สมาคมโทรคมนาคมแห่งประเทศไทย ในพระบรมราชูปถัมภ์  จัดสัมมนา “ผลกระทบต่อประเทศไทยและการเตรียมการรับมือ GDPR”  วันที่  6 กันยายน   2561 (09.00 น)   ณ  ห้อง Teamwork  8 (808)   อาคารสำนักงานใหญ่  บมจ.กสท โทรคมนาคม   โดยมี  ดร.สุพจน์  เธียรวุฒิ   เลขาธิการสมาคมฯ  และประธานคณะทำงานศึกษาการกำกับดูแลภายใต้หน่วยงานของรัฐและกสทช.  กล่าวเปิดงาน  และมีวิทยากรบรรยาย ดังนี้

  • Mr.Tan Peng  Hor   

Associate  Director , Data  Protection   Office 

Singtel

 

  • ผศ.ดร.ปิยะบุตร บุญอร่ามเรือง

Asst.Prof.Dr. Piyabutr    Bunaramrueang

อาจารย์ประจำคณะนิติศาสตร์  จุฬาลงกรณ์มหาวิทยาลัย

     Thailand data protection guideline1.0

 

1536221724123

 

1536219604889

 

rsz 1dsc 0350

 

 1536

 rsz dsc 03312

 

 GDPR  ในประเทศไทย  มีการกำหนดให้มีการคุ้มครองสิทธิของเจ้าของข้อมูลให้สามารถย้ายและลบข้อมูลส่วนตัวที่อยู่ในระบบของผู้ให้บริการได้แล้วแต่กรณี และหากมีการนำข้อมูลไปใช้หรือประมวลผล จะต้องขอความยินยอม(consent) จากเจ้าของข้อมูลเสียก่อน รวมถึงต้องจัดเก็บข้อมูลนั้น ๆ ไว้ในรูปแบบที่ไม่สามารถระบุตัวตนได้ (Anonymous) เพื่อปกป้องความเป็นส่วนตัว แม้การเคลื่อนย้ายถ่ายโอนข้อมูลข้ามพรมแดนก็ต้องมีความปลอดภัยสูง  

นอกจากนี้เนื้อหาในการสัมมนายังมีประเด็นที่ชัดเจนขึ้นดังนี้

  • การขอความยินยอมจากเจ้าของข้อมูลต้องเข้าใจง่ายเงื่อนไขการขอความยินยอมยาวเหยียดจะไม่มีอีกต่อไปแล้ว เพราะ GDPR บอกว่า คำขอความยินยอมต้องอ่านแล้วเข้าใจง่าย ใช้ภาษาที่รวบรัดชัดเจน เช่นเดียวกันกับการถอนความยินยอม ก็ต้องทำได้ง่ายเช่นกัน
  • การแจ้งเตือนเมื่อเกิดเหตุข้อมูลรั่วหากพบว่าข้อมูลรั่วไหล หน่วยงานควบคุมข้อมูลและผู้ประมวลผลข้อมูลต้องแจ้งให้หน่วยงานกำกับดูแล และประชาชนทราบภายใน 72 ชั่วโมง
  • สิทธิของ data subjectใน GDPR ขยายขอบเขตสิทธิของเจ้าของข้อมูล ที่ data controller ต้องแจ้งเจ้าของข้อมูลว่าข้อมูลถูกใช้เอาไปทำอะไร เพื่อวัตถุประสงค์ใด และต้องจัดทำสำเนาข้อมูลให้กับเจ้าของข้อมูลในรูปแบบอิเล็กทรอนิกส์ โดยห้ามเก็บค่าใช้จ่ายเพิ่ม
  • สิทธิ์ที่จะถูกลืม (Right to be Forgotten)เจ้าของข้อมูลสามารถขอให้หน่วยงานควบคุมข้อมูลลบข้อมูลของตัวเองออกได้ นอกจากนั้นข้อมูลที่ไม่มีความเกี่ยวข้องกับจุดประสงค์ของการประมวลผล ก็ต้องเอาออกด้วย
    ให้ความสำคัญกับความเป็นส่วนตัวตั้งแต่การออกแบบ (Privacy by Design) คือการให้หน่วยงานควบคุมข้อมูลตระหนักความสำคัญของข้อมูล โดยเริ่มจากการออกแบบบริการที่คิดถึงการป้องกันข้อมูลตั้งแต่แรกเลย ไม่ใช่ออกแบบแล้ว ค่อยมาเพิ่มเรื่องการป้องกันข้อมูล และใช้มาตรการทางเทคนิคที่เหมาะสมและมีประสิทธิภาพในการป้องกันข้อมูล
  • ต้องมีเจ้าหน้าที่คุ้มครองข้อมูล หรือ Data Protection Officers (DPO)จากเดิมที่องค์กรต้องแจ้งกิจกรรมการประมวลผลข้อมูลต่อหน่วยงานท้องถิ่น (Local Data Protection Authority) ที่เป็นข้อบังคับตามกฎหมายเดิม (Data Protection Act 1998) ภายใต้กฎ GDPR นี้ไม่ต้องแจ้งแล้ว แต่ต้องจ้างเจ้าหน้าที่คุ้มครองข้อมูล หรือ DPO เข้ามาในบริษัทเลย   เจ้าหน้าที่่คุ้มครองข้อมูล มีหน้าที่ติดตามกิจกรรมประมวลผลข้อมูลขนาดใหญ่ และข้อมูลอ่อนไหว คุณสมบัติของ DPO คือ มีความรู้ความเชี่ยวชาญการจัดเก็บข้อมูล, รายงานการทำงานตรงต่อผู้บริหาร