ในยุคดิจิทัลที่ข้อมูลส่วนบุคคลมีมูลค่าสูง การรั่วไหลของข้อมูลจึงกลายเป็นปัญหาใหญ่ที่สร้างความเสียหายต่อทั้งบุคคลและองค์กร โดยกฏหมาย PDPA จะมี 2 บทบาท ที่จะมีหน้าที่และบทบาทที่ต้องรับผิดชอบในการดำเนินการของข้อมูลส่วนบุคคล คือ “ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)” และ “ผู้ประมวลผลข้อมูลส่วนบุคคล Data Processor)” 🔷 ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เช่น บริษัท ห้างสรรพสินค้า โรงพยาบาล หรือหน่วยงานภาครัฐ 🔷ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ องค์กรหรือบุคคลที่ได้รับมอบหมายจากผู้ควบคุมข้อมูล (Data Controller) ให้ทำหน้าที่ประมวลผลข้อมูลส่วนบุคคลตามคำสั่งและวัตถุประสงค์ที่กำหนดไว้ โดยไม่ได้มีอำนาจในการตัดสินใจเกี่ยวกับการเก็บรวบรวม การใช้ หรือการเปิดเผยข้อมูลส่วนบุคคลนั้นเอง โดยกฎหมายคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนดให้ “ผู้ควบคุมข้อมูลส่วนบุคคล” เป็นผู้รับผิดชอบหลักในการปกป้องข้อมูลส่วนบุคคล 🔐 แล้วกรณีข้อมูลส่วนบุคคลรั่วไหล ทั้ง 2 บทบาทจะทำหน้าที่อย่างไร ? 📍หน้าที่และความรับผิดชอบของ “ผู้ควบคุมข้อมูลส่วนบุคคล” •… Continue reading ถ้าพบว่าข้อมูลส่วนบุคคลตัวเองหลุดทำอย่างไรและใครรับผิดชอบ?
Author: admin
มาทำให้การเก็บข้อมูลความยินยอมของพนักงานเป็นเรื่องง่ายกันเถอะ!
พนักงานทุกคนล้วนมีข้อมูลส่วนบุคคลที่สำคัญ ซึ่งนายจ้างจำเป็นต้องเก็บรวบรวมเพื่อบริหารจัดการองค์กร การขอความยินยอมจากพนักงานจึงเป็นสิ่งสำคัญ ทั้งนี้เพื่อเป็นการคุ้มครองสิทธิส่วนบุคคลของพนักงานและนายจ้างจึงต้องปฏิบัติตามวัตถุประสงค์ที่ได้ให้ความยินยอมไว้ การให้ความยินยอม หมายถึง อะไร? ง่ายๆ ก็คือ การที่พนักงานเต็มใจให้ข้อมูลส่วนตัว หรือ อนุญาตให้นายจ้างดำเนินการบางอย่างกับข้อมูลส่วนตัวของพนักงานนั่นเอง เช่น การนำข้อมูลส่วนตัวเพื่อไปทำประกันสุขภาพแก่พนักงาน เป็นต้น แล้วพนักงานต้องให้ความยินยอมอะไรบ้าง? ข้อมูลส่วนตัวที่นายจ้างมักขอความยินยอมจากพนักงานตัวอย่างเช่น • ข้อมูลทั่วไป เช่น ชื่อ นามสกุล ที่อยู่ เบอร์โทรศัพท์ • ข้อมูลการติดต่อฉุกเฉิน • ข้อมูลการศึกษา • ข้อมูลการทำงาน • ข้อมูลด้านสุขภาพ • ข้อมูลทางการเงิน “สิ่งที่สำคัญที่สุดคือการดำเนินการในการขอความยินยอม และการเก็บข้อมูลในการให้ความยินยอมจากพนักงานขององค์กร” ในปัจจุบันแต่ละองค์กรจะมีขั้นตอนในการขอความยินยอมพนักงานที่แตกต่างกัน เช่น บางองค์กรจะยังขอความยินยอมเป็นรูปแบบ Manual ก็คือรูปแบบกระดาษ หรือบางองค์กรอาจจะเก็บข้อมูลในรูปแบบออนไลน์ อย่างเช่น Microsoft Form หรือระบบ CRM ขององค์กรเอง WhiteFact จึงอยากนำเสนอโซลูชั่น Consent Management ที่มีฟีเจอร์ที่จะช่วยให้การบริหารความยินยอมจำนวนมากเป็นเรื่องง่ายมากยิ่งขึ้น ✨ WhiteFact… Continue reading มาทำให้การเก็บข้อมูลความยินยอมของพนักงานเป็นเรื่องง่ายกันเถอะ!
เข้าใจก่อนให้ความยินยอม : รู้เท่าทัน สิทธิของเรา
“การให้ความยินยอม” เป็นเรื่องที่พบเจอได้บ่อยครั้ง ไม่ว่าจะเป็นการสมัครสมาชิกเว็บไซต์ การใช้แอปพลิเคชัน หรือแม้แต่การทำธุรกรรมต่างๆ ที่เป็นการยินยอมให้บุคคลอื่นเข้าถึงข้อมูลส่วนตัวของเรา อย่างไรก็ตาม การให้ความยินยอมนั้น ไม่ได้หมายความว่าเราต้องยินยอมไปเสียทั้งหมด โดยไม่ต้องไตร่ตรองหรือพิจารณาอะไร แล้วเราจะรู้ได้อย่างไรว่าอะไรคือสิ่งที่เราควรยินยอม และอะไรคือสิ่งที่เราไม่ควรยินยอม? คำตอบก็คือ เราต้อง “เข้าใจ” เสียก่อน การเข้าใจ หมายถึง การรับรู้ข้อมูลข่าวสารที่ครบถ้วน ถูกต้อง และเพียงพอ เกี่ยวกับสิ่งที่เราจะยินยอม ข้อมูลที่เราควรทราบ ประกอบไปด้วย • วัตถุประสงค์ ของการขอความยินยอม• รายละเอียด ของสิ่งที่เราจะยินยอม• ความเสี่ยง ที่อาจเกิดขึ้น เช่น ความเสี่ยงในกรณีที่เราให้ความยินยอมในการจัดเก็บ และเผยแผร่ข้อมูลนั้นอาจก่อให้ความเสียหายต่อเราหรือไม่ • สิทธิ เรามีสิทธิในการดำเนินการข้อมูลของเราอย่างไรบ้าง เช่น สิทธิในการขอแก้ไขข้อมูลในภายหลัง • ช่องทางการติดต่อ ในกรณีที่ต้องการสอบถามเพิ่มเติมเกี่ยวกับการดำเนินการของข้อมูลส่วนบุคคล เมื่อเราเข้าใจข้อมูลเหล่านี้แล้ว เราจะสามารถตัดสินใจได้อย่างชาญฉลาดว่าเราจะยินยอมหรือไม่ “การให้ความยินยอมอย่างมีสติ นั้น ไม่ได้เป็นเพียงการปกป้องสิทธิ์ของเราเท่านั้น แต่ยังเป็นการแสดงความรับผิดชอบต่อตัวเองและผู้อื่นอีกด้วย” ดังนั้น ก่อนที่จะให้ความยินยอมกับอะไรก็ตาม • ใช้เวลาสักครู่เพื่ออ่านและทำความเข้าใจข้อมูล • อย่ารีบร้อนตัดสินใจ •… Continue reading เข้าใจก่อนให้ความยินยอม : รู้เท่าทัน สิทธิของเรา
รู้หรือไม่ ? สิทธิของเจ้าของข้อมูล(Data Subject Rights) ทำอะไรได้บ้าง
ตามกฏหมายคุ้มครองข้อมูลส่วนบุคคล พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ PDPA (Personal Data Protection Act) กำหนดให้เจ้าของข้อมูลมีสิทธิที่จะดำเนินการตามกฏหมายในฐานะเจ้าของข้อมูล ในกรณีที่ผู้ควบคุมข้อมูล (Data Controller) และ ผู้ประมวลผลข้อมูล (Data Processor) นำข้อมูลส่วนบุคคลของเราไปใช้ในทางที่ผิดวัตถุประสงค์ เรามีสิทธิที่จะร้องเรียนได้หรือไม่ ? ทีม WhiteFact จึงอยากให้บทความนี้ช่วยทุกท่านให้ทราบสิทธิของตนเองในการเรียกร้องสิทธิตามกฏหมายได้ มาดูกันค่ะว่า “สิทธิเจ้าของข้อมูล”สามารถทำอะไรได้บ้าง 1.สิทธิที่จะได้รับการแจ้งให้ทราบ (Right to be informed) • คุณมีสิทธิทราบว่าองค์กรเก็บข้อมูลส่วนบุคคลจากที่ไหน และการเก็บรวบรวม การนำไปใช้ข้อมูลส่วนบุคคล มีอะไรบ้าง • องค์กรมีหน้าที่แจ้งให้คุณทราบ 💡ตัวอย่าง : คุณมีสิทธิ์ทราบว่าธนาคารได้ข้อมูลส่วนบุคคลของคุณมาจากไหน เช่น จากตัวคุณเอง จากเว็บไซต์ธนาคาร ฯลฯ 📢 สิทธิที่เจ้าของข้อมูลจะได้รับโดยไม่ต้องร้องขอ เนื่องจากโดยปกติแล้วองค์กรจะมีการแจ้งให้ทราบถึงวัตถุประสงค์ของการเก็บรวบรวมและการนำไปใช้ผ่าน Privacy Notice 2. สิทธิในการเข้าถึงข้อมูล (Right of access) •… Continue reading รู้หรือไม่ ? สิทธิของเจ้าของข้อมูล(Data Subject Rights) ทำอะไรได้บ้าง
PDPA คืออะไร ? ฉบับย่อยง่าย!
หลังจากที่ได้มีการบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือที่เรามักจะเรียกกันสั้นๆ ว่า PDPA มีผลบังคับใช้ตั้งแต่วันที่ 1 มิถุนายน 2565 ซึ่งนับตั้งแต่วันที่มีการบังคับใช้ก็เป็นเวลา 2 ปีแล้ว ซึ่งบางองค์กรหรือผู้อ่านเองก็อาจจะยังไม่เข้าใจในตัวกฏหมายนี้เองอย่างจริงจัง วันนี้ทีมงาน WhiteFact มีคำตอบที่จะมาช่วยทุกท่านไขข้อสงสัย เกี่ยวกับกฎหมาย PDPA ซึ่งเกี่ยวข้องกับทุกคนแบบเข้าใจง่ายมาให้ได้อ่านกันค่ะ 📖 💡PDPA คืออะไร ? “ถ้าจะให้อธิบายง่ายๆ ก็คือ กฎหมายที่ออกมาเพื่อคุ้มครองข้อมูลส่วนบุคคลของเรา ไม่ให้ถูกนำไปใช้โดยไม่ได้รับอนุญาต เปรียบเสมือนเกราะป้องกันข้อมูลส่วนตัวของเรา ให้ปลอดภัยจากมิจฉาชีพ หรือการนำไปใช้ในทางที่ผิด” แล้วทำไมองค์กรต้องทำ PDPA? เพราะกฎหมายนี้กำหนดให้หน่วยงานหรือองค์กรต่างๆ ที่เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของเราในฐานะ ผู้ควบคุมข้อมูล (Data Controller) และ ผู้ประมวลผลข้อมูล (Data Processor) ต้องปฏิบัติตามหลักเกณฑ์ที่กำหนดไว้ เพื่อให้มั่นใจว่าข้อมูลของเราในฐานะเจ้าของข้อมูล (Data Subject) จะถูกใช้อย่างถูกต้อง โปร่งใส และปลอดภัย องค์กรมีหน้าที่อะไรบ้างตาม PDPA🔍 • ขอความยินยอมจากเจ้าของข้อมูล… Continue reading PDPA คืออะไร ? ฉบับย่อยง่าย!
รู้ได้อย่างไร ? ธุรกิจคุณ Comply PDPA หรือยัง
ในยุคดิจิทัลที่ข้อมูลเป็นสินทรัพย์สำคัญ การปกป้องข้อมูลส่วนบุคคลไม่เพียงแต่เป็นหน้าที่ทางกฎหมาย แต่ยังสร้างความไว้วางใจให้กับลูกค้าอีกด้วย พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ไม่ใช่เรื่องยาก แต่ต้องมีการตรวจสอบและดำเนินการอย่างรอบคอบ โดยเรามี Checklist ง่ายๆ ให้ธุรกิจของคุณ ตรวจสอบว่าพร้อมหรือไม่ มาเริ่มกันเลย ✨ 1. การแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO: Data Protection Officer) มาตรา 41 DPO คือเจ้าหน้าที่ที่ได้รับการแต่งตั้งเพื่อดูแลและตรวจสอบการดำเนินการเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลขององค์กรให้เป็นไปตามข้อกำหนดของ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล) โดยมีบทบาทสำคัญในการป้องกันและจัดการความเสี่ยงที่เกี่ยวข้องกับข้อมูลส่วนบุคคล สรุป 💡: การมี DPO ที่มีความรู้และความเชี่ยวชาญไม่เพียงแต่ช่วยให้ธุรกิจปฏิบัติตามข้อกำหนดของกฎหมาย แต่ยังเสริมสร้างความน่าเชื่อถือและความไว้วางใจจากลูกค้าอีกด้วย 2. การจัดทำเอกสารบันทึกการประมวลผลข้อมูลส่วนบุคคล (RoPA:Record of Proccessing) มาตรา 39 เอกสารที่บันทึกข้อมูลเกี่ยวกับกิจกรรมการประมวลผลข้อมูลส่วนบุคคลขององค์กรเปรียบเสมือนคู่มือที่บอกเราว่า องค์กรเก็บข้อมูลอะไรบ้าง เก็บไว้ทำไม เก็บไว้นานแค่ไหน และนำข้อมูลไปใช้ทำอะไรบ้าง และเราจะมีการทำลายอย่างไร ซึ่งวิธีการจัดทำจะเป็นเอกสาร หรือใช้ระบบอิเล็กทรอนิกส์ก็ได้ ทำไมองค์กรต้องให้ความสำคัญในการจัดทำ RoPA ? เพื่อให้เจ้าของข้อมูลและสำนักงานคณะกรรมคุ้มครองข้อมูลส่วนบุคคลสคสตรวจสอบได้ และเป็นหลักฐานสำคัญว่าองค์กรปฏิบัติตามกฏหมาย เพื่อช่วยให้องค์กรบริหารจัดการข้อมูลส่วนบุคคลได้อย่างมีประสิทธิภาพ และแสดงให้เห็นถึงความโปร่งใส และความรับผิดชอบต่อข้อมูล เพื่อประเมินและป้องกันความเสี่ยงที่อาจเกิดขึ้นจากการประมวลผลข้อมูลส่วนบุคคล… Continue reading รู้ได้อย่างไร ? ธุรกิจคุณ Comply PDPA หรือยัง
เปลี่ยน ซอฟแวร์ PDPAต่างชาติเป็น Whitefact สามารถลดต้นทุนการจัดการ PDPA จากแพลตฟอร์มเดิมได้มากกว่า 30%
Challenges ปัจจุบันทุกองค์กรจะต้องปฏิบัติตาม พรบ. คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ซึ่งมีผลบังคับใช้เป็นระยะเวลากว่า 1 ปีที่ผ่านมา หลากหลายองค์กร โดยเฉพาะองค์กรขนาดใหญ่ที่มีข้อมูลมหาศาล จำเป็นที่จะต้องใช้เครื่องมือที่สามารถบริหารจัดการข้อมูลส่วนบุคคลได้อย่างมีประสิทธิภาพ โดยในขณะนั้นมีแต่แพลตฟอร์มที่ปฏิบัติตามข้อกฏหมาย GDPR จากต่างประเทศที่พร้อมใช้งานและสามารถปรับปรุงให้เข้ากับกฏหมายไทยได้เร็วที่สุด แต่ก็มาพร้อมกับค่าใช้จ่ายในการใช้บริการที่สูง ทั้งจากลิขสิทธิการใช้ซอฟต์แวร์ และการปรับแต่งให้เข้ากับกฏหมายไทย ด้วยเหตุนี้ เราจึงได้พัฒนา Whitefact แพลตฟอร์มที่ทำให้องค์กรทั้งรายใหญ่และรายย่อยสามารถดำเนินการตาม พรบ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) ได้อย่างรวดเร็ว มีประสิทธิภาพ ด้วยแพลตฟอร์มที่พัฒนามาโดยเฉพาะ ตามข้อกฏหมายและความต้องการของธุรกิจในประเทศไทย รวมถึงมีค่าใช้จ่ายที่เหมาะสม ไม่ว่าจะเป็นองค์กรที่ยังไม่เริ่มจัดทำโครงการ PDPA หรือองค์กรที่ต้องการทดแทนซอฟต์แวร์จากต่างชาติ โดยสามารถลดต้นทุนการจัดการโดยรวมได้มากกว่า 30% Whitefact solution “PDPA Platform ที่เข้าใจคนไทยมากกว่า” ด้วยประสบการณ์การให้บริการด้านเทคโนโลยีให้แก่องค์กรขนาดใหญ่ในทุกอุสาหกรรมมากว่า 28 ปี ประสบการณ์การจัดทำโครงการ พรบ. ข้อมูลส่วนบุคคล รวมถึงผู้เชื่ยวชาญด้านกฏหมายและการจัดการข้อมูล จึงทำให้เราเข้าใจบริบทและความท้าทายของแต่ละธุรกิจในประเทศไทย ทำให้เราสามารถพัฒนาแพลตฟอร์ม PDPA ที่เข้าใจองค์กรในไทยและครอบคลุมระเบียบ พรบ.ของไทยได้มากกว่า ย้ายข้อมูลจากแพลตฟอร์มเดิมสู่ Whitefact ได้อย่างง่ายดาย… Continue reading เปลี่ยน ซอฟแวร์ PDPAต่างชาติเป็น Whitefact สามารถลดต้นทุนการจัดการ PDPA จากแพลตฟอร์มเดิมได้มากกว่า 30%
รู้ก่อนทำ PDPA คืออะไร? ฉบับเข้าใจง่าย
สิ่งที่ควรรู้! บทบาทของผู้ประกอบการในการทำ PDPA
บทบาทของผู้ที่เกี่ยวข้องกับกฎหมาย PDPA 1. เจ้าของข้อมูลส่วนบุคคล (Data Subject) คือ บุคคลที่ข้อมูลส่วนบุคคลสามารถระบุไปถึงได้ ตัวอย่างเช่นลูกค้า พนักงาน คู่ค้า 2. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ บริษัทต่าง ๆ ที่มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล 3. ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ บริษัทซึ่งดำเนินการเกี่ยวกับ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคค หน้าที่ผู้ที่เกี่ยวข้องกับกฎหมาย PDPA Data Subject จะมีหน้าที่เข้าใจสิทธิของเจ้าของข้อมูลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล และศึกษานโยบายของบริษัทที่เราจะเข้าไปให้บริการ สิทธิได้รับการแจ้งให้ทราบ ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งรายละเอียดให้เจ้าของข้อมูลส่วนบุคคลทราบ ก่อนหรือในขณะที่เก็บรวบรวมข้อมูลส่วนบุคคล โดยมีรายละเอียดการแจ้งให้ทราบ เช่น เก็บข้อมูลส่วนบุคคลอะไรบ้าง, วัตถุประสงค์การเก็บข้อมูล, การนำไปใช้หรือส่งต่อไปมีให้ใครบ้าง สิทธิขอเข้าถึงข้อมูลส่วนบุคคล เจ้าของข้อมูลสามารถขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตนเองจากผู้ควบคุมข้อมูลส่วนบุคคล รวมถึงสามารถขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลดังกล่าว สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับตนเมื่อใดก็ได้ ยกเว้นมีเหตุอันควรทางกฎหมายที่สำคัญจริงๆ… Continue reading สิ่งที่ควรรู้! บทบาทของผู้ประกอบการในการทำ PDPA
ธุรกิจที่มีความต้องการทำ PDPA จะเริ่มได้อย่างไร
“>”>ธุรกิจที่มีความต้องการทำ PDPA จะเริ่มได้อย่างไร การทำ PDPA แบ่งได้เป็น 3 Phase Educate > Implement > Manage Phase ที่ 1 Educate คือการที่บริษัทเตรียมความพร้อมของคนในองค์กรให้มีความรู้ความเข้าใจของ PDPA ให้เห็นถึงความสำคัญ รวมไปถึงความเข้าใจในหน้าที่ โดยการจัดการฝึกอบรมให้กับบุคลากรภายในองค์กร เราขอแนะนำ Expert Consult ของ WhiteFact ที่ช่วยให้ความรู้ สามารถให้คำแนะนำ และช่วยบริษัทจัดทำ PDPA Phase ที่ 2 Implement คือการรวบรวมกิจกรรมการประมวลผลข้อมูลส่วนบุคคล ไม่ว่าจะเป็น 1. Data flow – แผนภาพการไหลของข้อมูล เพื่อให้เข้าใจกระบวนการทำงานทั้งหมดขององค์กร 2. RoPA – รายการกิจกรรมของแต่ละแผนก ว่าแผนกไหนทำอะไรบ้าง ทำด้วยวัตถุประสงค์อะไร 3. Risk Assessment – ทำแบบประเมินความเสี่ยง และกำหนดวิธีรับมือกับเหตุที่อาจจะเกิดขึ้น… Continue reading ธุรกิจที่มีความต้องการทำ PDPA จะเริ่มได้อย่างไร