แนวทางในการคัดเลือก เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)

Loading

  เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer:DPO) ถือเป็นบุคคลสำคัญในการกำกับดูแลด้านการคุ้มครองข้อมูลส่วนบุคคลขององค์กร   พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จึงได้กำหนดหน้าที่ในการจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลไว้ โดยให้ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดให้มี DPO ในกรณีดังต่อไปนี้   (1) ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเป็นหน่วยงานของรัฐตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด หรือ   (2) การดำเนินกิจกรรมของผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคลในการเก็บรวบรวม ใช้ หรือเปิดเผย จำเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่ำเสมอโดยเหตุที่มีข้อมูลส่วนบุคคลเป็นจำนวนมากตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด หรือ   (3) “กิจกรรมหลัก” ของผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคลเป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามมาตรา 26   ในปัจจุบัน คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลยังไม่ได้มีการออกประกาศตามข้อ (1) และ (2) ดังกล่าวข้างต้น   ในส่วนของบุคคลที่จะทำหน้าที่ DPO กฎหมายกำหนดว่าอาจเป็นพนักงานของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล หรือเป็นผู้รับจ้างให้บริการตามสัญญาก็ได้เช่นกัน   หน้าที่หลัก ๆ ของ DPO คือ การให้คำแนะนำและตรวจสอบองค์กรนั้น ๆ ในการปฏิบัติและดำเนินการให้สอดคล้องกับพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ…

กฎหมาย PDPA ที่หลายหน่วยงาน ยังไม่มีความตระหนัก

Loading

  พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ประกาศมาตั้งแต่เดือนพ.ค. พ.ศ. 2562 และเลื่อนการบังคับใช้มาหลายรอบ จนกระทั่งเริ่มบังคับใช้กันอย่างจริงจังเมื่อวันที่ 1 มิ.ย.ปีที่ผ่านมา แม้หลายหน่วยงาน โดยเฉพาะองค์กรขนาดใหญ่จะเตรียมตัวกันอย่างจริงจัง และตระหนักต่อกฎหมาย PDPA นี้   วันหนึ่งนิติบุคคลของหมู่บ้านแจ้งในไลน์กลุ่มว่า ขณะนี้นิติบุคคลได้เปลี่ยนบริษัทที่ทำหน้าที่รักษาความปลอดภัย หรือ รปภ. ซึ่งไม่เพียงแต่เก็บบัตรประชาชนของผู้มาติดต่อไว้ชั่วคราวในการแลกบัตรเข้าออกหมู่บ้าน แต่จะเพิ่มมาตรการให้มีระบบถ่ายรูปทะเบียนรถพร้อมบัตรประชาชนผู้ที่มาติดต่ออีกด้วย   เมื่อเห็นข้อความเช่นนี้ ผมก็ตกใจเพราะเพียงแค่เก็บบัตรประชาชนไว้ชั่วคราวโดยไม่ได้มีการขออนุญาตก็ถือว่าเป็นการละเมิดกฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA) แล้ว แต่ยังจะถ่ายรูปเก็บไว้อีกด้วย ซึ่งเมื่อติงไปว่าอาจผิดกฎหมาย PDPA คำตอบที่ได้รับคือ ที่อื่น ๆ ก็ทำกัน ข้อสำคัญเราแค่เก็บไว้ในเครื่องคอมพิวเตอร์   ความเห็นคนในหมู่บ้านในเรื่องนี้ก็ค่อนข้างจะหลากหลาย แต่ส่วนหนึ่งก็คิดว่าต้องการจะเก็บข้อมูลเพื่อเอาไว้ตรวจสอบผู้มาติดต่อในหมู่บ้าน ไม่น่าจะมีปัญหาว่าขัดต่อกฎหมาย เพราะหลายหมู่บ้านก็ทำกัน   เช่นกันกับการเข้าออกอาคารสำนักงานต่าง ๆ ส่วนใหญ่ก็ต้องแลกบัตร รวมทั้งบางคนก็มองว่ากฎหมาย PDPA น่าจะหมายถึงการห้ามนำข้อมูลคนอื่นมาทำให้เกิดความเสียหายหรือก่อความรำคาญแก่เจ้าของข้อมูล และคิดว่าการเก็บข้อมูลเพื่อความปลอดภัยและตรวจสอบน่าจะทำได้   พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ประกาศมาตั้งแต่เดือน พ.ค. พ.ศ. 2562 และเลื่อนการบังคับใช้มาหลายรอบ จนกระทั่งเริ่มบังคับใช้กันอย่างจริงจังเมื่อวันที่…

อื้ออึง! นิวยอร์กไทม์สแฉ “เครื่องสแกนไบโอเมตริก” เร่ขายบน eBay ราคาไม่ถึง $200 ซุกข้อมูลอ่อนไหวกองทัพสหรัฐฯ จำนวนมาก

Loading

  เอเจนซีส์ – หนังสือพิมพ์ชื่อดังสหรัฐฯ รายงานเครื่องสแกนไบโอเมตริกที่ขายผ่าน eBay ปรากฏพบข้อมูลสำคัญที่อ่อนไหวของกองทัพสหรัฐฯ จำนวนมากอยู่ในเมมโมรีการ์ด ทั้งชื่อบุคคล ภาพถ่าย ลายพิมพ์นิ้วมือ ส่วนใหญ่จากอิรักและอัฟกานิสถาน พบตอลิบานมีเครื่องแบบนี้เหมือนกัน   Engadget สื่อเชี่ยวชาญอุปกรณ์ไฮเทคของสหรัฐฯ รายงานเมื่อวานนี้ (27 ธ.ค) ว่า นักวิจัยชาวเยอรมัน ที่ได้ซื้อเครื่องสแกนไบโอเมตริก (Biometric) ซึ่งเป็นอุปกรณ์เก็บข้อมูลทางชีวภาพ เป็นต้นว่า ลายนิ้วมือ หรือม่านตา จากเว็บไซต์ eBay ชื่อดัง แต่ต้องตกตะลึงเมื่อพบว่าภายในเมมโมรีการ์ดมีข้อมูลสำคัญที่อ่อนไหวของกองทัพสหรัฐฯ ถูกเก็บอยู่ในนั้น อ้างอิงจากหนังสือพิมพ์นิวยอร์กไทม์สรายงานครั้งแรกในวันอังคาร (27)   ข้อมูลอ่อนไหวที่ถูกพบเป็นต้นว่า ชื่อบุคคล คำอธิบายเกี่ยวกับบุคคลนั้น ภาพถ่าย ลายพิมพ์นิ้วมือ ม่านตา ส่วนใหญ่มาจากอิรักและอัฟกานิสถาน และมีเป็นจำนวนมากทำงานให้กองทัพสหรัฐฯ ซึ่งอาจถูกใช้เพื่อเล่นงานได้หากว่าข้อมูลตกอยู่ในมือคนร้าย อ้างอิงจากรายงาน   กลุ่มนักวิจัยเยอรมนีชื่อ Chaos Computer Club ภายใต้การนำ มาตเทียส มาร์กซ์ (Matthias Marx)…

อุปกรณ์ไบโอเมทริกซ์ที่ขายอยู่บน eBay มีข้อมูลทางทหารของกองทัพสหรัฐฯ

Loading

  กลุ่มผู้เชี่ยวชาญจากเยอรมนีที่ใช้ชื่อว่า Chaos Computer Club นำโดย มัตเทียส มาร์กซ์ (Mathias Marx) พบว่าอุปกรณ์รับข้อมูลไบโอเมทริกซ์ที่ซื้อมาจาก eBay มีข้อมูลละเอียดอ่อนทางทหารของสหรัฐอเมริกาอยู่ในนั้นด้วย   Chaos Computer Club ซื้ออุปกรณ์ในลักษณะนี้มา 6 ชิ้น ส่วนใหญ่มีราคาไม่ถึง 200 เหรียญ (ราว 6,925 บาท) เหตุที่ทางกลุ่มซื้ออุปกรณ์เหล่านี้มาก็เนื่องจากมีรายงานของ The Intercept ที่ระบุว่ากลุ่มตาลีบันยึดอุปกรณ์เหล่านี้ได้จากกองทัพสหรัฐฯ   ข้อมูลที่ Chaos Computer Club พบในอุปกรณืนี้มีทั้งข้อมูลลายนิ้วมือ ผลสแกนม่านตา รูปถ่าย ชื่อ และรายละเอียดของบุคคลที่ส่วนใหญ่มาจากอิรักและอัฟกานิสถาน มีจำนวนถึง 2,632 ราย ในจำนวนนี้หลายคนทำงานให้กับกองทัพบกสหรัฐฯ   เมื่อวิเคราะห์ลงไปยังพบอีกว่าอุปกรณ์เหล่านี้ถูกนำไปใช้ในหลายพื้นที่ในภูมิภาคตะวันออกกลาง อาทิ กันดะฮาร์ ในอัฟกานิสถาน และจอร์แดน ในระหว่างช่วงปี 2012 – 2013  …

บริษัทแม่ TikTok เผย มีพนักงานแอบเข้าไปดูข้อมูลส่วนตัวของนักข่าวอเมริกัน

Loading

FILE PHOTO: Illustration shows TikTok app logo   บริษัทจีน “ไบต์เเดนซ์” (ByteDance) ซึ่งเป็นบริษัทเเม่ของแอป TikTok กล่าววันพฤหัสบดีว่าพนักงานจำนวน 4 คนของบริษัท เข้าไปดูข้อมูลส่วนตัวของนักข่าวสหรัฐฯ 2 ราย และเจ้าหน้าที่เหล่านั้นถูกไล่ออกในเวลาต่อมา ตามรายงานของรอยเตอร์   การกระทำอันไม่เหมาะสมนี้เกิดขึ้นเมื่อช่วงฤดูร้อนที่ผ่านมา และเป็นส่วนหนึ่งของความพยายามสืบข้อมูลที่รั่วไหลของบริษัท โดยมีจุดมุ่งหมายเพื่อระบุความเชื่อมโยงของนักข่าว 2 รายกับพนักงานของบริษัท   อย่างไรก็ตาม การสืบสวนดังกล่าวไม่ประสบความสำเร็จ ตามข้อมูลของผู้อำนวยการฝ่ายกฎหมายของ “ไบต์เเดนซ์” อิริช แอนเดอร์เซน   นิวยอร์กไทมส์คือสื่อฉบับเเรก ๆ ที่รายงานการเปิดเผยครั้งนี้ โดยเหตุการณ์นี้อาจสร้างแรงกดดันต่อเนื่องสำหรับ TikTok ซึ่งกำลังโดนรัฐบาลอเมริกันและนักการเมืองในสภาสหรัฐฯ เพ่งเล็งเรื่องความปลอดภัยของข้อมูลผู้ใช้ TikTok ในอเมริกา ที่มีอยู่กว่า 100 ล้านคน   รอยเตอร์อ้างเเหล่งข่าวที่ได้รับรายงานเรื่องนี้ ที่กล่าวว่าพนักงานไบต์แดนซ์ 4 คน ถูกไล่ออกเนื่องจากเกี่ยวข้องกับเหตุการณ์ดังกล่าว โดยอยู่ในอเมริกา 2…

ข้อมูลผู้เสียภาษีสหรัฐฯ หลุดเป็นครั้งที่ 2 ในรอบ 3 เดือน

Loading

  สำนักงานสรรพากรสหรัฐอเมริกา (IRS) พลาดเผยแพร่ข้อมูลผู้เสียภาษี 112,000 คนในเดือนพฤศจิกายนที่ผ่านมา ถือเป็นครั้งที่ 2 ของปีแล้วที่เกิดความผิดพลาดในลักษณะนี้   โดย IRS ชี้ว่าความผิดพลาดนี้เกิดจากการที่ Accenture ผู้รับจ้างภายนอกที่รับช่วงต่องานจาก IRS ในการจัดการฐานข้อมูล   เหตุการณ์ที่เกิดขึ้นเป็นการอัปโหลดแบบฟอร์ม 990-T ที่มีข้อมูลส่วนบุคคลของผู้ที่ได้รับการยกเว้นภาษี อาทิ หน่วยงานรัฐบาล และผู้เกษียณอายุ ในการจ่ายภาษีเงินได้จากรายได้ส่วนที่มาจากการลงทุนที่ไม่ได้รับการยกเว้น ส่วนใหญ่เป็นข้อมูลที่เคยหลุดออกไปแล้วในเดือนกันยายน   ในบรรดาข้อมูลที่หลุดออกมามีทั้งชื่อและข้อมูลการติดต่อธุรกิจรวมอยู่ด้วย   สาเหตุเกิดจากการที่ Accenture ได้อัปโหลดไฟล์ต้นฉบับทับไฟล์เก่า แทนที่จะอัปโหลดไฟล์ใหม่ที่ได้รับการคุ้มครองให้เป็นส่วนตัวแล้ว โดย IRS ได้ส่งไฟล์ที่ถูกต้องให้กับผู้รับการว่าจ้างไปแล้วตั้งแต่วันที่ 23 พฤศจิกายน แต่ไฟล์เก่าก็ยังคงไม่ถูกลบออกไป   IRS รับทราบถึงการหลุดของข้อมูลในครั้งนี้หลังจากได้รับแจ้งจากนักวิจัยภายนอก จึงขอให้ผู้รับจ้างรีบลบข้อมูลที่เผยแพร่ออกไปในทันที รวมถึงได้แจ้งให้ผู้ได้รับผลกระทบทราบแล้ว ทั้งนี้ ในกฎหมายกำหนดให้ IRS ต้องแจ้งรัฐสภาโดยทันที   ก่อนหน้านี้ ในเดือนกันยายนที่ผ่านมา IRS เคยออกมาระบุว่าข้อมูลแบบฟอร์ม 990-T ก็เคยหลุดออกมาให้ดาวน์โหลดแล้วครั้งหนึ่งบนระบบของหน่วยงาน…