]

Wanphichit Chintrakulchai

t-reg Founder

Digital Transformation และ กฎหมาย PDPA

Digital Transformation & PDPA เรื่องไม่ใหม่ที่องค์กรไทยต้องใส่ใจ

Digital Transformation (DX) เป็นคำที่หลากหลายองค์กร และธุรกิจทุกภาคส่วนเริ่มได้ยิน และรู้สึกได้ถึงการเปลี่ยนแปลงที่จะเกิดขึ้นภายในองค์กร และการทำธุรกิจ ซึ่งจะเกี่ยวข้องกับกฎหมาย PDPA และข้อมูลส่วนบุคคลอย่างไรบ้างนั้น มาร่วมหาคำตอบกันได้ในบทความนี้ Digital Transformation คือ? การที่องค์กรหรือธุรกิจเริ่มนำเทคโนโลยีแบบดิจิทัลเข้ามาเป็นส่วนหนึ่งในการปฏิบัติงาน ซึ่งก่อให้เกิดการเปลี่ยนแปลงตั้งแต่รากฐานภายในองค์กร ไปจนถึงการส่งมอบบริการ หรือสินค้าให้แก่ลูกค้า เพื่อตอบรับกับกระแสดิจิทัลที่กำลังมาแรงในยุคนี้ และไม่ให้ธุรกิจ หรือองค์กรมีการชะงักเนื่องจากการปรับตัวไม่ทันกระแสพลวัตโลก หรือที่เราเรียกกันว่า “Digital Disruption” ข้อมูลส่วนบุคคลกับ DX ในปัจจุบันการเก็บข้อมูลส่วนบุคคลของแต่ละองค์กรส่วนใหญ่มักพบในรูปแบบการเก็บบนฐานคลาวด์ออนไลน์ เพื่อความสะดวกในการติดตามได้ว่า ข้อมูลส่วนบุคคลที่เก็บไว้ ใครเป็นคนเก็บ-ใช้-ส่งต่อข้อมูลส่วนนั้นบ้าง นอกจากนี้ข้อมูลส่วนบุคคลที่จัดเก็บมา ยังมีการอัพเดตอยู่ตลอดเวลา จึงต้องอาศัยดิจิทัลในการอัพเดตแบบเรียลไทม์ ซึ่งสิ่งนี้ก็ถือว่าเป็นการเปลี่ยนแปลงด้วยดิจิทัลขององค์กรได้เหมือนกัน กฎหมาย PDPA กับข้อมูลส่วนบุคคลในยุคสังคมดิจิทัล อย่างที่หลายท่านทราบกันดีว่าปัจจุบันเรามักเก็บข้อมูลส่วนบุคคลในรูปแบบของการนำดิจิทัลมาใช้ด้วยการเก็บบนคลาวด์ออนไลน์ ซึ่งกฎหมาย PDPA หรือพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลถูกสร้างขึ้นมาเพื่อคุ้มครองสิทธิ์ของผู้ให้ข้อมูลส่วนบุคคล และจัดระเบียบองค์กรไทยให้สามารถใช้ข้อมูลส่วนบุคคลได้อย่างถูกต้อง และเทียบเท่ากับกฎหมายสากลอย่าง GDPR ของสหภาพยุโรป และกฎหมายอื่น ๆ ที่เกี่ยวข้อง นอกจากนี้การปฏิบัติตามกฎหมาย PDPA ยังเพิ่มความปลอดภัย และความน่าเชื่อถือขององค์กรด้วยการรับรองมาตรฐาน ISO/IEC 27701 …

Digital Transformation & PDPA เรื่องไม่ใหม่ที่องค์กรไทยต้องใส่ใจ Read More »

Digital Transformation trends จาก Forbes บอกอะไรกับกฎหมาย PDPA

จาก Top 10 Digital Transformation Trends For 2021 ได้กล่าวเกี่ยวกับ 10 trends Digital Transformation  ที่กำลังมาแรงทศวรรษที่ 20 นี้ ซึ่งมีบางหัวข้อเกี่ยวกับข้อมูลส่วนบุคคล และกฎหมาย PDPA ทาง t-reg จึงนำมาเรียบเรียงให้ทุกท่านได้อ่านกัน จะมีอะไรบ้างนั้น อ่านได้ย่อหน้าด้านล่างดังต่อไปนี้เลย CDP Explosion: Customer Data Platform จะเป็นที่นิยมใช้ในภาคธุรกิจมากขึ้น CDP หรือ Customer Data Platform คือระบบที่เก็บรวบรวมข้อมูลลูกค้า และสามารถนำข้อมูลส่วนนั้นมาใช้วิเคราะห์เพื่อทำการตลาดที่ต้องการเน้นความปัจเจกบุคคลมากยิ่งขึ้น ทำให้ฝ่ายการตลาดยิงโฆษณา และปล่อยอีเมล์ หรือSMS แนะนำโปรโมชั่นได้ตรงกลุ่ม ซึ่งการใช้ CDP เกี่ยวข้องกับข้อมูลส่วนบุคคล และกฎหมาย PDPA อย่างไรกันนะ? คำตอบก็คือ การใช้ CDP ต้องมีการเก็บข้อมูลส่วนบุคคลของลูกค้าอาทิ ชื่อ-นามสกุล, เบอร์โทรศัพท์, อีเมล์, หมายเลขบัตรประชาชน, …

Digital Transformation trends จาก Forbes บอกอะไรกับกฎหมาย PDPA Read More »

ทำ PDPA แบบไหน ถึงจะตอบโจทย์พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล

การทำ PDPA ในปัจจุบันมีการให้บริการ 3 รูปแบบก็คือ 1.บริการ Platform ทำ PDPA อย่างเดียว 2.บริการที่ปรึกษาทางด้านกฎหมายอย่างเดียว 3.บริการแพลตฟอร์มทำ PDPA พร้อมด้วยที่ปรึกษาทางด้านกฎหมาย ซึ่งทั้ง 3 แบบจะมีข้อดี และข้อเสียอย่างไร วันนี้ t-reg มีคำตอบมาให้ทุกท่านได้อ่านกัน โดยเริ่มจาก บริการแพลตฟอร์ม ทำ PDPA อย่างเดียว การให้บริการแบบนี้ก็คือระบบช่วยจัดการข้อมูลส่วนบุคคลที่รองรับกฎหมาย PDPA ของประเทศไทย ซึ่งมีความสามารถในการจัดการข้อมูล บริหารสิทธิ์ของเจ้าของข้อมูล และกำกับดูแลความเป็นส่วนตัวของข้อมูลซึ่งองค์กรจะได้รับแค่ตัวแพลตฟอร์มเท่านั้น ไม่ได้มีบริการอื่นมาให้ ข้อดี : องค์กรได้เริ่มทำ PDPA ด้วยตนเองจากเครื่องมือที่จำเป็นสำหรับการทำ PDPA ไม่ว่าจะเป็นการออกเอกสารต่าง ๆ รวมถึงฟังก์ชันสำคัญอย่าง RoP และ Consent Management อีกทั้งยังไม่ต้องพัฒนาระบบเองเพื่อให้งานในองค์กรสอดคล้องกับกฎหมาย PDPA ในปัจจุบัน และอนาคตที่อาจจะมีกฎหมายลูกเพิ่มเติมออกมา ข้อเสีย : องค์กรเกิดความคลาดเคลื่อน หรือไม่ครอบคลุมหลักการปฏิบัติตามกฎหมาย PDPA …

ทำ PDPA แบบไหน ถึงจะตอบโจทย์พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล Read More »

t-reg (Thailand Regulatory Platform) แพลตฟอร์ม Reg-Tech เพื่อองค์กรไทยในวันที่กฎหมาย PDPA บังคับใช้

บทสัมภาษณ์นี้จะพาทุกท่านมารู้จักกับแพลตฟอร์ม t-reg (Thailand Regulatory Platform) ที่จะช่วยให้องค์กรของคุณทำ PDPA ให้เป็นเรื่อง่าย และครบถ้วนทุกข้อกฎหมาย ผู้เขียนได้มีโอกาสพูดคุยกับคุณวันพิชิต ชินตระกูลชัย หรือคุณเกี๊ยก CTO ของบริษัท Ragnar Corporation จำกัด ซึ่งเป็นธุรกิจ B2B Cyber Tech & Reg Tech startups สัญชาติไทยที่ให้บริการด้าน PDPA และ Cyber Security โดยเฉพาะ ที่มาของ Thailand Regulatory Platform (t-reg) แพลตฟอร์ม PDPA สัญชาติไทย ถ้าจะเล่าเกี่ยวกับความเป็นมาของ t-reg ก็อาจจะต้องย้อนกลับไปตั้งแต่เรื่องของการ transform ธุรกิจของบริษัทเรา คือก่อนหน้านี้เราทำธุรกิจแนวบริการ SI (System Integrator) ในเรื่องของการติดตั้งอุปกรณ์ cyber security ที่ไม่มีการทำ Network และ Server …

t-reg (Thailand Regulatory Platform) แพลตฟอร์ม Reg-Tech เพื่อองค์กรไทยในวันที่กฎหมาย PDPA บังคับใช้ Read More »

PDPA Checklist แนวทางที่องค์กรไทยควรทำเพื่อรองรับกฎหมาย PDPA

หลายท่านคงรู้จักเกี่ยวกับการทำ PDPA Checklist Thailand กันมาคร่าว ๆ แล้ว แต่ก็มีคำถามในใจอยากรู้ว่าจะต้องทำอย่างไรให้ตรงกับตัวกฎหมายพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ซึ่งวันนี้ t-reg ได้นำความรู้เชิงแนวทางปฏิบัติที่ดีมาให้ทุกท่านได้อ่านกันในบทความนี้ ซึ่งจะมีอะไรบ้างนั้น ไปเริ่มกันเลย จัดตั้งคณะ PDPA ภายในหน่วยงานให้ตรงตาม PDPA Checklist Thailand การทำให้ถูกกฎหมายพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลนั้น ทางองค์กรจะต้องมีจัดตั้งคณะทำงานที่คอยดูแลเกี่ยวกับกระบวนการเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคล ซึ่งกลุ่มที่ว่าดังกล่าวนี้ต้องมาจากหลากหลายแผนกที่เกี่ยวข้องกับข้อมูลส่วนบุคคลอาทิ ฝ่ายลูกค้าสัมพันธ์ ฝ่ายทรัพยากรบุคคล ฝ่ายจัดซื้อ ไปตลอดจนถึงฝ่ายกฎหมายของบริษัท เป็นต้น นอกจากนี้ในองค์กรยังต้องมีการแต่งตั้ง DPO (Data Protection Officer) เพื่อคุ้มครองข้อมูลส่วนบุคคล และดูแลสิทธิ์ของเจ้าของข้อมูลอีกด้วย หากยังไม่รู้จัก DPO สามารถคลิกอ่านศึกษาเพิ่มเติมได้ที่  DPO คือใคร? สำรวจข้อมูลภายในหน่วยงาน และจัดทำผังวงจรชีวิตข้อมูลส่วนบุคคล (Record of Processing Activity: RoP) ก่อนที่จะเริ่มทำตามกฎหมาย PDPA ทางองค์กรจะต้องมีการสำรวจข้อมูลภายในหน่วยงานว่ามีข้อมูลส่วนบุคคลอะไรบ้าง  เก็บไว้ที่ไหน ใครเป็นผู้ดูแลข้อมูลส่วนบุคคล …

PDPA Checklist แนวทางที่องค์กรไทยควรทำเพื่อรองรับกฎหมาย PDPA Read More »

PDPA Checklist Thailand

PDPA Checklist Thailand เตรียมความพร้อมก่อนพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล บังคับใช้

วันนี้ t-reg ขอพาทุกท่านมารู้จัก PDPA Checklist Thailand เพื่อตรวจสอบว่าองค์กรได้ทำตามที่กฎหมาย PDPA กำหนดไว้ครบถ้วนแล้วหรือยัง โดยบทความนี้นอกจากจะช่วยให้ท่านเข้าใจข้อกำหนดตามกฎหมาย PDPA แล้วทางเรายังมีตัวอย่างแนวทางปฏิบัติที่ดี มาช่วยให้ท่านเปลี่ยน PDPA ให้เป็นเรื่องง่าย และองค์กรสามารถทำตามได้แบบถูกกฎหมาย เริ่มจาก แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer) ตาม PDPA Checklist Thailand ตามมาตรา 41 ของกฎหมายพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ได้กำหนดไว้ว่า  ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของตน ซึ่งหลายคนเมื่อได้อ่านข้อความนี้แล้ว อาจมีข้อสงสัยกันใช่ไหมล่ะคะว่า เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer) คือใคร ? คำตอบก็คือ คนที่มีหน้าที่ดูแลเกี่ยวกับข้อมูลส่วนบุคคลขององค์กรทั้งภายใน (พนักงานในองค์กร) และภายนอก (ผู้ใช้บริการ พาร์ทเนอร์) ของบริษัทตั้งแต่กระบวนการเก็บรวบรวม ใช้งาน เปิดเผย รวมไปถึงการกำหนดทิศทางการใช้ข้อมูลส่วนบุคคลให้ปลอดภัยและสอดคล้องตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล โดยอาจจะแต่งตั้งพนักงานในองค์กรให้รับตำแหน่งนี้ หรือจะจ้าง Outsource เข้ามาดูแลในส่วนนี้ก็ได้เช่นกัน …

PDPA Checklist Thailand เตรียมความพร้อมก่อนพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล บังคับใช้ Read More »

อิออนธนสินทรัพย์ทำ ข้อมูลส่วนบุคคล pdpa ของลูกค้ารั่วไหล

เนื้อหาในบทความนี้ แบงก์ชาติได้ออกมาประกาศเกี่ยวกับ 2 ผู้ให้บริการทางการเงินฝ่าฝืนหลักเกณฑ์การให้บริการลูกค้าอย่างเป็นธรรม ซึ่ง 1 ผู้ให้บริการนั้นได้ฝ่าฝืนทำ ข้อมูลส่วนบุคคล pdpa ของลูกค้ารั่วไหลอีกด้วย โดยเหตุการณ์ดังกล่าวจะมีเนื้อหาส่วนไหนที่เกี่ยวข้องกับกฎหมาย PDPA บ้างนั้นสามารถติดตามได้ในบทความนี้ ความเป็นมาของประกาศครั้งนี้จากแบงก์ชาติ จากข่าวของธนาคารแห่งประเทศไทย (ธปท.) หรือแบงก์ชาติ ฉบับที่ 12/2565 ได้ออกประกาศมาเมื่อวันที่ 21 มีนาคม 2565 เรื่องการกล่าวโทษผู้ให้บริการทางการเงิน กรณีฝ่าฝืนหรือไม่ปฏิบัติตามหลักเกณฑ์ด้านการให้บริการแก่ลูกค้าอย่างเป็นธรรม (Market conduct) ซึ่งมาจากการเรียนร้องของประชาชน และจากการตรวจสอบของ ธปท. พบว่าในช่วงที่ผ่านมา พบว่า มีผู้ให้บริการสินเชื่อรายย่อยจำนวน 2 รายฝ่ายฝืน หรือไม่ปฏิบัติตามหลักเกณฑ์ด้าน Market Conduct ที่เกี่ยวข้องกับข้อมูลลูกค้า ซึ่งถือว่ามีความผิดตามประกาศคณะปฏิวัติ ฉบับที่ 58 ประกาศกระทรวงการคลัง และประกาศธนาคารแห่งประเทศไทย ซึ่งมี 1 รายในนั้นได้ละเมิดกฎหมายฉบับนี้ในหมวด 2 ข้อ 9 ที่เกี่ยวกับการรักษาข้อมูลของผู้บริโภคซึ่งรายนั้นก็คือบริษัท อิออน ธนสินทรัพย์ (ไทยแลนด์) จำกัด …

อิออนธนสินทรัพย์ทำ ข้อมูลส่วนบุคคล pdpa ของลูกค้ารั่วไหล Read More »

ถอดคำแถลงการณ์ข้อมูลรั่วไหล บริษัทมือถือชื่อดัง

ถอดคำแถลงการณ์ Service Provider ยักษ์ใหญ่ บอกอะไรกับเราบ้างนะ ?!

     เรียกได้ว่าช่วงสุดสัปดาห์ที่ผ่านมาหลายท่านคงได้ยินข่าวที่ผู้ให้บริการยักษ์ใหญ่แห่งหนึ่งออกมาประกาศเกี่ยวกับข้อมูลผู้ใช้ที่หลุดรั่วออกไปพร้อมกับวิธีการแก้ไขกับสิ่งที่เกิดขึ้น แม้ในปัจจุบัน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลหรือ PDPA จะยังไม่บังคับใช้ แต่การที่ Service Provider เจ้าดังกล่าว ทำเช่นนี้บอกอะไรเราได้บ้างนั้น มาร่วมหาคำตอบกันได้ในบทความนี้ ข้อมูลที่หลุดไปมีอะไรบ้าง      จากประกาศของ Service Provider เจ้าดังกล่าวได้ระบุไว้ว่าข้อมูลของผู้ใช้บริการจำนวนกว่า 100,000 รายการที่หลุดไปเผยแพร่บน Dark Web นั้นประกอบไปด้วย ชื่อ-นามสกุล, เลขบัตรประชาชน, วัน-เดือน-ปีเกิด, หมายเลขโทรศัพท์ ซึ่งข้อมูลดังกล่าวถือว่าเป็นข้อมูลส่วนบุคคล ที่สามารถระบุตัวตนเจ้าของข้อมูลได้ทั้งทางตรงและทางอ้อม และผู้ควบคุมข้อมูล (องค์กร) ต้องมีการคำขอยินยอม (Consent) ก่อนนำข้อมูลส่วนบุคคลนั้นมาใช้อีกด้วย ข้อมูลหลุดได้ช่องทางไหน ?      ทางผู้ควบคุมข้อมูลแจ้งว่า กรณีที่ข้อมูลผู้ใช้หลุดครั้งนี้เกิดจากการถูกบุกรุกด้วย Ransomware เข้ามาที่เครื่องคอมพิวเตอร์ของทางบริษัท ซึ่งเจ้า Ransomware ที่ว่าคือมัลแวร์ประเภทหนึ่งที่จะทำการล็อกไฟล์เพื่อแลกกับค่าไถ่ โดยมัลแวร์ตัวนี้อาจมาในรูปของ Email หรือโฆษณา Banner บนเว็บไซต์ เป็นต้น กฎหมายยังไม่บังคับใช้ แล้วทำไมผู้ให้บริการยักษ์ใหญ่ถึงประกาศเช่นนี้ …

ถอดคำแถลงการณ์ Service Provider ยักษ์ใหญ่ บอกอะไรกับเราบ้างนะ ?! Read More »

Record Of Processing

RoP Records of Processing Activity คืออะไร การบันทึกรายการประมวลผลข้อมูลส่วนบุคคลจำเป็นไหมใน PDPA

RoP หรือ Records of Processing คือการบันทึกรายการประมวลผลข้อมูลส่วนบุคคลที่ทุกองค์กรต้องทำ เพื่อให้มั่นใจว่าองค์กรทำอะไรกับข้อมูลส่วนบุคคล