ซึ่งไม่ว่าปรับน้อย ปรับมาก ก็เงินภาษีเรา เป็นการโยกเงินจากกระเป๋าซ้ายมากระเป๋าขวา คำถามคือ

1. หน่วยงานรัฐ ซึ่งหมายถึงผู้บริหารหน่วยงานระดับปลัดกระทรวง อธิบดี เลขาธิการ หรือผู้อำนวยการ หรือผู้จัดการ แล้วแต่ชื่อเรียก ได้ตระหนักกับเรื่องนี้หรือไม่ ซึ่งทาง สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล PDPC Thailand ควรเสนอ คุณประเสริฐ จันทรรวงทอง รองนายกรัฐมนตรีไทย และรัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ให้นำเรื่องนี้เข้าที่ประชุมคณะรัฐมนตรี เพื่อให้รับทราบและกำชับให้หน่วยงานต่าง ๆ ดำเนินการเรื่องการคุ้มครองข้อมูลส่วนบุคคลให้ถูกต้องและครบถ้วน

2. จริงๆมีหน่วยงานรัฐมากมายที่มีเหตุละเมิดข้อมูลส่วนบุคคลตั้งแต่ปี 2565 เป็นต้นมา หน่วยงานเหล่านั้น การแก้ไขปัญหาของหน่วยงานรัฐเหล่านี้ เป็นอย่างไร ไปถึงไหนแล้ว และมีอีกหลายๆหน่วยงานที่ยังไม่ได้ดำเนินการเรื่องการคุ้มครองข้อมูลส่วนบุคคล หรือดำเนินการผิดๆ หรือไม่เข้าใจ และ ครม.มีมติเรื่องการรักษาความปลอดภัยข้อมูลส่วนบุคคลไปแล้ว https://resolution.soc.go.th/?prep_id=409905

3. หากเราคิดว่าข้าราชการ ไม่ได้มีผลประโยชน์จากข้อมูลที่รั่วไหล แต่ขาดความระมัดระวัง ความรอบคอบ และอาจจะขาดความยับยั้งช่างใจว่าควรเก็บ รวบรวม ใช้ ประมวลผลข้อมูลส่วนบุคคลแค่ไหน อย่างไร และควรที่จะดูแลข้อมูลของประชาชนอย่างไร ซึ่งในบทความ https://pdpathailand.info/casegovfine2025 ข้างต้น ก็ได้มีวิเคราะห์ปัญหาและเสนอแนวทางแก้ปัญหาไปแล้ว

4. การส่งสัญญาณครั้งนี้ของคณะกรรมการผู้เชี่ยวชาญ ชุดที่ 3 ในคณะกรรมการคุ้มรองข้อมูลส่วนบุคคล ทำให้ต่อไป หากใครเป็นอธิบดีหรือหัวหน้าหน่วยงานไม่ว่าตอนเกิดเหตุ หรือคนที่รับตำแหน่งหลังเกิดเหตุ คงไม่อยากให้เกิด ยิ่งผู้บริหารคนตอนเกิดเหตุ ยังไม่เกษียณ ยิ่งไม่อยากให้เกิดขึ้น ส่วนกรรมการจัดซื้อจัดจ้าง กรรมการตรวจรับ และเจ้าของโครงการ การมีรายชื่ออยู่ในโครงการที่มีการละเมิดข้อมูลส่วนบุคคล จะกลายเป็นรอยประทับที่ตอนเลื่อนขั้น เลื่อนตำแหน่ง อาจจะมีผลตอนนั้นได้

5. การละเมิดข้อมูลส่วนบุคคล ต้องแยกให้ได้ว่าอะไรคือเหตุสุดวิสัย และอะไรคือสิ่งที่ต้องทำ ควรทำ และทำได้ ภายใต้ทรัพยากรที่มีอยู่อย่างจำกัดของหน่วยงานรัฐ ซึ่งเรื่องการละเมิดข้อมูลส่วนบุคคลที่มาจากมาตรการรักษาความมั่นคงปลอดภัยข้อมูลผมเข้าใจว่าทาง PDPC Thailand ได้มีกิจกรรมที่ร่วมกับ NCSA Thailand อยู่แล้ว

6.การกำกับการดูแลเรื่อง การละเมิดข้อมูลส่วนบุคคลในองค์กรรัฐ ต้องเริ่มจากการที่หน่วยงานและผู้บริหารหน่วยงานต้องเข้าใจและตระหนักเรื่องการคุ้มครองข้อมูลส่วนบุคคลก่อน ไม่ใช่ไปเริ่มที่การป้องกันเหตุละเมิดข้อมูลส่วนบุคคล ซึ่งเรื่องนี้ทาง สคส.พยายามอยู่ แต่เนื่องจาก สคส.อาจจะไม่สามารถให้คุณให้โทษกับผู้บริหารและเจ้าหน้าที่หน่วยงานรัฐอื่นได้ ดังนั้นผมมีข้อเสนอไปยัง ครม.ดังนี้

1 )ให้ ครม.แจ้งไปยังหน่วยงานต่างๆที่มีการให้รางวัลหรือมีการประเมินผลหน่วยงานไม่ว่าจะด้านใดก็ตาม ให้นำเรื่องการคุ้มครองข้อมูลส่วนบุคคลเป็นเกณฑ์หนึ่งในการพิจารณาตามหลักธรรมภิบาล เพื่อการบริหารกิจการที่ดีของหน่วยงานรัฐ

2) ให้ ครม.แจ้งไปยังหน่วยงานที่มีการเสนอการแต่งตั้ง การเลื่อนขั้น หรือการเลื่อนตำแหน่ง หรือการพิจารณาความดีความชอบของบุคคลในหน่วยงานรัฐ ต้องนำเรื่องเกี่ยวกับการคุ้มครองข้อมูลเข้าไปเป็นส่วนหนึ่งในการพิจารณา

3) ให้หน่วยงานต้นสังกัดมีการกำหนดโทษทางวินัยสำหรับบุคลากรหน่วยงานรัฐที่เกี่ยวข้องกับการละเมิดข้อมูลส่วนบุคคล

7. ส่วนกรณีที่การละเมิดข้อมูลส่วนบุคคล ที่เกิดจากเจตนาที่เจ้าหน้าที่หน่วยงานรัฐละเมิดข้อมูลส่วนบุคคล ก็คงเป็นอีกประเด็นหนึ่งที่ต้องไปว่ากันด้วยกฎหมายอื่นที่เกี่ยวข้องต่อไป ซึ่งต้องขอบคุณทาง สคส. และเจ้าหน้าที่ของ สคส.ที่เกี่ยวข้อง ที่ได้มีส่วนสำคัญในการทำให้มีการบรรจุมาตรา 11/2 ของ พระราชกำหนดมาตรการป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยี (ฉบับที่ 2) พ.ศ. 2568

8. หน่วยงานรัฐแต่ละหนวยงานต้องมีการให้ความรู้ความเข้าใจแก่เจ้าหน้าที่ของตนเองเกี่ยวกับกฎหมายอื่นที่เกี่ยวข้องกับข้อมูลส่วนบุคคลทั้งทางตรงและทางอ้อม เช่น พรบ.ข้อมูลข่าวสารทางราชการ พ.ศ.2540 และ พรบ.การบริหารงานและการให้บริการภาครัฐผ่านระบบดิจิทัล พ.ศ. 2562 และ พรบ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 เป็นต้น