พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล Archives

กฎหมาย PDPA ที่หลายหน่วยงาน ยังไม่มีความตระหนัก

บทความน่าสนใจBy Admin S.10 9 January 2023

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ประกาศมาตั้งแต่เดือนพ.ค. พ.ศ. 2562 และเลื่อนการบังคับใช้มาหลายรอบ จนกระทั่งเริ่มบังคับใช้กันอย่างจริงจังเมื่อวันที่ 1 มิ.ย.ปีที่ผ่านมา แม้หลายหน่วยงาน โดยเฉพาะองค์กรขนาดใหญ่จะเตรียมตัวกันอย่างจริงจัง และตระหนักต่อกฎหมาย PDPA นี้ วันหนึ่งนิติบุคคลของหมู่บ้านแจ้งในไลน์กลุ่มว่า ขณะนี้นิติบุคคลได้เปลี่ยนบริษัทที่ทำหน้าที่รักษาความปลอดภัย หรือ รปภ. ซึ่งไม่เพียงแต่เก็บบัตรประชาชนของผู้มาติดต่อไว้ชั่วคราวในการแลกบัตรเข้าออกหมู่บ้าน แต่จะเพิ่มมาตรการให้มีระบบถ่ายรูปทะเบียนรถพร้อมบัตรประชาชนผู้ที่มาติดต่ออีกด้วย เมื่อเห็นข้อความเช่นนี้ ผมก็ตกใจเพราะเพียงแค่เก็บบัตรประชาชนไว้ชั่วคราวโดยไม่ได้มีการขออนุญาตก็ถือว่าเป็นการละเมิดกฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA) แล้ว แต่ยังจะถ่ายรูปเก็บไว้อีกด้วย ซึ่งเมื่อติงไปว่าอาจผิดกฎหมาย PDPA คำตอบที่ได้รับคือ ที่อื่น ๆ ก็ทำกัน ข้อสำคัญเราแค่เก็บไว้ในเครื่องคอมพิวเตอร์ ความเห็นคนในหมู่บ้านในเรื่องนี้ก็ค่อนข้างจะหลากหลาย แต่ส่วนหนึ่งก็คิดว่าต้องการจะเก็บข้อมูลเพื่อเอาไว้ตรวจสอบผู้มาติดต่อในหมู่บ้าน ไม่น่าจะมีปัญหาว่าขัดต่อกฎหมาย เพราะหลายหมู่บ้านก็ทำกัน เช่นกันกับการเข้าออกอาคารสำนักงานต่าง ๆ ส่วนใหญ่ก็ต้องแลกบัตร รวมทั้งบางคนก็มองว่ากฎหมาย PDPA น่าจะหมายถึงการห้ามนำข้อมูลคนอื่นมาทำให้เกิดความเสียหายหรือก่อความรำคาญแก่เจ้าของข้อมูล และคิดว่าการเก็บข้อมูลเพื่อความปลอดภัยและตรวจสอบน่าจะทำได้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ประกาศมาตั้งแต่เดือน พ.ค. พ.ศ. 2562 และเลื่อนการบังคับใช้มาหลายรอบ จนกระทั่งเริ่มบังคับใช้กันอย่างจริงจังเมื่อวันที่…

กฎหมายคุ้มครองข้อมูลส่วนบุคคลในสหรัฐเป็นอย่างไร?

บทความน่าสนใจBy Admin S.10 28 November 2022

การคุ้มครองข้อมูลส่วนบุคคลเป็นการคุ้มครองสิทธิของประชาชนที่รัฐบาลหลาย ๆ ประเทศให้ความสำคัญ และเป็นแนวคิดที่มีมาหลายสิบปีแล้ว พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ของประเทศไทย มีผลใช้บังคับอย่างเต็มรูปแบบในวันที่ 1 มิ.ย.ที่ผ่านมา ซึ่งต้องยอมรับว่าภาคเอกชนหลาย ๆ บริษัทนั้นมีความตื่นตัวและเตรียมความพร้อมกันอย่างเต็มที่ในการดำเนินการให้เป็นไปตามที่กฎหมายดังกล่าวกำหนด หลายประเทศเพื่อนบ้าน รวมทั้งเวียดนาม ก็กำลังเตรียมตัวเพื่อออกกฎหมายคุ้มครองข้อมูลส่วนบุคคลด้วยเช่นกัน ในส่วนประเทศญี่ปุ่น มีการบังคับใช้กฎหมายเกินกว่า 15 ปีแล้ว แต่ก็มีการพัฒนาแก้ไขกฎหมายอยู่เป็นระยะเพื่อให้เหมาะสมกับสภาพการณ์ของสังคม ในส่วนของประเทศสหรัฐอเมริกา ซึ่งเป็นยักษ์ใหญ่ในประชาคมโลก และมีความก้าวล้ำในเรื่องของกฎหมายและเทคโนโลยีเป็นอย่างยิ่ง หลาย ๆ ท่านก็คงคาดหมายว่า สหรัฐนั้นก็น่าจะมีความก้าวหน้าในส่วนของกฎหมายคุ้มครองข้อมูลส่วนบุคคลมากกว่าประเทศอื่น ๆ โดยที่สหรัฐมีกฎหมายหลายฉบับที่กำกับการใช้ข้อมูลส่วนบุคคลในเฉพาะส่วน เช่น The Privacy Act of 1974 ซึ่งเป็นกฎหมายที่คุ้มครองข้อมูลส่วนบุคคลที่ถูกจัดเก็บโดยหรืออยู่ภายใต้การครอบครองของรัฐบาล Health Insurance Portability and Accountability Act of 1996 (HIPAA) ซึ่งเป็นกฎหมายที่คุ้มครองข้อมูลส่วนบุคคลประเภทข้อมูลสุขภาพของคนไข้ หรือผู้ใช้บริการสาธารณสุข…

เมื่อผู้รับจ้างทำข้อมูลรั่วไหล

บทความน่าสนใจBy Admin S.10 10 September 2022

การบริหารความเสี่ยงขององค์กรจากการใช้ผู้รับจ้างภายนอกในการประมวลผลข้อมูลส่วนบุคคลเพิ่มความท้าทายมากขึ้นเรื่อยๆ เมื่อเทคโนโลยีมีการเปลี่ยนแปลงไปอย่างรวดเร็ว โดยภัยคุกคามและความเสี่ยงต่างๆ ที่เกี่ยวเนื่องกับการประมวลผลข้อมูลส่วนบุคคลนั้น พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 กำหนดให้เป็นหน้าที่และความรับผิดชอบหลักขององค์กรที่เป็น “ผู้ควบคุมข้อมูลส่วนบุคคล” ในการที่จะประเมินและบริหารความเสี่ยงโดยการจัดให้มีมาตรการเชิงเทคนิคและมาตรการเชิงองค์กรที่เหมาะสม โดยเฉพาะการที่ต้องจัดให้มีมาตรการด้านความมั่นคงปลอดภัยที่เหมาะสม และหน้าที่ในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล หน้าที่ดังกล่าว รวมไปถึงเมื่อมีการจ้างบุคคลที่สามมาทำการประมวลผลข้อมูลส่วนบุคคลอีกด้วยที่องค์กรในฐานะผู้ว่าจ้างต้องบริหารจัดการความเสี่ยงที่อาจเกิดขึ้นจากบุคคลที่สามอย่างเหมาะสม โดยเฉพาะในการดำเนินการที่เกี่ยวข้องเมื่อเกิดเหตุการละเมิดข้อมูลส่วนบุคคลตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ทั้งผู้ว่าจ้างและผู้รับจ้างมีหน้าที่และความรับผิดร่วมกันในส่วนของการจัดให้มี “มาตรการรักษาความมั่นคงปลอดภัย” แต่หน้าที่ในส่วนของการแจ้งตามกฎหมายเมื่อเกิดเหตุการละเมิดข้อมูลส่วนบุคคล (Breach notification) เป็นหน้าที่และความรับผิดของผู้ว่าจ้างในฐานะผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น ผู้ว่าจ้างจึงมีหน้าที่ในการบริหารจัดการความเสี่ยงในส่วนที่เกี่ยวเนื่องกับการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลอย่างเหมาะสม การเริ่มนับระยะเวลา 72 ชั่วโมงในกรณีที่เหตุการละเมิดข้อมูลส่วนบุคคลเกิดจากการดำเนินการของผู้รับจ้างจึงเป็นส่วนหนึ่งของการบริการจัดการความเสี่ยงที่สำคัญ โดยตามแนวทางของ WP29 Guidelines on Personal data breach notification under Regulation 2016/679 (GDPR) ให้ข้อสังเกตว่าการเริ่มนับระยะเวลา “นับแต่ทราบเหตุ” ให้พิจารณาหลักเกณฑ์ ดังนี้ มีการยืนยันว่ามีเหตุการละเมิดข้อมูลส่วนบุคคล (confirmed breach) : ผู้ควบคุมข้อมูลส่วนบุคคลมีความมั่นใจในระดับที่เหมาะสมว่าเกิดเหตุการณ์ด้านความมั่นคงปลอดภัย (security…

ไขปม PDPA ทุกมิติ ควรตระหนักแบบไม่ตระหนก (Cyber Weekend)

บทความน่าสนใจBy Admin S.10 3 July 2022

ในยุคเศรษฐกิจดิจิทัล ‘ข้อมูล’ เป็นสิ่งสำคัญมากสำหรับองค์กรธุรกิจเอกชน และหน่วยงานภาครัฐ ที่ใช้เป็นเครื่องมือในการพัฒนาแอปพลิชัน เพื่อให้บริการได้ตรงตามความต้องการของลูกค้าและประชาชน แต่เมื่อเกิดกระแสบ่อยครั้งว่าข้อมูลที่ได้จากลูกค้าหรือประชาชนเกิดการ ‘หลุด’ ไปอยู่ในกลุ่มคนไม่หวังดีที่หวังผลทางธุรกิจหรือไม่ใช่ธุรกิจก็ตาม ทำให้ลูกค้าหรือประชาชนเริ่มไม่ค่อยมั่นใจเวลาจะต้องให้ข้อมูลส่วนตัวกับองค์กรธุรกิจหรือภาครัฐ ซึ่งเป็นที่มาทำให้เกิด พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA เพื่อสร้างความมั่นใจให้ประชาชน ทว่า ทันทีที่ PDPA มีผลบังคับใช้ กลับเกิดกระแสความเข้าใจผิด ด้วยบทลงโทษที่รุนแรง เช่น โทษทางอาญา จำคุกสูงสุด 1 ปี หรือโทษทางปกครองที่ปรับได้ถึง 5 ล้านบาท จึงเกิดดรามาต่างๆ ขึ้นจากความไม่รู้ เช่น ห้ามถ่ายภาพติดคนอื่นในโซเชียล ห้ามติดกล้องวงจรปิด มีการนำ PDPA กล่าวอ้างเพื่อจะฟ้องร้องกันหลายกรณี ในขณะที่ธุรกิจเอสเอ็มอีต่างก็ตื่นกลัวว่าจะสามารถทำตามกฎหมาย PDPA ได้หรือไม่ เพราะการเก็บข้อมูลไม่ให้รั่วไหลต้องใช้เงินลงทุนจำนวนไม่น้อย ชมรมนักข่าวสายเทคโนโลยีสารสนเทศ (ITPC) สมาคมนักข่าวนักหนังสือพิมพ์แห่งประเทศไทย จึงได้จัดงานเสวนาจิบน้ำชา ‘ไขข้อข้องใจ PDPA ในทุกมิติ’ เพื่อสร้างความกระจ่างชัดให้สังคมที่กำลังสับสน …

หน้าที่ผู้ควบคุมข้อมูลส่วนบุคคลตาม พ.ร.บ.คุ้มครองข้อมูล

บทความน่าสนใจBy Admin S.10 28 June 2022

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 (พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ) เป็นกฎหมายที่บัญญัติถึงหน้าที่และความรับผิดของผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล เพื่อให้การประมวลผลข้อมูลส่วนบุคคลเป็นไปโดยชอบด้วยกฎหมาย โดยบทความนี้จะอธิบายถึงหน้าที่ของผู้ควบคุมข้อมูลเท่านั้น มาตรา 6 กำหนดนิยามของผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ว่าคือ บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เห็นได้ว่าผู้ควบคุมข้อมูลเป็นได้ทั้งบุคคลธรรมดาและนิติบุคคล เช่น ผู้ประกอบธุรกิจรูปแบบเจ้าของคนเดียว ผู้ประกอบธุรกิจ SME บริษัทจำกัด หน่วยงานของรัฐ เป็นต้น โดยผู้ควบคุมข้อมูลมี “อำนาจในการตัดสินใจ” เกี่ยวกับวัตถุประสงค์และวิธีการประมวลผลข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลอาจมีความสัมพันธ์กับเจ้าของข้อมูลส่วนบุคคลตามสัญญาหรือไม่มีความผูกพันตามสัญญาก็ได้ โดยเจ้าของข้อมูลอาจมีสถานะเป็นลูกค้า คู่ค้า พนักงาน ผู้สมัครงาน หรือผู้มาติดต่อของผู้ควบคุมข้อมูล (ภาพถ่ายโดย Kelly L) ซึ่งหน้าที่ของผู้ควบคุมข้อมูลที่มีต่อเจ้าของข้อมูลตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯ มีดังต่อไปนี้ 1. หน้าที่ในการแจ้งรายละเอียดเกี่ยวกับการประมวลผล มาตรา 23 กำหนดให้ผู้ควบคุมข้อมูลมีหน้าที่แจ้งรายละเอียดเกี่ยวกับการประมวลผลข้อมูลให้เจ้าของข้อมูลทราบ ไม่ว่าผู้ควบคุมข้อมูลจะได้รับข้อมูลจากเจ้าของข้อมูลโดยตรงหรือจากแหล่งอื่น…

คู่มือ PDPA สำหรับประชาชนดาวน์โหลดฟรี ประชาชนต้องปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลอย่างไรบ้าง

ประกาศ/ประชาสัมพันธ์By Admin S.10 25 June 2022

คู่มือ PDPA สำหรับประชาชนดาวน์โหลดฟรี ประชาชนต้องปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลอย่างไรบ้าง โดยนอกจากนี้มีอบรม “PDPA ข้อกฎหมายและแนวปฏิบัติ สำหรับกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม” ที่จัดถ่ายทอดเมื่อช่วงเช้าวันนี้ ( 24 มิถุนายน 2565 ) โดย นายชัยวุฒิ ธนาคมานุสรณ์ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ชูกฎหมายคุ้มครองข้อมูลฯ เครื่องมือสำคัญการแข่งขันของประเทศในเศรษฐกิจยุคใหม่ เผย PDPA มุ่งคุ้มครองสิทธิข้อมูลส่วนบุคคลของประชาชน ไม่ใช่ขัดขวางหรืออุปสรรคต่อการใช้ข้อมูลส่วนบุคคลหรือองค์กร คู่มือ PDPA สำหรับประชาชนดาวน์โหลดฟรี ประชาชนต้องปฏิบัติตาม พ.ร.บ. PDPA อย่างไร ภาพ : กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม นายชัยวุฒิ ธนาคมานุสรณ์ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส) กล่าวว่า ” ความสามารถด้านการแข่งขันของประเทศในเศรษฐกิจยุคใหม่ หนึ่งในปัจจัยสำคัญคือ ความสามารถในการบริหารจัดการข้อมูลในประเทศ รวมทั้งการบริหารจัดการข้อมูลระหว่างประเทศ ดังนั้น การสร้างสภาพแวดล้อมที่เสริมสร้างให้เกิดความไว้วางใจในการแลกเปลี่ยนข้อมูล และยกระดับมาตรฐานการใช้ข้อมูลส่วนบุคคลให้ทัดเทียมระดับสากล จำเป็นต้องมีการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคล…

Tag Archives: พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล