AnswerPDPA

21/12/2024

หมดเวลาของการ “ไม่บอก” หรือ “บอกไม่หมด” หรือ “บอกไม่ครบ”

Netflix vs Privacy Notice

ปฏิเสธไม่ได้ว่า platform บันเทิงคดีด้านภาพยนตร์ที่ได้รับความนิยมเจ้าหนึ่งสมัยนี้ คือ “Netflix”

“Netflix” นั้นถือกำเนิดในสหรัฐอเมริกา 🇺🇸โดยบุรุษนามกระเดื่องที่ชื่อว่า “Reed Hastings” อดีตนักคณิตศาสตร์และวิศวกรประจำ Pure Software ครับ

ส่วนที่มาที่ไปของไอเดียการก่อตั้ง Netflix ก็มีเรื่องเล่าขานกันเพราะว่า นาย Reed คืนแผ่น DVD เรื่อง Apollo 13 ช้าไปหลายวัน

โดนร้าน Blockbuster ปรับเป็นเงิน $40 เหรียญสหรัฐ ทำให้เกิด painpoint และความคิดที่ว่าทำไมร้านเช่า DVD ถึงต้องมีการกำหนดระยะเวลาคืนแผ่น DVD 😡

(ปัจจุบันร้าน Blockbuster เหลือแต่ตำนานครับ)

ความคิดนั้นได้นับการพัฒนากลายมาเป็นระบบสมาชิก subscription แบบรายเดือน ซึ่งรู้หรือไม่ว่าระยะเริ่มต้น business model นั้นลูกค้าต้องกรอกข้อมูลส่วนบุคคลในเว็บไซต์และเลือกภาพยนตร์ได้เพียง 3 เรื่อง!

เมื่อกด submit ทาง Netflix ก็จะส่งแผ่น DVD มาให้ที่บ้าน (ส่งมาพร้อมกับซอง 3 ซองที่ติดอากรแสตมป์เรียบร้อย) เบื่อเมื่อไหร่ก็เข้าไปเลือกหนังใหม่ในเว็บไซต์และส่งแผ่น DVD (ใส่ซองที่เตรียมมาให้) กลับไปที่ Netflix

….โดยส่วนตัว ผมได้ผ่านประสบการณ์ การใช้ Netlfix ในยุคนั้น (ระหว่างปี 1999-2002) และกลับมาใช้อีกครั้งเมื่อกลับมาเมืองไทย ส่วนตัวผมนั้นชื่นชมบริษัทนี้และนาย Reed Hastings มากขอออกตัวไว้ก่อน

วันเวลาผ่านไปจนมาสหัสวรรษปัจจุบันครับ Netflix ได้เปลี่ยนโฉมเป็นยักษ์ใหญ่วงการภาพยนต์ มีหนังแบบออกทุนสร้างเอง (Netflix Original)

รวมถึงมีการทำการตลาดแบบ Personalization มีระบบ Algorithm ที่แนะนำภาพยนตร์ตามจริตของสมาชิก (users) ผู้ใช้อ่าน 

แน่นอนว่ามีการเฝ้าพฤติกรรม (monitoring) ติดตามพฤติกรรม (tracking) อย่างเป็นระบบและเป็นปรกติ

ปัญหาอยู่ตรงไหน?

ปัญหาอยู่ตรงที่หลังจากสหภาพยุโรป 🇪🇺 และโลกทั้งใบได้สมาทาน กฎหมายการคุ้มครองข้อมูลส่วนบุคคลตั้งแต่ปี 2018

แต่ Netflix เองกลับไม่ได้แจ้งให้ลูกค้าทราบอย่างเพียงพอว่าได้ดำเนินการอย่างไรกับข้อมูลของลูกค้า!!

เหตุการณ์มันสั่งสมจนสร้างความไม่พอใจให้ผู้บริโภค (ที่เรียกร้องสิทธิมากขึ้น)

นับจากปี 2019 หรือเกือบ 5 ปีที่ผ่านมาองค์กร nyob (ของ นักเคลื่อนไหวด้านสิทธิความเป็นส่วนตัวนำโดยนายแม็ค ชแรมป์)

ได้ยื่นคำร้องต่อหน่วยงานกำกับด้านการคุ้มครองข้อมูลส่วนบุคคลของเนเธอร์แลนด์ 🇳🇱 (AutoriteitPersoonsgegevens: AP) ซึ่ง Netlfix มีสำนักงานใหญ่ที่กรุงอัมสเตอร์ดัม

โดยได้ฟ้อง Netflix ในประเด็นที่ ไม่ได้แจ้งให้สมาชิกชาวยุโรปทราบว่ามีการดำเนินการใช้ เปิดเผยข้อมูลส่วนบุคคลของลูกค้า อย่างไร

คดีนี้ใหญ่ครับ…นำไปสู่การปรับโทษปกครองแก่ Netflix เป็นเงิน 4.75 ล้านยูโร (คูณ 35.66 ก็ประมาณ 169 ล้านบาท) 😱

โดยในสำนวนคดี กล่าวว่า Netflix ไม่ได้ให้ข้อมูลใน Privacy Notice ชัดเจนเพียงพอแก่ลูกค้าเกี่ยวกับการดำเนินการกับข้อมูลของลูกค้า

พูดง่ายๆ ภาษาชาวบ้านคือไม่ได้บอก หรือบอกไม่หมดว่า ฉันจะใช้ข้อมูลเธอเพื่อการใดบ้าง

Netflix ไม่ได้แค่ล้มเหลวในการ
1️⃣ ให้เหตุผลในการใช้ข้อมูลอย่างเพียงพอนะครับ แต่บริษัทยัง

2️⃣ไม่สามารถแม้กระทั่งจัดการคำขอผู้บริโภคที่มาใช้สิทธิขอเข้าถึงข้อมูล (Right to Access) และขอสำเนาว่า Netflix ได้เก็บรวบรวมข้อมูลส่วนบุคคลอะไรไปบ้างได้อย่างครบถ้วนด้วยซ้ำ

บริษัทไทย ร้านค้าปลีกใด ที่มีระบบสมาชิก ระบบสะสมแต้ม หรือเก็บคะแนน ก็พิจารณาให้ดีนะครับ

หากท่านเป็น DPO ขององค์กร ต้องรู้กระบวนการธุรกิจ ต้องรู้การไหลของข้อมูล เพื่อนำไปเขียนประกาศความเป็นส่วนตัวให้ครบถ้วน

ส่วนตัวผมมองว่า หมดยุคของการ “ไม่บอก” หรือ “บอกไม่หมด” หรือ “บอกไม่ครบ” ว่าจะใช้ข้อมูลลูกค้าอย่างไรแล้วครับ

06/12/2024

1 ใน Big 4 โดน data breach (อ่านต่อใน comment)

28/11/2024

10 Passwords ที่มีคนใช้มากที่สุดในโลก ปี 2024 ใช้เวลาแฮกไม่ถึง 1 วินาที!!!!

อ่านเพิ่มในคอมเม้นท์
Credit: Thai PBS News

21/11/2024

ข้อมูลคนไทย 🇹🇭 รั่วไหลนั้นสำคัญ...แต่สำคัญกว่าคือ “คุณ” สนใจใช้ “สิทธิ” หรือไม่?

เมื่อวันที่ 20 พย 2567 (หรือเมื่อวาน) ที่ผ่านมา เว็บไซท์ databreaches.net ได้ลงพาดหัวข่าวอย่างร้อนแรง
“Thai loyalty membership card data of 5 million customers put up for sale on hacking forum”
แปลเป็นไทยว่า “ข้อมูลบัตรสมาชิกสะสมแต้มของคนไทย 5 ล้านคนถูกนำไปขายในเว็บบอร์ดแฮกเกอร์” ‼️

ในเนื้อข่าวมีการพาดพิงถึง กลุ่มธุรกิจเครือ เซ็นทรัล (Central Group)

เนื้อข่าวรายงาน ว่าเมื่อวันที่ 19 พฤศจิกายน 2567 databreaches.net ได้รับอีเมลจากบุคคลที่เรียกตนเองว่า 0mid16B (ซึ่งอ้างว่าเป็นแฮกเกอร์รายเดียวกับที่เจาะระบบ Black Canyon และ AIS Serenade และทำให้สังคมไทยตกตะลึงด้วยการแจ้งเตือนสมาชิกมากกว่า 700,000 รายในเวลาตี 4 ส่งผลให้มีการรายงานข่าวจำนวนมากในวันถัดมา)

นอกจากนี้ 0mid16B ยังแจ้งกับ databreaches.net ว่าระหว่างเดือนสิงหาคม - พฤศจิกายน 2567 ได้เข้าถึงและขโมยข้อมูลส่วนบุคคลของสมาชิกบัตร Central The 1 Credit Card ของ Central Group จำนวน 5,108,826 รายการผ่านการเจาะ API endpoint ของเครือข่าย Central Retail

ทุกท่านทราบดีว่า Central Group ใช้ระบบสมาชิกบัตร The1 ในทุกแบรนด์ค้าปลีกและสินค้าอุปโภคบริโภคภายใต้ Central Group ซึ่งถือว่าบัตร The1 เป็นระบบสมาชิก Loyalty Program ที่ใหญ่ที่สุดในประเทศไทย โดยมีสมาชิกกว่า 17 ล้านคน (ประมาณ 25% ของประชากรในประเทศไทย)

ในบทความ รายงานต่อว่า
“เนื่องจากการเจรจากับ Central Group ล้มเหลว” ทาง 0mid16B จึงตัดสินใจ “เสนอขาย” ข้อมูลส่วนบุคคลของสมาชิก The1 จำนวน 5,108,826 รายการ (ชื่อ นามสกุล หมายเลขสมาชิก หมายเลขบัตรประชาชน 13 หลัก ประเทศที่อาศัย โทรศัพท์มือถือ และอีเมล) ขนาดรวม 500 กว่า MB บนเว็บบอร์ดแฮกเกอร์
..ข้างบนเป็นบทความคร่าวๆ ที่ databreaches.net นำเสนอ ส่วนที่เหลือท่านสามารถอ่านเองได้ที่ link ที่ผมไปแปะไว้ใต้ comment
**********************
เราๆ ท่านๆ ในฐานะผู้บริโภคที่เป็นสมาชิก The1 card และในฐานะเจ้าของข้อมูลส่วนบุคคล (Data Subject) สามารถใช้สิทธิอะไรบ้างกับ Central Group? Central Group เคยมีข่าวรั่วไหลจนต้องออกจดหมายชี้แจงสังคมเมื่อตุลาคม 2564 หรือ 3 ปีที่ผ่านมา (เฉลี่ยข้อมูลรั่วทุกๆ 3 ปี 😡)

ผมในฐานะสื่อและคนที่สนใจและมองการคุ้มครองข้อมูลส่วนบุคคลในประเด็น “สิทธิ” อยากเรียกร้องให้ Central Group ออกแถลงการณ์ข้อเท็จจริงที่ปรากฏเพื่ออธิบายให้สังคมเข้าใจ จะสะท้อนความโปร่งใส (Transparency) และความรับผิดชอบต่อสังคม (Social Accountability) ได้เป็นอย่างดี

อย่าให้สังคมไทยได้ขึ้นชื่อว่า เหมือนที่ 0mid16B โพสต์บน X ว่า

1️⃣ บริษัทไทยไม่สนใจเรื่องการปกป้องข้อมูล
(Thai companies do not care about protecting data)
2️⃣ เพราะรู้ว่าจะไม่มีอะไรเกิดขึ้นกับพวกเขา
(Because nothing will happen to them)
3️⃣ ไม่มีโทษปรับ PDPA, ไม่มีการเหยียวยาผู้บริโภค และไม่มีความผิด (NO PDPA fines, no compensation for customers and no liability)
4️⃣ คนไทยไม่ได้สนใจเรียกสิทธิตัวเอง (Thai people does not demand for their rights)

🟢ห้างอื่น/ร้านค้าปลีกอื่น สามารถเรียนรู้อะไรบ้างจากบทเรียน เซ็นทรัล? หากท่านเป็นผู้บริหารห้าง ร้านค้าปลีกที่มีระบบสมาชิกจะนิ่งดูดาย หรือจะกระตือรื้อร้นริเริ่มโครงการคุ้มครองข้อมูลส่วนบุคคล สิ่งนี้ขึ้นอยู่กับตัวท่านครับ…

ท้ายสุดผู้บริโภคจะเป็นคนตัดสินครับ


#ข้อมูลส่วนบุคคลไทยต้องปลอดภัย
#ข้อมูลส่วนบุคคล

Justice Department Seizes Cybercrime Website and Charges Its Administrators Posted on November 21, 2024 by Dissent Three Administrators Charged and Cryptocurrency Seized The Justice Department today announced the seizure of PopeyeTools, an illicit website and marketplace dedicated to selling stolen....

04/11/2024

ผมเป็นคน "เรื่องมาก" ในการดื่มกาแฟ...

ผมไม่ดื่มกาแฟสำเร็จรูป (ถ้าไม่จำเป็น) จะนิยมดื่มกาแฟจากเมล็ดคั่วสด ☕️ เท่านั้น อันเนื่องด้วยติดการเสพกลิ่นและรสชาติ

สืบเนื่องด้วยเงื่อนไขด้านอายุ จึงจำกัดตัวเองไว้ที่ 2 แก้วต่อวัน

หลายวันที่ผ่านมามีเหตุการณ์ที่ผิดปรกติ (Incident) ‼️เกิดขึ้นกับข้อมูลส่วนบุคคลจาก LINE OA ร้านกาแฟเจ้าดังแห่งหนึ่งในเมืองไทย ในขณะที่ผมเขียนต้นฉบับ ผู้บริโภคก็ยังไม่สามารถเข้าเว็บไซท์ได้

ผมเป็นสมาชิกร้านกาแฟ specialty หลายแบรนด์ เลยเกิดความคิดอยากรวบรวมเงื่อนไขในการ "เก็บรวบรวม" ข้อมูลส่วนบุคคลของแบรนด์กาแฟเจ้าดังแต่ละรายเพื่อวัตถุประสงค์ด้านสมาชิก (membership) มาให้ผู้อ่านได้เปรียบเทียบ เพื่อประโยชน์สาธารณะครับ

1️⃣ Starbucks Thailand card: กาแฟจากเมือง Seattle 🇺🇸 ดำเนินกิจการโดย ThaiBev มี logo เป็น “Siren” หรือ นางเงือกสองหาง 🧜‍♀️ ในตำนานกรีก

ขั้นตอนการสมัครไม่ซับซ้อนครับ ดาวโหลด app แล้วมีการขอข้อมูลส่วนบุคคล ตามตาราง เป็นบัตรใบเดียวที่เก็บเฉพาะ "วันและเดือนเกิด" ไม่เก็บปีเกิด จะมีการเก็บบัตร Credit Card หรือ Debit Card Mobile Banking เพิ่มเติมเป็น option

สิ่งที่ผมตั้งข้อสังเกตคือ ช่องความยินยอมต้อง กดเพื่อ opt out จากข้อความ “ข้าพเจ้าไม่ประสงค์จะรับข้อมูลข่าวสารทางการตลาดฯ...” ซึ่งควรจะเป็นลักษณะ opt in consent

2️⃣ THE COFFEE CLUB THAILAND Rewards Account: ค่ายกาแฟดังจากออสเตรเลีย 🇦🇺 บริหารงานโดย Minor International มีขั้นตอนการสมัครต้องใส่เบอร์มือถือเพื่อรับ OPT / มีการขอให้ผู้บริโภคตั้งค่า Pin เพื่อความปลอดภัย (security) มีการขอข้อมูลชีวภาพ (Biometric) แทนการตั้งค่า pin แต่เป็น option

3️⃣ D’Oro Thailand: บริหารงานโดย บจก.โกลเด้น ครีม ผู้ประกอบธุรกิจกาแฟครบวงจร ตั้งแต่การปลูก การสมัครสมาชิกต้องกรอกใส่ เบอร์มือถือและ password เพื่อ ระบบส่ง OTP ที่เหลือตามตาราง

4️⃣ Inthanin Coffee Fan Club: ร้านกาแฟ จากค่ายปั๊มน้ำมัน Bangchak หลังจากดีลซื้อ esso แล้วปั๊ม บางจากก็มีความสามารถในการแข่งขันกลุ่มธุรกิจ Non-Oil แบบผิดหูผิดตาคือการขยายสาขาร้านกาแฟ Inthanin จนทะลุ +1,000 สาขา จึงมีการผูกกับบัตรเติมน้ำมันบางจาก มี ระบบwallet จึงขอเลขบัตรประชาชน /เบอร์โทรศัพท์/วันเดือนปีเกิด

5️⃣ Café Amazon: จาก บจม. ปตท. น้ำมันและการค้าปลีก หรือ ที่เรียกติดปากว่า OR Official ระบบสมาชิกผูกบัตรผ่าน app ที่ชื่อว่า xplORe app มี function หมวด blueplus+ (ซึ่งโยกมาจาก Blue Card ตั้งแต่ 1 กพ. 2567) มีระบบ wallet จึงขอ เลขบัตรประชาชน+เบอร์โทรศัพท์+วันเดือนปี เพื่อเชื่อมต่อ wallet มีการขอ รายได้ต่อเดือน เป็น option

6️⃣ กาแฟพันธุ์ไทย PunThai Coffee: เจ้าของคือปั๊ม PTG Energy Group ผูกสมาชิกภายใต้ max card (มี 2 สีให้เลือกคือสีเขียวหรือแดง) ใน app max me มี wallet และมีการข้อมูลบัตรประชาชน 13 หลัก เป็น app เดียวที่ผมสังเกตว่ามีการแสดงผลหมายเลขบัตรประชาชน 13 หลัก ใน app และการแสดงผลนั้นไม่มีการทำ ปกปิดตัวเลข หรือใช้เทคนิค anonymize personal data หรือทำให้เป็นข้อมูลนิรนาม

ทุกค่ายมีระบบสมาชิกมีการกิจกรรมการเก็บรวบรวมข้อมูลส่วนบุคคลเป็นกิจกรรมหลัก และถ้าเข้าองค์ประกอบว่าด้วยจำนวนมากก็ต้องแต่งตั้ง เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) เพื่อเป็นเจ้าภาพในการดูแลข้อมูลส่วนบุคคลครับ


#ข้อมูลส่วนบุคคล

#แบ่งปันกันอ่าน
#ข้อมูลส่วนบุคคลไทยต้องปลอดภัย

02/11/2024

สืบเนื่องจากเหตุการณ์ผิดปรกติ (incident) จากหน้าเพจ BLACK CANYON COFFEE ประชาชนที่เป็นสมาชิกสามารถ

1. ใช้ “สิทธิในการขอเข้าถึง” ข้อมูลส่วนบุคคลของตนได้ มาตรา 30 PDPA ว่า Black Canyon เก็บรวบรวมข้อมูลใด

2. ใช้สิทธิในการลบ ทำลายข้อมูลส่วนบุคคลของตนเองได้ ตามมาตรา 33 ของ PDPA

เรียน ลูกค้าทุกท่าน

แบล็คแคนยอนขอเรียนยืนยันว่า ข้อมูลของลูกค้าทุกท่านได้รับการจัดเก็บด้วยมาตรการความปลอดภัยขั้นสูงสุด โดยข้อมูลที่จัดเก็บเป็นข้อมูลทั่วไป ไม่มีการเก็บข้อมูลทางด้านการเงินของลูกค้าแต่อย่างใด เราขอให้ทุกท่านมั่นใจในความปลอดภัยของข้อมูล และขอขอบคุณที่ไว้วางใจในการใช้บริการกับเรา

ขอแสดงความนับถือ
บริษัท แบล็คแคนยอน (ประเทศไทย) จำกัด

19/10/2024

“ICONOCLAST”

ผมเป็นหนึ่งในนักเรียนที่เรียนพิเศษภาษาอังกฤษช่วงยุค 2530-2540 กับอาจารย์สงวน วงศ์ชูชาติ โรงเรียนเสริมหลักสูตรอาจารย์สงวน วงศ์สุชาต SLS แถวเสาชิงช้า หนึ่งในอาจารย์ที่ประสิทธิ์ประสาทวิชาคำศัพท์ภาษาอังกฤษให้กับนักเรียนไทยหลายคนในยุคนั้น

จำได้แม่นว่าหนึ่งในคำศัพท์ที่อาจารย์สอนคือคำว่า "ICONOCLAST" ซึ่งมาจากคำว่า ICON ที่แปลว่า “ภาพลักษณ์” และ คำว่า Clast ที่รากศัพท์แปลว่า “ผู้ทำลาย” ดังนั้น คำว่า ICONOCLAST จึงแปลว่า ผู้ทำลายภาพลักษณ์เดิมๆ ผู้ที่ทำลายความเชื่อเดิมๆ ในสังคม หรือ ผู้ที่ทำให้สังคมตาสว่างก็ไม่ผิดนัก

*️⃣ICONOCLAST กับกรณีบริษัท Comcast ในการทำลายความเชื่อเดิมเรื่องการ outsourcing*️⃣

เมื่อสัปดาห์ที่ผ่านมาสื่อต่างประเทศหลายฉบับ มีการรายงานการละเมิดข้อมูลส่วนบุคคล ของผู้ใช้บริการโทรคมนาคม Comcast มากกว่า 237,703 ราย ในสหรัฐอเมริกา 🇺🇸 โดยมีการเปิดเผยข้อมูลที่ละเอียดอ่อน เช่น ชื่อ ที่อยู่ หมายเลขประกันสังคม และวันเดือนปีเกิด

แล้วเหตุการณ์นี้มันเกิดขึ้นได้อย่างไร?

ปัญหาของเหตุการณ์นี้เกิดขึ้นจากการที่ บริษัท Comcast นั้น outsource การเก็บข้อมูลการทวงหนี้ให้กับบริษัท Financial Business and Consumer Solutions (FBCS) ซึ่งเป็นบริษัทรับจ้างทวงหนี้ (Debt Collector) ที่เคยร่วมงานกับ Comcast

ประเด็นคือ FBCS ถูกโจมตีด้วย Ransomware กระทบต่อข้อมูลส่วนบุคคล 237,703ราย แม้ว่าทาง Comcast จะยุติสัญญากับบริษัท FBCS แล้วก็ตาม จากเหตุการณ์นี้แสดงให้เห็นว่าถึงแม้ว่าท่านจะยกเลิก หรือยุติความสัมพันธ์กับผู้ให้บริการภายนอกไปแล้ว แต่บริษัทของท่านในฐานะผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ก็ยังคงเสี่ยงต่อการละเมิดข้อมูลอยู่ดี

การไว้ใจและ outsource ข้อมูลส่วนบุคคลของท่านกับบริษัทที่น่าเชื่อถือไม่ได้หมายความว่าท่านจะปลอดภัยจากการไม่ถูกดำเนินคดี

เวลานี้เป็นเวลาที่ดีในการตรวจสอบว่าบริษัทท่าน
1️⃣ มี Data Processing Agreement หรือไม่?
2️⃣ มีการทำ Vetting Vendor หรือไม่?
3️⃣ มีการทวนสอบการ ลบ ทำลาย หรือทำให้ข้อมูลไม่สามารถระบุข้อมูลส่วนบุคคลได้หรือไม่?

เหตุการณ์นี้นอกจากทำให้บริษัทในสหรัฐฯ กลับมาทบทวนการ outsourcing และข้อตกลงสัญญาที่เกี่ยวข้องกับ 3rd party vendor ยังทำลายความเชื่อทั่วไปเกี่ยวกับการควบคุมข้อมูลของลูกค้า และท้าทายสมมติฐานเกี่ยวกับขอบเขตของความรับผิดชอบเมื่อมีการจ้างจัดการข้อมูลจากภายนอก ถือเป็นตัวอย่างที่ดีของการทลายแนวคิดแบบเดิมๆ ในด้านความปลอดภัยของข้อมูล โดยเฉพาะในช่วงหลังการสิ้นสุดสัญญา
....ช่างเป็น case ICONOCLAST เสียกระไร

รายละเอียดการละเมิด:
• จำนวนบุคคลที่ได้รับผลกระทบ: 237,703 ราย ‼️
• วันที่เกิดการละเมิด: 14 กุมภาพันธ์ 2024
• วันที่ตรวจพบการละเมิด: 17 กรกฎาคม 2024
• ลักษณะของการละเมิด: การโจมตีจากภายนอก👁️‍🗨️
• ระยะเวลาในการเก็บข้อมูล: ข้อมูลที่ถูกละเมิดมีอายุตั้งแต่ประมาณปี 2021; Comcast หยุดการใช้บริการปี 2020

PDPA Thailand


#แบ่งปันกันอ่าน

11/10/2024

Legitimate Interest ของใคร?

1️⃣ ฐานผลประโยชน์โดยชอบด้วยกฎหมาย มาตรา 24 (5) นั้นเป็นที่คุ้นเคยกันดีในวงการ data protection และ privacy บ้านเรา ...หากแต่ข้อหารือ กรณีศึกษาหรือตัวอย่างมักหา 👀 อ่านกันเอาเองจากต่างประเทศ

2️⃣ เพียง 2 วันก่อนที่ต้นฉบับของผมนี้ คณะกรรมการการคุ้มครองข้อมูลส่วนบุคคลแห่งสหภาพยุโรป (European Data Protection Board) 🇪🇺 ได้คลอด Guideline 1/2024 on processing of personal data based on Article 6(1)(f) ออกมา ความยาว 37 หน้า (click link ใน comment ได้เลยครับเพื่อ download)

น่าจะเป็นประโยชน์ต่อวงการ DPO และ Privacy ครับ


PDPA Thailand


#แบ่งปันกันอ่าน