นายเธียรชัย ณ นคร ประธานกรรมการคุ้มครองข้อมูลส่วนบุคคล เปิดเผยว่า ปัจจุบันปัญหาข้อมูลส่วนบุคคลรั่วไหลที่เกิดขึ้นมีสาเหตุจากระบบการเก็บข้อมูลส่วนบุคคลขององค์กรต่างๆ ที่เป็นผู้ควบคุมข้อมูล ยังไม่ได้มาตรฐาน และบุคคลในองค์กรเป็นผู้ทำรั่วไหลเอง รวมถึงการถูกแฮกเกอร์ทำการแฮกข้อมูลในระบบ ฯลฯ ซึ่งตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ ก.ม.พีดีพีเอ ผู้ควบคุมข้อมูลจำเป็นต้องเก็บข้อมูลส่วนบุคคล ให้มีความปลอดภัย ไม่ให้รั่วไหล หากเกิดกรณีทำข้อมูล ของประชาชนรั่วไหลแล้ว ต้องแจ้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ภายใน 72 ชั่วโมง และต้องแจ้งทางเจ้าของข้อมูล ให้รับทราบด้วย ซึ่งหากการสอบสวนของคณะกรรมการผู้เชี่ยวชาญของสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) พิจารณาออกมาว่า องค์กรนั้นๆ มีความบกพร่อง ไม่ได้มาตรฐานขั้นต่ำ มีความผิดจริง ก็จะมีโทษปรับทางปกครองตั้งแต่ 1 ล้านบาท สูงสุดไม่เกิน 5 ล้านบาท
ขณะเดียวกัน ประชาชนที่ข้อมูลส่วนบุคคลรั่วไหล ก็สามารถที่จะฟ้องร้องทางแพ่งต่อศาลได้ เพื่อเรียกร้องค่าเสียหายจากองค์กรที่ทำข้อมูลรั่วไหล แต่ต้องแสดงให้ศาลเห็นว่าเป็นผู้เสียหายอย่างไร และมากน้อยแค่ไหน ซึ่งศาลจะเป็นผู้พิจารณาตัดสิน นอกจากนี้ยังสามารถร้องเรียนเข้ามายัง สคส. เพื่อเรียกองค์กรที่ทำข้อมูลรั่วไหล มาเจรจา ไกล่เกลี่ยและเยียวยาความเสียหายได้
ด้าน นายศิวรักษ์ ศิวโมกษธรรม เลขาธิการ สคส. กล่าวว่า กรณีการแฮกเกอร์ 9near ที่อ้างว่ามีการแฮกข้อมูล 55 ล้านรายชื่อ ซึ่งได้เข้ามอบตัวกับตำรวจแล้วนั้น ในส่วนของผู้เสียหายที่ข้อมูลรั่วไหล ยังไม่มีการเข้ามาร้องเรียนกับทาง สคส. ขณะที่ทางคณะกรรมการผู้เชี่ยวชาญคณะที่ 2 (ที่พิจารณาเกี่ยวกับเรื่องร้องเรียนทางเทคโนโลยีและอื่นๆ) ก็ได้มีการเชิญ หน่วยงานที่สงสัยว่าตนเองเป็นผู้ทำข้อมูลรั่วไหลมาสอบสวนแล้ว ซึ่งขณะนี้อยู่ระหว่างการพิจารณาและขอข้อมูล
การจัดเก็บข้อมูลการจราจรทางคอมพิวเตอร์ มาตรวจสอบว่ามีใครเข้ามาแฮกข้อมูลไปหรือไม่ ซึ่งตามกรอบระยะเวลา พิจารณาตามกฎหมาย 90 วัน และสามารถขยายระยะเวลาออกไปได้อีก 60 วัน จำนวน 2 ครั้ง อย่างไรก็ตาม หลังเกิดเหตุการณ์ได้มีการเชิญ 20 หน่วยงานรัฐที่เกี่ยวข้องกับข้อมูลประชาชน มากำชับและตรวจสอบในการเก็บข้อมูล ให้ได้มาตรฐานไม่ให้รั่วไหลด้วย
นายเธียรชัย กล่าวต่อว่า ขณะนี้ทาง สคส. กำลังเร่งออกกฎหมายลำดับรอง (ก.ม.ลูก) ที่เหลืออีกสองฉบับ เพื่อให้การบังคับใช้ พ.ร.บคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีประสิทธิภาพมากขึ้น คือ กฎหมายเกี่ยวกับเจ้าหน้าที่ คุ้มครองข้อมูลส่วนบุคคล (DPO-Data Protection Officer) โดยจะกำหนดถึงบทบาทหน้าที่และความจำเป็น ที่แต่ละ องค์กรต้องมี ดีพีโอ ซึ่งแต่ละองค์กรจะมีวิธีการแต่งตั้งดีพีโออย่างไร รวมถึงการตรวจสอบการทำงาน และบทบาทการ ทำหน้าที่ของดีพีโอ นอกจากนี้ยังมีร่างกฎหมายเกี่ยวกับการส่งข้อมูลไปต่างประเทศที่ต้องกำหนดแนวทางในเงื่อนไข และวิธีการว่า การที่องค์กรต่างๆที่ต้องการส่งข้อมูลส่วนบุคคลไปต่างประเทศต้องปฏิบัติอย่างไร เพื่อให้เป็นไปตามกฎหมายพีดีพีเอ และมีมาตรฐานสากลเป็นที่ยอมรับของนานาประเทศ ซึ่งคาดว่ากฎหมายลำดับรอง ทั้งสองฉบับ น่าจะออกมาใช้งานได้ก่อนสิ้นปีนี้.
