ความเสี่ยงไม่มีวันเป็นศูนย์ โอกาสที่จะเกิดการละเมิดข้อมูลส่วนบุคคลในองค์กร เกิดขึ้นได้ตลอดเวลา ทางเลือกหนึ่งของการลดความเสี่ยงคือความคุ้มครองของประกันภัยไซเบอร์ (Cyber Insurance) ลองมาดูว่าประกันภัยไซเบอร์คุ้มครองอะไรบ้าง . . . โดยทั่วไปประกันภัยไซเบอร์จะให้ความคุ้มครองหลัก 2 ส่วน ดังนี้ . 1.ค่าใช้จ่ายของผู้เอาประกันภัยหรือองค์กรที่ทำประกันภัยไซเบอร์ . - ความเสียหายจากเครือข่ายหยุดชะงัก (Business Interruption) - ค่าใช้จ่ายในการจ้างผู้เชี่ยวชาญทางด้านระบบ (IT Forensic) - ค่าไ

CIPP – Certified Information Privacy Professional วุฒิบัตรผู้เชี่ยวชาญด้านคุ้มครองข้อมูลส่วนบุคคล . . . . CIPP – Certified Information Privacy Professional “Practicing Privacy – Understanding Laws and Concepts” ของสถาบัน IAPP ประเทศสหรัฐอเมริกา ผู้นำด้านวุฒิบัตรด้านการคุ้มครองข้อมูลส่วนบุคคล ระดับสากลที่ได้รับการยอมรับมากที่สุดสถาบันหนึ่งในปัจจุบัน ระดับความยาก สูง ภาษา อังกฤษ CIPP ได้รับการยอมรับให้เป็นวุฒิบัตรด้านผู้เชี่ยวชาญด้านการคุ้มครองข้อมูลส่วนบุคคล และยังเป็นวุฒิบัติ

ว่าด้วยเรื่องนามบัตรและกฎหมายคุ้มครองข้อมูลส่วนบุคคล . . . การได้มาซึ่งนามบัตร ของบุคคลอื่น แล้วนำไปบันทึกไว้ใน Spreadsheet และการติดต่อบุคคลนั้นไปทาง LinkedIn หรือ Facebook เพื่อเรื่องส่วนตัวสามารถทำได้ . แต่ต้องไม่นำไปโพสต์ใน Social Media หรือพื้นที่สาธารณะ . หากนำข้อมูลในนามบัตร ไปใช้เพื่อธุรกิจ หรือโฆษณาสินค้า เช่นการทำ Direct Marketing ไม่ว่าจะทาง อีเมล หรือ SMS ในหลายกรณีอาจถือได้ว่าเป็นประโยชน์โดยชอบด้วยกฎหมาย ทั้งนี้ขึ้นอยู่กับแต่ละสถานการณ์ . แต่ต้องมีช่องทางให้บุคค

สำหรับองค์กรที่เคยทดสอบเจาะระบบ (Penetration Testing) หรือกำลังจะมีการวางแผนทดสอบเจาะระบบเพื่อหาแนวทางป้องกันการถูกบุกรุกข้อมูลส่วนบุคคลนั้น . . . เราจะมั่นใจได้อย่างไรว่า วิธีการและกระบวนการที่องค์กรหรือบริษัทผู้เชี่ยวชาญทดสอบเจาะระบบใช้อยู่นั้น เป็นไปตามมาตรฐานหรือไม่ ตอบโจทย์ธุรกิจ ตอบโจทย์กฎหมายอย่างไรหรือลดความเสี่ยงให้กับองค์กรได้แค่ไหน . กับ Penetration Testing Maturity Assessment Tools ของสถาบัน CREST องค์กรรับรองมาตรฐานการทดสอบเจาะระบบระดับโลก ที่จะสามารถช่วยให้องค์ก

ใน พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล 2562 กิจกรรมที่สำคัญกิจกรรมหนึ่งที่องค์กรต้องดำเนินการคือ . . . การบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลตาม มาตรา 39 และ มาตรา 40 หรือตามหน่วยงาน Information Commissioner's Office (ICO) ของประเทศอังกฤษ เรียกว่า Record of Processing Activity (RoPA) . และของ Personal Data Protection Commission (PDPC) ประเทศสิงคโปร์เรียกว่า Personal Data Inventory Map (DIM) . PrivacyNote รวบรวม ตัวอย่าง template การบันทึกรายการของกิจกรรมการประมวลผลข้อ

หลังจากที่ได้รับรู้กันแล้วว่า.. ในกฎหมายคุ้มครองข้อมูลส่วนบุคคล #PDPA HR ในองค์กร "ไม่ใช่" ผู้ควบคุมข้อมูลส่วนบุคคล ก็มักเกิดคำถามต่อว่า "Headhunter หรือบริษัทตัวแทนจัดหางาน" นั้นจะเป็น ผู้ควบคุมหรือผู้ประมวลผลข้อมูลส่วนบุคคล . ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 มาตรา 6 . ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) หมายความว่า บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าท่ีตัดสินใจ เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล . ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Pr

การสื่อสารความเสี่ยงคือกิจกรรมหนึ่งในการบริหารความเสี่ยง ซึ่งมีวัต ถุประสงค์เพื่อให้ผู้ต้องมีหน้าที่ตัดสินใจและผู้ที่เกี่ยวข้องได้มีการสื่อสารแลกเปลี่ยนข้อมูลที่เกี่ยวข้องความเสี่ยงระหว่างกัน ซึ่งข้อมูลนั้นอาจประกอบด้วย ความเสี่ยงที่เกี่ยวข้อง ธรรมชาติของความเสี่ยง รูปแบบของความเสี่ยง โอกาสที่จะเกิดความเสี่ยง ความรุนแรง การจัดการความเสี่ยงและการยอมรับความเสี่ยง การสื่อสารที่มีประสิทธิภาพระหว่างผู้มีส่วนได้เสียจึงเป็นเรื่องที่สำคัญ เนื่องจากมีผลโดยตรงต่อการตัดสินใจต่อการจัดการ

บทบาทของบริษัทแม่กับการให้บริการ Shared Service แก่บริษัทในเครือ . . . กลุ่มบริษัทในเครือกิจการเดียวกันอาจจะมีบริษัทใดบริษัทหนึ่งในเครือ เช่น บริษัทแม่ (Parent Company) ที่ให้บริการ Shared Services ในด้านต่างๆ แก่บริษัทในเครือ (Subsidiaries/Affiliates) . เช่น ด้าน HR หรือ IT Support หรือ Call Center ที่เกี่ยวข้องกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของลูกค้า คู่ค้าหรือลูกจ้าง . บริษัทแม่ที่ให้บริการ Shared Service ดังกล่าวจะมีบทบาทตาม PDPA ดังนี้ บทบาทในฐานะ Control

เจ้าของข้อมูลฝากประวัติไว้กับเว็บไซต์หางาน เพื่อสมัครงาน . . . HR ที่เป็นสมาชิกเว็บไซต์หางาน ทำการค้นหาผู้สมัคร โดยจัดเก็บและประมวลผลข้อมูลส่วนบุคคล เพื่อคัดเลือกผู้สมัครงาน . กรณีนี้ HR จัดเป็น Data Controller หรือ Data Processor . ย้ำอีกครั้ง !!! ว่า HR ไม่ใช่ทั้ง Data Controller และ Data Processor เพราะ HR เป็นตัวแทนของบริษัทในการเก็บรวบรวมข้อมูลของผู้สมัคร . แต่บริษัทที่ HR สังกัดเป็น Data Controller . HR ไม่ใข่ Data Controller ไม่ใช่ Data Processor . เพราะ HR เป็นตัว

สำนักงานคุ้มครองข้อมลส่วนบุคคลของโปแลนด์สั่งปรับบริษัทประกัน เนื่องจากส่งอีเมลกรมธรรม์ไปผิดที่เพียงจำนวน 2 ฉบับ . . . ในเดือนพฤษภาคม 2020 สำนักงานฯ ได้รับการแจ้งจากบุคคลที่สามเกี่ยวกับการละเมิดข้อมูลส่วนบุคคลโดยตัวแทนประกันภัยของบริษัท Towarzystwo Ubezpieczeń i Reasekuracji WARTA S.A. ซึ่งส่งอีเมลกรมธรรม์ประกันภัยไปผิดที่ . เอกสารดังกล่าวมีข้อมูลส่วนบุคคล ได้แก่ นามสกุล ชื่อที่อยู่ ที่อยู่อาศัย และข้อมูลเกี่ยวกับกรมธรรม์ประกันภัย . ด้วยเหตุนี้สำนักงานฯ จึงขอให้ผู้รับผิดชอบช

สาระน่ารู้จากกฎหมายคุ้มครองข้อมูลส่วนบุคคล “บริษัทนายจ้าง vs บริษัทตัวแทนจัดหางาน” . หลังจากที่ได้รับรู้กันแล้วว่า.. ในกฎหมายคุ้มครองข้อมูลส่วนบุคคล #PDPA HR ในองค์กร "ไม่ใช่" ผู้ควบคุมข้อมูลส่วนบุคคล ก็มักเกิดคำถามต่อว่า "Headhunter หรือบริษัทตัวแทนจัดหางาน" นั้นจะเป็น ผู้ควบคุมหรือผู้ประมวลผลข้อมูลส่วนบุคคล . ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 มาตรา 6 . ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) หมายความว่า บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าท่ีตัดสินใจ เกี่ยวก

พ่อแม่ยุคคุ้มครองข้อมูลส่วนบุคคลต้องรู้ . . . ผู้ปกครองถ่ายรูปบุตรของตนและเพื่อนๆในกิจกรรมวันปีใหม่ในโรงเรียนและ post ใน social media เช่น Facebook หรือ Instagram . ถือว่าเป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบุคคล เพื่อประโยชน์ส่วนตนหรือเพื่อกิจกรรมในครอบครัวของบุคคล ตามมาตรา 4 (1) . จึงไม่ผิดกฎหมาย แต่หากบังเอิญว่ามีผู้ปกครองของเพื่อนบุตรไม่ประสงค์ให้รูปบุตรของตนติดไปใน social media ด้วย ก็สามารถแจ้งให้นำรูปนั้นออกจาก social media ได้ #GDPR#PDPA PrivacyNote ให้

. . . เรียนท่านประธานเจ้าหน้าที่บริหาร ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ มาตรา ๗๙ ระบุว่า ผู้ควบคุมข้อมูลส่วนบุคคลผู้ใดฝ่าฝืนมาตรา ๒๗ วรรคหนึ่งหรือวรรคสอง หรือไม่ปฏิบัติตามมาตรา ๒๘ อันเก่ียวกับข้อมูลส่วนบุคคลตามมาตรา ๒๖ โดยประการที่น่าจะทำให้ ผู้อื่นเกิดความเสียหาย เสียช่ือเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย ต้องระวางโทษ จำคุกไม่เกินหกเดือน หรือปรับไม่เกินห้าแสนบาท หรือทั้งจำทั้งปรับ ซึ่งองค์กรของเรามีบทบาทเป็นผู้ควบคุมข้อมูล ดังนั้นเราจำเป็นต้องดำเน

ถ้าเคยไปแล้วต้องรีบหาทางแก้ไขด่วน ไม่เช่นนั้น อาจเป็นสาเหตุหนึ่งที่ทำให้องค์กรมีความผิดตาม PDPA ได้ หากเว็บไซต์นั้นๆ มีการเก็บหรือประมวลผลข้อมูลส่วนบุคคล เพียงทำตามขั้นตอนดังนี้ 1. ไปที่ http://www.zone-h.org/archive/special=1 2. เลือก [ENABLE FILTERS] 3. ติ๊กเพื่อเอาเครื่องหมายถูกหลัง Special defacements only ออก 4. ติ๊กถูกหลัง Fulltext/Wildcard 5. ใส่โดเมนของเว็บไซต์ของหน่วยงานในช่อง DOMAIN เช่น abc.co.th และกดปุ่ม Apply filter 6. รอดูผลลัพธ์

1.กรรมการหรือผู้บริหารสูงสุดต้องรู้ว่าองค์กรที่ตนกำกับดูแลและบริหารอยู่ ต้องปฏิบัติตามกฎหมายและกำหนดผู้รับผิดชอบเรื่องนี้ โดยต้องตระหนักว่าการปฏิบัติตาม พ.ร.บ. ไม่ใช่เรื่องของ IT ฝ่ายเดียวแต่เป็นเรื่องที่หน่วยธุรกิจต้องเป็นเจ้าภาพ และต้องสนับสนุนทรัพยากรที่จำเป็นทั้งค่าใช้จ่าย เวลา บุคลากร ที่ปรึกษาและเครื่องมือต่างๆ . 2.ศึกษาและวิเคราะห์ว่า บทบาทขององค์กร เป็นฐานะ “ผู้ควบคุมข้อมูลส่วนบุคคล” หรือ “ผู้ประมวลผลข้อมูลส่วนบุคคล” ซึ่งหนึ่งองค์กรเป็นได้ทั้งสองบทบาท เช่น ผู้ควบคุมข้

📌อันดับที่ 1 ติดกล้องวงจรปิดส่องไปยังพื้นที่สาธารณะ โดนปรับโดยเฉลี่ย 200,000 บาท . 📌อันดับที่ 2 แอบถ่ายผู้หญิงอาบน้ำ โดนปรับโดยเฉลี่ย 300,000 บาท . 📌อันดับที่ 3 บันทึกภาพผ่านกล้องหน้ารถ (Dashcam) แล้วนำมาตัดต่อลง Youtube (Compilation) โดนปรับโดยเฉลี่ย 8,000 บาท . 📌อันดับที่ 4 ส่งอีเมลหาผู้อื่นจำนวนมากแบบไม่ BCC ทำให้คนที่รับอีเมลเห็น E-mail address ของคนอื่นด้วย โดนปรับโดยเฉลี่ย 90,000 บาท . 📌อันดับที่ 5 เจ้าของร้านค้าเล็กๆติดตั้งกล้องวงจรปิดเพื่อบันทึกพฤติกรรมของลูกจ้าง