กระทรวงดีอี จัดประชุมมอบนโยบายเครือข่ายเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) กลุ่มภาครัฐรวม 85 หน่วยงาน มอบนโยบายส่งเสริมสนับสนุนการทำงานและสร้างเครือข่ายเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล โดย สคส. ยกระดับเฝ้าระวังเหตุละเมิด 8 เดือนเจอเหตุละเมิด 192 เรื่อง จากการเผยข้อมูลโดยไม่มีกระบวนการปกปิดข้อมูลที่สำคัญ
นายประเสริฐ จันทรรวงทอง รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม กล่าวว่า รัฐบาลและกระทรวงดิจิทัลฯ ให้ความสำคัญเรื่องการคุ้มครองข้อมูลส่วนบุคคลของพี่น้องประชาชน โดยได้มอบนโยบายให้สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) กำกับดูแลหน่วยงานทั้งภาครัฐและเอกชนให้มีการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลอย่างเคร่งครัด เฝ้าระวังและป้องปรามไม่ให้มีการรั่วไหลของข้อมูลส่วนบุคคลประชาชนจากหน่วยงานต่างๆ
นอกจากนี้ รัฐมนตรีได้สนับสนุนแนวทางการดำเนินงานของ สคส. ในการส่งเสริมการทำงานของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ให้มีประสิทธิภาพ รวมถึงผลักดันการพัฒนาด้านสร้างเครือข่าย DPO ที่เข้มแข็ง เพื่อทำให้เกิดกลไกที่จะช่วยให้กลุ่มของผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูลส่วนบุคคลสามารถดำเนินการปฏิบัติตามมาตรการทางกฎหมายอย่างเหมาะสมและเป็นรูปธรรม โดยเฉพาะในด้านมาตรการรักษาความมั่นคงปลอดภัยป้องกันไม่ให้เกิดการละเมิดหรือรั่วไหลของข้อมูลส่วนบุคคลที่อยู่ในความครอบครองของแต่ละหน่วยงาน
สืบเนื่องจากนโยบายด้านการรักษาความมั่นคงปลอดภัยทางดิจิทัล (Safety and Security) โดยเน้นการป้องกันเชิงรุก จึงทำให้การสร้างเครือข่าย DPO เป็นกลไลสำคัญในการช่วยให้การคุ้มครองข้อมูลส่วนบุคคลของประชาชนมีประสิทธิภาพมากขึ้น ดังนั้น DPO จึงเปรียบเสมือนเป็น ‘Super Hero’ ผู้คุ้มครองข้อมูลส่วนบุคคลของประชาชน’ ให้ปลอดภัยจากมิจฉาชีพและอันตรายต่างๆ
ด้วยมาตรการป้องกันการรั่วไหลข้อมูลส่วนบุคคล ที่ประกอบด้วย
1.ตรวจสอบและดูแลให้หน่วยงานมีการปฏิบัติตามกฎหมาย PDPA อย่างเคร่งครัด
2.ตรวจสอบเฝ้าระวังไม่ให้มีข้อมูลส่วนบุคคลของประชาชนรั่วไหลบนเว็บไซต์และช่องทางอื่นๆ
3.ตรวจสอบไม่ให้มีการเก็บรวบรวมหรือเผยแพร่ข้อมูลส่วนบุคคลของประชาชนมากเกินความจำเป็น
4.จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยสำหรับเข้าถึงข้อมูลส่วนบุคคล เช่น การพิสูจน์ยืนยันตัวตน กำหนดสิทธิในการเข้าถึงและใช้งานข้อมูล
5.จัดให้มีมาตรการกำกับดูแลเจ้าหน้าที่ภายในหน่วยงานไม่ให้มีการนำข้อมูลส่วนบุคคลของประชาชนไปขาย หรือเปิดเผยโดยมิชอบ
6.จัดให้มีการฝึกอบรมเพื่อสร้างองค์ความรู้และความตระหนักรู้ด้านการคุ้มครองข้อมูลส่วนบุคคลให้แก่เจ้าหน้าที่ภายในหน่วยงาน
หลังจากนี้ PDPC หรือสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) จะเริ่มดำเนินการในช่วง 30 วันนับจากนี้ ในการเร่งตรวจสอบเชิงรุกเพื่อเฝ้าระวังและป้องปรามการรั่วไหลข้อมูลส่วนบุคคลจากหน่วยงานต่างๆ โดยเฉพาะอย่างยิ่งในหน่วยงานภาครัฐ
สำหรับกลไกส่งเสริมการปฏิบัติหน้าที่ของ DPO ซึ่งประกอบไปด้วย กลไกการป้องกัน โดยจัดทำแบบตรวจแนะนำการกำกับการคุ้มครองข้อมูลส่วนบุคคล (Regulator Checklist) เพื่อสนับสนุนและช่วยเหลือให้ DPO สามารถดำเนินงานได้อย่างมีประสิทธิภาพและสอดคล้องกับกฎหมาย กลไกการป้องปราม
ไม่ว่าจะเป็นการจัดตั้งศูนย์เฝ้าระวังและติดตามสถานการณ์การคุ้มครองข้อมูลส่วนบุคคล ด้วยระบบ AI หรือศูนย์ PDPC Eagle Eye ทำหน้าที่สำรวจความเสี่ยงการเผยแพร่ข้อมูลส่วนบุคคลบนอินเทอร์เน็ต พร้อมดำเนินการติดตามและเก็บรวบรวมข้อมูลเป็นสถิติเพื่อใช้ในการประเมินและวิเคราะห์สถานการณ์ เพื่อที่จะนำข้อมูลไปประสานกับเครือข่ายเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล และขยายผลบังคับใช้กฎหมายในกรณีตรวจพบการละเมิดข้อมูลส่วนบุคคล และกลไกการผนึกกำลัง
ทั้งนี้ จากการจัดตั้งศูนย์ PDPC Eagle Eye การเฝ้าระวังตรวจพบเหตุละเมิดมากถึง 192 เรื่อง (สถิติวันที่ 1 เม.ย.-8 พ.ย.66) โดยมีสาเหตุการละเมิดมากที่สุดจากมาจากการเผยแพร่ข้อมูลประชาชนโดยไม่มีกระบวนการปกปิดข้อมูลที่สำคัญ (No Masking) 176 เรื่อง และประเภทหน่วยงานที่ตรวจพบมากที่สุดคือ หน่วยงานของรัฐ-รัฐวิสาหกิจ 154 เรื่อง รองลงมาเป็นธุรกิจการศึกษา 21 เรื่อง
ส่วนในฝั่งของการรับแจ้งเหตุละเมิด สคส. ได้รับแจ้งรวม 382 เรื่อง แบ่งเป็นปี 2565 จำนวน 158 เรื่อง (1 มิ.ย.-31 ธ.ค.65) และปี 2566 จำนวน 224 เรื่อง (1 ม.ค.-8 พ.ย.66) โดยสาเหตุการละเมิด 5 อันดับแรกมาจากข้อมูลรั่วไหล 130 เรื่อง ความบกพร่องของผู้ปฏิบัติงาน 82 เรื่อง ไม่ปกปิดข้อมูลส่วนบุคคล 57 เรื่อง เว็บไซต์ขายข้อมูล 43 เรื่อง และมัลแวร์ 24 เรื่อง โดยประเภทธุรกิจที่รับแจ้งมากที่สุด 5 อันดับแรก คือ การเงินการธนาคาร 118 เรื่อง หน่วยงานของรัฐ-รัฐวิสาหกิจ 92 เรื่อง ค้าปลีกและค้าส่ง 37 เรื่อง การศึกษา 26 เรื่อง และเทคโนโลยีสารสนเทศและโทรคมนาคม 17 เรื่อง
