หลังจากที่มีการร่างกฎหมายมาเป็นระยะเวลายาวนาน ในที่สุด พรบ.คุ้มครองข้อมูลส่วนบุคคลหรือ PDPA ก็มีผลบังคับใช้ไปแล้ว ซึ่งพรบ.ฉบับนี้มีแนวคิดที่คล้ายคลึงกับกฎหมาย General Data Protection Regulation หรือ GDPR ค่อนข้างมาก ไม่ว่าจะเป็นเรื่องกระบวนการทางกฎหมายและการแจ้งเตือน ไปจนถึงนิยามของข้อมูลและบทบาทของ Data Protection Officer ไปจนถึงประเด็นอื่นๆ อีกมากมาย หากจะพูดง่ายๆ ก็คือ กฎหมายนี้ถูกออกแบบมาเพื่อควบคุม และดูแลข้อมูลส่วนบุคคลที่ถูกประมวล โดยมีคณะกรรมการข้อมูลส่วนบุคคลเป็นผู้กำกับ โดยเฉพาะภายหลัง PDPA หรือกฎหมายคุ้มครองข้อมูลส่วนบุคคลถูกบังคับใช้กับสถาบันการศึกษา   PDPAThailand พบว่ามีองค์กรต่าง ๆ ทั่วโลกถูกปรับจากความผิดด้านการคุ้มครองข้อมูลส่วนบุคคลมากมาย (ทั้งจาก GDPR และ กฎหมายคุ้มครองข้อมูลส่วนบุคคล ที่บังคับใช้แต่ละประเทศ) จึงรวบรวม case study ที่เป็นประโยชน์ต่อทุกคนครับ กรณี 1 การเปิดเผยข้อมูลสุขภาพของครูในโรงเรียนมัธยม ‘Isabella Gonzaga’ ประเทศอิตาลี ประเภทของกรณีศึกษา :  ประมวลผลเกินความจำเป็น…

การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล  ถือเป็นประเด็นที่ต้องพิจารณาทางกฎหมายหลายประการ โดยมีการกำหนดจากการเริ่มนับระยะเวลา 72 ชั่วโมง เนื่องจากองค์กรอาจมีความรับผิดทางกฎหมายหากไม่แจ้งภายในระยะเวลาที่กฎหมายพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนด ซึ่งในมาตรา มาตรา 37(4)  มีการเขียนไว้ว่า การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สำนักงานโดยไม่ชักช้าภายใน72 ชั่วโมง  “ นับแต่ทราบเหตุ” เท่าที่จะสามารถกระทำได้ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล  หากกรณีที่การละเมิดมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ให้แจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อมกับแนวทางการเยียวยาโดยไม่ชักช้าด้วย ทั้งนี้ การแจ้งดังกล่าวและข้อยกเว้นให้เป็นไปตามหลักเกณฑ์และวิธีการที่คณะกรรมการประกาศกำหนด ดังนั้นจุดเริ่มต้นสำคัญที่สุดของการเริ่มนับระยะเวลา คือ “นับแต่ทราบเหตุ” (become aware) ผู้ควบคุมข้อมูลส่วนบุคคล หากมีการพิจารณาแล้วว่าเหตุการณ์ข้อมูลรั่วไหลที่เกิดขึ้น (security incident) มีผลทำให้ข้อมูลส่วนบุคคลถูกละเมิด ดังนั้น สิ่งแรกที่องค์กรต้องทำการประเมินก่อน คือ อธิบายผลของเหตุการณ์ข้อมูลรั่วไหลนั้นได้ส่งผลกระทบต่อความเสี่ยง หรือความไม่มั่นคงปลอดภัยของข้อมูลส่วนบุคคลหรือไม่  หนังสือแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล มีรายละเอียดดังต่อไปนี้  รายละเอียดของเหตุ ละเมิดข้อมูลส่วนบุคคล ระบุรายละเอียดเหตุการณ์ที่เป็นภัยคุกคามข้อมูลส่วนบุคคล ที่มีความเสี่ยงที่จะละเมิดสิทธิเสรีภาพของบุคคล เช่น  ฐานข้อมูลขององค์กรถูกโจมตีและเข้าถึงโดยมิชอบ เอกสาร ที่มีการเขียนข้อมูลส่วนบุคคลของลูกค้าถูกโจรกรรม วันเวลาที่ทราบเหตุ  ผู้ที่รายงานเหตุให้ทราบ…

ตามมาตรา 24 ของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้กำหนดหลักการประมวลผลข้อมูลส่วนบุคคล หรือที่เรียกว่า Lawful basis อันเป็นเหตุที่สามารถทำได้โดยชอบด้วยกฎหมาย คลิก! เพื่อ อ่านบทความ 7 ฐานการ ประมวลผลข้อมูล ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล  โดยฐานที่ 5 เป็นเรื่องของ การใช้ฐานประโยชน์อันชอบธรรม (legitimate interest) ในการประมวลผลข้อมูลโดยมีใจความดังนี้ (5) เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล หรือของบุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล เว้นแต่ประโยชน์ดังกล่าวมีความสำคัญ น้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล การใช้ฐานประโยชน์อันชอบธรรม (legitimate interest) ในการประมวลผลข้อมูลทำให้มีขอบเขตค่อนข้างกว้างและค่อนข้างยืดหยุ่นในการปรับใช้ ดังนั้นผู้ควบคุมข้อมูลจะต้องใช้ดุลยพินิจอย่างมาก เพื่อชั่งน้ำหนักระหว่างประโยชน์อันชอบธรรมนั้นไม่ให้ขัดกับสิทธิและประโยชน์ของเจ้าของข้อมูล โดยผู้ควบคุมข้อมูลจะต้องระบุได้ว่าอะไรคือประโยชน์อันชอบธรรมที่จะได้รับ และกำหนดว่าอะไรคือความจำเป็นของการประมวลผลข้อมูล อีกทั้งยังต้องมีหน้าที่ในการปกป้องสิทธิเสรีภาพและประโยชน์ของเจ้าของข้อมูลให้สมดุลกับประโยชน์อันชอบธรรมที่จะได้รับด้วย การใช้ดุลยพินิจเช่นนี้ย่อมทำให้เกิดความเสี่ยงมากในการตัดสินใจผิดพลาดซึ่งผู้ควบคุมข้อมูลอาจต้องรับผิดภายหลังได้ /*! elementor – v3.6.6 – 08-06-2022 */ .elementor-widget-image{text-align:center}.elementor-widget-image a{display:inline-block}.elementor-widget-image…

พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯ มาตรา 40 ได้ระบุไว้ให้มีการทำข้อตกลงร่วมกันระหว่างผู้ควบคุม และผู้ประมวลผลข้อมูลส่วนบุคคลเกี่ยวกับการดำเนินการจัดเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามกรอบของข้อกำหนดในสัญญานี้เท่านั้น จึงเกิดมาเป็นประเด็นสัญญาการประมวลผลข้อมูลส่วนบุคคล หรือ Data Processing Agreement (DPA)  Data Processing Agreement หรือ สัญญา DPA คืออะไร?  Data Processing Agreement หรือ สัญญา DPA คือเอกสารข้อตกลงการประมวลผล เพื่อให้ผู้ประมวลผลข้อมูล  ได้ดำเนินการตามวัตถุประสงค์ และขอบเขตข้อตกลงตามสัญญาที่บริษัทผู้ว่าจ้างกำหนดเท่านั้น โดยสามารถจัดทำเอกสารเป็นลายลักษณ์อักษรหรือในรูปแบบอิเล็กทรอนิกส์ ดังนั้นเอกสารสัญญาข้อตกลงการประมวลผลข้อมูล ถือเป็นเอกสารระหว่างผู้ควบคุมข้อมูลที่มีการขอจัดเก็บข้อมูลส่วนบุคคลของเจ้าของข้อมูล และมีการแจ้งหากจะมีการส่งข้อมูลส่วนบุคคลนั้น ๆไปยังบุคคลอื่นภายนอกองค์กรเพื่อทำกิจกรรมประมวลผลข้อมูลส่วนบุคคล ดังนั้นจำเป็นอย่างยิ่งที่ต้องมีการทำเอกสารสัญญา DPA เพื่อเป็นหลักฐาน และข้อตกลงการใช้ข้อมูลส่วนบุคคลร่วมกันทำให้ทั้ง 2 ฝ่ายรับทราบข้อตกลง และปฎิบัติตามเงื่อนไขที่ตกลงกันเท่านั้น เพื่อป้องกันการใช้ข้อมูลส่วนบุคคลผิดวัตถุประสงค์ หรือเกินขอบเขตที่เจ้าของข้อมูลให้ความยินยอม  Data Processing Agreement (…

ตกลงต้องทำอย่างไรกันแน่ !  กฎหมายที่ถูกสร้างมาเพื่อป้องกันการละเมิดข้อมูลส่วนบุคคลของทุกคน หรือที่เราเรียกกันติดปากว่ากฎหมาย PDPA (Personal Data Protection Act: PDPA) คือกฎหมายใหม่ที่ออกมาเพื่อแก้ไขปัญหาการถูกล่วงละเมิดข้อมูลส่วนบุคคลที่เพิ่มมากขึ้นเรื่อย ๆ ในปัจจุบัน  โดยกฎหมายนี้ได้มีผลบังคับใช้อย่างเต็มรูปแบบเมื่อวันที่ 1 มิ.ย. 2565 ที่ผ่านมา โดยกฎหมายนี้จะให้ความคุ้มครองข้อมูลส่วนบุคคล ที่สามารถระบุถึงตัวเจ้าของข้อมูลนั้นได้ เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ รูปถ่าย บัญชีธนาคาร อีเมล  เป็นต้น อาจเป็นได้ทั้งข้อมูลในรูปแบบเอกสาร กระดาษ หนังสือ หรือจัดเก็บในรูปแบบอิเล็กทรอนิกส์ก็ได้   PDPA สำคัญอย่างไรกับเรา ? ความสำคัญของ PDPA คือการทำให้สิทธิแก่เจ้าของข้อมูลในข้อมูลส่วนตัวที่ถูกจัดเก็บไปแล้ว หรือกำลังจะถูกจัดเก็บมากขึ้น เพื่อสร้างความปลอดภัยและเป็นส่วนตัวให้แก่เจ้าของข้อมูลฯ ดังนั้นเมื่อเจ้าของข้อมูลมีสิทธิที่เพิ่มขึ้น อาจทำให้องค์กรและบริษัทต่าง ๆ จำเป็นต้องปรับเปลี่ยนกระบวนการเก็บรวบรวม และนำข้อมูลฯของเจ้าของข้อมูลที่เกี่ยวข้องให้เป็นตามหลักปฏิบัติของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล  โดยหากคุณเป็นบุคคลที่ที่ดำเนินการเรื่อง PDPA วันนี้…

จาก พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ PDPA (Personal Data Protection Act) มีข้อกำหนดที่ให้สิทธิแก่เจ้าของข้อมูลในการร้องขอให้ผู้ควบคุมข้อมูลดำเนินการตามสิทธิที่ร้องขอ หนึ่งข้อในนี้รวมถึง “สิทธิในการเพิกถอนความยินยอม” ( Right to Withdraw Consent ) – มาตรา 19 โดยถือว่า กฎหมาย PDPA ได้ให้ความสำคัญต่อตัวเจ้าของข้อมูลส่วนบุคคลมากขึ้น  ไม่ว่าจะเป็นการให้สิทธิร้องขอให้บริษัทอนุญาตให้เข้าถึง รวมถึงการให้สิทธิแก่เจ้าของข้อมูลในการเผิกถอนได้ตามต้องการ  ในกรณีที่องค์กรใช้กระบวนการเก็บรวบรวมข้อมูลจากฐานความยินยอม (Consent) แม้องค์กรจะมีการมอบเอกสารเพื่อให้ลูกค้ายินยอมให้มีการเก็บรวบรวม ใช้ เผยแพร่แล้ว แต่อย่าลืมว่า ลูกค้ายังมีสิทธิในการเพิกถอนความยินยอมได้ตามต้องการด้วย ครั้งนี้เราจะมาเจาะประเด็นกันครับว่า สิทธิในการเพิกถอนความยินยอม คืออะไร ลูกค้าหรือเจ้าของข้อมูลสามารถทำได้แค่ไหน และเราในฐานะองค์กรที่ต้องรวบรวมข้อมูลส่วนบุคคล ต้องรู้อะไรบ้าง  สิทธิในการเพิกถอนความยินยอม (Right to Withdraw Consent)  ตามมาตรา 19 หลักการสำคัญของสิทธินี้คือ เจ้าของข้อมูลส่วนบุคคลมีสิทธิที่จะเพิกถอนความยินยอมเมื่อใดก็ได้ โดยการเพิกถอนความยินยอมจะอยู่ในรูปแบบใดก็ได้…

“PDPA” หรือ “พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562” ถูกบังคับใช้ในเมื่อวันที่ 1 มิ.ย. 2565 นับเป็นประเด็นสำคัญให้ผู้ประกอบการและผู้บริโภคตระหนักเรื่องความปลอดภัยของข้อมูลส่วนบุคคล โดยยุคปัจจุบันที่มีการใช้ดิจิทัลในการดำเนินการทางธุรกิจ โดยทุกธุรกิจส่วนมากมีการแข่งกันเก็บรวบรวมข้อมูลของผู้บริโภค เพื่อเป็นแต้มต่อในการแข่งขันทางการค้า โดยเฉพาะปัจจุบันที่ร้านค้าส่วนมากมีการลดการใช้การสมัครสมาชิคผ่านบัตร แต่หันมาใช้ผ่าน application แทน คำถามต่อมาคือข้อมูลส่วนบุคคลของผู้บริโภคเหล่านี้ได้รับการคุ้มครองหรือดูแลดีพอหรือไม่  โดยข้อมูลส่วนบุคคลเป็นข้อมูลที่สามารถระบุถึงตัวเจ้าของข้อมูลนั้นได้ ทั้งนี้ข้อมูลส่วนบุคคลที่แอพในโทรศัพท์อาจจะมีการดึงไปใช้  เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ บัญชีธนาคาร อีเมล ไอดีไลน์ เป็นต้น ในส่วนของกฎหมาย PDPA  ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลจะมีการกล่าวถึงกำหนดระยะเวลาของการเก็บรักษาข้อมูล (Data Retention) ไว้เพื่อป้องกันไม่ให้ผู้ไม่ประสงค์ดีทำการแฮ็กข้อมูลเพื่อข่มขู่หวังผลประโยชน์จากทั้งตัวเจ้าของข้อมูลเองหรือจากบุคคลที่ดูแลข้อมูล   การละเมิดข้อมูลจากแอพมือถือจะเกิดขึ้นได้ในกรณี.. เมื่อผู้ใช้ดาวน์โหลดแอป  จะมีการรวบรวมข้อมูลส่วนบุคคลกับลูกค้าซึ่งเป็นวิธีเดียวกันกับที่เว็บไซต์ทำ โดยข้อมูลส่วนบุคคลจะมีการแชร์กับ บริษัท ของคุณ อย่างไรก็ตามในกระบวนการนี้มีความเสี่ยงต่อการละเมิดข้อมูลไปอยู่กับบุคคลที่สาม (third-party data processors). ข้อมูลส่วนบุคคลที่มีการ log-in การใช้งานแอปสามารถรวบรวมผ่านส่วนประกอบต่างๆในแอปได้ นอกจากนี้ข้อมูลส่วนบุคคลของลูกค้า อาจถูกแชร์หรือโอนไปที่บุคคลที่สามซึ่งไม่ได้เป็นตามกฎหมายPDPA…

พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือที่รู้จักกันในชื่อ PDPA  มีผลบังคับใช้เมื่อวันที่ 1 มิ.ย. 65 ที่ผ่านมา นับเป็นกฎหมายใหม่เอี่ยม ที่คนไทยต้องทำความรู้จัก และทำความเข้าใจถึงหลักเกณฑ์ของกฎหมายเพื่อระมัดระวังการละเมิดสิทธิส่วนบุคคลของผู้อื่น รวมถึงเข้าใจถึงสิทธิตัวเองมี ในฐานะที่เป็นเจ้าของข้อมูลส่วนบุคคล ที่กฎหมายฯคุ้มครองด้วย  แล้ว..PDPA ครอบคลุมอะไรบ้าง ?  PDPA มีการจัดทำขึ้นเพื่อให้เอกชนและรัฐที่เก็บรวมรวม ใช้ เปิดเผย และ/หรือ โอนข้อมูลส่วนบุคคลในไทย ตามมาตรการปกป้องข้อมูลของผู้อื่นจากการถูกละเมิดสิทธิส่วนตัว โดยหลักเกณฑ์สำคัญ คือ การใช้ข้อมูลส่วนบุคคล ต้อง “ขอความยินยอม” จาก “เจ้าของข้อมูลส่วนบุคคล” ให้ถูกต้อง และชัดแจ้ง ประเภทของข้อมูลส่วนบุคคล แบ่งออกเป็น 2 ประเภท ดังนี้ ข้อมูลส่วนบุคคลประเภททั่วไป (Personal Data) คือ ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม ไม่ว่าจะเป็นรูปแบบออนไลน์หรือออฟไลน์ เช่น ชื่อ ที่อยู่…

ด้วยกำหนดบังคับใช้อย่างเต็มรูปแบบ ในวันที่ 1  มิถุนายน 2565  จึงทำให้ PDPA หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำลังกลายเป็นกระแสตื่นตัวอย่างมาก แม้แต่ในวงการ “การศึกษา” ไทยเอง ที่เริ่มหันมาตระหนักและสนใจ จึงเกิดเป็น … LIVE ถาม-ตอบ เจาะลึก แบ่งปันความรู้เรื่อง “พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลที่คนไทยต้องรู้ คุณครูต้องสอน และสถานศึกษาต้องระวังไม่ละเมิด” โดย ดร.อุดมธิปก ไพรเกษตร ผู้เชี่ยวชาญด้าน Business Model และ Digital Marketing ตำแหน่งกรรมการผู้จัดการ บริษัท ดิจิทัล บิสิเนส คอนซัลท์ จำกัด และผู้อำนวยการ สถาบันพัฒนาและทดสอบทักษะดิจิทัล (DDTI) และ ดร.วิริยะ ฤาชัยพาณิชย์ ผู้ทรงคุณวุฒิด้านความคิดสร้างสรรค์ กระทรวงศึกษาธิการ ผ่านเฟซบุ๊กเพจสุจริตไทย เมื่อวันที่…