Article

i-PDPA GCME 20 มิถุนายน 2568              ในการคัดเลือกสรรหาพนักงานในปัจจุบัน องค์กรได้ใช้เครื่องมือ และแนวทางหลายอย่างเพื่อให้ได้ข้อมูลมาประกอบการพิจารณาเพื่อให้มั่นใจได้ว่า องค์กรได้คัดกรอง คัดเลือกคนที่มีความเหมาะสมที่สุด มีคุณสมบัติที่ถูกต้อง เป็นทั้งคนดี คนเก่งในแบบที่องค์กรต้องการ              เครื่องมือหนึ่งที่มีการปรับใช้กับในเกือบทุกองค์กร คือ การตรวจสอบประวัติการทำงานย้อนหลังในที่ทำงานเดิมของผู้สมัครงาน ซึ่งมีทั้งหน่วยงาน HR ขององค์กรที่ทำการคัดเลือกสรรหาพนักงานดำเนินการเอง และมีทั้งองค์กรที่คัดเลือกสรรหาว่าจ้างให้บริษัทข้างนอกช่วยทำการตรวจสอบประวัติให้กับพนักงาน              ในบทบาทของ DPO ผมได้เคยให้ความเห็นต่อหน่วยงาน HR ที่ได้รับคำร้องขอจากบริษัทตรวจสอบประวัติที่มีลักษณะเป็นข้อมูลส่วนบุคคลว่า ควรจะดำเนินการอย่างไรจากการทีมีบริษัทตรวจสอบประวัติพนักงานส่งอีเมล์และโทรศัพท์มาตรวจสอบประวัติพนักงานที่ลาออกไปแล้วท่านหนึ่งตามที่ลูกค้าที่กำลังเตรียมการจ้างงานพนักงานท่านนี้แจ้งมา ผมจึงขอนำแนวทางที่ได้ดำเนินการไปมาแบ่งปันประสบการณ์ดังนี้ครับ ขั้นตอนแรก ตรวจสอบรายละเอียดว่า บริษัทตรวจสอบประวัตินั้นได้ขอข้อมูลอะไรไป              เพื่อจะได้ทราบว่า การขอตรวจสอบประวัตินั้นมีการขอให้เปิดเผยข้อมูลส่วนบุคคลที่มีความอ่อนไหวอยู่ด้วยหรือไม่ หรือมีเฉพาะข้อมูลส่วนบุคคลทั่วไป เพราะการดำเนินการขั้นต่อไปจะมีรายละเอียดที่แตกต่างกันอยู่บ้าง ขั้นตอนที่สอง ตรวจทานว่า การขอเก็บรวบรวมของต้นทางทั้งสองบริษัท คือ บริษัทที่คัดเลือกสรรหาพนักงาน และบริษัทที่ถูกว่าจ้างให้ช่วยตรวจสอบประวัติผู้สมัครงาน ทำถูกต้องตาม PDPA หรือไม่              ในการเก็บรวบรวมข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคลจะต้องแจ้ง Privacy Notice แก่ผู้สมัครงานหากเก็บข้อมูลส่วนบุคคลทั่วไป หรือ ทำหนังสือขอความยินยอมจากผู้สมัครงานหากมีการเก็บข้อมูลส่วนบุคคลที่มีความอ่อนไหว โดยต้องแจ้งหรือขอความยินยอมใน “ขณะ” หรือ “ก่อน” การเก็บรวบรวม […]

i-PDPA 19 มิถุนายน 2568               การเป็นดาราที่มีชื่อเสียงเป็นจุดสนใจ จะมาซึ่งรายได้ที่งดงามจากหลายๆช่องทางทั้งการแสดง การรับงานโฆษณา การรับงานโชว์ตัว แต่การเป็นคนมีชื่อเสียงเป็นที่รู้จัก ก็มีราคาที่ต้องจ่าย โดยเฉพาะอย่างยิ่งในด้านความเป็นส่วนตัว ยิ่งถ้าหากดาราคนนั้นมีแฟนคลับที่มีความคลั่งไคล้ต่อตัวดาราจนเกินพอดี มีการรุกล้ำความเป็นส่วนตัวอย่างขาดสติ มีพฤติกรรมล้ำเส้นความเป็นส่วนตัวของศิลปินในรูปแบบต่างๆ ไม่ว่าจะเป็นการสะกดรอยตามถึงบ้านถึง การแอบเข้าไปในโรงแรมที่พัก โดยมีคำเรียกแฟนคลับกลุ่มนี้ว่า “ซาแซง” จะยิ่งทำให้การใช้ชีวิตทั้งของส่วนตัวและทั้งคนครอบครัว เป็นไปอย่างยากลำบาก และอาจถึงเสี่ยงอันตราย               ล่าสุดได้เกิดกรณีดาราสาวชื่อดังรายหนึ่ง ได้ถูกคุกคามจากแฟนคลับพวกซาแซง โดยพวกซาแซงจะรู้ความเคลื่อนไหวของดาราสาวท่านนี้ทุกย่างก้าว แล้วคอยดัก คอยตาม คอยเข้าหาจนทำให้ดาราสาวท่านนี้ถึงกับมีอาการจิตตก จากคนที่เคยสดใสร่าเริง กลับกลายเป็นคนที่หวาดระแวง วิตกกังวล ส่งผลต่อสุขภาพทั้งปวดศรีษะ นอนไม่หลับอย่างต่อเนื่องเป็นเวลานาน ตอนแรกดาราสาวท่านนี้ก็แปลกใจว่ากลุ่มบรรดาซาแซงเขารู้ได้อย่างไร               แล้วมาทราบต่อมาภายหลังว่า คนที่ส่งข้อมูลให้ซาแซงเหล่านี้ให้ได้รู้ข้อมูล ความเคลื่อนไหวของตัวเธอนั้นไม่ใช่ใครอื่นไกลที่ไหน แต่เป็นคนขับรถของตัวเธอเอง โดยคนขับรถจะคอยส่งข้อมูลการเดินทางของดารา แหล่งที่อยู่ รวมทั้งข้อมูลการติดต่อต่างๆ ซึ่งทำให้ดาราสาวและครอบครัวตกใจมาก เพราะคาดไม่ถึงว่า คนที่ไว้ใจจะร้ายกาจได้มากถึงเพียงนี้ ซึ่งแรงจูงใจที่คนขับรถส่งข้อมูลให้ซาแซงก็เพราะได้รับผลประโยชน์ตอบแทน อามิสสินจ้างทั้งในรูปแบบของเงินทอง สิ่งของ เช่น เสื้อผ้า นาฬิกา กระเป๋าแบรนด์เนม เป็นต้น แล้วในมุมของ […]

   i-PDPA  5 มีนาคม 2568              เมื่อพระราชบัญญัติแก้ไขเพิ่มเติมประมวลกฎหมายแพ่งและพาณิชย์ (ฉบับที่ 24) พ.ศ. 2567 หรือกฎหมายสมรสเท่าเทียม ซึ่งมีเนื้อหารับรองการสมรสระหว่างบุคคล โดยไม่จำกัดเฉพาะชาย-หญิงอีกต่อไปมีผลบังคับใช้ กฎหมายนี้ได้ให้การรองรับความหลากหลายของพฤติกรรมทางเพศ ที่จะให้สิทธิของคู่สมรสที่ไม่เพียงหญิงที่สมรสกับชายเท่านั้น แต่ให้รวมถึงทุกเพศ              อย่างไร ตามมาตรา 26 ของ พรบ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) ระบุว่า ข้อมูลพฤติกรรมทางเพศ ถือว่า เป็นข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Personal Data) ที่หากจะทำการประมวลผลคือการเก็บรวบรวม ใช้ เปิดเผย ได้ด้วยการได้ “รับความยินยอมอย่างชัดแจ้ง” จากเจ้าของข้อมูลส่วนบุคคลเท่านั้น แล้วองค์กรจะดำเนินการอย่างไรเพื่อให้สามารถบริหารจัดการได้อย่างสอดคล้องกับ PDPA              สิ่งแรกที่องค์กรต้องดำเนินการคือ แจ้งเป็นแนวทางให้กับพนักงานทั้งองค์กรว่า หากพนักงานท่านใดต้องการใช้สิทธิพนักงานตามกฎหมายสมรสเท่าเทียม ขอให้แจ้งแก่ผู้รับผิดชอบเช่น หน่วยงาน HR เป็นการเฉพาะและเป็นความลับว่า ตนต้องการใช้สิทธิคู่สมรสตามกฎหมายสมรสเท่าเทียม โดยแนะนำว่า ขอให้ระบุตัวพนักงานไม่เกิน 2 คน ที่จะรับการแจ้งเรื่องนี้จากพนักงาน              เมื่อกำหนดแนวทางให้รับทราบแล้ว ผู้รับผิดชอบจะต้องเตรียม “หนังสือให้ความยินยอมการประมวลผลข้อมูลส่วนบุคคลเกี่ยวกับข้อมูลเพศสภาพ” โดยจะต้องทำเป็น 2 […]

i-PDPA 2 ธันวาคม 2567 ในช่วงปลายเดือนกันยายนที่ผ่านมา ได้เกิดเหตุมีคนไปซื้อขนมเบื้องจากรถเข็นขายขนมเบื้องในตลาดแห่งหนึ่งในกรุงเทพมหานคร แล้วพบว่า ถุงขนมเบื้องที่ตนไปซื้อมารับประทานนั้น มีข้อมูลผู้ป่วยทั้งชื่อ นามสกุล อายุ อาการป่วยที่เป็น ประวัติการรักษา และประวัติการจ่ายยา แน่นอนว่า ข้อมูลเหล่านี้คือ ข้อมูลส่วนบุคคลที่มีความอ่อนไหวตามที่ PDPA ระบุไว้ ที่ได้รับการคุ้มครองเป็นพิเศษทั้งการเก็บรวบรวม ใช้ เปิดเผย พร้อมกำหนดโทษหากเกิดเหตุละเมิดที่เข้มข้นกว่าการเกิดเหตุละเมิดข้อมูลส่วนบุคคลทั่วไป               เมื่อการรั่วไหลของข้อมูลดังกล่าวไปในรูปของถุงใส่ขนมเบื้อง ถือว่าการละเมิดได้เกิดขึ้นแล้ว สิ่งที่ตามมาก็คือ หากท่านเป็นผู้บริหารสถานพยาบาลในฐานะที่เป็นผู้ควบคุมข้อมูลส่วนบุคคล ท่านได้มีความเสี่ยงต่อการกระทำผิดต่อ PDPA แล้ว ดังนั้น ท่านควรทำอย่างไรให้สอดคล้องกับ PDPA ในบทความนี้ ผมขอนำเสนอแนวทางบนพื้นฐานว่า เจ้าของข้อมูลส่วนบุคคลที่ปรากฎข้อมูลของตนเองบนถุงขนมเบื้องเป็นผู้แจ้งเหตุละเมิดต่อโรงพยาบาลที่ทำข้อมูลหลุดออกมา               และเมื่อผู้บริหารโรงพยาบาลได้รับทราบ ต้องดำเนินการตามขั้นตอน ดังนี้ ขั้นตอนที่หนึ่ง : หากมี DPO ให้แจ้ง DPO ให้เรียกประชุมทีมเผชิญเหตุ (Emergency Response Team) โดยทันที หากไม่มีท่านต้องมอบหมายให้คนที่ดูแล PDPA เรียกทีมเผชิญเหตุ […]

i-PDPA 20 พฤศจิกายน 2567               ในช่วงเพียง 2 สัปดาห์ที่ผ่านมา ได้เกิดเหตุข้อมูลส่วนบุคคลรั่วไหลจากฐานข้อมูลลูกค้า 2 ราย คือจากร้านอาหารเฟรนไชส์หนึ่งราย และอีกหนึ่งรายจากห้างสรรพสินค้าชื่อดังที่มีข้อมูลรั่วไหลจากข้อมูลบัตรสมาชิก               ที่น่าสนใจคือ การชี้แจงจากผู้ควบคุมข้อมูลส่วนบุคคลทั้งสองราย เป็นไปในแนวทางที่คล้ายคลึงกัน คือรับรู้ว่ามีเหตุข้อมูลรั่วไหลเกิดเหตุละเมิด แต่เป็นข้อมูลที่ไม่น่ากังวล และขอให้เจ้าของข้อมูลส่งบุคคลผู้ได้รับแจ้งใช้ความระมัดระวังในการทำธุรกรรมที่เกี่ยวข้องกับข้อมูลส่วนบุคคล เช่น การกด Link การแจ้งเบอร์OTP แต่ประเด็นคือว่า การที่เจ้าของข้อมูลส่วนบุคคลได้รับแจ้งตามภาพนี้ เพียงพอหรือไม่ ในกรณีเกิดการละเมิดข้อมูลส่วนบุคคล PDPA ซึ่งในมาตรา มาตรา 37(4)  มีการกำหนดแนวทางไว้ว่าแยกเป็น 3 กรณี คือ               1.กรณีประเมินว่าไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล  ผู้ควบคุมข้อมูลส่วนบุคคลไม่ต้องแจ้งแก่ทั้งสำนักงานคุ้มครองข้อมูลส่วนบุคคล และเจ้าของข้อมูลส่วนบุคคล               2.กรณีประเมินว่ามีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล  ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งแก่สำนักงานคุ้มครองข้อมูลส่วนบุคคลแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สำนักงานโดยไม่ชักช้าภายใน72 ชั่วโมง  “ นับแต่ทราบเหตุ”                3.กรณีประเมินว่ามีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล  ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งเหตุละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบ พร้อมกับแนวทางการเยียวยา โดยไม่ชักช้า และต้องแจ้งสำนักงานคุ้มครองข้อมูลส่วนบุคคลโดยไม่ชักช้าภายใน72 ชั่วโมง  “ นับแต่ทราบเหตุ”                ประเด็นสำคัญคือ คนที่จะประเมินว่าไม่เสี่ยง เสี่ยง หรือ เสี่ยงสูง คือ ผู้ควบคุมข้อมูลส่วนบุคคลประเมินตามแนวทางที่กำหนดไว้ใน”ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล พ.ศ. 2565”               ดังนั้น หากผู้ควบคุมข้อมูลส่วนบุคคลประเมินเองว่า เข้ากรณีไหนใน 3 กรณี สิ่งที่ผู้ควบคุมข้อมูลส่วนบุคคลจะดำเนินการก็จะล้อไปตามการตีความและหากจะดูข้อความที่ทั้ง 2 กรณี คือ เฟรนไชส์ และห้างสรรพสินค้าดังแจ้งแก่ลูกค้า สะท้อนว่า เขาประเมินว่า ไม่เสี่ยง ดังนั้น จึงแจ้งกับเจ้าของข้อมูลส่วนบุคคลด้วยเนื้อความที่ไม่ได้ครบถ้วนตามแนวทางที่กำหนดไว้ คือ  ถ้าหากเราไม่พอใจในการชี้แจงนี้จะทำอย่างไร หากเรามองว่า เรามีความเสี่ยง หรือ เสี่ยงสูงที่จะกระทบสิทธิและเสรีภาพของเรา เราสามารถจะดำเนินการดังนี้               ทางเลือกแรก แจ้งขอใช้สิทธิเจ้าของข้อมูลส่วนบุคคลในการขอให้เฟรนไชส์ และห้างสรรพสินค้าดังลบข้อมูลส่วนบุคคลของเราออกจากการเก็บรวบรวม                ทางเลือกที่สอง แจ้งร้องเรียนต่อสำนักงานคุ้มครองข้อมูลส่วนบุคคลว่า เรามีความเสี่ยงจากการเกิดเหตุละเมิด ซึ่งผู้ควบคุมข้อมูลส่วนบุคคลควรจะมีการดำเนินการมากกว่านี้ เช่น มาตรการการเยียวยา เป็นต้น เป็นแนวทางที่ขอให้ไว้กับท่านที่เจอกรณีข้อมูลส่งนบุคคลของท่านรั่วไหล แล้วอยากจะได้รับการคุ้มครองที่มากกว่าที่ได้รับแจ้งมา #PDPA #การรั่วไหลของข้อมูลส่วนบุคคล

i-PDPA 6 กันยายน 2567 เกิดอะไรขึ้นกันแน่               การเกิดกรณีเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลหรือ PDPA บ้านเราที่ได้เป็นข่าวใหญ่ในช่วงเวลานี้ คือ กรณีบริษัทขนาดใหญ่แห่งหนึ่งทีทำธุรกิจด้านการขายอุปกรณ์สื่อสารที่ผมขอเรียกว่า “บริษัทเจเจ” ได้ถูกสำนักงานคุ้มครองข้อมูลส่วนบุคคลใช้อำนาจในการสั่งปรับทางการปกครองเป็นจำนวนเงินสูงถึง 7 ล้านบาท ทั้งที่ PDPA กำหนดเอาไว้ว่า โทษทางปกครองจะปรับสูงสุดไม่เกิน 5 ล้านบาท               เมื่อต้นปี 2567 มีผู้แอบอ้างเป็น พนักงานขายบริษัทเจเจ ติดต่อไปยังเจ้าของข้อมูลส่วนบุคคลหลายราย ทั้งทางไลน์และโทรศัพท์ โดยเสนอว่าบริษัทเจเจจะมีโปรโมชั่นใหม่ เช่น หากซื้อสินค้านี้มีคืนเงิน พร้อมกับหลอกให้ผู้เสียหายโอนเงินไปให้ผู้ติดต่อเข้ามา ซึ่งโดยข้อเท็จจริงแล้ว บริษัทไม่ได้มีข้อเสนอดังกล่าวแต่อย่างใด เมื่อผู้เสียหายสอบถามเพิ่มเติมจึงได้ทราบว่า ตนถูกหลอกลวง จึงทำการร้องเรียนต่อคณะกรรมการสอบสวนของสำนักงานคุ้มครองข้อมูลส่วนบุคคล โดยผู้เสียหายทั้งหมดที่ได้ร้องเรียนต่อสำนักงานมีจำนวนทั้งสิ้น 23 ราย               ในวันที่ 27 มีนาคม 2567 สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจึงได้เรียกบริษัทเจเจเข้าชี้แจงกรณีข้อมูลส่วนบุคคลและข้อมูลการซื้อสินค้ารั่วไหล เมื่อสอบข้อเท็จจริงพบว่าข้อมูลที่มิจฉาชีพนำมากล่าวอ้าง ไม่ว่าจะเป็นข้อมูลส่วนตัวของลูกค้า ข้อมูลการซื้อสินค้า พบว่าข้อมูลที่มิจฉาชีพใช้กล่าวอ้างนั้น สอดคล้องและตรงกับข้อมูลที่บริษัทเจเจมีอยู่จริง               และสรุปผลการสอบสวนสรุปได้ว่า เบื้องต้น บริษัทเจเจได้กระทำความผิดขัดต่อ PDPA ใน 3 ประเด็นใหญ่ […]

i-PDPA                มีกรณีศึกษาที่น่าสนใจอยู่กรณีหนึ่งเกี่ยวกับ PDPA เรื่องมีอยู่ว่า บริษัทแห่งหนึ่งเปิด Folder ให้พนักงานแต่ละคนเก็บข้อมูลที่เกี่ยวกับการทำงานลงใน One Drive โดยมีข้อกำหนดว่าห้ามไม่ให้พนักงานเก็บข้อมูลส่วนตัวหรือข้อมูลอื่นที่ไม่ใช่ในงานมาลงไว้ใน One Drive                ปรากฎว่า มีพนักงานขอลาออกให้มีผลวันที่ 1 เมษายน และเมื่อครบกำหนดวันพ้นสภาพพนักงาน ระบบ IT จะเข้าไปล็อกระบบเพื่อทำการ Cleansing ข้อมูลที่มีอยู่ในนั้น แต่พนักงานซึ่งพ้นสภาพไปแล้ว มาขอใช้สิทธิการขอเข้าถึงข้อมูลส่วนบุคคลที่เจ้าตัวเก็บไว้เอง กรณีนี้บริษัทในฐานะผู้ควบคุมข้อมูลส่วนบุคคลควรทำอย่างไร ความเห็นของ i-PDPA                กรณีนี้ i-PDPA เห็นว่า บริษัทในฐานะผู้ควบคุมข้อมูลส่วนบุคคลไม่ได้เป็นผู้เก็บรวบรวม ใช้ เปิดเผย หรือส่งต่อข้อมูลส่วนบุคคลดังกล่าว ที่จะเข้าข่ายการเป็นจุดตั้งต้นของการเป็นผู้ควบคุมข้อมูลส่วนบุคค อีกทั้งไม่ได้ใช้ประโยชน์อะไรจากข้อมูลส่วนบุคคลที่ว่านี้ ดังนั้น ผู้ควบคุมข้อมูลส่วนบุคคลจึงสามารถปฏิเสธการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject) ท่านนี้ ได้ โดยอ้างเหตุของการมีอยู่ของข้อมูลนั้น ไม่ได้มาจากกระบวนการทำงานภายใต้ผู้ควบคุมข้อมูลส่วนบุคคลที่ต้องเก็บรวบรวม ใช้เปิดเผยข้อมูลนั้น                อย่างไรก็ตามหาก DPO จะดำเนินการเพื่อช่วยพนักงานในการประสานงานกับหน่วยงาน IT ว่า มีช่องทางจะกู้ข้อมูลมาได้หรือไม่ ก็เป็นการดำเนินการในฐานะเพื่อนร่วมงาน ไม่ใช่ในบทบาทของ DPO                เป็นความเห็นของ […]