กฎหมายคุ้มครองข้อมูลส่วนบุคคล

หลายท่าน คงเคยอ่านนโยบายคุ้มครองข้อมูลส่วนบุคคล ซึ่งหนึ่งในหัวข้อสำคัญที่มักถูกพูดถึงคือ การเปิดเผย หรือการแบ่งปันข้อมูลให้กับ “พันธมิตรทางธุรกิจ” ซึ่งบางที่ก็ไม่ได้ระบุว่าพันธมิตรทางธุรกิจคือใคร ในขณะที่บางที่ก็ระบุอย่างชัดเจนว่าพันธมิตรทางธุรกิจคือใครบ้าง บทความนี้ เราจะมาวิเคราะห์ว่าแบบไหนถึงจะเป็นการเขียนนโยบายคุ้มครองข้อมูลส่วนบุคคลที่ชัดเจน แบบที่ 1 ไม่ระบุรายชื่อพันธมิตรทางธุรกิจในนโยบายคุ้มครองข้อมูลส่วนบุคคล แบบนี้หลายท่านอาจพบในนโยบายคุ้มครองข้อมูลส่วนบุคคลกรณีที่อาจมีการเผยแพร่ข้อมูลให้กับพันธมิตรทางธุรกิจแต่ไม่ระบุว่าพันธมิตรทางธุรกิจคือใคร ไม่มีระบุชื่อของพันธมิตรทางธุรกิจ  เพียงแค่กล่าวลอย ๆ  ซึ่งแบบนี้ผู้เขียนไม่สนับสนุนเพราะไม่มีความชัดเจน และมีความคลุมเครือในการประมวลผลข้อมูลส่วนบุคคลอย่างมาก แบบที่ 2 ระบุรายชื่อพันธมิตรทางธุรกิจลงไปในเนื้อหาของนโยบายคุ้มครองข้อมูลส่วนบุคคล ตัวอย่างแบบนี้ส่วนมากมักจะใช้ในกรณีมีพันธมิตรทางธุรกิจไม่มากนัก และต้องการแยกให้ชัดว่าพันธมิตรทางธุรกิจใดประมวลผลข้อมูลส่วนใด เราและพันธมิตรทางธุรกิจของเรา ได้แก่ ………………………………………………………ดำเนินการประมวลผลข้อมูล จัดเก็บ และเข้าถึงข้อมูลที่ไม่ละเอียดอ่อนจากอุปกรณ์ของคุณเช่นคุกกี้และประมวลผลข้อมูลส่วนบุคคลเช่นที่อยู่ IP สำหรับการประมวลผลข้อมูลเช่นการแสดงโฆษณาส่วนบุคคลการวัดความต้องการของผู้เยี่ยมชมของเรา คุณสามารถเปลี่ยนการตั้งค่าได้ตลอดเวลา ในนโยบายคุกกี้ของเรา แบบที่ 3 ระบุรายชื่อพันธมิตรทางธุรกิจโดยให้ผู้เข้าชม สามารถคลิกเข้าไปดูรายชื่อทั้งหมดได้ หากมีพันธมิตรทางธุรกิจจำนวนมาก สามารถระบุกดเข้าไปเพื่อดูรายชื่อพันธมิตรทางธุรกิจได้ เราและพันธมิตรทางธุรกิจของเรา ดำเนินการประมวลผลข้อมูล จัดเก็บ และเข้าถึงข้อมูลที่ไม่ละเอียดอ่อนจากอุปกรณ์ของคุณเช่นคุกกี้และประมวลผลข้อมูลส่วนบุคคลเช่นที่อยู่ IP สำหรับการประมวลผลข้อมูลเช่นการแสดงโฆษณาส่วนบุคคลการวัดความต้องการของผู้เยี่ยมชมของเรา คุณสามารถเปลี่ยนการตั้งค่าได้ตลอดเวลา ในนโยบายคุกกี้ของเรา                 …

พันธมิตรทางธุรกิจกับนโยบายคุ้มครองข้อมูลส่วนบุคคล Read More »

สิทธิของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล DPO ต้องได้รับความคุ้มครอง และควรมีมาตรการเพื่อให้ การปฏิบัติหน้าที่ของ DPO เป็นไปโดยอิสระ การให้ออกหรือเลิกจ้างเพราะเหตุที่ปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จะทำมิได้ เป็นการฝ่าฝืน พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ต้องระวางโทษปรับทางปกครองไม่เกินหนึ่งล้านบาท (มาตรา 82) DPO จะต้องได้รับการสนับสนุนการทำงาน และได้รับการอำนวยความสะดวกอย่างเพียงพอต่อการทำงาน เช่น การสนับสนุนจากฝ่ายอื่นๆ การให้เวลาเพียงพอในการทำงานของ DPO การจัดหาทรัพยากรในการทำงานให้เพียงพอแก่การทำงาน ไม่ว่าจะในลักษณะของเงิน โครงสร้างพื้นฐาน และพนักงานสนับสนุน การสื่อสารองค์กร การเข้าถึงบริการอื่นๆ ของกิจการเพื่อ สนับสนุนการปฏิบัติหน้าที่ของ DPO การฝึกอบรมอย่างต่อเนื่อง หน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ต้องจัดการ นโยบายภายใน และต้องประเมินว่ากิจกรรมนั้นขององค์กรมีความเหมาะสมปลอดภัยหรือไม่ ถ้ามีความเสี่ยงแล้วจะต้องเพิ่มมาตรการใดให้สอดคล้องกับกฎหมาย การติดตามอย่างสม่ำเสมอ ต้องจัดการ ข้อร้องเรียน หรือการร้องขอ และต้องรายงาน ความล้มเหลว ตรวจสอบการ ปฏิบัติตามกฎหมายคุ้มครองข้อมูล และให้ความร่วมมือ กับหน่วยงานกำกับดูแลต้องแจ้ง และให้คำแนะนำบริษัท ตามมาตรฐาน และวิธีการเพื่อให้สอดคล้องกับกฎหมายคุ้มครองข้อมูล ต้องประสาน และตรวจสอบ …

สิทธิและหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) Read More »

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล มาตรา 42 เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลมีหน้าที่ ดังต่อไปนี้ (1) ให้คำแนะนำแก่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้ง ลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเกี่ยวกับการปฏิบัติ ตามพระราชบัญญัตินี้ (2) ตรวจสอบการดำเนินงานของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล  รวมทั้งลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเกี่ยวกับ การเก็บรวบรวม  ใช้  หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อให้เป็นไปตามพระราชบัญญัตินี้ (3) ประสานงานและให้ความร่วมมือกับสำนักงานในกรณีที่มีปัญหาเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลในการปฏิบัติ ตามพระราชบัญญัตินี้ (4) รักษาความลับของข้อมูลส่วนบุคคลที่ตนล่วงรู้หรือได้มาเนื่องจากการปฏิบัติหน้าที่ ตามพระราชบัญญัตินี้ ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลต้องสนับสนุนการปฏิบัติหน้าที่ ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลโดยจัดหาเครื่องมือหรืออุปกรณ์อย่างเพียงพอ รวมทั้งอำนวย ความสะดวกในการเข้าถึงข้อมูลส่วนบุคคลเพื่อการปฏิบัติหน้าที่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลจะให้เจ้าหน้าที่คุ้มครองข้อมูล ส่วนบุคคลออกจากงานหรือเลิกสัญญาการจ้างด้วยเหตุที่เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลปฏิบัติหน้าที่ ตามพระราชบัญญัตินี้ไม่ได้ ทั้งนี้ ในกรณีที่มีปัญหาในการปฏิบัติหน้าที่ เจ้าหน้าที่คุ้มครองข้อมูล ส่วนบุคคลต้องสามารถรายงานไปยังผู้บริหารสูงสุดของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูล ส่วนบุคคลโดยตรงได้ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลอาจปฏิบัติหน้าที่หรือภารกิจอื่นได้ แต่ผู้ควบคุมข้อมูล ส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลต้องรับรองกับสำนักงานว่าหน้าที่หรือภารกิจดังกล่าว ต้องไม่ขัดหรือแย้งต่อการปฏิบัติหน้าที่ตามพระราชบัญญัตินี้ จากพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล มาตรา 42 DPO จึงต้องเข้าใจธุรกิจขององค์กร และต้องตอบคำถามเหล่านี้ได้ สามารถบอกได้ว่าว่าองค์กรมีลักษณะการทำงานยังไง แต่ละแผนก แต่ละฝ่ายทำกิจกรรมอะไรบ้าง มีความรู้เกี่ยวกับ กิจกรรมขององค์กร แต่ละกิจกรรมนั้น ทำให้องค์กรอยู่ในฐานะใด เช่น ในฐานะเป็นผู้ควบคุมข้อมูล …

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ต้องมีคุณสมบัติอย่างไร Read More »

พระราชบัญญัติข้อมูลส่วนบุคคล เป็นกฎหมายให้สิทธิและคุ้มครองเจ้าของข้อมูลส่วนบุคคล ซึ่งข้อมูลส่วนบุคคลได้แก่ ข้อมูลที่สามารถระบุตัวบุคคลได้ไม่ว่าจะทางตรงหรือทางอ้อม กฎหมายฉบับนี้ได้กำหนดหน้าที่ของบริษัทฯ ซึ่งอาจมีฐานะเป็น ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) หรือ ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) จะต้องรักษาความปลอดภัยและความมั่นคงของข้อมูลเก็บเป็นความลับ โดยไม่ให้มีการเปลี่ยนแปลงหรือเข้าถึงโดยผู้ที่ไม่เกี่ยวข้องกับข้อมูล ซึ่งเรามีตัวอย่าง มาตรการรักษาความปลอดภัยของข้อมูล มาให้ทุกท่านรับทราบ ดังนี้ มาตราการป้องกันการสูญหายของข้อมูลส่วนบุคคล เช่น การสำรองข้อมูล และการทดสอบข้อมูลที่สำรองไว้ หรือการป้องกันไวรัส มัลแวร์ต่าง ๆ มาตรการป้องกันการเข้าถึงข้อมูลส่วนบุคคล การแยกลำดับ และจัดระบบชั้นของข้อมูลที่มีความสำคัญ รวมถึงข้อมูลที่มีความอ่อนไหว SENSITIVE มาตราการกำหนดแนวทางการจัดการสิทธิในการเข้าถึงข้อมูลส่วนบุคคล กำหนดสิทธิ ยกเลิก ทบทวน ตรวจสอบ ติดตาม และจัดให้มีระบบตรวจสอบการเข้าถึงข้อมูล และการละเมิดข้อมูลส่วนบุคคล มาตรการป้องกันการใช้ หรือแก้ไขข้อมูลโดยมิชอบ เช่น กำหนดสิทธิในการเรียกใช้ข้อมูล รวมถึงแจ้งวัตถุประสงค์ในการขอใช้ข้อมูล กําหนดสิทธิข้อจำกัดในการแก้ไขข้อมูลส่วนบุคคลโดยไม่รับอนุญาต มาตรการรักษาความปลอดภัยของข้อมูล เช่น การตั้งค่ารหัสข้อมูล DATA ENCRYPTION หรือมาตรการพิสูจน์ตัวตนหลายขั้น มีการจัดทำ AUDIT LOG เพื่อเก็บบันทึกการแก้ไขเปลี่ยนแปลงข้อมูลส่วนบุคคล …

มาตรการความปลอดภัยที่เกี่ยวข้องกับข้อมูลส่วนบุคคล Read More »

โปรดอ่านในหัวข้อ ดังนี้ ขั้นตอนที่ 1 ธุรกิจของท่าน มีการจัดเก็บรวบรวม ใช้ หรือเผยแพร่ ข้อมูลบุคคลธรรมดา เช่น ข้อมูลพนักงาน ผู้สมัครงาน ผู้ฝึกงาน ข้อมูลผู้มาติดต่อ เข้าอาคาร ข้อมูลจากการติดตั้งกล้องวงจรปิดภายในและภายนอก ข้อมูลจากการถ่ายรูป อัดวีดีโอ ติดภาพบุคคลอื่นๆ ข้อมูลจากลูกค้า คู่ค้า ผู้ผลิต ผู้จัดจำหน่ายของท่านและบุคคลภายนอกที่ติดต่อทำธุรกิจกับท่าน ธุรกิจของท่าน มีการจัดเก็บรวบรวม ใช้ หรือเผยแพร่ ข้อมูลบุคคลธรรมดา ประเภท เชื้อชาติ ศาสนา ประวัติอาชญกรรม และสำเนาบัตรประจำตัวประชาชนหรือไม่? หากใช่ นั่นหมายความว่าท่านกำลังประมวลผลข้อมูลส่วนบุคคล โปรดอ่านในขั้นตอนต่อไป ขั้นตอนที่ 2 ท่านทราบหรือไม่ว่าท่านมีฐานะเป็นผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคล ท่านทราบหรือไม่ว่า กรณีใดบ้างที่ท่านต้องขอความยินยอม และ กรณีใดบ้างที่ท่านไม่ต้องขอความยินยอม ท่านทราบหรือไม่ว่าท่านมีหน้าที่ใดบ้างที่ต้องดำเนินการ ท่านทราบหรือไม่ว่าท่านมีเอกสารใดบ้างที่ท่านต้องปรับปรุง ท่านทราบหรือไม่ว่าท่านต้องกำหนดวิธีการจัดการข้อมูลส่วนบุคคลที่อยู่ในความดูแลของท่าน ไม่ว่าท่านจะส่งต่อทั้งภายในองค์กรหรือส่งต่อไปยังหน่วยงานภายนอกองค์กร ท่านกำหนดระยะเวลาการจัดเก็บข้อมูลส่วนบุคคลไว้แล้วใช่หรือไม่ หากท่านไม่ทราบ นั่นหมายความว่า กฎหมายคุ้มครองข้อมูลมีส่วนเกี่ยวข้องกับบริษัทท่าน แต่ ท่านยังไม่ได้เตรียมความพร้อมอย่างเพียงพอในการรับมือกับกฎหมายนี้ เรายินดีให้คำปรึกษาเพื่อให้องค์กรของท่านมีความพร้อมในการดำเนินธุรกิจที่สอดคล้องกับ …

วิธีตรวจสอบว่ากฎหมายคุ้มครองข้อมูลส่วนบุคคลเกี่ยวข้องกับธุรกิจของท่านหรือไม่ Read More »