Article
บทความ กรณีศึกษา/case study เกี่ยวกับด้านการคุ้มครองข้อมูลส่วนบุคคล
ผู้ประกอบการควรสรรหา DPO ที่เป็นผู้มีความรู้ความเข้าใจทั้งทางด้านกฎหมาย เทคโนโลยี และลักษณะของกิจการ และหลังจากได้แต่งตั้ง DPO ที่มีคุณสมบัติที่เหมาะสม
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลหรือ DPO ถือเป็นบุคคลสำคัญในการนำพาให้องค์กรสามารถปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ได้อย่างถูกต้อง เรียกได้ว่าเป็น PDPA Champion เลยทีเดียว
ในช่วงนี้เราจะเห็นการแปลงรูปถ่ายให้กลายเป็นรูปอนิเมะแบบการ์ตูนญี่ปุ่นกันอย่างแพร่หลาย ใครเห็นก็อยากเล่น เปลี่ยนภาพตัวเองเป็นภาพอนิเมะน่ารักๆ แอป (App) ที่ใช้เปลี่ยนภาพดังกล่าวคือ Loopsie แอปนี้กำลังเป็นกระแสมาก เพราะมีการดาวน์โหลดไปใช้แล้วกว่า 5 ล้านดาวน์โหลด
การแจ้งวัตถุประสงค์ และรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคล ถือเป็นหลักการ เรื่องความโปร่งใส (Transparency) ที่สำคัญประการหนึ่งที่ "ผู้ควบคุมข้อมูลส่วนบุคคล" ต้องปฏิบัติ
ความสัมพันธ์ระหว่างองค์กรในฐานะผู้ควบคุมข้อมูลส่วนบุคคลและผู้รับจ้างในฐานะผู้ประมวลผลข้อมูลส่วนบุคคลถูกกำหนดความสัมพันธ์ภายใต้บริบทของกฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศต่าง ๆ ทั่วโลก
ผู้ประมวลผลข้อมูลส่วนบุคคล คือบุคคลหรือนิติบุคคลที่ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือในนามของ "ผู้ควบคุมข้อมูลส่วนบุคคล”
Bagel เกิดมาเป็นข่าวเดือนที่แล้ว เมื่อมีคนสมองใสคิดวิธีหลบภาษีให้กับคนกิน Bagel ในสหรัฐนั้นเวลาจะซื้อของอะไร ผู้ซื้อจะต้องเสียภาษี Sale Tax ซึ่งเก็บจากคนซื้อของอีกกี่เปอร์เซ็นต์ก็แตกต่างกันไปแต่ละรัฐ บวกเข้าไปในราคาสินค้า คล้ายๆ กับภาษีมูลค่าเพิ่มของบ้านเรา แต่ทว่าคนขายเอาไปหักลบไม่ได้ ในกรุงนิวยอร์กเป็นเมืองที่ภาษีแพง ภาษี Sale Tax เท่ากับ 4.5%
การประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล เริ่มใช้ครั้งแรกในประเทศแคนาดา นิวซีแลนด์ และออสเตรเลีย ช่วงปี 1990 โดยหน่วยงานของภาครัฐ
ตามแนวทางการแจ้งวัตถุประสงค์และรายละเอียด ในการเก็บรวบรวมข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคล ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มี 3 กรณีศึกษา ที่องค์กรควรจัดทำการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล (DPIA: Data Protection Impact Assessment)
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ PDPA กำหนดให้เจ้าของข้อมูลส่วนบุคคลมีสิทธิหลาย ๆ ประการที่กฎหมายบัญญัติไว้ในมาตรา 30-36
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 เป็นกฎหมายที่กำหนดหน้าที่และความรับผิดชอบขององค์กร ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลที่ต้องปฏิบัติ เมื่อดำเนินการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
Jonathan Turley ศาสตราจารย์แห่งคณะนิติศาสตร์ ม. George Washington ต้องประหลาดใจเป็นอย่างมาก เมื่อพบว่าเขาถูกกล่าวหาว่าทำการคุกคามทางเพศ (sexual harassment) ในระหว่างที่มีการไปทัศนศึกษายังรัฐอลาสกา ซึ่งจัดโดยคณะนิติศาสตร์ของมหาวิทยาลัย Georgetown
หลักความชอบด้วยกฎหมาย ความเป็นธรรมและความโปร่งใสของการบริหารจัดการข้อมูล (Lawfulness, Fairness and Transparency) เป็นหนึ่งในหลักการพื้นฐานที่สำคัญของกฎหมายคุ้มครองข้อมูลส่วนบุคคล
“ผู้เยาว์” ถือว่าเป็นผู้หย่อนความสามารถที่กฎหมายต้องให้ความคุ้มครองเป็นพิเศษ และกฎหมายดังกล่าวก็รวมถึง พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ด้วย
การเก็บรวบรวมข้อมูลส่วนบุคคลผ่านช่องทางออนไลน์ดังกล่าว องค์กรมีหน้าที่ต้องปฏิบัติให้สอดคล้องกับพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 โดยเฉพาะในส่วนของขั้นตอนการเก็บรวบรวม มีหน้าที่อย่างน้อย 3 ประการที่องค์กรต้องปฏิบัติ
ในช่วงนี้ สิ่งที่ผู้คนในประเทศไทยให้ความสนใจที่สุด คงจะหนีไม่พ้นเรื่องของการเมือง ว่าบุคคลใดหรือพรรคใดจะขึ้นมาเป็นผู้นำประเทศ และในช่วงของการเลือกตั้งก็จะเห็นโพลล์การเมืองต่างๆ ที่เปิดเผยสู่สาธารณะ
เมื่อวันที่ 9 กุมภาพันธ์ 2566 ที่ผ่านมา ศาลยุติธรรมแห่งสหภาพยุโรป (Court of Justice of the European Union) ได้เผยแพร่คำวินิจฉัยคดีที่ C-453/21 เกี่ยวกับการปลดคณะกรรมการลูกจ้าง หรือ Works Council
ผู้ใช้บริการมีสิทธิรู้ว่าข้อมูลของตนเองถูกโอนไปหรืออยู่ที่ใคร
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จึงได้กำหนดหน้าที่ในการจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลไว้ โดยให้ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดให้มี DPO ในกรณีดังต่อไปนี้
ช่วงนี้เราคงเคยได้ยินข่าวเกี่ยวกับมือถือ คอมพิวเตอร์ หรืออุปกรณ์อื่นใดที่ทำงานคล้ายคอมพิวเตอร์ (ในที่นี้ แทนทั้งหมดด้วย “คอมพิวเตอร์”) โดนแฮ็ก ทำให้สูญเงินในบัญชีกันบ่อยขึ้น แทบจะเกิดขึ้นรายวัน เพราะเราสามารถทำเกือบทุกอย่างได้ผ่านคอมพิวเตอร์ ดังนั้น คอมพิวเตอร์เหล่านี้จึงตกเป็นเป้าโจมตีมากยิ่งขึ้น
การทำการตลาดแบบตรงที่มีประสิทธิภาพมีความสำคัญอย่างยิ่งกับธุรกิจ โดยเมื่อองค์กรจะทำการตลาดแบบตรง องค์กรมีหน้าที่ต้องปฏิบัติให้สอดคล้องกับกฎหมายที่เกี่ยวข้อง....
มาตรการลงโทษหนึ่งที่ถูกกำหนดไว้ในพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ที่มักถูกกล่าวถึงเสมอคือ “ความรับผิดทางอาญา” ของผู้บริหารนิติบุคคลซึ่งกฎหมายกำหนดขึ้นเพื่อให้ผู้บริหารของนิติบุคคลปฏิบัติหน้าที่ตามกฎหมายด้วยความรับผิดชอบ (accountability)
ตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 “ความยินยอม” เป็นฐานทางกฎหมายในการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (“ประมวลผล”)ฐานหนึ่งในหลาย ๆ ฐานที่กฎหมายกำหนด...
ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565 ซึ่งมีผลใช้บังคับเมื่อวันที่ 20 มิถุนายน 2565 (ประกาศฯ) ได้กำหนดมาตรฐานขั้นต่ำในการจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมสำหรับองค์กร
เพื่อให้เกิดความเป็นธรรมแก่เจ้าของข้อมูลส่วนบุคคล พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนดให้ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้น องค์กรต่าง ๆ ต้องสามารถกล่าวอ้างสิทธิหรือ “ฐานทางกฎหมาย” ตามที่กฎหมายกำหนด
การบริหารความเสี่ยงขององค์กรจากการใช้ผู้รับจ้างภายนอกในการประมวลผลข้อมูลส่วนบุคคลเพิ่มความท้าทายมากขึ้นเรื่อยๆ
“ข้อตกลงการแบ่งปันข้อมูล” (DSA: Data Sharing Agreement) เพื่อเป็นเครื่องมือและมาตรการในการกำกับดูแลการใช้และการเปิดเผยข้อมูลส่วนบุคคลให้สอดคล้องกับกฎหมาย
หน้าที่ในการลบหรือทำลายข้อมูลส่วนบุคคลจึงเป็นส่วนหนึ่งในหน้าที่ขององค์กรต่าง ๆ ที่เป็น “ผู้ควบคุมข้อมูลส่วนบุคคล”
Ireland Data Protection Commission (“DPC”) ได้เผยแพร่คำสั่งลงโทษปรับ Meta Platforms Ireland Limited (Instagram) เป็นเงินรวม 405 ล้านยูโรต่อกรณีการประมวลผลข้อมูลส่วนบุคคลของผู้เยาว์ที่ใช้ Instagram ในสหภาพยุโรปโดยไม่ชอบด้วยกฎหมาย
หน่วยงานด้านการคุ้มครองข้อมูลส่วนบุคคลของอังกฤษได้มีคำสั่งปรับบริษัทแห่งหนึ่งเป็นเงิน 1,350,000 ปอนด์ในส่วนที่เกี่ยวกับการประมวลผลข้อมูลสุขภาพของลูกค้า