ข่าวสาร/บทความ Archives - Page 2 of 5

มาตรฐานคุณวุฒิวิชาชีพ สาขาวิชาชีพอุตสาหกรรมดิจิทัล สาขาความมั่นคงปลอดภัยทางดิจิทัลและส่วนบุคคล

มาตรฐานคุณวุฒิวิชาชีพ สาขาวิชาชีพอุตสาหกรรมดิจิทัล สาขาความมั่นคงปลอดภัยทางดิจิทัลและส่วนบุคคล “อาชีพนักจัดการคุ้มครองข้อมูลส่วนบุคคล” คืออะไร? เป็นหนึ่งหลักสูตรที่มีความพยายามในการผลักดันให้การคุ้มครองข้อมูลส่วนบุคคล เกิดขึ้นจริงในประเทศไทย ให้สอดคล้องกับแนวปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลและกฎหมายอื่นๆ ที่เกี่ยวข้อง โดยเป็นหลักสูตรสมรรถนะที่ถูกออกแบบและสร้างสรรค์โดยสถาบันคุณวุฒิวิชาชีพ (องค์กรมหาชน) สถาบันคุณวุฒิวิชาชีพ (องค์กรมหาชน) คือใคร? สถาบันคุณวุฒิวิชาชีพ (องค์การมหาชน) (อังกฤษ: Thailand Professional Qualification Institute (Public Organization)) หรือ สคช. เป็นองค์การมหาชนภายใต้การกำกับดูแลของนายกรัฐมนตรี ที่จัดตั้งขึ้นตามพระราชกฤษฎีกาจัดตั้งสถาบันคุณวุฒิวิชาชีพ (องค์การมหาชน) พ.ศ. 2554 วัตถุประสงค์ของสถาบัน คือ การพัฒนาและผลักดันระบบคุณวุฒิวิชาชีพของไทย ด้วยการจัดทำมาตรฐานอาชีพให้ได้มาตรฐานสากล กำหนดองค์กรเพื่อรับรองสมรรถนะบุคคล และเป็นศูนย์กลางข้อมูลเกี่ยวกับคุณวุฒิวิชาชีพแและมาตรฐานอาชีพ โดยมีเป้าหมายในการขับเคลื่อนประเทศไปสู่การเป็นเศรษฐกิจสังคมฐานความรู้ พัฒนากำลังคนของประเทศให้สอดคล้องกับความต้องการของตลาดงาน เพิ่มขีดความสามารถของทรัพยากรมนุษย์ และสร้างมูลค่าเพิ่มทางเศรษฐกิจของประเทศอย่างยั่งยืน หลักสูตรสำหรับผู้ตรวจประเมินและเจ้าหน้าที่สอบและผู้ผ่านการประเมิน ถูกออกแบบจัดทำมาตรฐานอาชีพและคุณวุฒิวิชาชีพ โดยผู้ทรงคุณวุฒิ ผู้เชี่ยวชาญจากสถาบันต่างๆ จากอย่างน้อย 10 องค์กร อาทิ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล, สำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน), สภาดิจิทัลเพื่อเศรษฐกิจและสังคมแห่งประเทศไทย, สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์, สมาคมธนาคารไทย, สมาคมส่งเสริมนวัตกรรมเทคโนโลยีไซเบอร์, สมาคมความมั่นคงปลอดภัยระบบสารสนเทศ, กรมการปกครอง, สำนักงานคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย และ สำนักงานคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์และกิจการโทรคมนาคมแห่งชาติ พร้อมด้วยคณะทำงานผู้เชี่ยวชาญในวงการอีกหลายท่าน ศึกษาจากแนวทางการคุ้มครองข้อมูลส่วนบุคคลตามกฎหมายไทย กฎหมายต่างประเทศ และมาตรฐานอื่นๆ ที่เกี่ยวข้องและเป็นที่เชื่อถือในระดับสากล เนื้อหาในหลักสูตรเลยค่อนข้างเข้มข้นและครอบคลุม และเป็นหนึ่งหลักสูตรในประเทศไทยที่มีความท้าทาย เพื่อให้ผู้เชี่ยวชาญ ผู้ที่สนใจเข้ามาทดสอบสมรรถนะและเข้ารับการตรวจประเมินครับ หลักสูตรนี้ มี 8 ระดับ ระดับที่ปัจจุบันมีเปิดให้รับเทียบโอนคุณวุฒิ คือ ระดับ 5, ระดับ 6 และระดับ 7 สมรรถนะบางส่วนที่ผู้เข้ารับการประเมินไม่ว่าระดับ 5, ระดับ 6 หรือระดับ 7 สามารถดูภาพประกอบบางส่วนในโพสต์นี้

ทีมที่ปรึกษา บริษัท ดิจิทัล บิสิเนส คอนซัลท์ จำกัด เข้าอบรมความรู้พื้นฐาน PDPA และฝึกอบรมเชิงปฏิบัติให้กับคณะทำงาน บริษัท มิวซ์ อินโนเวชั่น

ทีมที่ปรึกษา บริษัท ดิจิทัล บิสิเนส คอนซัลท์ จำกัด เข้าอบรมความรู้พื้นฐาน PDPA และฝึกอบรมเชิงปฏิบัติ การจัดทำใบบันทึกกิจกรรม (Data inventory)ให้กับคณะทำงาน บริษัท มิวซ์ อินโนเวชั่น จำกัด ในวันที่ 7 เมษายน 2566 เพื่อให้คณะทำงานมีความรู้ความเข้าใจ เรื่องพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และสามารถนำความรู้ที่ได้รับเชื่อมโยงและนำแนวทางการปฎิบัติการคุ้มครองข้อมูลส่วนบุคคลไปปรับใช้ในในองค์กร เพื่อยกระดับและให้ความสำคัญในการคุ้มครองข้อมูลส่วนบุคคลสำหรับทุกคน ทุกภาคส่วนได้อย่างมีคุณภาพ

เมื่อข้อมูลส่วนตัวหลุดรั่ว จะเกิดอันตรายอะไรขึ้นกับเราได้บ้าง

พบกับ ดร.อุดมธิปก ไพรเกษตร ประธานเจ้าหน้าที่บริหาร บริษัท ดิจิทัล บิสิเนส คอนซัลท์ จำกัด และนายกสมาคมผู้ตรวจสอบและให้คำปรึกษาการคุ้มครองข้อมูลส่วนบุคคลไทย (TPDPA) ในรายการ #ไอที24ชั่วโมง ในหัวข้อ “เมื่อข้อมูลส่วนตัวหลุดรั่ว จะเกิดอันตรายอะไรขึ้นกับเราได้บ้าง แล้วองค์กรต่างๆ พร้อมหรือยังกับการรักษาข้อมูลส่วนตัว แล้วตอนนี้ยังไงต่อ ??? รับชมได้ที่ คลิกเพื่อรับชม

PDPA Thailand เข้าร่วมกิจกรรมออกบูธในงานสัมมนา “PDPA Going Forward” ก้าวไปข้างหน้ากับ PDPA

บริษัท ดิจิทัล บิสิเนส คอนซัลท์ จํากัด (PDPA Thailand) นำโดย ดร.อุดมธิปก ไพรเกษตร คณะผู้บริหาร และทีมงาน เข้าร่วมกิจกรรมออกบูธในงานสัมมนา “PDPA Going Forward” ก้าวไปข้างหน้ากับ PDPA ซึ่งจัดขึ้นเพื่อให้ทุกภาคส่วนตระหนักรู้ถึงความสำคัญเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลร่วมกัน เร่งสร้างการรับรู้ ยกระดับมาตรฐานสร้างความเชื่อมั่นในระดับสากล โดยมีผู้ร่วมงานทั้งผู้บริหารหน่วยงานภาครัฐและเอกชน รวมทั้งนักวิชาการ ณ โรงแรมอัศวิน ถนนวิภาวดีรังสิต เขตหลักสี่ กรุงเทพฯ ตั้งแต่เวลา 10.00 น. – 16.00 น. วันที่ 22 มีนาคม 2566

บรรยายกาศการอบรม หลักสูตรฝึกอบรมเชิงปฏิบัติ “การจัดทําแนวปฏิบัติการคุ้มครองข้อมูลข่าวสารส่วนบุคคล ตาม พ.ร.บ. ข้อมูลข่าวสารของราชการ พ.ศ.2540 กับ การคุ้มครองข้อมูลส่วนบุคคลตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ของหน่วยงานภาครัฐ” รุ่นที่ 1

✨ บรรยายกาศการอบรม หลักสูตรฝึกอบรมเชิงปฏิบัติ “การจัดทําแนวปฏิบัติการคุ้มครองข้อมูลข่าวสารส่วนบุคคล ตาม พ.ร.บ. ข้อมูลข่าวสารของราชการ พ.ศ.2540 กับ การคุ้มครองข้อมูลส่วนบุคคลตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ของหน่วยงานภาครัฐ” รุ่นที่ 1 ณ โรงแรมแอมบาสซาเดอร์ กรุงเทพฯ – 30 มีนาคม 2566 โครงการเพื่อให้ข้าราชการที่รับผิดชอบการพระราชบัญญัติข้อมูลข่าวสารของราชการมีความรู้และความเข้าใจเรื่องพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และสามารถเชื่อมโยงการคุ้มครองข้อมูลส่วนบุคคลตาม พระราชบัญญัติข้อมูลข่าวสารของราชการ กับพระราชบัญญัติการคุ้มครองข้อมูลส่วนบุคคล พร้อมนำแนวทางการปฎิบัติการคุ้มครองข้อมูลส่วนบุคคลสำหรับหน่วยงานราชการไปปฏิบัติที่หน่วยงานได้

การล่วงละเมิดข้อมูลส่วนบุคคลในวงการกีฬา : กรณีศึกษาสโมสรฟุตบอลแมนเชสเตอร์ซิตี้

ไม่นานมานี้ มีข่าวใหญ่ที่สร้างผลกระทบต่อวงการกีฬาเป็นอย่างมาก เกี่ยวกับเรื่องของการละเมิดกฎทางการเงิน (Financial Fair Play : FFP) โดยสื่อใหญ่อย่างเดอะไทมส์ (The Times) ได้รายงานว่า มีการทุจริตทางการเงินโดยสโมสรชื่อดังแห่งเกาะอังกฤษแมนเชสเตอร์ซิตี้ “เรือใบสีฟ้า” ได้ทำกระทำผิดกฎการเงินเป็นจำนวนกว่า 100 ครั้งภายใน 9 ปี ตั้งแต่ปี 2552 – 2561 ซึ่งถือว่าเป็นจำนวนที่น่าตกใจเป็นอย่างมาก แต่ว่า FFP มันเกี่ยวข้องอย่างไรกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล? ความสัมพันธ์ระหว่าง FFP และกฎหมายคุ้มครองข้อมูลส่วนบุคคลไม่ชัดเจนนัก แต่อาจมีปัญหาบางประการเกี่ยวกับวิธีที่สโมสรปฏิบัติตามข้อบังคับ ตัวอย่างเช่น สโมสรอาจจำเป็นต้องเปิดเผยข้อมูลทางการเงินบางอย่างแก่ยูฟ่าเพื่อจุดประสงค์ FFP แต่พวกเขายังต้องปกป้องความเป็นส่วนตัวของผู้เล่น พนักงาน และแฟนคลับ ภายใต้กฎหมายคุ้มครองข้อมูล พวกเขายังอาจเผชิญกับความท้าทายในการถ่ายโอนข้อมูลข้ามเขตอำนาจศาลที่แตกต่างกันด้วยมาตรฐานทางกฎหมายที่แตกต่างกัน นอกจากนี้ นักวิจารณ์บางคนแย้งว่า FFP ละเมิดกฎหมายการแข่งขันของยุโรปและจำกัดเสรีภาพในการเคลื่อนไหวของผู้เล่น ซึ่งอาจเกี่ยวข้องกับสิทธิ์ในการปกป้องข้อมูลด้วย นอกจากนี้ สโมสรฟุตบอลยังสามารถรวบรวมและประมวลผลข้อมูลส่วนบุคคลของนักเตะ เจ้าหน้าที่ และแฟนบอลเพื่อวัตถุประสงค์ต่างๆ เช่น สัญญานักเตะ เวชระเบียน และการตลาด แต่กฎหมายกำหนดให้สโมสรต้องได้รับความยินยอมจากบุคคลก่อนที่จะรวบรวมและใช้ข้อมูลส่วนบุคคลและตรวจสอบให้แน่ใจว่าข้อมูลได้รับการคุ้มครองจากการเข้าถึงการใช้หรือการเปิดเผยโดยไม่ได้รับอนุญาต ดังนั้นสโมสรฟุตบอลต้องปฏิบัติตามข้อกำหนดของกฎหมายในการประมวลผลข้อมูลส่วนบุคคล แหล่งที่มา : https://www.dailymail.co.uk/sport/sportsnews/article-9821921/The-smoking-gun-emails-prove-Manchester-City-did-cheat-Premier-League-FFP-rules.html ย้อนไปถึงสาเหตุที่ทำให้แมนเชสเตอร์ซิตี้กลายเป็นประเด็นร้อนขึ้นมา ต้นเหตุ คือแฮกเกอร์มือทองรายหนึ่งนามว่า “รุย ปินโต้” ได้แฮกอีเมลของสโมสรเพื่อมาเปิดโปงเรื่องไม่ชอบมาพากล ไม่ว่าจะเป็นการเจรจาทางธุรกิจที่ไม่โปร่งใสหรือการโยกย้ายปรับแต่งบัญชีการเงินของสโมสร จากการที่สโมสรโดนแฮกอีเมลนี่เอง ทำให้ไม่เพียงแต่มีข้อมูลทางการเงินจำนวนมากที่ถูกละเมิด แต่ยังรวมไปถึง “ข้อมูลส่วนบุคคล” อีกด้วย แหล่งที่มา : https://www.espn.com/soccer/soccer-transfers/story/4870556/man-city-charged-over-multiple-ffp-breaches สโมสรฟุตบอล ในฐานะองค์กรธุรกิจต้องรับมืออย่างไร? Hacker หรือ กลุ่มอาชญากรรมทางคอมพิวเตอร์ ถือเป็นภัยคุกคามอย่างหนึ่งที่นำไปสู่เหตุการละเมิดข้อมูล” (Data Breach) กลุ่มคนเหล่านี้ จะเข้าถึง เปิดเผย หรือทำลายข้อมูลโดยไม่ได้รับอนุญาต ซึ่งอาจรวมถึงข้อมูลประเภทใดก็ได้ เช่น ข้อมูลทางการเงิน หรือข้อมูลทางธุรกิจ ในทางกลับกัน

Outsource DPO: Hero พันธุ์ใหม่ของคุณ

หลังจากที่ PDPA เลื่อนกำหนดการซ้ำแล้วซ้ำเล่า จนออกการบังคับใช้อย่างเต็มที่ในวันที่ 1 มิถุนายน 2565 หลายองค์กรเริ่มมีความตระหนักถึงการทำให้องค์กรปกิบัติตาม PDPA ตัวอย่างเช่น การจัดทำขั้นตอนการทำ PDPA หรือจัดทำเอกสารต่าง ๆ เพื่อให้สอดคล้อง โดยแต่ละธุรกิจนั้นก็อาจจะมีความแตกต่างกันไป เช่น โรงพยาบาลหรือสถานศึกษาย่อมมีขั้นตอนการทำ PDPA ที่ไม่เหมือนกัน เป็นต้น แต่สิ่งหนึ่งที่มีความจำเป็น คือ การหาบุคคลหรือคณะบุคคลที่จะเข้ามาทำหน้าที่ในการดำเนินการด้านข้อมูลส่วนบุคคล ซึ่งตามหลัก PDPA ได้มีการกำหนดตำแหน่งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ Data Protection Officer: DPO ขึ้นเพื่อดำเนินการคุ้มครองข้อมูลส่วนบุคคลขององค์กร Data Protection Officer เป็นคนนอกได้หรือไม่? ท่านเคยสงสัยกันหรือไม่ว่า DPO หรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลนั้นเป็นคนนอก หรือเป็น Outsource ได้หรือไม่หลักของ PDPA ไม่ได้มีการกำหนดไว้ว่าคนที่จะเป็น DPO จำเป็นต้องเป็นคนนอกหรือสามารถจ้าง Outsource ได้ ดังนั้นแปลว่าสามารถจัดจ้างคนนอกเพื่อมาเป็น DPO ได้ Data Protection Officer ต้องประสานงานกับใครบ้าง? Outsource DPO นั้นนอกจากจำเป็นต้องดูแลเรื่องข้อมูลลส่วนบุคคลขององค์กรจำเป็นต้องมีการประสานงานเพื่อให้งานเป็นไปอย่างราบรื่น ดังนั้นบุคคลที่ Outsource ต้องประสานด้วย ได้แก่ พนักงานหรือบุคลากรในองค์กร เนื่องจากOutsource DPO มีหน้าที่ในการให้คำแนะนำในการดำเนินการคุ้มครองข้อมูลส่วนบุคคล รวมถึงตรวจสอบการดำเนินการขององค์กรด้วย สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ซึ่ง Outsource DPOจะต้องมีหน้าที่เป็นตัวกลางในการประสานงานหรือให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ในกรณีที่เกิดปัญหาในการดำเนินการ เจ้าของข้อมูลส่วนบุคคลในบางครั้งตัวOutsource DPO เองนั้นจำเป็นต้องมีการประสานงานกับเจ้าของข้อมูลส่วนบุคคลในกรณีที่เกิดปัญหาในการประมวลข้อมูลส่วนบุคคล ได้แก่ การเก็บรวบรวม ใช้งาน หรือเปิดเผยข้อมูลที่เกี่ยวข้องกับข้อมูลส่วนบุคคลตามหลักของ PDPA นั่นเอง จากที่กล่าวมาข้างต้น จะเห็นได้ว่า DPO มีความสำคัญแม้แต่ในเรื่องของการประสานงานเพื่อให้การคุ้มครองข้อมูลส่วนบุคคลเป็นไปอย่างราบรื่น ดังนั้น การที่องค์กรจะเลือกใช้ DPO Outsource จึงต้องให้ความสำคัญไม่น้อยไปกว่ากัน

องค์กรต้องรู้! : 5 ขั้นตอน แผนการรับมือการละเมิดข้อมูลส่วนบุคคล 5 Steps Data Breach Incident Plan

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA นั้น ได้บัญญัติบทบาทหน้าที่แก่ผู้ควบคุมข้อมูลส่วนบุคคล ในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล หากท่านยังไม่แน่ใจว่าองค์กรในฐานะผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล รวมทั้งมีบทลงโทษกรณีละเลยหน้าที่ดังกล่าวตามกฎหมายอย่างไร ท่านสามารถอ่านเพิ่มเติมได้ที่ “รู้ก่อนโดนปรับ! การแจ้งเหตุละเมิดข้อมูลส่วนบุคคล สิ่งที่องค์กรไม่ควรละเลย” (https://pdpathailand.com/knowledge-pdpa/data-subject-data-controller/) อย่างไรก็ตาม ก่อนที่องค์กรจะพิจารณาดำเนินการแจ้งเหตุละเมิดข้อมูลส่วนบุคคลแก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) และเจ้าของข้อมูลส่วนบุคคล เมื่อเกิดเหตุการณ์ที่เชื่อได้ว่ามีการละเมิดกับข้อมูลส่วนบุคคลที่อยู่ภายใต้การดูแลขององค์กร หลายองค์กรซึ่งอยู่ในสถานะผู้ควบคุมข้อมูลส่วนบุคคลอาจกังวล สงสัย และมีคำถามว่าองค์กรจะมีวิธีการหรือขั้นตอนในการรับมือเหตุการละเมิดข้อมูลส่วนบุคคลดังกล่าวอย่างไร ให้สอดคล้องกับ PDPA และเมื่อเกิดเหตุละเมิดจะต้องแจ้งเหตุละเมิดแก่ สคส. และเจ้าของข้อมูลส่วนบุคคลในทันทีที่เกิดเหตุที่เกี่ยวข้องกับข้อมูลส่วนบุคคลเลยหรือไม่? เพื่อคลายความสงสัยดังกล่าว สคส. ได้ออกประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเพิ่มเติม เรื่อง “หลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล พ.ศ. 2565” ซึ่งมีผลบังคับใช้เมื่อวันที่ 15 ธันวาคม 2565 ที่ผ่านมา เพื่อกำหนดแนวทางในการบริหารจัดการเหตุละเมิดข้อมูลส่วนบุคคล แก่ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) เมื่อได้รับแจ้งข้อมูลในเบื้องต้นว่ามีเหตุการละเมิดข้อมูลส่วนบุคคล อะไรคือนิยามการละเมิดข้อมูลส่วนบุคคล ? ประกาศฯ ดังกล่าวได้นิยามการละเมิดข้อมูลส่วนบุคคล ไว้ว่าเป็นกรณีการละเมิดมาตรการรักษาความมั่นคงปลอดภัย ที่ทำให้เกิดการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือ โดยมิชอบ ไม่ว่าจะเกิดจากเจตนา ความจงใจ ความประมาทเลินเล่อ การกระทำโดยปราศจากอำนาจหรือโดยมิชอบ การกระทำความผิดเกี่ยวกับคอมพิวเตอร์ ภัยคุกคามทางไซเบอร์ ข้อผิดพลาดบกพร่องหรืออุบัติเหตุ หรือเหตุอื่นใด โดยเหตุการละเมิดข้อมูลส่วนบุคคลที่องค์กรมีหน้าที่จะต้องแจ้ง สคส. และเจ้าของข้อมูลส่วนบุคคลตาม PDPA นั้น จะต้องเป็นการละเมิดที่มีลักษณะที่เกี่ยวข้องกับการละเมิดความลับของข้อมูลส่วนบุคคล (Confidentiality Breach) หรือ การละเมิดความถูกต้องครบถ้วนของข้อมูลส่วนบุคคล (Integrity Breach) หรือ การละเมิดความพร้อมใช้งานของข้อมูล ส่วนบุคคล (Availability Breach) 5 ขั้นตอน แผนการรับมือเหตุละเมิดข้อมูลส่วนบุคคล เมื่อองค์กรของท่านได้รับแจ้งข้อมูลเบื้องต้นว่าเกิดเหตุการณ์ไม่ปกติ เข้าข่ายเป็นเหตุการละเมิดข้อมูลส่วนบุคคล องค์กรของท่านในฐานะผู้ควบคุมข้อมูลส่วนบุคคลจำต้องดำเนินการตาม 5 ขั้นตอน ดังต่อไปนี้ (1) ประเมินความน่าเชื่อถือของข้อมูลการละเมิดที่ได้รับแจ้ง และตรวจสอบข้อเท็จจริงเกี่ยวกับการละเมิดข้อมูลส่วนบุคคลในเบื้องต้น

Hotel reservation ไม่เกี่ยวกับ PDPA จริงหรือ?

จากบทความครั้งที่แล้ว เรื่อง เมื่อการท่องเที่ยวกลับมาคึกคัก ธุรกิจการท่องเที่ยวและโรงแรมต้องรับมือกับการบังคับใช้ PDPA อย่างไร ? ที่ได้มีการกล่าวถึงภาพรวมของธุรกิจการโรงแรมและที่พัก ในวันนี้เราจะมาเจาะลึกรายละเอียดของแต่ละกระบวนการว่าเกี่ยวข้องกับการคุ้มครองข้อมุลส่วนบุคคลอย่างไรบ้าง โดยกระบวนการแรกคือกระบวนการรับการจองห้องพัก (Reservation) ซึ่งเป็นกระบวนการที่ต่อเนื่องจากที่ลูกค้าค้นหาที่พักและมีการเปรียบราคาก่อนตัดสินใจจองที่พัก โดยทั่วไปแล้วสามารถแบ่งช่องทางการจองออกได้เป็น 2 ประเภท ได้แก่ 1) การจองโดยผู้เข้าพักโดยตรง (Direct guest) เช่น เว็บไซต์โรงแรม โทรศัพท์ อีเมล หรือการจองผ่านแพลตฟอร์มการสื่อสารอื่นๆ เป็นต้น และ 2) การจองผ่านทางตัวแทนรับจองห้องพัก (Agent) ซึ่งจะมี 2 ประเภทย่อย คือ ตัวแทนรับจองห้องพักทั่วไป (Travel Agent) และ ตัวแทนรับจองห้องพักออนไลน์ (Online Travel Agent : OTA) การจองห้องพัก เป็นกิจกรรมแรกที่มีการเก็บข้อมูลส่วนบุคคลครั้งแรก โดยทั่วไปแล้วข้อมูลที่มีการเก็บในกิจกรรมนี้แบ่งออกได้เป็น 2 ประเภท คือ ข้อมูลทั่วไป เช่น ชื่อนามสกุล เลขบัตรประชาชน/หนังสือเดินทาง อีเมล หมายเลขโทรศัพท์ ช่วงเวลาการเข้าพักและการเดินทาง หลักฐานการโอนเงิน ข้อมูลบัตรเครดิต เป็นต้น ข้อมูลอ่อนไหว เช่น ข้อมูลอาหารที่แพ้ ซึ่งอาจมีการเก็บมากรณีลูกค้ามีความต้องการพิเศษ การจัดเก็บข้อมูลสำหรับกิจกรรมการจองห้องพักดังกล่าว โรงแรมสามารถใช้ฐานสัญญา ตามมาตรา 24(3) ในการจัดเก็บข้อมูลส่วนบุคคลทั่วไปของผู้เข้าพักได้ เนื่องจากเป็นการจำเป็นใช้ในการดำเนินการตามคำขอก่อนการเข้าทำสัญญาใช้บริการโรงแรม แต่ในส่วนของข้อมูลประเภทความอ่อนไหว เช่น ข้อมูลการแพ้อาหาร ซึ่งเป็นสุขภาพ โรงแรมควรเพิ่มการใช้ฐานความยินยอม (Consent) ตามมาตรา 19 ประกอบมาตรา 26 โดยการขอความยินยอม นั้นอาจทำเป็นเอกสารหรือรูปแบบอิเล็กทรอนิกส์ก็ได้ ควรขอก่อนหรือขณะที่ลูกค้าทำการลงทะเบียนเข้าพัก จำเป็นต้องมีการแจ้งวัตถุประสงค์ในการเก็บที่ชัดเจน ใช้รูปแบบของข้อความที่เข้าใจง่าย ให้ความอิสระกับผู้เข้าพัก ไม่เป็นการบังคับ ไม่เป็นเงื่อนไขต่อการให้บริการ

เมื่อการโอนข้อมูลส่วนบุคคลมีเงื่อนไข ผู้ประกอบการจะทำอย่างไรให้งานไม่สะดุด

การพัฒนาของเทคโนโลยีและการค้าทำให้เกิดการส่งต่อข้อมูลข่าวสารได้อย่างสะดวกและรวดเร็วมากยิ่งขึ้น หนึ่งในข้อมูลข่าวสารที่มีการส่งต่อกันอย่างมากในการทำการค้าคือ ข้อมูลส่วนบุคคล (Personal Data) และจากความสะดวกรวดเร็วดังกล่าว นอกจากจะเป็นประโยชน์แก่เจ้าของข้อมูลส่วนบุคคลแล้ว อาจจะเป็นโทษและสร้างผลกระทบจนก่อให้เกิดความเสียหายแก่เจ้าของข้อมูลส่วนบุคคลเป็นอย่างมากได้ ถ้าหากความเป็นส่วนตัวและข้อมูลส่วนบุคคลถูกละเมิด สิ่งนี้เองทำให้หลายประเทศริเริ่มมีแนวคิดในการที่จะคุ้มครองข้อมูลส่วนบุคคลจากการถูกละเมิด หรือการถูกนำไปใช้อย่างผิดกฎหมายจนก่อให้เกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคล โดยแนวคิดดังกล่าว นอกจากจะเป็นการริเริ่มการคุ้มครองข้อมูลส่วนบุคคลจากการประมวลผลภายในประเทศ (Domestic Territory) แล้ว ยังครอบคลุมถึงการประมวลผลข้อมูลส่วนบุคคลที่เกิดขึ้นในต่างประเทศ (International Territory) ในประเด็นนี้จะรวมถึงกรณีการโอนข้อมูลส่วนบุคคลไปต่างประเทศด้วย เมื่อการคุ้มครองข้อมูลส่วนบุคคลได้เกิดขึ้นจากการที่หลายประเทศมีการออกหลักเกณฑ์ในการคุ้มครองข้อมูลส่วนบุคคล โดยชนชาติแรกที่ได้มีการกำหนดถึงการคุ้มครองข้อมูลส่วนบุคคล ได้แก่ สหภาพยุโรป โดยได้พัฒนากฎหมายดังกล่าวมาอย่างต่อเนื่องจนเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่เป็นต้นแบบให้กับหลายประเทศทั่วโลก คือ กฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป หรือ General Data Protection Regulation (GDPR) และหนึ่งในหลักเกณฑ์นั้นเป็นการกำหนดถึงมาตรฐานที่เพียงพอของประเทศปลายทางที่รับโอนข้อมูลส่วนบุคคล ซึ่งประเทศไทยก็เป็นหนึ่งในประเทศที่มีการนำ GDPR มาเป็นต้นแบบในการสร้างกฎหมายคุ้มครองข้อมูลส่วนบุคคล จนมีการประกาศใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act B.E. 2562: PDPA) ซึ่งหลักเกณฑ์ว่าด้วยการโอนข้อมูลส่วนบุคคลของประเทศไทยนั้นแม้ว่าจะมีความแตกต่างจาก GDPR แต่ก็กล่าวได้ว่า PDPA มีลักษณะเช่นเดียวกับ GDPR โดยเฉพาะการกำหนดหลักเกณฑ์ของประเทศปลายทางในการรับส่ง – ข้อมูลจะต้องมีมาตรฐานที่เพียงพอ การกำหนดหลักเกณฑ์เหล่านี้ กลายเป็นเงื่อนไขที่ผู้ประกอบการภายนอกประเทศ จะต้องดำเนินการตามกฎหมายของประเทศคู่ค้า คู่สัญญาทั้ง 2 ฝ่ายจำเป็นจะต้องพิจารณาอย่างรอบคอบเพื่อให้มั่นใจว่า คู่ค้าที่อยู่ประเทศปลายทางมีกฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือมีมาตรฐานที่เพียงพอตามที่กฎหมายของคู่ค้าประเทศต้นทางกำหนดไว้ นางสาวชไมพร วุฒิมานพ ที่ปรึกษากฎหมายคุ้มครองข้อมูลส่วนบุคคล จาก PDPA Thailand

ข่าวสาร/บทความ

ลงทะเบียน

เข้าสู่ระบบ