PDPA Archives - Page 3 of 5 - Security & Privacy Combined

September 24, 2022 Article

ระวัง! รักษ์โลก แต่เผลอทำข้อมูลส่วนตัวผู้อื่นรั่วไหล เสี่ยงค่าปรับสูงถึง 5 ล้านบาท !

#PDPAKnowledge | ระวัง! รักษ์โลก แต่เผลอทำข้อมูลส่วนตัวผู้อื่นรั่วไหล เสี่ยงค่าปรับตามกฎหมาย PDPA สูงถึง 5 ล้านบาท ! ไม่ว่าจะเป็นใครก็ล้วนแต่ไม่ต้องการให้ข้อมูลส่วนตัวรั่วไหลไปยังบุคคลภายนอก แต่ก็มีหลาย ๆ กรณีที่ข้อมูลเกิดรั่วไหลออกไปโดยที่เจ้าของเองไม่ได้ยินยอม เช่นเหตุการณ์ล่าสุดที่มีข้อมูลผู้ป่วยของโรงพยาบาลแห่งหนึ่งในจังหวัดชลบุรีรั่วไหลจนกลายเป็นข่าวดัง ถึงแม้เจ้าของข้อมูลจะไม่ได้ทำการฟ้องร้อง แต่กรณีนี้ก็ถือเป็นตัวอย่างของเหตุการณ์ข้อมูลรั่วไหลที่น่ากังวล และน่าเป็นเคสตัวอย่างที่ทำให้คนหันมาใส่ใจเรื่องข้อมูลส่วนบุคคลกันมากขึ้น ต้องยอมรับว่าความเสี่ยงที่ข้อมูลส่วนตัวจะรั่วไหลออกไปสู่ภายนอกนั้นยังคงมีอยู่มากในประเทศไทย โดยเฉพาะการรั่วไหลจากเอกสารที่อยู่ในรูปของกระดาษนั้นยังเป็นเรื่องที่เกิดขึ้นได้ เพราะยังมีหลายหน่วยงานยังใช้เอกสารกระดาษอยู่ และเมื่อใช้งานเสร็จแล้ว หากไม่นำมาหมุนเวียนใช้เป็นกระดาษรียูส ก็มักจะมีการนำไปขายต่อให้ภายนอกเพื่อนำไปทำลาย หรือนำไปรีไซเคิล จุดนี้เองเป็นขั้นตอนที่อาจทำให้ข้อมูลสำคัญรั่วไหลได้ ซึ่งในอดีตอาจไม่ใช่เรื่องใหญ่ แต่ในปัจจุบัน กฎหมาย พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้ประกาศและบังคับใช้แล้ว การทำข้อมูลส่วนบุคคลของผู้อื่นรั่วไหล ถือเป็นเรื่องที่ผิดกฎหมายทั้งทางแพ่ง และทางอาญา มีค่าปรับสูงถึง 5…

September 21, 2022 Article

ประกาศแต่งตั้งแล้ว! คณะกรรมการผู้เชี่ยวชาญ พิจารณาเรื่องร้องเรียน PDPA

#PDPAKnowledge | ประกาศแต่งตั้งแล้ว! คณะกรรมการผู้เชี่ยวชาญ พิจารณาเรื่องร้องเรียน PDPA หลังจากการแต่งตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และ คณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ที่อยู่ภายใต้อำนาจของกฎหมายข้อมูลส่วนบุคคล พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) แล้ว ล่าสุดได้มีการแต่งตั้งคณะกรรมการผู้เชี่ยวชาญ เพื่อทำหน้าที่พิจารณาเรื่องร้องเรียนที่เกี่ยวข้องกับ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล โดยในการแต่งตั้งครั้งนี้ ได้มีการแต่งตั้งคณะกรรมการขึ้นมาทั้งหมด 2 ชุด ได้แก่ คณะกรรมการผู้เชี่ยวชาญ เรื่องร้องเรียนเกี่ยวกับการเงิน และเศรษฐกิจ และ คณะกรรมการผู้เชี่ยวชาญ เรื่องร้องเรียนเกี่ยวกับเทคโนโลยีดิจิทัล ซึ่งในแต่ละคณะได้มีผู้ที่ได้รับการแต่งตั้งจำนวนทั้งหมด 7 ตำแหน่ง แบ่งออกเป็น ประธานกรรมการผู้เชี่ยวชาญ 1 ตำแหน่ง และกรรมการผู้ทรงคุณวุฒิประจำด้านต่าง ๆ อีก 6…

September 14, 2022 Article

ย้อนรอย 1 ปี กับการถูกโจมตีทางไซเบอร์ของเครือธุรกิจใหญ่ในไทย เมื่อกฎหมาย PDPA ยังไม่บังคับใช้

#PDPACase | ย้อนรอย 1 ปี กับการถูกโจมตีทางไซเบอร์ของเครือธุรกิจใหญ่ของไทย เมื่อกฎหมาย PDPA ยังไม่บังคับใช้ นับเป็นระยะเวลาเกือบ 1 ปีแล้ว หลังจากบริษัทในกลุ่มเซ็นทรัลถูกโจมตีทางไซเบอร์ จนทำให้ข้อมูลส่วนตัวของลูกค้าจำนวนกว่า 400 GB ถูกขโมยจากเซิร์ฟเวอร์ไปโดยใช้เวลาเพียง 10 นาที ด้วยฝีมือของกลุ่มแฮ็กเกอร์ Desorden การโจมตีกลุ่มเซ็นทรัลในครั้งนั้น เกิดขึ้นเมื่อปี 2564 นับเป็นการโจมตีทางไซเบอร์ครั้งใหญ่ครั้งหนึ่งของไทย แม้จะไม่ทำให้เกิดความเสียหายเป็นตัวเงิน แต่ก็ทำให้ความน่าเชื่อถือในเรื่องการรักษาความปลอดภัยของข้อมูลโดยกลุ่มบริษัทเซ็นทรัลถูกสั่นคลอนไปอย่างมาก เพราะนอกจากความเชื่อมั่นที่เสียไปแล้ว กรณีดังกล่าวยังทำให้ธุรกิจในกลุ่มเซ็นทรัลได้รับผลกระทบตามมาหลายด้าน เนื่องข้อมูลที่ถูกจารกรรมไปจากระบบเป็นข้อมูลที่ไม่ได้มีการ Back Up ไว้ก่อน อีกทั้งข้อมูลบางส่วนยังถูกนำไปขายต่อในตลาดมืด จึงทำให้เสี่ยงต่อความเสียหายเพิ่มเติมในอนาคต จากเหตุการณ์ดังกล่าวแสดงให้เห็นว่า การจารกรรมข้อมูลส่วนตัวเป็นเรื่องที่เกิดขึ้นได้ง่ายในปัจจุบัน และเนื่องจาก พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล…

September 12, 2022 Article

PDPA มีข้อยกเว้นเรื่องใดบ้าง ไม่ต้องขอความยินยอม

#PDPAKnowledge | ข้อยกเว้นของกฎหมาย PDPA ที่ไม่ต้องขอความยินยอมในการเก็บข้อมูล อย่างที่ทราบกันว่า พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA นั้น ถูกออกแบบมาคุ้มครองข้อมูลส่วนบุคคลทุกชนิด ดังนั้นก่อนจะทำการเก็บ และรวบรวมข้อมูล เพื่อนำข้อมูลส่วนบุคคลของผู้อื่นมาใช้งาน หรือนำไปประมวลผลเพื่อประโยชน์ทางธุรกิจ ก็ต้องมีการขอความยินยอมหรือ Consent ด้วยทุกครั้ง แต่ในบางกรณี พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA ก็มีข้อยกเว้นเกี่ยวกับเรื่องความยินยอม (Consent) ที่ไม่ต้องขอความยินยอมในการเก็บข้อมูลจากเจ้าของข้อมูลส่วนบุคคลตามกฎหมาย PDPA ในมาตรา 24 ดังต่อไปนี้ ✅ เพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวข้องกับการจัดทำเอกสารประวัติศาสตร์ หรือจดหมายเหตุ เพื่อประโยชน์สาธารณะ หรือที่เกี่ยวกับการศึกษาวิจัย ตามมาตรา…

September 9, 2022 Article

แนวทางการขอความยินยอม และวัตถุประสงค์การเก็บข้อมูล

#PDPAKnowledge | สคส. ออกแนวทางการดำเนินการเกี่ยวกับการคุ้มครองข้อมูลส่วนบุุคคลเพิ่ม 2 ฉบับ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้ออกแนวทางการดำเนินการเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จำนวน 2 ฉบับ ดังนี้ แนวทางการดำเนินการในการการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 อ่านฉบับเต็มได้ที่นี่ แนวทางการดำเนินการในการแจ้งวัตถุประสงค์และรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 อ่านฉบับเต็มได้ที่นี่ ที่มา : PDPC Thailand#PDPA #ข้อมูลส่วนบุคคล #พรบคุ้มครองข้อมูลส่วนบุคคล #สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล #PDPC #สคส #Securitypitch

September 4, 2022 Article

หลุด! ข้อมูลส่วนบุคคล ลูกค้าสายการบินอินเดีย

#PDPACase | นักวิจัยด้านความปลอดภัย ตรวจพบข้อมูลส่วนบุคคล ของสายการบินพาณิชย์อินเดียรั่วไหล เมื่อวันที่ 30 ส.ค ที่ผ่านมา The Hacker News ได้ออกมาเปิดเผยรายงานว่า นักวิจัยด้านความปลอดภัย Ashutosh Barot ได้ค้นพบข้อมูลลูกค้า ทั้ง ชื่อ เพศ ที่อยู่ อีเมล และหมายเลขโทรศัพท์ ของสายการบิน Akasa Air ซึ่งเป็นสายการบินพาณิชย์ของอินเดีย หลุดออกไปสู่โลกภายนอก ผ่านช่องทางการลงทะเบียนบัญชี กรณีดังกล่าว ทำให้ทาง Akasa Air ถูกตรวจสอบย้อนหลังไปถึงวันแรกที่ทำการเปิดให้บริการ คือ เมื่อวันที่ 7 ส.ค. 2565 ซึ่งพบว่า…

September 1, 2022 Article

แอบถ่ายศิลปิน เข้าข่ายผิด PDPA?

#PDPACase | แอบถ่าย-โพสต์ ละเมิดความเป็นส่วนตัวศิลปิน เข้าข่ายผิด PDPA หรือไม่? เป็นอีกกรณีที่น่าสนใจ หลังมีการเผยแพร่ข่าว กรณี “แทคยอน” สมาชิกบอยแบนด์ 2PM เข้าไปทวิตตอบกลับชาวเน็ตรายหนึ่ง ถึงการละเมิดความเป็นส่วนตัว และขอให้ลบภาพ หลังเจ้าตัวเดินทางมาเที่ยวประเทศไทยแบบส่วนตัว และถูกแอบถ่ายภาพขณะอยู่กับกลุ่มเพื่อน และมีผู้นำมาโพสต์ ซึ่งล่าสุดเจ้าของโพสต์ก็ได้ลบ และออกมาขอโทษแล้ว จากกรณีดังกล่าวเป็นที่น่าสังเกตว่า เข้าข่ายเกี่ยวข้องกับกฎหมาย PDPA หรือไม่? จากความตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA ระบุว่า “ผู้ควบคุมข้อมูลส่วนบุคคล” หมายถึง บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจ เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล และแม้ภาพถ่ายจะเข้าข่ายว่าเป็นข้อมูลส่วนบุคคล แต่เนื่องจากกฎหมาย…

September 1, 2022 Article

ข้อมูลนิรนาม คืออะไร?

#PDPAKnowledge | ข้อมูลนิรนาม คืออะไร? ทำไมจึงไม่จัดเป็นข้อมูลส่วนบุคคล แม้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA ให้สิทธิความคุ้มครองข้อมูลส่วนบุคคลทุกชนิด ไม่ว่าจะเป็น ชื่อ นามสกุล เลขที่บัญชีธนาคาร ที่อยู่ บัตรประชาชน บัตรเครดิต เบอร์โทรศัพท์ รวมไปถึงข้อมูลลายนิ้วมือ ข้อมูลใบหน้า ข้อมูลศาสนา ข้อมูลสุขภาพ หรือแม้แต่ความคิดเห็นทางการเมือง ที่จัดเป็นข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data) แต่ยังมีข้อมูลอีกประเภทที่กฎหมายไม่ได้ระบุว่า เป็นข้อมูลส่วนบุคคล นั่นคือ “ข้อมูลนิรนาม” เนื่องจากข้อมูลเหล่านี้ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลได้จึงไม่มีสถานะเป็นข้อมูลส่วนบุคคลนั่นเอง และถึงแม้จะไม่ได้จัดว่าเป็นข้อมูลส่วนบุคคล แต่ตามกฎหมาย PDPA ได้อนุญาตให้เราในฐานะเจ้าของส่วนบุคคล มีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคล ดำเนินการจัดทำให้ข้อมูลของเราเปลี่ยนสถานะไปเป็นข้อมูลนิรนามได้…

August 26, 2022 Article

ขอลบได้ไหม? ข้อมูลส่วนตัวที่ให้ไป

#PDPAKnowledge | รู้ไว้! ในฐานะเจ้าของข้อมูลส่วนบุคคล เราสามารถขอลบข้อมูลส่วนตัวจากเว็บไซต์ที่เข้าใช้งานได้ เคยสงสัยไหมว่า เมื่อเราเข้าใช้งานเว็บไซต์ใด ๆ แล้วเว็บดังกล่าวได้มีการเก็บข้อมูลส่วนบุคคลของเราไป ไม่ว่าจะจากการกรอกข้อมูล หรือการเก็บข้อมูลจากคุกกี้ เราในฐานะที่เป็นเจ้าของข้อมูลส่วนบุคคลเหล่านั้น จะสามารถขอลบข้อมูลพวกนั้นออกได้หรือไม่? แม้ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ระบุไว้ว่า เจ้าของข้อมูลส่วนบุคคลมีสิทธิตามกฎหมาย ที่จะขอเข้าถึง เปิดเผย หรือขอรับสำเนาข้อมูลที่เกี่ยวกับตน (มาตรา 30), ขอให้ส่ง หรือโอนข้อมูลส่วนบุคคลที่เกี่ยวกับตน (มาตรา 31), คัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล (มาตรา 32) และ ขอให้ดำเนินการลบ หรือ ทำลายข้อมูลส่วนบุคคลนั้นได้ (มาตรา 33) …

August 23, 2022 Article

นโยบายคุ้มครองข้อมูลส่วนบุคคล ต้องระบุสิ่งใดบ้าง?

#PDPAKnowledge | การจัดทำ Privacy Policy หรือ นโยบายคุ้มครองข้อมูลส่วนบุคคล ให้ถูกต้องตาม PDPA หลังมีการประกาศบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA หลายองค์กรได้มีการจัดทำ Privacy Policy เพื่อสร้างความชัดเจน ดังที่ระบุใน พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 มาตรา 23 ที่ว่าด้วย การเก็บรวบรวมข้อมูลส่วนบุคคล โดยผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบก่อน หรือ ในขณะเก็บรวบรวมข้อมูลส่วนบุคคลถึงรายละเอียด เช่น วัตถุประสงค์ ผลกระทบ ระยะเวลาในการเก็บข้อมูล สิทธิของเจ้าของข้อมูล รวมถึงช่องทางการติดต่อ เป็นต้น เว้นแต่เจ้าของข้อมูลส่วนบุคคลได้ทราบถึงรายละเอียดนั้นอยู่แล้ว ทั้งนี้ จำต้องมีรายละเอียดที่ชัดเจนและครบถ้วน…

Tag: PDPA