admin – บริการเตรียมความพร้อม PDPA

14 April2021

การปกป้องข้อมูลองค์กรมิให้รั่วไหลโดยแบ่งชั้นข้อมูล (PDPA — Data Classification)

0 comments | PDPA

เคยสังเกตเห็นเอกสารทางราชการที่มุมกระดาษมีการประทับตัวหนังสือสีแดงที่มีขนาดของตัวอักษรตัวใหญ่กว่าปกติว่า “ลับ” “ลับมาก” หรือ “ลับที่สุด” ไหมครับ เป็นระเบียบทางราชการที่แบ่งประเภทชั้นความลับของข้อมูลราชการซึ่งแบ่งเป็นสามระดับได้แก่

1) ลับที่สุด (Top Secret) หมายถึง ข้อมูลข่าวสารที่หากเปิดเผยทั้งหมดหรือเพียงบางส่วนจะก่อให้เกิดความเสียหายแก่ประโยชน์แห่งรัฐอย่างร้ายแรงที่สุด

2) ลับมาก (Secret) หมายถึง ข้อมูลข่าวสารที่หากเปิดเผยทั้งหมดหรือเพียงบางส่วนจะก่อให้เกิดความเสียหายแก่ประโยชน์แห่งรัฐอย่างร้ายแรง

3) ลับ (Confidential) หมายถึง ข้อมูลข่าวสารที่หากเปิดเผยทั้งหมดหรือเพียงบางส่วนจะก่อให้เกิดความเสียหายแก่ประโยชน์แห่งรัฐ

ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้บัญญัติถึงผู้ทำให้ข้อมูลส่วนบุคคลรั่วไหลออกไปจะมีโทษทางแพ่ง ทางอาญา หรือทางปกครอง ฉะนั้นทุกหน่วยงาน องค์กร หรือบุคคลทั่วไปจะต้องระมัดระวังการดูแลรักษาข้อมูลส่วนบุคคลให้ดีโดยการแบ่งชั้นข้อมูลเพื่อให้บุคคกรขององค์กรเข้าใจเรื่องนี้และจะไม่เปิดเผยข้อมูลที่ผิดพลาดออกไปให้กับบุคคลภายนอก

ในส่วนของภาคเอกชน การรับส่งเอกสารขององค์กรอาจผ่านทางอีเมล์ หรือระบบสารสนเทศขององค์กรซึ่งมีรหัสผ่าน บางระบบอาจจะมีกุญแจอิเล็กทรอนิกส์สำหรับเปิดเอกสารนั้น การแบ่งชั้นของข้อมูลในองค์กรก็สามารถแบ่งได้ดังต่อไปนี่

1) เปิดเผยต่อบุคคลภายนอก (Public) สามารถทำได้โดยไม่ต้องขออนุญาตจากเจ้าของข้อมูล

2) ใช้ภายใน (Internal Use) ส่งได้ภายในองค์กร โดยไม่ต้องเข้ารหัส กรณีส่งภายนอกต้องขออนุญาตจากเจ้าของข้อมูล

3) ถูกจำกัด (Restricted) รับ-ส่ง ข้อมูลโดยเฉพาะผู้ที่เกี่ยวข้องเท่านั้น เป็นข้อมูลที่มีความอ่อนไหว (Sensitive) เช่น ข้อมูลเกี่ยวกับการเงิน หรือมีผลกระทบต่อธุรกิจขององค์กร ต้องมีการเข้ารหัส (password) เช่น โปรแกรม Zip และแยกส่งรหัสในอีกอีเมล์

4) ความลับ (Confidential) อนุญาตให้ส่งข้อมูลทางอีเมล์ได้ แต่ต้องมีการเข้ารหัส โดยแยกส่งกุญแจสำหรับการถอดรหัสในอีกอีเมล์

บางองค์กรก็นำไปปรับใช้โดยลดจากสี่ขั้นเป็นสามขั้นก็ขึ้นกับความเหมาะสมขององค์กรนั้นๆ หวังว่าการแบ่งชั้นข้อมูลสามารถทำให้บุคคลกรในองค์กรเข้าใจความสำคัญของข้อมูลที่มีอยู่ในมือและจะไม่ทำให้ข้อมูลส่วนบุคคลจากองค์กรรั่วไหลออกไปและมีความผิดตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

— — — — — — — — — — — — — — — — — — — — — — — -

* บทความนี้ได้รวบรวมก่อนการตีความและการออกกฎหมายลูกของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 อนาคตอาจจะมีการปรับปรุงเพื่อให้สอดคล้อยกับกฎหมายลูกต่างๆที่จะประกาศใช้

อ้างอิง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล 2562 ข้อมูลและเอกสารจากแหล่งอื่นๆ

แหล่งที่มา: http://www.ratchakitcha.soc.go.th/, General Data Protection Regulation (GDPR) — Official Legal Text (gdpr-info.eu), http://landinfo.mnre.go.th/, http://pixabay.com

“มุ่งแสวงหาข้อมูลและรวบรวมข่าวสารเกี่ยวกับ PDPA เพื่อนำเสนอให้ผู้สนใจได้อ่าน”

#PDPA #DrMontri.com #PDPASolution.com

26 March2021

บริหารจัดการข้อมูลได้มาก่อนวันที่ 1 มิถุนายน 2564

0 comments | PDPA

หลายท่านคงมีคำถามเหมือนคำถามนี้ว่า

หากทางองค์กรมีการเก็บข้อมูลส่วนบุคคลเก่าซึ่งได้มาก่อนวันที่ 1 มิถุนายน 2564 แล้วทางองค์กรต้องทำอย่างไรกับข้อมูลเก่าที่มีอยู่ทั้งหมด

ขออนุญาตตอบเป็นข้อๆ และสั้นๆ ดังนี้

1. ข้อมูลส่วนบุคคลเก่าที่มีอยู่ สามารถนำไปใช้ต่อได้ หากนำข้อมูลนั้นไปใช้ในวัตถุประสงค์เดิมตอนที่เก็บรวบรวมมา และอยู่ในระยะเวลาที่เคยแจ้งไว้

2. ทางองค์กรต้องขอความยินยอมใหม่ หากนำข้อมูลชุดเก่านั้นไปใช้เพื่อจุดประสงค์อื่นๆ ที่ต่างไปจากตอนขอข้อมูลมาครั้งแรก

3. ผู้ควบคุมข้อมูลในองค์กร ต้องจัดทำวิธีการยกเลิกความยินยอมและเผยแพร่ประชาสันพันธ์ให้แก่เจ้าของข้อมูลส่วนบุคคลทราบ เพื่อให้เจ้าของข้อมูลที่ไม่ประสงค์จะให้องค์กรใช้ข้อมูลต่อ ก็สามารถถอนความยินยอมดังกล่าวได้ วิธีการที่จะให้เจ้าของข้อมูลถอนความยินยอมก็ต้องง่าย และสะดวกเหมือนตอนที่ขอความยินยอมด้วย

รายละเอียดเรื่องการได้มาของข้อมูลส่วนบุคคลอาจจะมีมากกว่าที่กล่าวไว้ข้างบน ก็ขึ้นกับองค์กรนั้นได้ข้อมูลมาอย่างไร อยู่ในอุตสาหกรรมประเภทไหน และวิธีการที่ได้ข้อมูลมา องค์กรสามารถนำไปปรับใช้ได้

— — — — — — — — — — — — — — — — — — — — — — — — — — — — — — —
* บทความนี้ได้รวบรวมก่อนการตีความและการออกกฎหมายลูกของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 อนาคตอาจจะมีการปรับปรุงเพื่อให้สอดคล้องกับกฎหมายลูกต่างๆที่จะประกาศใช้

อ้างอิง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล 2562 ข้อมูลและเอกสารจากแหล่งอื่นๆ

แหล่งที่มา: http://www.ratchakitcha.soc.go.th/, General Data Protection Regulation (GDPR) — Official Legal Text (gdpr-info.eu),

“มุ่งแสวงหาข้อมูลและรวบรวมข่าวสารเกี่ยวกับ PDPA เพื่อนำเสนอให้ผู้สนใจได้อ่าน”

#PDPA #DrMontri.com #PDPASolution.com

26 March2021

การจัดเตรียมข้อมูลแบบสัญญาณไฟจราจรสำหรับเริ่ม PDPA

0 comments | PDPA

หากองค์กรของท่านจะเริ่มให้ทุกหน่วยงานเริ่มปฏิบัติการตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และจะต้องจัดเตรียมข้อมูล เริ่มต้นทุกหน่วยงานต้องทราบก่อนว่ามีข้อมูลอะไรบ้าง ข้อมูลอยู่ที่ไหนบ้าง ข้อมูลในบริบาทนี้คือข้อมูลส่วนบุคคล ก่อนจะถึงขั้นตอนนี้องค์กรของท่านคงต้องให้ข้อมูลทุกหน่วยงานเรื่องรายละเอียดของข้อมูลส่วนบุคคลที่มีส่วนประกอบอะไรบ้างถึงเรียกว่าเป็นของมูลส่วนบุคคล

ขอเริ่มทำความเข้าใจว่าในแต่ละองค์กรมีข้อมูลส่วนบุคคลอะไรและแผนกไหนเป็นผู้ดูแลและรักษา ขอยกตัวอย่างแผนกฝ่ายบุคคลซึ่งเป็นแผนกที่มีข้อมูลส่วนบุคคลภายในมากที่สุดในทุกองค์กร เริ่มจากข้อมูลพนักงาน ข้อมูลผู้บริหาร ข้อมูลส่วนบุคคลที่พูดถึงมีทั้งข้อมูลของอดีตพนักงาน พนักงานปัจจุบัน และพนักงานใหม่ในอนาคตด้วย อีกทั้งฝ่ายบุคคลอาจจะดูแลข้อมูลส่วนบุคคลซึ่งเป็นบุคคลภายนอกเช่นแม่บ้าน หรืออื่นๆซึ่งมิใช่พนักงานประจำ

แผนกขายก็เป็นอีกแผนกหนึ่งซึ่งต้องเก็บรวบรวมข้อมูลส่วนบคุคลของลูกค้าเช่นกัน ข้อมูลมีทั้งลูกค้าในอดีด ปัจจุบัน และลูกค้าใหม่ในอนาคต ส่วนนี้องค์กรต้องให้ความสำคัญเช่นกันซึ่งมีข้อมูลเป็นจำนวนมากโดยเฉพาะองค์กรที่อยู่ในอุตสาหกรรมค้าปลีก

ข้อมูลอีกประเภทซึ่งเป็นข้อมูลอิเล็กทรอนิกส์ องค์กรต้องให้ความสำคัญเกี่ยวกับข้อมูลในส่วนนี้เช่นกัน เช่นข้อมูลของคุกกี้ได้มาจากหน้าเว็บไซต์ขององค์การ หน่วยงานที่ดูแลเว็บไซต์จะต้องมีระบบบริหารจัดการอย่างดีและมีระบบที่ตอบสนองความยินยอมและถอนความยินยอมการเก็บข้อมูลส่วนบุคคลของผู้เข้ามาเยี่ยมเยียนเว็บไซต์

ขั้นตอนการแยกข้อมูลส่วนบุคคล

ให้ทุกแผนกเอาข้อมูลส่วนบุคคลที่ได้รวบรวมไว้แล้วแยกเป็นสามกองตามสีของกองข้อมูลดังนี้

กองสีเขียว – ข้อมูลส่วนบุคคลที่อยู่ในกองนี้ได้รับมาจากเจ้าของข้อมูลอย่างถูกต้องโดยความยินยอม หรือมีสัญญา หรือมีฐานกฎหมายรองรับทั้งหมด เช่นข้อมูลพนักงานปัจจุบัน หรือลูกค้าปัจจุบันขององค์กร

กองสีเหลือง – ข้อมูลส่วนบุคคลที่อยู่ในกองนี้ได้รับมาจากเจ้าของข้อมูลอย่างถูกต้องโดยความยินยอม หรือมีสัญญาและฐานกฎหมายรองรับ ข้อมูลส่วนนี้อาจเป็นข้อมูลของอดีตพนักงาน ลูกค้าเก่าที่เคยทำธุรกิจด้วยกัน และข้อมูลของบุคคลภายนอกต่างๆซึ่งต้องเก็บไว้เพื่อการติดต่อหรือเก็บตามกฎหมายที่บังคับไว้ เช่นข้อมูลที่เกี่ยวข้องกับสรรพกร

กองสีแดง – ข้อมูลที่ไม่มีความจำเป็นต้องเก็บเพราะเป็นข้อมูลที่ได้มาโดยปราศจากความยินยอม ไม่มีสัญญาหรือไม่มีฐานกฎหมายใดๆรองรับไว้ เช่นข้อมูลที่ซื้อมาเพื่อวัตถุประสงค์ทางการตลาด และข้อมูลที่เก็บรวบรวมจากอินเตอร์เน็ตทางด้านโซเซียลมีเดียต่างๆ

ทุกท่านคงเห็นความชัดเจนของข้อมูลทั้งหมดจากแต่ละแผนกขององค์กร และต้องรู้แล้วว่าจะต้องทำอย่างไรกับข้อมูลแต่ละกองโดยเฉพาะกองสีแดงซึ่งเป็นข้อมูลต้องทิ้งอย่างเดียว ขบวนการทั้งหมดนี้จะต้องทำให้จบก่อนวันที่ 1 มิถุนายน 2564 ซึ่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคบ พ.ศ. 2563 มีผลบังคับใช้

————————————————————————————————————–

* บทความนี้ได้รวบรวมก่อนการตีความและการออกกฎหมายลูกของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 อนาคตอาจจะมีการปรับปรุงเพื่อให้สอดคล้องกับกฎหมายลูกต่างๆที่จะประกาศใช้

อ้างอิง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล 2562 ข้อมูลและเอกสารจากแหล่งอื่นๆ

แหล่งที่มา: http://www.ratchakitcha.soc.go.th/, General Data Protection Regulation (GDPR) – Official Legal Text (gdpr-info.eu),

#PDPA #DrMontri.com #PDPASolution.com

25 March2021

คอมพิวเตอร์ Cookie กับ PDPA เกี่ยวข้องกันอย่างไร

0 comments | PDPA

เป็นที่ทราบกันว่า พระราชบัญญัติคุ้มครองข้อมูลส่วนบคุคล พ.ศ. 2562 (PDPA) นั้นมีต้นแบบมาจาก กฎหมายด้านการคุ้มครองข้อมูลส่วนบุคคลจากสหภาพยุโรป ที่เรียกสั้นๆว่า GDPR (General Data Protection Regulation) ซึ่งมีผลบังคับใช้ตั้งแต่วันที่ 25 พฤษภาคม 2561 ใน GDPR มีการบัญญัติการจัดตั้งนโยบายความเป็นส่วนตัวทางอิเล็กทรอนิกส์ที่เรียกว่า นโยบายคุกกี้ (Cookie Policy) หากไปพลิกดูรายละเอียดใน PDPA จะไม่พบการกล่าวถึง นโยบายคุกกี้ โดยตรงใน พ.ร.บ. ฉบับนี้ แต่จากลักษณะของคุกกี้นั้น ก็สามารถถูกตีความว่าเป็นข้อมูลส่วนบุคคลได้ ฉะนั้นผู้ปฏิบัติตามควรจัดทำ นโยบายคุกกี้ เพื่อคุ้มครองข้อมูลส่วนบุคคลของผู้ที่เข้ามาทางเว็บไซต์ เพื่อจะได้ไม่ละเมิด พ.ร.บ. ฉบับนี้

พบคุกกี้ได้ที่ไหน

ทุกท่านสังเกตุไหมว่า ช่วงที่เข้าเว็บไซต์ของคนไทยและขอต่างประเทศ หน้าเว็บไซต์จะมีแถบบนสุดหรือแถวล่างสุดแสดงและมีข้อความให้อ่านพร้อมทั้งมีปุ่มสองปุ่มให้กด ปุ่มแรกบอกว่าให้ความยินยอม อีกปุ่มบอกว่าให้กดเพื่อเข้าไปอ่านข้อมูลรายละเอียดต่างๆของนโยบายการเก็บข้อมูลของผู้เข้ามาเยี่ยมเยียนเว็บไซต์นี้ ก็ต้องขึ้นอยู่กับเราว่าจะกดปุ่มไหน หากไม่กดปุ่มอะไรเลย แถบข้อความก็จะค้างหน้าจอเราไปตลอดการเข้ามาเยี่ยมเยียน

ใช้คุกกี้เพื่ออะไร

จากปุ่มที่ให้ผู้เข้ามาเยี่ยมเยียนกด หลังจากกดปุ่มยอมรับระบบหลังบ้านของเว็บไซต์ก็จะทำการเก็บรายละเอียดต่างๆของอุปกรณ์ เข่น เครื่องคอมพิวเตอร์หรือมือถือของผู้ที่กดปุ่ม เพื่อระบุตัวตนของผู้เข้ามาเว็บไซต์ พร้อมระบุว่าเข้ามาด้วยอุปกรณ์ประเภทไหน และมีการจดจำรหัสผ่านหากเว็บไซต์นั้นต้องมีรหัสการเข้าถึง เจ้าของเว็บไซต์สามารถใช้ข้อมูลนี้ออกรายงานผู้เข้ามาเยี่ยมเยียนและเข้าใจพฤติกรรมในการใช้งานเว็บไซต์ เช่น เข้ามากี่ครั้ง ด้วยอุปกรณ์อะไร หมายเลยเครื่อง (MAC address) หรือ หมายเลย IP จากประเทศไหน แต่ละครั้งอยู่บนเว็บไซต์แต่ละหน้านานเท่าไร หรือมีการเปิดและอ่านบทความไหนบ้าง

คุกกี้ กับ PDPA เกี่ยวข้องกันอย่างไร

บางท่านก็เริ่มมีคำถามว่าทำไมต้องมีการจัดการคุกกี้ คุกกี้ก็แค่เป็นชิ้นข้อมูลขนาดเล็กซึ่งไม่ได้มีข้อมูลที่สามารถระบุตัวตนของผู้เข้ามาในเว็บไซต์ เนื่องด้วยการตีความเกี่ยวกับรายละเอียดของข้อมูลในคุกกี้เป็นข้อมูลส่วนบคุคล เพราะอาจจะคาดการณ์ซึ่งลักษณะ หรือพฤติกรรมของเจ้าของข้อมูลทำให้เกิดการระบุตัวตนผู้ใช้ได้ ฉะนั้นปุ่มที่ให้กดเพื่อขอความยินยอมให้ระบบหลังบ้านเก็บข้อมูลส่วนบุคคลได้ บางท่านก็กดอีกปุ่มเพื่อไม่ยินยอมก็ได้

การจัดการคุกกี้ ตาม PDPA

สำหรับเจ้าของเว็บไซต์ที่เป็นองค์กร หน่วยงาน หรือบุคคลทั่วไปจะต้องจัดทำวัตถุประสงค์ของการใช้คุกกี้ (Cookie Policy) และต้องประกาศแจ้งให้ผู้ใช้งานทราบถึงคุกกี้ที่ใช้อย่างละเอียดและชัดเจน อีกทั้งต้องจัดทำระบบให้ความยินยอมและถอนความยินยอมการให้คุกกี้ด้วย (Cookie Consent) คือปุ่มที่กล่าวถึงข้างต้น

สุดท้ายก็ทราบแล้วว่า แถบที่แสดงข้างบนหรือข้างล่างในหน้าเว็บไซต์ และอีกสองปุ่มรอให้ผู้ใช้งานกดมีไว้เพื่อเป้าประสงค์อะไร หากเว็บไซต์ไหนไม่มีปุ่มเพื่อความยินยอมหรือไม่ยินยอมให้กดท่านก็ต้องระวังไว้เพราะเว็บไซต์นั้นๆกำลังละเมิด พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลของท่านแล้ว

——————————————————————————————————————–

อ้างอิง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล 2562 ข้อมูลและเอกสารจากแหล่งอื่นๆ

แหล่งที่มา: http://www.ratchakitcha.soc.go.th/, General Data Protection Regulation (GDPR) – Official Legal Text (gdpr-info.eu),

#PDPA #DrMontri.com #PDPASolution.com

13 March2021

2 ข้อควรละและ 6 ข้อควรปฏิบัติในช่วงเวลาน้อยนิด สำหรับการเริ่ม PDPA ในองค์กร

0 comments | PDPA

2 ข้อควรละและ 6 ข้อควรปฏิบัติในช่วงเวลาน้อยนิด สำหรับการเริ่ม PDPA ในองค์กร

เพื่อนๆหลายท่านได้มาถามว่า จะเริ่มอย่างไรดีเมื่อมีเวลาเหลือน้อยนิดเพื่อเตรียมตัวให้ทันวันที่ 1 มิถุนายน 2564 ตามประกาศใช้ข้อบังคับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เพราะองค์กรที่เขาทำงานอยู่ยังไม่ได้เริ่มต้นตั้งไข่กับเรื่องนี้เลย และทางผู้บริหารก็เริ่มกังวลและเป็นห่วงมาก แล้วถามต่อว่าองค์กรของเขาควรและไม่ควรปฏิบัติอะไรบ้าง ความหมายก็คือ พอจะมีรายการเหมือนเช็คลิสต์เป็นข้อๆเพื่อเอาไปทำอย่างสะดวก ง่ายและเป็นที่เข้าใจของทุกคนในองค์กร

ในเมื่อเวลาเหลือน้อยนิดสำหรับการเตรียมตัวขององค์กร ผมก็สรุปเป็นขั้นตอนแบบกระชับ โดยเริ่มจากสิ่งที่ไม่ควรปฏิบัติก่อน เพื่อไม่ให้ไปผิดทางเหมือนกลัดกระดุมเม็ดแรกผิด ก็ผิดหมดทั้งกระบวนการและทำให้เสียเวลาเดี่ยวจะไม่ทันการ เรามาเริ่มกันเลย

รายการที่ไม่ควรปฏิบัติ

1. ไม่คัดลอกนโยบายคนอื่น บางองค์กรก็คิดว่าคู่ค้าหรือเพื่อนร่วมธุรกิจที่ดำเนินธุรกิจคล้ายๆกันก็น่าจะเหมือนกัน โดยไปที่เว็บไซต์ของเขาและทำการคัดลอกมาใช้เลย แต่ลืมคิดว่าเบื้อนหน้าการทำธุรกิจเหมือนกันแต่รายละเอียดภายในองค์กรมันต่างกัน ฉะนั้นทุกองค์กรควรทำนโยบายเรื่องคุ้มครองข้อมูลส่วนบุคคลสำหรับองค์กรนั้น

2. ไม่ลงทุนเรื่องระบบตอนเริ่มต้น บางองค์กรก็คิดว่าเอาทางลัดเพื่อความรวดเร็วโดยไปลงทุนซื้อระบบสำเร็จรูปตามเว็บไซต์แล้วเอามาให้เจ้าหน้าที่ที่เกี่ยวข้องใช้แบบทันที ความจริงแล้วทางองค์กรยังไม่รู้เลยว่า ข้อมูลและกระบวนการภายในองค์กรเป็นอย่างไร ขอย้ำอีกครั้งแต่ละองค์กรมีรายละเอียดการทำงานไม่เหมือนกัน

ขั้นตอนข้างล่างต่อไปนี้เป็นรายการเช็คลิสต์ เพื่อให้องค์กรเอาไปเริ่มแบบง่ายและสะดวกจะได้เดินหน้าเดินอย่างทันท่วงทีโดยไม่ผิดทาง

รายการที่ควรปฏิบัติ

1. ให้ความรู้พนักงานทุกภาคส่วน โดยจัดให้มีการฝึกอบรมถ่ายทอดความรู้ให้พนักงานทุกระดับมีความตระหนักเกี่ยวกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ซึ่งมีความสำคัญต่อองค์กรและพนักงานทุกคนมีบทบาทที่ต้องปฏิบัติตาม

2. แต่งตั้งเจ้าหน้าที่ที่เกี่ยวข้อง เจ้าหน้าที่หลักๆที่สำคัญและเกี่ยวข้องโดยตรงใน พ.ร.บ. ฉบับนี้ ผู้บริหารต้องแต่งตั้งเพื่อไปดำเนินการต่อมีดังนี้ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer) ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) และ ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) รวมทั้งจัดเตรียมและเซ็นสัญญาเป็นผู้ประมวลผลข้อมูลส่วนบุคคลหากเป็นบุคคลภายนอก

3. กำหนดและแยกแยะข้อมูล ข้อมูลส่วนบุคคลในองค์กรมาจากหลายหน่วยงานจึงต้องกำหนดขอบเขตความหมายพร้อมแยกแยะข้อมูล รวมถึงแหล่งที่มา วัตถุประสงค์ในการเก็บ และระยะเวลาในการเก็บ ยิ่งองค์กรมีการจัดเก็บข้อมูลส่วนบุคคลจำนวนมากยิ่งต้องใช้เวลาในขั้นตอนนี้ องค์กรก็จะเห็นการไหลเข้ามาของข้อมูลอย่างชัดเจน

4. จัดทำหนังสือให้ความยินยอม (Consent) เป็นหนังสือให้ความยินยอมจัดเก็บและการเปิดเผยข้อมูลส่วนบุคคลระหว่างผู้ให้และผู้ใช้บริการภายใต้ข้อกำหนดและเงือนไขต่างๆ

5. เตรียมการกับเหตุการณ์ที่อาจจะเกิดขึ้นล่วงหน้า การเตรียมขั้นตอนต่างๆให้ชัดเจนและนำไปปฏิบัติได้จริงอย่างรวดเร็ว เหตุการณ์อาจจะจำแนกได้ดังนี้

5.1 เหตุการณ์ปกติ ความถี่ในการเกิดเหตุการณ์นี้ก็ขึ้นกับจำนวนข้อมูลส่วนบุคคลที่องค์กรได้รวบรวมไว้อีกทั้งประเภทของธุรกิจด้วย เช่น เจ้าของข้อมูลได้ยื่นคำร้องตามสิทธิเพื่อขอดู ขอแก้ไข หรือขอลบข้อมูล จะเกิดขึ้นบ่อยกับธุรกิจประเภทค้าปลีกซึ่งมีจำนวนลูกค้าจำนวนมาก ฉะนั้นองค์กรมีเจ้าหน้าที่เพื่อรับคำร้องจากผู้ร้องขอว่ามีหรือไม่มีสิทธิที่จะดำเนินการ

5.2 เหตุการณ์ไม่ปกติ องค์กรต้องวางแผนล่วงหน้ากับเหตุการณ์ที่คาดว่าจะเกิดขึ้นพร้อมกำหนดผู้รับผิดชอบในแต่ละสถานะการณ์ว่ามีขั้นตอนที่ต้องปฏิบัติอย่างไรให้ชัดเจน เช่น ต้องทำอย่างไรเมื่อข้อมูลเกิดการรั่วไหล หรือเมื่อมีการละเมิดสิทธิและเสรีภาพของเจ้าของข้อมูล เป็นต้น

6. เผยแพร่นโยบายความเป็นส่วนตัว นำนโยบายที่ได้จัดทำไว้ไปเผยแพร่ในช่องทางต่างๆขององค์กร เช่น เว็บไซต์ขององค์กร

หวังว่าแนวปฏิบัติข้างต้นซึ่งเป็นเช็คลิสต์ที่ไม่เยอะมากและสามารถนำไปทำให้เกิดผลจริงได้ในองค์กรของท่านในระยะเวลาอันสั้นเพื่อให้ทันก่อนวันประกาศใช้ พ.ร.บ. หลังจากนั้นท่านก็สามารถเพิ่มเติมรายละเอียดต่างๆลงไปในแต่ละขั้นตอนได้ อีกทั้งต้องปรับปรุงนโยบายให้ทันสมัยและทบทวนขั้นตอนต่างๆอย่างสม่ำเสมอ สุดท้ายขอให้ทุกท่านโชคดีกับการเริ่มโครงการนี้

—————————————————————————————————————

อ้างอิง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล 2562 ข้อมูลและเอกสารจากแหล่งอื่นๆ

แหล่งที่มา: http://www.ratchakitcha.soc.go.th/, General Data Protection Regulation (GDPR) – Official Legal Text (gdpr-info.eu),

#PDPA #DrMontri.com #PDPASolution.com

13 March2021

‘การบินไทย’ แจ้งสมาชิก Royal Orchid Plus พบข้อมูลบางส่วนรั่วไหล

0 comments | Case Study

‘การบินไทย’ แจ้งสมาชิก Royal Orchid Plus พบข้อมูลบางส่วนรั่วไหล เกิดจากบริษัทภายนอก แต่มั่นใจข้อมูลสำคัญยังปลอดภัย

วันที่ 13 มีนาคม 2564 บริษัท การบินไทย จำกัด (มหาชน) ได้ส่งอีเมล์แจ้งสมาขิกบัตรรอยัล ออร์คิด พลัส (Royal Orchid Plus: ROP) ของการบินไทยว่า จากกรณีที่ระบบ SITA Passenger Service System (US) Inc. (SITA PSS) ซึ่งเป็นองค์กรที่ดำเนินงานเกี่ยวกับระบบบริการผู้โดยสารให้สายการบินต่างๆ ทั่วโลก เกิดข้อปัญหาข้อมูลรั่วไหล กรณีดังกล่าวส่งผลให้ข้อมูลของสมาชิก ROP รั่วไหลด้วย ได้แก่ หมายเลขสมาชิก ชื่อ-นามสกุล ระดับสถานภาพสมาชิกเท่านั้น แต่รหัสประจำตัวสมาชิก (PIN) ไมล์สะสมในบัญชีสมาชิก รายละเอียดการติดต่อ หมายเลขหนังสือเดินทาง รวมถึง วันเดือนปีเกิดของสมาชิก ได้ถูกเก็บรักษาอย่างปลอดภัยและไม่ได้รับผลกระทบจากเหตุการณ์ในครั้งนี้

จากนั้นทางบริษัท การบินไทย จำกัด (มหาชน) ได้ออกแถลงการณ์ในเว็บไซต์ของบริษัทฯ อีกทั้งได้ส่งอีเมล์ให้กับสมาชิกทุกท่านให้ทราบ โดยรายละเอียดมีดังต่อไปนี้

—————————————————————-

ข้อมูลในระบบบริการผู้โดยสารของ SITA ที่ส่งผลกระทบกับข้อมูลของสมาชิก

ตามที่การบินไทยได้รับแจ้งข่าวเหตุการณ์การรั่วไหลของข้อมูลที่เกิดขึ้นกับระบบของ SITA Passenger Service System (US) Inc. (SITA PSS) ซึ่งเป็นหนึ่งในองค์กรที่ดำเนินงานด้านระบบบริการผู้โดยสารให้กับสายการบินต่างๆ ทั่วโลกและ เหตุการณ์ครั้งนี้ได้ส่งผลกระทบต่อข้อมูลของผู้โดยสารบางส่วน เนื่องจากการดำเนินงานของสายการบินพันธมิตรในกลุ่มสตาร์ อัลไลแอนซ์ นั้นมีการถ่ายโอนข้อมูลระหว่างสายการบินผ่านระบบบริการผู้โดยสาร SITA PSS เพื่อให้กลุ่มสายการบินสมาชิกสตาร์ อัลไลแอนซ์ ได้รับทราบระดับสถานภาพสมาชิกของผู้โดยสารและสามารถมอบบริการและสิทธิประโยชน์ให้กับสมาชิกในระหว่างการเดินทางได้ตามข้อตกลงของสายการบิน

ทางการบินไทยได้รับแจ้งเบื้องต้นในวันที่ 28 กุมภาพันธ์ 2564 ว่า SITA ได้ตรวจพบการรั่วไหลของข้อมูลดังกล่าวในวันที่ 24 กุมภาพันธ์ 2564 และทางการบินไทยได้รับรายงานข้อมูลที่สมบูรณ์จาก SITA ในวันที่ 9 มีนาคม 2564

แม้ว่าการบินไทยจะมิได้ใช้ระบบ SITA PSS แต่การรั่วไหลของข้อมูลที่เกิดขึ้นในระบบของ SITA PSS ครั้งนี้ได้มีผลกระทบต่อสายการบินในกลุ่มสตาร์ อัลไลแอนซ์ รวมถึงการบินไทยด้วย ซึ่งผลกระทบที่เกิดขึ้นกับข้อมูลสมาชิกรอยัล ออร์คิด พลัส ได้แก่ หมายเลขสมาชิก ชื่อ-นามสกุล ระดับสถานภาพสมาชิกเท่านั้น บริษัทฯ จึงขอเรียนให้ท่านมั่นใจได้ว่า รหัสประจำตัวสมาชิก (PIN) ไมล์สะสมในบัญชีสมาชิก รายละเอียดการติดต่อ หมายเลขหนังสือเดินทาง รวมถึง วันเดือนปีเกิดของท่าน ได้ถูกเก็บรักษาอย่างปลอดภัยและไม่ได้รับผลกระทบจากเหตุการณ์ในครั้งนี้ ท่านจึงไม่จำเป็นต้องดำเนินการเพิ่มเติมใดๆ

บริษัทฯ จึงเรียนมาเพื่อแจ้งให้ท่านทราบถึงเหตุการณ์ดังกล่าว แม้ว่าเหตุการณ์การรั่วไหลข้อมูลในครั้งนี้จะเกิดขึ้นจากองค์กรภายนอกก็ตาม หากท่านมีข้อกังวลใดๆ เกี่ยวกับเหตุการณ์การรั่วไหลของข้อมูลที่เกิดขึ้นกับระบบ SITA PSS ครั้งนี้ หรือมีความประสงค์ที่จะได้รับข้อมูลเพิ่มเติมทางด้านความปลอดภัยของข้อมูล กรุณาติดต่อเจ้าหน้าที่ DPO (Data Protection Officer) ของการบินไทยทางอีเมล privacy@thaiairways.com หรือ หากท่านพำนักอยู่ที่ประเทศกลุ่มสมาชิกสหภาพยุโรป สามารถติดต่อตัวแทนของการบินไทยที่ EU.Representative@thaiairways.com รวมถึงหากท่านมีความประสงค์ในการสอบถามข้อมูลสมาชิก รอยัล ออร์คิด พลัส เพิ่มเติม กรุณาติดต่อฝ่ายบริการสมาชิกรอยัล ออร์คิด พลัส คลิกที่นี่

—————————————————————-

อ้างอิง
https://www.thebangkokinsight.com/571807/

https://www.thaiairways.com/th_TH/rop/SITA_DataBreach.page

#PDPA #DrMontri.com #PDPASolution

Author

Subscribe to Follow me

[email-subscribers namefield="NO" desc="" group="Public"]

Blog

Author: admin

Author

Subscribe to Follow me

Categories

Latest News