AnswerPDPA

16/01/2025

จากความไม่โปร่งใส กลายเป็นความไม่ไว้เนื้อเชื่อใจ
ราคาที่บริษัทต้องจ่ายเมื่อไม่สื่อสาร “ตรงๆ“ กับ ผู้บริโภค

ชมคลิปในคอมเม้นท์

16/01/2025

เป็นประเด็นในสังคมพอสมควรกับ การเก็บข้อมูลส่วนบุคคล กับร้านอาหาร Moon Bar….ด้านล่างเป็นเสียงสะท้อนจากลูกค้าที่ใช้บริการ

ผมว่าธุรกิจต้องโปร่งใส ตรงไปตรงมากับผู้บริโภค อย่าพยายามบิด เบือน แถ สังคมเขารู้ครับ เขาเท่าทัน

อ่านเพิ่มข่าว Matichon Online - มติชนออนไลน์ ต่อในคอมเม้นท์ครับ

21/12/2024

เมื่อ "Netflix" โดนปรับ 169 ล้านบาท!! 😱

Netflix vs Privacy Notice

ปฏิเสธไม่ได้ว่า platform บันเทิงคดีด้านภาพยนตร์ที่ได้รับความนิยมเจ้าหนึ่งสมัยนี้ คือ “Netflix”

“Netflix” นั้นถือกำเนิดในสหรัฐอเมริกา 🇺🇸โดยบุรุษนามกระเดื่องที่ชื่อว่า “Reed Hastings” อดีตนักคณิตศาสตร์และวิศวกรประจำ Pure Software ครับ

ส่วนที่มาที่ไปของไอเดียการก่อตั้ง Netflix ก็มีเรื่องเล่าขานกันเพราะว่า นาย Reed คืนแผ่น DVD เรื่อง Apollo 13 ช้าไปหลายวัน

โดนร้าน Blockbuster ปรับเป็นเงิน $40 เหรียญสหรัฐ ทำให้เกิด painpoint และความคิดที่ว่าทำไมร้านเช่า DVD ถึงต้องมีการกำหนดระยะเวลาคืนแผ่น DVD 😡

(ปัจจุบันร้าน Blockbuster เหลือแต่ตำนานครับ)

ความคิดนั้นได้นับการพัฒนากลายมาเป็นระบบสมาชิก subscription แบบรายเดือน ซึ่งรู้หรือไม่ว่าระยะเริ่มต้น business model นั้นลูกค้าต้องกรอกข้อมูลส่วนบุคคลในเว็บไซต์และเลือกภาพยนตร์ได้เพียง 3 เรื่อง!

เมื่อกด submit ทาง Netflix ก็จะส่งแผ่น DVD มาให้ที่บ้าน (ส่งมาพร้อมกับซอง 3 ซองที่ติดอากรแสตมป์เรียบร้อย) เบื่อเมื่อไหร่ก็เข้าไปเลือกหนังใหม่ในเว็บไซต์และส่งแผ่น DVD (ใส่ซองที่เตรียมมาให้) กลับไปที่ Netflix

….โดยส่วนตัว ผมได้ผ่านประสบการณ์ การใช้ Netlfix ในยุคนั้น (ระหว่างปี 1999-2002) และกลับมาใช้อีกครั้งเมื่อกลับมาเมืองไทย ส่วนตัวผมนั้นชื่นชมบริษัทนี้และนาย Reed Hastings มากขอออกตัวไว้ก่อน

วันเวลาผ่านไปจนมาสหัสวรรษปัจจุบันครับ Netflix ได้เปลี่ยนโฉมเป็นยักษ์ใหญ่วงการภาพยนต์ มีหนังแบบออกทุนสร้างเอง (Netflix Original)

รวมถึงมีการทำการตลาดแบบ Personalization มีระบบ Algorithm ที่แนะนำภาพยนตร์ตามจริตของสมาชิก (users) ผู้ใช้อ่าน 

แน่นอนว่ามีการเฝ้าพฤติกรรม (monitoring) ติดตามพฤติกรรม (tracking) อย่างเป็นระบบและเป็นปรกติ

ปัญหาอยู่ตรงไหน?

ปัญหาอยู่ตรงที่หลังจากสหภาพยุโรป 🇪🇺 และโลกทั้งใบได้สมาทาน กฎหมายการคุ้มครองข้อมูลส่วนบุคคลตั้งแต่ปี 2018

แต่ Netflix เองกลับไม่ได้แจ้งให้ลูกค้าทราบอย่างเพียงพอว่าได้ดำเนินการอย่างไรกับข้อมูลของลูกค้า!!

เหตุการณ์มันสั่งสมจนสร้างความไม่พอใจให้ผู้บริโภค (ที่เรียกร้องสิทธิมากขึ้น)

นับจากปี 2019 หรือเกือบ 5 ปีที่ผ่านมาองค์กร nyob (ของ นักเคลื่อนไหวด้านสิทธิความเป็นส่วนตัวนำโดยนายแม็ค ชแรมป์)

ได้ยื่นคำร้องต่อหน่วยงานกำกับด้านการคุ้มครองข้อมูลส่วนบุคคลของเนเธอร์แลนด์ 🇳🇱 (AutoriteitPersoonsgegevens: AP) ซึ่ง Netlfix มีสำนักงานใหญ่ที่กรุงอัมสเตอร์ดัม

โดยได้ฟ้อง Netflix ในประเด็นที่ ไม่ได้แจ้งให้สมาชิกชาวยุโรปทราบว่ามีการดำเนินการใช้ เปิดเผยข้อมูลส่วนบุคคลของลูกค้า อย่างไร

คดีนี้ใหญ่ครับ…นำไปสู่การปรับโทษปกครองแก่ Netflix เป็นเงิน 4.75 ล้านยูโร (คูณ 35.66 ก็ประมาณ 169 ล้านบาท) 😱

โดยในสำนวนคดี กล่าวว่า Netflix ไม่ได้ให้ข้อมูลใน Privacy Notice ชัดเจนเพียงพอแก่ลูกค้าเกี่ยวกับการดำเนินการกับข้อมูลของลูกค้า

พูดง่ายๆ ภาษาชาวบ้านคือไม่ได้บอก หรือบอกไม่หมดว่า ฉันจะใช้ข้อมูลเธอเพื่อการใดบ้าง

Netflix ไม่ได้แค่ล้มเหลวในการ
1️⃣ ให้เหตุผลในการใช้ข้อมูลอย่างเพียงพอนะครับ แต่บริษัทยัง

2️⃣ไม่สามารถแม้กระทั่งจัดการคำขอผู้บริโภคที่มาใช้สิทธิขอเข้าถึงข้อมูล (Right to Access) และขอสำเนาว่า Netflix ได้เก็บรวบรวมข้อมูลส่วนบุคคลอะไรไปบ้างได้อย่างครบถ้วนด้วยซ้ำ

บริษัทไทย ร้านค้าปลีกใด ที่มีระบบสมาชิก ระบบสะสมแต้ม หรือเก็บคะแนน ก็พิจารณาให้ดีนะครับ

หากท่านเป็น DPO ขององค์กร ต้องรู้กระบวนการธุรกิจ ต้องรู้การไหลของข้อมูล เพื่อนำไปเขียนประกาศความเป็นส่วนตัวให้ครบถ้วน

ส่วนตัวผมมองว่า หมดยุคของการ “ไม่บอก” หรือ “บอกไม่หมด” หรือ “บอกไม่ครบ” ว่าจะใช้ข้อมูลลูกค้าอย่างไรแล้วครับ

06/12/2024

1 ใน Big 4 โดน data breach (อ่านต่อใน comment)

28/11/2024

10 Passwords ที่มีคนใช้มากที่สุดในโลก ปี 2024 ใช้เวลาแฮกไม่ถึง 1 วินาที!!!!

อ่านเพิ่มในคอมเม้นท์
Credit: Thai PBS News

21/11/2024

ข้อมูลคนไทย 🇹🇭 รั่วไหลนั้นสำคัญ...แต่สำคัญกว่าคือ “คุณ” สนใจใช้ “สิทธิ” หรือไม่?

เมื่อวันที่ 20 พย 2567 (หรือเมื่อวาน) ที่ผ่านมา เว็บไซท์ databreaches.net ได้ลงพาดหัวข่าวอย่างร้อนแรง
“Thai loyalty membership card data of 5 million customers put up for sale on hacking forum”
แปลเป็นไทยว่า “ข้อมูลบัตรสมาชิกสะสมแต้มของคนไทย 5 ล้านคนถูกนำไปขายในเว็บบอร์ดแฮกเกอร์” ‼️

ในเนื้อข่าวมีการพาดพิงถึง กลุ่มธุรกิจเครือ เซ็นทรัล (Central Group)

เนื้อข่าวรายงาน ว่าเมื่อวันที่ 19 พฤศจิกายน 2567 databreaches.net ได้รับอีเมลจากบุคคลที่เรียกตนเองว่า 0mid16B (ซึ่งอ้างว่าเป็นแฮกเกอร์รายเดียวกับที่เจาะระบบ Black Canyon และ AIS Serenade และทำให้สังคมไทยตกตะลึงด้วยการแจ้งเตือนสมาชิกมากกว่า 700,000 รายในเวลาตี 4 ส่งผลให้มีการรายงานข่าวจำนวนมากในวันถัดมา)

นอกจากนี้ 0mid16B ยังแจ้งกับ databreaches.net ว่าระหว่างเดือนสิงหาคม - พฤศจิกายน 2567 ได้เข้าถึงและขโมยข้อมูลส่วนบุคคลของสมาชิกบัตร Central The 1 Credit Card ของ Central Group จำนวน 5,108,826 รายการผ่านการเจาะ API endpoint ของเครือข่าย Central Retail

ทุกท่านทราบดีว่า Central Group ใช้ระบบสมาชิกบัตร The1 ในทุกแบรนด์ค้าปลีกและสินค้าอุปโภคบริโภคภายใต้ Central Group ซึ่งถือว่าบัตร The1 เป็นระบบสมาชิก Loyalty Program ที่ใหญ่ที่สุดในประเทศไทย โดยมีสมาชิกกว่า 17 ล้านคน (ประมาณ 25% ของประชากรในประเทศไทย)

ในบทความ รายงานต่อว่า
“เนื่องจากการเจรจากับ Central Group ล้มเหลว” ทาง 0mid16B จึงตัดสินใจ “เสนอขาย” ข้อมูลส่วนบุคคลของสมาชิก The1 จำนวน 5,108,826 รายการ (ชื่อ นามสกุล หมายเลขสมาชิก หมายเลขบัตรประชาชน 13 หลัก ประเทศที่อาศัย โทรศัพท์มือถือ และอีเมล) ขนาดรวม 500 กว่า MB บนเว็บบอร์ดแฮกเกอร์
..ข้างบนเป็นบทความคร่าวๆ ที่ databreaches.net นำเสนอ ส่วนที่เหลือท่านสามารถอ่านเองได้ที่ link ที่ผมไปแปะไว้ใต้ comment
**********************
เราๆ ท่านๆ ในฐานะผู้บริโภคที่เป็นสมาชิก The1 card และในฐานะเจ้าของข้อมูลส่วนบุคคล (Data Subject) สามารถใช้สิทธิอะไรบ้างกับ Central Group? Central Group เคยมีข่าวรั่วไหลจนต้องออกจดหมายชี้แจงสังคมเมื่อตุลาคม 2564 หรือ 3 ปีที่ผ่านมา (เฉลี่ยข้อมูลรั่วทุกๆ 3 ปี 😡)

ผมในฐานะสื่อและคนที่สนใจและมองการคุ้มครองข้อมูลส่วนบุคคลในประเด็น “สิทธิ” อยากเรียกร้องให้ Central Group ออกแถลงการณ์ข้อเท็จจริงที่ปรากฏเพื่ออธิบายให้สังคมเข้าใจ จะสะท้อนความโปร่งใส (Transparency) และความรับผิดชอบต่อสังคม (Social Accountability) ได้เป็นอย่างดี

อย่าให้สังคมไทยได้ขึ้นชื่อว่า เหมือนที่ 0mid16B โพสต์บน X ว่า

1️⃣ บริษัทไทยไม่สนใจเรื่องการปกป้องข้อมูล
(Thai companies do not care about protecting data)
2️⃣ เพราะรู้ว่าจะไม่มีอะไรเกิดขึ้นกับพวกเขา
(Because nothing will happen to them)
3️⃣ ไม่มีโทษปรับ PDPA, ไม่มีการเหยียวยาผู้บริโภค และไม่มีความผิด (NO PDPA fines, no compensation for customers and no liability)
4️⃣ คนไทยไม่ได้สนใจเรียกสิทธิตัวเอง (Thai people does not demand for their rights)

🟢ห้างอื่น/ร้านค้าปลีกอื่น สามารถเรียนรู้อะไรบ้างจากบทเรียน เซ็นทรัล? หากท่านเป็นผู้บริหารห้าง ร้านค้าปลีกที่มีระบบสมาชิกจะนิ่งดูดาย หรือจะกระตือรื้อร้นริเริ่มโครงการคุ้มครองข้อมูลส่วนบุคคล สิ่งนี้ขึ้นอยู่กับตัวท่านครับ…

ท้ายสุดผู้บริโภคจะเป็นคนตัดสินครับ


#ข้อมูลส่วนบุคคลไทยต้องปลอดภัย
#ข้อมูลส่วนบุคคล

Justice Department Seizes Cybercrime Website and Charges Its Administrators Posted on November 21, 2024 by Dissent Three Administrators Charged and Cryptocurrency Seized The Justice Department today announced the seizure of PopeyeTools, an illicit website and marketplace dedicated to selling stolen....

04/11/2024

ผมเป็นคน "เรื่องมาก" ในการดื่มกาแฟ...

ผมไม่ดื่มกาแฟสำเร็จรูป (ถ้าไม่จำเป็น) จะนิยมดื่มกาแฟจากเมล็ดคั่วสด ☕️ เท่านั้น อันเนื่องด้วยติดการเสพกลิ่นและรสชาติ

สืบเนื่องด้วยเงื่อนไขด้านอายุ จึงจำกัดตัวเองไว้ที่ 2 แก้วต่อวัน

หลายวันที่ผ่านมามีเหตุการณ์ที่ผิดปรกติ (Incident) ‼️เกิดขึ้นกับข้อมูลส่วนบุคคลจาก LINE OA ร้านกาแฟเจ้าดังแห่งหนึ่งในเมืองไทย ในขณะที่ผมเขียนต้นฉบับ ผู้บริโภคก็ยังไม่สามารถเข้าเว็บไซท์ได้

ผมเป็นสมาชิกร้านกาแฟ specialty หลายแบรนด์ เลยเกิดความคิดอยากรวบรวมเงื่อนไขในการ "เก็บรวบรวม" ข้อมูลส่วนบุคคลของแบรนด์กาแฟเจ้าดังแต่ละรายเพื่อวัตถุประสงค์ด้านสมาชิก (membership) มาให้ผู้อ่านได้เปรียบเทียบ เพื่อประโยชน์สาธารณะครับ

1️⃣ Starbucks Thailand card: กาแฟจากเมือง Seattle 🇺🇸 ดำเนินกิจการโดย ThaiBev มี logo เป็น “Siren” หรือ นางเงือกสองหาง 🧜‍♀️ ในตำนานกรีก

ขั้นตอนการสมัครไม่ซับซ้อนครับ ดาวโหลด app แล้วมีการขอข้อมูลส่วนบุคคล ตามตาราง เป็นบัตรใบเดียวที่เก็บเฉพาะ "วันและเดือนเกิด" ไม่เก็บปีเกิด จะมีการเก็บบัตร Credit Card หรือ Debit Card Mobile Banking เพิ่มเติมเป็น option

สิ่งที่ผมตั้งข้อสังเกตคือ ช่องความยินยอมต้อง กดเพื่อ opt out จากข้อความ “ข้าพเจ้าไม่ประสงค์จะรับข้อมูลข่าวสารทางการตลาดฯ...” ซึ่งควรจะเป็นลักษณะ opt in consent

2️⃣ THE COFFEE CLUB THAILAND Rewards Account: ค่ายกาแฟดังจากออสเตรเลีย 🇦🇺 บริหารงานโดย Minor International มีขั้นตอนการสมัครต้องใส่เบอร์มือถือเพื่อรับ OPT / มีการขอให้ผู้บริโภคตั้งค่า Pin เพื่อความปลอดภัย (security) มีการขอข้อมูลชีวภาพ (Biometric) แทนการตั้งค่า pin แต่เป็น option

3️⃣ D’Oro Thailand: บริหารงานโดย บจก.โกลเด้น ครีม ผู้ประกอบธุรกิจกาแฟครบวงจร ตั้งแต่การปลูก การสมัครสมาชิกต้องกรอกใส่ เบอร์มือถือและ password เพื่อ ระบบส่ง OTP ที่เหลือตามตาราง

4️⃣ Inthanin Coffee Fan Club: ร้านกาแฟ จากค่ายปั๊มน้ำมัน Bangchak หลังจากดีลซื้อ esso แล้วปั๊ม บางจากก็มีความสามารถในการแข่งขันกลุ่มธุรกิจ Non-Oil แบบผิดหูผิดตาคือการขยายสาขาร้านกาแฟ Inthanin จนทะลุ +1,000 สาขา จึงมีการผูกกับบัตรเติมน้ำมันบางจาก มี ระบบwallet จึงขอเลขบัตรประชาชน /เบอร์โทรศัพท์/วันเดือนปีเกิด

5️⃣ Café Amazon: จาก บจม. ปตท. น้ำมันและการค้าปลีก หรือ ที่เรียกติดปากว่า OR Official ระบบสมาชิกผูกบัตรผ่าน app ที่ชื่อว่า xplORe app มี function หมวด blueplus+ (ซึ่งโยกมาจาก Blue Card ตั้งแต่ 1 กพ. 2567) มีระบบ wallet จึงขอ เลขบัตรประชาชน+เบอร์โทรศัพท์+วันเดือนปี เพื่อเชื่อมต่อ wallet มีการขอ รายได้ต่อเดือน เป็น option

6️⃣ กาแฟพันธุ์ไทย PunThai Coffee: เจ้าของคือปั๊ม PTG Energy Group ผูกสมาชิกภายใต้ max card (มี 2 สีให้เลือกคือสีเขียวหรือแดง) ใน app max me มี wallet และมีการข้อมูลบัตรประชาชน 13 หลัก เป็น app เดียวที่ผมสังเกตว่ามีการแสดงผลหมายเลขบัตรประชาชน 13 หลัก ใน app และการแสดงผลนั้นไม่มีการทำ ปกปิดตัวเลข หรือใช้เทคนิค anonymize personal data หรือทำให้เป็นข้อมูลนิรนาม

ทุกค่ายมีระบบสมาชิกมีการกิจกรรมการเก็บรวบรวมข้อมูลส่วนบุคคลเป็นกิจกรรมหลัก และถ้าเข้าองค์ประกอบว่าด้วยจำนวนมากก็ต้องแต่งตั้ง เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) เพื่อเป็นเจ้าภาพในการดูแลข้อมูลส่วนบุคคลครับ


#ข้อมูลส่วนบุคคล

#แบ่งปันกันอ่าน
#ข้อมูลส่วนบุคคลไทยต้องปลอดภัย

02/11/2024

สืบเนื่องจากเหตุการณ์ผิดปรกติ (incident) จากหน้าเพจ BLACK CANYON COFFEE ประชาชนที่เป็นสมาชิกสามารถ

1. ใช้ “สิทธิในการขอเข้าถึง” ข้อมูลส่วนบุคคลของตนได้ มาตรา 30 PDPA ว่า Black Canyon เก็บรวบรวมข้อมูลใด

2. ใช้สิทธิในการลบ ทำลายข้อมูลส่วนบุคคลของตนเองได้ ตามมาตรา 33 ของ PDPA

เรียน ลูกค้าทุกท่าน

แบล็คแคนยอนขอเรียนยืนยันว่า ข้อมูลของลูกค้าทุกท่านได้รับการจัดเก็บด้วยมาตรการความปลอดภัยขั้นสูงสุด โดยข้อมูลที่จัดเก็บเป็นข้อมูลทั่วไป ไม่มีการเก็บข้อมูลทางด้านการเงินของลูกค้าแต่อย่างใด เราขอให้ทุกท่านมั่นใจในความปลอดภัยของข้อมูล และขอขอบคุณที่ไว้วางใจในการใช้บริการกับเรา

ขอแสดงความนับถือ
บริษัท แบล็คแคนยอน (ประเทศไทย) จำกัด

19/10/2024

“ICONOCLAST”

ผมเป็นหนึ่งในนักเรียนที่เรียนพิเศษภาษาอังกฤษช่วงยุค 2530-2540 กับอาจารย์สงวน วงศ์ชูชาติ โรงเรียนเสริมหลักสูตรอาจารย์สงวน วงศ์สุชาต SLS แถวเสาชิงช้า หนึ่งในอาจารย์ที่ประสิทธิ์ประสาทวิชาคำศัพท์ภาษาอังกฤษให้กับนักเรียนไทยหลายคนในยุคนั้น

จำได้แม่นว่าหนึ่งในคำศัพท์ที่อาจารย์สอนคือคำว่า "ICONOCLAST" ซึ่งมาจากคำว่า ICON ที่แปลว่า “ภาพลักษณ์” และ คำว่า Clast ที่รากศัพท์แปลว่า “ผู้ทำลาย” ดังนั้น คำว่า ICONOCLAST จึงแปลว่า ผู้ทำลายภาพลักษณ์เดิมๆ ผู้ที่ทำลายความเชื่อเดิมๆ ในสังคม หรือ ผู้ที่ทำให้สังคมตาสว่างก็ไม่ผิดนัก

*️⃣ICONOCLAST กับกรณีบริษัท Comcast ในการทำลายความเชื่อเดิมเรื่องการ outsourcing*️⃣

เมื่อสัปดาห์ที่ผ่านมาสื่อต่างประเทศหลายฉบับ มีการรายงานการละเมิดข้อมูลส่วนบุคคล ของผู้ใช้บริการโทรคมนาคม Comcast มากกว่า 237,703 ราย ในสหรัฐอเมริกา 🇺🇸 โดยมีการเปิดเผยข้อมูลที่ละเอียดอ่อน เช่น ชื่อ ที่อยู่ หมายเลขประกันสังคม และวันเดือนปีเกิด

แล้วเหตุการณ์นี้มันเกิดขึ้นได้อย่างไร?

ปัญหาของเหตุการณ์นี้เกิดขึ้นจากการที่ บริษัท Comcast นั้น outsource การเก็บข้อมูลการทวงหนี้ให้กับบริษัท Financial Business and Consumer Solutions (FBCS) ซึ่งเป็นบริษัทรับจ้างทวงหนี้ (Debt Collector) ที่เคยร่วมงานกับ Comcast

ประเด็นคือ FBCS ถูกโจมตีด้วย Ransomware กระทบต่อข้อมูลส่วนบุคคล 237,703ราย แม้ว่าทาง Comcast จะยุติสัญญากับบริษัท FBCS แล้วก็ตาม จากเหตุการณ์นี้แสดงให้เห็นว่าถึงแม้ว่าท่านจะยกเลิก หรือยุติความสัมพันธ์กับผู้ให้บริการภายนอกไปแล้ว แต่บริษัทของท่านในฐานะผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ก็ยังคงเสี่ยงต่อการละเมิดข้อมูลอยู่ดี

การไว้ใจและ outsource ข้อมูลส่วนบุคคลของท่านกับบริษัทที่น่าเชื่อถือไม่ได้หมายความว่าท่านจะปลอดภัยจากการไม่ถูกดำเนินคดี

เวลานี้เป็นเวลาที่ดีในการตรวจสอบว่าบริษัทท่าน
1️⃣ มี Data Processing Agreement หรือไม่?
2️⃣ มีการทำ Vetting Vendor หรือไม่?
3️⃣ มีการทวนสอบการ ลบ ทำลาย หรือทำให้ข้อมูลไม่สามารถระบุข้อมูลส่วนบุคคลได้หรือไม่?

เหตุการณ์นี้นอกจากทำให้บริษัทในสหรัฐฯ กลับมาทบทวนการ outsourcing และข้อตกลงสัญญาที่เกี่ยวข้องกับ 3rd party vendor ยังทำลายความเชื่อทั่วไปเกี่ยวกับการควบคุมข้อมูลของลูกค้า และท้าทายสมมติฐานเกี่ยวกับขอบเขตของความรับผิดชอบเมื่อมีการจ้างจัดการข้อมูลจากภายนอก ถือเป็นตัวอย่างที่ดีของการทลายแนวคิดแบบเดิมๆ ในด้านความปลอดภัยของข้อมูล โดยเฉพาะในช่วงหลังการสิ้นสุดสัญญา
....ช่างเป็น case ICONOCLAST เสียกระไร

รายละเอียดการละเมิด:
• จำนวนบุคคลที่ได้รับผลกระทบ: 237,703 ราย ‼️
• วันที่เกิดการละเมิด: 14 กุมภาพันธ์ 2024
• วันที่ตรวจพบการละเมิด: 17 กรกฎาคม 2024
• ลักษณะของการละเมิด: การโจมตีจากภายนอก👁️‍🗨️
• ระยะเวลาในการเก็บข้อมูล: ข้อมูลที่ถูกละเมิดมีอายุตั้งแต่ประมาณปี 2021; Comcast หยุดการใช้บริการปี 2020

PDPA Thailand


#แบ่งปันกันอ่าน

11/10/2024

Legitimate Interest ของใคร?

1️⃣ ฐานผลประโยชน์โดยชอบด้วยกฎหมาย มาตรา 24 (5) นั้นเป็นที่คุ้นเคยกันดีในวงการ data protection และ privacy บ้านเรา ...หากแต่ข้อหารือ กรณีศึกษาหรือตัวอย่างมักหา 👀 อ่านกันเอาเองจากต่างประเทศ

2️⃣ เพียง 2 วันก่อนที่ต้นฉบับของผมนี้ คณะกรรมการการคุ้มครองข้อมูลส่วนบุคคลแห่งสหภาพยุโรป (European Data Protection Board) 🇪🇺 ได้คลอด Guideline 1/2024 on processing of personal data based on Article 6(1)(f) ออกมา ความยาว 37 หน้า (click link ใน comment ได้เลยครับเพื่อ download)

น่าจะเป็นประโยชน์ต่อวงการ DPO และ Privacy ครับ


PDPA Thailand


#แบ่งปันกันอ่าน

21/09/2024

AVIS รถเช่า กับ Letter of Data Breach Notification

Avis Car Rental เป็นรถเช่าสัญชาติอเมริกัน 🇺🇸 ที่ไม่เคยขึ้นอันดับ 1 ในวงการรถเช่าได้เลยเพราะมีคู่แข่งที่แกร่งแกร่งอย่าง Hertz รักษาแชมป์วงการรถเช่ามายาวนาน

AVIS รู้ดีว่าเมื่อไม่สามารถเป็นเบอร์ 1 ได้ก็วาง positioning ทางการตลาดเป็นเบอร์ 2 มันซะ ...นั้นเป็นที่มาของ slogan "...we try harder...." ซึ่งเป็นที่มาของการสร้าง Brand Awareness ที่ดีเยี่ยม

ผมเป็นสมาชิก AVIS มาตั้งแต่จบและทำงานใหม่ๆ ที่สหรัฐ ราวๆ ปี 2539 แต่ตั้งแต่กลับมาเมืองไทยในราวปี 2546-2547 ผมไม่เคยใช้บริการอีกเลย (นิยมใช้รถเช่า Brand ไทย) นั่นหมายความว่า AVIS เก็บข้อมูลส่วนบุคคลผมเกิน 20 ปี 😁

มีเรื่องที่น่าสนใจจะเล่าให้ฟังคือเมื่อวันที่ 17 กันยายน ผมได้รับอีเมลจาก Avis Budget Group มีหัวเรื่องว่า ประกาศแจ้งการละเมิดข้อมูล / Notice of Data Breach

โดยเป็นการแจ้งเตือนถึงเหตุการณ์ที่เกี่ยวข้องกับความปลอดภัยของข้อมูลส่วนบุคคลของผมในฐานะสมาชิก AVIS โดยเข้าใช้คำว่า

"...a data security incident involving some of your personal data..." "...unauthorized third party gained access to one of our business application..."

สิ่งที่อยากแบ่งปันคือรูปแบบการสื่อสารที่ผมมองว่าน่าสนใจ มีสาระดังนี้

1️⃣ แจ้ง Data Subject ว่าเกิดอะไรขึ้น
2️⃣ แจ้ง Data Subject ว่าข้อมูลส่วนบุคคลอะไรบ้างที่ถูกละเมิด
3️⃣ แจ้ง Data Subject ว่า AVIS ในฐานะ Data Controller กำลังดำเนินการทำอะไร
4️⃣ แจ้ง Data Subject ในสิ่งที่ควรทำต่อไป
5️⃣ แจ้ง Data Subject แนวทางการเยียวยา โดยให้เครื่องมือในการป้องกัน Equifax Webdefend ฟรี 1 ปี พร้อมวิธีการใช้งาน
6️⃣ แจ้ง Data Subject ถึงช่องทางในการติดต่อทั้งเบอร์ 1800 และอีเมล

ในประเทศไทยก็มีประกาศ หลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลซึ่งประกาศในราชกิจจานุเบกษาเมื่อวันที่ 15 ธันวาคม 2565 ที่สอดคล้องในทำนองเดียวกัน โดย สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) PDPC Thailand กำหนด ให้ Data Controller ต้องแจ้ง Data Subject ทราบหากประเมินว่าการละเมิดข้อมูลส่วนบุคคลดังกล่าวมีความเสี่ยงสูงที่จะมีผลกระทบ ต่อสิทธิและเสรีภาพของบุคคล โดยต้องแจ้ง
(1) ข้อมูลโดยสังเขปเกี่ยวกับลักษณะของการละเมิดข้อมูลส่วนบุคคล
(2) ชื่อ สถานที่ติดต่อ และวิธีการติดต่อของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลหรือบุคคล ที่ผู้ควบคุมข้อมูลส่วนบุคคลมอบหมายให้ทำหน้าที่ประสานงาน
(3) ข้อมูลเกี่ยวกับผลกระทบที่อาจเกิดขึ้นกับเจ้าของข้อมูลส่วนบุคคลจากเหตุการละเมิดข้อมูลส่วนบุคคล
(4) แนวทางการเยียวยาความเสียหายของเจ้าของข้อมูลส่วนบุคคล และข้อมูลโดยสังเขปเกี่ยวกับมาตรการที่ผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือจะใช้

จะด้วยความบังเอิญหรือไม่ที่ช่วงที่ผมเขียนบทความนี้เป็นควันหลงจากเหตุการที่บริษัทร้านค้าปลีกชื่อดังโทษคำสั่งปกครองปรับเป็นเงิน 7 ล้านบาท โดย 3 ล้านบาท แรกเป็นเรื่องการที่ร้านค้าปลีก 🔕 ไม่แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลภายใน 72 ชั่วโมงนับแต่ทราบเหตุ

จดหมาย จาก AVIS เรื่องการแจ้งเหตุละเมิดนั้น ผมมองว่าเรียบง่าย กระชับได้ใจความ แสดงออกถึงความใส่ใจ ได้ใจผมในฐานะผู้บริโภค

ขอแบ่งปันแก่กลุ่ม DPO ชาวไทยครับ

PDPA Thailand

16/09/2024

ผมเป็นวิทยากรรับเชิญประจำให้กับ PDPA Thailand ในหลักสูตร DPO in Action ที่จัดทุกเดือน หลักสูตรนี้เป็นหลักสูตรที่ได้รับการรับรองจาก สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.)และวิทยากรทุกท่านได้รับการขึ้นทะเบียน

ข้อดีของหลักสูตรคือผู้ที่เรียนและสอบผ่าน (ไม่ยากแต่ต้องตั้งใจ) จะสามารถนำไปเทียบระดับเป็น DPO ระดับ 6 จากสถาบันคุณวุฒิวิชาชีพ TPQI (Thailand Professional Qualification Institute)

ไม่ว่าองค์กรท่านจะต้องแต่งตั้งให้มี DPO ตามมาตรา 41 หรือไม่ การที่ท่านมีคนในองค์กรที่รู้ลึกรู้จริงเพื่อดำเนินการทำให้องค์กรสอดคล้องกับ PDPA เป็นสิ่งจำเป็นอย่างยิ่ง

ลดความเสี่ยงด้วยการเริ่มส่งคนเข้าอบรมเป็นทางเลือกที่ economical มากในยุคนี้ครับ

14/09/2024

มนุษย์ชอบฟังการเล่าเรื่องราว (storytelling) มานาน ผมมองว่าเรื่องที่แชร์มานี้ท่านที่เป็น DPO หรือฝ่ายที่ต้องรับผิดชอบในการคุ้มครองข้อมูลส่วนบุคคลสามารถนำไปใช้ได้ในการสอนปรับใช้กับองค์กรท่านได้ครับ

วิกฤตข้อมูลรั่วไหล!!!
..........

คืนวันศุกร์ที่ 13...

แม้ว่าจะดึกแล้ว แต่พรุ่งนี้คือวันหยุด สมชาย พนักงานขนส่งของบริษัท HealthMart จึงเล่นโทรศัพท์มือถือก่อนเข้านอน แต่เมื่อสายตาเหลือบไปเห็นโพสต์หนึ่งบน Facebook ที่เพื่อนแชร์มา เขาต้องขมวดคิ้วด้วยความสงสัย

"ข้อมูลลูกค้า HealthMart กว่าแสนรายหลุด! พบวางขายบน Dark Web" พาดหัวข่าวทำให้หัวใจของเขาเต้นแรง

สมชายรีบโทรหาวิชัย หัวหน้าแผนกขนส่งทันที แม้จะเป็นเวลาเกือบเที่ยงคืนแล้วก็ตาม

"คุณวิชัยครับ ผมสมชายนะครับ ขอโทษที่โทรมารบกวนดึกๆ แต่ผมเพิ่งเห็นข่าวสำคัญมากครับ..."

……….

การประชุมฉุกเฉิน

เช้าวันเสาร์ที่ 14 ธันวาคม เวลา 7:00 น. ห้องประชุมออนไลน์เต็มไปด้วยใบหน้าที่เคร่งเครียดของผู้บริหารระดับสูงของ HealthMart

ธนา CEO เริ่มการประชุมด้วยน้ำเสียงหนักแน่น "ทุกคนครับ เรามีวิกฤตร้ายแรงที่ต้องจัดการ ข้อมูลลูกค้าของเรารั่วไหล และกำลังถูกขายบน Dark Web"

สมศักดิ์ ผู้อำนวยการฝ่ายปฏิบัติการ รายงานสถานการณ์ที่ได้รับแจ้งมาตั้งแต่คืนก่อน ขณะที่ทุกคนฟังด้วยความตึงเครียด

"เราต้องแจ้ง DPO และเริ่มกระบวนการจัดการเหตุละเมิดข้อมูลส่วนบุคคลทันที" ผู้จัดการฝ่ายกฎหมายเสนอ

ธนาพยักหน้า "ตกลง ให้ติดต่อคุณปิ่นทันทีหลังจบการประชุมนี้"

……….

DPO เข้าสู่สนาม...

ปิ่น DPO ของ HealthMart รู้สึกเหมือนโลกหมุนเร็วขึ้นทันทีที่ได้รับโทรศัพท์แจ้งเหตุ เธอรีบเปิดคอมพิวเตอร์และเริ่มรวบรวมข้อมูลทั้งหมดที่มี

"เราต้องแจ้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายใน 72 ชั่วโมง" เธอพึมพำกับตัวเอง พลางเริ่มร่างรายงานเบื้องต้น

ในขณะเดียวกัน เธอส่งอีเมลด่วนถึง CIO เพื่อขอข้อมูลทางเทคนิคเพิ่มเติม และโทรหาผู้จัดการฝ่ายกฎหมายเพื่อปรึกษาเรื่องการแจ้งลูกค้า

"เราต้องทำทุกอย่างให้ถูกต้องและรวดเร็ว" ปิ่นคิด ขณะที่เธอเริ่มวางแผนการทำงานอีกยาวนานที่รออยู่ข้างหน้า

………

ปฏิบัติการของทีมไอที...

สมหมาย CIO นั่งอยู่หน้าจอคอมพิวเตอร์พร้อมกับทีมงานไอทีที่ดีที่สุดของบริษัท พวกเขากำลังตรวจสอบระบบอย่างละเอียดเพื่อหาจุดที่ข้อมูลรั่วไหล

"ผมพบช่องโหว่แล้วครับ" หนึ่งในทีมไอทีรายงาน "ดูเหมือนว่าจะมีการเจาะระบบผ่านช่องโหว่ของซอฟต์แวร์ที่เราใช้"

สมหมายพยักหน้า "ปิดช่องโหว่นั้นทันที และตรวจสอบว่ามีช่องโหว่อื่นอีกหรือไม่ เราต้องยับยั้งการรั่วไหลให้ได้โดยเร็วที่สุด"

เขาหยิบโทรศัพท์ขึ้นมาเพื่อรายงานความคืบหน้าให้ CEO และ DPO ทราบ พร้อมกับเตรียมใจสำหรับคืนที่ไม่ได้นอนอีกคืน

………..

การเตรียมการสื่อสาร…

ในห้องประชุมอีกห้องหนึ่ง นงนุช ผู้จัดการฝ่ายสื่อสารองค์กร กำลังประชุมกับทีมงานของเธอ

"เราต้องเตรียมแถลงการณ์สำหรับสื่อมวลชนและลูกค้า" เธอกล่าว "ต้องแสดงความรับผิดชอบ แต่ก็ต้องระมัดระวังไม่ให้เกิดความตื่นตระหนกเกินไป"

ทีมงานเริ่มร่างข้อความ ขณะที่นงนุชโทรปรึกษากับผู้จัดการฝ่ายกฎหมายเพื่อตรวจสอบว่าข้อความที่จะสื่อสารไม่ก่อให้เกิดปัญหาทางกฎหมายในภายหลัง

"และอย่าลืม" เธอเตือนทีม "เราต้องเตรียมตัวรับมือกับคำถามที่อาจเกิดขึ้นบนโซเชียลมีเดียด้วย"

………..

การเยียวยาลูกค้า…

สมศรี ผู้จัดการฝ่ายขาย นั่งอยู่ในออฟฟิศของเธอ พยายามคิดหาวิธีที่จะรักษาความสัมพันธ์กับลูกค้าในช่วงวิกฤตนี้

"เราต้องติดต่อลูกค้าทุกรายที่ได้รับผลกระทบ" เธอบอกกับทีมขายที่นั่งล้อมวงอยู่ "แต่ต้องทำอย่างระมัดระวัง ไม่ให้เกิดความตื่นตระหนกมากเกินไป"

เธอเริ่มร่างแผนการชดเชย ทั้งการให้บริการเฝ้าระวังข้อมูลทางการเงินฟรี และส่วนลดพิเศษสำหรับการซื้อสินค้าครั้งต่อไป

"นี่อาจเป็นโอกาสที่เราจะแสดงให้ลูกค้าเห็นว่าเราใส่ใจพวกเขามากแค่ไหน" สมศรีคิด พลางหวังว่าความพยายามนี้จะช่วยรักษาความเชื่อมั่นของลูกค้าไว้ได้

……….

การฟื้นฟูภายในองค์กร…

สมใจ ผู้จัดการฝ่าย HR เดินเข้าออกระหว่างแผนกต่างๆ พยายามให้กำลังใจพนักงานที่กำลังทำงานหนักในช่วงวิกฤต

"เราต้องดูแลทีมของเราด้วย" เธอเตือนตัวเอง ขณะที่วางแผนจัดอบรมเรื่องความปลอดภัยของข้อมูลให้กับพนักงานทุกคน

ในขณะเดียวกัน เธอก็ต้องจัดการกับความกังวลของพนักงานที่กลัวว่าข้อมูลส่วนตัวของตนเองจะรั่วไหลด้วย

"เราจะผ่านวิกฤตนี้ไปด้วยกัน" สมใจกล่าวกับทีมงาน HR ของเธอ "และเราจะออกมาแข็งแกร่งกว่าเดิม"

……….

มองไปข้างหน้า…

หนึ่งสัปดาห์ผ่านไป ทีมผู้บริหารของ HealthMart นั่งประชุมกันอีกครั้ง แต่คราวนี้บรรยากาศดูผ่อนคลายกว่าเดิมเล็กน้อย

ธนา CEO กล่าวเปิดการประชุม "ผมต้องขอบคุณทุกคนสำหรับการทำงานหนักในช่วงที่ผ่านมา เรายังมีงานอีกมากที่ต้องทำ แต่เราก็ผ่านจุดวิกฤตที่สุดมาได้แล้ว"

ปิ่น DPO รายงานว่าได้ส่งรายงานให้สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเรียบร้อยแล้ว และกำลังดำเนินการแจ้งลูกค้าที่ได้รับผลกระทบ

สมหมาย CIO อธิบายถึงมาตรการรักษาความปลอดภัยใหม่ที่ได้นำมาใช้ ขณะที่สมศรีรายงานว่าลูกค้าส่วนใหญ่ตอบรับมาตรการเยียวยาเป็นอย่างดี

"เราได้เรียนรู้บทเรียนที่สำคัญจากเหตุการณ์นี้" ธนากล่าวทิ้งท้าย "และเราจะใช้มันเพื่อทำให้ HealthMart แข็งแกร่งและปลอดภัยยิ่งขึ้นในอนาคต"

ทุกคนในห้องพยักหน้าเห็นด้วย พร้อมที่จะเผชิญกับความท้าทายใหม่ๆ ที่รออยู่ข้างหน้า ด้วยความมั่นใจและประสบการณ์ที่ได้รับจากการจัดการวิกฤตครั้งนี้

***ข้อมูล เหตุการณ์ และตัวละคร เป็นการสมมติขึ้นมา เพื่อการเรียนรู้ ไม่มีเจตนาพาดพิงให้ร้ายกับองค์กรหรือบุคคลใดบุคคลหนึ่ง***

11/09/2024

บริษัททำข้อมูลส่วนบุคคลรั่ว ใครรับผิดชอบ? (ดู comment)

06/09/2024

ใบ (อนุญาต) ขับขี่ (Driving License) ในยุคดิจิทัล

ในวันที่ผมเขียนต้นฉบับนี้ เว็บไซต์ราชกิจจานุเบกษา เผยแพร่ประกาศกรมการขนส่งทางบก เรื่องการปรับใบขับขี่รูปแบบใหม่ กำหนดเครื่องหมายกาชาดสำหรับผู้ขับขี่ที่แสดงความประสงค์บริจาคอวัยวะกับสภากาชาดไทย (โดยมีผลบังคับใช้ตั้งแต่วันที่ 7 สิงหาคม 2567 ที่ผ่านมา)

ข้อมูลส่วนบุคคล กับ ใบขับขี่
ข้อมูลส่วนบุคคล บนใบขับขี่แบบแทบแม่เหล็กที่ออกโดยกรมขนส่ง จะมีคำนำหน้านาม ชื่อ นามสกุล แสดงเป็นภาษาไทยและภาษาอังกฤษ มีวันเดือนปีที่เกิดพร้อมทั้งแสดง รูปถ่ายใบหน้า (ไม่แสดงส่วนสูงเหมือนบัตรประชาชน) และหมายเลขประจำตัวประชาชน 13 หลัก ถ้าพลิกไปด้านหลังก็จะเจอที่อยู่ตามทะเบียนบ้าน นี่คือสิ่งที่ผมคิดว่าซีเรียสสำหรับข้อมูลส่วนบุคคลบนใบขับขี่

ข้อมูลส่วนบุคคล กับ ใบขับขี่แบบใหม่
ความน่าสนใจสำหรับ DPO และผู้ที่สนใจในกฎหมายการคุ้มครองข้อมูลส่วนบุคคลคือ ผู้แสดงความจำนงบริจาคอวัยวะ (Organ Donor) สามารถแจ้งความประสงค์ขอเพิ่มสัญลักษณ์ ของสภากาชาดไทย 🏥 “กากบาทแดงบนพื้นสีขาว” และเพิ่มข้อความ “บริจาคอวัยวะ” ซึ่งตรงกับหลายประเทศในกลุ่มประเทศพูดภาษาอังกฤษที่พัฒนาแล้ว เช่น
🇺🇸 สหรัฐ
🇬🇧 สหราชอาณาจักร
🇦🇺 ออสเตรเลีย
🇨🇦 แคนนาดา และ
🇳🇿 นิวซีแลนด์ มีการแสดงสัญลักษณ์ เช่น ❤️ รูปหัวใจสีแดง หรือ รูปคทางูไขว้ (Caduceus) พร้อมทั้งข้อความ Donor ให้แสดงบนหน้าใบขับขี่ได้ เพื่อสะดวกต่อเจ้าหน้าที่กรณีที่ผู้แสดงความจำนงบริจาคอวัยวะประสบอุบัติเหตุถึงแก่ชีวิต

ประเด็นนี้น่าสนใจไม่น้อยครับ
1️⃣ หากตีความว่าสถานะการบริจาคอวัยวะมีผลโดยตรงต่อสุขภาพกายของบุคคล เนื่องจากเป็นตัวบ่งชี้การตัดสินใจทางการแพทย์เกี่ยวกับร่างกายของบุคคลของเรานั้น ก็สามารถจัดได้ว่าข้อมูลการบริจาคอวัยวะเป็นข้อมูลสุขภาพ ซึ่งต้องได้รับการจัดประเภทอย่างชัดเจนว่ามีความละเอียดอ่อนภายใต้ PDPA และมีการป้องกันพิเศษเพื่อป้องกันการใช้ในทางที่ผิด หรือการเข้าถึงโดยไม่ได้รับอนุญาต ต้องมีการถมดำกรณีมีการถ่ายเอกสาร

2️⃣ และหากมีการตีความว่า “ไม่เป็น” ข้อมูลส่วนบุคคลลักษณะพิเศษตามมาตรา 26 ก็ยังมีประเด็นเรื่องของความเป็นส่วนตัวอยู่ดี เช่น การเลือกปฏิบัติ การเปิดเผยความเชื่อส่วนบุคคล ซึ่งอาจจะนำไปสู่การปฏิบัติ หรือการตัดสินที่ไม่เป็นธรรม

3️⃣ ผมเชื่อว่าการบริจาคร่างกาย ดวงตา อวัยวะเป็นกุศลธรรมอย่างหนึ่ง อย่างน้อยก็สามารถต่อชีวิตเพื่อนมนุษย์ได้อีกหลายชีวิต ไม่ว่าผู้รับอวัยวะจะนับถือศาสนาใด อายุต่างกันขนาดไหน หรือมีผิวสีอะไร

แต่ในมุมของการดูแลข้อมูลส่วนบุคคลสำหรับใบขับขี่แบบใหม่นี้ บริษัท ห้างร้าน รวมถึงหน่วยงานของรัฐก็ต้องมีการตระหนักรู้เพิ่มมากขึ้นว่าจะสามารถปกป้องและสร้างความเป็นส่วนตัวให้กับเจ้าของข้อมูลได้มากเพียงใดครับ

PDPA Thailand

29/08/2024

ประมาทเลินเล่ออย่างร้ายแรง, บริษัท JIB Computer Group และ คดีปกครองในการไม่แต่งตั้ง DPO

ในวันที่ผมเขียนต้นฉบับนี้ (วันพุธที่ 28 สิงหาคม 2567) ผู้ที่สนใจด้านการคุ้มครองข้อมูลส่วนบุคคล หรือ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) คงได้อ่านรายละเอียดที่ คณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 (เรื่องร้องเรียนเกี่ยวกับเทคโนโลยีดิจิทัล และอื่นๆ) สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ได้มีคำสั่งลงโทษปรับทางปกครอง บริษัท เจ.ไอ.บี. คอมพิวเตอร์ กรุ๊ป จำกัด (JIB) ผู้จัดจำหน่ายคอมพิวเตอร์และอุปกรณ์ไอทีในฐานะผู้ถูกกล่าวหาและในฐานะ ”ผู้ควบคุมข้อมูลส่วนบุคคล“ เป็นเงินรวม 7 ล้านในคำสั่ง ที่ คจ 7/2567 เรื่อง ให้ปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลอย่างเคร่งครัด ซึ่งมีรายละเอียดว่า JIB ในฐานะผู้ถูกร้องเรียน

1️⃣ ต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ ในมาตรา 37(1)

2️⃣ ต้องแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สำนักงานคุ้มครองข้อมูลส่วนบุคคลโดยไม่ชักช้าภายใน 72 ชั่วโมง ในมาตรา 37(4)

3️⃣ ต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ DPO ตามข้อกำหนดและเงื่อนไขที่กฎหมายกำหนด ในมาตรา 41 (2)

เป็นที่สังเกตว่า รัฐลงโทษปรับปกครองในประเด็น ไม่แต่งตั้ง DPO โดยใช้คำว่า “ประมาทเลินเล่ออย่างร้ายแรง“

🔴ประมาทเลินเล่อ VS ประมาทเลินเล่ออย่างร้ายแรง

ประมาทเลินเล่อ หรือ การกระทำโดยประมาท หมายถึง กระทำความผิดมิใช่โดยเจตนา แต่กระทำโดยปราศจากความระมัดระวังซึ่งบุคคลในภาวะเช่นนั้นจำต้องมีตามวิสัย และพฤติการณ์ และผู้กระทำอาจใช้ความระมัดระวังเช่นว่านั้นได้ แต่หาได้ใช้ให้เพียงพอไม่ คือพูดง่ายๆ ว่าไม่ได้ใช้ความระมัดระวัง

แล้วประมาทเลินเล่อแบบร้ายแรงต่างกันตรงไหน?

ประมาทเลินเล่ออย่างร้ายแรงหรือการกระทำการด้วยความประมาทเลินเล่ออย่างร้ายแรง หมายถึง การกระทำ โดยมิได้เจตนา แต่เป็นการกระทำซึ่งบุคคลพึงคาดหมายได้ว่าอาจก่อให้เกิดความเสียหายขึ้นและหากใช้ความระมัดระวังแม้เพียงเล็กน้อยก็อาจป้องกันมิให้เกิดความเสียหายนั้นได้ แต่กลับมิได้ใช้ความระมัดระวังเช่นว่านั้นเลย (คำพิพากษาศาลปกครองสูงสุดที่ อ. 10/2552) ถ้าจะให้อธิบายคือเพียงท่านออกแรงนิดเดียวเหตุมันก็ไม่เกิด

✅ เพียงองค์กรของท่านแต่งตั้ง DPO องค์กรของท่านก็จะพ้นผิดในข้อหานี้
✅ กฎหมายไม่ได้กำหนด คุณวุฒิและคุณสมบัติของ DPO เพียงแต่การทำงานต้อง ไม่มีผลประโยชน์ทับซ้อนกับงานประจำที่ทำกรณีเป็นคนในองค์กร
✅ มากไปกว่านั้นหลายๆ องค์กรก็แต่งตั้ง DPO หลังเส้นตายที่รัฐกำหนดคือแต่งตั้งวันที่ 13 ธันวาคม 2566

ง่ายขนาดนี้
ออกแรงแค่นิดเดียวขนาดนี้
เพียงผู้บริหารลงนามแต่งตั้ง DPO เท่านี้ ก็จบ…เรื่องก็ไม่เกิด…แล้วทำไมไม่ทำ?

จึงเป็นคำถามตัวโตๆ ที่นำมาซึ่งข้อหาประมาทเลินเล่อแบบร้ายแรงในคดีปกครองนี้ครับ