สำนักงานคุ้มครองข้อมูลส่วนบุคคล เผยสถิติร้องเรียนหน่วยงานเอกชนฝ่าฝืน PDPA สูงถึง 83.1% !!!

สำนักงานคุ้มครองข้อมูลส่วนบุคคล เผยสถิติร้องเรียนหน่วยงานเอกชนฝ่าฝืน PDPA สูงถึง 83.1% !!!
pornpilast su Article, News
pdpa+เอกชน

สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หรือ สคส. เป็นหน่วยงานองค์กรอิสระในการกำกับดูแลเรื่องข้อมูลส่วนบุคคล ซึ่งในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หมวด 1 มาตรา 8 ได้กำหนดไว้ว่า ให้มีคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล อันประกอบด้วย ประธานกรรมการ, รองประธานกรรมการ กรรมการผู้ทรงคุณวุฒิ  เลขาธิการเป็นกรรมการและเลขานุการ  

เป็นเรื่องน่าตกใจที่หลังพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือกฎหมาย PDPA ประกาศใช้อย่างเป็นทางการเมื่อวันที่ 1 มิถุนายน 2565 ที่ผ่านมา ทางสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หรือ สคส. ได้ออกสถิติการรับเรื่องร้องเรียน และสอบถามทางโทรศัพท์เรื่อง PDPA โดยมีการจัดระยะเวลาทั้งหมด 1 ปี ในระหว่างวันที่ 1 ตุลาคม 2564 – 15 พฤศจิกายน 2565  โดยทางสคส. แจ้งว่าใน 1 ปีที่ผ่านมามีผู้ร้องเรียนสูงถึง 2,246 ครั้ง  

โดยหัวข้อร้องเรียนที่ทางสคส. รับเรื่องจัดอันดับได้ดังนี้ (สถิติในวันที่ 1 ตุลาคม 2564 – 15 พฤศจิกายน 2565) 

  1. ร้องเรียนเรื่องการบังคับให้ความยินยอมเพื่อเปิดใช้บริการ
  2. การถูกเก็บข้อมูลส่วนบุคคลมาจากแหล่งอื่นโดยมิชอบ
  3. ไม่เปิดให้ใช้สิทธิขอรับสำเนาข้อมูลหรือลบข้อมูลตามกฎหมาย
  4. เรื่องการใช้และเปิดเผยข้อมูลระหว่างบุคคลธรรมดา

จากสถิติที่ทางสำนักงานคุ้มครองข้อมูลส่วนบุคคลเผยแพร่ออกมาจะเห็นได้ว่า หน่วยงานเอกชนได้มีการถูกร้องเรียนในเรื่องการฝ่าฝืนกฎหมาย PDPA อยู่ในกลุ่มที่สูงที่สุด ถึง 83.1 %  ลำดับถัดมาคือประชาชนอยู่ที่ 9.2 %  หน่วยงานรัฐวิสาหกิจ 4.6% และหน่วยงานรัฐเพียง 3.1%   โดยเหตุผลส่วนใหญ่ที่มีการละเมิดการคุ้มครองข้อมูลส่วนบุคคล นั้นล้วนมาจากการที่บุคลากรขององค์ขาดความรู้และความเข้าใจในด้านกฎหมาย PDPA  รวมไปถึงกระบวนการทำงานขององค์กรมีการไหลเวียนข้อมูลส่วนบุคคลเป็นส่วนใหญ่ แต่ไม่มีการดำเนินงานให้ถูกต้องและครบกระบวนการ ทั้งนี้สาเหตุการละเมิดที่ได้รับแจ้งสาเหตุส่วนใหญ่ที่เรารวบรวมได้ มีดังต่อไปนี้ 

  1. ระบบคอมพิวเตอร์ขององค์กรถูกเจาะระบบ
  2. กระบวนการควบคุมขั้นตอนการเปิดเผยข้อมูลส่วนบุคคล ขององค์กรไม่รัดกุม
  3. พนักงานดำเนินการผิดพลาด ส่งข้อมูลให้ผู้รับผิดคน

อีกทั้งหน่วยงานรัฐมีการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO- Data Protection Officer) เตรียมพร้อมอยู่แล้ว ซึ่งเข้ามามีส่วนช่วยในการทำให้องค์กรปฏิบัติตามพ.ร.บ.ได้อย่างถูกต้อง

 

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO- Data Protection Officer) 

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO- Data Protection Officer) คือ ทำให้แน่ใจว่าองค์กรมีการดำเนินการได้ถูกต้องตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือกฎหมาย PDPA บทบาทของ DPO ตามข้อกำหนดในกฎหมาย PDPA คำนึงถึงความรู้หรือความเชี่ยวชาญเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ซึ่งอาจจะเป็นผู้บริหารหรือพนักงานที่มีตำแหน่งตั้งแต่หัวหน้างานขึ้นไป หรือจะเป็นการจัดจ้างเจ้าหน้าที่จากภายนอกก็ได้เช่นกัน แต่ไม่ควรเป็นสัญญาในช่วงสั้นๆ โดยมีหน้าที่ที่ต้องรับผิดชอบ ดังนี้

  1. ให้คำแนะนำแก่เจ้าของธุรกิจและเจ้าหน้าที่ภายในบริษัทให้สามารถดำเนินการตามที่กฎหมายกำหนด
  2. ตรวจสอบการดำเนินงานของบริษัท รวมถึงลูกจ้าง/ผู้รับจ้างในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามกฎหมาย อาทิ การจัดทำแบบประเมินความเสี่ยงการละเมิดข้อมูลส่วนบุคคลภายในบริษัท (DPIA : Data Protection Impact Assessment)
  3. ประสานงานและให้ความร่วมมือกับสำนักงานคุ้มครองข้อมูลส่วนบุคคล หากเกิดปัญหาที่เกี่ยวข้องกับข้อมูลส่วนบุคคลภายในบริษัท อาทิ จัดการคำขอใช้สิทธิ หรือข้อร้องเรียนต่าง ๆ
  4. ส่งเสริมให้ภายในบริษัทมีค่านิยมในการคุ้มครองข้อมูลส่วนบุคคล
  5. รักษาความลับของข้อมูลส่วนบุคคลที่ตนล่วงรู้หรือได้มาเนื่องจากการปฏิบัติหน้าที่

ดังนั้น หากดูจากบทบาทหน้าที่และคุณสมบัติของ DPO ต้องเป็นเจ้าหน้าที่ในระดับหัวหน้างานขึ้นไป และมีความเชี่ยวชาญในเรื่องกฎหมาย PDPA อย่างน้อย 5 ปี และอาจจะต้องมีใบรับรองคุณสมบัติและความเชี่ยวชาญจากสถาบันที่กฎหมายหรือคณะกรรมการฯ กำหนด (อ้างอิงจากหลักเกณฑ์ของ GDPR) 

เราช่วยคุณได้ ! บริการเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) จาก PDPA Thailand

  • ให้คำปรึกษาด้านพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) แก่คณะทำงานผู้ควบคุมข้อมูลส่วนบุคคล (DC) หรือผู้ประมวลผลข้อมูลส่วนบุคคล (DP) รวมถึงพนักงานภายในองค์กร
  • รับเรื่องร้องเรียนและติดต่อประสานงานกับเจ้าของข้อมูลส่วนบุคคล ผ่านช่องทางที่บริษัทกำหนด รวมถึงกรณีที่มีการขอใช้สิทธิจากเจ้าของข้อมูลส่วนบุคคลเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA)
  • ดำเนินการเกี่ยวกับการจัดให้มีช่องทางการขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล สำหรับการรายงานสิ่งผิดปกติตามคำร้องขอของบุคคลต่าง ๆ ทั้งภายในและภายนอกองค์กร 
  • ตรวจสอบการปฏิบัติงาน พร้อมให้คำแนะนำผ่านบันทึกกิจกรรมการประมวล RoPA เช่น การจัดเก็บและการทำลายข้อมูล, Data leak process จำนวนเดือนละ 2 กิจกรรม
  • ปฏิบัติงานเป็นผู้แทนของบริษัท ทำหน้าที่ประสานงานและให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ในกรณีที่มีปัญหาเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลทั้งหมดภายในองค์กร
  • ปฏิบัติงานเป็นผู้แทนของบริษัท แจ้งเหตุการละเมิดของข้อมูลส่วนบุคคลแก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ภายในระยะเวลา 72 ชั่วโมง

อ่านรายละเอียด  บริการเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) จาก PDPA Thailand   

ติดต่อ สอบถามข้อมูลเพิ่มเติม :

Phone Number : 081-632-5918 (คุณปุ๋ม)

Line : @pdpathailand

Messenger : PDPA Thailand

Email : [email protected]

 

Reference : 

https://www.techtalkthai.com/ncsa-virtual-summit-1-2023-cybersecurity-and-privacy-trends-videos/ 

https://www.techtalkthai.com/wp-content/uploads/2022/12/NCSA_Virtaul_Summit_1_Presentation_PDPC.pdf 

Related Posts

pdpa

Term of Service กับกฎหมาย PDPA ผู้ให้บริการแพลตฟอร์มออนไลน์ต้องรู้ พร้อมแนะวิธีแก้ไขให้ถูกต้อง

Article, Uncategorized

: คุณกำลังทำผิด PDPA อยู่รึเปล่า? ผู้ให้บริการออนไลน์ แพลตฟอร์มเว็บไซต์ และแอปพลิเคชันที่จัดทำเงื่อนไขในการให้บริการ หรือ Term of Service ที่ยาวมากและคลุมเครือ ยากแก่การทำความเข้าใจมีความเสี่ยงมากต่อการทำผิด พรบ.คุ้มครองข้อมูลส่วนบุคคล เพราะแม้จะเป็นข้อตกลงตามสัญญา แต่หากสัญญาที่ผู้รับบริการไม่เข้าใจ และเจตนาสร้างความสับสนจะถือเป็นสัญญาที่มีผลตามกฎหมายได้หรือ?

pornpilast su

มกราคม 4, 2023