“ประเสริฐ” เข้มนโยบายเจ้าหน้าที่ DPO ภาครัฐ เฝ้าระวังข้อมูลรั่ว
นายประเสริฐ จันทรรวงทอง รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) กล่าวว่า รัฐบาลและกระทรวงดีอี ให้ความสำคัญเรื่องการคุ้มครองข้อมูลส่วนบุคคลของประชาชน โดยมอบนโยบายให้สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หรือ PDPC กำกับดูแลหน่วยงานทั้งภาครัฐและเอกชนให้มีการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลอย่างเคร่งครัด เฝ้าระวังและป้องปรามไม่ให้มีการรั่วไหลของข้อมูลส่วนบุคคลประชาชนจากหน่วยงานต่างๆ
ทั้งนี้ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือ กฎหมายพีดีพีเอ กำหนดให้หน่วยงานต่างๆทั้งภาครัฐและเอกชนต้องมี เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer : DPO) เพื่อทำหน้าที่คุ้มครองข้อมูลส่วนบุคคลขององค์กรตนเองไม่ให้รั่วไหล โดยกฎหมายกำหนดหน่วยงานที่ต้องมี DPO 3 กลุ่ม ประกอบด้วย
1.หน่วยงานรัฐที่กฎหมายกำหนด 2.หน่วยงานที่จำเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่ำเสมอ และมีข้อมูลส่วนบุคคลเป็นจำนวนมาก และ 3.กลุ่มองค์กรที่มีการใช้ข้อมูลอ่อนไหวหรือข้อมูลลักษณะพิเศษตาม มาตรา 26 ได้แก่ คลินิก บริษัทรักษาความปลอดภัย เป็นต้น
ดังนั้นกระทรวงดีอีจึงได้มอบนโยบายให้หน่วยงานภาครัฐ จำนวน 85 หน่วยงานให้ทำหน้าที่ DPO อย่างเคร่งครัด ได้แก่
1. ตรวจสอบและดูแลให้หน่วยงานมีการปฏิบัติตามกฎหมาย พีดีพีเอ อย่างเคร่งครัด
2. ตรวจสอบเฝ้าระวังไม่ให้มีข้อมูลส่วนบุคคลของประชาชนรั่วไหลบนเว็บไซต์และช่องทางอื่น ๆ
3. ตรวจสอบไม่ให้มีการเก็บรวบรวมหรือเผยแพร่ข้อมูลส่วนบุคคลของประชาชนมากเกินความจำเป็น
4. จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยสำหรับเข้าถึงข้อมูลส่วนบุคคล อาทิ การพิสูจน์ยืนยันตัวตน กำหนดสิทธิในการเข้าถึงและใช้งานข้อมูลฯ
5. จัดให้มีมาตรการกำกับดูแลเจ้าหน้าที่ภายในหน่วยงานไม่ให้มีการนำข้อมูลส่วนบุคคลของประชาชนไปขาย หรือเปิดเผยโดยมิชอบ
6. จัดให้มีการฝึกอบรมเพื่อสร้างองค์ความรู้และความตระหนักรู้ด้านการคุ้มครองข้อมูลส่วนบุคคลให้แก่เจ้าหน้าที่ภายในหน่วยงาน
DPO เป็นกลไกสำคัญในการช่วยให้การคุ้มครองข้อมูลส่วนบุคคลของประชาชนมีประสิทธิภาพมากขึ้น DPO จึงเปรียบเสมือนเป็น Super Hero ผู้คุ้มครองข้อมูลส่วนบุคคลของประชาชนให้ปลอดภัยจากมิจฉาชีพและอันตรายต่าง ๆ
นอกจากนี้ PDPC จัดให้มีกลไกส่งเสริมการปฏิบัติหน้าที่ของ DPO โดยจัดทำแบบตรวจแนะนำการกำกับการคุ้มครองข้อมูลส่วนบุคคล (Regulator Checklist) เพื่อสนับสนุนและช่วยเหลือให้ DPO สามารถดำเนินงานได้อย่างมีประสิทธิภาพและสอดคล้องกับกฎหมาย กลไกการป้องปราม ผ่านการจัดตั้งศูนย์เฝ้าระวังและติดตามสถานการณ์การคุ้มครองข้อมูลส่วนบุคคล ด้วยระบบ AI หรือ ศูนย์ PDPC Eagle Eye เพื่อทำหน้าที่สำรวจความเสี่ยงการเผยแพร่ข้อมูลส่วนบุคคลบนอินเทอร์เน็ต พร้อมดำเนินการติดตามและเก็บรวบรวมข้อมูลเป็นสถิติเพื่อใช้ในการประเมินและวิเคราะห์สถานการณ์ เพื่อที่จะนำข้อมูลไปประสานกับเครือข่ายเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล และขยายผลบังคับใช้กฎหมายในกรณีตรวจพบการละเมิดข้อมูลส่วนบุคคล
สำหรับสถิติการเฝ้าระวังตรวจพบเหตุละเมิดของศูนย์ Eagle Eye ตั้งแต่วันที่ 1 เม.ย.-8 พ.ย.2566 ตรวจพบเหตุละเมิดมากถึง 192 เรื่อง โดยสาเหตุการละเมิดมากที่สุดจากมาจากการเผยแพร่ข้อมูลประชาชนโดยไม่มีกระบวนการปกปิดข้อมูลที่สำคัญ (No Masking) 176 เรื่อง และประเภทหน่วยงานที่ตรวจพบมากที่สุดคือ หน่วยงานของรัฐ-รัฐวิสาหกิจ 154 เรื่อง รองลงมาเป็นธุรกิจการศึกษา 21 เรื่อง
ส่วนในฝั่งของการรับแจ้งเหตุละเมิด กับ สำนักงาน PDPC ได้รับแจ้งรวม 382 เรื่อง แบ่งเป็น ปี 2565 จำนวน 158 เรื่อง (1 มิ.ย. – 31 ธ.ค. 2565) และปี 2566 จำนวน 224 เรื่อง (1 ม.ค. – 8 พ.ย. 2566) โดยสาเหตุการละเมิด 5 อันดับแรกมาจากข้อมูลรั่วไหล 130 เรื่อง, ความบกพร่องของผู้ปฏิบัติงาน 82 เรื่อง, ไม่ปกปิดข้อมูลส่วนบุคคล 57 เรื่อง, เว็บไซต์ขายข้อมูล 43 เรื่อง และ มัลแวร์ 24 เรื่อง
ประเภทธุรกิจที่รับแจ้งมากที่สุด 5 อันดับแรก คือ การเงินการธนาคาร 118 เรื่อง, หน่วยงานของรัฐ-รัฐวิสาหกิจ 92 เรื่อง, ค้าปลีกและค้าส่ง 37 เรื่อง, การศึกษา 26 เรื่อง และเทคโนโลยีสารสนเทศและโทรคมนาคม 17 เรื่อง
Tuyên bố từ chối trách nhiệm: Bản quyền của bài viết này thuộc về tác giả gốc. Việc đăng lại bài viết này chỉ nhằm mục đích truyền tải thông tin và không cấu thành bất kỳ lời khuyên đầu tư nào. Nếu có bất kỳ hành vi vi phạm nào, vui lòng liên hệ với chúng tôi ngay lập tức. Chúng tôi sẽ sửa đổi hoặc xóa bài viết. Cảm ơn bạn.
