ชงตั้งบอร์ด “คุ้มครองข้อมูล” “ดีอี” ผุดสำนักงานใหม่เร่งคลอดกม.ลูก

“ดีอี” จัดทัพเตรียมรับ “พ.ร.บ.คุ้มครองข้อมูล” ทันทีที่ประกาศใช้ ลุยยกร่างหลักเกณฑ์สรรหาบอร์ด-ตั้งสำนักงานใหม่ 180 วันเดินหน้าได้ เล็งรับพนักงานไม่ต่ำกว่า 100 อัตรา มั่นใจ 1 ปี คลอดกฎหมายลูกยกระดับมาตรฐานคุ้มครองข้อมูลประชาชน

นางวรรณพร เทพหัสดิน ณ อยุธยา รองปลัดกระทวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) เปิดเผยกับ “ประชาชาติธุรกิจ” ว่า ในระหว่างรอราชกิจจานุเบกษาประกาศบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ตามที่สภานิติบัญญัติแห่งชาติ (สนช.)ได้ลงมติเห็นชอบแล้ว กระทรวงดิจิทัลฯ ได้มีการประชุมเตรียมความพร้อมดำเนินการตามกรอบกฎหมายฉบับนี้แล้ว โดยนางสาวอัจฉรินทร์ พัฒนพันธชัย ปลัดกระทรวง ได้มอบหมายให้รองปลัด เป็นหัวหน้าคณะทำงาน

“เมื่อประกาศใช้แล้ว พ.ร.บ.นี้จะแบ่งการบังคับใช้ออกเป็น 2 ระยะ คือ ในส่วนคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และสำนักงานคณะกรรมการจะบังคับใช้ทันที แต่ส่วนของการคุ้มครองข้อมูลส่วนบุคคลให้เวลาเตรียมตัว 1 ปี ซึ่งจำเป็นต้องออกฎหมายลูกอีกหลายฉบับมาก เพื่อให้การคุ้มครองข้อมูลส่วนบุคคลเป็นไปตามเจตนารมณ์ที่วางไว้ ทุกอย่างจึงต้องรีบเตรียมการไว้ก่อน เพื่อให้เมื่อ พ.ร.บ.ลงประกาศในราชกิจจาฯ งานทุกด้านก็พร้อมเดินหน้าได้ทันที”

สรรหาบอร์ดภายใน 90 วัน

ตาม พ.ร.บ.นี้ จะมีการตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล 1 คณะ ตั้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และบอร์ดที่จะมากำกับดูแลสำนักงานอีก 1 คณะ ซึ่งจะเป็นส่วนสำคัญในการขับเคลื่อนนโยบายและบังคับใช้กฎหมายนี้

โดยภายใน 90 วันนับแต่ พ.ร.บ. ประกาศลงในราชกิจจานุเบกษาจะมีการตั้งบอร์ดให้เรียบร้อย โดยคณะทำงานได้เตรียมร่างประกาศที่เกี่ยวข้องกับการสรรหาประธานและกรรมการผู้ทรงคุณวุฒิทั้ง 6 คน เพื่อเสนอให้คณะรัฐมนตรีพิจารณา รวมถึงได้มีหนังสือถึงนายกรัฐมนตรี ประธานรัฐสภา ผู้ตรวจการแผ่นดิน คณะกรรมการสิทธิมนุษยชนแห่งชาติ เพื่อแต่งตั้งกรรมการสรรหาบอร์ด ที่มาจากแต่ละหน่วยงาน ทำหนังสือถึงกรมบัญชีกลางเพื่อทำความตกลงเกี่ยวกับเบี้ยประชุมของคณะกรรมการสรรหาฯ

บรรจุ พนง.กว่าร้อยตำแหน่ง 

ทั้งยังได้เตรียมการการออกกฎหมายลำดับรองเกี่ยวกับระเบียบงานด้านการเงิน ธุรการ บุคลากร ที่จะรองรับการปฏิบัติงานของบอร์ดและอนุกรรมการ รวมถึงที่ปรึกษาของบอร์ดชุดใหญ่ที่จะต้องตั้งขึ้นตามกรอบของกฎหมาย ทั้งปรึกษากับสำนักงานคณะกรรมการข้าราชการพลเรือน (ก.พ.) และสำนักงบประมาณ เพื่อร่วมกันวางกรอบโครงสร้างองค์กร และอัตรากำลังของสำนักงานคุ้มครองข้อมูลฯ ที่จะต้องตั้งขึ้น รวมถึงการขอทุนประเดิมและสถานที่ตั้งของสำนักงาน ซึ่งต้องดำเนินการให้เสร็จภายใน 180 วัน โดยคาดว่าจะใช้พื้นที่สำนักงานเดิมของสำนักงานส่งเสริมเศรษฐกิจดิจิทัล (ดีป้า) ที่ตั้งอยู่ ณ ศูนย์ราชการเฉลิมพระเกียรติ ถนนแจ้งวัฒนะ กรุงเทพฯ

เช่นเดียวกับกฎหมายลำดับรองที่เกี่ยวกับการจัดตั้งสำนักงานคณะกรรมการฯ และการสรรหา-แต่งตั้งเลขาธิการสำนักงาน รวมถึงการคัดเลือกข้าราชการ หรือยืมตัวเพื่อบรรจุเข้าเป็นพนักงานเจ้าหน้าที่ของสำนักงานฯ ซึ่งคาดว่าน่าจะต้องการอัตรากำลังไม่ต่ำกว่า 100 คน ส่วนเลขาธิการสำนักงานฯ จะแต่งตั้งให้ทันภายใน 1 ปี

เร่งออก กม.ลูกให้ทัน 1 ปี

ขณะที่แนวทางปฏิบัติที่แต่ละหน่วยงานที่เกี่ยวข้องกับการดำเนินงานภายใต้ พ.ร.บ.คุ้มครองข้อมูลฯ (Guideline) กำลังอยู่ระหว่างการเตรียมการ และจะเริ่มทยอยให้บอร์ดพิจารณาให้เสร็จทั้งหมดภายใน 1 ปี

“พ.ร.บ.จะเป็นแค่กรอบใหญ่ แต่แนวปฏิบัติแต่ละหน่วยงานจะต้องมีมาตรฐานในการเก็บ-ใช้-เปิดเผยข้อมูลอย่างไรบ้าง ซึ่งจะต้องแตกต่างกันในแต่ละหน่วยงาน จะอยู่ในกฎหมายลูกที่ต้องออกมาทั้งหมด รวมถึงกระบวนการในการรับเรื่องร้องเรียนจากประชาชนที่เป็นเจ้าของข้อมูลต่าง ๆ ด้วย เพื่อให้ประเทศไทยมีมาตรฐานในการคุ้มครองข้อมูลส่วนบุคคล ตามมาตรฐานสากล”

โดยจะเชิญผู้เชี่ยวชาญในแต่ละสาขาเข้ามาให้ความเห็นและร่วมเป็นคณะทำงานยกร่างกฎหมายลูกด้วย เบื้องต้นจะแยกมาตรฐานเป็น 7 กลุ่มโครงสร้างพื้นฐานตามที่ พ.ร.บ.ความมั่นคงปลอดภัยทางไซเบอร์กำหนดไว้ ได้แก่ ความมั่นคงของรัฐ บริการภาครัฐที่สำคัญ การเงินการธนาคาร ด้านเทคโนโลยีสารสนเทศและโทรคมนาคม การขนส่งและโลจิสติกส์ พลังงานและสาธารณูปโภค สาธารณสุข

“เก็บ-ใช้-เปิดเผย” ต้องยินยอม

สาระสำคัญของ พ.ร.บ.คุ้มครองข้อมูลฯ คือ การเก็บรวบรวม การใช้ การเปิดเผยข้อมูลส่วนบุคคล ต้องได้รับความยินยอมจากเจ้าของข้อมูลอย่างชัดเจน และสามารถถอนความยินยอมได้ในภายหลัง รวมถึงเจ้าของข้อมูลมีสิทธิขอให้ลบหรือทำลาย เมื่อการเก็บ ใช้ เปิดเผย ทำโดยไม่ชอบด้วยกฎหมาย หรือเมื่อถอนความยินยอม

ขณะที่ “ผู้ควบคุมข้อมูลส่วนบุคคล” หมายถึง บุคคล หรือนิติบุคคล ที่มีอำนาจตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ซึ่งต้องได้รับความยินยอมจากเจ้าของข้อมูลก่อน และต้องแจ้งวัตถุประสงค์รวมถึงปฏิบัติเท่าที่จำเป็นตามที่แจ้งไว้ รวมถึง “ผู้ประมวลผลข้อมูลส่วนบุคคล” ซึ่งเป็นผู้ที่ได้รับมอบหมายให้นำข้อมูลไปประมวลผล ต้องมีกระบวนการดำเนินการตามมาตรการรักษาความมั่นคงปลอดภัยที่คณะกรรมการกำหนด และต้องชดใช้ค่าสินไหมทดแทนให้เจ้าของข้อมูลหากมีความผิดพลาดเกิดขึ้น เว้นแต่พิสูจน์ได้ว่า เกิดจากเหตุสุดวิสัยหรือเกิดจากเจ้าของข้อมูลเอง หรือเป็นการปฏิบัติตามคำสั่งของเจ้าหน้าที่


ส่วนข้อมูลที่ได้เก็บรวบรวมไว้ก่อน พ.ร.บ.ใช้บังคับ จะต้องขอความยินยอมจากเจ้าของข้อมูลตามหลักเกณฑ์และระยะเวลาที่กฎกระทรวงกำหนด