ผู้ใช้บริการมีสิทธิรู้ว่า ‘ข้อมูล’ ของตนเองถูกเปิดเผยหรือโอนไปอยู่ที่ใคร

Loading

  วันที่ 12 ม.ค.2566 ศาลยุติธรรมแห่งสหภาพยุโรป ได้เผยแพร่คำวินิจฉัยคดี C-154/21 ที่ผู้ใช้บริการของ Österreichische Post มีคำร้องขอ (data subject request: DSR) ให้ผู้ให้บริการเปิดเผยข้อมูลส่วนบุคคลเกี่ยวกับตนเอง ว่าถูกเปิดเผยหรือโอนไปยังบุคคลใดบ้าง (access request)   ผู้ร้องขอกล่าวอ้างว่า Österreichische Post ในฐานะ “ผู้ควบคุมข้อมูลส่วนบุคคล” (data controller) มีหน้าที่ตามกฎหมายในการเปิดเผยข้อมูลดังกล่าวต่อผู้ใช้บริการในฐานะ “เจ้าของข้อมูลส่วนบุคคล” (data subject) ตาม   กฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (EU General Data Protection Regulation: GDPR)   ซึ่งกำหนดให้เจ้าของข้อมูลส่วนบุคคลมีสิทธิที่จะได้รับข้อมูลเกี่ยวกับผู้รับ (recipients) หรือประเภทของผู้รับ (categories of recipient) ซึ่งข้อมูลส่วนบุคคลของเขาถูกเปิดเผยหรือจะถูกเปิดเผย   ผู้ให้บริการตอบสนองต่อคำร้องขอของผู้ใช้บริการ โดยการให้ข้อมูลแบบไม่เฉพาะเจาะจงตัวผู้รับโอนข้อมูล กล่าวคือ ให้ข้อมูลเพียงว่า ผู้ให้บริการใช้ข้อมูลส่วนบุคคลตามขอบเขตที่กฎหมายอนุญาตในการดำเนินกิจกรรม  …

องค์กรการแพทย์แคลิฟอร์เนีย เผยผู้ป่วย 3 ล้านคน อาจได้รับผลจากการแฮ็กข้อมูลเมื่อปลายปี 2022

Loading

    กลุ่มองค์กรทางการแพทย์ในรัฐแคลิฟอร์เนีย สหรัฐอเมริกา ส่งคำเตือนไปยังผู้ป่วย 3 ล้านคน ว่าแฮ็กเกอร์อาจขโมยข้อมูลด้านสุขภาพและข้อมูลส่วนบุคคลอื่น ๆ ไปในช่วงที่มีเหตุโจมตีด้วยมัลแวร์เรียกค่าไถ่เมื่อวันที่ 1 ธันวาคม ปีที่แล้ว   องค์กรเหล่านี้ ได้แก่ Regal Medical Group, Lakeside Medical Organization, ADOC Medical Group และ Greater Covina Medical   Regal ออกมาเปิดเผยว่า ได้จ้างผู้เชี่ยวชาญจากภายนอกมาจัดการกับปัญหาที่เกิดขึ้น และได้ทำงานร่วมกับบริษัทด้านไซเบอร์เพื่อกู้คืนระบบและตรวจสอบว่ามีข้อมูลใดที่ได้รับผลกระทบบ้าง   จากข้อมูลของหน่วยงานด้านไซเบอร์ พบว่าข้อมูลที่แฮ็กเกอร์ขโมยออกไปจากกลุ่มองค์กรเหล่านี้มีทั้ง ชื่อผู้ป่วย เลข Social Security ที่อยู่ วันเกิด ข้อมูลการวินิจฉัยโรคและการรักษา ผลตรวจห้องปฏิบัติการ ข้อมูลการสั่งยา ข้อมูลฉายรังสี ข้อมูลประกันสุขภาพ และเบอร์โทรศัพท์   กระทรวงสุขภาพและบริการมนุษย์ของสหรัฐอเมริกา (DHH) ที่อยู่ระหว่างการตรวจสอบเหตุการณ์ที่เกิดขึ้นเผยว่ามีผู้ป่วยถึง 3,300,638 รายที่ได้รับผลกระทบ…

Slick แอปวัยรุ่นอินเดียทำฐานข้อมูลผู้ใช้นับแสนรายหลุดบนโลกออนไลน์

Loading

    Slick แอปพลิเคชันโซเชียลมีเดียสัญชาติอินเดียที่ขณะนี้กำลังมาแรงทำฐานข้อมูลผู้ใช้งานหลุดสู่สาธารณะเป็นเวลาหลายเดือน ในจำนวนนี้มีข้อมูลเด็กนักเรียนด้วย   ฐานข้อมูลนี้หลุดออกมาตั้งแต่เมื่อวันที่ 11 ธันวาคม มีทั้งชื่อนามสกุล เบอร์โทร วันเกิด และรูปโปรไฟล์ของผู้ใช้งานมากกว่า 153,000 คน   ผู้ที่เจอฐานข้อมูลที่หลุดออกมานี้คือ อนุรัก เซ็น (Anurag Sen) จาก CloudDefense.ai ซึ่งได้ขอให้เว็บไซต์ TechCrunch ช่วยแจ้งเตือนไปยัง Slick ซึ่งทาง Slick ก็ได้แก้ไขเรียบร้อยแล้ว   เซ็นยังได้จากแจ้งไปยังหน่วยตอบโต้เหตุฉุกเฉินทางคอมพิวเตอร์อินเดีย (CERT-In) ให้ทราบด้วยแล้ว   TechCrunch พบว่าการหลุดรั่วของฐานข้อมูลในครั้งนี้เกิดจากการตั้งค่าที่ผิดพลาด ทำให้ใครก็ตามที่รู้เลขไอพีของฐานข้อมูลก็จะสามารถเข้าไปดูข้อมูลได้หมด   Slick เปิดให้ใช้งานครั้งแรกเมื่อเดือนพฤศจิกายน 2022 ก่อตั้งโดย อาจิต นันดา (Archit Nanda) อดีตผู้บริหาร Unacademy โดย Slick เป็นแพลตฟอร์มสำหรับนักเรียนและนักศึกษามาพูดคุยกันได้แบบไม่เปิดเผยตัวตน ในปัจจุบันมีผู้ดาวน์โหลดถึง 100,000 ครั้ง…

แนวทางประเมินความเสี่ยงและแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล

Loading

    พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ มาตรา 37 (4) กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ “แจ้งเหตุการละเมิดข้อมูลส่วนบุคคล” แก่สำนักงานโดยไม่ชักช้าภายใน 72 ชั่วโมง   นับแต่ทราบเหตุเท่าที่จะสามารถกระทำได้ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล   อย่างไรก็ตาม ในกรณีที่การละเมิดมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคลให้แจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อมกับแนวทางการเยียวยาโดยไม่ชักช้าด้วย   ตามมาตรา 37 (4) แสดงให้เห็นว่า “การประเมินความเสี่ยงต่อสิทธิและเสรีภาพของบุคคล” เป็นเงื่อนไขสำคัญประการหนึ่งที่ทำให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบว่าตนเองนั้นมีหน้าที่ต้องแจ้งหรือไม่ต้องแจ้งเหตุ แก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลและเจ้าของข้อมูลส่วนบุคคลให้ทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น   ดังนั้น ผู้ควบคุมข้อมูลส่วนบุคคลจึงจำเป็นต้องพิจารณาปัจจัยต่าง ๆ เพื่อใช้ในการประเมินความเสี่ยงต่อสิทธิและเสรีภาพของบุคคล เมื่อเหตุการละเมิดข้อมูลส่วนบุคคลเกิดขึ้น     คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้กำหนดปัจจัยต่าง ๆ ที่ผู้ควบคุมข้อมูลส่วนบุคคลอาจใช้ในการประเมินความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคลไว้ในประกาศฯ เรื่อง หลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลฯ ข้อ 12   โดยผู้ควบคุมข้อมูลส่วนบุคคล อาจพิจารณาจากปัจจัย ดังต่อไปนี้   (1) ลักษณะและประเภทของการละเมิดข้อมูลส่วนบุคคล   (2) ลักษณะหรือประเภทของข้อมูลส่วนบุคคลที่เกี่ยวข้องกับการละเมิด   (3) ปริมาณของข้อมูลส่วนบุคคลที่เกี่ยวข้องกับการละเมิด ซึ่งอาจพิจารณาจากจำนวนเจ้าของข้อมูลส่วนบุคคลหรือจำนวนรายการ (records)…

รู้จักกับ Phishing การขโมยข้อมูลทางไซเบอร์

Loading

    รู้จักกับ Phishing การขโมยข้อมูลทางไซเบอร์และวิธีการรับมือรูปแบบต่าง ๆ   ปัจจุบันความปลอดภัยของข้อมูลส่วนบุคคลบนโลกไซเบอร์เป็นสิ่งสำคัญเป็นอย่างมาก เนื่องจากเกี่ยวข้องกับรูปแบบการใช้ชีวิตของบุคคลนั้น ๆ เช่น การทำงานและการเงิน เมื่อข้อมูลอยู่บนโลกออนไลน์ที่สามารถเข้าถึงได้ทำให้ผู้ไม่ประสงค์ดีอาจใช้ช่องทางดังกล่าวแสวงหาประโยชน์จากข้อมูลส่วนบุคคล เช่น การหลอกให้โอนเงินและการขโมยเงินในบัญชีธนาคาร     ช่องทางการขโมยข้อมูลทางไซเบอร์   1. ปลอมอีเมล วิธีการปลอมอีเมลติดต่อให้ดูเหมือนเป็นอีเมลของธนาคารหรือบริษัทที่ถูกแอบอ้าง หากได้รับอีเมลแปลก ๆ ให้สังเกตชื่อที่อยู่ด้านหลังของอีเมลว่าเป็นชื่อของเว็บไซต์ของหน่วยงานนั้น ๆ จริงหรือไม่   2. เว็บไซต์ปลอมหลอกให้กรอกข้อมูล การปลอมเว็บไซต์และข้อมูลใหม่ทั้งระบบโดยลอกเลียนแบบมาจากเว็บไซต์ของธนาคารหรือบริษัทที่ถูกแอบอ้าง อย่างไรก็ตามจุดสังเกตเว็บไซต์ปลอมมีหลายจุด เช่น เมนูที่คลิกไม่ได้ การออกแบบที่ไม่สมส่วนหรือกระจัดกระจายไม่มีระเบียบ รวมไปถึง URL ชื่อที่อยู่ของเว็บไซต์ที่ใช้ชื่อแปลก ๆ   3. โทรศัพท์ (Call Center) รูปแบบการหลอกขอข้อมูลและโอนเงินที่ระบาดมากที่สุดทั้งในประเทศไทยและต่างประเทศ มักใช้วิธีปลอมตัวเป็นธนาคารและเจ้าหน้าที่ของรัฐ โทรมาสอบถามและแจ้งเหตุด่วนให้เหยื่อรีบโอนเงินกลับไป   4. ข้อความสั้น SMS การส่งข้อความไปยังโทรศัพท์ของเหยื่อโดยตรงเพื่อหลอกให้คลิกลิงก์แปลก ๆ และกรอกข้อมูลต่าง ๆ…

“กสทช.”เตือนอย่าหลงเชื่อกรอกข้อมูลแอบอ้างช่วยขยายเวลาทดลองออกอากาศวิทยุ

Loading

    สำนักงาน กสทช. เผยไม่เคยให้ข้อมูลข่าวสารเกี่ยวกับการลงทะเบียนขยายเวลาทดลองออกอากาศวิทยุชุมชน และไม่เคยขอให้กรอกข้อมูลส่วนบุคคลของผู้ลงทะเบียน ตามที่มีการแชร์ข้อมูลในกลุ่มไลน์ต่าง ๆ   พลอากาศโท ธนพันธุ์ หร่ายเจริญ  กรรมการ กสทช. เปิดเผยว่า ตามที่ปรากฏข้อมูลหรือข่าวสารเกี่ยวกับการลงทะเบียน ขอขยายเวลาการทดลองออกอากาศวิทยุกระจายเสียง ในระบบเอฟเอ็ม โดยมีการอ้างอิงประกาศ กสทช. เรื่อง หลักเกณฑ์ ว่าด้วยการทดลองออกอากาศวิทยุกระจายเสียง ในระบบเอฟเอ็ม และกำหนดให้มีการกรอกข้อมูลส่วนบุคคล ของผู้ลงทะเบียน รวมทั้งมีการนำเสนอข้อมูลที่มีการพาดพิงถึงสำนักงาน กสทช. ในกลุ่มไลน์  นั้น  ขอชี้แจ้งว่า การดำเนินการดังกล่าวไม่ได้มีส่วนเกี่ยวข้องกับ กสทช. และสำนักงาน กสทช. แต่อย่างใด   ทั้งนี้การทดลองออกอากาศวิทยุกระจายเสียง ระบบเอฟเอ็มนั้น กสทช. ยังคงมีนโยบายที่จะเร่งรัดปรับปรุงหลักเกณฑ์ ที่เกี่ยวข้องให้แล้วเสร็จโดยเร็ว เพื่อรองรับให้มีการออกใบอนุญาตประกอบกิจการวิทยุกระจายเสียงแก่ผู้ที่ประสงค์ จะดำเนินกิจการวิทยุกระจายเสียงต่อไป ให้มีความต่อเนื่องกับการยุติการทดลองออกอากาศวิทยุกระจายเสียง ระบบเอฟเอ็ม ในวันที่ 31 ธ.ค. 67   “กสทช. ให้ความสำคัญกับการแก้ไขปัญหาการทดลองออกอากาศวิทยุกระจายเสียง ระบบเอฟเอ็ม เพื่อให้ผู้ทดลอง…