Block (Square เดิม) รายงานข้อมูลลูกค้าในสหรัฐฯ รั่วจากเหตุอดีตพนักงานดาวน์โหลดข้อมูลออกไป

การรักษาความลับ, ข่าวประจำวัน

Loading

  Block หรือ Square เดิม บริษัทด้านธุรกิจการเงินของ Jack Dorsey ผู้ก่อตั้ง Twitter ได้ออกรายงานข้อมูลหลุด โดยทางบริษัทเผยว่ามีอดีตพนักงานดาวน์โหลดข้อมูลเกี่ยวกับลูกค้าในสหรัฐฯ จำนวนหนึ่งไปออกโดยไม่ได้รับอนุญาตเมื่อวันที่ 10 ธันวาคมที่ผ่านมา   Block รายงานต่อ ก.ล.ต. สหรัฐฯ หรือ SEC ว่า ข้อมูลที่ถูกดาวน์โหลดไปเป็นข้อมูลจาก Cash App Investing ซึ่งเป็นข้อมูลสำคัญของลูกค้า ทั้งชื่อเต็มและเลขที่บัญชีโบรกเกอร์ แต่ข้อมูลลูกค้าบางกลุ่มหลุดไปถึงมูลค่าพอร์ต, สินทรัพย์ที่ถือผ่านโบรกเกอร์ และ/หรือข้อมูลกิจกรรมการซื้อขายหุ้นในหนึ่งวัน โดย Block ระบุว่าพนักงานคนนี้ดาวน์โหลดข้อมูลหลังออกจากบริษัทไปแล้ว และสิทธิ์ในการเข้าถึงรายงานเป็นหนึ่งในหน้าที่ของพนักงานคนนี้   ทั้งนี้ Block ระบุว่ารายงานไม่ได้มีข้อมูลอย่างชื่อผู้ใช้, รหัสผ่าน, เลข Social Security, วันเกิด, ข้อมูลเกี่ยวกับบัตรที่ใช้ชำระเงิน, ที่อยู่, ข้อมูลบัญชีธนาคาร หรือข้อมูลอื่นที่เกี่ยวกับลูกค้าที่ระบุตัวตนได้ ซึ่ง Block ได้ติดต่อไปยังลูกค้า 8.2 ล้านรายทั้งลูกค้าปัจจุบันและอดีตลูกค้าให้รับทราบถึงเหตุการณ์ดังกล่าวแล้ว และยืนยันว่ากระทบเฉพาะลูกค้าในสหรัฐฯ​…

พร้อมรับมือ PDPA สรุป 10 สิ่งที่องค์กรต้องเตรียมพร้อม

บทความน่าสนใจ

Loading

    หลายคนคงคุ้นหูกับคำว่า PDPA มาบ้าง ว่าเป็นกฎหมายที่เกี่ยวกับการคุ้มครองส่วนบุคคล สำหรับผู้ประกอบการหรือองค์กรที่มีการจัดเก็บ รวบรวม หรือใช้ข้อมูลส่วนบุคคล เพื่อใช้ดำเนินงานในองค์กรหรือเพื่อการประกอบธุรกิจ ก็จำเป็นต้องปฏิบัติตามกฎหมาย PDPA ทั้งสิ้น เพื่อไม่ให้เกิดการละเมิด หรือนำข้อมูลส่วนบุคคลของลูกค้าหรือพนักงานในองค์กรไปใช้ในทางที่ไม่ถูกต้อง ซึ่งจะมีโทษทางกฎหมายตามมา รวมถึงความน่าเชื่อถือขององค์กรที่เสียไปอีกด้วย   สิ่งที่ธุรกิจต้องเตรียมความพร้อมก่อนที่กฎหมาย PDPA จะบังคับใช้เต็มรูปแบบในเดือนมิถุนายน 2565 ไม่ได้มีเพียงเรื่องการขอความยินยอมให้ใช้ข้อมูลส่วนบุคคลจากเจ้าของข้อมูลเท่านั้น (Consent) แต่การจัดทำ Consent Management เพียงอย่างเดียว ยังไม่ถือว่าครอบคลุม ยังมีการจัดการข้อมูลส่วนบุคคล (Personal Data) ซึ่งรวมถึงการเตรียมความพร้อมด้านระบบที่รองรับและเอกสารทางกฎหมาย การรักษาความปลอดภัยของข้อมูลส่วนบุคคลให้เป็นไปตามมาตรฐาน รวมทั้งการสร้าง Awareness ด้าน PDPA ให้กับพนักงานในองค์กร มาดูกันว่านอกจากการทำระบบขอ Consent ตาม PDPA แล้ว องค์กรยังมีอะไรต้องเตรียมอะไรอีกบ้าง     1. Data Inventory Mapping สิ่งแรกที่องค์กรควรดำเนินการ คือ การจัดทำ Data…

การเริ่มนับระยะเวลา แจ้งเหตุการละเมิดข้อมูลส่วนบุคคล | ศุภวัชร์ มาลานนท์

บทความน่าสนใจ

Loading

  พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 37(4) กำหนดให้องค์กรซึ่งเป็นผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ “แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สำนักงานโดยไม่ชักช้าภายใน 72 ชั่วโมง นับแต่ทราบเหตุเท่าที่จะสามารถกระทำได้”   หน้าที่แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลดังกล่าว มีประเด็นที่ต้องพิจารณาทางกฎหมายหลายประการ โดยเฉพาะการเริ่มนับระยะเวลา 72 ชั่วโมงว่าเริ่มเมื่อไหร่ เนื่องจากองค์กรอาจมีความรับผิดทางกฎหมายหากไม่แจ้งภายในระยะเวลาที่กฎหมายกำหนด   ถ้อยคำหนึ่งในมาตรา 37(4) ที่เป็นจุดเริ่มต้นสำคัญของการเริ่มนับระยะเวลา คือ “นับแต่ทราบเหตุ” (become aware) ซึ่งต้องทำความเข้าใจทั้งข้อเท็จจริงและข้อกฎหมายประกอบกัน เพื่อทำความเข้าใจจุดเริ่มต้นการนับระยะเวลาดังกล่าวมากขึ้น     ผู้เขียนขอนำกรณีศึกษาตาม WP29 Guidelines on Personal Data Breach Notification under Regulation 2016/679 (GDPR) มาเพื่อใช้ประกอบการพิจารณา ดังนี้   WP29 ให้ข้อแนะนำว่าตาม GDPR “นับแต่ทราบเหตุ” ให้เริ่มต้นเมื่อ “ผู้ควบคุมข้อมูลส่วนบุคคล” มีความแน่ใจในว่าเหตุการณ์ข้อมูลรั่วไหลที่เกิดขึ้น (security incident) มีผลทำให้ข้อมูลส่วนบุคคลถูกละเมิด…

สิทธิของเจ้าของข้อมูลส่วนบุคคลตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ

บทความน่าสนใจ

Loading

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 เป็นกฎหมายที่กำหนดถึงหลักเกณฑ์ในการคุ้มครองข้อมูลส่วนบุคคล หน้าที่ของผู้ประกอบการและหน่วยงานของรัฐซึ่งมีฐานะเป็นผู้ควบคุมข้อมูลส่วนบุคคล รวมถึงกำหนดสิทธิของเจ้าของข้อมูลส่วนบุคคล พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ มีการบัญญัติถึงสิทธิของเจ้าของข้อมูลส่วนบุคคลไว้ 8 ประการ มีรายละเอียดดังต่อไปนี้ 1. สิทธิในการถอนความยินยอม (Right to withdraw consent) เจ้าของข้อมูลจะใช้สิทธิในการถอนความยินยอมได้เมื่อมีการประมวลผลข้อมูลโดยใช้ฐานความยินยอมเท่านั้น โดยเจ้าของข้อมูลจะถอนความยินยอมเมื่อใดก็ได้หากไม่มีข้อจำกัดสิทธิ และวิธีการถอนความยินยอมต้องง่ายในระดับเดียวกับวิธีการขอความยินยอม เมื่อเจ้าของข้อมูลถอนความยินยอมแล้ว ผู้ควบคุมข้อมูลจะต้องแจ้งถึงผลกระทบจากการถอนความยินยอมและต้องยุติการประมวลผลข้อมูลส่วนบุคคลดังกล่าว 2. สิทธิในการได้รับแจ้งข้อมูล (Right to be informed) เจ้าของข้อมูลมีสิทธิได้รับแจ้งเกี่ยวกับรายละเอียดการเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคล โดยผู้ควบคุมข้อมูลมีหน้าที่แจ้งถึงวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคลที่เก็บรวบรวม ระยะเวลาในการเก็บรวบรวม ช่องทางในการติดต่อผู้ควบคุมข้อมูลส่วนบุคคล เป็นต้น และในกรณีที่ผู้ควบคุมข้อมูลจะทำการเปลี่ยนแปลงวัตถุประสงค์ในการประมวลผลภายหลัง ผู้ควบคุมข้อมูลต้องแจ้งให้เจ้าของข้อมูลทราบถึงวัตถุประสงค์ใหม่ด้วย 3. สิทธิในการเข้าถึงข้อมูลส่วนบุคคล (Right of access) เจ้าของข้อมูลมีสิทธิที่จะเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตนเอง ซึ่งอยู่ในความรับผิดชอบของผู้ควบคุมข้อมูล เช่น หนังสือรับรองการประมวลผลข้อมูลส่วนบุคคล เป็นต้น รวมทั้งมีสิทธิขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลที่เจ้าของข้อมูลไม่ได้เป็นผู้ให้ความยินยอม เมื่อเจ้าของข้อมูลใช้สิทธิในการเข้าถึงข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลจะต้องดำเนินการตามคำขอและผู้ควบคุมข้อมูลสามารถปฏิเสธคำขอได้ในกรณีที่กฎหมายอื่นกำหนดถึงเหตุปฏิเสธการใช้สิทธินั้น หรือการเข้าถึงและรับสำเนาข้อมูลส่วนบุคคลนั้นจะส่งผลกระทบที่อาจก่อให้เกิดความเสียหายต่อสิทธิและเสรีภาพของบุคคลอื่น 4. สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง (Right to rectification)…

แนวทางจัดทำบันทึกรายการกิจกรรม การประมวลผลข้อมูลส่วนบุคคล

บทความน่าสนใจ

Loading

  พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนดให้องค์กรมีหน้าที่ตามมาตรา 39 ในการจัดให้มีบันทึกรายการกิจกรรมอย่างน้อยดังต่อไปนี้ เพื่อให้เจ้าของข้อมูลส่วนบุคคล และสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล สามารถตรวจสอบได้ (1) ข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม ซึ่งได้แก่คำอธิบายเกี่ยวกับประเภทของบุคคล (categories of individual) หรือประเภทของข้อมูลส่วนบุคคล (categories of personal data) ที่องค์กรทำการประมวลผล (2) วัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคลแต่ละประเภท (3) ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล ได้แก่ ชื่อ และรายละเอียดการติดต่อขององค์กร รวมถึงเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (4) ระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล (5) สิทธิและวิธีการเข้าถึงข้อมูลส่วนบุคคล รวมทั้งเงื่อนไขเกี่ยวกับบุคคลที่มีสิทธิเข้าถึงข้อมูลส่วนบุคคลและเงื่อนไขในการเข้าถึงข้อมูลส่วนบุคคลนั้น (6) การใช้หรือเปิดเผยตามมาตรา 27 วรรคสาม กล่าวคือ หากองค์กรใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยได้รับยกเว้นไม่ต้องขอความยินยอมตามมาตรา 24 หรือมาตรา 26 องค์กรต้องบันทึกการใช้หรือเปิดเผยนั้นไว้ในรายการตามมาตรา 39 ด้วย ซึ่งในทางปฏิบัติหมายความถึง (1) ให้ระบุฐานทางกฎหมายในการประมวลผล (2) ให้ระบุการเปิดเผยข้อมูลส่วนบุคคลไปยังบุคคลภายนอก และ (3) ให้ระบุการโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ…

สั่งเบลอ เซนเซอร์บ้านได้ หากรู้สึกไม่ปลอดภัย บนแอปแผนที่ Google Map

บทความน่าสนใจ

Loading

  ล่าสุดบ้านของ ทิม คุก บิ๊กบอสของ Apple ในเมือง Palo Alto รัฐแคลิฟอร์เนีย ในมุมมอง Street view ถูกทำให้เบลอบนแอปแผนที่ Google Map เรียบร้อยแล้ว หลังจากโดนสตอล์กเกอร์คุกคามบนโซเซียล โดยอ้างตัวว่าเป็นภรรยา จากนั้นไม่นานบ้านของ Tim Cook ก็ไม่ถูกระบุตัวตนใน Google Maps และ Apple Maps ในทันที   ไม่ใช่เรื่องแปลกที่จะเห็นบางสิ่งบนแผนที่ ถูกปกปิดด้วยการเบลอภาพ ทั้งใบหน้าคน ป้ายทะเบียน แต่เป็นเรื่องยากที่จะเห็นอาคารทั้งหลังถูงสร้างกำแพงโมเสทขึ้นมาแทนที่ เพื่อซ่อนจากสายตาคน เมื่อปีที่ผ่านมา Google ได้ดำเนินการในลักษณะเดียวกันเพื่อเบลอบ้านของ Billie Eilish ในลอสแองเจลิส ทันทีที่เธอคุกคามจากชายแปลกหน้าซ้ำแล้วซ้ำเล่า แต่ไม่ใช่แค่คนดังเท่านั้น ที่ซ่อนบ้านได้ หากรู้สึกไม่ปลอดภัย และต้องการให้บ้านของคุณถูกเซนเซอร์บนแอปแผนที่ สิ่งที่ต้องทำคือยื่นคำขอไปยังผู้ให้บริการแพลตฟอร์ม   ใน Google Maps 1. ไปที่ Google…