]

Katthareeya Malasree

Content Writer Ragnar Corporation

data breach คือ

7+1 บทเรียนเรื่อง Data Breach ที่โรงแรมควรรู้จากกรณี Marriott International

ไม่น่าเชื่อว่า Data Breach จะทำให้กิจการโรงแรมระดับโลก สัญชาติอังกฤษอย่าง Marriott International ต้องจำนนต่อค่าปรับจำนวนกว่า 18.4 ล้านยูโร ที่ ICO สั่งปรับในปี 2020 ที่มาของค่าปรับจำนวนมหาศาลนี้ มาจากกรณีการรั่วไหลของข้อมูลลูกค้ากว่า 300 ล้านราย ในปี 2014 ขณะที่ Marriott ได้ออกมายอมรับว่าโดนแฮ็กข้อมูลจริงในปี 2018 ซึ่งต่อมาได้กลายเป็นประเด็นร้อนที่หลายคนสงสัยว่า เพราะเหตุใด Marriott จึงเพิกเฉยต่อการรั่วไหลของข้อมูลสำคัญ และทิ้งระยะเวลายาวนานขนาดนี้ อีกหนึ่งความเคลือบแคลงใจคือ ข้อมูลที่รั่วไหลไปนั้น เป็นจำนวนข้อมูลลูกค้ากว่า 300 ล้านราย รายละเอียดของข้อมูลที่รั่วไหลไปนั้น มีทั้งชื่อ ที่อยู่ หมายเลขพาสปอร์ต อีเมล ข้อมูลการเดินทาง ฯ ของแขกผู้เข้าพัก กว่า 7 ล้านรายชื่อเป็นข้อมูลที่เชื่อมโยงกับประชากรชาวอังกฤษอีกด้วย ด้วยจำนวนข้อมูลสำคัญรั่วไหลไปจำนวนมากขนาดนี้ เหตุใด marriott จึงไม่รีบดำเนินการหรือแจ้งเหตุการละเมิดข้อมูลให้ทันท่วงที? t-reg จะพาผู้อ่านทุกท่านไปทำความเข้าใจกรณีนี้ ผ่านการทำความเข้าใจ การละเมิดข้อมูล หรือ Data …

7+1 บทเรียนเรื่อง Data Breach ที่โรงแรมควรรู้จากกรณี Marriott International Read More »

ข้อมูลส่วนบุคคล

Lesson Learned Amazon บริษัท E-commerce รายใหญ่อาจสูญเงิน 2.9 หมื่นล้านบาท เหตุ GDPR สั่งปรับฐานใช้พฤติกรรมของผู้บริโภคเพื่อการยิงโฆษณา

กรรมการข้อมูลส่วนบุคคลของประเทศลักเซมเบิร์ก (Commission Nationale pour la Protection des Données หรือ CNPD) เอาผิดกับ Amazon บริษัท E-Commerce รายใหญ่ ฐานใช้ข้อมูลส่วนบุคคลของลูกค้าเพื่อการติดตามพฤติกรรม วิเคราะห์ทางการตลาด และการทำการตลาดแบบเฉพาะเจาะจง การกระทำดังกล่าวละเมิดกฏหมาย GDPR กฎหมายคุ้มครองข้อมูลส่วนบุคคลในสหภาพยุโรป สาเหตุของการฟ้องร้อง มาจากการร้องทุกข์ของ La Quadrature du Net ซึ่งเป็นองค์กรในประเทศฝรั่งเศส มีหน้าที่เป็นตัวแทนพลเมือง ดูแล ปกป้องการนำข้อมูลส่วนบุคคลของประชากรชาวยุโรป CNPD เข้ามาสืบสวนเรื่องนี้ และส่งเรื่องไปให้ศาลพิจารณา หลังการพิจารณาของศาล ได้มีคำสั่งปรับ Amazon เป็นเงินมูลค่ากว่า 746 ล้านยูโร หรือราว 2.9 หมื่นล้านบาท ในเดือนกรกฎาคม 2564 ทาง Amazon ออกมาโต้แย้ง โดยกล่าวถึงกรณีนี้ว่า การบังคับใช้และตีความ GDPR ที่เกี่ยวเนื่องกับการใช้โฆษณาในรูปแบบออนไลน์เป็นการตีความที่ยังอาจจะไม่มีมาตรฐานที่ชัดเจนให้ผู้ประกอบการปฏิบัติตาม และการฟ้องร้องครั้งนี้ก็กำหนดค่าปรับที่สูงมาก Amazon เห็นว่าค่าปรับไม่ได้สัดส่วนและเหมาะสม …

Lesson Learned Amazon บริษัท E-commerce รายใหญ่อาจสูญเงิน 2.9 หมื่นล้านบาท เหตุ GDPR สั่งปรับฐานใช้พฤติกรรมของผู้บริโภคเพื่อการยิงโฆษณา Read More »

pdpa โรงแรม

เผยทุกข้อที่ควรรู้ ในการจัดทำ PDPA สำหรับกลุ่มธุรกิจโรงแรม

PDPA โรงแรม กลายเป็นคีย์เวิร์ดใหม่ที่บริษัททัวร์ ผู้ให้บริการท่องเที่ยว และนักเดินทางที่ใส่ใจเรื่องความเป็นส่วนตัว เริ่มเพ่งความสนใจและพยายามทำความเข้าใจ ภายหลังที่ พ.ร.บ คุ้มครองข้อมูลส่วนบุคคล หรือ Personal Data Protection Act B.E 2562 (2019) บังคับใช้อย่างเป็นทางการเมื่อวันที่ 1 มิถุนายน 2565 ที่ผ่านมา โดยที่ PDPA โรงแรม  ที่เป็นคีย์เวิร์ดหลักในบทความนี้ จะหมายถึงการจัดทำ PDPA สำหรับธุรกิจโรงแรม ซึ่งมีขั้นตอนและหลักปฏิบัติเดียวกับ PDPA ธุรกิจทั่วไป แต่เป็นการเจาะจงเนื้อหาลงในกลุ่มธุรกิจโรงแรมในไทยนั่นเอง  หากคนทั่วไปอย่างเรา ๆ ที่ไม่มีความเข้าใจหรือไม่ได้ติดตามข่าวกฎหมายมากนัก อาจมีความสงสัยว่า โรงแรม ที่พัก บริษัทนำเที่ยว หรือแพลตฟอร์มที่ให้บริการจองที่พัก เกี่ยวข้องกับกฎหมาย PDPA อย่างไร และเมื่อกฎหมายมีผลบังคับใช้แล้ว มีกฎหมายลำดับรอง (กฎหมายลูก) ประกาศออกมาเรียบร้อยแล้ว โรงแรมจะต้องทำอย่างไรให้สอดคล้องกับกฎหมาย ในบทความนี้เรารวบรวมคำตอบของทุกคำถามมาให้ท่าน พร้อมอธิบายขั้นตอน PDPA ที่โรงแรม ที่พัก จำเป็นต้องรู้ พร้อมด้วยบริการทำ …

เผยทุกข้อที่ควรรู้ ในการจัดทำ PDPA สำหรับกลุ่มธุรกิจโรงแรม Read More »

General Data Protection Regulation คือ

Lesson Learned แอป Grindr สังเวยค่าปรับ 239 ล้าน เหตุขายข้อมูลผู้ใช้งานโดยไม่ได้รับอนุญาต

Grindr แอพลิเคชั่นหาคู่ของชาวสีรุ้ง ถูกเจ้าหน้าที่การปกป้องข้อมูลแห่งประเทศนอร์เวย์ยื่นฟ้องร้อง ฐานขายข้อมูลส่วนตัวของผู้ใช้แอปให้กับบริษัทโฆษณาไปหลายร้อยแห่ง โดยที่เจ้าของข้อมูลส่วนบุคคลไม่ได้ให้การยินยอม กรณีของ Grindr ถูก GDPR สั่งปรับเป็นจำนวนเงิน 7.16 ล้านเหรียญ หรือราว 239 ล้านบาท ทว่าในปี 2020 Grindr เคยถูกศาลฟ้องร้อง ในกรณีเปิดเผยข้อมูลส่วนตัวของผู้ที่ใช้แอปให้กับบริษัทโฆษณาหลายแห่งมา ครั้งหนึ่งแล้ว Grindr ยังยืนยันว่านโยบายคุมครองข้อมูลส่วนบุคคลของแอปพลิเคชั่น อยู่ภายใต้มาตรฐานของ GDPR กรณีนี้ GDPR ดำเนินการอย่างไร แล้วต้องร่างนโยบายคุ้มครองข้อมูลส่วนบุคคลอย่างไรให้สอดคล้องกับกฎหมาย ติดตามได้ในบทความนี้ General Data Protection Regulation คือใคร? ทำไมสั่งฟ้ององค์กรอื่นได้ ก่อนจะไปวิเคราะห์กรณีของ Grindr เราขอพาทุกท่านไปทำความรู้จักกับ GDPR ที่ย่อมาจาก General Data Protection Regulation หรือที่รู้จักในชื่อ กฏหมายคุ้มครองข้อมูลส่วนบุคคลของพลเมืองสหภาพยุโรป สาระสำคัญของกฎหมาย มุ่งให้การคุ้มครองพลเมืองของสหภาพยุโรปจากการโดนคุกคามข้อมูลส่วนบุคคลหรือการละเมิดความเป็นส่วนตัว เพิ่มสิทธิในการควบคุมข้อมูลในทุกกิจกรรมที่เกี่ยวข้องกับข้อมูลส่วนบุคคล สรุปสั้น ๆ ก็คือ GDPR ให้สิทธิ …

Lesson Learned แอป Grindr สังเวยค่าปรับ 239 ล้าน เหตุขายข้อมูลผู้ใช้งานโดยไม่ได้รับอนุญาต Read More »

GDPR คือ

Lesson Learned จากกรณีดัง GDPR สั่งปรับ H&M กว่าพันล้าน ฐานล้วงข้อมูลส่วนตัวพนักงานในเยอรมนี

ราวเดือนตุลาคม ปี 2563 สำนักข่าว BBC รายงานข่าวใหญ่ของวงการธุรกิจเสื้อผ้า กรณี H&M ถูก หน่วยงานด้านการปกป้องข้อมูลของเมืองฮัมบูร์ก (Data Protection Authority of Hamburg – HmbBfDI) สั่งปรับกว่า 35.3 ล้านยูโร (1,300 ล้านบาท) จากกรณีนี้ทางแบรนด์เสื้อผ้าสัญชาติสวีเดนออกมาขอโทษพนักงานกว่าร้อยคน และให้การยินยอมจ่ายค่าปรับตามจำนวน ซึ่งถือเป็นเคสที่มีค่าปรับสูงเป็นอันดับสอง จาก 5 เคสที่เคยถูกสั่งปรับสูงสุด นับตั้งแต่มีกฎหมาย GDPR กรณีนี้เกิดขึ้นได้อย่างไร? H&M ต้องรับผิดชอบยังไงบ้าง? หากเกิดกรณีนี้ในเมืองไทย องค์กรต้องปฏิบัติอย่างไร เพื่อหลีกเลี่ยงการถูกฟ้องร้อง หาคำตอบได้ในบทความนี้ เกิดอะไรขึ้นกับ H&M? ในวันที่ 1 ตุลาคม ปี 2020 HmbBfDI ได้แจ้งข้อหากับบริษัท Hennes & Mauritz หรือ H&M ฐานละเมิดกฎระเบียบของ GDPR ความว่า H&M …

Lesson Learned จากกรณีดัง GDPR สั่งปรับ H&M กว่าพันล้าน ฐานล้วงข้อมูลส่วนตัวพนักงานในเยอรมนี Read More »

pdpa awareness

PDPA Security Awareness Training กุญแจสำคัญเพื่อสร้างการตระหนักรู้ การคุ้มครองข้อมูลส่วนบุคคลในองค์กรให้ยั่งยืน

จริงหรือไม่? กับคำกล่าวที่ว่า องค์กรใดสามารถสร้าง PDPA Security Awareness ได้จะช่วยให้โครงการ PDPA ภายในองค์กรยั่งยืน? คำตอบเดียวของคำถามนี้คือ จริง เพราะเมื่อใดที่บุคลากรในองค์กรมีความเข้าใจความสำคัญของข้อมูลส่วนบุคคลแล้ว ระบบของความรู้และความเข้าใจจะเกิดขึ้นในองค์กร และจะเอื้อให้เกิดการสร้างการตระหนักรู้ในการใช้ข้อมูลส่วนบุคคลได้ ผลในระยะยาวหรือความยั่งยืนก็คือ พนักงานในองค์กรตระหนักรู้และเห็นความสำคัญโดยพร้อมเพรียงกัน การตระหนักรู้จะเกิดขึ้นในกระบวนการทำงานได้อัตโนมัติ บทความนี้เราพาทุกคนมาทำความเข้าใจ ข้อดีของการสร้างการตระหนักรู้เรื่องการคุ้มครองข้อมูลส่วนบุคคล ในองค์กรให้ยั่งยืนด้วย PDPA Security  Awareness Training PDPA Awareness สิ่งที่ไม่ควรมองข้ามเมื่อทำโครงการ PDPA เป้าหมายภายในของหลาย ๆ องค์กรหลังจากการบังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล คือการทำโครงการ PDPA ตาม Checklist ที่นิยมทำในหลาย ๆ องค์กร จัดทำ Privacy Notice  และ Privacy Policy ให้สำเร็จตรงตามที่กฎหมายกำหนด ในบางองค์กรจะมุ่งไปที่การเฟ้นหาเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) จัดเตรียมแพลตฟอร์มเพื่อรองรับการใช้สิทธิของลูกค้า หรือพัฒนาโปรแกรมเพื่อตรวจสอบการรั่วไหลของข้อมูล (Data Leak)  แต่ทราบหรือไม่ว่าโครงการ  PDPA ต่อให้ทำจนครบก็เหมือนขาด และความพยายามเหล่านี้อาจกลายเป็นศูนย์หากยังขาดการทำความเข้าใจหรือการตระหนักรู้ของคนภายในองค์กร สิ่งสำคัญในการทำให้โครงการ PDPA …

PDPA Security Awareness Training กุญแจสำคัญเพื่อสร้างการตระหนักรู้ การคุ้มครองข้อมูลส่วนบุคคลในองค์กรให้ยั่งยืน Read More »

เสวนา pdpa

t-reg สรุปให้ Highlight งานเสวนาแนวทางการบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

เมื่อวันที่ 23 พฤษภาคม 2565 ที่ผ่านมา คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หรือ PDPC (Office of the Personal Data Protection Commission) และหน่วยงานที่เกี่ยวข้อง  รวมถึงภาคเอกชน ได้จัดงานสัมนาแนวทางการบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เพื่อสื่อสารประเด็นต่างๆ ที่เกี่ยวข้องกับกฎหมาย PDPA และ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล มีผู้เข้าชมการถ่ายทอดสดในครั้งนี้กว่าสองหมื่นครั้ง ไฮท์ไลท์ของงานนี้ คือการบรรยายในหัวข้อ “กฎหมายคุ้มครองข้อมูลส่วนบุคคลกับการขับเคลื่อนเศรษฐกิจและสังคมดิจิทัล” โดย นายชัยวุฒิ ธนาคมานุสรณ์ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม และมีการเสวนาย่อย เพื่อแลกเปลี่ยนองค์ความรู้ 2 เรื่อง 1. “การปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล” โดยผู้เชี่ยวชาญจาก 4 ภาคส่วน 2. “PDPA in Action : Best practices ในภาครัฐและภาคเอกชน” โดยตัวแทนบริษัทชั้นนำที่รุดหน้าในการทำ PDPA t-reg สรุปสาระสำคัญเกี่ยวกฎหมาย PDPA …

t-reg สรุปให้ Highlight งานเสวนาแนวทางการบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 Read More »

pdpa โรงพยาบาล

PDPA โรงพยาบาล ความท้าทายใหม่หลังการบังคับพ.ร.บ คุ้มครองข้อมูลส่วนบุคคล

PDPA โรงพยาบาล เป็นสิ่งที่ถูกพูดถึงไม่น้อยในแวดวงสุขภาพและสาธารณสุข  นับตั้งแต่กฏหมาย PDPA ได้มีผลบังคับใช้เมื่อวันที่ 1 มิถุนายน 2565 เป็นต้นมา หลาย ๆ องค์กรทั้งภาคเอกชนและรัฐวิสาหกิจเริ่มตื่นตัวกับการบังคับใช้ของกฏหมาย ด้วยการศึกษา ค้นคว้าข้อมูลเกี่ยวกับกฎหมายนี้ และเริ่มปรับใช้แล้วในบางองค์กร พ.ร.บ คุ้มครองข้อมูลส่วนบุคคลนี้ นอกจากจะคุ้มครองข้อมูลในระบบดิจิทัล เครือข่ายออนไลน์ ภาคธุรกิจและภาคอุตสาหกรรมแล้ว ยังครอบคลุมถึงข้อมูลเกี่ยวกับสุขภาพและสาธารณะสุขอีกด้วย ครั้งนี้เราจึงอยากชวนทุกคนมาทำความเข้าใจเกี่ยวกับ กฏหมายคุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ในโรงพยาบาลและระบบประกันสุขภาพกัน ทำความเข้าใจ PDPA เบื้องต้น PDPA หรือ Personal Data Protection Act B.E 2562 (2019) เป็น พ.ร.บ ว่าด้วยการให้สิทธิ์กับเจ้าของข้อมูลส่วนบุคคล ถูกร่างขึ้นเพื่อสร้างมาตรฐานการรักษาข้อมูลส่วนบุคคลให้ปลอดภัยและนำไปใช้ให้ถูกวัตถุประสงค์ตามคำยินยอมที่เจ้าของข้อมูลส่วนบุคคลอนุญาต รวมทั้งควบคุมดูแลกิจกรรมใด ๆ ก็ตามที่ทำกับข้อมูลส่วนบุคคล ทำความเข้าใจสาระสำคัญของกฎหมาย PDPA ในบทความนี้เราจะพูดถึงเนื้อหาเกี่ยวกับ PDPA ที่กำลังเป็นประเด็นใหญ่อยู่ในขณะนี้ อาจมีคำศัพท์หรือข้อความที่มีศัพท์เฉพาะทาง จึงขอเริ่มด้วยการทำความเข้าใจคำศัพท์ที่เกี่ยวข้องกับกฎหมายนี้กันก่อน PDPA โรงพยาบาล …

PDPA โรงพยาบาล ความท้าทายใหม่หลังการบังคับพ.ร.บ คุ้มครองข้อมูลส่วนบุคคล Read More »