PDPA Archives

เปิด 5 แนวทาง “ทรู”ใช้คุ้มครองข้อมูลส่วนบุคคลลูกค้า 50.5 ล้านเลขหมาย

การรักษาความลับ, ข่าวประจำวันBy Admin S.10 3 June 2023

1 มิถุนายน 2566 ครบ 1 ปีที่กฎหมาย PDPA (Personal Data Protection Act) มีผลบังคับใช้ คงมีคำถามมากมายว่าแต่ละองค์กรทำอะไรไปบ้าง ซึ่งทรู คอร์ป หนึ่งในองค์กรที่มีลูกค้าจากการควบรวมทรู-ดีแทค มากถึง 50.5 ล้านเลขหมาย ได้ออกแนวทางหรือมาตรการอะไรในการดูแลลูกค้าทรู-ดีแทค เรื่องการใช้ข้อมูลส่วนบุคคลไปบ้างแล้ว ในช่วงปีที่ผ่านมา ทรู คอร์ปอยู่ในกระบวนการควบรวมทรู-ดีแทค ซึ่งมีหลายอย่างที่แตกต่างกัน แต่สิ่งที่เหมือนกันคือทั้ง 2 องค์กรต่างให้ความสำคัญสูงสุดกับนโยบายการดูแลเรื่องการใช้ข้อมูลส่วนบุคคลทั้งของลูกค้าและพนักงานในองค์กร ซึ่งภายหลังการรวมธุรกิจ ทรู คอร์ปได้นำสิ่งที่ดีที่สุด เข้มงวดที่สุดของแต่ละองค์กรมากำหนดเป็นนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล Privacy Policy and Procedure เพื่อให้เป็นไปตามฟุตพรินต์มาตรฐานการปกป้องข้อมูลที่เป็นสากล และสอดคล้องกับกฎหมาย GDPR (General Data Protection Regulation) ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป โดยทรู คอร์ป ได้ดำเนินการ 5 แนวทางสำคัญ เพื่อดูแลคุ้มครองข้อมูลส่วนบุคคล (PDPA) ดังนี้ …

เงื่อนไขการใช้สิทธิและการบริหารจัดการสิทธิตาม PDPA

บทความน่าสนใจBy Admin S.10 23 May 2023

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ PDPA กำหนดให้เจ้าของข้อมูลส่วนบุคคลมีสิทธิหลาย ๆ ประการที่กฎหมายบัญญัติไว้ในมาตรา 30-36 ได้แก่ สิทธิในการขอเข้าถึงและขอรับสำเนา (Access) สิทธิขอให้โอนข้อมูล (Portability) สิทธิคัดค้าน (Object) สิทธิขอให้ลบ (Erasure) สิทธิขอให้ระงับการใช้ (Restriction) และสิทธิขอให้แก้ไขข้อมูล (Rectification) กฎหมายได้กำหนดเป็นหน้าที่ขององค์กรต่าง ๆ ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล ให้มีหน้าที่ดำเนินการตอบสนองต่อคำขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลด้วย (Responding to Data Subject Requests: DSRs) สิทธิทั้ง 6 ประการดังกล่าวมีเงื่อนไขและขอบเขตการใช้บังคับหรือการดำเนินการตาม DSRs ที่แตกต่างกันขึ้นอยู่กับเงื่อนไขการใช้สิทธิแต่ละประเภท และฐานทางกฎหมายที่เกี่ยวข้อง (lawful basis) กับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล European Data Protection Board (EDPB) ซึ่งเป็นหน่วยงานกำกับการบังคับใช้ GDPR…

การรักษาความมั่นคงปลอดภัยของข้อมูลและการแจ้งเหตุการละเมิด

บทความน่าสนใจBy Admin S.10 3 May 2023

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 เป็นกฎหมายที่กำหนดหน้าที่และความรับผิดชอบขององค์กร ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลที่ต้องปฏิบัติ เมื่อดำเนินการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล หน้าที่ที่สำคัญประการหนึ่งขององค์กร คือ การจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม (Security of Processing/Data Security) และในกรณีที่ “มาตรการรักษาความมั่นคงปลอดภัย” ดังกล่าวที่องค์กรดำเนินการไม่เป็นไปตามมาตรฐานหรือเกิดข้อผิดพลาด อันอาจนำไปสู่เหตุการละเมิดข้อมูลส่วนบุคคล (Data Breach) องค์กรก็จะมีหน้าที่แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลตามเงื่อนไขที่กฎหมายกำหนด (Data Breach Notification) หน้าที่ในส่วนของ “การมีมาตรการรักษาความมั่นคงปลอดภัย” และ “การแจ้งเหตุการละเมิด” จึงเป็นสองหน้าที่ที่มาควบคู่กันเสมอ ในระบบกฎหมายด้านการคุ้มครองข้อมูลส่วนบุคคล ถือว่าเมื่อองค์กรนำเข้าและใช้ประโยชน์จากข้อมูลส่วนบุคคล องค์กรก็มีหน้าที่ต้องดูแลรักษา และเมื่อไม่สามารถดูแลได้จนนำมาซึ่งการเกิดเหตุการละเมิดข้อมูลส่วนบุคคล องค์กรก็ต้องรีบดำเนินการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลตามเงื่อนไขของกฎหมาย เพื่อให้มีการประเมินและพิจารณาความเสี่ยงต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคลโดยเร็ว พร้อมทั้งดำเนินการเยียวยาแก้ไขความเสียหายและผลกระทบใด ๆ ที่อาจมีต่อเจ้าของข้อมูลส่วนบุคคล อันเป็นการปกป้องส่วนได้เสียต่าง ๆ ของผู้ใช้บริการ/ประชาชน ตามประกาศฯ มาตรการรักษาความมั่นคงปลอดภัย ข้อ…

ดีอีเอส รู้ตัว 9near แล้ว! รับหลายหน่วยงานรัฐยังมีช่องโหว่จริง

การรักษาความลับ, ข่าวประจำวัน, สถานการณ์ไซเบอร์By Admin S.10 4 April 2023

ชัยวุฒิ เผยรู้ตัวผู้ใช้งานบัญชี 9near แล้ว พบเป็นคนในประเทศและทำเป็นขบวนการหวังดิสเครดิตรัฐ ยอมรับระบบเทคโนโลยีของภาครัฐยังมีช่องโหว่ อาจส่งผลให้ข้อมูลประชาชนรั่วไหลได้ ชัยวุฒิ ธนาคมานุสรณ์ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส) เผยความคืบหน้ากรณี ผู้ใช้ชื่อบัญชี “9near” อ้างว่ามีข้อมูลส่วนตัวของคนไทยกว่า 55 ล้านรายชื่อ ทั้งนี้ เจ้าหน้าที่ตำรวจได้ข้อมูลมาพอสมควรและได้ล็อกเป้าคนร้ายแล้ว แต่ยังไม่สามารถยืนยันได้ว่าข้อมูลหลุดออกมาจากหน่วยงานไหน ต้องรอจับคนร้ายให้ได้ก่อนแล้วจึงขยายผล เบื้องต้นเชื่อว่าเป็นการดิสเครดิต ต้องการให้รู้ว่าระบบมีปัญหา ไม่ได้เป็นการเรียกค่าไถ่ หรือหาเงินจากเรื่องนี้ คิดว่าการโจมตีครั้งนี้ มีการทำเป็นขบวนการไม่สามารถทำคนเดียวได้ ยืนยันหากจับคนร้ายได้แล้วข้อมูลไม่รั่วไหลแน่นอน โดยได้มอบหมายให้ปลัดกระทรวงดิจิทัลฯ ประสานงานกับผู้เกี่ยวข้องเร่งหาข้อเท็จจริง รวมทั้งดูแลผู้เสียหายจากเคส 9near ด้วย อย่างไรก็ตาม นายชัยวุฒิ มองว่า มีหลายหน่วยงานที่มีโอกาสทำข้อมูลรั่วไหล โดยเฉพาะระบบที่ประชาชนต้องลงทะเบียน รวมถึงการแจ้งผลการลงทะเบียนของประชาชน ที่จำเป็นต้องมีการระบุ ชื่อ ที่อยู่ เบอร์โทรศัพท์บนแพลตฟอร์มที่เป็นสาธารณะ ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 (PDPA) ระบุให้หน่วยงานที่รู้ตัวว่าทำข้อมูลหลุดต้องแจ้งต่อ…

ผ่าแนวคิด “สกมช.” มือปราบภัยไซเบอร์ รับมือ ภัยคุกคามป่วนหนัก

บทความน่าสนใจBy Admin S.10 19 January 2023

ภัยไซเบอร์ ที่คุกคามเข้ามาส่งผลกระทบให้กับคนไทยในช่วงที่ผ่านมา นอกจากจะมีรูปแบบเดิม ๆ คือ มัลแวร์ แรนซัมแวร์ ฟิชชิ่ง แล้ว ทุกวันนี้ออนไลน์ต้องเผชิญหน้ากับภัยจากการหลอกลวงให้โอนเงิน กดลิงก์ปลอม หลอกให้ติดตั้งแอปพลิเคชัน หรือ แม้แต่การเสียบสายชาร์จสมาร์ตโฟน ก็สามารถทำให้เงินหายเกลี้ยงบัญชีได้ รัฐบาลได้จัดตั้งสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์ (สกมช.) เพื่อรับผิดชอบในส่วนนี้โดยเฉพาะ พล.อ.ต.อมร ชมเชย เลขาธิการสกมช. กล่าวว่า ภัยไซเบอร์ขององค์กรปีนี้ยังคงพบความเสี่ยงขององค์กรที่ไม่มีการอัปเกรดเซิร์ฟเวอร์ จนกลายเป็นช่องโหว่ของ แก๊งแรนซัมแวร์ ในการขโมยข้อมูล เรียกค่าไถ่ ประจาน และเปิดเผยข้อมูล ซึ่งทั่วโลกมีบริษัทถูกแฮกข้อมูลกว่า 100 บริษัทต่อเดือน ขณะที่ประเทศไทยถูกแฮก เฉลี่ยเดือนละ 5-6 บริษัท แต่ไม่มีใครเปิดเผย เพราะกลัวมีความผิดตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ พีดีพีเอ เรื่องข้อมูลส่วนบุคคลในต่างประเทศ อาทิ สิงคโปร์ ออสเตรเลีย ให้ความสำคัญมากมีบริการ เครดิต วอช ด้วยการซื้อประกันข้อมูลรั่ว หากข้อมูลรั่วบริษัทต้องจ่ายค่าเสียหายให้ลูกค้าและรัฐบาล เชื่อว่าอีกไม่นานประเทศไทยต้องมีบริการรูปแบบนี้…

สกมช.เตรียมแก้ กม.เพิ่มอำนาจปรับหน่วยงานระบบไอทีไม่ปลอดภัย

ข่าวประจำวัน, สถานการณ์ไซเบอร์By Admin S.10 19 January 2023

เหตุเป็นช่องแฮกเกอร์เจาะข้อมูล หลังพบสถิติองค์กรไทยถูกแก๊งแรนซัมแวร์ขโมยข้อมูล เรียกค่าไถ่ เดือนละ 5-6 บริษัท พล.อ.ต.อมร ชมเชย เลขาธิการสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์ (สกมช.) กล่าวว่า ภัยไซเบอร์ขององค์กรปีนี้ยังคงพบความเสี่ยงขององค์กรที่ไม่มีการอัปเกรดเซิร์ฟเวอร์ จนกลายเป็นช่องโหว่ของ แก๊งแรนซัมแวร์ ในการขโมยข้อมูล เรียกค่าไถ่ ประจาน และเปิดเผยข้อมูล ซึ่งทั่วโลกมีบริษัทถูกแฮกข้อมูลกว่า 100 บริษัทต่อเดือน ขณะที่ประเทศไทยถูกแฮกเฉลี่ยเดือนละ 5-6 บริษัท แต่ไม่มีใครเปิดเผย เพราะกลัวมีความผิดตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ พีดีพีเอ ทั้งนี้ เรื่องข้อมูลส่วนบุคคลในต่างประเทศ อาทิ สิงคโปร์ ออสเตรเลีย ให้ความสำคัญอย่างมาก โดยมีบริการ เครดิต วอช ด้วยการซื้อประกันข้อมูลรั่ว หากข้อมูลรั่วบริษัทต้องจ่ายค่าเสียหายให้ลูกค้าและรัฐบาล เชื่อว่าอีกไม่นานประเทศไทยต้องมีบริการรูปแบบนี้ เพราะ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล มีโทษปรับทางปกครองสูงสุดไม่เกิน 5,000,000 บาท กับหน่วยงานที่ปล่อยให้ข้อมูลส่วนบุคคลรั่ว อย่างไรก็ตาม ที่ผ่านมา สกมช.มีหน้าที่ในการกำหนดมาตรฐานระบบไอทีให้หน่วยงานโครงสร้างพื้นฐานที่สำคัญของประเทศ…

Tag Archives: PDPA