พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล Archives

กฎหมายคุ้มครองข้อมูลส่วนบุคคลฉบับแก้ไขของญี่ปุ่น

บทความน่าสนใจBy Admin S.10 17 April 2022

โลกในยุคปัจจุบันมีการแข่งขันทางการค้าสูง การเข้าถึงและครอบครองข้อมูลส่วนบุคคลจึงมีความสำคัญเพราะสามารถนำไปใช้ประโยชน์เพื่อให้เกิดความได้เปรียบเชิงธุรกิจได้ แต่ในขณะเดียวกัน การดำเนินการดังกล่าวโดยปราศจากการควบคุมย่อมก่อให้เกิดความเสียหายแก่เจ้าของข้อมูลได้ ดังนั้นแล้ว การตรากฎหมายคุ้มครองข้อมูลส่วนบุคคลจึงมีความสำคัญยิ่ง ประเทศไทยได้มีการตราพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ขึ้นมาโดยมีวัตถุประสงค์เพื่อสร้างมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลให้สอดคล้องกับมาตรฐานสากล เพื่อให้การคุ้มครองข้อมูลส่วนบุคคลมีประสิทธิภาพและเพื่อให้มีมาตรการเยียวยาเจ้าของข้อมูลส่วนบุคคลจากการถูกละเมิดสิทธิในข้อมูลส่วนบุคคลที่มีประสิทธิภาพ เนื่องจากในปัจจุบันเราจะพบปัญหาการละเมิดสิทธิข้อมูลส่วนบุคคลเพิ่มมากขึ้น โดยเฉพาะการนำข้อมูลส่วนบุคคลไปแสวงหาประโยชน์ หรือเปิดเผยโดยมิชอบ หรือโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลอันส่งผลให้เกิดความเสียหายกับบุคคลจำนวนมาก กฎหมายดังกล่าวจะมีกำหนดบังคับใช้ทั้งฉบับในวันที่ 1 มิถุนายน พ.ศ.2565 อันส่งผลให้ผู้ประกอบการต่างๆ รวมถึงหน่วยงานของรัฐต้องปรับตัวและเตรียมความพร้อมเพื่อปฏิบัติตามกฎหมายฉบับนี้ สำหรับผู้ประกอบการที่มีคู่ค้าเป็นชาวต่างชาติ นอกจากจะต้องปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทยแล้ว ก็จำต้องศึกษากฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศคู่ค้าด้วย เพื่อจะได้ไม่เกิดกรณีการทำผิดกฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศนั้นๆ ประเทศญี่ปุ่นเป็นหนึ่งในประเทศที่เป็นคู่ค้าสำคัญของผู้ประกอบการไทย และเป็นหนึ่งในประเทศแรก ๆ ของเอเชียที่ให้ความสำคัญกับการคุ้มครองข้อมูลส่วนบุคคล ญี่ปุ่นได้ตรากฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล (個人情報保護法 – Act on Protection of Personal Information – APPI) มาตั้งแต่ปี พ.ศ.2546 และมีผลบังคับใช้กับผู้ประกอบการทั้งหมด ที่เสนอขายสินค้าและบริการที่มีการดำเนินการกับข้อมูลส่วนบุคคลของผู้ที่อาศัยอยู่ในญี่ปุ่น ไม่ว่าจะมีที่ตั้งอยู่ในญี่ปุ่นหรือไม่ก็ตาม และหลังจากที่ได้มีการบังคับใช้ ก็ได้มีการตรากฎระเบียบอื่น…

‘เธียรชัย’ ยัน ‘1 มิ.ย.’ ไทยบังคับใช้ ‘ก.ม. PDPA’

บทความน่าสนใจBy Admin S.10 16 April 2022

ประธาน คกก.คุ้มครองส่วนบุคคล ยัน 1 มิ.ย.ไทยจะประกาศใช้กฎหมาย PDPA เป็นประเทศที่ 3 ของอาเซียน ดึงงานวิจัยจุฬาเป็นวิธีการปฎิบัติ ไม่มีบทลงโทษทางกฎหมาย สร้างการรับรู้ให้องค์กรเตรียมตัว ย้ำประกาศล่าช้าตัดโอกาสประเทศ ยกระดับดูแลข้อมูลส่วนบุคคลองค์กรไทยสู่มาตรฐานสากล นายเธียรชัย ณ นคร ประธานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เปิดเผยกับ “กรุงเทพธุรกิจ” และสื่อในเครือเนชั่น ว่า ขณะนี้เป็นที่แน่ชัดแล้วว่า พรบ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) จะมีผลบังคับใช้ในวันที่ 1 มิถุนายน 2565 นี้ โดยไม่เลื่อนการบังคับใช้ ตามที่คณะกรรมการร่วมภาคเอกชน 3 สถาบัน (กกร.) เสนอ เนื่องจากขณะนี้มีการแต่งตั้ง คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ขึ้นมาเป็นที่เรียบร้อยแล้ว เมื่อเดือนมกราคมที่ผ่านมา ขณะเดียวกัน ยังมองว่าการคุ้มครองข้อมูลส่วนบุคคลเป็นสิทธิพื้นฐาน และจะกลายระเบียบใหม่ของโลก ที่ขณะนี้มีประเทศในกลุ่มอียู และกลุ่มประเทศที่ไม่ใช่อียู 50 ประเทศ การบังคับใช้ พรบ. คุ้มครองข้อมูลส่วนบุคคล หากไทยไม่มีกฎหมายคุ้มครองข้อมูลส่วนบุคคล ที่มีมาตรฐานไม่น้อยกว่า…

การเก็บสำเนาบัตรประชาชนเพื่อการยืนยันตัวตน

บทความน่าสนใจBy Admin S.10 13 April 2022

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนดหน้าที่และความรับผิดชอบขององค์กร ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลที่ต้องปฏิบัติเมื่อดำเนินการประมวลผลข้อมูลส่วนบุคคล และเป็นกฎหมายที่กำหนดสิทธิของเจ้าของข้อมูลส่วนบุคคลไว้หลายประการ อาทิ สิทธิในการขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลตามมาตรา 30 (Right of access) สิทธิในการให้โอนย้ายข้อมูลส่วนบุคคลตามมาตรา 31 (Right to data portability) สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคลตามมาตรา 32 (Right to object) สิทธิในการขอให้ลบข้อมูลส่วนบุคคลตามมาตรา 33 (Right to erasure) สิทธิในการระงับการประมวลผลข้อมูลส่วนบุคคลตามมาตรา 34 (Right to restriction of processing) และสิทธิในการขอแก้ไขข้อมูลส่วนบุคคลให้ถูกต้องตามมาตรา 36 (Right to rectification) การดำเนินการตามคำร้องขอใช้สิทธิในบริบทของการบริหารจัดการมีประเด็นสำคัญหลายประการที่องค์กรต่าง ๆ อาจจะต้องเตรียมความพร้อมก่อนที่กฎหมายจะใช้บังคับทั้งฉบับในวันที่ 1 มิถุนายน 2565 อาทิ ช่องทางการรับคำร้อง การตรวจสอบยืนยันตัวตน การค้นหาข้อมูลที่เกี่ยวข้องกับคำร้อง…

การเริ่มนับระยะเวลา แจ้งเหตุการละเมิดข้อมูลส่วนบุคคล | ศุภวัชร์ มาลานนท์

บทความน่าสนใจBy Admin S.10 13 March 2022

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 37(4) กำหนดให้องค์กรซึ่งเป็นผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ “แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สำนักงานโดยไม่ชักช้าภายใน 72 ชั่วโมง นับแต่ทราบเหตุเท่าที่จะสามารถกระทำได้” หน้าที่แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลดังกล่าว มีประเด็นที่ต้องพิจารณาทางกฎหมายหลายประการ โดยเฉพาะการเริ่มนับระยะเวลา 72 ชั่วโมงว่าเริ่มเมื่อไหร่ เนื่องจากองค์กรอาจมีความรับผิดทางกฎหมายหากไม่แจ้งภายในระยะเวลาที่กฎหมายกำหนด ถ้อยคำหนึ่งในมาตรา 37(4) ที่เป็นจุดเริ่มต้นสำคัญของการเริ่มนับระยะเวลา คือ “นับแต่ทราบเหตุ” (become aware) ซึ่งต้องทำความเข้าใจทั้งข้อเท็จจริงและข้อกฎหมายประกอบกัน เพื่อทำความเข้าใจจุดเริ่มต้นการนับระยะเวลาดังกล่าวมากขึ้น ผู้เขียนขอนำกรณีศึกษาตาม WP29 Guidelines on Personal Data Breach Notification under Regulation 2016/679 (GDPR) มาเพื่อใช้ประกอบการพิจารณา ดังนี้ WP29 ให้ข้อแนะนำว่าตาม GDPR “นับแต่ทราบเหตุ” ให้เริ่มต้นเมื่อ “ผู้ควบคุมข้อมูลส่วนบุคคล” มีความแน่ใจในว่าเหตุการณ์ข้อมูลรั่วไหลที่เกิดขึ้น (security incident) มีผลทำให้ข้อมูลส่วนบุคคลถูกละเมิด…

CCTV ใช้อย่างไร ไม่ให้ผิด พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ

บทความน่าสนใจBy Admin S.10 6 December 2021

กล้อง CCTV หรือกล้องวงจรปิดที่ใช้อย่างแพร่หลาย ย่อมส่งผลกระทบต่อความเป็นส่วนตัวของบุคคลอย่างหลีกเลี่ยงไม่ได้ การใช้กล้อง CCTV (Closed-circuit television) หรือกล้องวงจรปิด เพื่อรักษาความปลอดภัยและป้องกันอาชญากรรม แต่ส่งผลกระทบต่อความเป็นส่วนตัวของบุคคลอย่างหลีกเลี่ยงไม่ได้ เนื่องจากข้อมูลที่ถูกบันทึกไว้นั้นเป็นข้อมูลส่วนบุคคลของผู้ถูกบันทึกภาพ ดังนี้ ผู้ใช้กล้อง CCTV จึงมีความจำเป็นต้องทำความเข้าใจเกี่ยวกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 (พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ) เพื่อจัดการให้การเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคล (การประมวลผลข้อมูลส่วนบุคคล) เป็นไปโดยชอบด้วยกฎหมาย ในบทความนี้ ผู้เขียนแบ่งการใช้กล้อง CCTV เป็น 2 กรณี โดยแยกตามวัตถุประสงค์ของการใช้ ดังนี้ กรณีที่ 1 การใช้กล้อง CCTV เพื่อประโยชน์ส่วนตนหรือเพื่อกิจกรรมในครอบครัว ในกรณีการใช้กล้อง CCTV เพื่อรักษาความปลอดภัยของบ้านเรือนและสมาชิกในครอบครัวนั้น แม้ว่าข้อมูลที่ถูกเก็บรวบรวมจะเป็นข้อมูลส่วนบุคคลก็ตาม แต่ก็เป็นข้อยกเว้นที่ไม่อยู่ภายใต้บังคับของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ตามที่มาตรา 4(1) บัญญัติว่าพระราชบัญญัตินี้ไม่ใช้บังคับแก่การเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคลเพื่อประโยชน์ส่วนตนหรือเพื่อกิจกรรมในครอบครัวของบุคคลนั้นเท่านั้น กล่าวคือ ผู้ใช้กล้อง CCTV เพื่อวัตถุประสงค์ดังกล่าวสามารถประมวลผลข้อมูลส่วนบุคคลได้โดยไม่ต้องพิจารณาถึงฐานในการประมวลผลตามกฎหมายแต่อย่างใด อย่างไรก็ตาม การใช้กล้อง…

หน้าที่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม

บทความน่าสนใจBy Admin S.10 27 November 2021

พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนดให้องค์กรมีหน้าที่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมเป็นหน้าที่ของ “ผู้ควบคุมข้อมูลส่วนบุคคล” และ “ผู้ประมวลผลข้อมูลส่วนบุคคล” ซึ่งการไม่มีมาตรการที่เหมาะสมอาจมีความรับผิดตามที่กฎหมายกำหนด พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนดให้องค์กรมีหน้าที่ ดังนี้ 1.ผู้ควบคุมข้อมูลส่วนบุคคล มีหน้าที่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ และต้องทบทวนมาตรการดังกล่าวเมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม ทั้งนี้ ให้เป็นไปตามมาตรฐานขั้นต่ำที่คณะกรรมการประกาศกำหนด (มาตรา 37(1)) 2.ผู้ควบคุมข้อมูลส่วนบุคคล มีหน้าที่แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สำนักงานโดยไม่ชักช้าภายใน 72 ชั่วโมง นับแต่ทราบเหตุเท่าที่จะสามารถกระทำได้ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ในกรณีที่การละเมิดมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ให้แจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อมกับแนวทางการเยียวยาโดยไม่ชักช้าด้วย ทั้งนี้ การแจ้งดังกล่าวและข้อยกเว้นให้เป็นไปตามหลักเกณฑ์และวิธีการที่คณะกรรมการประกาศกำหนด (มาตรา 37(4)) 3.ผู้ประมวลผลข้อมูลส่วนบุคคล มีหน้าที่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคล โดยปราศจากอำนาจหรือโดยมิชอบ รวมทั้งแจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น (มาตรา 40(2)) จากกฎหมายที่เกี่ยวข้อง…

Tag Archives: พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล