สรุปประเด็นจากเสวนาหัวข้อ “PDPA  GURU: DPO Building Trust Supporting Government” หรือ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) กับความสำคัญใน หน่วยงานของรัฐ ได้ชี้ให้เห็นอย่างชัดเจนว่า พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) นั้น ไม่ได้บังคับใช้แค่เฉพาะองค์กรธุรกิจหรือภาคเอกชนเท่านั้น แต่ครอบคลุมถึงหน่วยงานรัฐทั้งหมดด้วย

การมี DPO ใน หน่วยงานรัฐ เป็นประเด็นที่มีความสำคัญอย่างยิ่ง และแตกต่างจากการดำเนินงานในภาคเอกชน เนื่องจาก “หน่วยงานของรัฐ” ถูกคาดหวังให้มีความเคร่งครัดและมีธรรมาภิบาลในการใช้ข้อมูลจากพันธกิจหลักเพื่อการบริการประชาชน มากกว่าภาคเอกชนในหลาย ๆ แง่มุม

PDPA Thailand ช่วยถอดทุกประเด็นสำคัญมาให้แล้ว DPO กับหน่วยงานรัฐ สำคัญกันอย่างไร?

1. ทำไมหน่วยงานรัฐต้องมี DPO ตามกฎหมาย PDPA?

     เจตนารมณ์หลักของการมี DPO คือการกำกับดูแลผู้ที่นำข้อมูลส่วนบุคคลไปใช้ หรือ ผู้ควบคุมข้อมูล (Controller) โดยเฉพาะอย่างยิ่ง หน่วยงานรัฐ ซึ่งไม่ได้เก็บข้อมูลเพื่อผลกำไร แต่เพื่อการดำเนินภารกิจและการบริการสาธารณะ

ตามกฎหมาย PDPA มาตรา 41 กำหนดให้ทั้งผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดให้มี DPO หากเข้าเงื่อนไข ซึ่งหลาย ๆ หน่วยงานของรัฐมักเข้าใจว่าถ้าไม่มีชื่อในประกาศ PDPA มาตรา 41 (1) ไม่จำเป็นต้องแต่งตั้ง DPO แต่จริง ๆ แล้ว สคส. มีการตอบข้อหารือไปแล้วว่าสามารถเตรียมไว้ก่อนได้เลย หรือแม้ว่าจะไม่มีชื่อตามประกาศดังกล่าว แต่หน่วยงานนั้น ๆ ยังมีกิจกรรมการประมวลผลข้อมูลส่วนบุคคลตาม PDPA มาตรา 41 (2) หรือ 41 (3) ก็ยังต้องจัดให้มี DPO เช่นเดียวกัน

สถานการณ์ปัจจุบันของ DPO ในหน่วยงานรัฐ:

• • คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้ประกาศรายชื่อ หน่วยงานรัฐ ที่ต้องมี DPO ไปแล้ว 85 หน่วยงาน ตามกฎหมาย PDPA มาตรา 41 (1)

  • ปัจจุบัน มี หน่วยงานรัฐ ที่แจ้งการแต่งตั้ง DPO ไปยังสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) แล้วรวม 142 หน่วยงาน ซึ่งแสดงว่ามี 57 หน่วยงานที่ประเมินตนเองแล้วว่าเข้าข่ายต้องมี แม้จะไม่อยู่ในรายชื่อเริ่มต้น

  • สคส. กำลังเตรียมประกาศเพิ่มเติม โดยรวมถึงหน่วยงานที่จัดตั้งเป็นนิติบุคคล เช่น จังหวัด (76 จังหวัด), องค์การบริหารส่วนจังหวัด (อบจ. 76 แห่ง), เทศบาลนคร และเมืองพัทยา ซึ่งคาดว่าจะทำให้มี หน่วยงานรัฐ ที่อาจถูกจัดให้มี DPO เพิ่มขึ้นอีกประมาณ 180-190 หน่วยงาน

  • แต่สุดท้ายแล้วหาก หน่วยงานรัฐ ประมวลผลข้อมูลอย่างสม่ำเสมอ หรือเก็บ ข้อมูลอ่อนไหว (Sensitive Data) ในกิจกรรมหลักขององค์กร (เช่น สถานพยาบาลในสังกัด) ก็ควรพิจารณาแต่งตั้ง DPO แม้จะยังไม่มีการประกาศรายชื่อก็ตาม

2. บทบาทและความแตกต่างของ DPO ใน หน่วยงานรัฐ และ หน่วยงานเอกชน

บทบาทของ DPO ใน หน่วยงานรัฐ มีความเข้มข้นกว่าภาคเอกชน เนื่องจากภารกิจของรัฐนั้น “เอฟเฟกต์ชีวิตคนจำนวนมากโดยเสมอ” ดังนั้นการดูแลต่าง ๆ ควรจะมีความเคร่งครัด และเอาจริงมากกว่า ทั้งประกาศที่ออกมาตอนนี้ หรือประกาศที่อาจจะออกมาในอนาคต ด้วยความที่ภาครัฐส่วนมากมักมีพันธกิจที่เกี่ยวข้องกับประชาชนค่อนข้างเยอะ 

ประเด็นความเหมือนหรือแตกต่างของ DPO ภาครัฐ vs ภาคเอกชน

     DPO ภาครัฐมีหน้าที่ในการ Monitor และ Consult เช่นเดียวกับ DPO ภาคเอกชน โดยจะต้องให้คำแนะนำอย่างละเอียด เช่น การจัดทำเอกสาร หลักฐาน กระบวนการ ขั้นตอน มติที่ประชุม หรือการออกคำสั่งเพื่อยืนยันความถูกต้องของการทำงาน

นอกจากนี้ DPO ใน หน่วยงานรัฐ มักถูกคาดหวังให้ทำ RoPA (Record of Processing Activities) หรือ DPIA (Data Protection Impact Assessment) ซึ่งเป็นการประเมินผลกระทบก่อนการประมวลผล โดยเฉพาะอย่างยิ่งเมื่อมีการจ้างเอกชนทำระบบ หรือใช้เทคโนโลยีใหม่ เช่น AI การทำ RoPA ถือเป็นเรื่องสำคัญที่สุดเพื่อให้การจัดการข้อมูลมีประสิทธิภาพมากที่สุด

ซึ่งไม่เพียงแต่เรื่อง PDPA แต่หน่วยงานของรัฐยังคงต้องคำนึงถึงเรื่อง ธรรมาภิบาลข้อมูล เพื่อส่งเสริมกระบวนการทำงานอย่างมีประสิทธิภาพ เช่น การเปลี่ยนวัตถุประสงค์ของข้อมูล ต้องมีการแจ้งต่อใครบ้าง ไปขั้นตอนไหนบ้าง ต้องมีใครบ้างที่กำกับ ดังนั้น DPO ในหน่วยงานของรัฐต้องอาศัยความเข้มข้น และมีทักษะการประยุกต์ใช้ที่แตกต่างกับภาคเอกชนค่อนข้างเยอะ

3. PDPA กับ Data Governance ใน หน่วยงานรัฐ

     DPO หน่วยงานรัฐ ควรเข้าใจแนวคิดทั้ง Data Governance (ธรรมาภิบาลข้อมูล) และ PDPA ควบคู่กันไป: Data Governance มีรากฐานจากการมุ่งเน้นการใช้ประโยชน์ข้อมูลให้เต็มที่ โดยให้ความสำคัญกับคุณภาพข้อมูล ความปลอดภัย และความพร้อมใช้ PDPA มีรากฐานจากการเคารพสิทธิส่วนบุคคลและการดูแลสิทธิของเจ้าของข้อมูล

แม้ว่ารากฐานความคิดจะต่างกัน แต่การปฏิบัติ (Action) ในหลายส่วนทับซ้อนกัน เช่น การรักษาความลับของข้อมูล DPO จึงต้องใช้วิธีการแบบบูรณาการ (Integrate) ในการให้คำแนะนำ

4. ความเสี่ยงและผลกระทบหาก หน่วยงานรัฐ ไม่ปฏิบัติตาม PDPA

     การไม่แต่งตั้ง DPO ทั้งที่เข้าข่ายตามกฎหมาย ถือเป็นความเสี่ยงระดับองค์กร (Enterprise Risk) และอาจมีโทษทางปกครอง ซึ่งมีมูลค่าปรับ 1 ล้านบาท หากเกิดเหตุการณ์ข้อมูลรั่วไหล (Data Breach) หรือการละเมิดข้อมูล ซึ่งจากข้อมูลส่วนใหญ่มาจากความผิดพลาดของบุคลากร  (Human Error) หรือปัญหาจากผู้ประมวลผลข้อมูลภายนอก (Data Processor)

DPO เป็นเสมือนเจ้าภาพหลักในการรับมือเหตุละเมิดข้อมูล (Data Breach) โดยต้องเตรียมความพร้อม มีทักษะการประเมินความเสี่ยงที่เกิดขึ้นทั้งต่อองค์กรและเจ้าของข้อมูลฯ และควรมีการออกแบบกระบวนการรับมือล่วงหน้า หากพบว่ามีความเสี่ยงสูงต่อสิทธิของเจ้าของข้อมูลส่วนบุคคล จะต้องแจ้งต่อ สคส. และสาธารณชนทราบด้วย

จากสถานการณ์ของโลกในปัจจุบันที่เข้าสู่ยุคดิจิทัล หน่วยงานรัฐ ก็จำเป็นต้องเปลี่ยนกระบวนการตามโลกดิจิทัล ทำให้ หน่วยงานรัฐ หลาย ๆ หน่วยงาน มักมีการจ้างผู้ประกอบการภายนอกมาทำระบบสารสนเทศเป็นประจำ เพื่อลดความเสี่ยงต่อองค์กร และส่งเสริมการปฏิบัติตามกฎหมาย PDPA หน่วยงานนั้น ๆ ต้องทำสัญญาประมวลผลข้อมูล (Data Processing Agreement:DPA) ซึ่งเป็นสิ่งที่สำคัญมาก เพื่อให้มั่นใจว่าผู้ประมวลผลจะดูแลข้อมูลเท่าเทียมกับที่ หน่วยงานรัฐ ดูแล และควรครอบคลุมไปถึงผู้ประมวลผลช่วง (Sub-processor) ด้วย

5. แนวทางการพัฒนาเพื่อความยั่งยืนของ DPO หน่วยงานรัฐ

     ปัจจุบัน หน่วยงานรัฐ ส่วนใหญ่ใช้บุคลากรที่มีอยู่เดิม (เช่น ฝ่าย IT หรือฝ่ายกฎหมาย) เป็น DPO ทำให้เกิดความท้าทายเนื่องจากบุคลากรเดิมอาจขาดความรู้ความเชี่ยวชาญด้าน PDPA และกฎหมายอื่น ๆ ที่เกี่ยวข้อง เพราะต้องดำเนินการทั้งภาระหน้าที่หลัก และหน้าที่ในฐานะ DPO ด้วย ในระยะยาว อาจมีมีข้อเสนอแนะเชิงยุทธศาสตร์เพื่อให้ DPO ใน หน่วยงานรัฐ มีความยั่งยืน ได้ตามมาตรการ อาทิ

1. การจัดตั้งตำแหน่งเฉพาะ: ควรมีการประกาศตำแหน่ง DPO อย่างเป็นทางการในโครงสร้าง ก.พ. (คณะกรรมการข้าราชการพลเรือน)

2. การจูงใจและค่าตอบแทน: หาก DPO เป็นตำแหน่งที่มีเหตุพิเศษ (ใช้ความรู้ความชำนาญสูงและขาดแคลน) ตามระเบียบ ก.พ. (ปี 2552) จะสามารถได้รับเงินเพิ่มพิเศษค่าตำแหน่งสูงสุดถึง 10,000–15,000 บาท ซึ่งจะช่วยดึงดูดและรักษาบุคลากรที่มีความรู้ความเข้าใจด้าน PDPA ไว้ในราชการได้

3. การสร้างทัศนคติที่ถูกต้อง: ผู้บริหาร หน่วยงานรัฐ และบุคลากรที่เกี่ยวข้องควรมีทัศนคติที่ว่า PDPA ไม่ใช่อุปสรรค แต่เป็นการยกระดับมาตรฐานการดูแลข้อมูลของประชาชน และต้องพร้อมที่จะเรียนรู้และพัฒนาความรู้อย่างต่อเนื่อง

สรุป

     เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ (DPO) คือกลไกสำคัญในการสร้างความน่าเชื่อถือให้กับ หน่วยงาน ทั้งหน่วยงานเอกชน และหน่วยงานรัฐ ภายใต้กฎหมาย PDPA. หน่วยงานรัฐ ที่ต้องแต่งตั้ง DPO (ซึ่งกำลังจะเพิ่มจำนวนขึ้นมาก จากการประกาศรวมจังหวัดและองค์กรปกครองส่วนท้องถิ่น) ต้องตระหนักว่าบทบาทของ DPO ในภาครัฐมีความซับซ้อนสูงกว่าภาคเอกชน เนื่องจากต้องผสมผสานหลักการ PDPA เข้ากับหลักธรรมาภิบาลของภาครัฐ และกฎหมายอื่น ๆ

DPO มีหน้าที่หลักในการกำกับดูแลให้เกิดการปฏิบัติตามกฎหมาย, ให้คำปรึกษา, และควบคุมการรับมือเหตุการณ์ละเมิดข้อมูล (Data Breach) ซึ่งหากจัดการได้ไม่ดีพอ อาจนำไปสู่โทษปรับทางกฎหมายได้ การพัฒนาบุคลากร DPO ให้มีความรู้ความสามารถ (โดยเฉพาะในเรื่องการจัดการระบบ IT และการทำสัญญา DPA เมื่อมีการจ้างผู้ประมวลผลข้อมูลภายนอก) ถือเป็นความเสี่ยงระดับองค์กรที่ผู้บริหารระดับสูงต้องจัดการ

ในระยะยาว การผลักดันให้เกิดการยอมรับตำแหน่ง DPO อย่างเป็นทางการในระบบราชการ พร้อมด้วยค่าตอบแทนที่เหมาะสม อาจเป็นกลยุทธ์สำคัญที่จะช่วยแก้ไขปัญหาการขาดแคลนผู้เชี่ยวชาญและทำให้ หน่วยงานรัฐ สามารถปฏิบัติตาม PDPA ได้อย่างยั่งยืนและมีธรรมาภิบาลสูงสุด ตามภารกิจหลักคือ เพื่อการบริการประชาชนอย่างมีประสิทธิภาพ

รับชมรายการ PDPA GURU: DPO กับ หน่วยงานของรัฐ ย้อนหลังฉบับเต็มผ่าน Youtube: PDPA Thailand คลิก >> https://youtu.be/MHNIx4QmA98

PDPA GURU ใน Episode ถัดไปจะเป็นเรื่องใด ติดตามเราไว้เพื่อไม่ให้พลาดทุกข่าวสาร และกิจกรรมดี ๆ จากเรา PDPA Thailand

Facebook, Line VOOM, X, LinkedIn, TikTok: PDPA Thailand

Line Official Account: @pdpathailand

Email: [email protected]

Website: www.pdpathailand.com