อ่วมอีกแล้ว ! Meta ถูกปรับอีกครั้ง ละเมิดกฎ GDPR

อ่วมอีกแล้ว ! Meta ถูกปรับอีกครั้ง ละเมิดกฎ GDPR

#PDPACase | อ่วมอีกแล้ว ! Meta ถูกปรับอีกครั้ง ละเมิดกฎ GDPR ! Meta พบกับศึกหนักอีกครั้ง หลังถูกตัดสินให้มีความผิดฐานละเมิดกฎหมาย GDPR และถูกปรับสูงกว่า 275 ล้านเหรียญสหรัฐฯ ดูเหมือนว่าวิกฤตของ Meta ที่เกี่ยวกับด้านการละเมิดข้อมูลส่วนบุคคลจะยังไม่จบลงโดยง่าย เพราะล่าสุด คณะกรรมการคุ้มครองข้อมูลของสหภาพยุโรปได้มีการตัดสินให้บริษัท Meta ซึ่งมีที่ตั้งอยู่ในประเทศไอร์แลนด์ มีความผิดฐานละเมิดกฎหมาย GDPR และถูกปรับสูงถึง 275 ล้านเหรียญสหรัฐฯ พร้อมเงื่อนไขให้บริษัทปรับเปลี่ยนนโยบายด้านความปลอดภัยทางไซเบอร์ จากการสืบสวนของคณะกรรมการคุ้มครองข้อมูลของสหภาพยุโรป ซึ่งถูกจัดตั้งขึ้นเพื่อคุ้มครองข้อมูลส่วนบุคคลตามกฏหมาย GDPR หลังจากค้นพบการรั่วไหลของข้อมูลส่วนบุคคลในเดือนเมษายน 2021 ล่าสุดได้มีการรายงานว่า Facebook ที่อยู่ภายใต้บริษัท Meta ได้มีการละเมิดกฎหมาย GDPR…

 5 เช็กลิสต์สำคัญเกี่ยวกับ PDPA ที่เจ้าของเว็บไซต์ต้องรู้!

5 เช็กลิสต์สำคัญเกี่ยวกับ PDPA ที่เจ้าของเว็บไซต์ต้องรู้!

#PDPAKnowledge | 5 เช็กลิสต์สำคัญเกี่ยวกับ PDPA ที่เจ้าของเว็บไซต์ต้องรู้! กฎหมายคุ้มครองข้อมูลส่วนบุคคลหรือ pdpa  ได้มีผลบังคับใช้มาแล้วระยะหนึ่ง ซึ่งหลังจากการบังคับใช้แล้ว ทำให้หลาย ๆ เว็บไซต์เริ่มมีการตื่นตัว และปรับเปลี่ยนให้ถูกต้องตามที่กฎหมายระบุกันมากขึ้น แต่ก็ยังมีเจ้าของเว็บไซต์บางส่วนที่ยังไม่เข้าใจว่า จะต้องจัดการกับเว็บไซต์อย่างไรเพื่อให้ถูกต้องตามกฎหมาย PDPA วันนี้ OneFence เลยขอนำเอาเช็กลิสต์ที่ เจ้าของเว็บไซต์ควรรู้ และควรทำเพื่อให้เว็บไซต์ของคุณปฏิบัติถูกต้องตาม PDPA มาฝาก 1. เว็บไซต์ต้องมีความปลอดภัย เนื่องจากเมื่อเข้าใช้งานเว็บไซต์ จะมีคุกกี้คอยเก็บข้อมูลส่วนบุคคล ที่ต้องมีการขอความยินยอมโดยชัดแจ้ง ดังนั้นทางเว็บไซต์จึงต้องมีการจัดเก็บข้อมูลดังกล่าวอย่างปลอดภัย และป้องกันไม่ให้ผู้ที่ไม่เกี่ยวข้องสามารถเข้าถึงข้อมูลส่วนบุคคลได้ นอกจากนี้ยังควรมีมาตรการรองรับการถูกโจมตีทางไซเบอร์อีกด้วย 2. วัตถุประสงค์ในการจัดเก็บข้อมูลส่วนบุคคลบนเว็บไซต์ หากเว็บไซต์ของคุณมีการจัดเก็บข้อมูลส่วนบุคคล ไม่ว่าจะเป็นข้อมูลส่วนบุคคลทั่วไปหรือข้อมูลส่วนบุคคลที่มีความอ่อนไหว สิ่งสำคัญที่คุณต้องทราบคือ วัตถุประสงค์ในการจัดเก็บข้อมูลว่าจัดเก็บไว้เพื่ออะไร มีระยะเวลาในการจัดเก็บนานแค่ไหน อีกทั้งยังต้องทราบด้วยว่าข้อมูลดังกล่าวจะมีการโอนไปยังบุคคลที่สามหรือไม่…

 ระวัง ! สั่งเปิดกล้องระหว่างทำงาน อาจละเมิดความเป็นส่วนตัว

ระวัง ! สั่งเปิดกล้องระหว่างทำงาน อาจละเมิดความเป็นส่วนตัว

#PDPACase | สั่งให้พนักงานเปิดกล้องระหว่างทำงาน อาจเสี่ยงละเมิดความเป็นส่วนตัวของบุคคลอื่นโดยไม่รู้ตัว เป็นอีกหนึ่งกรณีที่น่าสนใจ เมื่อศาลเนเธอร์แลนด์ตัดสินให้พนักงานทางไกลของบริษัทสหรัฐฯ ซึ่งโดนไล่ออกเพราะเขาปฏิเสธ ไม่ยอมเปิดกล้องคอมพิวเตอร์ระหว่างทำงาน ได้รับเงินชดเชยราว 75,000 ยูโร หรือประมาณ 2.7 ล้านบาท จากบริษัท โดยถือว่าเป็นการไล่ออกที่ไม่สมเหตุผลและละเมิดความเป็นส่วนตัวของพนักงาน จากรายงานข่าวระบุว่า อดีตพนักงานคนดังกล่าวได้ทำงานให้บริษัทพัฒนาซอฟท์แวร์แห่งหนึ่งในรัฐฟลอริดา สหรัฐอเมริกา ชื่อว่า Chetu Inc. สาขาประจำเมืองไรส์ไวก์ ประเทศเนเธอร์แลนด์ อยู่ในตำแหน่งพนักงานขายทางโทรศัพท์ ซึ่งสามารถทำงานจากทางไกลได้โดยไม่ต้องเข้าบริษัท ซึ่งก่อนที่จะโดนไล่ออก เขาได้รับคำสั่งให้เข้าร่วมการอบรมพนักงานในโครงการประเมินและแก้ไขจุดบกพร่อง (Corrective Action Program) ซึ่งเขาจะต้องล็อกอินเข้าระบบของบริษัท รวมทั้งแชร์ภาพหน้าจอคอมพิวเตอร์และเปิดกล้องคอมพิวเตอร์ตลอดเวลาทำงานในระหว่างเข้าโครงการ หลังจากนั้น 2 วัน เขาได้แจ้งทางบริษัทว่า รู้สึกอึดอัดที่โดนจับตามองผ่านกล้องตลอดเวลา 9 ชม.…

 ข้อมูลส่วนตัวรั่ว ต้องรับมืออย่างไร ?

ข้อมูลส่วนตัวรั่ว ต้องรับมืออย่างไร ?

#PDPAKnowledge | ข้อมูลส่วนตัวรั่ว ต้องรับมืออย่างไร ? ไม่มีใครต้องการให้ข้อมูลส่วนตัวที่สำคัญต้องรั่วไหลไปอยู่ในมือของมิจฉาชีพ หรือถูกเผยแพร์ไปในพื้นที่สาธารณะ แต่การจะป้องกันไม่ให้ข้อมูลส่วนตัวของตัวเองรั่วไหลก็ไม่ง่าย ส่วนหนึ่งเพราะความจำเป็นในการทำธุรกรรมต่าง ๆ บนโลกออนไลน์ ฉะนั้นนอกจากจะต้องมีความรอบคอบ เราก็ควรจะรู้ด้วยว่าหากข้อมูลส่วนบุคคลของเราเกิดการรั่วไหลควรจะทำอย่างไร เพื่อที่เมื่อเกิดเหตุการณ์ขึ้น จะสามารถแก้ปัญหาได้ทัน ลดความเสียหายที่อาจจะเกิดขึ้นได้ และนี่คือสิ่งที่ OneFence แนะนำว่า ควรทำอย่างเร่งด่วนหากข้อมูลส่วนบุคคลที่สำคัญเกิดการรั่วไหล เมื่อเกิดเหตุการณ์ข้อมูลส่วนตัวรั่วไหล สิ่งที่แรกที่ควรทำหลังจากรับรู้ก็คือ การตั้งสติ เพราะคนส่วนใหญ่เมื่อทราบว่าข้อมูลสำคัญเกิดการรั่วไหลออกไป โดยเฉพาะที่เกี่ยวกับการเงิน อย่างเช่น ข้อมูลบัตรเครดิต บัตรเดบิต หรือข้อมูลเกี่ยวกับบัญชีเงินฝาก ก็จะทำให้รู้สึกไม่สบายใจ และวิตกกังวล จากนั้นควรหาต้นทางการรั่วไหล โดยติดต่อกับองค์กร หรือเว็บไซต์ต้นทางที่เกิดการรั่วไหลของข้อมูลโดยทันที จากนั้นจึงทำตามขั้นตอนดังนี้ กรณีเป็นข้อมูลสำคัญทางการเงิน โทรศัพท์ติดต่อธนาคารเจ้าของบัตรเพื่อทำการอายัติบัตร หรือบัญชีนั้น ๆ โดยทันที…

 8 วิธีป้องกัน ข้อมูลส่วนตัวรั่วไหล ด้วยตัวเอง

8 วิธีป้องกัน ข้อมูลส่วนตัวรั่วไหล ด้วยตัวเอง

#PDPAKnowledge | 8 วิธีป้องกัน ข้อมูลส่วนตัวรั่วไหล ด้วยตัวเอง ปฏิเสธไม่ได้ว่าปัจจุบันอินเทอร์เน็ตได้กลายเป็นส่วนหนึ่งในชีวิตประจำวันของคนเราไปเสียแล้ว เนื่องจากคนจำนวนไม่น้อยหันมาทำธุรกรรมต่าง ๆ บนอินเทอร์เน็ตมากขึ้น ไม่ว่าจะเป็นการสั่งซื้อสินค้า การสมัครบริการต่าง ๆ หรือแม้แต่การทำธุรกรรมที่เกี่ยวกับการเงิน ด้วยเหตุนี้เองโอกาสที่จะถูกขโมยข้อมูล หรือเกิดปัญหา ข้อมูลส่วนตัวรั่วไหล ได้ง่าย ไม่ว่าจากความประมาทเลินเล่อ หรือเพราะโดนจารกรรมข้อมูล ทั้งหมดล้วนส่งผลกระทบต่อเจ้าของข้อมูล  ดังนั้นนอกจากจะหวังพึ่งระบบการดูแลความปลอดภัยข้อมูลของหน่วยงานต่าง ๆ แล้ว เราก็ควรระมัดระวัง และตระหนักถึงการป้องกันข้อมูลส่วนตัวของเราเองด้วย วันนี้ Security Pitch จึงขอหยิบเอา 8 วิธีในการป้องกันข้อมูลส่วนตัวไม่ให้รั่วไหลมาฝาก ดังนี้ 1. ตั้งรหัสผ่านให้กับอุปกรณ์ หลายคนอาจรู้สึกว่าการใส่รหัสผ่านในอุปกรณ์ต่าง ๆ ทำให้รู้สึกยุ่งยาก แต่อยากจะบอกว่าวิธีนี้เป็นขั้นตอนที่ง่ายที่สุดที่สามารถช่วยป้องกันการถูกขโมยข้อมูลได้ ในกรณีที่อุปกรณ์ชิ้นนั้นสูญหาย…

 ระวัง! รักษ์โลก แต่เผลอทำข้อมูลส่วนตัวผู้อื่นรั่วไหล เสี่ยงค่าปรับสูงถึง 5 ล้านบาท !

ระวัง! รักษ์โลก แต่เผลอทำข้อมูลส่วนตัวผู้อื่นรั่วไหล เสี่ยงค่าปรับสูงถึง 5 ล้านบาท !

#PDPAKnowledge | ระวัง! รักษ์โลก แต่เผลอทำข้อมูลส่วนตัวผู้อื่นรั่วไหล เสี่ยงค่าปรับตามกฎหมาย PDPA สูงถึง 5 ล้านบาท ! ไม่ว่าจะเป็นใครก็ล้วนแต่ไม่ต้องการให้ข้อมูลส่วนตัวรั่วไหลไปยังบุคคลภายนอก แต่ก็มีหลาย ๆ กรณีที่ข้อมูลเกิดรั่วไหลออกไปโดยที่เจ้าของเองไม่ได้ยินยอม เช่นเหตุการณ์ล่าสุดที่มีข้อมูลผู้ป่วยของโรงพยาบาลแห่งหนึ่งในจังหวัดชลบุรีรั่วไหลจนกลายเป็นข่าวดัง ถึงแม้เจ้าของข้อมูลจะไม่ได้ทำการฟ้องร้อง แต่กรณีนี้ก็ถือเป็นตัวอย่างของเหตุการณ์ข้อมูลรั่วไหลที่น่ากังวล และน่าเป็นเคสตัวอย่างที่ทำให้คนหันมาใส่ใจเรื่องข้อมูลส่วนบุคคลกันมากขึ้น ต้องยอมรับว่าความเสี่ยงที่ข้อมูลส่วนตัวจะรั่วไหลออกไปสู่ภายนอกนั้นยังคงมีอยู่มากในประเทศไทย โดยเฉพาะการรั่วไหลจากเอกสารที่อยู่ในรูปของกระดาษนั้นยังเป็นเรื่องที่เกิดขึ้นได้ เพราะยังมีหลายหน่วยงานยังใช้เอกสารกระดาษอยู่ และเมื่อใช้งานเสร็จแล้ว หากไม่นำมาหมุนเวียนใช้เป็นกระดาษรียูส ก็มักจะมีการนำไปขายต่อให้ภายนอกเพื่อนำไปทำลาย หรือนำไปรีไซเคิล จุดนี้เองเป็นขั้นตอนที่อาจทำให้ข้อมูลสำคัญรั่วไหลได้ ซึ่งในอดีตอาจไม่ใช่เรื่องใหญ่ แต่ในปัจจุบัน กฎหมาย พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้ประกาศและบังคับใช้แล้ว การทำข้อมูลส่วนบุคคลของผู้อื่นรั่วไหล ถือเป็นเรื่องที่ผิดกฎหมายทั้งทางแพ่ง และทางอาญา มีค่าปรับสูงถึง 5…

 ประกาศแต่งตั้งแล้ว! คณะกรรมการผู้เชี่ยวชาญ พิจารณาเรื่องร้องเรียน PDPA

ประกาศแต่งตั้งแล้ว! คณะกรรมการผู้เชี่ยวชาญ พิจารณาเรื่องร้องเรียน PDPA

#PDPAKnowledge | ประกาศแต่งตั้งแล้ว! คณะกรรมการผู้เชี่ยวชาญ พิจารณาเรื่องร้องเรียน PDPA หลังจากการแต่งตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และ คณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ที่อยู่ภายใต้อำนาจของกฎหมายข้อมูลส่วนบุคคล พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) แล้ว ล่าสุดได้มีการแต่งตั้งคณะกรรมการผู้เชี่ยวชาญ เพื่อทำหน้าที่พิจารณาเรื่องร้องเรียนที่เกี่ยวข้องกับ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล โดยในการแต่งตั้งครั้งนี้ ได้มีการแต่งตั้งคณะกรรมการขึ้นมาทั้งหมด 2 ชุด ได้แก่ คณะกรรมการผู้เชี่ยวชาญ เรื่องร้องเรียนเกี่ยวกับการเงิน และเศรษฐกิจ และ คณะกรรมการผู้เชี่ยวชาญ เรื่องร้องเรียนเกี่ยวกับเทคโนโลยีดิจิทัล ซึ่งในแต่ละคณะได้มีผู้ที่ได้รับการแต่งตั้งจำนวนทั้งหมด 7 ตำแหน่ง แบ่งออกเป็น ประธานกรรมการผู้เชี่ยวชาญ 1 ตำแหน่ง และกรรมการผู้ทรงคุณวุฒิประจำด้านต่าง ๆ อีก 6…

 ย้อนรอย 1 ปี กับการถูกโจมตีทางไซเบอร์ของเครือธุรกิจใหญ่ในไทย เมื่อกฎหมาย PDPA ยังไม่บังคับใช้

ย้อนรอย 1 ปี กับการถูกโจมตีทางไซเบอร์ของเครือธุรกิจใหญ่ในไทย เมื่อกฎหมาย PDPA ยังไม่บังคับใช้

#PDPACase | ย้อนรอย 1 ปี กับการถูกโจมตีทางไซเบอร์ของเครือธุรกิจใหญ่ของไทย เมื่อกฎหมาย PDPA ยังไม่บังคับใช้ นับเป็นระยะเวลาเกือบ 1 ปีแล้ว หลังจากบริษัทในกลุ่มเซ็นทรัลถูกโจมตีทางไซเบอร์ จนทำให้ข้อมูลส่วนตัวของลูกค้าจำนวนกว่า 400 GB ถูกขโมยจากเซิร์ฟเวอร์ไปโดยใช้เวลาเพียง 10 นาที ด้วยฝีมือของกลุ่มแฮ็กเกอร์ Desorden การโจมตีกลุ่มเซ็นทรัลในครั้งนั้น เกิดขึ้นเมื่อปี 2564 นับเป็นการโจมตีทางไซเบอร์ครั้งใหญ่ครั้งหนึ่งของไทย แม้จะไม่ทำให้เกิดความเสียหายเป็นตัวเงิน แต่ก็ทำให้ความน่าเชื่อถือในเรื่องการรักษาความปลอดภัยของข้อมูลโดยกลุ่มบริษัทเซ็นทรัลถูกสั่นคลอนไปอย่างมาก เพราะนอกจากความเชื่อมั่นที่เสียไปแล้ว กรณีดังกล่าวยังทำให้ธุรกิจในกลุ่มเซ็นทรัลได้รับผลกระทบตามมาหลายด้าน เนื่องข้อมูลที่ถูกจารกรรมไปจากระบบเป็นข้อมูลที่ไม่ได้มีการ Back Up ไว้ก่อน อีกทั้งข้อมูลบางส่วนยังถูกนำไปขายต่อในตลาดมืด จึงทำให้เสี่ยงต่อความเสียหายเพิ่มเติมในอนาคต จากเหตุการณ์ดังกล่าวแสดงให้เห็นว่า การจารกรรมข้อมูลส่วนตัวเป็นเรื่องที่เกิดขึ้นได้ง่ายในปัจจุบัน และเนื่องจาก พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล…

 PDPA มีข้อยกเว้นเรื่องใดบ้าง ไม่ต้องขอความยินยอม

PDPA มีข้อยกเว้นเรื่องใดบ้าง ไม่ต้องขอความยินยอม

#PDPAKnowledge | ข้อยกเว้นของกฎหมาย PDPA ที่ไม่ต้องขอความยินยอมในการเก็บข้อมูล อย่างที่ทราบกันว่า พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA นั้น ถูกออกแบบมาคุ้มครองข้อมูลส่วนบุคคลทุกชนิด ดังนั้นก่อนจะทำการเก็บ และรวบรวมข้อมูล เพื่อนำข้อมูลส่วนบุคคลของผู้อื่นมาใช้งาน หรือนำไปประมวลผลเพื่อประโยชน์ทางธุรกิจ  ก็ต้องมีการขอความยินยอมหรือ Consent ด้วยทุกครั้ง แต่ในบางกรณี พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA ก็มีข้อยกเว้นเกี่ยวกับเรื่องความยินยอม (Consent) ที่ไม่ต้องขอความยินยอมในการเก็บข้อมูลจากเจ้าของข้อมูลส่วนบุคคลตามกฎหมาย PDPA ในมาตรา 24 ดังต่อไปนี้ ✅ เพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวข้องกับการจัดทำเอกสารประวัติศาสตร์ หรือจดหมายเหตุ เพื่อประโยชน์สาธารณะ หรือที่เกี่ยวกับการศึกษาวิจัย ตามมาตรา…

 แนวทางการขอความยินยอม และวัตถุประสงค์การเก็บข้อมูล

แนวทางการขอความยินยอม และวัตถุประสงค์การเก็บข้อมูล

#PDPAKnowledge | สคส. ออกแนวทางการดำเนินการเกี่ยวกับการคุ้มครองข้อมูลส่วนบุุคคลเพิ่ม 2 ฉบับ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้ออกแนวทางการดำเนินการเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จำนวน 2 ฉบับ ดังนี้ แนวทางการดำเนินการในการการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 อ่านฉบับเต็มได้ที่นี่ แนวทางการดำเนินการในการแจ้งวัตถุประสงค์และรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 อ่านฉบับเต็มได้ที่นี่ ที่มา : PDPC Thailand#PDPA #ข้อมูลส่วนบุคคล #พรบคุ้มครองข้อมูลส่วนบุคคล #สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล #PDPC #สคส #Securitypitch