CrowdStrike หน้าที่และความรับผิดตาม PDPA เป็นของใคร
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA กำหนดหน้าที่ขององค์กรที่อาจเกี่ยวข้องกับเหตุการณ์ CrowdStrike ไว้ดังนี้
เงื่อนไขการใช้สิทธิและการบริหารจัดการสิทธิตาม PDPA
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ PDPA กำหนดให้เจ้าของข้อมูลส่วนบุคคลมีสิทธิหลาย ๆ ประการที่กฎหมายบัญญัติไว้ในมาตรา 30-36 ได้แก่ สิทธิในการขอเข้าถึงและขอรับสำเนา (Access) สิทธิขอให้โอนข้อมูล (Portability) สิทธิคัดค้าน (Object) สิทธิขอให้ลบ (Erasure) สิทธิขอให้ระงับการใช้ (Restriction) และสิทธิขอให้แก้ไขข้อมูล (Rectification) กฎหมายได้กำหนดเป็นหน้าที่ขององค์กรต่าง ๆ ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล ให้มีหน้าที่ดำเนินการตอบสนองต่อคำขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลด้วย (Responding to Data Subject Requests: DSRs) สิทธิทั้ง 6 ประการดังกล่าวมีเงื่อนไขและขอบเขตการใช้บังคับหรือการดำเนินการตาม DSRs ที่แตกต่างกันขึ้นอยู่กับเงื่อนไขการใช้สิทธิแต่ละประเภท และฐานทางกฎหมายที่เกี่ยวข้อง (lawful basis) กับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล European Data Protection Board (EDPB) ซึ่งเป็นหน่วยงานกำกับการบังคับใช้ GDPR…
ผู้ใช้บริการมีสิทธิรู้ว่า ‘ข้อมูล’ ของตนเองถูกเปิดเผยหรือโอนไปอยู่ที่ใคร
วันที่ 12 ม.ค.2566 ศาลยุติธรรมแห่งสหภาพยุโรป ได้เผยแพร่คำวินิจฉัยคดี C-154/21 ที่ผู้ใช้บริการของ Österreichische Post มีคำร้องขอ (data subject request: DSR) ให้ผู้ให้บริการเปิดเผยข้อมูลส่วนบุคคลเกี่ยวกับตนเอง ว่าถูกเปิดเผยหรือโอนไปยังบุคคลใดบ้าง (access request) ผู้ร้องขอกล่าวอ้างว่า Österreichische Post ในฐานะ “ผู้ควบคุมข้อมูลส่วนบุคคล” (data controller) มีหน้าที่ตามกฎหมายในการเปิดเผยข้อมูลดังกล่าวต่อผู้ใช้บริการในฐานะ “เจ้าของข้อมูลส่วนบุคคล” (data subject) ตาม กฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (EU General Data Protection Regulation: GDPR) ซึ่งกำหนดให้เจ้าของข้อมูลส่วนบุคคลมีสิทธิที่จะได้รับข้อมูลเกี่ยวกับผู้รับ (recipients) หรือประเภทของผู้รับ (categories of recipient) ซึ่งข้อมูลส่วนบุคคลของเขาถูกเปิดเผยหรือจะถูกเปิดเผย ผู้ให้บริการตอบสนองต่อคำร้องขอของผู้ใช้บริการ โดยการให้ข้อมูลแบบไม่เฉพาะเจาะจงตัวผู้รับโอนข้อมูล กล่าวคือ ให้ข้อมูลเพียงว่า ผู้ให้บริการใช้ข้อมูลส่วนบุคคลตามขอบเขตที่กฎหมายอนุญาตในการดำเนินกิจกรรม …
แนวทางประเมินความเสี่ยงและแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ มาตรา 37 (4) กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ “แจ้งเหตุการละเมิดข้อมูลส่วนบุคคล” แก่สำนักงานโดยไม่ชักช้าภายใน 72 ชั่วโมง นับแต่ทราบเหตุเท่าที่จะสามารถกระทำได้ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล อย่างไรก็ตาม ในกรณีที่การละเมิดมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคลให้แจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อมกับแนวทางการเยียวยาโดยไม่ชักช้าด้วย ตามมาตรา 37 (4) แสดงให้เห็นว่า “การประเมินความเสี่ยงต่อสิทธิและเสรีภาพของบุคคล” เป็นเงื่อนไขสำคัญประการหนึ่งที่ทำให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบว่าตนเองนั้นมีหน้าที่ต้องแจ้งหรือไม่ต้องแจ้งเหตุ แก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลและเจ้าของข้อมูลส่วนบุคคลให้ทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น ดังนั้น ผู้ควบคุมข้อมูลส่วนบุคคลจึงจำเป็นต้องพิจารณาปัจจัยต่าง ๆ เพื่อใช้ในการประเมินความเสี่ยงต่อสิทธิและเสรีภาพของบุคคล เมื่อเหตุการละเมิดข้อมูลส่วนบุคคลเกิดขึ้น คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้กำหนดปัจจัยต่าง ๆ ที่ผู้ควบคุมข้อมูลส่วนบุคคลอาจใช้ในการประเมินความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคลไว้ในประกาศฯ เรื่อง หลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลฯ ข้อ 12 โดยผู้ควบคุมข้อมูลส่วนบุคคล อาจพิจารณาจากปัจจัย ดังต่อไปนี้ (1) ลักษณะและประเภทของการละเมิดข้อมูลส่วนบุคคล (2) ลักษณะหรือประเภทของข้อมูลส่วนบุคคลที่เกี่ยวข้องกับการละเมิด (3) ปริมาณของข้อมูลส่วนบุคคลที่เกี่ยวข้องกับการละเมิด ซึ่งอาจพิจารณาจากจำนวนเจ้าของข้อมูลส่วนบุคคลหรือจำนวนรายการ (records)…
หน้าที่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม
พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนดให้องค์กรมีหน้าที่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมเป็นหน้าที่ของ “ผู้ควบคุมข้อมูลส่วนบุคคล” และ “ผู้ประมวลผลข้อมูลส่วนบุคคล” ซึ่งการไม่มีมาตรการที่เหมาะสมอาจมีความรับผิดตามที่กฎหมายกำหนด พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนดให้องค์กรมีหน้าที่ ดังนี้ 1.ผู้ควบคุมข้อมูลส่วนบุคคล มีหน้าที่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ และต้องทบทวนมาตรการดังกล่าวเมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม ทั้งนี้ ให้เป็นไปตามมาตรฐานขั้นต่ำที่คณะกรรมการประกาศกำหนด (มาตรา 37(1)) 2.ผู้ควบคุมข้อมูลส่วนบุคคล มีหน้าที่แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สำนักงานโดยไม่ชักช้าภายใน 72 ชั่วโมง นับแต่ทราบเหตุเท่าที่จะสามารถกระทำได้ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ในกรณีที่การละเมิดมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ให้แจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อมกับแนวทางการเยียวยาโดยไม่ชักช้าด้วย ทั้งนี้ การแจ้งดังกล่าวและข้อยกเว้นให้เป็นไปตามหลักเกณฑ์และวิธีการที่คณะกรรมการประกาศกำหนด (มาตรา 37(4)) 3.ผู้ประมวลผลข้อมูลส่วนบุคคล มีหน้าที่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคล โดยปราศจากอำนาจหรือโดยมิชอบ รวมทั้งแจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น (มาตรา 40(2)) จากกฎหมายที่เกี่ยวข้อง…
ผู้ควบคุมข้อมูลส่วนบุคคล : บทบาทและหน้าที่ตามกฎหมาย
“ผู้ควบคุมข้อมูลส่วนบุคคล” และ “ผู้ประมวลผลข้อมูลส่วนบุคคล” เป็นคำใหม่ในระบบกฎหมายไทยและมีความหมายเฉพาะตามที่กำหนดไว้ใน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ HIGHLIGHTS ในแต่ละองค์กร ผู้ควบคุมข้อมูลส่วนบุคคล คือองค์กรที่เป็นนิติบุคคล ไม่ใช่พนักงานหรือส่วนงานใดส่วนงานหนึ่งภายในองค์กร สถานะ หน้าที่และความรับผิดในฐานะผู้ควบคุมข้อมูลส่วนบุคคลเป็นไปตามที่กฎหมายกำหนด ไม่สามารถมอบหมายไปยังบุคคลอื่นได้ พนักงานภายในองค์กรในบริบทของสัญญาจ้างพนักงานไม่ใช่ผู้ประมวลผลข้อมูลส่วนบุคคล ในบริบทของกิจกรรมการประมวลผลหนึ่ง ๆ บุคคลธรรมดาที่จะเป็นผู้ควบคุมข้อมูลส่วนบุคคลตามนิยามในกฎหมายนี้ต้องไม่ใช่ผู้ที่ทำการประมวลผลในนามหรือตามคำสั่งขององค์กรที่ตนสังกัด เนื่องจากเจตนารมณ์ของกฎหมายไม่ต้องการให้แยกการดำเนินการของบุคคลต่าง ๆ ในองค์กรออกจากองค์กรที่ตนเองสังกัด บุคคลธรรมดาซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล อาทิ ในกรณีที่ประกอบกิจการเจ้าของคนเดียวโดยที่ไม่ได้จดทะเบียนจัดตั้งนิติบุคคลแยกต่างหากจากบุคคลที่เป็นเจ้าของ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนดหน้าที่และความรับผิดชอบในการปฏิบัติตามกฎหมายไว้กับบุคคลสองกลุ่ม ได้แก่ “ผู้ควบคุมข้อมูลส่วนบุคคล” และ “ผู้ประมวลผลข้อมูลส่วนบุคคล” ทั้งนี้เพื่อคุ้มครองสิทธิขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคลอย่างเป็นระบบ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ กำหนดว่า “ผู้ควบคุมข้อมูลส่วนบุคคล” หมายความว่า บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (“การประมวลผลข้อมูลส่วนบุคคล”) และ “ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายความว่า บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล จากบทนิยามดังกล่าว อาจจำแนกลักษณะและองค์ประกอบของความเป็นผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล…