แม้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) จะถูกออกโดยรัฐ แต่ก็ไม่ได้หมายความว่าหน่วยงานของรัฐจะอยู่เหนือกฎหมายดังกล่าว ตรงกันข้าม การลงโทษหน่วยงานภาครัฐล่าสุดโดยสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) คือสัญญาณเตือนที่ชัดเจนว่า “ไม่มีใครอยู่เหนือ PDPA”

หน่วยงานรัฐก็ผิดได้: รายละเอียดกรณีศึกษา

จากรายงานการแถลงข่าวของ สคส. พบว่า มีหน่วยงานของรัฐแห่งหนึ่งถูกปรับ 153,120 บาท เนื่องจากการให้บริการประชาชนผ่านระบบออนไลน์ที่ขาดมาตรการความมั่นคงปลอดภัยที่เหมาะสม ถูกโจมตีทางไซเบอร์ และข้อมูลส่วนบุคคลรั่วไหลสู่ภายนอก ความผิดที่ตรวจพบ ได้แก่:

• ใช้รหัสผ่านอ่อนแอ

• ไม่มีการประเมินความเสี่ยงอย่างสม่ำเสมอ

• ไม่ทำข้อตกลงประมวลผลข้อมูล (DPA: Data Processing Agreement) กับผู้พัฒนาระบบ

• ขาดกระบวนการแจ้งเหตุละเมิดต่อ สคส.

แม้ค่าปรับจะดูไม่สูงเมื่อเทียบกับภาคเอกชน (ที่บางแห่งถูกปรับถึง 7 ล้านบาท) แต่ ประเด็นหลักไม่ใช่จำนวนเงิน  แต่คือความล้มเหลวของหน่วยงานรัฐในการปฏิบัติตามกฎหมายที่ตนเองมีส่วนในการบังคับใช้

วิเคราะห์เชิงระบบ: ทำไมรัฐจึงละเมิด PDPA ได้?

1. ความเข้าใจผิดเกี่ยวกับข้อยกเว้นทางกฎหมาย
   หลายหน่วยงานภาครัฐเข้าใจผิดว่า PDPA “ไม่บังคับใช้กับรัฐ” ซึ่งไม่เป็นความจริง เพราะข้อกำหนดด้านเทคนิค การจัดเก็บ ใช้ และเปิดเผยข้อมูลส่วนบุคคล ยังต้องปฏิบัติตามทุกประการ
   

2. ขาดโครงสร้างกำกับดูแลภายใน
   จากรายงาน พบว่าหลายหน่วยงานไม่มี DPO หรือไม่ได้แจ้งแต่งตั้ง DPO ต่อ สคส. ทั้งที่มีหน้าที่ต้องทำภายใต้กฎหมาย ส่งผลให้การประเมินความเสี่ยง และการจัดการเหตุละเมิดไม่มีเจ้าภาพที่ชัดเจน
   

3. ละเลยการทำงานร่วมกับผู้ประมวลผลข้อมูล
   หน่วยงานรัฐที่ถูกลงโทษไม่ได้จัดทำข้อตกลงประมวลผลข้อมูลกับบริษัทผู้พัฒนาระบบ ซึ่งเป็นข้อบกพร่องร้ายแรงในแง่ของการควบคุมข้อมูล
   

4. ขาดความตื่นตัวต่อภัยไซเบอร์
   ระบบออนไลน์ของรัฐจำนวนมากไม่ได้รับการทดสอบความมั่นคงปลอดภัยอย่างสม่ำเสมอ และยังใช้รหัสผ่านที่อ่อนแอ ไม่ผ่านเกณฑ์ความปลอดภัยขั้นต่ำ

สะท้อนกลับ: หน่วยงานรัฐต้องเปลี่ยนแนวคิด

คำกล่าวของรัฐมนตรีว่าการกระทรวงดิจิทัลฯ ชี้ชัดว่า “การคุ้มครองข้อมูลส่วนบุคคล ต้องกลายเป็นวัฒนธรรมองค์กร” ไม่ใช่แค่การปฏิบัติตามเชิงเอกสารหรือเชิงเทคนิค การเปลี่ยนจาก “Reactive” มาเป็น “Proactive” คือกุญแจสำคัญที่หน่วยงานภาครัฐต้องทำให้ได้

ในทางปฏิบัติ นี่หมายถึง:

• การแต่งตั้ง DPO อย่างเป็นทางการ พร้อมแจ้ง สคส.

• การจัดทำ RoPA และประเมินความเสี่ยงเชิงระบบเป็นประจำ

• การจัดงบประมาณด้าน Cybersecurity อย่างต่อเนื่อง

• การกำหนดกระบวนการแจ้งเหตุละเมิดข้อมูลภายในองค์กร

• การจัดการกับ Vendor หรือ Outsource อย่างมีกลไกควบคุม

บทสรุป: หน่วยงานรัฐไม่สามารถ “ละเลย” ได้อีกต่อไป

ในอดีต ความเข้าใจที่ว่า “รัฐไม่ถูกฟ้อง” อาจเป็นจริงในบางกรณี แต่เมื่อกฎหมาย PDPA บังคับใช้แล้ว หน่วยงานภาครัฐจะต้องแสดงให้เห็นว่าเป็นแบบอย่างที่ดีในการคุ้มครองข้อมูลของประชาชน เพราะหากรัฐยังไม่สามารถคุ้มครองข้อมูลได้ ประชาชนจะหวังอะไรจากเอกชน?

ความรับผิดชอบต่อข้อมูล ไม่ใช่เพียงเรื่องของการป้องกันค่าปรับ แต่คือการรักษาความเชื่อมั่นของประชาชนต่อรัฐเอง