สรุปเนื้อหาจากการบรรยายของ ดร.อุดมธิปก ไพรเกษตร และ อาจารย์ทรงพล หนูบ้านเกาะ จากหลักสูตร Data Protection Specialist: “การจัดการเหตุละเมิดข้อมูลส่วนบุคคล ภาคปฏิบัติ ( Data Breach Management: Workshop )” เมื่อวันที่ 19 กันยายน 2567 ของ PDPA Thailand ซึ่งไม่รวมกรณีศึกษา และ กิจกรรมฝึกปฎิบัติในการอบรม เมื่อข้อมูลส่วนบุคคลเป็นสิ่งจำเป็นอย่างยิ่งในการขับเคลื่อนองค์กรในยุคดิจิทัล การรั่วไหลหรือการละเมิดข้อมูลเหล่านี้จึงเป็นความเสี่ยงที่องค์กรทุกแห่งต้องให้ความสำคัญ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) และประกาศที่เกี่ยวข้องได้กำหนดแนวทางที่ชัดเจนในการจัดการเหตุการณ์ดังกล่าว บทความนี้จะพาคุณไปทำความเข้าใจขั้นตอนสำคัญในการจัดการเหตุละเมิดข้อมูลส่วนบุคคลตามกฎหมายไทย หากมีเหตุละเมิดข้อมูลส่วนบุคคลในองค์กรเกิดขึ้น องค์กรควรจัดการอย่างไร เพราะปัญหาการละเมิดข้อมูลส่วนบุคคลเกิดกับองค์กรไหนก็ได้ เมื่อไรก็ได้ ไม่ว่าจะองค์กรจะลงทุนเงินสำหรับมาตรการรักษาความมั่นคงปลอดภัยข้อมูลและไซเบอร์แค่ไหนก็ตาม การเตรียมความพร้อมในการรับมือกับเหตุการณ์จึงดีที่สุด โดยมีกฎ 4 ข้อในการบริหารจัดการที่วิทยากรทั้ง…

เราต่างรู้และทราบกันดีอยู่แล้วว่าประเทศไทยได้มีการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือ PDPA เพื่อการคุ้มครองสิทธิส่วนบุคคลในยุค Digital และหากองค์กรใดไม่ว่าจะภาครัฐหรือเอกชน ละเลยที่จะปฏิบัติตามหลักเกณฑ์ที่กำหนดไว้ใน PDPA ก็มีโอกาสสูงมากที่จะได้รับโทษปรับสูงสุดถึง 5 ล้านบาท ไม่นับรวมโทษทางอาญาและทางแพ่ง รวมถึง ความเสียหายทางธุรกิจและสังคมที่เกิดขึ้นแก่องค์กรตามมา ดังนั้น หากเราไม่ต้องการเสี่ยงเสียค่าปรับ และอื่น ๆ ตามข้างต้น จึงควรมีการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล หรือ DPIA (Data Protection Impact Assessment) เป็นเครื่องมือป้องกันความเสี่ยงให้กับองค์กรจากการละเมิดข้อมูลส่วนบุคคล เช่น การรั่วไหลหรือสูญหายของข้อมูล รวมถึง การใช้ข้อมูลส่วนบุคคลขององค์กรในทางที่ผิด แต่เหตุผลสำคัญยิ่งกว่านั้น คือ การสร้างความเชื่อมั่นให้สังคมได้เห็นถึงความมุ่งมั่นและจริงใจกับการคุ้มครองข้อมูลส่วนบุคคลของลูกค้า บุคลากร และผู้มีส่วนได้เสียอื่น ๆ ขององค์กร จากข้างต้น จึงสามารถที่จะสรุปความสำคัญของ DPIA ให้เป็นภาพที่ชัดเจน คือ 1. ป้องกันความเสี่ยง จากความเสี่ยงที่อาจจะเกิดจากการละเมิดข้อมูลส่วนบุคคลขององค์กร  2. ปฏิบัติตามกฎหมาย PDPA ได้อย่างครบวงจรและมีประสิทธิภาพ…

การละเมิดข้อมูลส่วนบุคคล คืออะไร แค่ไหนที่เรียกว่าเกิด เหตุละเมิด ต้องแจ้ง สคส.เมื่อไร อย่างไร และต้องแจ้งเจ้าของข้อมูลส่วนบุคคลหรือไม่ ? ตามประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง “หลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล พ.ศ. 2565” ซึ่งเป็นกฎหมายลำดับรองที่ออกตามความในมาตรา 16(4) และมาตรา 37(4) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งผลบังคับใช้ตั้งแต่วันที่ 15 ธันวาคม 2565 ได้นิยามคำว่า “การละเมิดข้อมูลส่วนบุคคล” คือการละเมิดมาตรการรักษาความมั่นคงปลอดภัยที่ทำให้เกิดการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาตหรือโดยมิชอบ แปลว่า การละเมิดจะเกิดขึ้น เมื่อข้อมูลนั้นถูกเข้าถึง ไม่ว่าจะมีการใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผย หรือทำให้สูญหาย โดยไม่ได้รับอนุญาต หรือ โดยมิชอบ ซึ่งหมายถึง “ไม่เป็นไปตามกฎหมายและระเบียบแบบแผนของทางราชการ และ ทำนองคลองธรรม”    ประเภทของการละเมิดข้อมูลส่วนบุคคล…

ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA มาตรา 41 ซึ่งกำหนดให้องค์กรหรือหน่วยงานที่เข้าข่ายตามประกาศ จำเป็นต้องแต่งตั้ง “เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” หรือ “DPO” และตาม PDPA มาตรา 42 กำหนดหน้าที่ อาทิ ให้คำปรึกษา แนะนำ ประสานงานให้การดำเนินกิจกรรมต่าง ๆ ขององค์กรสอดคล้องตามที่กฎหมาย PDPA กำหนด ซึ่งปัจจุบันกฎหมายยังไม่มีการประกาศ “คุณสมบัติ” ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หน้าที่ DPO ต้องทำอะไรบ้าง และองค์กรคาดหวังอะไรจาก DPO ? “ด้วยเหตุนี้ ผมจึงชวน อาจารย์สุกฤษ โกยอัครเดช ประธานเจ้าหน้าที่ฝ่ายที่ปรึกษาและสอบทานจาก PDPA Thailand ภายใต้การบริหารงานโดย DPC Group มาช่วยขยายความบทบาทหน้าที่ของ DPO ตามมาตรฐานกฎหมายกำหนด” ดร.อุดมธิปก ไพรเกษตร ประธานเจ้าหน้าที่บริหาร…