Facebook Line X-twitter-square Linkedin Youtube

PDPA Thailand | ผู้เชี่ยวชาญด้าน PDPA

Call Us: 02-029-0707

(Mon - Friday) 9.00 - 17.30 น.

Mail us for help:

pdpa@dbcgroup.asia

ระบบการเรียนรู้ออนไลน์

PDPA Thailand e-Learning

ขอรับคำปรึกษา
pdpathailandpdpathailandpdpathailand
วิธีรับมือ Data Breach
27 Mar 23

องค์กรต้องรู้! : 5 ขั้นตอน แผนการรับมือการละเมิดข้อมูลส่วนบุคคล 5 Steps Data Breach Incident Plan

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA นั้น ได้บัญญัติบทบาทหน้าที่แก่ผู้ควบคุมข้อมูลส่วนบุคคล ในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล หากท่านยังไม่แน่ใจว่าองค์กรในฐานะผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล รวมทั้งมีบทลงโทษกรณีละเลยหน้าที่ดังกล่าวตามกฎหมายอย่างไร ท่านสามารถอ่านเพิ่มเติมได้ที่ “รู้ก่อนโดนปรับ! การแจ้งเหตุละเมิดข้อมูลส่วนบุคคล สิ่งที่องค์กรไม่ควรละเลย” (https://direct.thanaponlabs.com/knowledge-pdpa/data-subject-data-controller/) อย่างไรก็ตาม ก่อนที่องค์กรจะพิจารณาดำเนินการแจ้งเหตุละเมิดข้อมูลส่วนบุคคลแก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) และเจ้าของข้อมูลส่วนบุคคล เมื่อเกิดเหตุการณ์ที่เชื่อได้ว่ามีการละเมิดกับข้อมูลส่วนบุคคลที่อยู่ภายใต้การดูแลขององค์กร หลายองค์กรซึ่งอยู่ในสถานะผู้ควบคุมข้อมูลส่วนบุคคลอาจกังวล สงสัย และมีคำถามว่าองค์กรจะมีวิธีการหรือขั้นตอนในการรับมือเหตุการละเมิดข้อมูลส่วนบุคคลดังกล่าวอย่างไร ให้สอดคล้องกับ PDPA และเมื่อเกิดเหตุละเมิดจะต้องแจ้งเหตุละเมิดแก่ สคส. และเจ้าของข้อมูลส่วนบุคคลในทันทีที่เกิดเหตุที่เกี่ยวข้องกับข้อมูลส่วนบุคคลเลยหรือไม่? เพื่อคลายความสงสัยดังกล่าว สคส. ได้ออกประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเพิ่มเติม เรื่อง “หลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล พ.ศ. 2565” ซึ่งมีผลบังคับใช้เมื่อวันที่ 15 ธันวาคม 2565 ที่ผ่านมา เพื่อกำหนดแนวทางในการบริหารจัดการเหตุละเมิดข้อมูลส่วนบุคคล แก่ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) เมื่อได้รับแจ้งข้อมูลในเบื้องต้นว่ามีเหตุการละเมิดข้อมูลส่วนบุคคล    อะไรคือนิยามการละเมิดข้อมูลส่วนบุคคล ? ประกาศฯ ดังกล่าวได้นิยามการละเมิดข้อมูลส่วนบุคคล ไว้ว่าเป็นกรณีการละเมิดมาตรการรักษาความมั่นคงปลอดภัย…
Read More
27 Mar 23

Hotel reservation ไม่เกี่ยวกับ PDPA จริงหรือ?

     จากบทความครั้งที่แล้ว เรื่อง เมื่อการท่องเที่ยวกลับมาคึกคัก ธุรกิจการท่องเที่ยวและโรงแรมต้องรับมือกับการบังคับใช้ PDPA อย่างไร ? ที่ได้มีการกล่าวถึงภาพรวมของธุรกิจการโรงแรมและที่พัก ในวันนี้เราจะมาเจาะลึกรายละเอียดของแต่ละกระบวนการว่าเกี่ยวข้องกับการคุ้มครองข้อมุลส่วนบุคคลอย่างไรบ้าง โดยกระบวนการแรกคือกระบวนการรับการจองห้องพัก (Reservation) ซึ่งเป็นกระบวนการที่ต่อเนื่องจากที่ลูกค้าค้นหาที่พักและมีการเปรียบราคาก่อนตัดสินใจจองที่พัก โดยทั่วไปแล้วสามารถแบ่งช่องทางการจองออกได้เป็น 2 ประเภท ได้แก่ 1) การจองโดยผู้เข้าพักโดยตรง (Direct guest) เช่น เว็บไซต์โรงแรม โทรศัพท์ อีเมล หรือการจองผ่านแพลตฟอร์มการสื่อสารอื่นๆ เป็นต้น และ 2) การจองผ่านทางตัวแทนรับจองห้องพัก (Agent) ซึ่งจะมี 2 ประเภทย่อย คือ ตัวแทนรับจองห้องพักทั่วไป (Travel Agent) และ ตัวแทนรับจองห้องพักออนไลน์ (Online Travel Agent : OTA)      การจองห้องพัก เป็นกิจกรรมแรกที่มีการเก็บข้อมูลส่วนบุคคลครั้งแรก โดยทั่วไปแล้วข้อมูลที่มีการเก็บในกิจกรรมนี้แบ่งออกได้เป็น 2 ประเภท คือ ข้อมูลทั่วไป…
Read More
24 Mar 23

เมื่อการโอนข้อมูลส่วนบุคคลมีเงื่อนไข ผู้ประกอบการจะทำอย่างไรให้งานไม่สะดุด

การพัฒนาของเทคโนโลยีและการค้าทำให้เกิดการส่งต่อข้อมูลข่าวสารได้อย่างสะดวกและรวดเร็วมากยิ่งขึ้น หนึ่งในข้อมูลข่าวสารที่มีการส่งต่อกันอย่างมากในการทำการค้าคือ ข้อมูลส่วนบุคคล (Personal Data) และจากความสะดวกรวดเร็วดังกล่าว นอกจากจะเป็นประโยชน์แก่เจ้าของข้อมูลส่วนบุคคลแล้ว อาจจะเป็นโทษและสร้างผลกระทบจนก่อให้เกิดความเสียหายแก่เจ้าของข้อมูลส่วนบุคคลเป็นอย่างมากได้ ถ้าหากความเป็นส่วนตัวและข้อมูลส่วนบุคคลถูกละเมิด สิ่งนี้เองทำให้หลายประเทศริเริ่มมีแนวคิดในการที่จะคุ้มครองข้อมูลส่วนบุคคลจากการถูกละเมิด หรือการถูกนำไปใช้อย่างผิดกฎหมายจนก่อให้เกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคล โดยแนวคิดดังกล่าว นอกจากจะเป็นการริเริ่มการคุ้มครองข้อมูลส่วนบุคคลจากการประมวลผลภายในประเทศ (Domestic Territory) แล้ว ยังครอบคลุมถึงการประมวลผลข้อมูลส่วนบุคคลที่เกิดขึ้นในต่างประเทศ (International Territory) ในประเด็นนี้จะรวมถึงกรณีการโอนข้อมูลส่วนบุคคลไปต่างประเทศด้วย       เมื่อการคุ้มครองข้อมูลส่วนบุคคลได้เกิดขึ้นจากการที่หลายประเทศมีการออกหลักเกณฑ์ในการคุ้มครองข้อมูลส่วนบุคคล โดยชนชาติแรกที่ได้มีการกำหนดถึงการคุ้มครองข้อมูลส่วนบุคคล ได้แก่ สหภาพยุโรป โดยได้พัฒนากฎหมายดังกล่าวมาอย่างต่อเนื่องจนเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่เป็นต้นแบบให้กับหลายประเทศทั่วโลก คือ กฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป หรือ General Data Protection Regulation (GDPR) และหนึ่งในหลักเกณฑ์นั้นเป็นการกำหนดถึงมาตรฐานที่เพียงพอของประเทศปลายทางที่รับโอนข้อมูลส่วนบุคคล ซึ่งประเทศไทยก็เป็นหนึ่งในประเทศที่มีการนำ GDPR มาเป็นต้นแบบในการสร้างกฎหมายคุ้มครองข้อมูลส่วนบุคคล จนมีการประกาศใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act B.E. 2562: PDPA) ซึ่งหลักเกณฑ์ว่าด้วยการโอนข้อมูลส่วนบุคคลของประเทศไทยนั้นแม้ว่าจะมีความแตกต่างจาก GDPR แต่ก็กล่าวได้ว่า PDPA…
Read More
PDPA
22 Mar 23

การกำกับดูแลข้อมูลและ PDPA

เขียนและเรียบเรียงโดย รศ.ดร.สมชาย นำประเสริฐชัย อาจารย์ประจำภาควิชาวิศวกรรมคอมพิวเตอร์ คณะวิศวกรรมศาสตร์ มหาวิทยาลัยเกษตรศาสตร์ ข้อมูลเป็นสินทรัพย์สำคัญขององค์กร  การใช้ข้อมูลในการตัดสินใจและการปฏิบัติการกลายเป็นสิ่งจำเป็นในการสร้างคุณค่าและความได้เปรียบในการแข่งขัน    อย่างไรก็ตามเมื่อพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA (Personal Data Protection Act) ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคล บังคับใช้เมื่อ 1 มิถุนายน 2565 นั้น  ทำให้หลายองค์กรของไทยมีความกังวลเกี่ยวกับการใช้ข้อมูลในการดำเนินการต่างๆ ขององค์กรโดยเฉพาะอย่างยิ่งการดำเนินการที่มีข้อมูลส่วนบุคคลเข้ามาเกี่ยวข้อง    การนำข้อมูลมาใช้จำเป็นอย่างยิ่งที่องค์กรต้องมีการบริหารจัดการข้อมูลที่ดีเพื่อให้ข้อมูลที่ใช้เป็นข้อมูลที่มีคุณภาพและสามารถนำสร้างคุณค่าให้กับองค์กร   ดังนั้นทุกองค์กรต้องมีการจัดการข้อมูล (Data Management)  ที่ดี  ซึ่งประกอบด้วยหลายๆ ประเด็นตั้งแต่การกำหนดสถาปัตยกรรมข้อมูล การจัดทำโมเดลข้อมูล การจัดเก็บและการดำเนินการข้อมูล  การรักษาความมั่นคงปลอดภัยข้อมูล การบูรณาการข้อมูล  การจัดการเอกสารและเนื้อหา  ข้อมูลหลักข้อมูลอ้างอิง ระบบคลังข้อมูลและธุรกิจอัจฉริยะ เมตาดาต้า และคุณภาพข้อมูล   ทั้งนี้การจัดการข้อมูลจะมีการกำกับดูแลข้อมูล (Data Governance) เป็นส่วนหนึ่งที่ช่วยสนับสนุนให้ทุกกระบวนการจัดการข้อมูลนั้นบรรลุเป้าหมาย    ดังภาพที่แสดงให้เห็นว่าการกำกับดูแลข้อมูลนั้นรองรับทุกประเด็นในกระบวนการของการจัดการข้อมูลเพื่อให้ข้อมูลมีความถูกต้อง สมบูรณ์ ปลอดภัย สามารถเข้าถึงได้และมีคุณภาพเพื่อสร้างคุณค่าในการใช้ข้อมูล /*!…
Read More
CRM
22 Mar 23

CRM มีกระบวนการทำงานอย่างไร และทำไมถึงเกี่ยวข้องกับ PDPA

เรียบเรียงโดย :คุณสถาพร ฉายะโอภาสประธานจังหวัดนครนายก สมาพันธ์เอสเอ็มอีไทย กฎหมายคุ้มครองข้อมูลส่วนบุคคลหรือ PDPA (Personal Data Protection Act) ที่ประกาศใช้เต็มรูปแบบเมื่อวันที่ 1 มิถุนายน 2565 ที่ผ่านมา เนื่องจากปัญหาการถูกล่วงละเมิดข้อมูลส่วนบุคคลที่มีเพิ่มมากขึ้นเรื่อย ๆ ปัจจุบันองค์กรธุรกิจ หรือ หน่วยงานต่าง ๆ จำเป็นต้องให้ความสำคัญกับการจัดเก็บ และการประมวลผลข้อมูลส่วนบุคคล ให้ถูกต้องตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล PDPA เพื่อสร้างความปลอดภัยและเป็นส่วนตัวให้แก่เจ้าของข้อมูล หากองค์การ หรือหน่วยงานละเลยไม่ดำเนินการตามกฎหมาย PDPA มีความเสี่ยงจากการรับโทษร้ายแรงทั้งทางแพ่ง ทางอาญา และทางปกครอง ในยุคที่มีการใช้เทคโนโลยีเข้ามาช่วยในการจัดเก็บ รวบรวม และประมวลผลข้อมูลส่วนบุคคล (Personal Data) ข้อมูลส่วนบุคคลของบุคคลในองค์กร ข้อมูลลูกค้า และข้อมูลผู้ที่เกี่ยวข้อง จึงจำเป็นต้องได้รับการบริหารจัดการ ความปลอดภัยของข้อมูล และการนำไปใช้งานตามวัตถุประสงค์ที่ขอไว้ ในกระบวนการบริหารข้อมูลส่วนบุคคลสำหรับระบบบริหารและจัดการลูกค้าสัมพันธ์ (Customer Relationship Management System  (CRM)) มีกระบวนการเกี่ยวข้องกับหลายหน่วยงานในองค์กร…
Read More
15 Mar 23

การคุ้มครองข้อมูลส่วนบุคคลและการปฏิบัติตาม PDPA ของหน่วยงานภาครัฐ ควรทำแบบไหน อย่างไรให้ถูกต้อง

หลังการมีผลบังคับใช้ทั้งฉบับของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection   Act : PDPA) เป็นผลให้ทุกหน่วยงานเร่งปฏิบัติบัติให้เป็นไปตามที่กฎหมายกำหนด ทั้งการจัดทำประกาศความเป็นส่วนตัว การขอความยินยอม การแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เป็นต้น ซึ่งการบังคับใช้กฎหมายฉบับนี้ยังมีขอบเขตการบังคับใช้ถึงหน่วยงานราชการด้วย ซึ่งการที่จะพิจารณาว่าหน่วยงานราชการได้อยู่ภายใต้บังคับของ PDPA หรือไม่นั้น ต้องไม่ใช่หน่วยงานที่มีหน้าที่ในการรักษาความมั่นคงของรัฐ  ความมั่นคงทางการคลังของรัฐ หรือการรักษาความปลอดภัยของประชาชน รวมทั้งหน้าที่เกี่ยวกับการป้องกันและปราบปรามการฟอกเงิน นิติวิทยาศาสตร์ หรือการรักษาความมั่นคงปลอดภัยไซเบอร์ หน่วยงานราชการที่มีหน้าที่นอกเหนือจากที่กล่าวมาจะต้องอยู่ภายใต้บังคับของ PDPA ซึ่งการปฏิบัติให้สอดคล้องตามกฎมหายฉบับนี้นั้นจะต้องพิจารณาว่ามีกฎหมายเฉพาะที่กำหนดเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลไว้แล้วหรือไม่ หากใช่ก็ต้องปฏิบัติตามกฎมายว่าด้วยเรื่องนั้น ๆ โดยต้องนำ PDPA มาปฏิบัติเพิ่มเติมในบางส่วน ปัจจุบันการดำเนินงานของหน่วยงานภาครัฐจะอยู่ภายใต้บังคับของพระราชบัญญัติข้อมูลข่าวสารของราชการ พ.ศ. 2540 (Official Information Act : OIA) ซึ่งเป็นกฎหมายทั่วไปที่หน่วยงานราชการจะต้องปฏิบัติเพื่อคุ้มครองข้อมูลส่วนบุคคล แต่เนื่องจากกฎหมายฉบับดังกล่าวมีเหตุผลในการประกาศใช้เพื่อให้ประชาชนสามารถแสดงความคิดเห็นและใช้สิทธิในทางการเมืองได้ และเนื่องจากกฎหมายฉบับนี้เป็นการที่ให้อำนาจหน่วยงานราชการในการที่จะสามารถเปิดเผยข้อมูลที่อยู่ในความครอบครองของหน่วยงานต่อสาธารณะได้ ซึ่งข้อมูลนั้นครอบคลุมถึงข้อมูลส่วนบุคคลด้วย การบังคับใช้ของ PDPA นั้น เป็นการกำหนดหลักเกณฑ์ กลไก หรือมาตรการกำกับดูแลเกี่ยวกับการให้ความคุ้มครองข้อมูลส่วนบุคคลที่เป็นหลักการทั่วไป ซึ่งกฎหมายฉบับนี้ต้องการให้ผู้ควบคุมข้อมูลห้ามเปิดเผยข้อมูลส่วนบุคคลหากไม่ได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคลหรือไม่มีฐานทางกฎหมายอื่นมารองรับ จากที่กล่าวมาข้างต้นจะเห็นได้ว่ากฎหมายทั้ง 2 ฉบับ มีความต่างกันในวัตถุประสงค์ของการบังคับใช้ ดังนั้น…
Read More
โอน-รับข้อมูลระหว่างประเทศ
15 Mar 23

โอน-รับข้อมูลระหว่างประเทศ เมื่อทั่วโลกคุมเข้มมาตรฐานคุ้มครองข้อมูลส่วนบุคคล

สาระสำคัญของกฎหมายคุ้มครองข้อมูลส่วนบุคคลของทั่วโลก นัยหนึ่งเพื่อป้องปรามการทำธุรกิจที่มุ่งเน้นผลประโยชน์โดยใช้ ‘ข้อมูลส่วนบุคคล’ อย่างเกินขอบเขต และการคุ้มครองสิทธิของประชาชน ขณะที่อีกนัยหนึ่งจะเห็นว่าเป็นกติกาการค้ารูปแบบเดิม ๆ ที่ถูกเพิ่มเติมด้วยเงื่อนไขต่าง ๆ เพื่อสร้าง ‘มาตรฐานการค้ายุคใหม่’ และอาจถูกมองว่าเป็นการกำหนด ‘กติกาการค้า’ หมายความว่าผู้ที่จะร่วมเล่นในตลาดเดียวกันจะต้องมีกติกาที่เหมือนกัน หรืออย่างน้อยต้องอยู่ในบรรทัดฐานเดียวกัน เช่นเดียวกับกรณีระเบียบและหลักเกณฑ์การโอนข้อมูลส่วนบุคคลไปยังประเทศที่ไม่เป็นสมาชิก EU หรือองค์กรระหว่างประเทศ ซึ่งเป็นหัวข้อที่มีการถกเถียงกันมากในสหภาพยุโรป รวมถึงเขตเศรษฐกิจยุโรป (นอร์เวย์ ไอซ์แลนด์ และลิกเตนสไตน์) ซึ่งมีประเด็นว่าการโอนข้อมูลส่วนบุคคลไปยังประเทศที่สาม อาทิ สหรัฐอเมริกา ที่ถึงแม้จะมีการออกหลักเกณฑ์ที่ทำให้สามารถโอนข้อมูลส่วนบุคคลไปยังประเทศสหรัฐอเมริกาได้ แต่หลักเกณฑ์ เหล่านั้นกลับยังมีช่องว่าที่ทำมลให้เจ้าของข้อมูลส่วนบุคคลฟ้องผู้ประกอบการที่เป็นผู้ให้บริการนอกประเทศสมาชิก EU  ได้ ด้วยเหตุนี้ การโอนข้อมูลส่วนบุคคลไปต่างประเทศดังกล่าวจะต้องดูที่มาตรฐานการคุ้มครองข้อมูลฯ ที่ ‘เพียงพอ’ ของประเทศปลายทาง และคำวินิจฉัยตามหลักเกณฑ์ของหน่วยงานของสหภาพยุโรปที่รับผิดชอบในการบังคับใช้กฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค หรือ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลสหภาพยุโรป ( European Data Protection Board (EDPB)) ซึ่งเรื่องนี้เป็นอุปสรรคทางการค้าที่เกิดขึ้นกับประเทศที่ทำการติดต่อการค้ากับประเทศในสหภาพยุโรป ดูเหมือนว่า สถานการณ์เหล่านี้จะส่งผลกระทบต่อผู้ประกอบการไทยที่มีการติดต่อการค้ากับต่างประเทศ ภายใต้เงื่อนไขของ กฎหมาย…
Read More
15 Mar 23

จะผิดไหม!!! หากถ่ายภาพผู้ชมฟุตบอลในสนาม

   ในการแข่งขันฟุตบอลโลก 2022 ที่ผ่านมาถือเป็นเรื่องราวที่ทำเอาหัวใจแฟน ๆ นักเตะทีมชาติอาร์เจนตินาและทีมชาติฝรั่งเศสลุ้นกันเป็นอย่างมาก เพราะสองสตาร์ดังจากสโมสรปารีส แซ็ง แฌร์แม็ง กัปตันผู้เป็นทุกอย่างของทัพฟ้าขาว “ลิโอเนล เมสซี่” และว่าที่แข้งซุป’ตาร์เบอร์ 1 ของโลกคนต่อไปจากทัพตราไก่อย่าง “คิลิยัน เอ็มบัปเป้” ได้มาเปิดศึกสร้างประวัติศาสตร์ห้ำหั่นกันอย่างดุเดือด  โดยทีมชาติอาร์เจนตินาคว้าแชมป์โลกหนนี้ไปครองด้วยการชนะการดวลจุดโทษ ซึ่งอีกหนึ่งไฮไลท์ของงานนี้ไม่ได้อยู่ที่การรับถ้วยของเมสซี่แต่เพียงเท่านั้น เพราะเขากลับได้ใจคนรักครอบครัวไปเต็ม ๆ เมื่อ “ลิโอเนล เมสซี่” ที่ได้ชื่อว่าเป็นแข้งที่เก่งกาจที่สุดในโลกด้วยรางวัลบัลลงดอร์ 7 สมัย ยังต้องรับบทช่างภาพจำเป็นถ่ายรูปให้ภรรยาที่ชูถ้วยแชมป์ “ฟุตบอลโลก 2022 เป็นภาพที่เห็นแล้วก็สร้างความประทับใจให้กับใครหลายคน แหล่งที่มา : https://www.thairath.co.th/sport/worldcup/2581460      วันนี้เราจะมาเปิดประเด็นถึงเรื่องการถ่ายภาพในสนามกีฬา ซึ่งแน่นอนว่าไม่ว่าจะเป็นกีฬาใด ๆ หรือแม้กระทั่งในที่สาธารณะก็คงหลีกหนีไม่พ้นเรื่องของการถ่ายภาพและวิดีโอเนื่องจากตอนนี้ในประเทศไทยมีการประกาศบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลออกมาแล้วตั้งแต่ 1 มิถุนายน 2565 แต่ก็มีข้อที่ทำให้ถกเถียงเป็นประเด็นอยู่มาก เรื่องของการถ่ายภาพติดบุคคลอื่นในที่สาธารณะว่าสามารถทำได้หรือไม่ ผิด PDPA หรือไม่? ก่อนอื่นผู้อ่านทุกท่านต้องเข้าใจก่อนว่า…
Read More
pdpa โรงแรม
10 Mar 23

8 เรื่องจำเป็นที่ Hotel – Hostel ต้องปฏิบัติให้ถูกต้องตามกฎหมาย PDPA

นับตั้งแต่แมริออทควบรวมกิจการกับ สตาร์วู๊ด ข้อมูลระบบและข้อมูลลูกค้าของโรงแรมก็ถูกบุกรุกและดักฟังโดยแฮคเกอร์เรียบร้อยแล้วเช่นกัน เดือนพฤศจิกายน 2561 วงการโรงแรมปรากฎข่าวใหญ่ คือ ทาง แมริออท ได้เปิดเผยเหตุการณ์ละเมิดข้อมูลโดยการโดนโจมตีทางไซเบอร์ ซึ่งเป็นข้อมูลของลูกค้าที่เข้ามาใช้บริการในโรงแรม และโรงแรมในเครือประมาณ 339 ล้านคนทั่วโลกอยู่ในความเสี่ยง และประจวบเหมาะกับช่วงเวลานั้นยุโรปประกาศใช้ GDPR (General Data Protection Regulation) ระเบียบการคุ้มครองข้อมูลของประชาชนในสหภาพยุโรป และผลจากเหตุการณ์เรื่องอื้อฉาวของการรั่วไหลของข้อมูลส่วนบุคคลของลูกค้าโรงแรมที่สำคัญ เช่น ข้อมูลรายชื่อ เลขหนังสือเดินทาง ข้อมูลบัตรเครดิตและธุรกรรมการเงิน ข้อมูลวันเวลาในการเข้าพัก เป็นต้น ทำให้แมริออทโดนสำนักงานคณะกรรมาธิการข้อมูลแห่งสหราชอาณาจักร (ICO) ตั้งค่าปรับจากความผิดฐานละเมิดสูงถึง 124 ล้านเหรียญสหรัฐ แม้ภายหลังทางแมริออทจะออกมายืนยันว่าบริษัทจะถูกปรับเป็นจำนวนเงิน 23.77 ล้านเหรียญสหรัฐเท่านั้น แต่เรื่องอื้อฉาวดังกล่าวได้ส่งผลเสียต่อภาพลักษณ์ของโรงแรมชั้นนำของโลก และปั่นทอนความเชื่อมั่นของลูกค้าอย่างที่ไม่สามารถจะฟื้นฟูได้ง่ายๆ ทั้งเป็นการจุดประเด็นเรื่องมาตรการในการคุ้มครองข้อมูลส่วนบุคคลของลูกค้าที่เข้าใช้บริการในโรงแรมทั่วโลกเช่นกัน ด้วยเหตุนี้จึงนำไปสู่คำตอบที่ว่า ทำไมธุรกิจโรงแรมและบริการห้องพักแบบต่างๆ จึงต้องให้ความสำคัญกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล ‘โรงแรม’ จัดเก็บข้อมูลส่วนบุคคลอะไรบ้าง ก่อนอื่นต้องเข้าใจว่า ธุรกิจบริการห้องพักไม่ว่าจะเป็นรูปแบบ Hotel หรือแบบ Hostel ล้วนต้องดำเนินการภายใต้ พ.ร.บ.โรงแรม…
Read More
ใครต้องทำ PDPA
10 Mar 23

ใครต้องรับผิดชอบ ? หากเกิดการละเมิดข้อมูลส่วนบุคคล ตามบทบัญญัติของกฎหมาย PDPA

‘ความรับผิดชอบ’ เป็นคำที่ยิ่งใหญ่ แต่หากดูที่แก่นความหมายซึ่งเป็นการสนธิของสองคำ คือ รับผิด+โดยชอบ อันหมายถึง ‘หน้าที่’ คือ สิ่งที่ต้องทำ แต่ก็น่าแปลกที่สิ่งเหล่านี้อาจจะไม่ใช่ทุกคน หรือทุกองค์กรอยากทำ เพราะมักจะนำไปเปรียบเทียบกับภาระอันยิ่งใหญ่ หรือผลจากการกระทำในเชิงลบที่ต้องมีคนต้องแบกรับ และอาจด้วยเหตุผลนี้ กฎหมาย PDPA หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 จึงได้กำหนด หน้าที่ ตามมาด้วยความรับผิดชอบสำหรับสถานะต่างๆ ภายใต้การดำเนินการด้านข้อมูลส่วนบุคคล โดยเฉพาะอย่างยิ่งหากเกิดข้อมูลรั่วไหลอันนำไปสู่การละเมิดข้อมูลส่วนบุคคล (Data Breach) และคำถามที่หลายคนอยากรู้คือ ความรับผิดชอบนั้นจะตกอยู่ที่ใคร? แต่ก่อนที่จะกล่าวถึงความรับผิดชอบตามกฎหมาย PDPA ในกรณีการละเมิดข้อมูลส่วนบุคคล มาดูความหมายและตัวอย่างของการละเมิดข้อมูลส่วนบุคคลตามนิยามของกฎหมาย ซึ่งหมายถึง เหตุการณ์ หรือการกระทำที่นำไปสู่การเก็บรวบรวม เข้าถึง สูญหาย ทำลาย เปลี่ยนแปลง หรือเปิดเผยโดยไม่ได้รับอนุญาต ไม่ว่าจะเป็นการเจตนา หรือเกิดความผิดพลาดโดยไม่ตั้งใจ ยกกรณีตัวอย่าง เช่น : สถาบันการเงินส่งไปใบแจ้งหนีไปผิดคน โรงพยาบาลส่งผลตรวจสุขภาพไปผิดบ้าน องค์กรโดนโจมตีทางไซเบอร์ ศูนย์ข้อมูลทำงานผิดพลาดจนทำให้ข้อมูลเสียหาย หรือถูกโจรกรรม การส่งต่อข้อมูลหรือแชร์โดยเจ้าของข้อมูลไม่อนุญาต…
Read More

Archives

Categories

We understand the importance of approaching each work integrally and believe in the power of simple.

At vero eos et accusamus et iusto odio digni goikussimos ducimus qui to bonfo blanditiis praese. Ntium voluum deleniti atque.

Melbourne, Australia
(Sat - Thursday)
(10am - 05 pm)
Contact us
Melbourne, Australia
(Sat - Thursday)
(10am - 05 pm)
Contact us