จากบทลงโทษ “บริษัทเอกชนรายใหญ่ของประเทศที่มีการซื้อขายสินค้าออนไลน์” ทำข้อมูลรั่วไหล เมื่อปีก่อน ส่งผลให้มีผู้ได้รับความเสียหายผ่านการใช้ข้อมูลส่วนบุคคลโดยไม่ชอบ จนเป็นข่าวในสื่อสังคมออนไลน์ ก่อนสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล จะมีคำสั่งลงวันที่ 31 กรกฎาคม 2567  โดยคำสั่งฯ ระบุ โทษทางปกครอง PDPA และค่าปรับรวมสูงถึง 7,000,000 บาท อ่านข่าวฉบับเต็ม >> ปรับจริง 7 ล้าน! ไม่ทำตาม PDPA คณะกรรมการผู้เชี่ยวชาญสั่งลงโทษทางปกครองภาคเอกชน ล่าสุดวันที่ 1 สิงหาคม 2568 – คุณประเสริฐ จันทรรวงทอง รองนายกรัฐมนตรี และรัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ร่วมกับ พ.ต.อ.สุรพงศ์ เปล่งขำ เลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล แถลงในนามสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ลงโทษปรับ “ภาครัฐ – เอกชน” รวม 5 เรื่อง 8 คำสั่ง…

ข้อมูลประชาชนในระบบทะเบียนของรัฐ เช่น ระบบทะเบียนราษฎร์ เป็นตัวอย่าง ข้อมูลส่วนบุคคลที่ต้องมีมาตรการคุ้มครองขั้นสูงสุด แม้หน่วยงานรัฐจะมีอำนาจบางประการ ในการประมวลผลข้อมูลส่วนบุคคล แต่หากละเลยหน้าที่ตามกฎหมาย เช่น ไม่แต่งตั้ง เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) หรือไม่แจ้งเหตุการละเมิดฯ หน่วยงานนั้นหรือผู้บริหารอาจถูกสอบสวน และถูกลงโทษทางปกครองได้ตามที่กฎหมายกำหนดPDPA Thailand รวบรวม Checklist 4 ประการที่สำคัญที่ “ภาครัฐต้องรู้” ก่อนจะถูก PDPA ตรวจสอบ   1. หน่วยงานรัฐของท่าน มีการแต่งตั้ง “เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)” แล้วหรือยัง?: – ตาม PDPA มาตรา 41 (1) ได้มีการประกาศรายชื่อหน่วยงานรัฐที่จำเป็นต้องแต่งตั้ง DPO ซึ่งแม้ว่าบางหน่วยงานจะไม่มีรายชื่อตามประกาศ* แต่หากมีกิจกรรมการประมวลผลข้อมูลส่วนบุคคลที่เข้าข่ายตาม 41 (2) หรือ 41 (3) ก็จำเป็นต้องแต่งตั้ง DPO ด้วย*ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่องลักษณะขององค์กรที่จำเป็นต้องแต่งตั้ง…

จากเมื่อวันที่ 4 กรกฎาคม 2568 ที่ผ่านมา ทางเว็บไซต์ของ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ซึ่งเป็นแหล่งรวมข้อหารือและคำแนะนำด้านการคุ้มครองข้อมูลส่วนบุคคล (ดูเพิ่มเติมที่: เว็บไซต์ PDPC: ข้อหารือและคำแนะนำ) ได้มีการอัปโหลดไฟล์เนื้อหาเกี่ยวกับการตีความประเด็นสำคัญภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ทาง PDPA Thailand จึงขอถือโอกาสนำเนื้อหาดังกล่าวมาวิเคราะห์ให้ท่านผู้ที่สนใจด้านการคุ้มครองข้อมูลส่วนบุคคลได้ทำความเข้าใจกันครับ ประเด็นที่หารือ กรณีอดีตพนักงานร้องเรียนว่าข้อมูลการสอบสวนทางวินัยของตนถูกเผยแพร่บนอินเทอร์เน็ต และสอบถามว่าข้อมูลดังกล่าวควรถือเป็น “ข้อมูลส่วนบุคคลลักษณะพิเศษ” (Special categories of personal data) ที่ต้องได้รับความคุ้มครองพิเศษหรือไม่ ข้อวินิจฉัยของ PDPC คณะอนุกรรมการฯ มีความเห็นว่า ข้อมูลทางวินัยไม่ใช่ “ประวัติอาชญากรรม” และไม่เข้าข่ายข้อมูลลักษณะพิเศษอื่น ๆ ตามมาตรา 26 เช่น เชื้อชาติ ความเห็นทางการเมือง หรือสุขภาพ ทั้งยังไม่ถึงขั้นส่งผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลอย่างร้ายแรงพอจะเข้าข่าย “ข้อมูลอื่นใด” ที่ควรกำหนดเพิ่มเติมในมาตรานี้ มุมมองเชิงนโยบาย PDPA…

8 กิจการขนาดเล็ก (SMEs) ไม่ต้องจัดทำ RoPA (ฉบับเต็ม) จริงหรือไม่? เช็กให้ชัวร์ก่อนถูกปรับ! ก่อนจะไปดูว่ามีกิจการแบบไหนที่ได้รับการยกเว้นไม่ต้องทำ RoPA ขอแนะนำให้ทุกท่านรู้จักก่อนว่า RoPA คืออะไร? ตามกฎหมาย PDPA มาตรา 39 ระบุให้องค์กรต้องจัดทำ “RoPA หรือ บันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล” เพื่อเป็นเครื่องมือช่วยระบุว่ามีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในแต่ละหน่วยงานกับใคร เพื่อวัตถุประสงค์ใด และอย่างไรบ้าง แล้ว 8 กิจการขนาดเล็ก (SMEs) มีกิจการใดบ้างที่ไม่ต้องจัดทำ RoPA (ฉบับเต็ม) จากประกาศกฎหมายลำดับรอง PDPA* 1. SMEs ที่มีพนักงานและรายได้ไม่เกินเกณฑ์ที่กำหนด 2. วิสาหกิจชุมชนหรือเครือข่ายวิสาหกิจชุมชน 3. วิสาหกิจเพื่อสังคมหรือกลุ่มกิจการเพื่อสังคม 4. สหกรณ์ ชุมนุมสหกรณ์ หรือกลุ่มเกษตรกร 5. มูลนิธิ สมาคม องค์กรศาสนา…

บทความโดย: อาจารย์สุกฤษ โกยอัครเดช ประธานเจ้าหน้าที่ฝ่ายปรึกษาและสอบทาน DBC Group เมื่อพูดถึงวงการรถเช่าระดับโลก หลายคนอาจนึกถึงแบรนด์ Hertz ซึ่งครองอันดับ 1 มาอย่างยาวนาน แต่หากพูดถึงอีกแบรนด์หนึ่งที่แม้จะไม่ได้เป็นเบอร์หนึ่ง แต่ก็มีอีกแบรนด์ที่แข็งแกร่งไม่แพ้กัน นั่นคือ Avis Car Rental (ต่อไปนี้จะเรียกว่า “Avis”) ซึ่งมาพร้อมสโลแกน “we try harder” ที่หลายคนคุ้นหู นี่คือกลยุทธ์ทางการตลาดที่เปลี่ยนข้อเสียเปรียบให้กลายเป็นจุดแข็งในการสร้างแบรนด์   กรณีศึกษา เหตุละเมิดข้อมูลส่วนบุคคล PDPA กับข้อมูลส่วนบุคคลของสมาชิก แม้ผู้เขียนจะเป็นสมาชิกของ Avis มาตั้งแต่สมัยทำงานที่สหรัฐฯ เมื่อปีพ.ศ. 2539 (ค.ศ. 1996) และไม่ได้ใช้บริการอีกเลยหลังจากกลับไทยในราวปีพ.ศ. 2546-2547 แต่ข้อมูลส่วนบุคคลของสมาชิกดังกล่าวก็ยังคงถูกเก็บรักษาในระบบของบริษัทเป็นเวลานานนับ 20 ปี จนกระทั่งเมื่อวันที่ 17 กันยายน 2567 ผู้เขียนได้รับอีเมลจาก Avis Budget…

สรุป Mini Talk with TAI “PDPA กับมาตรฐานสากล : เส้นทางสู่การคุ้มครองข้อมูลส่วนบุคคลอย่างยั่งยืน” โดย ดร.อุดมธิปก ไพรเกษตร CEO DBC Group | ผู้ก่อตั้ง PDPA Thailand ทำไม PDPA ถึงสำคัญกว่าที่คิด? “ยุค ‘ใช้ข้อมูลฟรี’ จบลงแล้ว—ใครเข้าใจก่อน ย่อมได้เปรียบก่อน” ดร.อุดมธิปกเล่าถึงจุดเปลี่ยนจากวันที่ธุรกิจไทยเก็บ-ใช้ข้อมูลได้แทบไม่ต้องขออนุญาต จนถึงวันที่ PDPA เริ่มร่างเมื่อปี 2559 และบังคับใช้เต็มรูปแบบในปี 2565 ยิงสปอตไลต์ไปที่ สิทธิของเจ้าของข้อมูล และ ความรับผิดชอบขององค์กร อย่างที่ไม่เคยเกิดขึ้นมาก่อน 4 ประเด็นเด็ดจากเวทีเสวนา ประเด็น เกิดอะไรขึ้น? โอกาสที่องค์กรคว้ามาใช้ได้ 1. เปลี่ยนภาระเป็นโอกาส ธุรกิจส่วนใหญ่กลัว “ต้นทุน PDPA” จัดระบบข้อมูลใหม่ 👉…