knowledgebank

   i-PDPA  5 มีนาคม 2568              เมื่อพระราชบัญญัติแก้ไขเพิ่มเติมประมวลกฎหมายแพ่งและพาณิชย์ (ฉบับที่ 24) พ.ศ. 2567 หรือกฎหมายสมรสเท่าเทียม ซึ่งมีเนื้อหารับรองการสมรสระหว่างบุคคล โดยไม่จำกัดเฉพาะชาย-หญิงอีกต่อไปมีผลบังคับใช้ กฎหมายนี้ได้ให้การรองรับความหลากหลายของพฤติกรรมทางเพศ ที่จะให้สิทธิของคู่สมรสที่ไม่เพียงหญิงที่สมรสกับชายเท่านั้น แต่ให้รวมถึงทุกเพศ              อย่างไร ตามมาตรา 26 ของ พรบ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) ระบุว่า ข้อมูลพฤติกรรมทางเพศ ถือว่า เป็นข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Personal Data) ที่หากจะทำการประมวลผลคือการเก็บรวบรวม ใช้ เปิดเผย ได้ด้วยการได้ “รับความยินยอมอย่างชัดแจ้ง” จากเจ้าของข้อมูลส่วนบุคคลเท่านั้น แล้วองค์กรจะดำเนินการอย่างไรเพื่อให้สามารถบริหารจัดการได้อย่างสอดคล้องกับ PDPA              สิ่งแรกที่องค์กรต้องดำเนินการคือ แจ้งเป็นแนวทางให้กับพนักงานทั้งองค์กรว่า หากพนักงานท่านใดต้องการใช้สิทธิพนักงานตามกฎหมายสมรสเท่าเทียม ขอให้แจ้งแก่ผู้รับผิดชอบเช่น หน่วยงาน HR เป็นการเฉพาะและเป็นความลับว่า ตนต้องการใช้สิทธิคู่สมรสตามกฎหมายสมรสเท่าเทียม โดยแนะนำว่า ขอให้ระบุตัวพนักงานไม่เกิน 2 คน ที่จะรับการแจ้งเรื่องนี้จากพนักงาน              เมื่อกำหนดแนวทางให้รับทราบแล้ว ผู้รับผิดชอบจะต้องเตรียม “หนังสือให้ความยินยอมการประมวลผลข้อมูลส่วนบุคคลเกี่ยวกับข้อมูลเพศสภาพ” โดยจะต้องทำเป็น 2 […]

i-PDPA 2 ธันวาคม 2567 ในช่วงปลายเดือนกันยายนที่ผ่านมา ได้เกิดเหตุมีคนไปซื้อขนมเบื้องจากรถเข็นขายขนมเบื้องในตลาดแห่งหนึ่งในกรุงเทพมหานคร แล้วพบว่า ถุงขนมเบื้องที่ตนไปซื้อมารับประทานนั้น มีข้อมูลผู้ป่วยทั้งชื่อ นามสกุล อายุ อาการป่วยที่เป็น ประวัติการรักษา และประวัติการจ่ายยา แน่นอนว่า ข้อมูลเหล่านี้คือ ข้อมูลส่วนบุคคลที่มีความอ่อนไหวตามที่ PDPA ระบุไว้ ที่ได้รับการคุ้มครองเป็นพิเศษทั้งการเก็บรวบรวม ใช้ เปิดเผย พร้อมกำหนดโทษหากเกิดเหตุละเมิดที่เข้มข้นกว่าการเกิดเหตุละเมิดข้อมูลส่วนบุคคลทั่วไป               เมื่อการรั่วไหลของข้อมูลดังกล่าวไปในรูปของถุงใส่ขนมเบื้อง ถือว่าการละเมิดได้เกิดขึ้นแล้ว สิ่งที่ตามมาก็คือ หากท่านเป็นผู้บริหารสถานพยาบาลในฐานะที่เป็นผู้ควบคุมข้อมูลส่วนบุคคล ท่านได้มีความเสี่ยงต่อการกระทำผิดต่อ PDPA แล้ว ดังนั้น ท่านควรทำอย่างไรให้สอดคล้องกับ PDPA ในบทความนี้ ผมขอนำเสนอแนวทางบนพื้นฐานว่า เจ้าของข้อมูลส่วนบุคคลที่ปรากฎข้อมูลของตนเองบนถุงขนมเบื้องเป็นผู้แจ้งเหตุละเมิดต่อโรงพยาบาลที่ทำข้อมูลหลุดออกมา               และเมื่อผู้บริหารโรงพยาบาลได้รับทราบ ต้องดำเนินการตามขั้นตอน ดังนี้ ขั้นตอนที่หนึ่ง : หากมี DPO ให้แจ้ง DPO ให้เรียกประชุมทีมเผชิญเหตุ (Emergency Response Team) โดยทันที หากไม่มีท่านต้องมอบหมายให้คนที่ดูแล PDPA เรียกทีมเผชิญเหตุ […]

i-PDPA 20 พฤศจิกายน 2567               ในช่วงเพียง 2 สัปดาห์ที่ผ่านมา ได้เกิดเหตุข้อมูลส่วนบุคคลรั่วไหลจากฐานข้อมูลลูกค้า 2 ราย คือจากร้านอาหารเฟรนไชส์หนึ่งราย และอีกหนึ่งรายจากห้างสรรพสินค้าชื่อดังที่มีข้อมูลรั่วไหลจากข้อมูลบัตรสมาชิก               ที่น่าสนใจคือ การชี้แจงจากผู้ควบคุมข้อมูลส่วนบุคคลทั้งสองราย เป็นไปในแนวทางที่คล้ายคลึงกัน คือรับรู้ว่ามีเหตุข้อมูลรั่วไหลเกิดเหตุละเมิด แต่เป็นข้อมูลที่ไม่น่ากังวล และขอให้เจ้าของข้อมูลส่งบุคคลผู้ได้รับแจ้งใช้ความระมัดระวังในการทำธุรกรรมที่เกี่ยวข้องกับข้อมูลส่วนบุคคล เช่น การกด Link การแจ้งเบอร์OTP แต่ประเด็นคือว่า การที่เจ้าของข้อมูลส่วนบุคคลได้รับแจ้งตามภาพนี้ เพียงพอหรือไม่ ในกรณีเกิดการละเมิดข้อมูลส่วนบุคคล PDPA ซึ่งในมาตรา มาตรา 37(4)  มีการกำหนดแนวทางไว้ว่าแยกเป็น 3 กรณี คือ               1.กรณีประเมินว่าไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล  ผู้ควบคุมข้อมูลส่วนบุคคลไม่ต้องแจ้งแก่ทั้งสำนักงานคุ้มครองข้อมูลส่วนบุคคล และเจ้าของข้อมูลส่วนบุคคล               2.กรณีประเมินว่ามีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล  ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งแก่สำนักงานคุ้มครองข้อมูลส่วนบุคคลแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สำนักงานโดยไม่ชักช้าภายใน72 ชั่วโมง  “ นับแต่ทราบเหตุ”                3.กรณีประเมินว่ามีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล  ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งเหตุละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบ พร้อมกับแนวทางการเยียวยา โดยไม่ชักช้า และต้องแจ้งสำนักงานคุ้มครองข้อมูลส่วนบุคคลโดยไม่ชักช้าภายใน72 ชั่วโมง  “ นับแต่ทราบเหตุ”                ประเด็นสำคัญคือ คนที่จะประเมินว่าไม่เสี่ยง เสี่ยง หรือ เสี่ยงสูง คือ ผู้ควบคุมข้อมูลส่วนบุคคลประเมินตามแนวทางที่กำหนดไว้ใน”ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล พ.ศ. 2565”               ดังนั้น หากผู้ควบคุมข้อมูลส่วนบุคคลประเมินเองว่า เข้ากรณีไหนใน 3 กรณี สิ่งที่ผู้ควบคุมข้อมูลส่วนบุคคลจะดำเนินการก็จะล้อไปตามการตีความและหากจะดูข้อความที่ทั้ง 2 กรณี คือ เฟรนไชส์ และห้างสรรพสินค้าดังแจ้งแก่ลูกค้า สะท้อนว่า เขาประเมินว่า ไม่เสี่ยง ดังนั้น จึงแจ้งกับเจ้าของข้อมูลส่วนบุคคลด้วยเนื้อความที่ไม่ได้ครบถ้วนตามแนวทางที่กำหนดไว้ คือ  ถ้าหากเราไม่พอใจในการชี้แจงนี้จะทำอย่างไร หากเรามองว่า เรามีความเสี่ยง หรือ เสี่ยงสูงที่จะกระทบสิทธิและเสรีภาพของเรา เราสามารถจะดำเนินการดังนี้               ทางเลือกแรก แจ้งขอใช้สิทธิเจ้าของข้อมูลส่วนบุคคลในการขอให้เฟรนไชส์ และห้างสรรพสินค้าดังลบข้อมูลส่วนบุคคลของเราออกจากการเก็บรวบรวม                ทางเลือกที่สอง แจ้งร้องเรียนต่อสำนักงานคุ้มครองข้อมูลส่วนบุคคลว่า เรามีความเสี่ยงจากการเกิดเหตุละเมิด ซึ่งผู้ควบคุมข้อมูลส่วนบุคคลควรจะมีการดำเนินการมากกว่านี้ เช่น มาตรการการเยียวยา เป็นต้น เป็นแนวทางที่ขอให้ไว้กับท่านที่เจอกรณีข้อมูลส่งนบุคคลของท่านรั่วไหล แล้วอยากจะได้รับการคุ้มครองที่มากกว่าที่ได้รับแจ้งมา #PDPA #การรั่วไหลของข้อมูลส่วนบุคคล

i-PDPA 6 กันยายน 2567 เกิดอะไรขึ้นกันแน่               การเกิดกรณีเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลหรือ PDPA บ้านเราที่ได้เป็นข่าวใหญ่ในช่วงเวลานี้ คือ กรณีบริษัทขนาดใหญ่แห่งหนึ่งทีทำธุรกิจด้านการขายอุปกรณ์สื่อสารที่ผมขอเรียกว่า “บริษัทเจเจ” ได้ถูกสำนักงานคุ้มครองข้อมูลส่วนบุคคลใช้อำนาจในการสั่งปรับทางการปกครองเป็นจำนวนเงินสูงถึง 7 ล้านบาท ทั้งที่ PDPA กำหนดเอาไว้ว่า โทษทางปกครองจะปรับสูงสุดไม่เกิน 5 ล้านบาท               เมื่อต้นปี 2567 มีผู้แอบอ้างเป็น พนักงานขายบริษัทเจเจ ติดต่อไปยังเจ้าของข้อมูลส่วนบุคคลหลายราย ทั้งทางไลน์และโทรศัพท์ โดยเสนอว่าบริษัทเจเจจะมีโปรโมชั่นใหม่ เช่น หากซื้อสินค้านี้มีคืนเงิน พร้อมกับหลอกให้ผู้เสียหายโอนเงินไปให้ผู้ติดต่อเข้ามา ซึ่งโดยข้อเท็จจริงแล้ว บริษัทไม่ได้มีข้อเสนอดังกล่าวแต่อย่างใด เมื่อผู้เสียหายสอบถามเพิ่มเติมจึงได้ทราบว่า ตนถูกหลอกลวง จึงทำการร้องเรียนต่อคณะกรรมการสอบสวนของสำนักงานคุ้มครองข้อมูลส่วนบุคคล โดยผู้เสียหายทั้งหมดที่ได้ร้องเรียนต่อสำนักงานมีจำนวนทั้งสิ้น 23 ราย               ในวันที่ 27 มีนาคม 2567 สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจึงได้เรียกบริษัทเจเจเข้าชี้แจงกรณีข้อมูลส่วนบุคคลและข้อมูลการซื้อสินค้ารั่วไหล เมื่อสอบข้อเท็จจริงพบว่าข้อมูลที่มิจฉาชีพนำมากล่าวอ้าง ไม่ว่าจะเป็นข้อมูลส่วนตัวของลูกค้า ข้อมูลการซื้อสินค้า พบว่าข้อมูลที่มิจฉาชีพใช้กล่าวอ้างนั้น สอดคล้องและตรงกับข้อมูลที่บริษัทเจเจมีอยู่จริง               และสรุปผลการสอบสวนสรุปได้ว่า เบื้องต้น บริษัทเจเจได้กระทำความผิดขัดต่อ PDPA ใน 3 ประเด็นใหญ่ […]

i-PDPA                มีกรณีศึกษาที่น่าสนใจอยู่กรณีหนึ่งเกี่ยวกับ PDPA เรื่องมีอยู่ว่า บริษัทแห่งหนึ่งเปิด Folder ให้พนักงานแต่ละคนเก็บข้อมูลที่เกี่ยวกับการทำงานลงใน One Drive โดยมีข้อกำหนดว่าห้ามไม่ให้พนักงานเก็บข้อมูลส่วนตัวหรือข้อมูลอื่นที่ไม่ใช่ในงานมาลงไว้ใน One Drive                ปรากฎว่า มีพนักงานขอลาออกให้มีผลวันที่ 1 เมษายน และเมื่อครบกำหนดวันพ้นสภาพพนักงาน ระบบ IT จะเข้าไปล็อกระบบเพื่อทำการ Cleansing ข้อมูลที่มีอยู่ในนั้น แต่พนักงานซึ่งพ้นสภาพไปแล้ว มาขอใช้สิทธิการขอเข้าถึงข้อมูลส่วนบุคคลที่เจ้าตัวเก็บไว้เอง กรณีนี้บริษัทในฐานะผู้ควบคุมข้อมูลส่วนบุคคลควรทำอย่างไร ความเห็นของ i-PDPA                กรณีนี้ i-PDPA เห็นว่า บริษัทในฐานะผู้ควบคุมข้อมูลส่วนบุคคลไม่ได้เป็นผู้เก็บรวบรวม ใช้ เปิดเผย หรือส่งต่อข้อมูลส่วนบุคคลดังกล่าว ที่จะเข้าข่ายการเป็นจุดตั้งต้นของการเป็นผู้ควบคุมข้อมูลส่วนบุคค อีกทั้งไม่ได้ใช้ประโยชน์อะไรจากข้อมูลส่วนบุคคลที่ว่านี้ ดังนั้น ผู้ควบคุมข้อมูลส่วนบุคคลจึงสามารถปฏิเสธการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject) ท่านนี้ ได้ โดยอ้างเหตุของการมีอยู่ของข้อมูลนั้น ไม่ได้มาจากกระบวนการทำงานภายใต้ผู้ควบคุมข้อมูลส่วนบุคคลที่ต้องเก็บรวบรวม ใช้เปิดเผยข้อมูลนั้น                อย่างไรก็ตามหาก DPO จะดำเนินการเพื่อช่วยพนักงานในการประสานงานกับหน่วยงาน IT ว่า มีช่องทางจะกู้ข้อมูลมาได้หรือไม่ ก็เป็นการดำเนินการในฐานะเพื่อนร่วมงาน ไม่ใช่ในบทบาทของ DPO                เป็นความเห็นของ […]