General Data Protection Regulation หรือ GDPR เป็นกฎหมายของสหภาพยุโรปว่าด้วยมาตรการคุ้มครองความเป็นส่วนตัวของข้อมูลส่วนบุคคล โดยข้อมูลส่วนบุคคลตามนิยามของ GDPR คือ ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม รวมถึงข้อมูลที่นำมารวมกันแล้วสามารถใช้ระบุอัตลักษณ์ของบุคคลได้ เช่น ชื่อ-นามสกุล ที่อยู่ อีเมล หมายเลขบัตรประจำตัว IP Address  แนวคิดพื้นฐานของ Data protection ‘by design’ and ‘by default’ มีการใช้อยู่ในกระบวนการทางวิศวกรรมบางสาขา แต่จะรู้จักกันในชื่อ Privacy by Design (PbD) และได้ถูกนำมาใช้อย่างหลากหลายหลังการบังคับใช้กฎหมาย GDPR เนื่องจากมีการกำหนดไว้ชัดใน Articles 25 (1) และ (2) จึงถือได้ว่าไม่ใช่เรื่องใหม่มากนัก และเนื่องจากการกำหนดถึง Data protection ‘by design’ and ‘by default’…

เรียบเรียงโดย :  อ. ทรงพล หนูบ้านเกาะ – Project manager ด้านการคุ้มครองข้อมูลส่วนบุคคล คุณสุพิชญา เอกยะติ – ที่ปรึกษาและสอบทานการคุ้มครองข้อมูลส่วนบุคคล พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลประกาศใช้อย่างเป็นทางการเมื่อวันที่ 27 พฤษภาคม 2562 และบังคับใช้เต็มรูปแบบในวันที่ 1 มิถุนายน 2565 องค์กรทั้งหลายจะต้องเตรียมพร้อมและเข้าใจถึงหน้าที่ รวมถึงความรับผิดชอบที่มีต่อพระราชบัญญัติฉบับนี้ โดยให้ความสำคัญกับวงจรการประมวลผลข้อมูลส่วนบุคคลที่องค์กรนั้นได้เก็บ รวบรวม ใช้ เปิดเผย ไปจนถึงการทำลายอย่างเหมาะสม ประเทศไทยได้รับอิทธิพลเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลมาอย่างยาวนานมากกว่า 20 ปี อันปรากฏให้เห็นได้จากพระราชบัญญัติข่าวสารของราชการ พ.ศ. 2540 ซึ่งได้กล่าวถึงข้อมูลส่วนบุคคล โดยมีรากฐานมาจาก Privacy Framework ของ EU Directive 1995 (2538) อันเป็นต้นแบบของการคุ้มครองข้อมูลส่วนบุคคลในนานาประเทศ และจาก Privacy Framework ดังกล่าว ทางสหภาพยุโรปได้มีพัฒนาจนนำสู่การบังคับใช้ General Data…

หลังที่สหภาพยุโรปได้มีการบังคับใช้กฎหมาย General Data Protection Regulation หรือ GDPR เมื่อวันที่ 25 พฤษภาคม 2561 กฎหมายของสหภาพยุโรปว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ทำให้องค์กรธุรกิจต่างมีการปรับตัว และที่ปรับตัวได้ไม่ทันหรือไม่ถูกต้องตามกฎหมาย ก็จะโดนบทลงโทษโดยการ ‘ปรับเงิน’ ซึ่งตามระเบียบของ GDPR มีโทษปรับสูงสุด 20 ล้านยูโร หรืออาจจะคิดจากฐาน 4% ของรายได้ทั่วโลก และอาจจะต้องพิจารณาจ่ายค่าสินไหมทดแทนให้ผู้เสียหายจากการละเมิดข้อมูลส่วนบุคคลร่วมด้วย ขณะที่บริการจัดส่งอาหารออนไลน์ หรือ Food Delivery ซึ่งปัจจุบันได้เปลี่ยนพฤติกรรมการซื้ออาหารของผู้บริโภค และผู้ประกอบการต่างแข่งขันกันพัฒนาแพลตฟอร์มเพื่อให้บริการที่ตรงตามความต้องการของผู้บริโภค จึงเป็นธุรกิจกระแสแรงยุคนี้ แต่ในทางตรงกันข้าม Food Delivery ก็กำลังเผชิญปัญหาที่หนักหน่วงจากกฎหมายคุ้มครองข้อมูลส่วนบุคคลอย่างหนักหน่วยเช่นกัน เนื่องจากมีสถานะเป็นผู้ควบคุมส่วนบุคคล ที่มีการเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของทั้งลูกค้าและพนักงานส่งอาหารเป็นจำนวนมาก ทำให้การดำเนินการในหลายด้านจึง ‘สุ่มเสี่ยง’ ละเมิดได้ง่าย ดังกรณีของ 2 แพลตฟอร์มผู้ให้บริการด้าน Food Delivery รายใหญ่ในประเทศอิตาลี คือ…

PDPA แบ่งออกเป็น 2 ประเภท คือ ข้อมูลส่วนบุคคล (PII) ที่สามารถระบุตัวตนบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรม และอีกประเภทคือ ข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive PII) คือ ข้อมูลส่วนบุคคลที่เกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อ ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลพันธุกรรม ข้อมูลชีวภาพ (เช่น ข้อมูลภาพจำลองใบหน้า ข้อมูลจำลองม่านตา ข้อมูลจำลองลายนิ้วมือ) และข้อมูลอื่นใดที่กระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด ซึ่งโรงพยาบาลมีการประมวลผลข้อมูลส่วนบุคคล (PII)  และข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive PII) รวมถึงข้อมูลการรักษาพยาบาล ที่เสี่ยงต่อการผิด PDPA ตัวอย่างข้อมูลการรักษาพยาบาล หมายถึง ข้อมูลดังต่อไปนี้ วัน/เดือน/ปี ที่เข้ารับการรักษา ประวัติแพ้ยาและประวัติผลข้างเคียงจากยา ประวัติแพ้อาหาร ชื่อโรคที่ได้รับการวินิจฉัย ชื่อหัตถการ และชื่อการผ่าตัด ผลเลือด…

ทุกวันนี้ยังมีข่าวเกี่ยวกับการหลุดรั่วของข้อมูลส่วนบุคคลให้เห็นอยู่หลายกรณี ซึ่งแน่นอนว่าส่งผลกระทบต่อความเชื่อมั่นขององค์กร และความวิตกกังวลของประชาชนว่า ข้อมูลส่วนบุคคลของพวกเขา จะถูกนำไปใช้หาประโยชน์อะไรในทางที่ไม่ชอบด้วยกฎหมาย ยังถือว่าเป็นโชคดีของภาครัฐและผู้ประกอบการไทย ที่ปัจจุบันแม้กฎหมาย PDPA จะมีการประกาศใช้บังคับแล้ว แต่ก็ยังต้องยอมรับว่าประเทศก็ยังคงไม่มีเคสที่โดนปรับอย่างจริงจัง เพราะคณะกรรมการข้อมูลส่วนบุคคลยังมีการปรับกฎหมายย่อยของ PDPA เพื่อให้สอดคล้องกับไทยมากที่สุด  ซึ่งถือเป็นโอกาศเหมาะในการเรียนรู้เคสน่าศึกษาจากทาง GDPR ที่ผู้ประกอบการณ์ของไทยที่ควรดูไว้เป็นแบบอย่าง /*! elementor – v3.6.6 – 08-06-2022 */ .elementor-heading-title{padding:0;margin:0;line-height:1}.elementor-widget-heading .elementor-heading-title[class*=elementor-size-]>a{color:inherit;font-size:inherit;line-height:inherit}.elementor-widget-heading .elementor-heading-title.elementor-size-small{font-size:15px}.elementor-widget-heading .elementor-heading-title.elementor-size-medium{font-size:19px}.elementor-widget-heading .elementor-heading-title.elementor-size-large{font-size:29px}.elementor-widget-heading .elementor-heading-title.elementor-size-xl{font-size:39px}.elementor-widget-heading .elementor-heading-title.elementor-size-xxl{font-size:59px} กรณี 1 เหตุการณ์การเปิดเผยข้อมูลแก่บุคคลภายนอกของ สำนักงานนายกเทศมนตรีเมือง Kecskemet ประเทศ ฮังการี ประเภทของกรณีศึกษา :  ประมวลผลเกินความจำเป็น หน่วยงานกำกับดูแลด้านการคุ้มครองข้อมูลส่วนบุคคลฮังการี (NAIH) ได้สั่งปรับสำนักงานนายกเทศมนตรีเมือง Kecskemet เป็นจำนวนเงิน 3,200 ยูโร (หรือประมาณ 116,451บาท) เนื่องจากมีการเปิดเผยข้อมูลส่วนบุคคลของผู้แจ้งเบาะแสโดยไม่ชอบด้วยกฎหมาย…

ภายในองค์กรธุรกิจ กิจกรรมของฝ่ายขาย (Sale) และงานบริหารลูกค้า(AE-Account Executive) ซึ่งเป็นแผนกหลักๆ ที่มีการติดต่อและประสานงานกับลูกค้าโดยตรง ด้วยเหตุผลดังกล่าว ทำให้แผนกนี้ต้องมีการจัดเก็บข้อมูลส่วนบุคคลของลูกค้าแต่ละบริษัทไว้เป็นจำนวนมาก และด้วยเหตุผลนี้ เราจึงขอยกกรณีตัวอย่างในการจัดเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของลูกค้าอย่างไร ไม่ให้ละเมิดกฎหมาย PDPA หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 และเป็นแนวทางให้องค์กรธุรกิจต่างๆ นำไปปรับใช้อย่างเหมาะสม ข้อมูลส่วนบุคคลที่ฝ่ายขาย & AE มักเก็บรวบรวมมีอะไรบ้าง ? ยังคงปฏิเสธไม่ได้ว่า ฝ่ายบริการลูกค้า ฝ่ายขาย หรือที่เราเรียกกันว่า AE มีการเก็บรวบรวม‘ข้อมูลส่วนบุคคล’ ของลูกค้าเพื่อใช้ในการติดต่อ หรือบริการ  เช่น ชื่อ นามสกุล ชื่อเล่น เบอร์โทร อีเมล ไอดีไลน์ บัญชีโซเชียลมีเดีย เดินทาง เลขบัตรประจำตัวประชาชน เลขเลขป้ายทะเบียนรถ เลขใบอนุญาตขับขี่ เลขประจำตัวผู้เสียภาษี เลขบัตรประกันสังคม บัญชีธนาคาร เลขบัตรเครดิต รูปภาพใบหน้า  ซึ่งหากเราโฟกัสตามกฎหมาย…

การยืนยันตัวตนด้วยวิธีสแกนใบหน้า สแกนม่านตา หรือลายนิ้วมือในปัจจุบันอาจไม่ใช่เรื่องแปลกใหม่แต่อย่างใด แต่สิ่งหนึ่งที่ผู้ประกอบธุรกิจควรจะทราบด้วยว่า ไบโอเมตริกซ์ (Biometrics) คือ ข้อมูลทางสรีรวิทยาที่เป็นอัตลักษณ์เฉพาะทางกายภาพของบุคคลนั้นๆ เป็น ‘ข้อมูลส่วนบุคคลอ่อนไหว’ (Sensitive Data) ซึ่งกฎหมาย PDPA หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 บัญญัติไว้ว่า ห้ามไม่ให้เก็บรวบรวม ใช้ หรือเปิดเผยโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล และการเก็บใช้จะต้องอยู่บนพื้นฐานของความจำเป็นและมาตรการป้องการการรั่วไหลของข้อมูลส่วนบุคคลอย่างเหมาะสมกับความเสี่ยง     /*! elementor – v3.6.6 – 08-06-2022 */ .e-container.e-container–row .elementor-spacer-inner{width:var(–spacer-size)}.e-container.e-container–column .elementor-spacer-inner,.elementor-column .elementor-spacer-inner{height:var(–spacer-size)} /*! elementor – v3.6.6 – 08-06-2022 */ .elementor-heading-title{padding:0;margin:0;line-height:1}.elementor-widget-heading .elementor-heading-title[class*=elementor-size-]>a{color:inherit;font-size:inherit;line-height:inherit}.elementor-widget-heading .elementor-heading-title.elementor-size-small{font-size:15px}.elementor-widget-heading .elementor-heading-title.elementor-size-medium{font-size:19px}.elementor-widget-heading .elementor-heading-title.elementor-size-large{font-size:29px}.elementor-widget-heading .elementor-heading-title.elementor-size-xl{font-size:39px}.elementor-widget-heading .elementor-heading-title.elementor-size-xxl{font-size:59px} ข้อมูล Biometrics คืออะไร…

กิจกรรมที่เกี่ยวกับข้อมูลส่วนบุคคลภายใต้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA มีอยู่ 3 กิจกรรมหลักๆ คือ การเก็บรวบรวม การใช้ และการเปิดเผยข้อมูลส่วนบุคคล ซึ่งหลักการคุ้มครองข้อมูลส่วนบุคคลของ PDPA คือ บริษัทหรืององค์กรจะไม่สามารถประมวนผลใดๆก็ตามได้ เว้นแต่ เจ้าของข้อมูลส่วนบุคคลจะได้ให้ความยินยอม ทั้งนี้ เว้นแต่ข้อยกเว้นตาม PDPA หรือกฎหมายอื่นจะกำหนดให้ทำได้ หมายความว่า โดยหลักคือ จะทำกิจกรรมการเก็บรวบรวม การใช้ และการเปิดเผยข้อมูลส่วนบุคคลได้ต่อเมื่อ 1. ได้รับฐานความยินยอม หรือ 2. เข้าข้อยกเว้นตามกฎหมายจากฐานอื่นๆ (หรือเรียกอีกอย่างหนึ่งว่าฐานการประมวลผลข้อมูล หรือ Lawful Basis ) /*! elementor – v3.6.6 – 08-06-2022 */ .elementor-heading-title{padding:0;margin:0;line-height:1}.elementor-widget-heading .elementor-heading-title[class*=elementor-size-]>a{color:inherit;font-size:inherit;line-height:inherit}.elementor-widget-heading .elementor-heading-title.elementor-size-small{font-size:15px}.elementor-widget-heading .elementor-heading-title.elementor-size-medium{font-size:19px}.elementor-widget-heading .elementor-heading-title.elementor-size-large{font-size:29px}.elementor-widget-heading .elementor-heading-title.elementor-size-xl{font-size:39px}.elementor-widget-heading…