เมื่อ Facebook เป็น ‘ผู้ควบคุมข้อมูลส่วนบุคคลร่วม’ โดยไม่รู้ตัว

เพื่อเป็นการป้องกันการละเมิดต่อพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ผู้ประกอบการที่มีหน้าที่หรือส่วนเกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลจึงมีหน้าที่ต้องศึกษาทำความเข้าใจในความหมายของสถานะต่าง ๆ ที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล

ผู้ควบคุมข้อมูลส่วนบุคคลคือใคร ไม่อยากเป็นได้หรือไม่ ?

มีประเด็นที่น่าสนใจหลายประการเกี่ยวกับสถานะและความเป็นผู้ควบคุมข้อมูลส่วนบุคคล อาทิผู้ประกอบธุรกิจหรือผู้ประกอบการที่ไม่ต้องการมีหน้าที่และความรับผิดตามกฎหมาย

การประมวลผลข้อมูลส่วนบุคคลโดยหน่วยงานของรัฐและการมีส่วนร่วมของเอกชน

สิทธิของเจ้าของข้อมูลส่วนบุคคลที่ถูกประมวลผลโดยผู้ควบคุมข้อมูลส่วนบุคคลที่อาศัยฐานภารกิจของรัฐนั้น จะมีความต่างจากการประมวลผลโดยผู้ควบคุมข้อมูลส่วนบุคคลที่อาศัยฐานความชอบด้วยกฎหมายอื่น

การประมวลผลข้อมูลส่วนบุคคลของลูกจ้างในสถานประกอบการ

Cap & Corp Forum เมื่อกล่าวถึงพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ในบริบทของการจ้างแรงงานหลายคนมักจะคำนึงถึงเฉพาะในขั้นตอนของการประมวลผลข้อมูลส่วนบุคคล (data processing) ของลูกจ้างหรือผู้สมัครเข้าทำงานในขั้นตอนของการคัดสรรหรือการเข้าทำสัญญาเท่านั้น แต่ในความเป็นจริง ในการบริหารองค์กรและบริหารงานบุคคลต้องมีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (“การประมวลผล”) ของลูกจ้างในหลายกระบวนการ และมีความต่อเนื่องตลอดระยะเวลาของการจ้างงาน เช่น การประมวลผลข้อมูลเพื่อประเมินความสามารถของพนักงาน เพื่อความปลอดภัยในสถานที่ทำงาน และเพื่อปกป้องทรัพย์สินในสถานที่ทำงาน เป็นต้น โดยผู้เขียนขอเรียกการประมวลผลดังกล่าวว่า “การประมวลผลข้อมูลส่วนบุคคลของลูกจ้างในสถานประกอบการ” ด้วยความก้าวหน้าของเทคโนโลยีในปัจจุบัน ผู้ประกอบการหรือนายจ้างสามารถนำเทคโนโลยีหลาย ๆ อย่างมาใช้ในสถานประกอบการหรือแม้กระทั่งใช้ติดตามดูพฤติกรรมของลูกจ้างได้ตลอดเวลา (monitoring & tracing) ทั้งในและนอกสถานประกอบการ และในหรือนอกเวลาทำงาน อาทิ ระบบกล้องวงจรปิด ระบบตรวจสอบอัตลักษณ์ของบุคคล ระบบ GPS สมาร์ตโฟน และระบบคอมพิวเตอร์ ฯลฯ ซึ่งกิจกรรมเหล่านี้ล้วนเป็นการประมวลผลข้อมูลส่วนบุคคลตามความหมายของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ โดยการดำเนินกิจกรรมลักษณะนี้หลายคนอาจมีความเข้าใจผิดว่าในฐานะของนายจ้างย่อมสามารถประมวลผลข้อมูลส่วนบุคคลของลูกจ้างของตนได้บนฐานการให้ความยินยอม (consentground) โดยการเก็บความยินยอมของลูกจ้างของตน แต่หากตีความตามความหมายของบทบัญญัติมาตรา 19 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ที่บัญญัติไว้ว่า การขอความยินยอมนั้นผู้ควบคุมข้อมูลส่วนบุคคลต้องคำนึงถึงอย่างที่สุดในความเป็นอิสระของเจ้าของข้อมูลส่วนบุคคลในการให้ความยินยอม (freely given consent) ความยินยอมที่บุคคลที่มีความไม่เท่าเทียมกันในทางเศรษฐกิจหรืออำนาจต่อรองได้ให้ไว้หรือจำต้องให้ในสถานะดังกล่าว […]

ข้อมูลส่วนบุคคลของพนักงาน : แค่ ‘ยินยอม’ อาจจะไม่เพียงพอ

ข้อมูลลักษณะของบุคคลล้วนอยู่ภายใต้ความหมายของการประมวลผลข้อมูลส่วนบุคคลตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ

มาตรการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคลสำหรับผู้ประกอบการ

ยิ่งถ้ามีการรั่วไหลของข้อมูลจำนวนมากและถูกฟ้องคดีแบบกลุ่มด้วยแล้ว (Class action) มูลค่าความเสียหายทางธุรกิจอาจยิ่งมากขึ้นเป็นทวีคูณ

ความไม่พร้อมในการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคล (3)

ส่วนสำคัญที่สุดที่ทำให้พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ไม่สามารถใช้บังคับได้ คือ การขาดอนุบัญญัติต่าง ๆ ที่ต้องออกมาตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ

ความไม่พร้อมในการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคล (2)

ขณะนี้เริ่มมีเสียงเรียกร้องให้มีการเลื่อนการบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลพ.ศ. 2562 ซึ่งควรจะต้องมีผลบังคับใช้ทั้งฉบับได้ในวันที่ 27 พ.ค. นี้ออกไปมากขึ้นเรื่อยๆ

ความไม่พร้อมในการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคล

ความยินยอมถือเป็นหลักการพื้นฐานสำคัญในการเก็บ รวบรวม และประมวลผลข้อมูลส่วนบุคคล หากไม่มีแนวทางปฏิบัติดังกล่าวที่เป็นรูปธรรม ก็เป็นการยากที่บุคคลที่ต้องเกี่ยวข้องกับการใช้ข้อมูลส่วนบุคคลจะสามารถเข้าใจสิทธิและหน้าที่ของตนเองได้อย่างถูกต้อง

Privacy v. Security

“What is more important to you, privacy or security?” คำถามนี้ในเวทีประกวดนางงามจักรวาล 2019 ที่ผ่านมาทำให้สังคมไทยให้ความสำคัญและถกเถียงประเด็นสาธารณะดังกล่าวอย่างกว้างขวาง

1 2