ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล พ.ศ. 2565

ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล พ.ศ. 2565

PDF Pic ดาวน์โหลดเอกสาร

รูปแบบอ้างอิงเอกสารฉบับนี้ :

ราชกิจจานุเบกษา. (2565). ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง  หลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล  พ.ศ.  2565. ราชกิจจานุเบกษา. https://www.ratchakitcha.soc.go.th/DATA/PDF/2565/E/292/T_0007.PDF

การจัดการ Hidden data และข้อมูลส่วนบุคคลในเอกสาร Word, Excel, PowerPoint

เอกสารที่สร้างด้วย Microsoft Word, Excel, PowerPoint นอกจากเก็บข้อความ/ภาพ/สื่อที่ผู้สร้าง (ทีมสร้าง) พิมพ์หรือใส่ประกอบเอกสาร ยังจัดเก็บข้อมูลการสร้างในรูปของ Document Metadata เช่น ชื่อผู้สร้างเอกสาร ชื่อผู้แก้ไขเอกสาร วันที่สร้าง วันที่แก้ไข ครั้งที่แก้ไข แม่แบบเอกสารที่ใช้ คำค้น ความเห็น Header/Footer

Read more

คู่มือแนวทางดำเนินการเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล สวทช. 1.0

บทนำและคำนิยาม

บทนำ

คู่มือแนวทางดำเนินการนี้เป็นเครื่องมือสำคัญประการหนึ่งที่ช่วยให้การดำเนินการตามกฎหมายหรือหลักการใด ๆ ที่กำหนดขึ้นเป็นไปในอย่างสมเหตุสมผลในทางปฏิบัติ เพราะในความจริงแล้วการบัญญัติกฎหมายหรือกำหนดหลักการ “อะไร” ขึ้นมาประการหนึ่งและกำหนด “ให้ทำ” (prescriptive) “ไม่ให้ทำ” (proscriptive) หรือ “อธิบาย” (descriptive) สิ่งนั้น ย่อมตามมาซึ่งคำถามเกี่ยวกับวิธีการปฏิบัติว่าควรทำ “อย่างไร” โดยเฉพาะอย่างยิ่งกับกฎหมายที่โดยทั่วไปแล้วสามารถกำหนดได้เพียงในระดับที่กำหนด “ห้าม” เป็นหลักการไว้เท่านั้น แต่ในขั้นตอนปฏิบัติย่อมไม่สามารถลงรายละเอียดวิธีการหรือกรณีเฉพาะทั้งปวงได้ เพราะจะทำให้กฎหมายนั้นมีความเคร่งครัดมากเสียจนไม่อาจนำไปใช้ได้จริง

ในกรณีของ “การคุ้มครองข้อมูลส่วนบุคคล” ก็เช่นเดียวกัน เนื่องจากกฎหมายไม่สามารถกำหนดวิธีปฏิบัติในรายละเอียดลงไปโดยสมบูรณ์ได้ จึงมีคำถามเกี่ยวกับวิธีการปฏิบัติว่าควรทำ “อย่างไร” มีข้อสังเกตว่ากฎหมายคุ้มครองข้อมูลส่วนบุคคลมีเป้าหมายระบุโดยตรงไปที่ “ข้อมูลส่วนบุคคล” (Personal Data) ไม่ใช่ “ตัวบุคคล” (Person) โดยตรง ซึ่งการคุ้มครองข้อมูลส่วนบุคคลนั้นจะมีผลเป็นการปกป้อง “บุคคล” จากผลร้ายที่อาจเกิดขึ้นจากการประมวลผล “ข้อมูลส่วนบุคคล” อีกชั้นหนึ่ง

การคุ้มครองข้อมูลส่วนบุคคล มีผลชัดเจนเมื่อสหภาพยุโรปได้ออกกฎหมายฉบับใหม่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลหรือที่เรียกกันว่า “GDPR” (EU General Data Protection Regulation) ซึ่งเป็นการปรับปรุงกฎหมายเดิม (EU Data Protection Directive 95/46/EC) ซึ่งใช้บังคับมานานมากว่า 20 ปี ทำให้เกิดการเปลี่ยนแปลงหลักการที่สำคัญ เช่น

  • กำหนดการใช้อำนาจนอกอาณาเขต (extraterritorial jurisdiction) กล่าวคือ ข้อมูลส่วนบุคคลของสหภาพยุโรปอยู่ภายใต้ความคุ้มครองไม่ว่าจะอยู่ในที่ใดในโลก
  • กำหนดบทลงโทษสูงขึ้น โดยองค์กรที่กระทำผิดอาจต้องจ่ายค่าปรับสูงถึงอัตราร้อยละ 4 ของผลประกอบการรายได้ทั่วโลก
  • กำหนดให้การขอความยินยอมจากเจ้าของข้อมูลต้องชัดเจนและชัดแจ้ง (clear and affirmative consent)
  • กำหนดการแจ้งเตือนเมื่อเกิดเหตุข้อมูลรั่วไหล หน่วยงานผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูลต้องแจ้งให้หน่วยงานกำกับดูแล และประชาชนทราบภายใน 72 ชั่วโมง
  • กำหนดขอบเขตสิทธิของเจ้าของข้อมูล ให้ผู้ควบคุมข้อมูลต้องแจ้งให้เจ้าของข้อมูลทราบว่าข้อมูลจะถูกใช้อย่างไร เพื่อวัตถุประสงค์ใด และต้องจัดทำสำเนาข้อมูลให้กับเจ้าของข้อมูลในรูปแบบอิเล็กทรอนิกส์ โดยห้ามเก็บค่าใช้จ่ายเพิ่ม
  • กำหนดรับรองสิทธิในการโอนข้อมูลไปยังผู้ประกอบการอื่น (Right to data portability)
  • กำหนดรับรองสิทธิที่จะถูกลืม (Right to be forgotten) เจ้าของข้อมูลสามารถขอให้หน่วยงานควบคุมข้อมูลลบข้อมูลของตัวเองออกได้

GDPR มีผลบังคับใช้เมื่อวันที่ 25 พฤษภาคม 2561 ที่ผ่านมา ซึ่งนอกจากการมีผลบังคับใช้แก่การส่งข้อมูลภายในประเทศสมาชิกสหภาพยุโรปแล้ว สวทช. ควรดำเนินการเตรียมพร้อมมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสมเช่นเดียวกัน

คู่มือแนวทางดำเนินการนี้มีเจตนาที่จะแนะนำวิธีการว่าควรทำ “อย่างไร” ซึ่งหมายความว่าคู่มือแนวทางดำเนินการนี้เป็นเพียงคำอธิบายของวิธีการเพื่อการคุ้มครองข้อมูลส่วนบุคคลซึ่งจำเป็นต้องพัฒนาอย่างต่อเนื่องต่อไป การดำเนินการคุ้มครองข้อมูลส่วนบุคคลตามคู่มือแนวทางดำเนินการนี้จึงไม่ใช่การปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลหรือมาตรฐาน GDPR ที่ครบถ้วน แต่เป็นเพียงข้อแนะนำที่ควรจะต้องปฏิบัติและพัฒนาปรับปรุงต่อเนื่องต่อไป

การคุ้มครองข้อมูลส่วนบุคคลกับการดำเนินงานของ สวทช.

กฎหมายการคุ้มครองข้อมูลส่วนบุคคลของประเทศไทยมีการอ้างอิงกับกฎหมายของสหภาพยุโรป ที่เรียกกันว่า “GDPR” (EU General Data Protection Regulation) ซึ่งเป็นเวลากว่า 20 ปี ที่ได้มีการพยายามผลักดันให้มีกฎหมายการคุ้มครองข้อมูลส่วนบุคคล จนประสบความสำเร็จและประกาศพระราชบัญญัติการคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ในราชกิจจานุเบกษาเมื่อวันที่ 27 พฤษภาคม พ.ศ. 2562 และมีผลบังคับใช้อย่างสมบูรณ์ ตั้งแต่วันที่ 28 พฤษภาคม 2563 เป็นต้นไป โดยการประกาศใช้พระราชบัญญัติการคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 นี้ เป็นไปเพื่อให้การคุ้มครองข้อมูลส่วนบุคคลมีประสิทธิภาพและเพื่อให้มีมาตรการเยียวยาเจ้าของข้อมูลส่วนบุคคลจากการถูกละเมิดสิทธิในข้อมูลส่วนบุคคลที่มีประสิทธิภาพ

วัตถุประสงค์และเป้าหมาย

คู่มือแนวทางดำเนินการเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล สำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติฉบับนี้ มีวัตถุประสงค์เพื่อให้มั่นใจว่า สวทช. เข้าใจถึงการคุ้มครองข้อมูลส่วนบุคคล และเพื่อเป็นแนวทางในการคุ้มครองข้อมูลส่วนบุคคลและปฏิบัติให้ถูกต้องตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยหน่วยงานภายใน สวทช. ที่มีกิจกรรมหรือการดำเนินงานที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล สามารถนำคู่มือแนวทางดำเนินการนี้ไปเป็นแนวทางในการดำเนินการเพื่อคุ้มครองข้อมูลส่วนบุคคล

Read more

มาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล พ.ศ. 2563

ผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ซึ่งควรครอบคลุมถึงมาตรการป้องกันด้านการบริหารจัดการ (administrative safeguard) มาตรการป้องกันด้านเทคนิค (technical safeguard) และมาตรการป้องกันทางกายภาพ (physical safeguard) ในเรื่องการเข้าถึงหรือควบคุมการใช้งานข้อมูลส่วนบุคคล (access control)

PDF Pic

ดาวน์โหลดเอกสาร

นโยบายการคุ้มครองข้อมูลส่วนบุคคลของ สวทช.

โดยที่มีพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งมีผลบังคับใช้เมื่อวันที่ 28 พฤษภาคม 2562 ประกอบกับสำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติให้ความสำคัญอย่างยิ่งต่อการคุ้มครองข้อมูลส่วนบุคคลและการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล และเพื่อให้เจ้าของข้อมูลส่วนบุคคลเชื่อมั่นว่าสำนักงานจะดูแลรักษาข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลและจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม สำนักงานจึงได้จัดทำนโยบายการคุ้มครองข้อมูลส่วนบุคคลของสำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติ ดังนี้

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

ปัจจุบันมีการล่วงละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคลเป็นจำนวนมากจนสร้างความเดือดร้อนรำคาญหรือความเสียหายให้แก่เจ้าของข้อมูลส่วนบุคคล ประกอบกับความก้าวหน้าของเทคโนโลยีทำให้การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลอันเป็นการล่วงละเมิดดังกล่าว ทำได้โดยง่าย สะดวก และรวดเร็ว ก่อให้เกิดความเสียหายต่อเศรษฐกิจโดยรวม สมควรกำหนดให้มีกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล เป็นการทั่วไปขึ้น เพื่อกำหนดหลักเกณฑ์ กลไก หรือมาตรการกำกับดูแลเกี่ยวกับการให้ความคุ้มครองข้อมูลส่วนบุคคลที่เป็นหลักการทั่วไป

PDF Pic

ดาวน์โหลดเอกสาร

กฎหมายคุ้มครองข้อมูลส่วนบุคคล

ปัจจุบันมีการล่วงละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคลเป็นจำนวนมาก สร้างความเดือดร้อนรำคาญหรือความเสียหายให้แก่เจ้าของข้อมูลส่วนบุคคล ประกอบกับความก้าวหน้าทางเทคโนโลยี ทำให้การเก็บรวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคล อันเป็นการล่วงละเมิดดังกล่าว สามารถกระทำได้โดยง่าย สะดวก และรวดเร็วก่อให้เกิดความเสียหายต่อเศรษฐกิจโดยรวมของประเทศ ทั้งนี้ เพื่อกำหนดให้มีหลักเกณฑ์ กลไก หรือมาตรการกำกับดูแลเกี่ยวกับการให้ความคุ้มครองข้อมูลส่วนบุคคลที่เป็นหลักการทั่วไป จึงได้มีการตรากฎหมายคุ้มครอง

ข้อมูลส่วนบุคคลขึ้นหนั่งสือเล่มนี้เป็นการรวบรวมกฎหมายคุ้มครองข้อมูลส่วนบุคคล เพื่อประโยชน์ในการศึกษา อ้างอิงและการปฏิบัติงานของหน่วยงานหรือบุคลากรที่เกี่ยวข้อง ซึ่งคณะผู้จัดทำหวังเป็นอย่างยิ่งว่า ท่านจะได้รับประโยชน์จากหนังสือเล่มนี้ไม่มากก็น้อย ในการนำไปใช้ประกอบกรพิจารณาสำหรับการดำเนินการต่างๆ ที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลต่อไป ทั้งนี้ หากมีข้อผิดพลาดประการใด คณะผู้จัดทำต้องขออภัยมา ณ ที่นี้ด้วย

PDF Pic

ดาวน์โหลดเอกสาร

รูปแบบอ้างอิงเอกสารฉบับนี้ :

สำนักงานปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม. (2562). กฎหมายคุ้มครองข้อมูลส่วนบุคคล (1 พิมพ์ครั้งที่). สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม. https://www.mdes.go.th/