ชงตั้งบอร์ด"คุ้มครองข้อมูล"ดีอี"ผุดสำนักงานใหม่เร่งคลอดกม.ลูก

"ดีอี" จัดทัพเตรียมรับ "พ.ร.บ.คุ้มครองข้อมูล" ทันทีที่ประกาศใช้ ลุยยกร่าง หลักเกณฑ์สรรหาบอร์ด-ตั้งสำนักงานใหม่ 180 วันเดินหน้าได้ เล็งรับพนักงานไม่ต่ำกว่า 100 อัตรา มั่นใจ 1 ปี คลอดกฎหมายลูกยกระดับมาตรฐานคุ้มครองข้อมูลประชาชน
          นางวรรณพร เทพหัสดิน ณ อยุธยา รองปลัดกระทวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) เปิดเผยกับ "ประชาชาติธุรกิจ" ว่า ในระหว่างรอราชกิจจานุเบกษาประกาศบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ตามที่สภานิติบัญญัติแห่งชาติ (สนช.)ได้ ลงมติเห็นชอบแล้ว กระทรวงดิจิทัลฯ ได้มีการประชุมเตรียมความพร้อมดำเนินการตามกรอบกฎหมายฉบับนี้แล้ว โดยนางสาวอัจฉรินทร์ พัฒนพันธชัย ปลัดกระทรวง ได้มอบหมายให้รองปลัด เป็นหัวหน้าคณะทำงาน
          "เมื่อประกาศใช้แล้ว พ.ร.บ.นี้จะแบ่งการบังคับใช้ออกเป็น 2 ระยะ คือ ในส่วนคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และสำนักงานคณะกรรมการจะบังคับใช้ทันที แต่ส่วนของการ คุ้มครองข้อมูลส่วนบุคคลให้เวลาเตรียมตัว 1 ปี ซึ่งจำเป็นต้องออกฎหมายลูกอีกหลายฉบับมาก เพื่อให้การคุ้มครองข้อมูลส่วนบุคคลเป็นไปตามเจตนารมณ์ที่วางไว้ ทุกอย่างจึงต้องรีบเตรียมการไว้ก่อน เพื่อให้เมื่อ พ.ร.บ.ลงประกาศในราชกิจจาฯ งานทุกด้านก็พร้อมเดินหน้า ได้ทันที"
          สรรหาบอร์ดภายใน 90 วัน
          ตาม พ.ร.บ.นี้ จะมีการตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล 1 คณะ ตั้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และบอร์ดที่จะมากำกับดูแลสำนักงานอีก 1 คณะ ซึ่งจะเป็นส่วนสำคัญในการขับเคลื่อนนโยบายและบังคับใช้กฎหมายนี้
          โดยภายใน 90 วันนับแต่ พ.ร.บ. ประกาศลงในราชกิจจานุเบกษาจะมีการตั้งบอร์ดให้เรียบร้อย โดยคณะทำงานได้เตรียมร่างประกาศที่เกี่ยวข้องกับการสรรหาประธานและกรรมการผู้ทรงคุณวุฒิทั้ง 6 คน เพื่อเสนอให้คณะรัฐมนตรีพิจารณา รวมถึงได้มีหนังสือถึงนายกรัฐมนตรี ประธานรัฐสภา ผู้ตรวจการแผ่นดิน คณะกรรมการสิทธิมนุษยชนแห่งชาติ เพื่อแต่งตั้งกรรมการสรรหาบอร์ด ที่มาจากแต่ละหน่วยงาน ทำหนังสือถึงกรมบัญชีกลางเพื่อทำความตกลงเกี่ยวกับเบี้ยประชุมของคณะกรรมการสรรหาฯ
          บรรจุ พนง.กว่าร้อยตำแหน่ง
          ทั้งยังได้เตรียมการการออกกฎหมายลำดับรองเกี่ยวกับระเบียบงานด้านการเงิน ธุรการ บุคลากร ที่จะรองรับการปฏิบัติงานของบอร์ดและอนุกรรมการ รวมถึงที่ปรึกษาของบอร์ดชุดใหญ่ที่จะต้องตั้งขึ้นตามกรอบของกฎหมาย
          ทั้งปรึกษากับสำนักงานคณะกรรมการข้าราชการพลเรือน (ก.พ.) และสำนักงบประมาณ เพื่อร่วมกันวางกรอบโครงสร้างองค์กร และอัตรากำลังของสำนักงานคุ้มครองข้อมูลฯ ที่จะต้องตั้งขึ้น รวมถึงการขอทุนประเดิมและสถานที่ตั้งของสำนักงาน ซึ่งต้องดำเนินการให้เสร็จภายใน 180 วัน โดยคาดว่าจะใช้พื้นที่สำนักงานเดิมของสำนักงาน ส่งเสริมเศรษฐกิจดิจิทัล (ดีป้า) ที่ตั้งอยู่ ณ ศูนย์ราชการเฉลิมพระเกียรติ ถนนแจ้งวัฒนะ กรุงเทพฯ
          เช่นเดียวกับกฎหมายลำดับรองที่ เกี่ยวกับการจัดตั้งสำนักงานคณะ กรรมการฯ และการสรรหา-แต่งตั้งเลขาธิการสำนักงาน รวมถึงการคัดเลือก ข้าราชการ หรือยืมตัวเพื่อบรรจุเข้าเป็นพนักงานเจ้าหน้าที่ของสำนักงานฯ ซึ่งคาดว่าน่าจะต้องการอัตรากำลังไม่ต่ำกว่า 100 คน ส่วนเลขาธิการสำนักงานฯ จะแต่งตั้งให้ทันภายใน 1 ปี
          เร่งออก กม.ลูกให้ทัน 1 ปี
          ขณะที่แนวทางปฏิบัติที่แต่ละหน่วยงาน ที่เกี่ยวข้องกับการดำเนินงานภายใต้ พ.ร.บ.คุ้มครองข้อมูลฯ (Guideline) กำลังอยู่ระหว่างการเตรียมการ และจะเริ่มทยอยให้บอร์ดพิจารณาให้เสร็จทั้งหมดภายใน 1 ปี
          "พ.ร.บ.จะเป็นแค่กรอบใหญ่ แต่แนวปฏิบัติแต่ละหน่วยงานจะต้องมีมาตรฐานในการเก็บ-ใช้-เปิดเผยข้อมูลอย่างไรบ้าง ซึ่งจะต้องแตกต่างกันในแต่ละหน่วยงาน จะอยู่ในกฎหมายลูกที่ต้องออกมาทั้งหมด รวมถึงกระบวนการในการรับเรื่องร้องเรียนจากประชาชน ที่เป็นเจ้าของข้อมูลต่าง ๆ ด้วย เพื่อให้ประเทศไทยมีมาตรฐานในการคุ้มครองข้อมูลส่วนบุคคล ตามมาตรฐานสากล"
          โดยจะเชิญผู้เชี่ยวชาญในแต่ละสาขาเข้ามาให้ความเห็นและร่วมเป็นคณะทำงานยกร่างกฎหมายลูกด้วย
          เบื้องต้นจะแยกมาตรฐานเป็น 7 กลุ่มโครงสร้างพื้นฐานตามที่ พ.ร.บ.ความมั่นคงปลอดภัยทางไซเบอร์กำหนดไว้ ได้แก่ ความมั่นคงของรัฐ บริการภาครัฐที่สำคัญ การเงินการธนาคาร ด้านเทคโนโลยีสารสนเทศและโทรคมนาคม การขนส่งและโลจิสติกส์ พลังงานและสาธารณูปโภค สาธารณสุข
          "เก็บ-ใช้-เปิดเผย" ต้องยินยอม
          สาระสำคัญของ พ.ร.บ.คุ้มครอง ข้อมูลฯ คือ การเก็บรวบรวม การใช้ การเปิดเผยข้อมูลส่วนบุคคล ต้องได้รับความยินยอมจากเจ้าของข้อมูลอย่างชัดเจน และสามารถถอนความยินยอมได้ในภายหลัง รวมถึงเจ้าของข้อมูลมีสิทธิขอให้ลบหรือทำลาย เมื่อการเก็บ ใช้ เปิดเผย ทำโดยไม่ชอบด้วยกฎหมาย หรือเมื่อถอนความยินยอม
          ขณะที่ "ผู้ควบคุมข้อมูลส่วนบุคคล" หมายถึง บุคคล หรือนิติบุคคล ที่มีอำนาจตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ซึ่งต้องได้รับความยินยอมจากเจ้าของข้อมูลก่อน และต้องแจ้งวัตถุประสงค์รวมถึงปฏิบัติเท่าที่จำเป็นตามที่แจ้งไว้ รวมถึง "ผู้ประมวลผลข้อมูลส่วนบุคคล" ซึ่งเป็นผู้ที่ได้รับมอบหมายให้นำข้อมูลไปประมวลผล ต้องมีกระบวนการดำเนินการตามมาตรการรักษาความมั่นคงปลอดภัยที่คณะกรรมการกำหนด และต้องชดใช้ค่าสินไหมทดแทนให้เจ้าของข้อมูลหากมีความผิดพลาดเกิดขึ้น เว้นแต่พิสูจน์ได้ว่า เกิดจากเหตุสุดวิสัยหรือเกิดจากเจ้าของข้อมูลเอง หรือเป็นการปฏิบัติตามคำสั่งของเจ้าหน้าที่
          ส่วนข้อมูลที่ได้เก็บรวบรวมไว้ก่อน พ.ร.บ.ใช้บังคับ จะต้องขอความยินยอมจากเจ้าของข้อมูลตามหลักเกณฑ์และระยะเวลาที่กฎกระทรวงกำหนด