- Call Us: (02) 003-3781-2
- Email: info@tct.or.th
สัมมนา “ผลกระทบต่อประเทศไทยและการเตรียมการรับมือ GDPR”
สมาคมโทรคมนาคมแห่งประเทศไทย ในพระบรมราชูปถัมภ์ จัดสัมมนา “ผลกระทบต่อประเทศไทยและการเตรียมการรับมือ GDPR” วันที่ 6 กันยายน 2561 (09.00 น) ณ ห้อง Teamwork 8 (808) อาคารสำนักงานใหญ่ บมจ.กสท โทรคมนาคม โดยมี ดร.สุพจน์ เธียรวุฒิ เลขาธิการสมาคมฯ และประธานคณะทำงานศึกษาการกำกับดูแลภายใต้หน่วยงานของรัฐและกสทช. กล่าวเปิดงาน และมีวิทยากรบรรยาย ดังนี้
- Mr.Tan Peng Hor
Associate Director , Data Protection Office
Singtel
- ผศ.ดร.ปิยะบุตร บุญอร่ามเรือง
Asst.Prof.Dr. Piyabutr Bunaramrueang
อาจารย์ประจำคณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย
Thailand data protection guideline1.0
GDPR ในประเทศไทย มีการกำหนดให้มีการคุ้มครองสิทธิของเจ้าของข้อมูลให้สามารถย้ายและลบข้อมูลส่วนตัวที่อยู่ในระบบของผู้ให้บริการได้แล้วแต่กรณี และหากมีการนำข้อมูลไปใช้หรือประมวลผล จะต้องขอความยินยอม(consent) จากเจ้าของข้อมูลเสียก่อน รวมถึงต้องจัดเก็บข้อมูลนั้น ๆ ไว้ในรูปแบบที่ไม่สามารถระบุตัวตนได้ (Anonymous) เพื่อปกป้องความเป็นส่วนตัว แม้การเคลื่อนย้ายถ่ายโอนข้อมูลข้ามพรมแดนก็ต้องมีความปลอดภัยสูง
นอกจากนี้เนื้อหาในการสัมมนายังมีประเด็นที่ชัดเจนขึ้นดังนี้
- การขอความยินยอมจากเจ้าของข้อมูลต้องเข้าใจง่ายเงื่อนไขการขอความยินยอมยาวเหยียดจะไม่มีอีกต่อไปแล้ว เพราะ GDPR บอกว่า คำขอความยินยอมต้องอ่านแล้วเข้าใจง่าย ใช้ภาษาที่รวบรัดชัดเจน เช่นเดียวกันกับการถอนความยินยอม ก็ต้องทำได้ง่ายเช่นกัน
- การแจ้งเตือนเมื่อเกิดเหตุข้อมูลรั่วหากพบว่าข้อมูลรั่วไหล หน่วยงานควบคุมข้อมูลและผู้ประมวลผลข้อมูลต้องแจ้งให้หน่วยงานกำกับดูแล และประชาชนทราบภายใน 72 ชั่วโมง
- สิทธิของ data subjectใน GDPR ขยายขอบเขตสิทธิของเจ้าของข้อมูล ที่ data controller ต้องแจ้งเจ้าของข้อมูลว่าข้อมูลถูกใช้เอาไปทำอะไร เพื่อวัตถุประสงค์ใด และต้องจัดทำสำเนาข้อมูลให้กับเจ้าของข้อมูลในรูปแบบอิเล็กทรอนิกส์ โดยห้ามเก็บค่าใช้จ่ายเพิ่ม
- สิทธิ์ที่จะถูกลืม (Right to be Forgotten)เจ้าของข้อมูลสามารถขอให้หน่วยงานควบคุมข้อมูลลบข้อมูลของตัวเองออกได้ นอกจากนั้นข้อมูลที่ไม่มีความเกี่ยวข้องกับจุดประสงค์ของการประมวลผล ก็ต้องเอาออกด้วย
ให้ความสำคัญกับความเป็นส่วนตัวตั้งแต่การออกแบบ (Privacy by Design) คือการให้หน่วยงานควบคุมข้อมูลตระหนักความสำคัญของข้อมูล โดยเริ่มจากการออกแบบบริการที่คิดถึงการป้องกันข้อมูลตั้งแต่แรกเลย ไม่ใช่ออกแบบแล้ว ค่อยมาเพิ่มเรื่องการป้องกันข้อมูล และใช้มาตรการทางเทคนิคที่เหมาะสมและมีประสิทธิภาพในการป้องกันข้อมูล - ต้องมีเจ้าหน้าที่คุ้มครองข้อมูล หรือ Data Protection Officers (DPO)จากเดิมที่องค์กรต้องแจ้งกิจกรรมการประมวลผลข้อมูลต่อหน่วยงานท้องถิ่น (Local Data Protection Authority) ที่เป็นข้อบังคับตามกฎหมายเดิม (Data Protection Act 1998) ภายใต้กฎ GDPR นี้ไม่ต้องแจ้งแล้ว แต่ต้องจ้างเจ้าหน้าที่คุ้มครองข้อมูล หรือ DPO เข้ามาในบริษัทเลย เจ้าหน้าที่่คุ้มครองข้อมูล มีหน้าที่ติดตามกิจกรรมประมวลผลข้อมูลขนาดใหญ่ และข้อมูลอ่อนไหว คุณสมบัติของ DPO คือ มีความรู้ความเชี่ยวชาญการจัดเก็บข้อมูล, รายงานการทำงานตรงต่อผู้บริหาร