เมื่อวันที่ 7 ตุลาคม 2567 ดร.ดาริกา ลัทธพิพัฒน์ อธิการบดีมหาวิทยาลัยธุรกิจบัณฑิตย์ กล่าวเปิดงานเสวนา DPU PDPA ให้เกิดการตระหนักรู้ และการให้ความสำคัญต่อการคุ้มครองข้อมูลส่วนบุคคลของมหาวิทยาลัย ซึ่งถือว่า การประชุมในครั้งนี้ คือ การบริหาร นโยบายและกระบวนการทำงาน เริ่มตั้งแต่ผู้บริหารระดับสูง และ นำไปต่อยอดกับ ผู้บริหารทุกระดับ จนถึง บุคลากรทุกคน
การจัดเสวนาในครั้งนี้จึงเป็นการประชุมร่วมกันระหว่าง ผู้บริหารระดับรองอธิการบดี คณบดี และ ผู้บริหารของมหาวิทยาลัยธุรกิจบัณฑิตย์ (DPU) โดยมีวิทยากรรับเชิญที่สามารถให้ประสบการณ์ตรงทั้งในแง่มุมกฏหมาย และ ในการนำกฏหมายสู่การปฏิบัติได้จริง ในการประชุม ได้รับเกียรติจาก พ.ต.ท. เธียรรัตน์ วิเชียรสรรค์ คณะกรรมการร่างกฎหมาย PDPA และ ดร.วันชัย สอนศิริ ที่ปรึกษากฎหมายของมหาวิทยาลัย และ ได้รับแต่งตั้งให้เป็น DPU DPO ได้บรรยายและร่วมปรึกษาหารือกัน เพื่อให้เกิดความเข้าใจเหตุและผลของกฎหมายฉบับนี้ และความเชื่อมโยงกับกฏหมายที่เกี่ยวข้องต่างๆ รวมไปถึงการอัพเดตกรณีศึกษาที่เกิดขึ้นจริง
ในการประชุมครั้งนี้ ได้มีการพิจารณาความเสี่ยงโดยอาศัยกรณีศึกษาที่เกิดขึ้นจริง และมีการสรุปประเด็นเชิงปฏิบัติได้ จากผู้เชี่ยวชาญทางกฎหมายโดยตรง และ ยังได้มีการพูดถึง โครงสร้างการทำงานของ DPU และ Key Success Steps ในการ บริหารจัดการ การคุ้มครองข้อมูลส่วนบุคคล ให้ปฏิบัติได้จริง นอกเหนือจากความรู้ความเข้าใจทางกฏหมาย
โดย พ.ต.ท. เธียรรัตน์ เปิดเผยว่า กฎหมาย พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ที่มีผลบังคับใช้มา 5 ปีแล้ว มีความจำเป็นสำหรับบุคคลและองค์กรต่างๆ เนื่องจากปัจจุบันมีการละเมิดข้อมูลส่วนบุคคลกันเป็นจำนวนมาก จากการใช้เทคโนโลยีในชีวิตประจำวันทั้งชีวิตส่วนตัวและการทำงาน กฎหมายฉบับนี้จะช่วยให้ข้อมูลส่วนบุคคลของทุกคนได้รับการคุ้มครอง ซึ่งภาครัฐและเอกชนควรมีส่วนร่วมในการคุ้มครองข้อมูลส่วนบุคคล ซึ่งครอบคลุมถึงการเก็บรวบรวม การใช้ และการเปิดเผยข้อมูลส่วนบุคคลอย่างถูกต้องตามหลักเกณฑ์และเงื่อนไขที่ระบุไว้ เพื่อให้เกิดความเป็นธรรมต่อเจ้าของข้อมูล
นอกจากนี้ พ.ต.ท.เธียรรัตน์ ยังย้ำว่า ผู้ที่เกี่ยวข้องในกระบวนการต้องปฏิบัติตามกฎหมาย PDPA อย่างเคร่งครัด เพื่อป้องกันการละเมิดสิทธิส่วนบุคคลและรักษาความปลอดภัยของข้อมูลในองค์กรต่าง ๆ ทั้งภาครัฐและเอกชน การใช้ข้อมูลส่วนบุคคลต้องได้รับความยินยอมจากเจ้าของข้อมูลก่อนนำไปใช้ และเจ้าของข้อมูลต้องได้รับทราบวัตถุประสงค์และเงื่อนไขการใช้ข้อมูล และต้องอนุญาตโดยอิสระปราศจากการบังคับขู่เข็ญ เพราะข้อมูลส่วนบุคคลเป็นเรื่องที่อ่อนไหว ทั้ง ชื่อ ที่อยู่ หมายเลขโทรศัพท์ และข้อมูลทางการเงิน หากพบเห็นการเผยแพร่ข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต สามารถร้องเรียนได้ที่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
“กฎหมายPDPA มีคณะกรรมการอยู่ทั้งหมด 3 ชุด ชุดแรกเป็นคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ดูแลเรื่องนโยบาย เป็นการบังคับใช้กฎหมาย การจัดการกฎหมายลูกที่เกี่ยวข้อง ส่วนชุดที่สองเป็นคณะกรรมการกำกับสำนักงาน จะดูแลการจัดการของสำนักงาน และโครงสร้างของหน่วยงาน และชุดที่สามจะเป็นคณะกรรมการผู้เชี่ยวชาญ ชุดนี้ถือว่าเป็นชุดที่สำคัญที่สุดในการสั่งปรับชดใช้ค่าเสียหาย รวมไปถึงการดูแลเรื่องร้องเรียนต่างๆ ตลอดจนคดีอาญาที่ต้องไปแจ้งความกับพนักงานสอบสวนตำรวจ” พ.ต.ท. เธียรรัตน์ ระบุ
นอกจากนี้ คณะกรรมการร่างกฎหมาย PDPA ยังเปิดเผยอีกว่า หากกลับมาดูถึงองค์กรของมหาวิทยาลัยธุรกิจบัณฑิตย์ จะมีการเก็บข้อมูลของนักศึกษา อายุ วันเดือนปีเกิด เชื้อชาติ ศาสนา รวมถึงบุคลากรของมหาวิทยาลัย โดยทั่วไปต้องมีมาตรการในการรักษาความปลอดภัยของข้อมูลที่ต้องดูแลเป็นพิเศษ จึงต้องมี DPO (Data Protection Officer) หรือ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ตามกฎหมาย PDPA เข้ามาดูแล เป็นผู้ควบคุมข้อมูล นั่นก็คือหัวหน้าหน่วยงานนั้นๆ เพื่อไม่ให้ข้อมูลเกิดการรั่วไหล จนกระทั่งเกิดเป็นคดีความฟ้องร้องกันขึ้นมา
ส่วนกรณีที่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ได้มีกรณีลงดาบทางกฎหมาย PDPA ครั้งแรกออกคำสั่งปรับโทษทางปกครอง กับ บริษัทแห่งหนึ่ง เป็นวงเงินสูงถึง 7 ล้านบาท หลังจากข้อมูลส่วนบุคคลของลูกค้าที่มีการซื้อขายสินค้าออนไลน์รั่วไหลจำนวนมาก ส่งผลให้มีผู้ได้รับความเสียหายผ่านการใช้ข้อมูลส่วนบุคคลโดยไม่ชอบ เรื่องนี้ถือเป็นกรณีศึกษาว่าบริษัทดังกล่าวจงใจหรือประมาทเลินเล่อโดยไม่แก้ไขเยียวยา และไม่มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม อีกทั้งไม่แจ้งเหตุละเมิดข้อมูลส่วนบุคคลภายใน 72 ชั่วโมง ถ้าพิจารณาเคสนี้ จะเห็น 2 มุมมอง คือ องค์กรถูกขโมยข้อมูล กับอีกส่วนหนึ่งคือ จงใจหรือประมาทอย่างร้ายแรงในเวลาเดียวกัน
ด้าน ดร. วันชัย สอนศิริ ที่ปรึกษากฎหมาย และ DPU DPO เปิดเผยว่า ตนในฐานะ DPU DPO จะเข้ามาให้คำปรึกษาด้านกฎหมาย PDPA ที่เกี่ยวข้องเรื่องข้อมูลส่วนบุคคลของทั้งองค์กร เพื่อไม่ให้เกิดการฟ้องร้องกันขึ้นมาจนเป็นคดีความ โดยจะมีการประสานงานความร่วมมือกับส่วนราชการต่างๆ ที่เกี่ยวข้อง เพื่อวางแนวการปฎิบัติงานให้เป็นไปในทิศทางเดียวกัน เพื่อไม่ให้เกิดปัญหา และถ้าหากเกิดปัญหาต้องรีบแจ้งความและดำเนินการภายใน 72 ชั่วโมง
“เราต้องดูว่าสิ่งที่เกิดขึ้นมาจากการเจตนาหรือไม่ กฎหมายขึ้นอยู่กับเจตนา หากเราเจตนาดีก็จะไม่เกิดปัญหา องค์กรหลายแห่งที่โดนปรับอาจไม่รู้ว่าต้องมี DPO (Data Protection Officer) ในการควบคุมดูแลรักษาความปลอดภัยของข้อมูลที่สำคัญ เพราะองค์กรที่ไม่ดำเนินการให้สอดคล้องตามกฎหมายอาจถูกตรวจสอบและได้รับโทษทางปกครอง ส่วนกรณีบริษัทที่ถูกปรับเงินถึง 7 ล้านบาท ผมมองว่าบริษัทดังกล่าวไม่มี DPO ไม่มีมาตรการความมั่นคงปลอดภัยของข้อมูลที่เพียงพอและไม่มีการแจ้งเหตุภายใน 72 ชั่วโมง ถือเป็นความผิดพลาดที่ต้องปรับปรุงให้สอดคล้องกับกฎหมายPDPA” ปรึกษากฎหมาย DPO และ DPU DPO เปิดเผยทิ้งท้าย
สุดท้าย ประเด็นที่สำคัญที่มหาวิทยาลัยให้ความสำคัญคือ การบริหารจัดการเรื่องนี้อย่างจริงจังและปฏิบัติได้จริง จึงได้มีการจัดตั้ง Steering Committee ที่ประกอบด้วยผู้บริหารทุกภาคส่วน และ คณะทำงานที่มีทั้งฝ่ายกฏหมาย ฝ่ายทรัพยากรบุคคล ฝ่ายไอที ฝ่ายการตลาดและประชาสัมพันธ์ทั้งหมด ที่เกี่ยวข้องกับข้อมูลส่วนบุคคล เพื่อบริหารจัดการเรื่องนี้ ด้วยเจตนารมณ์สอดคล้องกับ กฏหมายให้ถูกต้องครบถ้วน และ รักษาข้อมูลของ ลูกค้า บุคลากร และ Stakeholders ทุกภาคส่วนเพื่อการขับเคลื่อนมหาวิทยาลัยที่แสดงถึงบรรษัทภิบาล หรือ การกำกับดูแลกิจการที่ดีขององค์กร