t-reg news

ในวันที่ 13 ธันวาคม พ.ศ. 2556 นี้ กฎหมาย PDPA ฉบับเพิ่มเติมมาตราที่ 41 (2) ว่าด้วยเรื่อง “การจัดตั้งให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ DPO (Data Protection Officer) ” ประกาศบังคับใช้ โดยองค์กรที่เกี่ยวข้องตามกฎหมายนี้จำเป็นต้องจัดตั้ง DPO มิฉะนั้นแล้วจะมีความผิดทางกฎหมาย PDPA หากองค์กรของท่านได้มีการดำเนินการทำโครงการ PDPA กันอยู่ คงทราบดี ถึงความสำคัญของตำแหน่ง DPO หรือบุคคลที่ทำหน้าที่เสมือนเป็น DPO ในองค์กรของท่าน วันนี้ t-reg ขอนำเสนอบริการใหม่ล่าสุด บริการที่จะช่วยตอบโจทย์ทุกความท้าทายของ DPO เรียกได้ว่า ครบ จบ ทุกปัญหาเกี่ยวกับ PDPA ภาพรวม และแนวโน้มตำแหน่ง DPO ในอนาคต DPO หรือ Data Protection Officer คือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ที่มีหน้าที่หลักในการเป็นเหมือนตัวแทนของเจ้าของข้อมูล ในการตรวจดูว่าองค์กรนำข้อมูลส่วนบุคคลไปใช้อย่างถูกต้องตามกฎหมายหรือไม่และยังเป็นผู้ที่คอยประสานระหว่างองค์กร […]

ปฏิเสธไม่ได้ว่าปัจจุบัน จำนวนของข้อมูลในองค์กร ยิ่งมากยิ่งเป็นสิ่งที่ดีต่อการโฆษณา ดีต่อการพัฒนาผลิตภัณฑ์ แต่ขณะเดียวกันยิ่งมีข้อมูลมาก ก็ยิ่งมีความเสี่ยงต่อการรั่วไหล เสี่ยงต่อการจารกรรมข้อมูล ดังนั้นการหยิบยืมข้อมูลจากเจ้าของข้อมูลส่วนบุคคล (Data Subject) มาเก็บไว้ภายในองค์กร จำเป็นต้องมีวิธีรักษาความปลอดภัยให้กับข้อมูลอย่างรอบด้าน ซึ่งกฎหมายก็พยายามชี้ให้เห็นว่า ไม่จำเป็นต้องรอให้เกิดเหตุข้อมูลรั่วไหล แล้วจึงหาทางป้องกัน แต่ควรวางแผนป้องกันข้อมูลจากความเสี่ยง จากเหตุที่ไม่คาดคิด ก่อนที่เหตุนั้นจะเกิดขึ้นจริง กระบวนการสำคัญที่ช่วยให้องค์กรรู้ถึงจุดเสี่ยง ช่องโหว่ที่อันตรายในกระบวนการต่างๆ ของ PDPA เพื่อนำไปสู่การวางแผนรับมือ หรือแก้ไขช่องโหว่ก่อนจะเกิดเหตุ คือ กระบวนการ DPIA DPIA Introduction: ความหมายและขอบเขตของกระบวนการ DPIA DPIA มีชื่อเต็มคือ Data Protection Impact Assessment หรือ การประเมินผลกระทบ/ ความเสี่ยงด้านการคุ้มครองข้อมูลส่วนบุคคล เป็นกระบวนการที่ถูกระบุให้เป็นขั้นตอนที่ต้องทราบ “ผลกระทบ” และ “มาตรการที่เหมาะสมกับผลกระทบและความเสี่ยง” มาตรา 30, 37 (4), 39 วรรคสาม, 40 วรรคสี่, 37 (1), 39

เปิดเผยเบื้องหลังทุกขั้นตอนการสร้างเครื่องมือและวิธีการใช้งาน Privacy Policy Generator by t-reg เครื่องมือที่ช่วยให้ท่านสามารถร่างเอกสาร Privacy Policy ได้แม่นยำและรวดเร็วมากขึ้น จุดเริ่มต้นของไอเดียการสร้างเครื่องมือ Privacy Policy Generator t-reg เห็นถึงปัญหาของลูกค้าในเรื่องของการจัดทำนโยบายที่ต้องใช้ระยะเวลานานในการจัดเก็บ รวบรวมการใช้งานของข้อมูลส่วนบุคคลภายในองค์กรทั้งหมด ความยุ่งยากเหล่านั้นทำให้การทำงานในเรื่อง PDPA ของลูกค้าเกิดความยุ่งยากและสร้างภาระงานที่มากขึ้น รวมถึงการเปลี่ยนของโลกที่เข้าสู่ยุคดิจิทัล ทำให้เราไม่สามารถปฏิเสธการเข้ามาของ AI หรือ เทคโนโลยีได้  ทำให้ทางทีมเล็งเห็นถึงจุดที่จะนำเทคโนโลยีมาใช้ในแพลตฟอร์มของเรา ทั้งนี้ก็เพื่อให้ธุรกิจของลูกค้าเกิดความคล่องตัวในการทำงานเรื่อง PDPA มากขึ้น เพื่อลดภาระงานที่ยุ่งยากและใช้เวลานานเหล่านั้นจึงเป็นจุดเริ่มต้นในการสร้าง Privacy Policy Generator by t-reg เครื่องมือที่ช่วยให้คุณสามารถร่างเอกสาร Privacy Policy ได้แม่นยำและรวดเร็วมากขึ้น สามารถปรับแต่งให้เข้ากับนโยบายขององค์กร ช่วยให้นโยบายถูกต้องแม่นยำตามที่กฎหมายกำหนด เปลี่ยน Pain Point เป็น Gain Point สิ่งที่เราต้องการให้เครื่องมือนี้ Impact หลัก ๆ เลยก็คือเพื่อช่วยให้ธุรกิจของลูกค้าเกิดความคล่องตัวในการทำงานในเรื่องของ PDPA โดยปกติแล้วการทำตัวนโยบายโดยเฉพาะอย่างยิ่งในส่วนของ PDPA นั้นจะต้องมีการทำเอกสารค่อนข้างเยอะ

ISO 29110 ตอกย้ำคุณภาพและมาตรฐานระดับสากล t-reg PDPA Platform ได้รับการรับรองมาตรฐาน ISO/IEC 29110 สุดยอดแพลตฟอร์มบริหารจัดการที่มาพร้อมกับมาตรฐานที่ไว้ใจได้ เมื่อวันที่ 5 เมษายน 2023 ที่ผ่านมา t-reg PDPA Platform ในเครือบริษัท แร็กน่าร์ คอร์ปอเรชั่น จำกัด ได้รับรองมาตรฐาน ISO/IEC 29110 Systems and Software Life Cycle Profiles and Guideli nes for Very Small Entities (VSEs) จากสํานักงานส่งเสริมเศรษฐกิจดิจิทัล (depa) ร่วมกับ กลุ่มอุตสาหกรรมดิจิทัล สภาอุตสาหกรรมแห่งประเทศไทย มาตรฐานนี้มุ่งเน้นให้การรับรองคุณภาพการบริหารงานหรือผลิตภัณฑ์ซอฟต์แวร์ให้แก่ หน่วยงาน/ผู้ประกอบการที่มีขนาดเล็กโดยมีผู้ร่วมงานไม่เกิน 25 คน เพื่อให้มีการพัฒนาซอร์ฟแวร์ที่เป็นระบบตามกระบวนการทางสากล โดยมีข้อกำหนดใน 2 กระบวนการคือ การบริหารโครงการ (Project Management)

เมื่อวันที่ 15 ธันวาคม 2565 ที่ผ่านมา คณะกรรมการคุ้มครองส่วนบุคคลได้เผยแพร่ประกาศฉบับใหม่ที่มีเนื้อหาเกี่ยวกับวิธีการในการแจ้งเหตุละเมิดข้อมูลส่วนบุคคล โดยมีใจความสำคัญอยู่ที่รายละเอียดและขั้นตอนที่ Data Controller ต้องปฏิบัติเมื่อเกิดเหตุละเมิด รายละเอียดที่ต้องคำนึงในการประเมินความเสี่ยง และการแจ้งเหตุละเมิดข้อมูลส่วนบุคคลแก่เจ้าของข้อมูลส่วนบุคคล รวมถึงรายละเอียดอื่นๆ ที่เป็นประโยชน์ต่อผู้ควบคุมข้อมูลส่วนบุคคล พร้อมกันนี้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ยังเผยแพร่ คู่มือแนวทางการประเมินความเสี่ยงและแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล เวอร์ชั่น 1.0 เพื่อใช้เป็นแนวทางประกอบกับประกาศฉบับล่าสุดอีกด้วย รายละเอียดมีอะไรบ้าง เราสรุปไว้ให้แล้ว ที่มาของประกาศใหม่ ‌ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการแจ้งเหตุละเมิดข้อมูลส่วนบุคคล พ.ศ 2565 ร่างขึ้นโดยอ้างอิงจาก ‌พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล มาตรา 16 (4) และ ‌พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล มาตรา 37 (4) ความหมายของ การละเมิดข้อมูลส่วนบุคคล ‌“การละเมิดข้อมูลส่วนบุคคล” หมายถึง? การละเมิดมาตรการรักษาความมั่นคงปลอดภัยที่ทำให้เกิดการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ ไม่ว่าจะเกิดจากเจตนา ความจงใจ ความประมาทเลินเล่อ การกระทำโดยปราศจากอำนาจหรือโดยมิชอบ การกระทำความผิดเกี่ยวกับคอมพิวเตอร์

t-reg สรุปให้ อัปเดตแนวทางใหม่ ของกฎหมาย PDPA เข้าใจภายใน 5 นาที คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ได้ออกแนวทางการดำเนินการเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จำนวน 2 ฉบับ เพื่อสร้างความชัดเจนและเป็นแนวทางให้ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ที่เกี่ยวข้องนำไปปรับใช้และปฏิบัติให้ถูกต้อง อันจะเป็นประโยชน์ต่อการคุ้มครองข้อมูลส่วนบุคคลอย่างมีประสิทธิภาพ ดังนี้ 1.แนวทางการดำเนินการในการ ขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 2.แนวทางการดำเนินการในการ แจ้งวัตถุประสงค์และรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 t-reg สรุปและคัดสรรเนื้อหาสำคัญ เข้าใจภายใน 5 นาที รายละเอียดของแต่ละแนวทาง มีดังนี้ ประเภทและลักษณะในการแจ้งวัตถุประสงค์และรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคล แก่เจ้าของข้อมูลส่วนบุคคล แบ่งเป็น 2 ลักษณะ คือ ‌กรณีที่มี ‌กฎหมายเฉพาะหรือหน่วยงานควบคุมและกำกับดูแลกำหนดหลักเกณฑ์ วิธีการ หรือแนวทางการดำเนินการเป็นการเฉพาะ ‌กรณีที่ไม่มี ‌กฎหมายเฉพาะหรือหน่วยงานควบคุมและกำกับดูแลกำหนดหลักเกณฑ์ วิธีการ หรือแนวทางการดำเนินการเป็นการเฉพาะ        2. หลักการในการแจ้งวัตถุประสงค์และรายละเอียดแก่เจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งวัตถุประสงค์ภายใต้หลักการดังต่อไปนี้ ‌- ความเป็นธรรม

เมื่อวันที่ 23 พฤษภาคม 2565 ที่ผ่านมา คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หรือ PDPC (Office of the Personal Data Protection Commission) และหน่วยงานที่เกี่ยวข้อง  รวมถึงภาคเอกชน ได้จัดงานสัมนาแนวทางการบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เพื่อสื่อสารประเด็นต่างๆ ที่เกี่ยวข้องกับกฎหมาย PDPA และ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล มีผู้เข้าชมการถ่ายทอดสดในครั้งนี้กว่าสองหมื่นครั้ง ไฮท์ไลท์ของงานนี้ คือการบรรยายในหัวข้อ “กฎหมายคุ้มครองข้อมูลส่วนบุคคลกับการขับเคลื่อนเศรษฐกิจและสังคมดิจิทัล” โดย นายชัยวุฒิ ธนาคมานุสรณ์ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม และมีการเสวนาย่อย เพื่อแลกเปลี่ยนองค์ความรู้ 2 เรื่อง 1. “การปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล” โดยผู้เชี่ยวชาญจาก 4 ภาคส่วน 2. “PDPA in Action : Best practices ในภาครัฐและภาคเอกชน” โดยตัวแทนบริษัทชั้นนำที่รุดหน้าในการทำ PDPA t-reg สรุปสาระสำคัญเกี่ยวกฎหมาย PDPA

บทสัมภาษณ์นี้จะพาทุกท่านมารู้จักกับแพลตฟอร์ม t-reg (Thailand Regulatory Platform) ที่จะช่วยให้องค์กรของคุณทำ PDPA ให้เป็นเรื่อง่าย และครบถ้วนทุกข้อกฎหมาย ผู้เขียนได้มีโอกาสพูดคุยกับคุณวันพิชิต ชินตระกูลชัย หรือคุณเกี๊ยก CTO ของบริษัท Ragnar Corporation จำกัด ซึ่งเป็นธุรกิจ B2B Cyber Tech & Reg Tech startups สัญชาติไทยที่ให้บริการด้าน PDPA และ Cyber Security โดยเฉพาะ ที่มาของ Thailand Regulatory Platform (t-reg) แพลตฟอร์ม PDPA สัญชาติไทย ถ้าจะเล่าเกี่ยวกับความเป็นมาของ t-reg ก็อาจจะต้องย้อนกลับไปตั้งแต่เรื่องของการ transform ธุรกิจของบริษัทเรา คือก่อนหน้านี้เราทำธุรกิจแนวบริการ SI (System Integrator) ในเรื่องของการติดตั้งอุปกรณ์ cyber security ที่ไม่มีการทำ Network และ Server

     เรียกได้ว่าช่วงสุดสัปดาห์ที่ผ่านมาหลายท่านคงได้ยินข่าวที่ผู้ให้บริการยักษ์ใหญ่แห่งหนึ่งออกมาประกาศเกี่ยวกับข้อมูลผู้ใช้ที่หลุดรั่วออกไปพร้อมกับวิธีการแก้ไขกับสิ่งที่เกิดขึ้น แม้ในปัจจุบัน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลหรือ PDPA จะยังไม่บังคับใช้ แต่การที่ Service Provider เจ้าดังกล่าว ทำเช่นนี้บอกอะไรเราได้บ้างนั้น มาร่วมหาคำตอบกันได้ในบทความนี้ ข้อมูลที่หลุดไปมีอะไรบ้าง      จากประกาศของ Service Provider เจ้าดังกล่าวได้ระบุไว้ว่าข้อมูลของผู้ใช้บริการจำนวนกว่า 100,000 รายการที่หลุดไปเผยแพร่บน Dark Web นั้นประกอบไปด้วย ชื่อ-นามสกุล, เลขบัตรประชาชน, วัน-เดือน-ปีเกิด, หมายเลขโทรศัพท์ ซึ่งข้อมูลดังกล่าวถือว่าเป็นข้อมูลส่วนบุคคล ที่สามารถระบุตัวตนเจ้าของข้อมูลได้ทั้งทางตรงและทางอ้อม และผู้ควบคุมข้อมูล (องค์กร) ต้องมีการคำขอยินยอม (Consent) ก่อนนำข้อมูลส่วนบุคคลนั้นมาใช้อีกด้วย ข้อมูลหลุดได้ช่องทางไหน ?      ทางผู้ควบคุมข้อมูลแจ้งว่า กรณีที่ข้อมูลผู้ใช้หลุดครั้งนี้เกิดจากการถูกบุกรุกด้วย Ransomware เข้ามาที่เครื่องคอมพิวเตอร์ของทางบริษัท ซึ่งเจ้า Ransomware ที่ว่าคือมัลแวร์ประเภทหนึ่งที่จะทำการล็อกไฟล์เพื่อแลกกับค่าไถ่ โดยมัลแวร์ตัวนี้อาจมาในรูปของ Email หรือโฆษณา Banner บนเว็บไซต์ เป็นต้น กฎหมายยังไม่บังคับใช้ แล้วทำไมผู้ให้บริการยักษ์ใหญ่ถึงประกาศเช่นนี้