หนึ่งในประเด็นที่ได้รับความสนใจในต่างประเทศในช่วงนี้คือ ประเด็นเรื่องข้อตกลงการส่งต่อข้อมูล ระหว่างสหรัฐและสหภาพยุโรป และการส่งต่อข้อมูลระหว่างสหรัฐและสหราชอาณาจักร ซึ่งจะทำให้การส่งต่อข้อมูลของภาคธุรกิจข้ามมหาสมุทรแอตแลนติก เป็นเรื่องที่ง่ายขึ้น
PDPA กฎหมายฉบับสำคัญที่เริ่มบังคับใช้อย่างเต็มแบบรูปแบบเมื่อวันที่ 1 มิ.ย. 2565 แต่หลายคนยังเกิดความกังวลและสงสัยว่า PDPA ต้องทําอะไรบ้าง หากทำผิดกฎแล้วจะมีบทลงโทษอย่างไร ไทยรัฐออนไลน์สรุป PDPA เรื่องที่ควรรู้ ฉบับสั้น ๆ เข้าใจง่ายมาฝาก PDPA คืออะไร PDPA คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล PDPA ย่อมาจาก Personal Data Protection Act ประกาศไว้ในราชกิจจานุเบกษา ตั้งแต่วันที่ 27 พฤษภาคม พ.ศ. 2562 ต่อมา PDPA บังคับใช้อย่างเต็มรูปแบบในวันที่ 1 มิถุนายน พ.ศ. 2565 กฎหมาย PDPA ถอดแบบมาจากกฎหมาย GDPR ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป เพื่อให้กฎหมายคุ้มครองข้อมูลส่วนบุคคลในไทยเป็นไปตามมาตรฐานสากล ให้ภาครัฐ เอกชน ทั้งนิติบุคคลและบุคคลธรรมดา รวบรวม ใช้งาน…
1 มิถุนายน 2566 ครบ 1 ปีที่กฎหมาย PDPA (Personal Data Protection Act) มีผลบังคับใช้ คงมีคำถามมากมายว่าแต่ละองค์กรทำอะไรไปบ้าง ซึ่งทรู คอร์ป หนึ่งในองค์กรที่มีลูกค้าจากการควบรวมทรู-ดีแทค มากถึง 50.5 ล้านเลขหมาย ได้ออกแนวทางหรือมาตรการอะไรในการดูแลลูกค้าทรู-ดีแทค เรื่องการใช้ข้อมูลส่วนบุคคลไปบ้างแล้ว ในช่วงปีที่ผ่านมา ทรู คอร์ปอยู่ในกระบวนการควบรวมทรู-ดีแทค ซึ่งมีหลายอย่างที่แตกต่างกัน แต่สิ่งที่เหมือนกันคือทั้ง 2 องค์กรต่างให้ความสำคัญสูงสุดกับนโยบายการดูแลเรื่องการใช้ข้อมูลส่วนบุคคลทั้งของลูกค้าและพนักงานในองค์กร ซึ่งภายหลังการรวมธุรกิจ ทรู คอร์ปได้นำสิ่งที่ดีที่สุด เข้มงวดที่สุดของแต่ละองค์กรมากำหนดเป็นนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล Privacy Policy and Procedure เพื่อให้เป็นไปตามฟุตพรินต์มาตรฐานการปกป้องข้อมูลที่เป็นสากล และสอดคล้องกับกฎหมาย GDPR (General Data Protection Regulation) ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป โดยทรู คอร์ป ได้ดำเนินการ 5 แนวทางสำคัญ เพื่อดูแลคุ้มครองข้อมูลส่วนบุคคล (PDPA) ดังนี้ …
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ PDPA กำหนดให้เจ้าของข้อมูลส่วนบุคคลมีสิทธิหลาย ๆ ประการที่กฎหมายบัญญัติไว้ในมาตรา 30-36 ได้แก่ สิทธิในการขอเข้าถึงและขอรับสำเนา (Access) สิทธิขอให้โอนข้อมูล (Portability) สิทธิคัดค้าน (Object) สิทธิขอให้ลบ (Erasure) สิทธิขอให้ระงับการใช้ (Restriction) และสิทธิขอให้แก้ไขข้อมูล (Rectification) กฎหมายได้กำหนดเป็นหน้าที่ขององค์กรต่าง ๆ ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล ให้มีหน้าที่ดำเนินการตอบสนองต่อคำขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลด้วย (Responding to Data Subject Requests: DSRs) สิทธิทั้ง 6 ประการดังกล่าวมีเงื่อนไขและขอบเขตการใช้บังคับหรือการดำเนินการตาม DSRs ที่แตกต่างกันขึ้นอยู่กับเงื่อนไขการใช้สิทธิแต่ละประเภท และฐานทางกฎหมายที่เกี่ยวข้อง (lawful basis) กับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล European Data Protection Board (EDPB) ซึ่งเป็นหน่วยงานกำกับการบังคับใช้ GDPR…
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 เป็นกฎหมายที่กำหนดหน้าที่และความรับผิดชอบขององค์กร ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลที่ต้องปฏิบัติ เมื่อดำเนินการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล หน้าที่ที่สำคัญประการหนึ่งขององค์กร คือ การจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม (Security of Processing/Data Security) และในกรณีที่ “มาตรการรักษาความมั่นคงปลอดภัย” ดังกล่าวที่องค์กรดำเนินการไม่เป็นไปตามมาตรฐานหรือเกิดข้อผิดพลาด อันอาจนำไปสู่เหตุการละเมิดข้อมูลส่วนบุคคล (Data Breach) องค์กรก็จะมีหน้าที่แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลตามเงื่อนไขที่กฎหมายกำหนด (Data Breach Notification) หน้าที่ในส่วนของ “การมีมาตรการรักษาความมั่นคงปลอดภัย” และ “การแจ้งเหตุการละเมิด” จึงเป็นสองหน้าที่ที่มาควบคู่กันเสมอ ในระบบกฎหมายด้านการคุ้มครองข้อมูลส่วนบุคคล ถือว่าเมื่อองค์กรนำเข้าและใช้ประโยชน์จากข้อมูลส่วนบุคคล องค์กรก็มีหน้าที่ต้องดูแลรักษา และเมื่อไม่สามารถดูแลได้จนนำมาซึ่งการเกิดเหตุการละเมิดข้อมูลส่วนบุคคล องค์กรก็ต้องรีบดำเนินการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลตามเงื่อนไขของกฎหมาย เพื่อให้มีการประเมินและพิจารณาความเสี่ยงต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคลโดยเร็ว พร้อมทั้งดำเนินการเยียวยาแก้ไขความเสียหายและผลกระทบใด ๆ ที่อาจมีต่อเจ้าของข้อมูลส่วนบุคคล อันเป็นการปกป้องส่วนได้เสียต่าง ๆ ของผู้ใช้บริการ/ประชาชน ตามประกาศฯ มาตรการรักษาความมั่นคงปลอดภัย ข้อ…
ชัยวุฒิ เผยรู้ตัวผู้ใช้งานบัญชี 9near แล้ว พบเป็นคนในประเทศและทำเป็นขบวนการหวังดิสเครดิตรัฐ ยอมรับระบบเทคโนโลยีของภาครัฐยังมีช่องโหว่ อาจส่งผลให้ข้อมูลประชาชนรั่วไหลได้ ชัยวุฒิ ธนาคมานุสรณ์ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส) เผยความคืบหน้ากรณี ผู้ใช้ชื่อบัญชี “9near” อ้างว่ามีข้อมูลส่วนตัวของคนไทยกว่า 55 ล้านรายชื่อ ทั้งนี้ เจ้าหน้าที่ตำรวจได้ข้อมูลมาพอสมควรและได้ล็อกเป้าคนร้ายแล้ว แต่ยังไม่สามารถยืนยันได้ว่าข้อมูลหลุดออกมาจากหน่วยงานไหน ต้องรอจับคนร้ายให้ได้ก่อนแล้วจึงขยายผล เบื้องต้นเชื่อว่าเป็นการดิสเครดิต ต้องการให้รู้ว่าระบบมีปัญหา ไม่ได้เป็นการเรียกค่าไถ่ หรือหาเงินจากเรื่องนี้ คิดว่าการโจมตีครั้งนี้ มีการทำเป็นขบวนการไม่สามารถทำคนเดียวได้ ยืนยันหากจับคนร้ายได้แล้วข้อมูลไม่รั่วไหลแน่นอน โดยได้มอบหมายให้ปลัดกระทรวงดิจิทัลฯ ประสานงานกับผู้เกี่ยวข้องเร่งหาข้อเท็จจริง รวมทั้งดูแลผู้เสียหายจากเคส 9near ด้วย อย่างไรก็ตาม นายชัยวุฒิ มองว่า มีหลายหน่วยงานที่มีโอกาสทำข้อมูลรั่วไหล โดยเฉพาะระบบที่ประชาชนต้องลงทะเบียน รวมถึงการแจ้งผลการลงทะเบียนของประชาชน ที่จำเป็นต้องมีการระบุ ชื่อ ที่อยู่ เบอร์โทรศัพท์บนแพลตฟอร์มที่เป็นสาธารณะ ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 (PDPA) ระบุให้หน่วยงานที่รู้ตัวว่าทำข้อมูลหลุดต้องแจ้งต่อ…
เราใช้คุกกี้เพื่อพัฒนาประสิทธิภาพ และประสบการณ์ที่ดีในการใช้เว็บไซต์ของคุณ คุณสามารถศึกษารายละเอียดได้ที่ นโยบายความเป็นส่วนตัว