เจาะลึกเรื่อง ROPA เพื่อปฏิบัติตาม PDPA

เจาะลึกเรื่อง ROPA เพื่อปฏิบัติตาม PDPA

#PDPAKnowledge | เจาะลึกเรื่อง ROPA เพื่อปฏิบัติตาม PDPA นับจากกฎหมายคุ้มครองข้อมูลส่วนบุคคลมีผลบังคับใช้อย่างเป็นทางการเมื่อวันที่ 1 มิถุนายน 2565 ก็ทำให้หลาย ๆ หน่วยงานต้องเข้มงวดกับการเก็บรวบรวม ใช้ หรือประมวลผลข้อมูลส่วนบุคคลมากขึ้น โดยต้องจัดเก็บเอกสาร และข้อมูลต่าง ๆ ให้เป็นระบบและปลอดภัยมากขึ้น ขณะที่บางหน่วยงานก็ต้องมีการจัดทำบันทึกกิจกรรม หรือ ROPA ให้สอดคล้องกับกฎหมาย PDPA ROPA คืออะไร? ROPA หรือ Records of Processing Activity คือ บันทึกรายการของกิจกรรมประมวลข้อมูลส่วนบุคคล ไม่ว่าจะเป็นข้อมูลส่วนบุคคลในรูปแบบอิเล็กทรอนิกส์ หรือข้อมูลส่วนบุคคลที่จัดเก็บในรูปแบบเอกสารที่จับต้องได้ ทั้งนี้ ROPA จะเน้นไปที่การบันทึกกระบวนการทำงานของแผนกต่าง ๆ…

 ย้อนไทม์ไลน์ 7 เดือนหลังประกาศบังคับใช้ กฎหมาย PDPA

ย้อนไทม์ไลน์ 7 เดือนหลังประกาศบังคับใช้ กฎหมาย PDPA

#PDPACase | ย้อนไทม์ไลน์ 7 เดือนหลังประกาศบังคับใช้ กฎหมาย PDPA เป็นเวลากว่า 7 เดือนแล้ว ที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 อันเป็นกฎหมายที่ให้ความสำคัญกับสิทธิส่วนบุคคลมีผลบังคับใช้ ถือเป็นก้าวสำคัญที่ทำให้หน่วยงาน องค์กร ทั้งภาครัฐและภาคเอกชนเกิดการตื่นตัว มีการปรับเปลี่ยนการทำงานในองค์กรให้สอดคล้องกับกฎหมายมากขึ้น ขณะเดียวกันก็มีการออกกฎหมายลูกมาเพื่อให้การบังคับใช้กฎหมายเป็นไปอย่างราบรื่น เราจะมาดูกันว่าตลอดกว่า 7 เดือนที่ผ่านมา การบังคับใช้ กฎหมาย PDPA เป็นอย่างไรบ้าง 1 มิถุนายน พ.ศ.2565 – บังคับใช้กฎหมาย PDPA  หลังการประกาศใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลในปี พ.ศ.2562 ให้มีผลบังคับใช้ในเดือนมิถุนายน ปี 2563 ได้มีการเลื่อนวันบังคับใช้เนื่องจากความไม่พร้อมของหน่วยงาน และสถานการณ์การระบาดของโรคโควิด-19 กระทั่งมีการบังคับใช้อย่างเป็นทางการในวันที่ 1…

 ราชกิจจานุเบกษา ประกาศหลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิด ข้อมูลส่วนบุคคล พ.ศ. 2565

ราชกิจจานุเบกษา ประกาศหลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิด ข้อมูลส่วนบุคคล พ.ศ. 2565

#PDPAKnowledge | ราชกิจจานุเบกษา ประกาศหลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล พ.ศ. 2565 หลังจากการประกาศบังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ไปเมื่อวันที่ 1 มิถุนายน 2565 ล่าสุดราชกิจจจานุเบกษาได้มีการออกประกาศเกี่ยวกับ หลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล พ.ศ. 2565 แล้ว โดยเมื่อวันที่ 15 ธันวาคม 2565 เว็บไซต์ราชกิจจานุเบกษา ได้ออกประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล พ.ศ. 2565 โดยมีใจความสำคัญเกี่ยวกับหลักเกณฑ์ และวิธีการแจ้งเหตุเมื่อเกิดการละเมิดข้อมูลส่วนบุคคล โดยแบ่งการละเมิดข้อมูลส่วนบุคคลออกเป็น 3 ประเภท คือ การละเมิดความลับของข้อมูลส่วนบุคคล (Confidentiality Breach), การละเมิดความถูกต้องครบถ้วนของข้อมูลส่วนบุคคล (Integrity…

 อ่วมอีกแล้ว ! Meta ถูกปรับอีกครั้ง ละเมิดกฎ GDPR

อ่วมอีกแล้ว ! Meta ถูกปรับอีกครั้ง ละเมิดกฎ GDPR

#PDPACase | อ่วมอีกแล้ว ! Meta ถูกปรับอีกครั้ง ละเมิดกฎ GDPR ! Meta พบกับศึกหนักอีกครั้ง หลังถูกตัดสินให้มีความผิดฐานละเมิดกฎหมาย GDPR และถูกปรับสูงกว่า 275 ล้านเหรียญสหรัฐฯ ดูเหมือนว่าวิกฤตของ Meta ที่เกี่ยวกับด้านการละเมิดข้อมูลส่วนบุคคลจะยังไม่จบลงโดยง่าย เพราะล่าสุด คณะกรรมการคุ้มครองข้อมูลของสหภาพยุโรปได้มีการตัดสินให้บริษัท Meta ซึ่งมีที่ตั้งอยู่ในประเทศไอร์แลนด์ มีความผิดฐานละเมิดกฎหมาย GDPR และถูกปรับสูงถึง 275 ล้านเหรียญสหรัฐฯ พร้อมเงื่อนไขให้บริษัทปรับเปลี่ยนนโยบายด้านความปลอดภัยทางไซเบอร์ จากการสืบสวนของคณะกรรมการคุ้มครองข้อมูลของสหภาพยุโรป ซึ่งถูกจัดตั้งขึ้นเพื่อคุ้มครองข้อมูลส่วนบุคคลตามกฏหมาย GDPR หลังจากค้นพบการรั่วไหลของข้อมูลส่วนบุคคลในเดือนเมษายน 2021 ล่าสุดได้มีการรายงานว่า Facebook ที่อยู่ภายใต้บริษัท Meta ได้มีการละเมิดกฎหมาย GDPR…

 ข้อมูลส่วนบุคคลคืออะไร? สรุปแบบเข้าใจง่าย

ข้อมูลส่วนบุคคลคืออะไร? สรุปแบบเข้าใจง่าย

#PDPAKnowledge | ข้อมูลส่วนบุคคลคืออะไร? สรุปแบบเข้าใจง่าย ข้อมูลส่วนบุคคล เป็นคำที่ได้ยินบ่อยมากขึ้นหลังจากมีการบังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 อย่างเป็นทางการ เมื่อวันที่ 1 มิถุนายน 2565 ที่ผ่านมา แต่ก็มีหลาย ๆ คนที่ยังไม่ทราบ หรือไม่แน่ใจว่าข้อมูลส่วนบุคคลนั้นคืออะไร และมีขอบเขตแค่ไหน OneFence จึงขอนำความหมาย และขอบเขตของข้อมูลส่วนบุคคลมาสรุปให้เข้าใจอย่างง่าย ๆ เพื่อให้คุณสามารถได้เรียนรู้ และระมัดระวังการใช้ข้อมูลส่วนบุคคลมากขึ้น ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 6 ได้นิยามความหมายของข้อมูลส่วนบุคคลไว้ว่า “ข้อมูลส่วนบุคคล หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ” โดยข้อมูลส่วนบุคคลในที่นี้ แบ่งออกเป็นทั้งหมด…

 5 เช็กลิสต์สำคัญเกี่ยวกับ PDPA ที่เจ้าของเว็บไซต์ต้องรู้!

5 เช็กลิสต์สำคัญเกี่ยวกับ PDPA ที่เจ้าของเว็บไซต์ต้องรู้!

#PDPAKnowledge | 5 เช็กลิสต์สำคัญเกี่ยวกับ PDPA ที่เจ้าของเว็บไซต์ต้องรู้! กฎหมายคุ้มครองข้อมูลส่วนบุคคลหรือ pdpa  ได้มีผลบังคับใช้มาแล้วระยะหนึ่ง ซึ่งหลังจากการบังคับใช้แล้ว ทำให้หลาย ๆ เว็บไซต์เริ่มมีการตื่นตัว และปรับเปลี่ยนให้ถูกต้องตามที่กฎหมายระบุกันมากขึ้น แต่ก็ยังมีเจ้าของเว็บไซต์บางส่วนที่ยังไม่เข้าใจว่า จะต้องจัดการกับเว็บไซต์อย่างไรเพื่อให้ถูกต้องตามกฎหมาย PDPA วันนี้ OneFence เลยขอนำเอาเช็กลิสต์ที่ เจ้าของเว็บไซต์ควรรู้ และควรทำเพื่อให้เว็บไซต์ของคุณปฏิบัติถูกต้องตาม PDPA มาฝาก 1. เว็บไซต์ต้องมีความปลอดภัย เนื่องจากเมื่อเข้าใช้งานเว็บไซต์ จะมีคุกกี้คอยเก็บข้อมูลส่วนบุคคล ที่ต้องมีการขอความยินยอมโดยชัดแจ้ง ดังนั้นทางเว็บไซต์จึงต้องมีการจัดเก็บข้อมูลดังกล่าวอย่างปลอดภัย และป้องกันไม่ให้ผู้ที่ไม่เกี่ยวข้องสามารถเข้าถึงข้อมูลส่วนบุคคลได้ นอกจากนี้ยังควรมีมาตรการรองรับการถูกโจมตีทางไซเบอร์อีกด้วย 2. วัตถุประสงค์ในการจัดเก็บข้อมูลส่วนบุคคลบนเว็บไซต์ หากเว็บไซต์ของคุณมีการจัดเก็บข้อมูลส่วนบุคคล ไม่ว่าจะเป็นข้อมูลส่วนบุคคลทั่วไปหรือข้อมูลส่วนบุคคลที่มีความอ่อนไหว สิ่งสำคัญที่คุณต้องทราบคือ วัตถุประสงค์ในการจัดเก็บข้อมูลว่าจัดเก็บไว้เพื่ออะไร มีระยะเวลาในการจัดเก็บนานแค่ไหน อีกทั้งยังต้องทราบด้วยว่าข้อมูลดังกล่าวจะมีการโอนไปยังบุคคลที่สามหรือไม่…

 ระวัง ! สั่งเปิดกล้องระหว่างทำงาน อาจละเมิดความเป็นส่วนตัว

ระวัง ! สั่งเปิดกล้องระหว่างทำงาน อาจละเมิดความเป็นส่วนตัว

#PDPACase | สั่งให้พนักงานเปิดกล้องระหว่างทำงาน อาจเสี่ยงละเมิดความเป็นส่วนตัวของบุคคลอื่นโดยไม่รู้ตัว เป็นอีกหนึ่งกรณีที่น่าสนใจ เมื่อศาลเนเธอร์แลนด์ตัดสินให้พนักงานทางไกลของบริษัทสหรัฐฯ ซึ่งโดนไล่ออกเพราะเขาปฏิเสธ ไม่ยอมเปิดกล้องคอมพิวเตอร์ระหว่างทำงาน ได้รับเงินชดเชยราว 75,000 ยูโร หรือประมาณ 2.7 ล้านบาท จากบริษัท โดยถือว่าเป็นการไล่ออกที่ไม่สมเหตุผลและละเมิดความเป็นส่วนตัวของพนักงาน จากรายงานข่าวระบุว่า อดีตพนักงานคนดังกล่าวได้ทำงานให้บริษัทพัฒนาซอฟท์แวร์แห่งหนึ่งในรัฐฟลอริดา สหรัฐอเมริกา ชื่อว่า Chetu Inc. สาขาประจำเมืองไรส์ไวก์ ประเทศเนเธอร์แลนด์ อยู่ในตำแหน่งพนักงานขายทางโทรศัพท์ ซึ่งสามารถทำงานจากทางไกลได้โดยไม่ต้องเข้าบริษัท ซึ่งก่อนที่จะโดนไล่ออก เขาได้รับคำสั่งให้เข้าร่วมการอบรมพนักงานในโครงการประเมินและแก้ไขจุดบกพร่อง (Corrective Action Program) ซึ่งเขาจะต้องล็อกอินเข้าระบบของบริษัท รวมทั้งแชร์ภาพหน้าจอคอมพิวเตอร์และเปิดกล้องคอมพิวเตอร์ตลอดเวลาทำงานในระหว่างเข้าโครงการ หลังจากนั้น 2 วัน เขาได้แจ้งทางบริษัทว่า รู้สึกอึดอัดที่โดนจับตามองผ่านกล้องตลอดเวลา 9 ชม.…

 Hybrid Working อย่างไรให้ ข้อมูลส่วนตัว ปลอดภัย

Hybrid Working อย่างไรให้ ข้อมูลส่วนตัว ปลอดภัย

#PDPAKnowledge | Hybrid Working อย่างไรให้ ข้อมูลส่วนตัว ปลอดภัย หลังจากสถานการณ์การแพร่ระบาดของโรค COVID-19 เริ่มคลี่คลาย หลาย ๆ องค์กรก็เริ่มให้พนักงานกลับเข้าไปทำงาน On-site มากขึ้น แต่ก็มีอีกไม่น้อยที่ตัดสินใจปรับเปลี่ยนรูปแบบการทำงานให้สามารถทำงานจากที่บ้าน หรือจากที่ไหนก็ได้ เพื่อลดค่าใช้จ่าย อีกทั้งในช่วงการแพร่ระบาดนั้นได้แสดงให้เห็นว่า การทำงานแบบ Remote ให้ผลลัพธ์ที่ดีไม่ต่างจากการทำงานที่ออฟฟิศ แต่ทราบกันหรือไม่ว่าการทำงาน Hybrid Working ที่แสนจะสะดวกสบายนั้นก็อาจสร้างความเสี่ยงที่เราคาดไม่ถึงได้ เช่น ข้อมูลส่วนตัว หรือข้อมูลต่าง ๆ ที่เกี่ยวกับการทำงาน ซึ่งรั่วไหลออกไปโดยที่เราไม่รู้ตัว ปัญหาข้อมูลส่วนตัว หรือข้อมูลที่เกี่ยวกับการทำงานรั่วไหลจากการปฏิบัติหน้าที่ภายนอกที่ทำงาน เป็นสิ่งที่เกิดขึ้นได้ง่าย โดยเฉพาะกับผู้ที่ใช้บริการร้านกาแฟ หรือพื้นที่สาธารณะในการนั่งทำงาน และมีการเข้าใช้เครือข่ายอินเทอร์เน็ตที่เป็นเครือข่ายสาธารณะ เพราะเครือข่ายเหล่านี้ไม่ว่าใครก็สามารถเข้าถึงได้ จึงอาจทำให้มิจฉาชีพใช้โอกาสนี้ในการเจาะเข้าระบบของผู้ใช้งาน…

 ข้อมูลส่วนตัวรั่ว ต้องรับมืออย่างไร ?

ข้อมูลส่วนตัวรั่ว ต้องรับมืออย่างไร ?

#PDPAKnowledge | ข้อมูลส่วนตัวรั่ว ต้องรับมืออย่างไร ? ไม่มีใครต้องการให้ข้อมูลส่วนตัวที่สำคัญต้องรั่วไหลไปอยู่ในมือของมิจฉาชีพ หรือถูกเผยแพร์ไปในพื้นที่สาธารณะ แต่การจะป้องกันไม่ให้ข้อมูลส่วนตัวของตัวเองรั่วไหลก็ไม่ง่าย ส่วนหนึ่งเพราะความจำเป็นในการทำธุรกรรมต่าง ๆ บนโลกออนไลน์ ฉะนั้นนอกจากจะต้องมีความรอบคอบ เราก็ควรจะรู้ด้วยว่าหากข้อมูลส่วนบุคคลของเราเกิดการรั่วไหลควรจะทำอย่างไร เพื่อที่เมื่อเกิดเหตุการณ์ขึ้น จะสามารถแก้ปัญหาได้ทัน ลดความเสียหายที่อาจจะเกิดขึ้นได้ และนี่คือสิ่งที่ OneFence แนะนำว่า ควรทำอย่างเร่งด่วนหากข้อมูลส่วนบุคคลที่สำคัญเกิดการรั่วไหล เมื่อเกิดเหตุการณ์ข้อมูลส่วนตัวรั่วไหล สิ่งที่แรกที่ควรทำหลังจากรับรู้ก็คือ การตั้งสติ เพราะคนส่วนใหญ่เมื่อทราบว่าข้อมูลสำคัญเกิดการรั่วไหลออกไป โดยเฉพาะที่เกี่ยวกับการเงิน อย่างเช่น ข้อมูลบัตรเครดิต บัตรเดบิต หรือข้อมูลเกี่ยวกับบัญชีเงินฝาก ก็จะทำให้รู้สึกไม่สบายใจ และวิตกกังวล จากนั้นควรหาต้นทางการรั่วไหล โดยติดต่อกับองค์กร หรือเว็บไซต์ต้นทางที่เกิดการรั่วไหลของข้อมูลโดยทันที จากนั้นจึงทำตามขั้นตอนดังนี้ กรณีเป็นข้อมูลสำคัญทางการเงิน โทรศัพท์ติดต่อธนาคารเจ้าของบัตรเพื่อทำการอายัติบัตร หรือบัญชีนั้น ๆ โดยทันที…

 8 วิธีป้องกัน ข้อมูลส่วนตัวรั่วไหล ด้วยตัวเอง

8 วิธีป้องกัน ข้อมูลส่วนตัวรั่วไหล ด้วยตัวเอง

#PDPAKnowledge | 8 วิธีป้องกัน ข้อมูลส่วนตัวรั่วไหล ด้วยตัวเอง ปฏิเสธไม่ได้ว่าปัจจุบันอินเทอร์เน็ตได้กลายเป็นส่วนหนึ่งในชีวิตประจำวันของคนเราไปเสียแล้ว เนื่องจากคนจำนวนไม่น้อยหันมาทำธุรกรรมต่าง ๆ บนอินเทอร์เน็ตมากขึ้น ไม่ว่าจะเป็นการสั่งซื้อสินค้า การสมัครบริการต่าง ๆ หรือแม้แต่การทำธุรกรรมที่เกี่ยวกับการเงิน ด้วยเหตุนี้เองโอกาสที่จะถูกขโมยข้อมูล หรือเกิดปัญหา ข้อมูลส่วนตัวรั่วไหล ได้ง่าย ไม่ว่าจากความประมาทเลินเล่อ หรือเพราะโดนจารกรรมข้อมูล ทั้งหมดล้วนส่งผลกระทบต่อเจ้าของข้อมูล  ดังนั้นนอกจากจะหวังพึ่งระบบการดูแลความปลอดภัยข้อมูลของหน่วยงานต่าง ๆ แล้ว เราก็ควรระมัดระวัง และตระหนักถึงการป้องกันข้อมูลส่วนตัวของเราเองด้วย วันนี้ Security Pitch จึงขอหยิบเอา 8 วิธีในการป้องกันข้อมูลส่วนตัวไม่ให้รั่วไหลมาฝาก ดังนี้ 1. ตั้งรหัสผ่านให้กับอุปกรณ์ หลายคนอาจรู้สึกว่าการใส่รหัสผ่านในอุปกรณ์ต่าง ๆ ทำให้รู้สึกยุ่งยาก แต่อยากจะบอกว่าวิธีนี้เป็นขั้นตอนที่ง่ายที่สุดที่สามารถช่วยป้องกันการถูกขโมยข้อมูลได้ ในกรณีที่อุปกรณ์ชิ้นนั้นสูญหาย…