ศุภวัชร์ มาลานนท์
-
คอลัมน์
Cap & Corp Forum : กรณีศึกษาการประมวลผลข้อมูลส่วนบุคคลของโรงพยาบาล
เมื่อวันที่ 25 พฤศจิกายน 2563 สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของประเทศนอร์เวย์ (Norwegian Data Protection Authority “Norwegian DPA”) มีคำสั่งลงโทษปรับทางปกครองโรงพยาบาล Østfold หรือ HF Hospital เป็นจำนวนเงิน 750,000 นอร์เวย์โค (NOK)…
-
คอลัมน์
Cap & Corp Forum : การตอบสนองต่อการขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA เป็นกฎหมายที่กำหนดสิทธิและหน้าที่ของบุคคลที่เกี่ยวข้องในกิจกรรมประมวลผลข้อมูลส่วนบุคคลไว้หลายประการ โดยเฉพาะหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) โดยเฉพาะหน้าที่ในส่วนที่เกี่ยวกับการตอบสนองต่อการขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Request, “DSR”) ซึ่งตาม PDPA ได้กำหนดสิทธิของเจ้าของข้อมูลส่วนบุคคลไว้หลายประการ ดังนี้
-
คอลัมน์
Cap & Corp Forum : คุณสมบัติของ DPO และหน้าที่ขององค์กร
หลังจากได้มีการตราพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (“PDPA”) ขึ้น “เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” หรือ Data Protection Officer (“DPO”) ถือเป็นวิชาชีพใหม่ที่มีความสำคัญและมีบทบาทเป็นอย่างยิ่งในการช่วยให้ผู้ประกอบการที่มีการดำเนินการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (“การประมวลผลข้อมูลส่วนบุคคล”) ไม่ว่าจะในฐานะของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลให้สามารถดำเนินการประมวลผลข้อมูลส่วนบุคคลได้อย่างถูกต้องและเป็นไปตามที่ PDPA กำหนด โดยในขณะเดียวกัน DPO…
-
คอลัมน์
Cap & Corp Forum : เมื่อ Platform Compliance อาจทำให้กระทำผิดกฎหมาย
จากการตรวจสอบขององค์กรที่ปรึกษาด้านข้อมูลส่วนบุคคล หรือ EU Data Advisory พบว่ากรอบขั้นตอนและวิธีการ (framework) ในการเก็บรวบรวมความยินยอม (gathering consent) สำหรับการเก็บรวบรวมพฤติกรรมของผู้บริโภคเพื่อการทำการตลาดตามกลุ่มพฤติกรรมของผู้บริโภค (behavior ads) ที่ออกโดยสมาคมการโฆษณาประชาสัมพันธ์แบบดิจิทัลของสหภาพยุโรป หรือ European-level association for digital marketing…
-
คอลัมน์
Cap & Corp Forum : การทดสอบและตรวจสอบระบบกับมาตรการด้านความมั่นคงปลอดภัย
เมื่อวันที่ 2 ธันวาคม 2563 ประธานสำนักงานคุ้มครองข้อมูลส่วนบุคคลของประเทศโปแลนด์ (UODO) ได้มีคำสั่งปรับบริษัท Virgin Mobile Polska เป็นจำนวนเงิน 1.9 ล้าน PLN (ประมาณ 460,000 ยูโร) เนื่องจากขาดมาตรการทางเทคนิค (technical measures)…
-
คอลัมน์
Cap & Corp Forum : ระบบ Call Center และการคุ้มครองข้อมูลส่วนบุคคล
การโทร.นำเสนอขายสินค้าหรือบริการโดยการใช้ข้อมูลเช่น ชื่อ เบอร์โทรศัพท์ และการบันทึกบทสนทนาของลูกค้า ย่อมเป็นการเลี่ยงไม่ได้ที่จะมีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (“การประมวลผลข้อมูลส่วนบุคคล”) ตามความหมายของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ดังนั้นผู้ประกอบการต่าง ๆ ที่ประกอบการหรือดำเนินการธุรกิจในลักษณะของการโทร.เสนอขายผลิตภัณฑ์หรือกลุ่มผู้ให้บริการ Call Center อาจต้องมีการปรับตัวและปรับเปลี่ยนขั้นตอนและวิธีการทำงานเพื่อให้การโทร.ไปยังกลุ่มลูกค้าเพื่อวัตถุประสงค์ในการขายหรือนำเสนอผลิตภัณฑ์เป็นไปโดยชอบด้วยกฎหมาย
-
คอลัมน์
Cap & Corp Forum : ความยินยอมเพื่อวัตถุประสงค์ด้านการตลาด
เหลือเวลาอีกไม่นาน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ก็จะมีผลบังคับใช้ ผู้เขียนเชื่อว่าหลังจากพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ มีการบังคับใช้แล้ว กลุ่มบริษัทที่ให้บริการด้านการเสนอขายสินค้าและบริการอย่าง direct marketing หรือ telemarketing จะเป็นกิจการหนึ่งที่ได้รับผลกระทบจากกฎหมายนี้ค่อนข้างมาก และต้องทำการปรับตัว รวมถึงวางระบบหรือรูปแบบในการประกอบกิจการใหม่เพื่อให้สอดคล้องและเป็นไปตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ บทความตอนนี้ผู้เขียนจึงจะขอนำกรณีที่บริษัทที่ประกอบกิจการรับจ้างนำเสนอผลิตภัณฑ์แก่ผู้บริโภคโดยตรง ผ่านช่องทางการโทรหรือส่งข้อความ (SMS) แห่งหนึ่งในประเทศอังกฤษ ที่ถูกคำสั่งปรับเป็นจำนวนเงิน…
-
คอลัมน์
Cap & Corp Forum : Cookie Consent ใช้ผิด อาจต้องรับผิดถึง 3 ล้าน
คุกกี้ (cookie) เป็นเครื่องมือสำคัญที่ช่วยให้ผู้ประกอบการที่มีการใช้หน้าเว็บไซต์สามารถวิเคราะห์ข้อมูลเชิงลึกเกี่ยวกับกิจกรรมออนไลน์เพื่อทราบถึงพฤติกรรมต่าง ๆ ของผู้บริโภคที่เข้ามายังหน้าเว็บไซต์และนำไปใช้ในการกำหนดกลยุทธ์ทางธุรกิจได้อย่างมีประสิทธิภาพ ปัจจุบันจึงจะเห็นได้ว่าเว็บไซต์ต่าง ๆ ดำเนินการเก็บคุกกี้เพื่อวัตถุประสงค์ทางด้านการวิเคราะห์พฤติกรรมของผู้บริโภคอย่างแพร่หลาย อย่างไรก็ตามคุกกี้บางประเภทที่หน้าเว็บไซต์ต่าง ๆ ใช้นั้น อาจเป็นข้อมูลที่สามารถระบุหรือบ่งบอกถึงตัวบุคคลของผู้ใช้บริการที่เข้ามาเยี่ยมชมเว็บไซต์ได้ ดังนั้นคุกกี้บางประเภทจึงอาจจัดเป็นข้อมูลส่วนบุคคลตามความหมายของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act หรือ…
-
คอลัมน์
Cap & Corp Forum : กรณีศึกษาการโอนหรือเปิดเผยข้อมูลส่วนบุคคล
การส่งต่อ โอน หรือเปิดเผยข้อมูลส่วนบุคคลไปยังบุคคลที่สาม data sharing ถือเป็นเรื่องสำคัญอีกเรื่องหนึ่งในกฎหมายคุ้มครองข้อมูลส่วนบุคคล ที่ทั้งใน General Data Protection Act (GDPR) ของสหภาพยุโรป และ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ของไทยก็ได้มีการกำหนดรายละเอียดเรื่องนี้ไว้ ดังนั้นผู้ประกอบการต่าง ๆ…
-
คอลัมน์
Cap & Corp Forum : การตอบสนองต่อคำขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล
ตามหลักของกฎหมายคุ้มครองข้อมูลส่วนบุคคล การที่ผู้ประกอบการหรือบุคคลใดบุคคลหนึ่งจะนำข้อมูลส่วนบุคคลของลูกค้าหรือบุคคลอื่นมาประมวลผลนั้น จะสามารถกระทำได้ก็ต่อเมื่อมีฐานความชอบด้วยกฎหมายฐานใดฐานหนึ่งตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลให้อำนาจไว้ และเมื่อนำข้อมูลส่วนบุคคลของบุคคลอื่นมาใช้หรือประมวลผล กฎหมายฯ ก็ยังให้สิทธิของเจ้าของข้อมูลส่วนบุคคลให้สามารถดำเนินการต่าง ๆ กับข้อมูลส่วนบุคคลของตนได้ และในขณะเดียวกันก็ได้กำหนดให้การตอบสนองต่อคำขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลให้เป็นหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคลอีกด้วย