PDPA Archives - Security & Privacy Combined

June 2, 2023 Article

สังคมไทยตื่นตัวแค่ไหน กับกฎหมาย PDPA

ปัญหาการละเมิดข้อมูลส่วนบุคคลเป็นสิ่งที่เกิดขึ้นมาอย่างยาวนาน และยังไม่ได้รับการแก้ไข หรือการป้องกันอย่างจริงจัง กระทั่งมีการร่าง พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ขึ้น และบังคับใช้อย่างเป็นทางการเมื่อวันที่ 1 มิถุนายน พ.ศ 2565 ผ่านมา 1 ปี มีปัญหาและอุปสรรคใดเกิดขึ้นบ้าง และแนวทางต่อไปของกฎหมายฉบับนี้จะเป็นอย่างไร ตลอด 1 ปีที่ผ่านมา นอกจากหน่วยงานทั้งภาครัฐ และเอกชน ที่เริ่มตื่นตัว จะเห็นได้ว่า องค์กรที่มีหน้าที่โดยตรง อย่าง สำนักคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ได้เริ่มภารกิจมากมาย ไม่ว่าจะเป็นการออกกฎหมายลูก การจัดตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล รวมถึงการออกแนวทางปฎิบัติเมื่อถูกละเมิดข้อมูลส่วนบุคคล และการให้ความรู้แก่ประชาชนในแง่มุมต่าง ๆ เพื่อสร้างการตระหนักรู้ที่มากขึ้น ขณะที่ Security Pitch ได้สอบถามไปยัง…

June 1, 2023 Article

ความเปลี่ยนแปลง หลังบังคับใช้ PDPA ครบ 1 ปี

1 มิถุนายน พ.ศ. 2565 คือวันแรกที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ PDPA ถูกบังคับใช้อย่างเป็นทางการ ถือเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคล และความเป็นส่วนตัวของข้อมูลฉบับแรก ครั้งนี้ Security Pitch จะพาทุกท่านไปย้อนรอยกันว่า ตลอด 1 ปีที่ผ่านมา ประเทศไทยมีความเปลี่ยนแปลงอย่างไรบ้าง หลังการประกาศใช้กฎหมายฉบับนี้ เรียกได้ว่า 1 ปีที่ผ่านมา เป็นปีที่ท้าทายสำหรับองค์กร และหน่วยงานต่าง ๆ เพราะนับตั้งแต่มีการบังคับใช้กฎหมาย องค์กรต่าง ๆ ก็ต้องปรับตัวครั้งใหญ่ โดยเฉพาะองค์กรที่มีการจัดเก็บข้อมูลส่วนบุคคลอยู่เป็นจำนวนมาก รวมถึงต้องจัดตั้งคณะทำงานเพื่อให้สอดคล้องกับกฎหมายฉบับนี้ แต่ก็ยังมีบางองค์กรที่ยังมีแนวคิดว่าการปฏิบัติตามกฎหมาย PDPA ยังไม่ใช่สิ่งที่จำเป็น สิ้นเปลืองงบประมาณ หรือยังไม่รู้ว่าฝ่ายใดต้องเป็นผู้รับผิดชอบ ส่วนหนึ่งก็เพราะบุคลากรในองค์กรเองยังขาดความรู้ความเข้าใจ และขาดการตระหนักรู้เกี่ยวกับกฎหมาย ด้วยเหตุนี้องค์กรจำนวนไม่น้อยจึงยังไม่สามารถบริหารจัดการข้อมูลส่วนบุคคล…

May 31, 2023 Article

องค์กรปลอดภัย ข้อมูลไม่รั่วไหล ควรเริ่มใส่ใจระบบไซเบอร์ขององค์กร

ปัจจุบันองค์กรจำนวนมากล้วนเข้าสู่การทำ Digital Transformation ไม่เว้นแม้แต่สถานพยาบาลที่เริ่มยกเลิกการจัดเก็บข้อมูลผู้ใช้บริการในรูปแบบเอกสารที่จัดเก็บยาก ด้วยเสี่ยงต่อการชำรุด และสูญหาย ขณะที่การจัดเก็บบนระบบเครือข่าย นอกจากช่วยอำนวยความสะดวก ยังลดจำนวนบุคลากรที่ทำงานได้มากกว่า แต่ก็ปฏิเสธไม่ได้ว่าสิ่งที่ต้องระมัดระวังคือความเสี่ยงจากภัยคุกคามทางไซเบอร์ ที่อาจทำให้สูญเสียการเป็น องค์กรปลอดภัย ไม่กี่ปีที่ผ่านมา มีทั้งองค์กรเอกชน และหน่วยงานภาครัฐประสบกับปัญหาภัยคุกคามทางไซเบอร์มากขึ้น ภัยเหล่านั้นไม่เพียงทำให้ระบบเครือข่ายขององค์กรเสียหาย แต่ยังอาจทำให้ข้อมูลรั่วไหล หรือ ถูกนำออกไปใช้ในทางมิชอบ ซ้ำร้ายองค์กรยังอาจสูญเสียความเชื่อมั่น และตกเป็นจำเลยสังคมไปในที่สุด ทั้งนี้ ภัยคุกคามทางไซเบอร์ที่เกิดขึ้นกับองค์กรต่าง ๆ ในประเทศไทย มักเกิดขึ้นจากความผิดพลาดของมนุษย์ หรือ เกิดจากช่องโหว่ของระบบที่องค์กรอาจไม่เคยพบมาก่อน ทำให้ผู้คุกคามสามารถโจมตีระบบเครือข่ายได้อย่างง่ายดาย ซึ่งสถานพยาบาล ถือเป็นอีกหนึ่งเป้าหมายที่มักประสบกับปัญหาเหล่านี้ เช่น กรณีข้อมูลส่วนบุคคลของผู้ใช้บริการโรงพยาบาลแห่งหนึ่งในประเทศไทยรั่วไหล แสดงให้เห็นว่า แม้โรงพยาบาลจะได้รับการรับรองมาตรฐาน ก็ไม่อาจมั่นใจได้ว่าระบบไซเบอร์จะได้รับการปกป้องอย่างดีเพียงพอ อย่างไรก็ตาม ปัจจุบันมีสถานพยาบาลจำนวนไม่น้อยเริ่มตื่นตัว หามาตรการที่ปลอดภัยกว่าเดิมให้กับระบบเครือข่ายขององค์กร ทว่าจะมั่นใจได้อย่างไรว่า มาตรการป้องกันที่มีอยู่เพียงพอต่อภัยคุกคามที่คืบคลานเข้ามา…

May 30, 2023 Article

จำเป็นไหม? ที่ต้องให้ “ความยินยอม”

การได้รับการรักษาพยาบาลจากบุคลากรทางการแพทย์ เป็นสิทธิขั้นพื้นฐานที่ประชาชนพึงได้รับ ทว่าในการรักษา หรือ เข้ารับบริการในสถานพยาบาล อาจต้องใช้ข้อมูลส่วนบุคคลประกอบการรักษา เมื่อมีการประกาศบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ขึ้น การขอความยินยอมจากเจ้าของข้อมูลจึงเป็นเรื่องสำคัญ ในจุดนี้เองอาจทำให้หลายคนสงสัยว่า หากไม่ให้ ความยินยอม เพื่อนำข้อมูลของตนเองไปใช้ในสถานพยาบาล จะสามารถทำได้หรือไม่ หรือจะส่งผลอย่างไรกับการรักษา Security Pitch มีคำตอบครับ ทำไม? ผู้เข้ารับบริการต้องให้ “ความยินยอม“ ปฏิเสธไม่ได้ว่าการให้ความยินยอมต่อสถานพยาบาลถือเป็นเรื่องสำคัญ และเกี่ยวข้องโดยตรงกับการรักษา เนื่องจากวัตถุประสงค์หนึ่งของการขอความยินยอมให้จัดเก็บ หรือ ประมวลผลข้อมูลส่วนบุคคล ก็คือการเก็บบันทึกข้อมูลการรักษาหรือข้อมูลสุขภาพ กรณีที่ผู้ป่วยอยู่ในสภาวะที่ไม่สามารถให้ความยินยอมได้ ข้อมูลต่าง ๆ เหล่านี้ก็อาจถูกนำมาใช้เพื่อช่วยเหลือในการรักษาได้อย่างทันท่วงที ขณะเดียวกันบางสถานพยาบาลยังอาจระบุถึงวัตถุประสงค์ทางการตลาดไว้ในเอกสารขอความยินยอม ด้วยเหตุนี้เองผู้เข้ารับบริการจึงควรทำความเข้าใจ อ่านเนื้อหาให้ถี่ถ้วน ก่อนตัดสินใจให้ความยินยอมในการจัดเก็บ หรือ ประมวลผลข้อมูลส่วนบุคคลก่อนทุกครั้ง ไม่ให้ความยินยอม…

May 26, 2023 Article

สิทธิและ “ความยินยอม” ของผู้ป่วย สำคัญอย่างไรกับสถานพยาบาล

ปัจจุบันสิทธิส่วนบุคคลเป็นสิ่งที่สำคัญอย่างมาก ด้วยเพราะมีกฎหมายต่าง ๆ ออกมารองรับมากขึ้น ทำให้การทำธุรกรรม หรือกิจกรรมต่าง ๆ มักต้องได้รับความยินยอมเป็นลายลักษณ์อักษร หรือมีหลักฐานยืนยัน ไม่เว้นแม้แต่การเข้ารับบริการในสถานพยาบาล ซึ่งมีหน้าที่ให้การรักษา หรือให้บริการด้านสาธารณสุขแก่ประชาชนก็จำเป็นต้องเข้าถึงข้อมูลส่วนบุคคลของผู้ป่วย ไม่ว่าจะเป็น ชื่อ-สกุล ประวัติการรักษา หรือข้อมูลสำคัญด้านสุขภาพ ดังนั้นความจำเป็นในการขอ ความยินยอม จึงเป็นสิ่งที่ไม่อาจละเลยได้ ทำไมต้องขอความยินยอมจากผู้เข้ารับบริการ? สำหรับสถานพยาบาล การขอ ความยินยอม จากผู้เข้ารับบริการเป็นสิ่งที่สำคัญไม่แพ้กับการรักษาสวัสดิภาพของผู้เข้ารับบริการ เพราะหากดูตามรายละเอียดใน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตราที่ 41 ซึ่งระบุไว้ว่า “ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดให้มี เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของตน ในกรณีดังต่อไปนี้ (1) ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเป็นหน่วยงานของรัฐตามที่ คณะกรรมการประกาศกำหนด (2) การดำเนินกิจกรรมของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล ในการเก็บรวบรวม…

May 25, 2023 Article

คลายข้อสงสัย การทำ PDPA เป็นหน้าที่ของใคร

อีกเพียง 1 สัปดาห์ ก็จะครบรอบ 1 ปี ของการบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุลคล พ.ศ.2562 หรือ PDPA แล้ว ซึ่งตลอดระยะเวลาที่ผ่านมา หลายองค์กรได้เริ่มเคลื่อนไหวปรับเปลี่ยนการทำงานให้สอดคล้องกับกฎหมาย ขณะเดียวกันก็มีอีกหลายองค์กรที่ยังมองข้าม เพียงเพราะไม่รู้ว่าเป็นหน้าที่ของใคร Security Pitch พาไปทำความเข้าใจ ถึงความสำคัญของการทำ PDPA และใครบ้างคือผู้รับผิดชอบในส่วนนี้ PDPA หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นกฎหมายที่ถูกบัญญัติขึ้น โดยมีวัตถุประสงค์เพื่อให้การคุ้มครองข้อมูลส่วนบุคคล เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ บัญชีธนาคาร อีเมล ลายนิ้วมือ รวมไปถึงข้อมูลที่มีความละเอียดอ่อนของบุคคล เช่น ความเชื่อ รสนิยมทางเพศ ข้อมูลสุขภาพ…

May 19, 2023 Article

รัฐบาลใหม่ กับมาตรการรับมือปัญหา “ข้อมูลรั่วไหล” ในวันที่กฎหมาย pdpa บังคับใช้ใกล้ครบ 1 ปี

ขณะที่สปอตไลท์แทบทุกดวงกำลังส่องไปยังว่าที่รัฐบาลใหม่ ซึ่งกำลังจัดตั้งขึ้นเร็ว ๆ นี้ ไม่เพียงแต่จะมีการคาดเดาถึงตัวบุคคล แต่ประชาชนจำนวนไม่น้อยก็กำลังจับตาว่า จะมีนโยบายด้านใดบ้างที่ถูกหยิบยกมาทำให้เป็นจริงก่อน เพื่อแก้ปัญหาที่เกิดขึ้นในสังคมอย่างจริงจัง และในฐานะที่ Security Pitch เรามองเห็นความสำคัญของความปลอดภัย เป็นหนึ่งในปัจจัยพื้นฐานของชีวิต จึงอยากเห็นนโยบายที่จะมาแก้ปัญหา โดยเฉพาะในเรื่องของความเป็นส่วนตัวของข้อมูลส่วนบุคคล เนื่องจาก 2 ปีที่ผ่านมา ประเทศไทยต้องพบเจอกับปัญหาข้อมูลส่วนบุคคลรั่วไหล เกิดการหลอกลวงโดยแก๊งมิจฉาชีพ อย่าง สแกมเมอร์ คอลเซ็นเตอร์ รวมไปถึงแฮ็กเกอร์ อย่างเหตุการณ์ข้อมูลส่วนบุคคลของประชาชนกว่า 55 ล้านคน รั่วไหล เมื่อไม่กี่เดือนที่ผ่านมา นี่จึงเป็นอีกประเด็นที่น่าสนใจว่า หลังจากการเลือกตั้งแล้ว รัฐบาลใหม่จะใช้อำนาจที่มีแก้ปัญหาดังกล่าวอย่างไรบ้าง หรือจะมีวิธีจัดการ ป้องกันไม่ให้เกิดปัญหาเหล่านี้อีกได้อย่างไร นับเป็นอีกความท้าทายไม่น้อย เพราะประชาชนไม่น้อยยังมองว่า การที่ข้อมูลส่วนบุคคลรั่วไหลไม่ใช่เรื่องใหญ่ และยังไม่มีองค์กรใดที่ให้ความสำคัญเรื่องนี้อย่างแท้จริง รวมไปถึงยังไม่มีกรณีศึกษาที่สำคัญให้ผู้คนรู้สึกตระหนักรู้มากนัก ทั้งที่อีกไม่กี่วันข้างหน้าก็ถึงจะวันที่…

May 17, 2023 Article

3 “มาตรฐานความปลอดภัย” ทางไซเบอร์ ที่สำคัญต่อองค์กรยุคใหม่

หากจะเอ่ยถึง มาตรฐานความปลอดภัย องค์กรส่วนใหญ่มักจะมองว่าความปลอดภัยทางกายภาพเป็นสิ่งที่สำคัญ เนื่องจากเป็นสิ่งที่สามารถจับต้องได้ และการมีมาตรการความปลอดภัยที่ดีก็จะช่วยให้องค์กรได้รับความเชื่อมั่นจากบุคลากร และลูกค้าต่าง ๆ มากขึ้น ทว่าในปัจจุบันที่โลกทางกายภาพและไซเบอร์ถูกหล่อหลอมเข้าไว้ด้วยกัน องค์กรอาจพบเจอกับภัยคุกคามด้านความปลอดภัยทางไซเบอร์ได้ด้วย จึงจำเป็นต้องมีมาตรฐานความปลอดภัยทางไซเบอร์ที่ดี Security Pitch จึงหยิบเอามาตรฐานความปลอดภัยทางไซเบอร์ที่ทุกองค์กรควรจะมี มาฝากกันครับ 1. มาตรฐานความปลอดภัย สารสนเทศ ISO 27001 ISO 27001 เป็นหลักเกณฑ์มาตรฐานที่กำหนดขึ้น เพื่อเป็นโครงสร้างพื้นฐานสำหรับระบบบริหารที่เป็นกลางทางเทคโนโลยี และเพื่อเป็นสิ่งการันตีว่า องค์กรของคุณมีมาตรการความปลอดภัยทางข้อมูลที่มีประสิทธิภาพ โดยมีข้อกำหนดมาตรฐาน ดังนี้ ความสามารถในการเข้าถึงข้อมูล การรักษาความลับ การรักษาให้ระบบสารสนเทศของตน และของผู้มีส่วนร่วม มีความครบถ้วนสมบูรณ์ แนวทางในการปฏิบัติตามกฎหมาย ไม่เพียงเท่านั้นมาตรฐานนี้ยังสามารถใช้งานร่วมกับระบบบริหารอื่น ๆ ได้ เช่น ISO 9001…

April 30, 2023 Article

เกลือเป็นหนอน แฮ็กเกอร์ชาวยูเครนขาย ข้อมูลส่วนบุคคล กว่า 300 ล้านคน ให้รัสเซีย

ขณะที่สงครามระหว่างรัสเซีย และยูเครน ยังคงคุกกรุ่น ล่าสุด ยูเครนก็พบแฮ็กเกอร์เกลือเป็นหนอน นำเอา ข้อมูลส่วนบุคคล ไปขายให้รัสเซีย งานนี้มีผู้เสียหายมากกว่า 300 ล้านคน มีทั้งข้อมูลของชาวยูเครน และประเทศอื่น ๆ ในทวีปยุโรป เมื่อวันที่ 26 เมษายนที่ผ่านมา เว็บไซต์ Bleeping Computer ได้เปิดเผยว่า ตำรวจไซเบอร์ของยูเครนได้จับกุมชายวัย 36 ปี จากเมือง Netishyn ในข้อหาขาย ข้อมูลส่วนบุคคล และข้อมูลละเอียดอ่อนของผู้คนกว่า 300 ล้านคน โดยข้อมูลส่วนใหญ่เป็นข้อมูลของพลเมืองของยูเครน และประเทศต่าง ๆ ในยุโรป ซึ่งจากการสืบสวนพบว่า ผู้ที่นำข้อมูลไปขายใช้ Telegram เพื่อนำข้อมูลที่ถูกขโมยไปขายให้ผู้ที่สนใจโดยสงวนราคาอยู่ที่…

April 22, 2023 Article

ลบตัวตน ออกจากอินเทอร์เน็ตได้ไหม ?

ปัญหาข้อมูลส่วนบุคคลรั่วไหล เป็นปัญหาที่สร้างความกังวลใจให้กับคนจำนวนมาก โดยหนึ่งในสาเหตุที่ข้อมูลเหล่านั้นรั่วไหล ก็คือการที่เจ้าของข้อมูลส่วนบุคคลเองได้มีการโพสต์ข้อมูลลงไปบนอินเทอร์เน็ต เมื่อเรานำข้อมูลอะไรก็ตามโพสต์ลงในอินเทอร์เน็ต นอกจากสิ่งเหล่านั้นจะคงอยู่บนอินเทอร์เน็ตตลอดไป และยังมีโอกาสที่บุคคลอื่นจะสามารถค้นหาข้อมูลของเราได้ ด้วยเหตุนี้เองจึงได้มีการรณรงค์ให้หลีกเลี่ยงการโพสต์ข้อมูลส่วนบุคคล หรือรูปถ่ายที่มีความละเอียดอ่อนลงบนอินเทอร์เน็ต แต่สำหรับคนที่เคยโพสต์ไปแล้ว อาจอยากจะลบข้อมูลเหล่านั้นออกจากอินเทอร์เน็ต ทว่าการลบข้อมูลส่วนบุคคลออกจากโลกออนไลน์นั้นสามารถทำได้หรือไม่ แล้วจะต้องทำอย่างไร Security Pitch มีคำตอบมาฝาก หากจะถามว่าเราสามารถลบข้อมูลที่เคยโพสต์ลงในอินเทอร์เน็ตออก หรือซ่อนตัวตนไม่ให้ใครสามารถค้นหาจนเจอได้หรือไม่ คำตอบก็คือ ปัจจุบันสามารถทำได้แล้ว เพราะในปัจจุบันทั่วโลกได้ตื่นตัวเรื่องการคุ้มครองความเป็นส่วนตัวมากขึ้น และได้ออกนโยบายให้เจ้าของข้อมูลส่วนบุคคลสามารถลบข้อมูลส่วนบุคคล หรือปิดการค้นหาข้อมูลของเราได้ เช่น Google มีการยื่นคำร้องเพื่อลบข้อมูลส่วนบุคคลได้ หรือถ้าหากต้องการลบข้อมูลส่วนบุคคลทั้งหมดบนอินเทอร์เน็ต ก็มีบริการการลบข้อมูลส่วนบุคคลออกจากอินเทอร์เน็ตด้วยเช่นกัน ไม่เพียงเท่านั้นการลบข้อมูลส่วนบุคคล และลบตัวตนออกจากอินเทอร์เน็ตยังสามารถทำได้ด้วยการลบบัญชีอีเมล หรือบัญชีผู้ใช้งานต่าง ๆ ที่ไม่ใช้งานอย่างถาวร นอกจากนี้กฎหมายคุ้มครองข้อมูลส่วนบุคคลหลาย ๆ ประเทศ ยังมีการระบุเอาไว้ว่า เจ้าของข้อมูลส่วนบุคคลสามารถแจ้งไปยังผู้จัดเก็บข้อมูลเพื่อลบข้อมูลส่วนบุคคลออกได้ เช่นเดียวกับในประเทศไทยที่กฎหมาย PDPA…

Tag: PDPA