คลอดเกณฑ์คุ้มครองข้อมูล เร่งตั้งสนง.เฟ้นหาเลขาธิการให้ทันก.ย.นี้

แฟ้มภาพ

“ดีอีเอส” ขีดเส้น 2 สัปดาห์ คลอดประกาศกระทรวง คุมมาตรฐานการรักษาความปลอดภัย ตาม พ.ร.ฎ.เลื่อนบังคับใช้ พ.ร.บ.ข้อมูลส่วนบุคคล ติดสปีดตั้งสำนักงาน-สรรหาเลขาธิการ ให้ทันของบฯปี 64 ก.ย.นี้ พร้อมเร่งจ้างที่ปรึกษาคลอดกฎหมายลูก 17 ฉบับ

นายภุชพงค์ โนดไธสง รองปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส) และรักษาการเลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เปิดเผยกับ “ประชาชาติธุรกิจ” ว่า ภายหลังจากมีพระราชกฤษฎีกา กำหนดหน่วยงานและกิจการที่ผู้ควบคุมข้อมูลส่วนบุคคลไม่อยู่ภายใต้บังคับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 พ.ศ. 2563 มีผลให้ 22 กิจการตามบัญชีแนบท้ายได้รับการยกเว้นไม่ให้นำบทบัญญัติตาม พ.ร.บ.มาบังคับใช้จนถึง 31 พฤษภาคม 2564 จากเดิมที่ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลจะมีผลบังคับใช้ทั้งฉบับในวันที่27 พฤษภาคม 2563

“แม้ตาม พ.ร.ฎ.จะกำหนดไว้ 22 กิจการ แต่ตามเจตนารมณ์ของกระทรวงที่เสนอให้ ครม.อนุมัตินั้น ต้องการให้ยกเว้นให้ครอบคลุมในทุกกิจการ ทุกขนาด รวมถึงบุคคลหรือกลุ่มบุคคลด้วย เพื่อบรรเทาผลกระทบที่เกิดจากความไม่พร้อมจากสถานการณ์ปัจจุบัน แต่ถึงจะพยายามเขียนให้กว้างแค่ไหนหลัง พ.ร.ฎ.ประกาศใช้ ก็พบว่ามีบางกิจการอาจจะไม่เข้าข่ายยกเว้น จึงได้เปิดช่องในย่อหน้าสุดท้ายที่ให้อำนาจคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเป็นผู้วินิจฉัยได้”

2 สัปดาห์คลอดกฎกระทรวงคุม

จึงเท่ากับว่า บทบัญญัติของ พ.ร.บ. ในหมวด 2 (การคุ้มครองข้อมูลส่วนบุคคล ที่ระบุถึงหน้าที่ของบุคคลหรือหน่วยงานที่จะเก็บ-ใช้-ประมวลผลข้อมูล) หมวด 3 (สิทธิของเจ้าของข้อมูลส่วนบุคคล) หมวด 5 (การร้องเรียน) หมวด 6 (ความรับผิดทางแพ่ง) และหมวด 7 (บทกำหนดโทษ) และมาตรา 95 จะยังไม่ถูกนำมาบังคับใช้ แต่เพื่อให้การคุ้มครองข้อมูลส่วนบุคคลยังเดินหน้าได้ตามเจตนารมณ์ในการออก พ.ร.บ. ภายใน 2

สัปดาห์นี้ กระทรวงจะเร่งออกประกาศกระทรวงดิจิทัลฯ เรื่องมาตรฐานการรักษาความปลอดภัยของข้อมูลส่วนบุคคล ตามที่มาตรา 3 วรรคท้าย พ.ร.ฎ.กำหนดไว้ เพื่อเป็นแนวทางให้ “ผู้ควบคุมข้อมูล” ตามกฎหมาย ซึ่งก็คือ บุคคลหรือนิติบุคคลที่ทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ต้องปฏิบัติตาม

“แม้ พ.ร.บ.หลักจะยังไม่บังคับใช้ในช่วง 1 ปีจากนี้ แต่ถ้ากระทรวงประกาศมาตรฐานแล้ว ผู้ควบคุมข้อมูลไม่ปฏิบัติตาม ก็จะถือว่ามีความผิดตาม พ.ร.ฎ. ฉะนั้นทุกคนที่เกี่ยวข้องกับการเก็บ-ใช้-เปิดเผยข้อมูลส่วนบุคคลของผู้อื่น ยังจำเป็นต้องปฏิบัติอย่างระมัดระวัง”

เร่งตั้งสำนักงาน-เลขาธิการ

ขณะที่งานเร่งด่วนที่จะต้องรีบทำให้ทันภายในเดือน ก.ย.นี้ คือ การตั้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และสรรหาเลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ซึ่งมีหน้าที่สำคัญในการเป็นกลไกติดตาม ประเมินผลการปฏิบัติตาม พ.ร.บ. และหน่วยธุรการในการรับเรื่องข้อร้องเรียนเมื่อมีเหตุละเมิดสิทธิ์ของเจ้าของข้อมูลฯส่วนบุคคล รวมถึงหน้าที่ในการส่งเสริมให้เกิดการพัฒนาการคุ้มครองข้อมูลส่วนบุคคลของประเทศ

“จากนี้จะต้องมีการตั้งคณะกรรมการกำกับสำนักงาน ซึ่งเป็นบอร์ดชุดย่อย และออกเกณฑ์สรรหาเลขาธิการ การตั้งโครงสร้างอัตรากำลัง โครงสร้างสำนักงาน ซึ่งกระทรวงได้ทำไว้คร่าว ๆแล้ว แต่ปัจจุบัน ครม.ได้แต่งตั้งคณะกรรมการคุ้มครองข้อมูลฯ ซึ่งเป็นบอร์ดชุดใหญ่เรียบร้อยแล้ว ก็จะเสนอให้บอร์ดพิจารณาก่อน ถือเป็นอีกโจทย์ใหญ่ เพราะถ้าตั้งไม่ทัน ก.ย.นี้ก็กลายเป็นหน่วยงานที่ไม่มีงบประมาณปี 2564 มาดำเนินการได้ ซึ่งก็มีความเป็นไปได้สูงว่าจะไม่ทัน ฉะนั้นก็ต้องเตรียมของบฯกลางจาก ครม. เพื่อมาเป็นทุนประเดิมให้กับสำนักงานไปก่อน รวมถึงการขอยืมตัวข้าราชการให้มาปฏิบัติหน้าที่ชั่วคราว”

ติดสปีด 17 กม.ลูก

ที่สำคัญ คือ กระทรวงจะเร่งยกร่างกฎหมายลูกที่จำเป็นของ พ.ร.บ.คุ้มครองข้อมูลฯทั้งหมด ซึ่งมี 17 ฉบับที่จำเป็นเร่งด่วนต้องประกาศตาม พ.ร.บ.กำหนดไว้ และอีก 10 ฉบับสำหรับขับเคลื่อนงานสำนักงาน อาทิ ระเบียบสำนักงาน ให้สามารถประกาศใช้ได้ทัน 31 พ.ค. 2564

โดยกฎหมายลูกทุกฉบับจำเป็นต้องผ่านการรับฟังความเห็นรอบด้านและเปิดประชาพิจารณ์ เนื่องจากในขั้นตอนการประชาพิจารณ์ร่าง พ.ร.บ.คุ้มครองข้อมูล หลายหน่วยงาน รวมถึงภาคเอกชนที่เกี่ยวข้องต่างมีข้อกังวลเกี่ยวกับการบังคับใช้กฎหมายที่อาจเป็นอุปสรรคในการปฏิบัติงานของตัวเอง และในบางมาตราอาจมีปัญหาในทางปฏิบัติ ซึ่งเสี่ยงต่อการต้องรับโทษตามกฎหมาย ที่มีบทลงโทษทั้งทางแพ่งและอาญาที่สำคัญคือเป็นกฎหมายที่เกี่ยวข้องโดยตรงกับสิทธิของประชาชน

ล่าสุดเพิ่งได้รับอนุมัติงบประมาณจากกองทุนพัฒนาดิจิทัลเพื่อเศรษฐกิจและสังคม ราว 40 ล้านบาท ในโครงการจ้างที่ปรึกษาจัดทำร่างกฎหมายลำดับรอง และแนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล


“17 ฉบับ มีตั้งแต่ตามมาตรา 24 (1) มาตรการปกป้องเพื่อคุ้มครองเจ้าของข้อมูลในการจัดทำเอกสารประวัติศาสตร์ จดหมายเหตุ การศึกษาวิจัย มาตรา 26 วรรคแรก ประกาศห้ามเก็บข้อมูลเซนซิทีฟอย่างข้อมูลสุขภาพ ข้อมูลพันธุกรรม ที่ไม่ได้รับความยินยอมชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล หรือส่วนที่สามารถยกเว้นได้ตามมาตรา 26 (1) การเก็บเพื่อป้องกันหรือระงับอันตรายต่อชีวิต ไปจนถึงตามมาตรา 28 ที่ต้องระบุเกณฑ์การโอน-ส่งข้อมูลส่วนบุคคลไปต่างประเทศ”