หลายท่านคงเกิดความสงสัย ที่ผ่านมาจะพบว่า หลายๆ เว็บไซต์ที่เราเข้าไปใช้งานจะมีเอกสารฉบับหนึ่งเด้งมารบกวนการเข้าไปชมเว็บไซต์ของเรา โดยศัพท์แสงภาษาไอทีเรียกว่า ‘Cookie Consent’ เป็นเอกสารขอความยินยอมในการเก็บข้อมูลของผู้เข้าใช้งาน ตามข้อกำหนดในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ กฎหมาย PDPA (Personal Data Protection Act) เป็นกฎหมายใหม่ที่มีวัตถุประสงค์ในการคุ้มครองข้อมูลส่วนบุคคล ซึ่งในส่วนของแพลตฟอร์มเว็บไซต์ที่มีการเก็บข้อมูลโดยคุกกี้จึงต้องปฏิบัติตามกฎหมาย โดยเจ้าคุกกี้ (Cookies) ที่ว่าจะแบ่งเป็นแบบชั่วคราว คือ มีวันหมดอายุได้ เช่น สังเกตได้ว่าบางครั้งหากเราไม่ได้เข้าไปใช้งานเว็บไซต์ดังกล่าวเป็นเวลานานการจดจำรหัสผ่านจะหายไปจนต้องนึกอยู่นานเพราะจำรหัสผ่านไม่ได้ ส่วนอีกแบบ คือ ‘คุกกี้ชนิดถาวร’ แน่นอนว่าเป็นคุกกี้พันธุ์อมตะที่ไม่มีวันหมดอายุในการจัดเก็บ   โดยทั่วไปคุกกี้ จะอร่อย…! หากไม่อร่อย อาจจะเป็นเพราะไม่ใช่ขนม แต่เป็น Cookies ที่เป็นไฟล์ขนาดเล็กทำหน้าที่เก็บข้อมูล มีวัตถุประสงค์การใช้งานเฉพาะด้านหรือทำงานที่เฉพาะเจาะจง ซึ่งแบ่งประเภทได้ ดังนี้  Necessary Cookies เป็นประเภทที่มีความสำคัญต่อการทำงานของเว็บไซต์ และช่วยให้การใช้งานเว็บมีความปลอดภัย Analytical/Performance Cookies ใช้สำหรับการประมวลผลหรือการวัดผลการเข้ารับชมเว็บไซต์ อาทิ…

Risk Factor หรือปัจจัยเสี่ยงในที่นี้ หมายถึง เหตุการณ์ที่ส่งผลกระทบต่อการดำเนินงานหรือธุรกิจ โดยทั่วไปจะมีการประเมินตั้งแต่ เหตุและปัจจัยที่เกิดขึ้น โอกาสที่จะเกิดขึ้น ระดับความรุนแรง ผลกระทบ นำไปสู่แนวคิดการจัดการ ‘ความเสี่ยง’ ที่อาจ จะเกิดขึ้น โดยมีการจัดทำมาตรการที่จะตอบสนองต่อความเสี่ยงที่เกิดขึ้น รวมทั้งการบริหาร การจัดการและติดตามผล Start with Why ทำไมต้องทำ? นิยามของข้อมูลบุคคลกำลังเปลี่ยนไป เพราะภายใต้การบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ กฎหมาย PDPA ที่มีผลบังคับใช้วันที่ 1 มิถุนายน 2565 นี้ ‘ข้อมูลบุคคล’ ที่แต่เดิม ภาคธุรกิจมีการรวบรวมใช้ จัดเก็บ และประมวลผล เพื่อประโยชน์ในกิจกรรมด้านต่างๆ มากมาย ทั้งมองว่าเป็น ‘ทรัพย์สินมีค่า’ แต่ภายใต้กติกาของกฎหมายใหม่ ข้อมูลส่วนบุคคล เป็นได้เพียง ‘สิ่งที่ยืมใช้’ เท่านั้น เพราะเจ้าของตัวจริงก็ยังเป็น ‘บุคคล’ ที่สำคัญ ภายใต้กติกาใหม่ ธุรกิจยังต้องมีความระมัดระวังในการรวบรวม…

ทราบหรือไม่ว่า? กิจกรรมด้าน Human Resource (HR) มีความสุ่มเสี่ยงต่อการละเมิดข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ กฎหมาย PDPA ที่จะมีผลบังคับใช้ในวันที่ 1 มิถุนายน 2565 นี้ และสิ่งที่มีแนวโน้มจะทำให้เกิดความยุ่งยาก หรือความเสียหายต่อธุรกิจนั่นก็คือ ‘ข้อมูลบุคคลพนักงาน’ ตลอดจนข้อมูลใน เรซูเม่ (Resume)  ซีวี (CV) คลิปวิดีโอแนะนำตัวของผู้สมัครงานที่บริษัทเก็บไว้ ที่ผ่านมา การกรอกข้อมูลเพื่อสมัครเข้าทำงานหรือเพื่อประกอบการพิจารณาในการรับเป็นพนักงานในตำแหน่งต่างๆ มักจะมีสิ่งที่นอกเหนือจากข้อมูลการศึกษา ทักษะวิชาชีพ และประสบการณ์ในการทำงาน ตัวอย่างที่เห็นได้บ่อยครั้ง อาทิ การให้กรอก ‘Sensitive personal data’  หรือ ข้อมูลส่วนที่ละเอียดอ่อน  ซึ่งไม่ได้มีผลต่อการทำงาน เช่น ข้อมูลครอบครัว ชื่อพ่อแม่ ญาติพี่น้อง ภรรยา บุคคลอ้างอิง ชื่อโรงเรียนตอนประถม มัธยม กิจกรรมพิเศษ ความสนใจ ทัศนคติการทำงาน ศาสนา…

สาเหตุยอดฮิตปัญหาการละเมิดข้อมูลส่วนบุคคลในบริษัท SME เกิดจาก ‘การรั่วไหลจากภายใน’ เป็นที่ทราบดีว่าในการดำเนินธุรกิจยุคใหม่ ‘ข้อมูล’ คือทรัพย์สินสำคัญขององค์กร ไม่ว่าจะเป็น ข้อมูลลูกค้า/คู่ค้า, ข้อมูลของพนักงาน, ข้อมูลอีเมล, ข้อมูลทรัพย์สินทางปัญญา ข้อมูลการเงิน ตลอดจนข้อมูลธุรกิจที่สำคัญอื่นๆ ที่ธุรกิจมีการรวบรวม จัดเก็บ ใช้งาน ประมวลผล หรือส่งต่อ รวมถึงทำประโยชน์ในด้านต่างๆ ทั้งในรูปแบบข้อมูลกระดาษและไฟล์ดิจิทัล  และด้วยปัจจัยด้านต้นทุนการจัดการ ตลอดจนการมุ่งสร้างรายได้และการเติบโตมากกว่ามิติด้านความปลอดภัย เลยทำให้ที่ผ่านมา ธุรกิจขนาดกลางและขนาดเล็กส่วนใหญ่ไม่ได้มีมาตรการในการปกป้องและคุ้มครองข้อมูลที่เพียงพอ ตัวอย่างที่เห็นได้ชัด อาทิ การให้สิทธิ์พนักงานในการเข้าถึงข้อมูลโดยไม่มีข้อจำกัด เป็นความเสี่ยงที่พบมากแทบทุกองค์กร ตัวอย่างที่เห็นได้ชัด คือ กรณีพนักงานนำข้อมูลลูกค้าไปขายหรือใช้ผิดวัตถุประสงค์    ประเด็นต่อมาคือ ด้านมาตรฐานในการปกป้องและรักษาข้อมูลที่ SME ส่วนใหญ่ยังมองว่าเป็นต้นทุนที่ ‘สิ้นเปลือง’ จึงทำให้บริษัท SME ส่วนใหญ่ไม่มีเจ้าหน้าที่เฉพาะด้านในการรักษา ปกป้องและจัดการข้อมูล ที่ผ่านมาจะเป็นในลักษณะการยกบทบาทนี้ให้ฝ่ายไอที หรือพนักงานที่รับผิดชอบต่องานนั่นๆ เป็นผู้จัดเก็บข้อมูล และกระจัดกระจาย ด้วยเหตุนี้ จึงเกิดความเสี่ยงทั้งจากภายใน และภายนอก อาทิ…

เคยหรือไม่ที่คุณท่องเว็บไซต์ขายของออนไลน์ แล้วทำไมของแต่ละชิ้นที่ขึ้นมานำเสนอคุณในหน้าแรกของเว็บไซต์ช่างแปลกประหลาดและเป็นสินค้าที่คุณไม่เคยนึกจะซื้อมาก่อนเลย อ่าว… เมื่อมาดูที่บัญชีผู้ใช้กลับพบว่าเป็นของเพื่อนที่มายืมเครื่องคอมพิวเตอร์ของคุณใช้เมื่อก่อนหน้านี้นี่เอง คุณจึงจัดการสับเปลี่ยนโดยใช้บัญชีของคุณเอง Log in เข้าไปแทนที่ คราวนี้พบว่าสินค้าที่แนะนำเสนอขายให้กับคุณตรงใจมากขึ้น และทำให้คุณอยากได้สินค้าหลายชิ้น ปรากฎการณ์ในลักษณะนี้เกิดขึ้นมาจากการทำการตลาดส่วนบุคคลของเว็บไซต์ดังกล่าวนั่นเอง การทำการตลาดส่วนบุคคล (Personalized Marketing) หรือเรียกอีกอย่างหนึ่งว่า One-to-One Marketing หรือ Individual Marketing เป็นแนวคิดการทำการตลาดยุคดิจิทัล ที่พยายามนำเสนอสินค้าหรือบริการให้ตรงตามความต้องการของผู้บริโภคให้มากที่สุด โดยสินค้าและบริการที่นำเสนอให้กับแต่ละบุคคลไม่จำเป็นต้องเหมือนกันและมีความแตกต่างกันออกไป เพื่อสร้างประสบการณ์การใช้งานแพลตฟอร์มที่น่าประทับใจ จากการวิจัยพบว่า นักการตลาดจำนวนมากถึง 98% เห็นด้วยว่าการทำการตลาดส่วนบุคคลมีส่วนช่วยให้การพัฒนาความสัมพันธ์กับผู้บริโภค และเกือบ 90% กล่าวว่าผู้บริโภคเองก็คาดหวังการได้รับประสบการณ์อย่างเป็นส่วนตัวเช่นเดียวกัน ซึ่งความสัมพันธ์อันดีกับผู้บริโภคจะกลายเป็นแนวโน้มให้เกิดยอดขายหรือรายได้ของธุรกิจที่เพิ่มสูงขึ้นในลำดับถัดไป การทำการตลาดส่วนบุคคลอาจทำผ่านหลายกิจกรรม เช่น การนำเสนอสินค้าหรือบริการแก่บุคคลเป็นหน้าเว็บไซต์หรือแอปพลิเคชัน ฟังก์ชันแนะนำสินค้าใกล้เคียงกับที่คุณเคยค้นหา การส่งอีเมลเฉพาะบุคคล การสนทนาตอบคำถามและการเข้าถึงกลุ่มลูกค้าบนโซเชียลมีเดีย การยิงโฆษณาบนโซเชียลมีเดีย การยิงโฆษณาเพื่อย้ำเตือนกลุ่มบุคคลเดิม (Retargeting) ฯลฯ ซึ่งนักการตลาดจะสามารถทำกิจกรรมข้างต้นได้อย่างมีประสิทธิภาพ ผ่านการเก็บข้อมูลผู้ใช้งานบนดิจิทัลแพลตฟอร์ม แล้วนำมาวิเคราะห์เพื่อให้สามารถตอบโต้ได้ตรงตามความคาดหวังของแต่ละบุคคล โดยใช้เครื่องมืออัตโนมัติเป็นผู้ช่วย การทำการตลาดส่วนบุคคล คือแผนการตลาดทางธุรกิจซึ่งนำเสนอเนื้อหาเฉพาะไปยังแต่ละบุคคล ผ่านการเก็บข้อมูล การวิเคราะห์ข้อมูล…

เรียกได้ว่าส่งผลกระทบไปทั่วทุกวงการเลยก็ว่าได้ครับ สำหรับประเด็นเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลในประเทศไทย แม้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 จะขยายเวลาบังคับใช้ออกไปอีก 1+1 ปี (บังคับใช้อย่างเต็มรูปแบบ 1 มิถุนายน 2565) แต่ก็ยังคงได้รับการพูดถึงในวงกว้างถึงการเตรียมตัวและการปฏิบัติตามกฎหมายในแต่ละบริบท ไม่เว้นแม้กระทั่งในวงการการศึกษา ซึ่งสถานศึกษาในเมืองไทยบางแห่งเริ่มออกมาเคลื่อนไหวด้าน การคุ้มครองข้อมูลส่วนบุคคลในสถานศึกษา กันแล้ว โดยคำนึงถึงการคุ้มครองข้อมูลส่วนบุคคลของผู้เรียนวัยเด็กตลอดจนวัยผู้ใหญ่เป็นสำคัญ “สถานศึกษา” ตามพระราชบัญญัติการศึกษาแห่งชาติ พ.ศ. 2542 หมายถึง หน่วยงานที่มีอำนาจหน้าที่หรือวัตถุประสงค์ในการจัดการศึกษา ทั้งภาครัฐและเอกชน ไม่ว่าจะเป็นโรงเรียน วิทยาลัย มหาวิทยาลัย มหาวิทยาลัยในกำกับ(ของรัฐ) ศูนย์การเรียนรู้ สถาบันฝึกอบรม สถาบันกวดวิชา ฯลฯ ต่างก็ต้องดำเนินการที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลทั้งสิ้น ไม่มากก็น้อย โดยมีวัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคล (ของผู้เรียน) เพื่อดำเนินกิจการโดยทั่วไป ตลอดจนใช้ประมวลผลเพื่อการตลาด หรือการประชาสัมพันธ์ ซึ่งมีความจำเป็นต้องมีนโยบายและมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสม และ “ควร” ดำเนินการขอความยินยอมในการประมวลผลข้อมูลส่วนบุคคลของผู้เรียนด้วย สถานศึกษาหลายแห่งจำเป็นต้องนำข้อมูลส่วนบุคคล (ของผู้เรียน) มาประมวลผล เพื่อการดำเนินกิจการทั่วไป การตลาด และการประชาสัมพันธ์ จึงควรมีนโยบายคุ้มครองข้อมูลส่วนบุคคล…

การคุ้มครองข้อมูลส่วนบุคคลเป็นประเด็นร้อนแรงอย่างต่อเนื่องในฝั่งยุโรป เห็นได้จากข่าวนี้ คุณยายคนหนึ่งในประเทศเนเธอร์แลนด์ถูกศาลสั่งให้ลบภาพถ่ายของหลานที่เธอโพสต์ลงบนเฟซบุ๊กและพินเทอเรสต์ (Pinterest) โดยไม่ได้รับอนุญาตจากพ่อแม่ของเด็ก (ตามกฎหมาย GDPR ระบุว่าเป็นผู้มีอำนาจที่จะให้ความยินยอมแทนเด็กที่มีอายุต่ำกว่า 13 ปี) พร้อมกับจ่ายค่าปรับ เรื่องราวนี้ถูกยื่นขึ้นฟ้องต่อศาลเมื่อคุณยายปฏิเสธที่จะลบรูปภาพถ่ายของหลานออกจากโซเชียลมีเดียตามคำเรียกร้องของลูกสาวแท้ ๆ ของเธอเองหลายต่อหลายครั้ง ปกติแล้ว GDPR จะไม่ได้มีขอบข่ายการคุ้มครองถึงการประมวลผลภายในครัวเรือน หรือกรณีส่วนตัวมาก ๆ แต่การโพสต์ลงโซเชียลมีเดียทำให้ภาพถ่ายของหลานดังกล่าวเปิดกว้างออกสู่สาธารณะและอาจตกไปอยู่ในมือของบุคคลสามที่เอาไปประมวลผลโดยมิชอบต่อไป และภาพถ่ายของหลานดังกล่าวมีลักษณะเป็นข้อมูลส่วนบุคคล ชนชาติตะวันตก (โดยเฉพาะชาวยุโรป) เห็นประเด็นเรื่องการคุ้มครองข้อมูลส่วนบุคคลเป็นเรื่องสำคัญ แม้แต่คุณยายแท้ ๆ ของหลานเองก็ไม่ละเว้น! สำหรับในเมืองไทยประเด็นเรื่องการคุ้มครองข้อมูลส่วนบุคคลอาจจะยังไม่ได้เห็นเป็นข่าวบ่อยครั้งนัก แต่การประกาศบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 อย่างเต็มรูปแบบ และการออกกฎเกณฑ์แนวทางการคุ้มครองข้อมูลส่วนบุคคลจากคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลที่กำลังตามมา จะทำให้เรื่องนี้เข้มข้นขึ้นอย่างแน่นอน แต่เอ … จากข่าวดังกล่าวจะสังเกตเห็นได้ว่า “ภาพถ่าย” ก็เป็น “ข้อมูลส่วนบุคคล” ที่ได้รับความคุ้มครองตามกฎหมายด้วย อย่างนี้การจะถ่ายภาพ/วิดีโอใคร (หรือติดใคร) และเอาไปใช้งาน เราจะต้องขอความยินยอมถ่ายภาพ/วิดีโอจากทุกคน ทุกครั้งไปหรือไม่ เรามาหาคำตอบกันครับ /*! elementor –…

ในมุมมองของเจ้าของข้อมูลส่วนบุคคล สิ่งแรก ๆ ที่จะทำให้เรารู้สึกปลอดภัยแล้วไว้ใจได้ว่าข้อมูลของเราจะได้รับการคุ้มครองอย่างแน่นอนเมื่อคลิกเข้าสู่เว็บไซต์ นั่นก็คือการมีกล่องข้อความเด้งขึ้นมาให้เรากดยอมรับการใช้งานคุกกี้ตลอดจนการคลิกอ่านต่อประกาศนโยบความเป็นส่วนตัว (Privacy Notice) บนหน้าเว็บ หากเว็บไซต์ไหนไม่มีทั้ง 2 อย่างนี้ เราอาจอนุมานไปก่อนได้เลยว่าเว็บไซต์และองค์กรที่เป็นเจ้าของเว็บไซต์นั้นไม่มีมาตรการคุ้มครองข้อมุลส่วนบุคคลที่เหมาะสม และรีบกดออกจากเว็บไซต์นั้นไปโดยไม่ย้อนกลับมาอีกเลย จะเห็นได้ว่า การไม่มีประกาศความเป็นส่วนตัวอาจทำให้องค์กรสูญเสีย Potential Customer หรือผู้มีแนวโน้มเป็นลูกค้าของคุณได้อย่างง่ายดาย กฎหมายคุ้มครองข้อมูลส่วนบุคคล ไม่ว่าจะเป็น GDPR ของยุโรป หรือ PDPA ของไทย ต่างมีหลักการคุ้มครองข้อมูลส่วนบุคคลที่คล้ายคลึงกัน โดยหลักความโปร่งใสและการแจ้งวัตถุประสงค์ของการประมวลผลข้อมูลแก่เจ้าของข้อมูลส่วนบุคคล เป็นหลักการพื้นฐานที่ “ประกาศความเป็นส่วนตัว” สามารถตอบโจทย์ได้ หากองค์กรใดมีการเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล โดยไม่ได้แจ้งถึงวัตถุประสงค์ ฐานทางกฎหมาย และมาตรการคุ้มครองข้อมูลส่วนบุคคลให้แก่เจ้าของข้อมุลส่วนบุคคลได้รับทราบก่อนหรือระหว่างการประมวลผล องค์กรอาจมีความผิดตามกฎหมายหากเกิดการฟ้องร้อง โดย PDPA มีบทลงโทษทางปกครอง ปรับสูงสุดไม่เกิน 5 ล้านบาท โทษทางอาญา ระวางโทษจำคุกไม่เกิน 1 ปี หรือ/และปรับไม่เกิน 1 ล้านบาท และโทษทางแพ่ง…

การประกาศใช้ PDPA หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ทำให้หลาย ๆ องค์กรเริ่มลุกขึ้นมาดำเนินการด้านนี้กันแล้ว แต่คุณแน่ใจหรือยังว่าได้ดำเนินการคุ้มครองข้อมูลส่วนบุคคลอย่างสอดคล้องครบถ้วนกับตัวกฎหมายในทุกมิติ? เมื่อเกิดการละเมิด เช่น การรั่วไหลของข้อมูลและมีผู้เสียหาย หากหน่วยงานที่เกี่ยวข้องตรวจสอบแล้วพบว่าคุณดำเนินงานไม่ครบตามกฎหมายบัญญัติ อาจโดนระวางโทษปรับทางปกครองสูงถึง 5 ล้านบาท ต้องชดเชยค่าสินไหมทดแทน และอาจเล่นเอาผู้มีอำนาจในการควบคุมข้อมูลส่วนบุคคลขององค์กรติดคุกได้อีก 1 ปี คอนเฟิร์มความมั่นใจว่าทำตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ครบถ้วนแล้ว ด้วย Checklist นี้ได้เลย องค์กรของคุณจำเป็นต้องมี Data Protection Officer หรือไม่ และต้องไม่ลืมที่จะใส่รายละเอียดติดต่อ DPO (หรือทีมงาน) ลงในเอกสารหรือทุกช่องทางที่เกี่ยวกับข้อมูลส่วนบุคคล เลือกฐานทางกฎหมายสำหรับการประมวลผลข้อมูลแต่ละชุด หากไม่มีฐานฯ อื่นมารองรับ การประมวลผลข้อมูลส่วนบุคคลต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล คุณทำ Consent Form แล้วหรือยัง จัดทำ Data Flow และอบรมบุคลากรให้สามารถกรอกเอกสารได้ เพื่อประโยชน์ด้านการปรับปรุงกระบวนการคุ้มครองข้อมูล และเป็นเอกสารแสดงให้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลใช้ตรวจสอบ (Accountability)…