ฟรี eBook: คู่มือ PDPA สำหรับประชาชน

หลังจากเปิดให้ดาวน์โหลด eBook เรื่อง “คู่มือ PDPA สำหรับผู้ประกอบการ SMEs” ไปเมื่อไม่กี่วันที่ผ่านมา ล่าสุดสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ออก eBook อีกฉบับเรื่อง “คู่มือ PDPA สำหรับประชาชน” เพื่อแนะนำกฎหมายเบื้องต้นและสิ่งที่ประชาชนทั่วไปควรรู้เกี่ยวกับ PDPA ผู้ที่สนใจสามารถดาวน์โหลดไปอ่านได้ฟรี

eBook ฉบับนี้มีความยาวทั้งหมด 18 หน้า ประกอบด้วยเนื้อหาทั้งหมด 3 บท คือ

• บทที่ 1 ทำความเข้าใจเบื้องต้นเกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล
• บทที่ 2 10 เรื่องที่ประชาชนต้องรู้เกี่ยวกับ PDPA
• บทที่ 3 4 เรื่องไม่จริงเกี่ยวกับ PDPA

ดาวน์โหลด [PDF]

from:https://www.techtalkthai.com/free-ebook-pdpa-for-citizen-by-pdpc/

Advertisement

ฟรี eBook: คู่มือ PDPA สำหรับผู้ประกอบการ SMEs

สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ออก eBook ใหม่เรื่อง “คู่มือ PDPA สำหรับผู้ประกอบการ SMEs” เพื่อให้คำแนะนำและแนวทางปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลตาม PDPA สำหรับธุรกิจ SMEs ผู้ประกอบการธุรกิจและผู้ที่สนใจสามารถดาวน์โหลด eBook ไปศึกษาได้ฟรี

คู่มือ PDPA สำหรับผู้ประกอบการ SMEs ฉบับนี้มีความยาวรวม 34 หน้า ประกอบด้วยเนื้อหาดังต่อไปนี้

• บทที่ 1 ทำความเข้าใจเบื้องต้นเกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล
• บทที่ 2 หน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคลในกิจการขนาดเล็ก
• บทที่ 3 การจัดทำบันทึกรายการ
• บทที่ 4 การจัดการมาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล

ดาวน์โหลด

from:https://www.techtalkthai.com/pdpa-guidelines-for-sme-by-pdpc-mdes/

Webinar: เจาะลึก PDPA กับการปรับตัวขององค์กร ไม่ยากอย่างที่คิด

ถ้าพูดถึงการเปลี่ยนแปลงครั้งใหญ่ในภาคธุรกิจในช่วงนี้ คงพลาดไม่ได้ที่จะพูดถึง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ซึ่งประกาศใช้ในวันที่ 1 มิถุนายน 2022 ที่ผ่านมา ส่งผลให้ทุกองค์กรต้องมีการปรับนโยบายต่างๆ ให้สอดคล้องกับ PDPA มากขึ้น การปรับใช้ PDPA กับองค์กรนั้นไม่ใช่เรื่องยาก Webinar นี้จะมาบรรยายถึงแนวทางการปฏิบัติฉบับองค์กร เพื่อให้สอดคล้องกับ PDPA ด้วยแนวคิดง่ายๆ ทำตามได้ไม่ยาก

รายละเอียดการบรรยาย

หัวข้อ: เจาะลึก PDPA กับการปรับตัวขององค์กร ไม่ยากอย่างที่คิด
ผู้บรรยาย: คุณพงศ์อินทร์ ชูสุวรรณ์ (Technical Educator) จากบริษัท ActiveMedia (Thailand)
วันเวลา: วันศุกร์ที่ 24 มิถุนายน 2022 เวลา 14.00 – 15.00 น.
ลงทะเบียนเข้าร่วมงาน: https://attendee.gotowebinar.com/register/3635312419973779470

หัวข้อสำหรับการบรรยาย

• พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA คืออะไร
• ทำไม PDPA จึงสำคัญกับองค์กร
• แนวทางการปรับตัวสำหรับองค์กรให้สอดคล้องกับ PDPA
• แนะนำโซลูชันความมั่นคงปลอดภัยจาก ActiveMedia ที่สอดคล้องกับ PDPA

สอบถามข้อมูลเพิ่มเติมได้ที่ ActiveMedia (Thailand) Co .,Ltd. ฝ่ายการตลาด โทร 02-683-5100 ต่อ 2133 หรืออีเมล marketing@activemedia.co.th

ลงทะเบียน

from:https://www.techtalkthai.com/activemedia-webinar-pdpa-240622/

PDPA หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล คืออะไร ต้องระวังอะไรบ้าง ?

ใครที่ชอบถ่ายรูปในที่สาธารณะ หรือไลฟ์สดในที่คนเยอะ ๆ ระวังให้ดี เพราะกฎหมาย PDPA (Personal Data Protection Act) หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ห้ามไม่ให้ถ่ายภาพและคลิปวีดีโอติดใบหน้า หรือเผยแพร่ข้อมูลส่วนตัวของคนอื่นโดยไม่ได้รับอนุญาต จะมีโทษทางแพ่ง อาญาและปกครอง โทษปรับสูงสุดถึง 5 ล้านบาท

PDPA หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล คืออะไร ?

PDPA (Personal Data Protection Act) คือกฎหมายที่ใช้คุ้มครองและให้สิทธิกับเจ้าของข้อมูลส่วนบุคคลของเราเอง ตามข้อกฎหมาย พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ไม่ได้มีผลกับแค่บุคคลเท่านั้นแต่รวมไปถึงบริษัทต่าง ๆ จะต้องรักษาข้อมูลของผู้ให้บริการด้วย และการเปิดเผยข้อมูลส่วนตัวของผู้อื่นจะต้องได้รับอนุญาตจากเจ้าของข้อมูลแล้วเท่านั้น โดยเจ้าของข้อมูลมีสิทธิ ในข้อมูลส่วนตัวต่าง ๆ ดังนี้

• สิทธิในการถอนความยินยอม ในกรณีที่ได้ให้ความยินยอมไว้
• สิทธิได้รับการแจ้งให้ทราบรายละเอียด
• สิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคล
• สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคล
• สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้
• สิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคล
• สิทธิขอให้แก้ไขข้อมูลส่วนบุคคล

อะไรบ้างที่เข้าข่ายการละเมิดสิทธิข้อมูลส่วนบุคคล ?

จากนิยามความหมาย ข้อมูลส่วนบุคคลหมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม โดยสามารถแบ่งได้ดังนี้

• ชื่อ นามสกุล ชื่อเล่น
• เลขประจำตัวประชาชน, เลขหนังสือเดินทาง, เลขบัตรประกันสังคม, เลขใบอนุญาตขับขี่, เลขประจำตัวผู้เสียภาษี, เลขบัญชีธนาคาร, เลขบัตรเครดิต (การเก็บเป็นภาพสำเนาบัตรประชาชนหรือสำเนาบัตรอื่นๆที่ที่ข้อมูลส่วนบุคคล)
• ที่อยู่ อีเมล์ โทรศัพท์
• ข้อมูลอุปกรณ์หรือเครื่องมือ เช่น IP Address, MAC Address, Cookie ID
• ข้อมูลทางชีวมิติ (Bio-metric) ไม่ว่าจะเป็นรูปภาพใบหน้า ลายนิ้วมือ ฟิลม์เอ็กซ์เรย์ ข้อมูลสแกนม่านตา ข้อมูลอัตลักษณ์เสียง ข้อมูลพันธุกรรม
• ข้อมูลระบุทรัพย์สินของบุคคล เช่นทะเบียนรถ โฉนดที่ดิน
• ข้อมูลที่สามารถเชื่อมโยงไปยังข้อมูลข้างต้นได้ เช่น วันเกิด สถานที่เกิด เชื้อชาติ สัญชาติ น้ำหนัก ส่วนสูง ข้อมูลตำแหน่งที่อยู่ ข้อมูลการแพทย์ ข้อมูลการศึกษา ข้อมูลทางการเงิน ข้อมูลการจ้างงาน
• ข้อมูลหมายเลขอ้างอิงที่เก็บไว้ในไมโครฟิลม์
• ข้อมูลการประเมินผลการทำงานหรือความเห็นของนายจ้างต่อการทำงานของลูกจ้าง
• ข้อมูลบันทึกต่างๆที่ใช้ติดตามสตรวจสอบกิจกรรมต่างๆของบุคคล เช่น Log Files
• ข้อมูลมที่ใช้ค้นหาข้อมูลส่วนบุคคลอื่นในอินเตอร์เน็ต

ส่วนเรื่องการถ่ายภาพสามารถแบ่งออกเป็น 4 หัวข้อ ดังนี้

1. การถ่ายภาพเพื่อประโยชน์ส่วนตน เช่น การโพสต์ลงโซเชียลมีเดีย  ที่ไม่ได้มีจุดประสงค์ถ่ายภาพเพื่อสร้างผลกำไรทางการค้า จัดอยู่ในข้อยกเว้นของ พ.ร.บ. ฉบับนี้ แต่หากภาพดังกล่าวสร้างความเดือดร้อนให้ผู้อื่น หรือสังคม รวมทั้งเจตนา ท่าทาง ข้อความบรรยายของรูปผู้ใช้ หรือแม้แต่คอมเม้นต่าง ๆ ที่ไม่เหมาะสม ก็อาจจะเสี่ยงโดนฟ้องละเมิดได้
2. การถ่ายภาพเพื่อสร้างรายได้ เช่น การรับจ้างถ่ายภาพงานแต่ง งานรับปริญญา หรือทำ Content ใน Youtube ต่างๆ ซึ่งต่างจากข้อแรก เพราะในกรณีที่ได้รับผลตอบแทน ผู้ปฏิบัติควรทำตามขอบเขตความจำเป็นของสัญญา/ความยินยอม ถ้าเกิดผู้ที่เป็นช่างภาพอยากอัพโหลดผลงานที่ตนเป็นคนถ่าย แล้วบังเอิญไม่ได้อยู่ในสัญญาที่ระบุไว้กับผู้ที่ถูกถ่าย คนที่เป็นช่างภาพนั้นต้องได้รับอนุญาตจากเจ้าของภาพก่อนนำไปใช้เท่านั้น  ส่วนการทำ Content วิดีโอลง Youtube ก็ไม่ถือว่าอยู่ใต้การบังคับของ PDPA ถ้าเหตุผลเป็นไปตามสิ่งที่ได้กล่าวมาข้างต้น
3. งานสื่อมวลชน หรืองานนิทรรศกรรมถาพถ่ายต่างๆ ไม่ว่าจะเป็น ภาพข่าว หรือ งานศิลปะกรรม จะไม่ได้อยู่ใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล บุคคลที่ได้รับมอบหมายให้ทำกิจกรรมเหล่านี้ต้องทำตามจริยธรรมแห่งการประกอบวิชาชีพ
4. การถ่ายภาพของเจ้าหน้าที่รัฐ ที่พยายามหาหลักฐานในการสืบสวน กรณีดังกล่าวสามารถทำได้ตามข้อกำหนดและขอบเขตของกฎหมาย

หากฝ่าฝืนจะมีบทลงโทษอย่างไรบ้าง ?

รับผิดทางแพ่ง

• ผู้ได้รับความเสียหายสามารถเรียกค่าสินไหมทดแทนได้ และศาลสั่งลงโทษเพิ่มขึ้นได้ไม่เกิน 2 เท่าของสินไหมทดแทน

โทษทางปกครอง

• ไม่ขอความยินยอมให้ถูกต้อง ไม่แจ้งรายละเอียดให้เจ้าของข้อมูลทราบ ไม่ให้เจ้าขอข้อมูลเข้าถึงตามสิทธิ ฯลฯ ปรับไม่เกิน 1 ล้านบาท
• เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากฐานทางกฎหมาย ปรับไม่เกิน 3 ล้านบาท
• เก็บรวบรวม ใช้ เปิดเผยหรือโอนข้อมูลส่วนบุคคลอ่อนไหว โดยไม่ชอบด้วยกฎหมาย ปรับไม่เกิน 5 ล้านบาท

โทษอาญา

• ทำให้ผู้อื่นเกิดความเสียหาย เสียชื่อเสียง โทษจำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 5 แสนบาท
• เพื่อหาประโยชน์ที่มิชอบด้วยกฎหมายสำหรับตนเองหรือผู้อื่น จำคุก ไม่เกิน 1 ปี หรือปรับไม่เกิน  1 ล้านบาท
• ล่วงรู้ข้อมูลส่วนบุคคลของผู้อื่นเนื่องจากการปฏิบัติหน้าที่ ตาม พ.ร.บ. นี้ ห้ามนำไปเผยแพร่แก่ผู้อื่น (เว้นแต่มีอำนาจหน้าที่ตามกฎหมาย) จำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 5 แสนบาท

ในกรณีที่ผู้กระทำความผิด เป็นนิติบุคคล หากกรรมการผู้จัดการหรือบุคคลในความรับผิดชอบ สั่งการหรือกระทำหรือละเว้นไม่สั่งการหรือไม่กระทำ จนเป็นเหตุให้นิติบุคคลนั้นกระทำความผิด ต้องรับโทษในคดีอาญานั้นไว้ด้วย

สรุปได้ว่าถ้าเป็นข้อมูลของคนอื่น ไม่ว่าจะเป็น ชื่อ ที่อยู่ เบอร์โทรศัพท์ รูป วีดีโอ หรือข้อมูลต่าง ๆ ที่บริษัทได้เก็บรักษาไว้ก็ห้ามนำไปเผยแพร่หรือส่งต่อให้กับผู้อื่นก่อนได้รับอนุญาตเสมอ ซึ่งในกรณีที่ผู้ให้บริการทำข้อมูลต่าง ๆ ของเราหลุดออกมา เช่น ข้อมูลบัตรประชาชน หรือเบอร์โทรศัพท์ เราก็มีสิทธิที่จะฟ้องร้องบริษัทนั้น ๆ ได้หลังจากที่กฎหมาาย PDPA มีผลบังคับใช้แล้ว ทั้งนี้เรายังมีสิทธิในการขอให้ผู้บริการลบข้อมูลของเราที่เคยให้ไปแล้วได้ด้วยนะ

 

ที่มา : สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล, PDPC Thailand

from:https://droidsans.com/pdpa-law-start-1-june-2022/

รับมือกฎหมาย PDPA ด้วยการปกป้องความเป็นส่วนบุคคลที่ขับเคลื่อนด้วยเทคโนโลยี

ภายในงานสัมมนา TTT Virtual Summit: Enterprise Cybersecurity 2022 ที่เพิ่งจบไป คุณณัฏฐวี สกุลรัตน์ Chief Marketing Officer จาก Netka ได้ออกมาอัปเดตเรื่องการเตรียมความพร้อมขององค์กรให้ครอบคลุม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) ที่กำลังบังคับใช้จริงในวันที่ 1 มิถุนายนนี้ รวมไปถึงแนะนำเทคโนโลยีจาก Netka ที่จะช่วยปกป้องข้อมูลส่วนบุคคลอย่างมีประสิทธิภาพและมั่นคงปลอดภัย ดังนี้

ปัญหาที่เกี่ยวกับข้อมูลส่วนบุคคลในประเทศไทย

หนึ่งในปัญหาสำคัญที่นำไปสู่การออกกฎหมาย PDPA คือ การที่ข้อมูลส่วนบุคคลรั่วไหลสู่สาธารณะ โดยเฉพาะในปัจจุบันที่ข้อมูลต่างๆ ถูกแปลงให้อยู่ในรูปดิจิทัลมากขึ้น ซึ่งข้อมูลส่วนบุคคลสามารถหลุดออกไปได้หลากหลายช่องทางโดยบางครั้งเจ้าของข้อมูลก็ไม่รู้ตัว เช่น การโพสต์ข้อมูลส่วนบุคคลลงสื่อสังคมออนไลน์ การใช้บริการแอปพลิเคชันต่างๆ แล้วกดตกลงให้ความยินยอมในการให้ข้อมูลเองโดยไม่อ่านรายละเอียด การโดนแฮ็กหรือเจาะขโมยข้อมูล การถูกหลอกลวงด้วยวิธีต่างๆ เช่น Phishing เป็นต้น

การรั่วไหลหรือขโมยข้อมูลส่วนบุคคลอาจนำไปสู่ความเสียหายดังต่อไปนี้

• ถูกนำไปใช้ในทางผิดกฎหมาย เช่น เลขบัตรประชาชนถูกนำไปใช้เปิดบัญชีเพื่อฉ้อโกงผู้อื่น คลิปส่วนตัวถูกข่มขู่แบล็กเมล เป็นต้น
• โดนจารกรรมทางการเงิน ไม่ว่าจะเป็นการใช้หมายเลขบัตรเครดิตไปซื้อสินค้า หรือโอนเงินจากบัญชีธนาคาร
• ถูกนำไปทำการตลาดต่อ ส่งผลให้เจ้าของข้อมูลถูกรบกวนด้วยโฆษณา ขายสินค้าและบริการต่างๆ
• ถูกปลอมแปลงตัวตน แล้วเอาไปแอบอ้างทำเรื่องเสียหายหรือผิดกฎหมาย

พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA)

เพื่อคุ้มครองข้อมูลส่วนบุคคลของประชาชนไทย ไม่ว่าจะเป็น ชื่อ ที่อยู่ เบอร์โทรศัพท์ บัญชีธนาคาร อีเมล ไอดีไลน์ บัญชีผู้ใช้ของเว็บไซต์ ลายนิ้วมือ ประวัติสุขภาพ รวมไปถึงข้อมูลอื่นๆ ที่สามารถระบุถึงตัวเจ้าของข้อมูลนั้นได้ ทั้งในรูปแบบเอกสาร กระดาษ หนังสือ หรืออิเล็กทรอนิกส์ กฎหมาย PDPA จึงถูกพัฒนาและเตรียมบังคับใช้งานอย่างเต็มรูปแบบในวันที่ 1 มิถุนายน 2022 นี้

หลักสำคัญของกฎหมาย PDPA สามารถสรุปได้เป็น 6 ประเด็น ดังนี้

1. เจ้าของข้อมูลมีสิทธิ์ลบ เพิ่ม ห้าม แก้ไข และเข้าถึงข้อมูลส่วนบุคคลของตัวเองได้
2. ต้องให้ความสะดวกในการขอเพิกถอนสิทธิ เช่นเดียวกับตอนที่ขอข้อมูลมาจากเจ้าของข้อมูลในตอนแรก
3. เก็บข้อมูลส่วนบุคคลเท่าที่จำเป็น ตามวัตถุประสงค์ในการขอข้อมูลมา
4. เมื่อพบข้อมูลรั่วไหล ต้องแจ้งเจ้าของข้อมูลและผู้ที่เกี่ยวข้องทั้งหมดภายใน 72 ชั่วโมง
5. ต้องมีผู้ดูแล รับผิดชอบ และควบคุมข้อมูลส่วนบุคคล
6. โทษปรับสูงสุดไม่เกิน 5,000,000 บาท โดยอาจมีความผิดทั้งทางอาญาและทางแพ่ง ไม่ว่าจะเป็น Data Controllers หรือ Data Processors

สำหรับผู้ที่เกี่ยวข้องในกฎหมาย PDPA สามารถดูได้ตามรูปด้านล่าง

8 ขั้นตอนการเตรียมความพร้อมขององค์กรก่อน PDPA ประกาศใช้

Netka ได้ให้คำแนะนำสำหรับการเตรียมความพร้อมขององค์กรในภาพใหญ่ 8 ข้อ ดังนี้

1. ทำความเข้าใจว่ากฎหมาย PDPA คืออะไร
2. ตั้งงบประมาณ
3. แต่งตั้งทีมรับผิดชอบ
4. กำหนดประเภทข้อมูลและวัตถุประสงค์
5. เตรียมข้อกำหนด แนวทางปฏิบัติในการปกป้องข้อมูลตามที่กฎหมายกำหนด
6. สร้างความตระหนักรู้ให้กับเจ้าของข้อมูลและประชาสัมพันธ์ให้กับบุคลากรที่เกี่ยวข้อง
7. พัฒนาทักษะและกระบวนการตรวจสอบ
8. ปรับปรุงกระบวนการและออกแบบให้เหมาะสมกับการคุ้มครองข้อมูงส่วนบุคคลอยู่เสมอ

สำหรับขั้นตอนในการรับมือกฎหมาย PDPA โดยละเอียด Netka ได้แบ่งออกเป็น 5 ขั้นตอน คือ

1. Data Discovery	ค้นหาและตรวจสอบข้อมูลส่วนบุคคล
2. Privacy Policy	กำหนดการใช้หรือการประมวลผลข้อมูลส่วนบุคคล
3. Security Measurement	วางมาตรการด้านความมั่นคงปลอดภัยสำหรับปกป้องข้อมูลส่วนบุคคล
4. Data Transfer	วางระบบการบริหารจัดการ การส่ง หรือเปิดเผยข้อมูลส่วนบุคคล
5. DPO	แต่งตั้งผู้กำกับดูแลข้อมูลส่วนบุคคล

PDPA in Action

เมื่อนำกฎหมาย PDPA มาแปลงให้อยู่ในระบบสารสนเทศ จะประกอบด้วย 3 ส่วนหลัก คือ Data Subject Request, Front-end (DPO) และ Back-end System ซึ่งแต่ละส่วนมีองค์ประกอบย่อยดังนี้

Netka นำเสนอโซลูชัน Netka Data Privacy & Protection (NDPP) ที่จะเป็นตัวช่วยให้การปรับใช้ข้อบังคับทางกฎหมาย PDPA ให้อยู่ในรูปแบบของเทคโนโลยี (PDPA Compliance Tool) ช่วยให้องค์กรของคุณสามารถปฏิบัติตาม PDPA ได้อย่างครอบคลุม โดย NDPPให้บริการในส่วน Front-end ได้แก่ Consent Management, Cookie Management, Privacy Policy Management, Request/Case Management และ Audit Report

ทั้งยังเพิ่มศักยภาพด้วยระบบ Automation ผ่านการใช้ Workflow มาเสริมการทำงานในการปรับปรุง แก้ไข และเชื่อมต่อกับระบบ Back-end เช่น Data Discovery, Data Masking, DLP, IRM, Database Firewall, Database Encryption ให้ทำงานร่วมกันอย่างอัตโนมัติ ลดภาระของผู้ดูแลระบบที่ต้องรับผิดชอบงานในส่วนนี้

ดูรายละเอียดเพิ่มเติมเกี่ยวกับ Netka Data Privacy & Protection ได้ที่ https://pdpa.netkasystem.com/

ผู้ที่สนใจเกี่ยวกับ PDPA สามารถรับชมวิดีโอการบรรยายเรื่อง “รับมือกฎหมาย PDPA ด้วยการปกป้องความเป็นส่วนบุคคลที่ขับเคลื่อนด้วยเทคโนโลยี” โดยคุณณัฏฐวี สกุลรัตน์ Chief Marketing Officer จาก Netka ภายในงานสัมมนา TTT Virtual Summit: Enterprise Cybersecurity 2022 ที่เพิ่งจัดไปเมื่อวันที่ 26 – 28 เมษายน ได้ที่นี่

from:https://www.techtalkthai.com/tvs-2022-cs-pdpa-by-netka/

[Video Webinar] บริหารจัดการข้อมูลอย่างไรให้เป็นไปตาม PDPA โดย SAS Software (Thailand)

สำหรับผู้ที่ไม่ได้เข้าฟังการบรรยาย SAS Webinar เรื่อง “บริหารจัดการข้อมูลอย่างไรให้เป็นไปตาม PDPA” พร้อมแนะนำเทคนิคการทำ Data Governance และ Data Privacy ของทั้งพนักงานและลูกค้า ที่เพิ่งจัดไปเมื่อสัปดาห์ที่ผ่านมา หรือต้องการรับชมการบรรยายซ้ำอีกครั้ง สามารถเข้าชมวิดีโอบันทึกย้อนหลังได้ที่บทความนี้ครับ

ภายใน Webinar นี้ ท่านจะได้เรียนรู้เกี่ยวกับสาระสำคัญของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ไม่ว่าจะเป็นต้นกำเนิด, ความสำคัญ, องค์ประกอบ และสิ่งที่ควรคำนึงถึงในการปฏิบัติตามข้อกำหนดของ PDPA รวมไปถึงเปรียบเทียบ PDPA และ GDPR ว่าเหมือนหรือแตกต่างกันอย่างไร

นอกจากนี้ ท่านจะได้รู้จักกับโซลูชันของ SAS ที่จะเข้ามาช่วยสนับสนุนการคุ้มครองข้อมูลให้เป็นไปตามข้อกำหนดของ PDPA ดังนี้

• การเข้าถึงข้อมูลในรูปแบบต่างๆ
• การค้นหาข้อมูลส่วนบุคคลที่ซ่อนอยู่ภายในองค์กร
• การจัดการธรรมาภิบาลข้อมูล (Data Governance)
• การปกป้องข้อมูลส่วนบุคคลด้วยเทคนิคต่างๆ
• การติดตามการใช้งานข้อมูลส่วนบุคคลภายในองค์กร

from:https://www.techtalkthai.com/video-webinar-how-to-manage-data-with-pdpa-compliance-by-sas/

ActiveMedia Webinar: รู้ทัน พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ก่อนเสียค่าปรับหลักล้านแบบไม่รู้ตัว

ActiveMedia ขอเชิญผู้บริหารและผู้ปฏิบัติงานด้าน IT Security เชิญร่วมงานสัมมนาออนไลน์เรื่อง “รู้ทัน พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ก่อนเสียค่าปรับหลักล้านแบบไม่รู้ตัว” พร้อมแนะนำแนวทางการปรับตัวขององค์กรเมื่อ พ.ร.บ. ดังกล่าวถูกประกาศใช้ ในวันพุธที่ 19 พฤษภาคม 2021 เวลา 14:00 น. ผ่านช่องทาง Live Webinar

หัวข้อ: รู้ทัน พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ก่อนเสียค่าปรับหลักล้านแบบไม่รู้ตัว
ผู้บรรยาย: คุณพงศ์อินทร์ ชูสุวรรณ์ (Technical Educator) จาก ActiveMedia (Thailand)
วันเวลา: วันพุธที่ 19 พฤษภาคม 2021 เวลา 14.00 – 15.00 น.
ลงทะเบียนเข้าร่วมงาน: https://register.gotowebinar.com/register/5870846049705934095

การรั่วไหลของข้อมูลส่วนใหญ่เป็นปัญหาที่เกิดขึ้นแบบไม่ได้ตั้งใจ โดยปกติแล้วองค์กรเหล่านั้นแทบจะไม่มีการรับผิดชอบใดๆกับเหตุการณ์ที่เกิดขึ้นเลย แต่ทันทีที่พรบ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) ประกาศใช้ เมื่อมีการรั่วไหลของข้อมูลเกิดขึ้น องค์กรที่เป็นเจ้าของข้อมูลเหล่านั้นมีสิทธิ์โดนฟ้องค่าเสียหายจำนวนหลายล้านบาทกันเลยทีเดียว ถึงแม้จะเป็นอุบัติเหตุก็ตาม ดังนั้นองค์กรต่างๆจึงควรศึกษาพรบ.คุ้มครองข้อมูลส่วนบุคคลว่าคืออะไร รวมไปถึงแนวทางการปฏิบัติ เพื่อเตรียมรับมือกับพรบ.คุ้มครองข้อมูลส่วนบุคคล และมีโซลูชันใดบ้างที่สามารถนำมาประยุกต์ใช้กับองค์กรได้

โดยหัวข้อสำหรับการบรรยายในครั้งนี้ ได้แก่

1. ทำความเข้าใจกับ PDPA ก่อนโดนปรับแบบไม่รู้ตัว
2. แนวทางการปรับตัวขององค์กร เมื่อประกาศใช้ PDPA
3. รู้จักต้นเหตุและช่องโหว่ ก่อนโดนล้วงข้อมูล
4. แนะนำโซลูชันความปลอดภัยจาก ActiveMedia พร้อมรับมือกับ PDPA

สามารถสอบถามข้อมูลเพิ่มเติมได้ที่ ActiveMedia (Thailand) Co., Ltd. แผนกการตลาด โทร 02-683-5100 ต่อ 2133 หรือ Email: marketing@activemedia.co.th

ลงทะเบียน

from:https://www.techtalkthai.com/activemedia-webinar-prepare-for-pdpa/

SAS Webinar: บริหารจัดการข้อมูลอย่างไรให้เป็นไปตาม PDPA

SAS ขอเรียนเชิญผู้บริหารความเสี่ยงและผู้ดูแลด้านความมั่นคงปลอดภัยของข้อมูลเข้าฟังบรรยาย SAS Webinar เรื่อง “บริหารจัดการข้อมูลอย่างไรให้เป็นไปตาม PDPA” พร้อมแนะนำเทคนิคการทำ Data Governance และ Data Privacy ของทั้งพนักงานและลูกค้า ในวันพฤหัสบดีที่ 6 พฤษภาคม 2021 เวลา 14:00 น. ผ่าน Live Webinar ฟรี

รายละเอียดการบรรยาย

หัวข้อ: บริหารจัดการข้อมูลอย่างไรให้เป็นไปตาม PDPA
ผู้บรรยาย: ผู้เชี่ยวชาญจาก SAS Software (Thailand) 
วันเวลา: วันพฤหัสบดีที่ 6 พฤษภาคม 2021 เวลา 14:00 – 15:30 น.
ช่องทางการบรรยาย: Online Web Conference
จำนวนผู้เข้าร่วมสูงสุด: 500 คน
ภาษา: ไทย
ลิงค์ลงทะเบียน: https://zoom.us/webinar/register/WN_4hI7amllSdSJmK6MUwCX4A

ภายใน Webinar นี้ ท่านจะได้เรียนรู้เกี่ยวกับสาระสำคัญของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ไม่ว่าจะเป็นต้นกำเนิด, ความสำคัญ, องค์ประกอบ และสิ่งที่ควรคำนึงถึงในการปฏิบัติตามข้อกำหนดของ PDPA รวมไปถึงเปรียบเทียบ PDPA และ GDPR ว่าเหมือนหรือแตกต่างกันอย่างไร

นอกจากนี้ ท่านจะได้รู้จักกับโซลูชันของ SAS ที่จะเข้ามาช่วยสนับสนุนการคุ้มครองข้อมูลให้เป็นไปตามข้อกำหนดของ PDPA ดังนี้

• การเข้าถึงข้อมูลในรูปแบบต่างๆ
• การค้นหาข้อมูลส่วนบุคคลที่ซ่อนอยู่ภายในองค์กร
• การจัดการธรรมาภิบาลข้อมูล (Data Governance)
• การปกป้องข้อมูลส่วนบุคคลด้วยเทคนิคต่างๆ
• การติดตามการใช้งานข้อมูลส่วนบุคคลภายในองค์กร

กด Interested หรือ Going เพื่อติดตามอัปเดตและรับการแจ้งเตือนบน Facebook Event: https://www.facebook.com/events/316215200055600/

ลงทะเบียน

from:https://www.techtalkthai.com/sas-webinar-how-to-manage-data-with-pdpa-compliance/

6 ขั้นตอนสร้าง PDPA Journey จากจีเอเบิล

นับถอยหลังอีกไม่นาน พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลหรือ PDPA ก็จะมีผลบังคับใช้ในเดือนมิถุนายนที่จะถึงนี้ สำหรับองค์กรที่ยังไม่ได้เตรียมความพร้อม หรือวางกลยุทธ์และแนวทางปฏิบัติไว้แล้ว แต่ไม่รู้ว่าจะเลือกใช้เครื่องมืออะไรบ้าง และนำเครื่องมือที่มีอยู่มาปรับใช้อย่างไรให้เกิดประสิทธิภาพสูงสุด วันนี้จีเอเบิล (G-Able) ในฐานะ Digital Transformation Agent จึงมาให้คำแนะนำการสร้าง PDPA Journey ให้ครบ จบ ง่าย ภายใน 6 ขั้นตอน พร้อมให้คำปรึกษาแก่องค์กรทุกระดับแบบครบวงจร

เริ่มต้น PDPA ไม่ยากอย่างที่คิด

ประเด็นที่ผู้บริหารมักตั้งข้อสงสัยเมื่อต้องเตรียมพร้อมสำหรับ PDPA คือ 

1. เทคโนโลยี IT ที่องค์กรมีอยู่ จะนำมาปรับใช้อย่างไรเพื่อให้สอดคล้องกับ PDPA 
2. เมื่อ PDPA เป็นกฎหมาย จึงต้องจัดทำนโยบายความเป็นส่วนบุคคล แล้วบังคับใช้ด้วยเทคโนโลยี IT อีกที

คำถามสำคัญคือองค์กรควรเริ่มต้นจากข้อไหนก่อนดี?

นอกจากนี้ยังมีอีกหลายคำถามที่ฝ่าย IT ขององค์กรจำเป็นต้องหาคำตอบ ไม่ว่าจะเป็น…

• ต้องทำแค่ไหนถึงจะเพียงพอตามข้อกำหนด PDPA
• เมื่อองค์กรจ้างที่ปรึกษาด้านกฎหมายมาช่วยออกแบบนโยบายด้านความเป็นส่วนบุคคล ฝ่าย IT จะมีขั้นตอนในการจัดเตรียมและวางระบบให้สอดคล้องกับนโยบายที่วางไว้ได้อย่างไร
• หรือในกรณีที่องค์กรมีเครื่องมืออยู่แล้ว เช่น Access Control, Data Protection, Data Breach Detection จะนำเครื่องมือเหล่านี้มาปรับใช้ให้ตรงตามข้อกำหนดของ PDPA อย่างไรให้มีประสิทธิภาพสูงสุด

6 ขั้นตอนสร้าง PDPA Journey 

จากประเด็นคำถามที่กล่าวไป จีเอเบิลจึงได้ให้คำแนะนำในการสร้าง PDPA Journey หรือแนวทางที่นำไปสู่การดำเนินงานตามข้อกำหนดของ PDPA ให้ประสบความสำเร็จ โดยแบ่งออกเป็น 6 ขั้นตอน ดังนี้

เริ่มจากการประเมินและเตรียมความพร้อมขององค์กร

1. Data Policy 

ค้นหาข้อมูลส่วนบุคคลที่อยู่ในองค์กร จากนั้นทำการคัดแยก จำแนกประเภทข้อมูล กำหนดสิทธิ์และนโยบายในการเข้าถึงข้อมูลเหล่านั้น โดยทั่วไปจะแบ่งออกเป็น 3 กลุ่ม คือ ลูกค้า พนักงาน และพาร์เนอร์ (3rd Parties) ซึ่งนโยบายความเป็นส่วนบุคคลเหล่านี้จะถูกบังคับใช้ในขั้นการวางกลไกเพื่อปกป้องข้อมูลต่อไปนั้นเอง 

2. Data Subject Right 

เตรียมช่องทางในการติดต่อกับ Data Subject ภายใต้นโยบายความเป็นส่วนบุคคลที่กำหนด รวมไปถึงการออกแบบและบริการจัดการ Cookie & Consent และ Data Subject Access Request (DSAR)

3. Access Control

ควบคุมการเข้าถึงข้อมูลของบุคคลแต่ละประเภท ผ่านการบริหารจัดการตัวตนผู้ใช้งาน กำหนดสิทธิในการเข้าถึง การบริหารจัดการอุปกรณ์และเอกสาร รวมถึงสิทธิในการเข้าถึงและใช้ข้อมูลให้เหมาะสมสอดคล้องตามความยินยอมที่เจ้าของข้อมูลได้ให้ไว้กับองค์กร

4. Data Protection

ปกป้องข้อมูลจากภัยคุกคามทั้งขณะจัดเก็บและรับส่ง ด้วยการทำ Encryption, Masking, Tokenization, รวมถึงการรักษาความมั่นคงปลอดภัยบนแอปพลิเคชันเพื่อให้ข้อมูลมีความปลอดภัย ไม่ว่าข้อมูลเหล่านั้นจะอยู่ภายใน, ภายนอก หรือ บน Cloud

5. Data Breach Detection

ตรวจจับพฤติกรรมที่ผิดปกติหรือไม่พึงประสงค์ที่อาจก่อให้เกิดเหตุ Data Breach ตั้งแต่อุปกรณ์ปลายทาง เครือข่าย และระบบ Cloud รวมไปถึงการรับมือและฟื้นฟูระบบให้กลับคืนสู่สภาวะปกติได้อย่างรวดเร็วทันเวลา

6. Data Usage Monitoring

เฝ้าระวังการใช้ข้อมูล เพื่อให้มั่นใจได้ว่าข้อมูลถูกใช้อย่างเหมาะสม ภายใต้นโยบายความเป็นส่วนบุคคลของข้อมูลและการยินยอมจากเจ้าของข้อมูล ในกรณีที่เกิดเหตุผิดปกติ ก็สามารถเก็บหลักฐานและจัดทำรายงานส่งให้หน่วยงานกำกับดูแลที่เกี่ยวข้องได้ง่าย

จีเอเบิลร่วมสร้าง PDPA Journey ไปพร้อมกับลูกค้า

ไม่ได้จบแค่ให้คำปรึกษาและคัดสรรโซลูชันสำหรับดำเนินงานตามข้อกำหนดของ PDPA เท่านั้น แต่จีเอเบิลยังมีบริการที่ช่วยให้องค์กรของคุณสร้าง PDPA Journey ได้แบบครบวงจรตาม 6 ขั้นตอนที่กล่าวไปข้างต้น ด้วยการร่วมพัฒนาและออกแบบโซลูชันไปพร้อมกับลูกค้า เพราะเราเข้าใจว่าแต่ละองค์กรมีความต้องการเฉพาะที่ต่างกันออกไป

โดยลูกค้าจะเลือกใช้บริการครบทั้ง 6 ขั้นตอน หรือเลือกใช้เฉพาะบางขั้นตอนก็ได้ โดยจีเอเบิลแบ่งบริการ PDPA ออกเป็น 4 โซลูชันย่อย ได้แก่

1. Data Governance Solution

วางแผนกลยุทธ์ด้านการกำกับดูแลข้อมูล ออกแบบโมเดลการกำกับดูแล จัดทำ Data Inventory พร้อมค้นหาและจำแนกประเภทของข้อมูลทั้งหมดในองค์กร เพื่อกำหนดนโยบายด้านความเป็นส่วนบุคคลของข้อมูลแต่ละประเภทให้สอดคล้องกับ PDPA รวมไปถึงการออกแบบรายงานสำหรับส่งหน่วยงานกำกับดูแลที่เกี่ยวข้อง

2. Data Subject Solution

ให้คำปรึกษาเรื่องการยินยอมเปิดเผยและให้ใช้ข้อมูล (Consent) พร้อมแนะนำเครื่องมือที่เกี่ยวข้อง ได้แก่ Consent Management, Cookie Management และ Data Subject Access Request (DSAR) รวมไปถึงการผสานการทำงานกับระบบเดิมที่มีอยู่ เช่น Call Center

3. Data Protection & Breach Detection

ให้คำปรึกษาและบริการเครื่องมือสำหรับปกป้องข้อมูลตามข้อกำหนดของ PDPA ได้แก่ Data Encryption, Data Masking/Tokenization, Application Security, CASB, Data Loss Prevention, Endpoint Detection Response รวมไปถึงการทำ Incident Management เมื่อเกิดเหตุข้อมูลรั่วไหลสู่ภายนอก

4. PDPA for HR or Employee Journey under PDPA

บริการคุ้มครองข้อมูลส่วนบุคคล ตั้งแต่ได้รับข้อมูลไปจนถึงนำข้อมูลออกจากระบบ พร้อมให้คำแนะนำว่าจะต้องบริหารจัดการข้อมูลและวิเคราะห์อย่างไรจึงจะได้ประโยชน์สูงสุด รวมถึงการขอความยินยอมในการเปิดเผย/ใช้ข้อมูลอย่างไร จึงจะเป็นไปตามข้อกำหนดของ PDPA ซึ่งทั้งหมดนี้เหมาะกับฝ่ายที่เกี่ยวข้องกับข้อมูลส่วนบุคคล อาทิ HR, IT, Admin/Webmaster, Digital Marketer, PR, Customer Service, Sales, Accounting และ Finance เป็นต้น

มีการทำงานร่วมกัน ระหว่างทีมกฎหมายและ IT 

จุดเด่นสำคัญของบริการ PDPA ของจีเอเบิล คือ มีทีมกฎหมายและทีม IT ประสานการทำงานร่วมกัน ช่วยให้องค์กรวางมาตรการควบคุมไปพร้อม ๆ กับการกำหนดนโยบายความเป็นส่วนบุคคลของข้อมูลตาม PDPA ได้เลย โดยไม่จำเป็นต้องรอให้นโยบายทั้งหมดถูกร่างเสร็จก่อน ซึ่งช่วยร่นระยะเวลาในการดำเนินงานไปได้หลายเดือน

แต่ในกรณีที่องค์กรเตรียมนโยบายความเป็นส่วนบุคคลของข้อมูลเรียบร้อยแล้ว ทีมกฎหมายของจีเอเบิลก็จะช่วยตีความและทำงานร่วมกับฝ่าย IT เพื่อให้มั่นใจได้ว่ามาตรการควบคุมที่วางแผนนั้นครบถ้วนและเหมาะสมกับ PDPA นั้นเอง

สนใจบริการ G-Able PDPA สอบถามข้อมูลเพิ่มเติมได้ที่ bit.ly/2Og4SV1 
หรือติดต่อแผนกลูกค้าสัมพันธ์ โทร. 02-781-9333
Website: www.g-able.com

from:https://www.techtalkthai.com/6-steps-to-build-pdpa-journey-by-g-able/

[Guest Post] PDPA BEGINS : เพื่อความเป็นส่วนตัวและความปลอดภัย

ความเป็นส่วนตัว (Privacy) ถือเป็นสิทธิขั้นพื้นฐานของมนุษย์มาอย่างยาวนาน ในอดีตการเรียกร้องความเป็นส่วนตัวจะมุ่งเน้นไปที่ความเป็นส่วนตัวทางกายภาพ (Physical Privacy) หมายถึงสิทธิอันชอบธรรมในการอยู่อย่างสันโดดและปลอดภัยจากการรบกวนจากบุคคลภายนอก เช่น บุคคลอื่น องค์กร หรือแม้กระทั่งหน่วยงานจากภาครัฐ แต่เมื่อเข้าสู่ยุคแห่งการสื่อสารข้อมูลระหว่างกันผ่านทางระบบเครือข่ายคอมพิวเตอร์และเครือข่ายอินเทอร์เน็ต ข้อมูลส่วนบุคคลจึงหลั่งไหลเข้าไปอยู่บนระบบมากขึ้น ทำให้เกิดความต้องการความส่วนตัวด้านสารสนเทศ (Information Privacy) และรวมไปถึงความเป็นส่วนตัวของข้อมูลส่วนบุคคล (Personal Data Privacy)

บทความโดย : นายวรเทพ ว่องธนาการ ผู้จัดการฝ่ายสนับสนุนด้านโซลูชั่น บริษัท ยิบอินซอย จำกัด

 

เจ้าของข้อมูล (Data Subject) จะต้องมีสิทธิและเสรีภาพอย่างเต็มที่ต่อข้อมูลของตนที่จะให้บุคคลอื่นหรือองค์กรต่าง ๆ นำข้อมูลไปใช้ตามความยินยอม (Consent) ที่อนุญาตเท่านั้น เพื่อรักษาความเป็นส่วนตัว ผลประโยชน์ และปกป้องความเสียหายที่อาจเกิดขึ้นกับตนเอง ซึ่ง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Act – PDPA) ที่จะมีผลบังคับใช้ในกลางปี 2564 นี้ จะเป็นเครื่องมือที่จะทำให้ปัจเจกบุคคลมั่นใจได้ว่า ข้อมูลของตนที่อนุญาตให้องค์กรนำไปใช้มีการบริหารจัดการอย่างเหมาะสมและมีระบบการป้องกันข้อมูลที่น่าเชื่อถือและปลอดภัย

การที่องค์กรจัดเก็บและนำข้อมูลส่วนบุคคลไปใช้โดยไม่ปฏิบัติตาม พ.ร.บ. ถือว่าเป็นการละเมิดสิทธิของเจ้าของข้อมูล และองค์กรจะกลายเป็นผู้กระทำความผิดทั้งทางแพ่งและทางอาญาตามบทลงโทษของกฎหมาย ดังนั้นก่อนที่ พ.ร.บ. จะมีผลบังคับใช้อย่างจริงจัง องค์กรต่าง ๆ ควรทบทวนขั้นตอนพื้นฐานเพื่อเตรียมความพร้อมและแสดงความรับผิดชอบในการให้ความดูแลข้อมูลส่วนบุคคลและปฏิบัติตามกฎระเบียบอย่างเคร่งครัด ดังนี้

 

5 ขั้นตอนพื้นฐานในการปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล

1. จัดตั้งและมอบหมายหน้าที่ให้บุคลากรหรือหน่วยงานเข้ามาดูแลอย่างชัดเจน ตามข้อกำหนดใน พ.ร.บ.
2. ค้นหาและจัดกลุ่มข้อมูลส่วนบุคคลอย่างเป็นระบบ (Data Discovery and Classification)
3. จัดทำขั้นตอนและระบบการปกป้องข้อมูล (Data Protection)
4. จัดทำระบบป้องกันการรั่วไหลของข้อมูล (Data Loss Prevention)
5. จัดทำระบบบริหารจัดการข้อมูลส่วนบุคคล (Personal Data Management)

 

1. จัดตั้งและมอบหมายหน้าที่ให้บุคลากรหรือหน่วยงานเข้ามาดูแลอย่างชัดเจน ตามข้อกำหนดใน พ.ร.บ. ฯตรวจเช็คให้ชัดเจนว่าองค์กรมีผู้ดูแลความพร้อมในส่วนของผู้เกี่ยวข้องตาม พ.ร.บ. แล้วหรือยัง ซึ่งได้แก่

• คณะกรรมการป้องกันข้อมูลส่วนบุคคล (Personal Data Protection Committee) ประกอบด้วยบุคลากรจากหลายหน่วยงานที่เกี่ยวข้อง ได้แก่ ผู้บริหารระดับสูง, ฝ่ายกฎหมาย (Legal), ฝ่ายกำกับดูแล (Compliance), ฝ่ายขายและการตลาด (Sales and Marketing), ฝ่ายเทคโนโลยีสารสนเทศ (Information Technology), ฝ่ายต่างประเทศ (International Administration) เป็นต้น
• ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ บุคคล/นิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการจัดเก็บ รวบรวม นำไปใช้ ปรับปรุง หรือเปิดเผย ให้อยู่ภายใต้มาตรการรักษาความปลอดภัยที่เหมาะสม
• ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ บุคคล/นิติบุคลทั้งภายในและภายนอกองค์กร ซึ่งเป็นผู้ที่เก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลตามคำสั่งของผู้ควบคุมข้อมูลส่วนบุคคล
• เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) คือ กรณีที่องค์กรหรือหน่วยงานมีข้อมูลประมวลผลทั้งข้อมูลส่วนบุคคลหรือข้อมูลอ่อนไหวเป็นปริมาณมาก องค์กรหรือหน่วยงานจำเป็นต้องแต่งตั้งเจ้าหน้าที่ DPO เพื่อทำหน้าที่ประสานงาน ตรวจสอบ ให้คำแนะนำ และดูแลด้านความมั่นคงปลอดภัยของข้อมูลโดยเฉพาะ

2. ค้นหาและจัดกลุ่มข้อมูลส่วนบุคคลอย่างเป็นระบบ (Data Discovery and Classification)

ทำการค้นหาข้อมูลส่วนบุคคลและข้อมูลที่เคลื่อนไหวทั้งหมดที่เก็บอยู่ภายในและภายนอกองค์กรเพื่อจัดการอย่างเป็นระบบ แต่ในกรณีที่ข้อมูลมีปริมาณมากและเพิ่มจำนวนขึ้นอย่างต่อเนื่องตลอดเวลา ควรจะพิจารณาจัดหาเครื่องมือหรือระบบเข้ามาช่วยในการค้นหา คัดแยก และจัดการ การใช้เครื่องมือเข้ามาช่วยในการจัดการข้อมูลที่มีปริมาณเพิ่มขึ้นและการเปลี่ยนแปลงอยู่ตลอดจะช่วยให้องค์กรสามารถปฏิบัติตาม พ.ร.บ. ได้อย่างรวดเร็ว ถูกต้อง และมีประสิทธิภาพมากขึ้น รวมทั้งยังช่วยในการออกแบบระบบรักษาความปลอดภัยของข้อมูลแต่ละกลุ่มได้อย่างเหมาะสม

3. จัดทำขั้นตอนและระบบการปกป้องข้อมูล (Data Protection)

Data ในยุคดิจิทัลมีบทบาทสำคัญเพิ่มขึ้นมาก จนอาจถือได้ว่า Data ได้กลายเป็นทรัพย์สิน (Asset) ที่สามารถนำไปใช้สร้างประโยชน์ให้กับผู้ที่ครอบครองได้อย่างมหาศาล ตัวอย่างเช่น

• รวบรวมข้อมูลเพื่อนำไปวิเคราะห์และสร้างสินค้าหรือบริการให้ตรงตามความต้องการมากขึ้น
• นำไปใช้ในการชี้นำหรือเปลี่ยนความคิดที่มีต่อ Brand บุคคล หรือ หน่วยงาน/องค์กร
• นำไปใช้ในโจมตีและสร้างความเสียหายให้กับเจ้าของข้อมูล

เมื่อผลกระทบของการนำ Data ไปใช้มีทั้งที่ก่อประโยชน์และสร้างโทษให้กับเจ้าของข้อมูล ผู้คนจึงเริ่มตื่นตัวกับสิทธิการเป็นเจ้าของข้อมูลส่วนบุคคลมากขึ้น ทั่วโลกต่างออกกฎหมายมารองรับการคุ้มครองความเป็นส่วนตัวและความเป็นเจ้าของข้อมูลเพื่อสร้างความมั่นใจว่าองค์กรจะต้องได้รับความยินยอมจากเจ้าของข้อมูลก่อนการจัดเก็บ และมีระบบจัดเก็บและรักษาความปลอดภัยข้อมูลที่กันไม่ให้ผู้ที่ไม่ได้รับความยินยอมหรือผู้ไม่หวังดีสามารถนำข้อมูลออกไปใช้ได้ ดังนั้นข้อมูลที่จัดเก็บอยู่ในระบบคอมพิวเตอร์จึงจำเป็นต้องมีการปกป้องข้อมูล ไม่ว่าจะเป็นการเข้ารหัส/ถอดรหัสข้อมูล (Data Encryption/Decryption) การสลับข้อมูล (Data Shuffling) หรือการปกปิดหรือปิดบังข้อมูล (Data Masking, Pseudonymize or Anonymize)

4. จัดทำระบบป้องกันการรั่วไหลของข้อมูล (Data Loss Prevention – DLP)

ผลกระทบจากการที่ข้อมูลส่วนบุคคลรั่วไหลออกจากองค์กรนั้นสามารถสร้างความเสียหายให้กับเจ้าของข้อมูลทั้งในด้านความเป็นส่วนตัว ชื่อเสียง หรือแม้กระทั่งทรัพย์สิน และความเสียหายนั้นอาจส่งผลต่อมูลค่าทางธุรกิจขององค์กรที่จัดเก็บข้อมูล เนื่องจากความน่าเชื่อถือของลูกค้าที่มีต่อองค์กรลดลง ดังนั้นองค์กรจึงหลีกเลี่ยงไม่ได้ที่จะต้องมีแผนการบริหารจัดการและป้องกันที่รัดกุม โดยหาวิธีป้องกันการถูกนำข้อมูลออกจากองค์กรทั้งโดยตั้งใจและไม่ตั้งใจ และครอบคลุมถึงข้อมูลที่มีการจัดส่งผ่านสื่อต่าง ๆ (Data in Motion) เช่น การส่งข้อมูลผ่านระบบเครือข่ายภายใน หรือระบบเครือข่ายอินเทอร์เน็ต แล้ว Copy ไปยัง Media อื่นเช่น USB flash drive/HDD Drive หรือ Flash Drive หรือข้อมูลที่อยู่บนเครื่อง Computer, Server, Storage และ On Cloud (Data in Rest)

5. จัดทำระบบบริหารจัดการข้อมูลส่วนบุคคล (Personal Data Management)

การบริหารจัดการข้อมูลส่วนบุคคล มีส่วนประกอบของงานดังนี้

• การบริหารจัดการสิทธิ์การเข้าถึงข้อมูล (Right of Access) ตั้งแต่การรับคำร้องขอ การยืนยันตัวตน การเก็บรักษา/แก้ไข/ปรับปรุง/ลบข้อมูลที่จำเป็น และการรักษาความปลอดภัย
• การบริหารความยินยอม (Consent Management) เพื่อเก็บรวบรวม นำไปใช้ และเปิดเผยข้อมูลส่วนบุคคลตามที่เจ้าของข้อมูลได้แจ้งไว้ จึงต้องมีการจัดทำระบบบริหารความยินยอมแบบครบวงจร ตั้งแต่ขั้นตอนการเริ่มเก็บความยินยอมของลูกค้า การร้องขอ ไปจนถึงขั้นตอนการเพิกถอนความยินยอมของลูกค้าออกจากระบบ

การปฏิบัติตามขั้นตอนดังกล่าวข้างต้นอาจพบข้อขัดข้องเรื่องการปฏิบัติ พ.ร.บ. อยู่บ้าง แต่การเริ่มดำเนินการเป็นการแสดงความใส่ใจและให้ความเคารพในสิทธิในความเป็นเจ้าของข้อมูลส่วนบุคคลของลูกค้า ซึ่งเป็นก้าวเริ่มต้นที่สำคัญในการสร้างความน่าเชื่อถือให้กับองค์กร และจะนำมาซึ่งความไว้ใจในการเลือกใช้สินค้าและบริการต่อไป

 

from:https://www.techtalkthai.com/guest-post-yipintsoi-pdpa-begins/