นายศิวรักษ์ ศิวโมกษธรรม เลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เปิดเผยว่าตลอดระยะเวลากว่า 1 ปีที่ผ่านมาหลังบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือกฎหมาย PDPA โดยมีองค์กรมหาชนกำกับดูแลเรื่องข้อมูลส่วนบุคคล อย่าง "สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล" (สคส. : PDPC) ทำหน้าที่ให้ความรู้ คำแนะนำ และรับเรื่องร้องเรียน ซึ่งปัจจุบันมีเรื่องร้องเรียนกว่า 375 เรื่อง โดยพบว่ามีการละเมิดกฎหมายกว่า 200 เรื่อง ซึ่งที่ผ่านมาสำนักงานฯได้ตักเตือนและสั่งให้แก้ไขให้ถูกต้อง เนื่องจากในระยะแรกยังเป็นการให้ความรู้เกี่ยวกับข้อกฎหมาย ถึงยังไม่ได้มีการลงโทษกรณีใด
โดยในระหว่างวันที่ 1 มิ.ย. 65 - 28 ส.ค. 66 ได้มีสถิติการให้คำปรึกษาทั้งทางโทรศัพท์และที่ สำนักงานฯ รวม 2,547 ครั้ง มีการตอบข้อหารือเพื่อให้เกิดการปฏิบัติที่สอดคล้องกับกฎหมายไปแล้ว 32 จาก 88 เรื่อง ในส่วนของเรื่องร้องเรียนจากประชาชน ได้มีการพิจารณาแล้วเสร็จ 70 เรื่อง และอยู่ระหว่างดำเนินการ 188 เรื่อง โดยสัดส่วนการรับเรื่องสอบถามจากภาคเอกชน 79% ภาครัฐ 10% และประชาชนทั่วไป 11% โดยส่วนใหญ่จะเป็นการสอบถามเรื่องหลักเกณฑ์และวิธีการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล / ร้องเรียน (Data Breach)
*เตรียมออกกฎหมายลำดับรองอีก 9 ฉบับคาดประกาศใช้ภายใน ม.ค.67
ทั้งนี้หลังจากมีการบังคับใช้กฎหมาย สคส.ได้มีการดำเนินการออกข้อบังคับ ประกาศ ระเบียบ เกี่ยวกับการบริหารสำนักงานไปมากกว่า 20 เรื่อง และจัดทำกฎหมายลำดับรองที่เกี่ยวข้องกับบุคคลทั่วไปเพื่อให้การบังคับใช้กฎหมายมีประสิทธิภาพ สามารถคุ้มครองสิทธิและสร้างความเชื่อมั่นในระบบดิจิทัล โดยขณะนี้มีกฎหมายลำดับรองที่อยู่ในระหว่างการดำเนินการอีก 9 ฉบับ ซึ่งคาดว่าจะประกาศใช้ภายในมกราคม 2567 ทั้งนี้ก่อนหน้านี้ได่ออกกฎหมายลำดับรองออกมาทั้งหมด 9 เรื่อง ประกอบด้วย
1.การยกเว้นการบันทึกรายการของผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นกิจการขนาดเล็ก
2.หลักเกณฑ์และวิธีการในการจัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคล สำหรับผู้ประมวลผลข้อมูลส่วนบุคคล
3.มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล
4.หลักเกณฑ์มาตรการบังคับและพิจารณาลงโทษทางปกครอง
5.การยื่น การไม่รับเรื่อง การยุติเรื่อง การพิจารณา และระยะเวลาในการพิจารณาคำร้องเรียน
6.หลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล
7.หลักเกณฑ์และวิธีการจัดการในการจัดทำคำสั่งของคณะกรรมการผู้เชี่ยวชาญ
8.ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลที่เป็นหน่วยงานของรัฐ ซึ่งต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
9.พระราชกฤษฎีกากำหนดลักษณะ กิจการ หรือหน่วยงาน ที่ได้รับการยกเว้นไม่ให้นำพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 บางส่วนมาบังคับใช้
นอกเหนือจากนี้สคส. ยังดำเนินการกฎหมายลำดับรองอื่น ๆ เพื่อเป็นการขยายระยะเวลาหรือกำหนด หลักเกณฑ์เพิ่มเติมจากในพระราชบัญญัติ ได้แก่ หลักเกณฑ์การส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ, มาตรการ ที่เหมาะสมในการจัดทำเอกสารประวัติศาสตร์, การศึกษาวิจัยหรือสถิติ และการประมวลผลข้อมูลส่วนบุคคลเกี่ยวกับ ประวัติอาชญากรรม, หลักเกณฑ์เกี่ยวกับการใช้สิทธิขอรับสำเนา ขอลบหรือทำลาย และการขอระงับการใช้ข้อมูลส่วน บุคคล
*สร้างความร่วมมือกับหน่วยงานที่ในประเทศและต่างประเทศ
เลขาธิการ สคส. ยังกล่าวอีกว่า สคส.ให้ความสำคัญการสร้างความร่วมมือกับหน่วยงานในประเทศ เพื่อขับเคลื่อนการบังคับใช้กฎหมายไปพร้อมกับการสร้างนวัตกรรมด้านการคุ้มครองข้อมูลส่วนบุคคล จากการลงนามความตกลงร่วมมือรวม 9 ฉบับ ได้แก่ ความร่วมมือกับหน่วยงานผู้กำกับดูแลภาคการเงิน (3Reg) คือ ธปท., ก.ล.ต. และ คปภ., สำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยี แห่งชาติ (สวทช.) , สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.), สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (สพธอ.), สำนักงานพัฒนารัฐบาลดิจิทัล, สถาบันคุณวุฒิวิชาชีพ, ธนาคารกรุงไทย และ บริษัทโทรคมนาคมแห่งชาติ รวมถึงการหารือกับกรมการปกครอง ในประเด็นการสร้างความชัดเจนเกี่ยวกับการแสดงข้อมูลศาสนาบนบัตรประชาชน และร่วมใจกัน ตำรวจไซเบอร์ (สอท.) เพื่อป้องกันและปราบปรามการละเมิดข้อมูลส่วน บุคคลอย่างเป็นรูปธรรม โดยมีการขยายผลจับกุมผู้ขายข้อมูลส่วนบุคคลให้กลุ่มธุรกิจสีเทาและแก๊งคอลเซ็นเตอร์
สำหรับด้านเศรษฐกิจของประเทศ สำนักงานได้มีการเดินหน้าความร่วมมือระหว่างประเทศ จากการเจรจาการตกลงการค้าเสรี (FTA) ระหว่างไทยกับคู่ภาคีมากกว่า 10 ฉบับ ในกรอบด้านการค้าดิจิทัลที่กำหนดให้ประเทศคู่เจรจาต้องมีกฎเกณฑ์เพื่อคุ้มครองข้อมูลส่วนบุคคลที่ได้มาตรฐานเป็นที่ยอมรับในระดับสากล และต้องมีหลักเกณฑ์การส่งหรือโอนข้อมูลระหว่างประเทศที่เอื้ออำนวยต่อการขายสินค้าและบริการ นอกจากนี้ PDPC ยังร่วมในการส่งผู้แทนเข้าประชุมเพื่อผลักดันความร่วมมือระหว่างประเทศทั้งในกรอบ ASEAN, APEC, OECD และความร่วมมือแบบทวิภาคีกับสิงคโปร์ สหรัญอเมริกา จีน และประเทศอื่น ๆ เนื่องจากคู่ค้า ของภาคธุรกิจการค้าและอุตสาหกรรมต่างประเทศ มีความสนใจในการคุ้มครองข้อมูลของตนเอง ซึ่งทำการค้ากับประเทศไทย
*ดึงเทคโนโลยีใช้ส่งเสริมและคุ้มครองข้อมูลส่วนบุคคล หวังยกระดับเป็นที่ยอมรับในระดับสากล
สคส.ได้ดำเนินการทำแผนแม่บท เพื่อเป็นแนวทางดำเนินงานด้านการส่งเสริมและคุ้มครองข้อมูลส่วนบุคคล ภายใต้กรอบระยะเวลา 4 ปี (พ.ศ. 2567-2570) สำหรับแผนแม่บทในครั้งนี้ สคส.ได้วางกรอบแนวคิดการดำเนินงานโดยเริ่มจากการศึกษางานด้านการส่งเสริมและคุ้มครองข้อมูลส่วนบุคคลทั้งภายในและต่างประเทศ ซึ่งมีกระบวนการตั้งแต่การศึกษาเอกสารที่เกี่ยวข้อง, การทำแบบสอบถาม ด้านการรับรู้และความเข้าใจในกฎหมาย PDPA จำนวน 1,087 ตัวอย่าง, การสัมภาษณ์เชิงลึกมากกว่า 40 หน่วยงาน ในกลุ่มคณะกรรมการต่าง ๆ หน่วยงานในกำกับดูแลของรัฐ กลุ่มอุตสาหกรรมภาคเอกชน ภาคประชาสังคม รวมถึงมีการทำ Social Listening ในช่องทางโซเชียลมีเดีย ต่าง ๆ โดยมีพูดถึงกฎหมาย PDPA ในภาพรวมมากกว่า 33,000 ข้อความ และกว่า 4 ล้าน Engagement
โดยข้อมูลเกี่ยวกับกฎหมาย PDPA จะถูกนำมาวิเคราะห์และสังเคราะห์ ให้เห็นภาพรวมของสภาพการณ์ปัจจุบัน และปัญหาอุปสรรคที่เกิดภายในประเทศ เพื่อจะนำไปเชื่อมโยงกับการดำเนินงานด้านความร่วมมือระหว่างประเทศ ทั้งในเรื่องข้อมูลความปลอดภัยของข้อมูล และการถ่ายโอนข้อมูลระหว่างประเทศ รวมถึงสนับสนุนการดำเนินงานของ ภาคเอกชนหรือภาคอุตสาหกรรม ให้ได้รับประโยชน์จาก พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลในระดับนานาชาติอีกด้วย ซึ่งกระบวนการนี้จะมีการจัดการประชุมกับหน่วยงานต่าง ๆ ที่เกี่ยวข้องทั้งในเชิงปฏิบัติการณ์ (Focus Group) และการ รับฟังความคิดเห็น (Public Hearing) เพื่อปรับปรุงให้แผนแม่บทเกิดความสมบูรณ์มากที่สุดในทุกระยะ
แผนแม่บทการดำเนินงานด้านการส่งเสริมและการคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2567-2570 มีเป้าหมาย แบ่งเป็น 3 ระดับตลอดกรอบระยะเวลา 4 ปี คือในระยะ 1 ปีแรก สคส.ต้องการสร้างความรู้ ความเข้าใจ และความ เชื่อมั่นถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล ในระดับประชาชน เอกชน อุตสาหกรรม และภาครัฐ รวมถึงมีมาตรการส่งเสริมให้เกิดงานวิจัยพัฒนานวัตกรรมที่เกี่ยวข้อง ในระยะ 2 ปี สคส.ตั้งใจจะสร้างกลไกการคุ้มครอง ข้อมูลส่วนบุคคลที่มีประสิทธิภาพ และมีระบบตรวจสอบที่มีมาตรฐานในระดับองค์กร
"และสุดท้ายในระยะ 4 ปี สคส.ต้องการสร้างมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เป็นที่ยอมรับในระดับสากล ทั้งในแง่การเข้าร่วมเป็นคณะทำงาน ภายใต้กรอบความร่วมมือระหว่างประเทศ อาทิ FTA DEPA เป็นตัวอย่างด้านการคุ้มครองข้อมูลส่วนบุคคลให้กับประเทศอื่น ๆ รวมไปถึงการยกระดับความสามารถในการแข่งขัน IMD World Digital Competitiveness Ranking ด้าน Privacy Protection by law content ของประเทศไทยอีกด้วย" นายศิวรักษ์กล่าว