มาตรฐาน ISO 27001 และกฎหมายคุ้มครองข้อมูลส่วนบุคคล

Cap & Corp Forum แม้ว่าพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลพ.ศ. 2562 จะอยู่ในช่วงชะลอการบังคับใช้ไปอีกหนึ่งปีก็ตาม แต่พระราชบัญญัตินี้ก็ถือว่าสร้างความกังวลให้แก่ผู้ประกอบการที่อยู่ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล (Data controller) และผู้ประมวลผลข้อมูลส่วนบุคคล (Data processor) ไม่น้อย เนื่องจากพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ได้บัญญัติหน้าที่ วิธีบริหารและขั้นตอนในการดำเนินการเก็บ รวบรวม ใช้ ประมวลผล รวมถึงการที่ต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลที่เหมาะสม โดยมีบทกำหนดโทษไว้ในกรณีที่ผู้ประกอบการไม่ปฏิบัติตามทั้งในทางแพ่งที่กำหนดให้มีค่าสินไหมเพื่อการลงโทษ (มาตรา 78) และในทางปกครองโดยกำหนดโทษปรับทางปกครองไว้ค่อนข้างสูงเพื่อปฏิบัติตามกฎหมาย ผู้ประกอบการบางส่วนให้ความสนใจไปที่การจัดทำมาตรฐานความปลอดภัยให้แก่ข้อมูลหรือ ISO 27001 (Information Security Standard) จึงมีคำถามที่ตามมาว่าหากผู้ประกอบการจัดทำมาตรฐานความปลอดภัยตามมาตรฐานของ ISO 27001 แล้วมาตรการดังกล่าวจะเพียงพอหรือไม่ในการปฏิบัติตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ISO 27001 ถือเป็นแนวทางการวางมาตรการความปลอดภัยแก่ข้อมูลที่มีมาตรฐานเป็นที่ยอมรับในระดับสากล มีมาตรฐานครอบคลุมสามปัจจัยหลักในการจัดเก็บดูแลรักษาข้อมูล กล่าวคือ 1) บุคลากร 2) ขั้นตอนวิธีการ และ 3) เทคโนโลยีที่นำเข้ามาช่วยในการจัดเก็บข้อมูล โดยนอกจากเป็นการกำหนดมาตรการแล้ว การจัดทำ ISO 27001 ยังเป็นการสร้างวัฒนธรรมองค์กรในเรื่องของมาตรการความปลอดภัยของข้อมูล (Awareness of security […]

Internet of Things (IoT) และการแข่งขันทางการค้า (ที่อาจไม่เป็นธรรม)

IoT คือระบบที่มีความสามารถเชื่อมโยงเครื่องจักร อุปกรณ์อิเล็กทรอนิกส์ กับอุปกรณ์ดิจิทัล และมีการจัดให้อุปกรณ์เหล่านั้นสามารถระบุตัวตนได้ผ่านการติดตั้งหมายเลยของอุปกรณ์นั้น ๆ

มาตรการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคลสำหรับผู้ประกอบการ

ยิ่งถ้ามีการรั่วไหลของข้อมูลจำนวนมากและถูกฟ้องคดีแบบกลุ่มด้วยแล้ว (Class action) มูลค่าความเสียหายทางธุรกิจอาจยิ่งมากขึ้นเป็นทวีคูณ

สัญญาการประมวลผลข้อมูลส่วนบุคคล (DPA)

ปัจจุบันเทคโนโลยีอินเทอร์เน็ตและการสื่อสารไร้สายถือเป็นตัวแปรสำคัญในการเปลี่ยนพฤติกรรมของผู้บริโภค ผู้ผลิตและผู้ให้บริการ

Remote Access หน้าที่และความรับผิดของผู้ประมวลผลข้อมูลส่วนบุคคล

ในหลาย ๆ กรณี Remote Access ก็อาจกระทำโดยบุคคลภายนอกหรือ “บริษัทผู้ให้บริการ” เพื่อเข้าไปในระบบคอมพิวเตอร์ของผู้รับบริการ

Apple และการกำหนดค่าส่วนแบ่งการจัดจำหน่าย

App Store เปรียบเสมือนตลาดซื้อขายที่ Apple เป็นผู้ผูกขาดและกำหนดเงื่อนไขการทำธุรกรรมต่างๆ บนแพลตฟอร์มของตนเองแต่เพียงผู้เดียว

Amazon อำนาจผูกขาดของแพลตฟอร์มและการใช้ข้อมูลการค้า

แม้ว่า Amazon จะเริ่มต้นธุรกิจจากการเป็นเว็บไซต์อีคอมเมิร์ซและได้รับความนิยมจากการเป็นร้านหนังสือออนไลน์ที่ใหญ่ที่สุด แต่ธุรกิจของ Amazon ไม่ได้จำกัดเฉพาะอีคอมเมิร์ซเท่านั้น

สภาวะการพักชำระหนี้

หลักการที่สำคัญที่สุดประการหนึ่งที่ถูกกำหนดไว้ใน “กระบวนพิจารณาเกี่ยวกับการฟื้นฟูกิจการของลูกหนี้” คือแนวคิดในเรื่องของ “สภาวะการพักชำระหนี้”

ความไม่พร้อมในการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคล (3)

ส่วนสำคัญที่สุดที่ทำให้พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ไม่สามารถใช้บังคับได้ คือ การขาดอนุบัญญัติต่าง ๆ ที่ต้องออกมาตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ

ความไม่พร้อมในการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคล (2)

ขณะนี้เริ่มมีเสียงเรียกร้องให้มีการเลื่อนการบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลพ.ศ. 2562 ซึ่งควรจะต้องมีผลบังคับใช้ทั้งฉบับได้ในวันที่ 27 พ.ค. นี้ออกไปมากขึ้นเรื่อยๆ

1 2 3 4 5 8