลจากการปฏิบัติหน้าที่แล้วไปเปิดเผย อันนี้เป็นอาญาแผ่นดิน ยกตัวอย่างเช่น ผู้ที่เอาข้อมูลไปขายอันนี้ผิดอาญา เรื่องปกครองก็เป็นเรื่องของรัฐที่จะต้องไปลงโทษใช่ไหมครับ เรื่องของอาญาก็จะเป็นเรื่องของการจำคุกด้วย ในส่วนของแพ่ง ถ้าผิดกฎหมายผู้เสียหายก็สามารถใช้สิทธิฟ้องแพ่งได้
นายกิตตินันท์ กล่าวเสริมว่า คือกฎหมายกำหนดไวัชัดเจนเลยในมาตรา 81 ตามข้อสังเกต ในกรณีที่ผู้กระทำความผิดตาม พ.ร.บ.ฉบับนี้เป็นนิติบุคคลซึ่งก็คือ อบต. อบจ. ถ้าการกระทำความผิดของนิติบุคคลนั้นเกิดจากการสั่งการ คือนายกสั่ง หรือการกระทำของกรรมการ ผู้จัดการหรือบุคคลใดซึ่งรับผิดชอบในการดำเนินงานของนิติบุคคลนั้น กฎหมายบอก กรณีที่บุคคลดังกล่าวมีหน้าที่ๆ จะต้องสั่งการ และละเว้นการกระทำไม่สั่งการ จนเป็นเหตุให้นิติบุคคลนั้นกระทำความผิด ผู้นั้นต้องรับโทษในการกระทำความผิดนั้นด้วย พูดง่ายๆ ว่านายกเอง หรือผู้บริหารสั่งการ เอาข้อมูลไปขายหรือเปิดเผยด้วย ต้องโทษตามพ.ร.บ.ฉบับนี้ด้วย
- ฝากถึงผู้นำท้องถิ่น
“กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลเกิดขึ้นมาเพื่อรักษาความสงบสุขโดยรวมของประชาชน เนื่องจากว่าเป็นจุดเริ่มต้นของการก่ออาชญากรรม มิจฉาชีพก็จะอาศัยข้อมูลต่างๆ ก็จะอาศัยข้อมูลตรงนี้มาก่อเหตุ ถ้าเราตัดไฟแต่ต้นลม แต่การที่เราจะทำได้ เนื่องจากว่ามันเป็นเรื่องที่เข้าถึงโดยง่าย การที่จะคุ้มครองได้ ก็ต้องอาศัยการที่มีส่วนร่วมของทุกภาคส่วน โดยเฉพาะอย่างยิ่งทาง อบต.ท้องถิ่น ซึ่งใกล้ชิดกับประชาชนมาก ก็อยากจะฝากว่า การคุ้มครองข้อมูลส่วนบุคคลให้เกิดความเข้มแข็ง มีผลในวงกว้างเพื่อให้เกิดความเชื่อมั่นของประชาชนอย่างแท้จริง ก็มีความจำเป็นที่ต้องอาศัยความร่วมมือของทุกท่านครับ” พ.ต.อ.สุรพงศ์ กล่าวฝากไปยังหน่วยงานท้องถิ่น
ขณะที่ นายกิตตินันท์ กล่าวฝากด้วยว่า “นอกจากสิ่งที่ ผอ.ได้ดำเนินไปเมื่อสักครู่ ผมขออนุญาตเสริมว่า การดำเนินการตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลจะเป็นการสร้างความน่าเชื่อถือให้กับหน่วยงานของอบต.อบจ.ด้วย เนื่องจากประชาชนส่วนมากก็เข้ามาขอรับการบริการของอบต.อบจ.เนี่ย ย่อมต้องมีการเก็บรวบรวมข้อมูลส่วนบุคคล ถ้าหากว่าอบต.อบจ.ดำเนินการตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ถูกต้อง ครบถ้วน ก็จะสร้างความเชื่อมั่นว่าข้อมูลที่ได้รับฝากไว้กับท่านก็จะได้รับการปกป้องเป็นอย่างดี ก็ขอเป็นกำลังใจให้อบต.อบจ.ดำเนินการตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลให้ถูกต้องครบถ้วนต่อไปครับ”
