ศุภวัชร์ มาลานนท์
-
คอลัมน์
Cap & Corp Forum : ผู้ควบคุมข้อมูลส่วนบุคคลคือใคร ไม่อยากเป็นได้หรือไม่ ?
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นกฎหมายที่กำหนดหน้าที่และความรับผิดชอบของบุคคลต่าง ๆ ที่เข้ามาเกี่ยวข้องในกระบวนการ “การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล” (รวมเรียกว่า “การประมวลผลข้อมูลส่วนบุคคล”) กำหนดสิทธิและกระบวนการบังคับสิทธิของเจ้าของข้อมูลส่วนบุคคล และการจัดสรรความรับผิดของบุคคลต่าง ๆ ในกระบวนการประมวลผลข้อมูลส่วนบุคคลที่เกิดขึ้น โดยบุคคลที่มีหน้าที่หลักในการต้องปฏิบัติตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ได้แก่ “ผู้ควบคุมข้อมูลส่วนบุคคล” และ “ผู้ประมวลผลข้อมูลส่วนบุคคล”
-
คอลัมน์
Cap & Corp Forum : การประมวลผลข้อมูลส่วนบุคคลโดยหน่วยงานของรัฐและการมีส่วนร่วมของเอกชน
ผู้ประกอบการหลายรายโดยเฉพาะอย่างยิ่งผู้ให้บริการในด้านซอฟต์แวร์ (Software-as-a-Service, SaaS) ที่ให้บริการหรือรับดำเนินโครงการต่าง ๆ ให้กับหน่วยงานของรัฐที่มีการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล (“การประมวลผลข้อมูลส่วนบุคคล”) อาจมีคำถามที่เกิดขึ้นตามมาว่าการประมวลผลข้อมูลส่วนบุคคลของตนในฐานะผู้ประมวลผลข้อมูลส่วนบุคคลที่ดำเนินการในนามของรัฐนั้น จะอยู่ภายใต้บังคับของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือไม่ และหากการประมวลผลข้อมูลส่วนบุคคลดังกล่าวตกอยู่ภายใต้บังคับของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ผู้ประกอบการที่มีฐานะเป็นผู้ประมวลผลข้อมูลส่วนบุคคล จะต้องเตรียมพร้อม ดำเนินการ และมีหน้าที่อย่างไรบ้างตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ
-
คอลัมน์
Cap & Corp Forum : การประมวลผลข้อมูลส่วนบุคคลของลูกจ้างในสถานประกอบการ
เมื่อกล่าวถึงพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ในบริบทของการจ้างแรงงานหลายคนมักจะคำนึงถึงเฉพาะในขั้นตอนของการประมวลผลข้อมูลส่วนบุคคล (data processing) ของลูกจ้างหรือผู้สมัครเข้าทำงานในขั้นตอนของการคัดสรรหรือการเข้าทำสัญญาเท่านั้น แต่ในความเป็นจริง ในการบริหารองค์กรและบริหารงานบุคคลต้องมีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (“การประมวลผล”) ของลูกจ้างในหลายกระบวนการ และมีความต่อเนื่องตลอดระยะเวลาของการจ้างงาน เช่น การประมวลผลข้อมูลเพื่อประเมินความสามารถของพนักงาน เพื่อความปลอดภัยในสถานที่ทำงาน และเพื่อปกป้องทรัพย์สินในสถานที่ทำงาน เป็นต้น โดยผู้เขียนขอเรียกการประมวลผลดังกล่าวว่า…
-
คอลัมน์
Cap & Corp Forum : ข้อมูลส่วนบุคคลของพนักงาน: แค่ ‘ยินยอม’ อาจจะไม่เพียงพอ
ผู้ประกอบการ นายจ้าง หรือฝ่ายทรัพยากรบุคคลถือเป็นอีกกลุ่มหนึ่งที่จำต้องมีการเตรียมตัวศึกษาและทำความเข้าใจต่อการเก็บรวมรวม ใช้ และเปิดเผยข้อมูลที่เป็นข้อมูลส่วนบุคคลในบริบทต่าง ๆ ที่เกี่ยวข้องกับการจ้างงาน ตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 การประมวลผลข้อมูลส่วนบุคคลนั้นกฎหมายให้กระทำได้เท่าที่จำเป็นเท่านั้น ในขณะที่ปัจจุบันเทคโนโลยีต่าง ๆ เอื้อต่อผู้ประกอบการในการประมวลผลข้อมูลส่วนบุคคลของลูกจ้างได้ในหลายมิติ ไม่ว่าจะเป็นข้อมูลเอกสาร ข้อมูลการสื่อสารในรูปแบบอิเล็กทรอนิกส์ กล้องวงจรปิด ข้อมูลลักษณะของบุคคลล้วนอยู่ภายใต้ความหมายของการประมวลผลข้อมูลส่วนบุคคลตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ดังนั้นจึงมีคำถามที่ตามมาว่าแล้วขอบเขตการเก็บรวมรวบ ใช้…
-
คอลัมน์
Cap & Corp Forum : Lloyd v Google – การดำเนินคดีแบบกลุ่มในคดีคุ้มครองข้อมูลส่วนบุคคล
หลังจากมีการตราพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ขึ้นใช้บังคับ หลายท่านอาจจะมีคำถามว่าในทางปฏิบัติแล้วการบังคับใช้กฎหมายดังกล่าวจะเกิดขึ้นได้มากน้อยเพียงใด จะคุ้มหรือไม่ในกรณีที่เจ้าของข้อมูลส่วนบุคคลคนหนึ่งจะฟ้องผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลต่อเหตุการณ์ละเมิดข้อมูลส่วนบุคคลหรือใช้ข้อมูลส่วนบุคคลของตนโดยไม่ชอบหรือปราศจากความยินยอม วันนี้ผู้เขียนจึงขอนำกรณีที่ผู้ใช้ไอโฟน (iPhone users) จำนวน 4 ล้านคนที่ร่วมกันดำเนินคดีแบบกลุ่มตามกฎหมายอังกฤษ (class action / representative claim) ต่อกรณีที่เว็บเบราว์เซอร์เก็บข้อมูลของผู้รับบริการเว็บไซต์ (Browser-generated information,…
-
คอลัมน์
Cap & Corp Forum : แนวทางปฏิบัติสำหรับผู้ประกอบการต่อเหตุการณ์ละเมิดข้อมูลส่วนบุคคล
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ มาตรา 37 (4) ได้กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่แจ้งเหตุการณ์ละเมิดข้อมูลส่วนบุคคลแก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายใน 72 ชั่วโมงนับแต่ทราบเหตุ และในบางกรณีอาจต้องแจ้งแก่เจ้าของข้อมูลส่วนบุคคล และมาตรา 40 (3) ยังได้กำหนดหน้าที่ให้ผู้ประมวลผลข้อมูลส่วนบุคคลแจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบถึงเหตุการณ์ละเมิดข้อมูลส่วนบุคคลด้วย โดยการแจ้งถึงเหตุการณ์ละเมิดข้อมูลส่วนบุคคลตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ นั้นแบ่งได้เป็นสองกรณีด้วยกัน กล่าวคือ
-
คอลัมน์
Cap & Corp Forum : การประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล
การประเมินผลกระทบด้านความเป็นส่วนตัว (privacy impact assessment) หรือ “การประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล”(data protection impact assessment, DPIA) เริ่มใช้ครั้งแรกในประเทศแคนาดา นิวซีแลนด์ และออสเตรเลีย ในช่วงปี 1990 โดยหน่วยงานของภาครัฐ เพื่อแสดงให้เห็นถึงความรับผิดชอบของภาครัฐต่อประชาชน ก่อนที่จะถูกพัฒนาเรื่อย ๆ มาจนเป็น…
-
คอลัมน์
Cap & Corp Forum : YouTube และการเปิดเผยข้อมูลส่วนบุคคลของผู้ละเมิดลิขสิทธิ์
เมื่อวันที่ 9 กรกฎาคม 2563 ศาลยุติธรรมแห่งยุโรป (European Court of Justice, ECJ) ได้วินิจฉัยปัญหาข้อกฎหมาย (preliminary reference) ในคดี C-264/19 เกี่ยวกับข้อพิพาทที่เกิดขึ้นในประเทศเยอรมนีระหว่าง Constantin Film Verleih GmbH…
-
คอลัมน์
Cap & Corp Forum : แผนผังข้อมูลกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล
ในการดำเนินธุรกิจในปัจจุบัน “ข้อมูล” ถือเป็นองค์ประกอบสำคัญอย่างมากในการประกอบการ ไม่ว่าจะเป็นข้อมูลทั่ว ๆ ไป ข้อมูลของคู่ค้า ข้อมูลเกี่ยวกับพนักงาน หรือข้อมูลของลูกค้า เป็นต้น ซึ่งในหลาย ๆ กรณีข้อมูลเหล่านั้นมีสถานะเป็น “ข้อมูลส่วนบุคคล” ที่ได้รับความคุ้มครองตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ เพื่อให้องค์กรต่าง ๆ สามารถบริหารจัดการข้อมูลอย่างมีประสิทธิภาพและชอบด้วยกฎหมาย ในวันนี้ผู้เขียนจึงจะขอนำกระบวนการในการทำแผนผังข้อมูล (Data…
-
คอลัมน์
Cap&Corp Forum : มาตรฐาน ISO 27001 และกฎหมายคุ้มครองข้อมูลส่วนบุคคล
แม้ว่าพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลพ.ศ. 2562 จะอยู่ในช่วงชะลอการบังคับใช้ไปอีกหนึ่งปีก็ตาม แต่พระราชบัญญัตินี้ก็ถือว่าสร้างความกังวลให้แก่ผู้ประกอบการที่อยู่ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล (Data controller) และผู้ประมวลผลข้อมูลส่วนบุคคล (Data processor) ไม่น้อย เนื่องจากพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ได้บัญญัติหน้าที่ วิธีบริหารและขั้นตอนในการดำเนินการเก็บ รวบรวม ใช้ ประมวลผล รวมถึงการที่ต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลที่เหมาะสม โดยมีบทกำหนดโทษไว้ในกรณีที่ผู้ประกอบการไม่ปฏิบัติตามทั้งในทางแพ่งที่กำหนดให้มีค่าสินไหมเพื่อการลงโทษ (มาตรา 78)…