Answerpdpa

ตั๋วผี ดนตรี และความเป็นส่วนตัว

ผมเติบโตมากับยุคเฟื่องของโรงภาพยนต์แบบสแตนด์อโลน (stand alone movie theater) ก่อนที่ สังคมไทยจะรู้จักโรงหนังแบบมัลติเพล็กซ์

โรงหนังสแตนด์อโลน คือ โรงหนังเดี่ยวที่ตั้งอยู่โดดๆ บนตัวอาคารที่ใช้เพื่อกิจกรรมความบันเทิงในการฉายหนังเพียงอย่างเดียว

เจ้าของโรงจะจัดฉายหนังที่ละเรื่อง…ส่วนใหญ่จะเป็นหนังที่กำลังได้รับความนิยมในขณะนั้น โรงที่คุณพ่อผมนิยมพาไปก็ได้แก่ โคลีเซี่ยม, แม็คแคนน่า และ สกาล่า …ซึ่งปัจจุบันล้มหายตายจากไปหมดแล้ว

ใครที่เกิดร่วมสมัยกับผมจะทราบดีว่า pain point อย่างหนึ่งของการใช้บริการโรงหนังแบบ stand alone คือปัญหา ”ตั๋วผี”

อะไรคือตั๋วผี?

“ตั๋วผี” หรือ “บัตรผี” (รากศัพท์ภาษาอังกฤษ scalp ticket มาจากพรานที่ล่าสัตว์หายาก เพียงแค่ตัดหนังศีรษะมา แนวคิดคือเพียงถือบางส่วนของบางสิ่ง แต่ยังก็ได้รับรางวัล) วิธีการคือ นักเก็งกำไรจะกว้านซื้อตั๋วที่นั่งดีๆ ในรอบวันหยุดสุดสัปดาห์ แล้วนำมาขายต่อกับคนที่มาช้า หรือคนที่ไม่ได้ยืนรอซื้อตั๋ว…ตั๋วหนังสมัยนั้น 40 บาท ขาย 60 บาท หรือ 50 บาท ขาย 80 บาท

ทำกำไรงามไม่น้อย

ปัจจุบันแม้ว่าปัญหา “ตั๋วผี” กับในอุตสาหกรรมโรงภาพยนต์หายสาบสูญไปแล้ว เพราะโรงหนังพัฒนาไปเป็นแบบมัลติเพล็กซ์ (ซึ่งโรงหนังแบบมัลติเพล็กซ์ก็ไม่พ้นเจอปัญหาโดน disrupt โดย Netflix, Disney Star คและ Prime)

แต่ยังมีอีกหลายวงการที่ ปัญหาบัตรผี หรือตั๋วผี ยังคงหลอกหลอนอยู่ ส่วนใหญ่มักเป็นความบันเทิงแบบการแสดงสด (Live Performance) เช่น การแข่งขันกีฬาดีๆระดับชาติ การแสดงเดี่ยวทอล์คโชว์ ของคุณโน้ต อุดม หรือ การแสดงคอนเสิร์ตดีๆ

ตั๋วผี, ดนตรี และความเป็นส่วนตัว?

ดูเหมือนสามสิ่งนี้ไม่น่าจะเกี่ยวกันได้…แต่ประเทศหนึ่ง ที่ประสบปัญหาตั๋วผี มากกว่าบ้านเราคือ ประเทศ “ญี่ปุ่น”

ว่ากันว่า ปัญหาตั๋วผีในวงการคอนเสิร์ตทำลายทั้งโครงสร้างราคาและโอกาสของแฟน ๆ ที่จะเข้าชมคอนเสิร์ตดนตรี และถึงแม้ว่า ปัจจุบันญี่ปุ่นมีกฎหมายการห้ามขายตั๋วผี แต่ก็ไม่เป็นผล

ปัญหานี้ทำให้รัฐบาลญี่ปุ่นกำลังพิจารณายกระดับการแก้ไขปัญหา โดยกำหนดให้ใช้บัตรประจำตัวประชาชน (National ID) เพื่อซื้อตั๋วเข้าชมคอนเสิร์ตและการแข่งขันกีฬา หมายความว่า ผู้มาร่วมงานจะต้องผ่านกระบวนการยืนยันตน (verification process) ว่าเป็นบุคคลเดียวกับผู้จองบัตร พูดง่ายๆ คือ ผู้ที่มาร่วมงานเป็นคนเดียวกับที่ซื้อบัตร

ปัจจุบัน บัตรคอนเสิร์ตในญี่ปุ่น จำนวนมากถูกซื้อทางออนไลน์ โดยสามารถรับบัตรจริงได้ที่ร้านสะดวกซื้อ การที่ทางการพิจารณาออกกฎหมาย ใช้บัตรประจำตัวประชาชนจะตัดตั๋วกระดาษจริงออก เนื่องจากข้อมูลตั๋วจะเชื่อมโยงกับบัตรประจำตัวเมื่อสแกนที่สถานที่จัดงาน

รุกล้ำข้อมูลส่วนบุคคล vs ขจัดตั๋วผี?

เพื่อตัดวงจรอุบาทของตั๋วผี รัฐบาลญี่ปุ่นมองว่าการใช้รหัสประจำตัวประชาชนเป็นวิธีการไปสู่ดิจิทัลมากขึ้น มีเป้าหมายเพื่อให้ประชาชนทุกคนลงทะเบียนในโครงการภายในสิ้นปีงบประมาณนี้ ปัญหาคือ…ประชากรญี่ปุ่นเพียง 60% เท่านั้นที่ลงทะเบียนจนถึงตอนนี้

การต้องเชื่อมโยงกับ ID กับการซื้อตั๋วคอนเสิร์ต ยังนำไปสู่การวิพากษ์วิจารณ์ในเรื่องการรั่วไหลของข้อมูลส่วนบุคคล (Personal Data)

ในกระแสที่การคุ้มครองข้อมูลส่วนบุคคลเป็นเรื่องของ “สิทธิ”
น่าชวนติดตามมากว่า ประเทศญี่ปุ่นที่เพิ่งสมาทาน กฎหมาย APPI - Japan's Data Protection Law ในวันที่ 1 เมษายนที่ผ่านมา จะสร้างสมดุลในปัญหาตั๋วผี และการลงทะเบียนบัตรประชาชนได้อย่างไร





#พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล

เอกวาดอร์ ประเทศที่เคราะห์ซ้ำกรรมซัด

ฟุตบอลโลก vs Privacy

ผมไม่ได้ชอบเตะฟุตบอล….แต่ชอบดูฟุตบอล (มาก)

ใกล้เข้ามาทุกขณะ สำหรับมหกรรมลูกหนังหยุดโลก FIFA World 2022 ที่จะจัดขึ้นที่ประเทศ กาตาร์ 🇶🇦

วันที่เขียนบทความนี้ก็เหลืออีกแค่ 11 วัน ทีมชาติกาตาร์ในฐานะเจ้าภาพ จะประเดิมสนามพบกับ ประเทศสาธารณรัฐเอกวาดอร์ ที่สนาม Al Bayt Stadium (อ่านเพิ่ม https://www.longtunman.com/23137)

ผมเองไม่เคยไปเที่ยวกาตาร์…เคยแต่แวะเวียนเปลี่ยนเครื่องที่สนามบิน ณ กรุงโดฮาซัก 4-5 ครั้งเห็นจะได้

⚽️ การจัดการแข่งขันฟุตบอลโลกครั้งนี้
นอกจากจะเป็นการจัดครั้งแรกในโลกอาหรับ ที่มีประเด็นเรื่องขอห้ามในการเฉลิมฉลองสุรายาเมาแล้ว ยังมีข้อจำกัดด้านสภาพภูมิอากาศเข้ามาเกี่ยวข้อง

ร้อนขนาดไหน?

อุณหภูมิเฉลี่ยจะอยู่ที่ 24 องศาสำหรับฤดูหนาวในกาตาร์ซึ่ง ก็ยังมีความชื้นสัมพัทธ์ และร้อนในความรู้สึกนักเตะชาวยุโรปทำให้ทั้ง 8 สนามต้องมีระบบทำความเย็นเพื่อรักษาสภาพร่างกายของนักเตะ

อีกประเด็นหนึ่ง…ที่หลายคนอาจจะไม่รู้ก็คือเรื่องของ ความเป็นส่วนตัว (Privacy) ในการเข้าประเทศกาตาร์

รัฐบาลกาตาร์บังคับให้ผู้มาเยือนช่วงฟุตโลกต้อง ดาวโหลด แอฟพลิเคชั่น 2 ตัว เพื่อวัตถุประสงค์ด้านความปลอดภัยและด้านการควบคุมโรคโควิท

Intrusive Technology?

แอพฯ ที่จะต้องโหลดในมุมมองของโลกตะวันตกมองว่าคุกขามความเป็นส่วนตัว

เพราะแอพฯ นี้เมื่อดาวน์โหลดสามารถ
1. ควบคุมอุปกรณ์ของคุณได้
2. โทรออกโดยไม่ได้รับอนุญาตได้
3. หยุดโทรศัพท์ของคุณไม่ให้เข้าสู่ sleep mode ได้

เหลือเชื่อ….ใช่ไหมครับ

ระเบียบข้อนี้ทำให้รัฐบาลอังกฤษประกาศให้พลเมืองของตนซื้อมือถือแบบราคาถูก (burner) หรือใช้แล้วทิ้งไปเลย เพื่อการนี้โดยเฉพาะ….

ดูเหมือนว่าความเป็นส่วนตัว และการคุ้มครองข้อมูลส่วนบุคคลจะแทรกซึมไป ไม่มีข้อยกเว้นแม้กระทั่งในมหกรรมฟุตบอลโลก

Credit: https://www.dailystar.co.uk/sport/football/england-world-cup-burner-phone-28380652







เอกวาดอร์ ประเทศที่เคราะห์ซ้ำกรรมซัด ถ้าพูดถึงประเทศที่เศรษฐกิจแย่ในทวีปอเมริกาใต้ หนึ่งในนั้นจะมีเวเนซุเอลา แต่เรื่องที่น่าสนใจคือ ประเทศท...

งามไส้! จับ "พ.ต.ท.-จนท.กระทรวง" ขายข้อมูลคนไทยให้แก๊งคอลฯ ได้เดือนละ 6 แสนบาท - ข่าวสด

The ultimate tragedy in Data Protection…..

งามไส้! จับ "พ.ต.ท.-จนท.กระทรวง" ขายข้อมูลคนไทยให้แก๊งคอลฯ ได้เดือนละ 6 แสนบาท

งามไส้! จับ "พ.ต.ท.-จนท.กระทรวง" ขายข้อมูลคนไทยให้แก๊งคอลฯ ได้เดือนละ 6 แสนบาท - ข่าวสด งามไส้! จับ “พ.ต.ท.-จนท.กระทรวง” ขายข้อมูลค...

มีหลายคนถามผมว่าทำไมเวลาบรรยายเรื่องการคุ้มครองข้อมูลส่วนบุคคลต้องมีเรื่องราว (Storytelling) นำในการบรรยาย…

ผมไม่รู้จะอธิบายอย่างไรดี แต่รู้เพียงว่า ข้อมูล ทั้งข้อมูลทั่วไป (General Information) และข้อมูลส่วนบุคคล (Personal Data) แค่สามารถโน้มน้าวผู้บริหาร …แต่ข้อมูลเพียงอย่างเดียว (ในความคิดผม)ไม่สามารถ สร้างแรงบันดาลใจให้กระทำ (Act) อะไรบางอย่างให้ผู้บริหารในองค์กรที่มีเวลาน้อยได้ดีเท่ากับ เรื่องราว …storytelling ที่ดีนอกจากจะสร้างวิสัยทัศน์ให้แก่ผู้บริหารแล้วยังเสริมสร้างจินตนาการและปลุกเร้าจิตวิญญาณ (Soul) ในการคุ้มครองข้อมูลส่วนบุคคลให้แก่องค์กรอีกด้วย

ถ้าความรู้สำคัญ จินตนาการสำคัญกว่า
ถ้า Data is King, แล้วไซร้ Storytelling is Emperor

“โดยไม่ชักช้า”

“โดยไม่ชักช้า” แปลว่า “โดยไม่โอเอ้” หรือ “โดยไม่ล่าช้า”

แหม…ขึ้นต้นบทความโดยการสอนภาษาไทย ทำให้นึกถึงรายการภาษาไทยวันละ รายการยอดฮิตของ ท่านอาจารย์ “กาญจนา นาคสกุล” ราชบัณฑิต สาขาวิชาภาษาไทย เมื่อ 30 กว่าปีก่อน

“สิทธิคนไทย”

สิทธิที่คนไทยและคนที่อาศัยอยู่ในเมืองไทยพึงจะได้รับตาม พรบ.คุ้มครองข้อมูลส่วนบุคคลมีอยู่ด้วยกัน 8 สิทธิอันได้แก่
1.สิทธิในการถอนความยินยอม
2.สิทธิในการขอเข้าถึงข้อมูลส่วนบุคคลเกี่ยวกับตนเอง
3.สิทธิในการคัดค้าน
4.สิทธิขอลบข้อมูลส่วนบุคคล
5.สิทธิขอให้ระงับใช้ข้อมูลส่วนบุคคล
6.สิทธิขอให้แก้ไขข้อมูลส่วนบุคคลให้เป็นปัจจุบัน
7.สิทธิในการโอนย้ายข้อมูล
8.สิทธิในการได้รับแจ้ง

เมื่อประชาชน (ในฐานะเจ้าของข้อมูลส่วนบุคคล) นั้นแสดงความประสงค์ขอใช้สิทธิกับบริษัทต่างๆ บริษัทต่างๆ ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล (data controller) ก็ต้องตอบสนองต่อคำขอเหล่านั้น

คำถามคือบริษัทจะ “ต้อง” ตอบสนองต่อสิทธิเหล่านั้นภายในกี่วัน?

สิทธิในการขอเข้าถึงข้อมูลส่วนบุคคลเกี่ยวกับตนเอง ในมาตรา 30 วรรค 4 PDPA กำหนดให้ตอบสนอง “โดยไม่ชักช้า” แต่ต้องไม่เกิน 30 วัน นับแต่วันที่ได้รับคำขอ

แต่กฎหมายไม่ได้ระบุ “เงื่อนเวลา” แก่ผู้ควบคุมข้อมูลส่วนบุคคลในการตอบสนองต่อสิทธิอื่นๆ (อีก 7 สิทธิ)

โดยไม่ชักช้า = Without Undue Delay

ข้อนี้จะต่างกับ กฎหมาย การคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (GDPR) มาตรา 12(2)

GDPR สร้างมาตรฐานชัดเจนว่า ผู้ควบคุมฯ จะต้องให้ข้อมูลตามคำขอการใช้สิทธิตามมาตรา 15 ถึง 22 (สิทธิทั้ง 8 สิทธิ) แก่เจ้าของข้อมูล “โดยไม่ชักช้า” และในทุกกรณีภายในหนึ่งเดือนหลังจากได้รับคำขอ
(The controller shall provide information on action taken on a request under Articles 15 to 22 to the data subject without undue delay and in any event within one month of receipt of the request)

การตอบสนองที่ล่าช้านั้นเท่ากับการตอบสนองได้รับการปฏิเสธ

เหมือนคำพูดของอดีตนายกรัฐมนตรีอังกฤษ William Gladstone ที่กล่าวว่า

"Justice delayed is justice denied"

ประกาศคณะกรรมการผู้เชี่ยวชาญ 2 ชุดแรก พร้อมพิจารณาเรื่องร้องเรียนตามกฎหมาย PDPA - PDPA Thailand

คณะกรรมการผู้เชี่ยวชาญ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) คือ คณะบุคคลผู้มีอำนาจในการตัดสินโทษทางปกครอง กรณีมีการกระทำความผิดตาม พรบ.คุ้มครองข้อมูลส่วนบุคคล

พูดง่ายๆ คือ ถ้าบริษัท ห้างร้าน ละเมิดข้อมูลส่วนบุคคลของลูกจ้าง ลูกค้า คู่ค้า….มีการใช้สิทธิไม่ได้รับการตอบสนอง…คณะฯ นี้จะเข้ามามีบทบาท

เชิญตรวจสอบรายชื่อและประวัติ คณะกรรมการผู้เชี่ยวชาญ จำนวน 2 ชุด ได้แก่

1.คณะกรรมการผู้เชี่ยวชาญ เรื่องร้องเรียนเกี่ยวกับการเงิน และเศรษฐกิจ

2.คณะกรรมการผู้เชี่ยวชาญ เรื่องร้องเรียนเกี่ยวกับเทคโนโลยีดิจิทัลและอื่นๆ
.
📍อ่านประกาศได้ที่นี่ : https://pdpathailand.com/pdpa-news/pdpa-news-6/

ประกาศคณะกรรมการผู้เชี่ยวชาญ 2 ชุดแรก พร้อมพิจารณาเรื่องร้องเรียนตามกฎหมาย PDPA - PDPA Thailand ได้มีผลสรุปการแต่งตั้งคณะกรรมการผู้เชี่ยวชาญ จำนวน 2 ชุด ได้แก่คณะกรรมการผู้เชี่ยวชาญ เรื่องร้องเรียนเกี...

กิจกรรมดีที่ ต้องไม่พลาด

ขอเชิญชวนนักกฎหมาย และบุคคลทั่วไปที่สนใจเกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล ร่วมกิจกรรมวิชาการ NIDA Law Forum ครั้งที่ 18

หัวข้อ GDPR v. PDPA ช่องว่างการตีความ และความท้าทายที่รออยู่

วันพุธที่ 14 กันยายน 2565 เวลา 18.30-20.30 น.
Online ผ่าน zoom

กิจกรรมพูดคุย แลกเปลี่ยนเรียนรู้เกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป และของไทย

บทความจากคุณเคน หนึ่งในนักเรียนหลักสูตร train the trainer การคุ้มครองข้อมูลส่วนบุคคลจัดโดย DEPA ร่วมกับ สมาพันธ์เอสเอ็มอีไทย รุ่นที่ 2 ครับ

ส่งข้อมูลพนักงานให้ลูกค้า ผิด PDPA มั้ย?
.
สำหรับธุรกิจ outsource ที่ต้องเข้าไปมีส่วนในกระบวนการทำงานของลูกค้า คุณอาจเคยได้รับคำขอจากลูกค้าให้ส่งข้อมูลส่วนบุคคลของพนักงาน (staff profile) ไปให้ลูกค้า ซึ่งแน่นอนข้อมูลก็จะประกอบไปด้วยข้อมูลส่วนบุคคลหรืออาจรวมไปถึงข้อมูลที่มีความอ่อนไหว (sensitive information) หรือในอีกชื่อหนึ่งคือข้อมูลลักษณะพิเศษ (special category) เช่น ประวัติอาชญากรรม ลักษณะแบบนี้ทางบริษัทสามารถทำได้หรือไม่
.
ลักษณะบริการแบบนี้จะขึ้นอยู่กับ สัญญาระหว่างผู้ควบคุมข้อมูลส่วนบุคคล (DC: Data controller) และผู้ประมวลผลข้อมูล (DP: Data Processor) หรือเรียกว่า DPA: Data Processing Agreement ซึ่งในทางปฏิบัติ สามารถเพิ่มเป็นส่วนหนึ่งของสัญญาจ้างระหว่าง ผู้ให้บริการ และผู้รับบริการ โดยการขอข้อมูลจำเป็นต้องเก็บ ใช้ และเปิดเผย เท่าที่มีความจำเป็นเท่านั้น ตามหลักการประมวลผล ว่าด้วยการใช้ข้อมูลอย่างจำกัด (Data Minimization) และต้องมีการจำกัดวัตถุประสงค์ (Purpose Limitation) ที่ชัดเจน
.
นอกจากนี้หากลูกค้าไม่มี หรือไม่ได้ระบุใน Privacy Notice หรือ Privacy Policy ถึงการเก็บและทำลายข้อมูลส่วนบุคคล ทางบริษัทฯ ควรต้องระบุถึงการเก็บและทำลายข้อมูลส่วนบุคคล ตามหลักการจำกัดการเก็บข้อมูล (Storage Limitation) ที่ส่งให้ลูกค้าด้วย
.
เพิ่มเติมจากสัญญากับลูกค้า ทางบริษัทฯ ยังต้องทำสัญญากับพนักงาน และขอความยินยอมใช้ข้อมูลส่วนบุคคล จากพนักงานอีกด้วย โดยการขอข้อมูลลักษณะพิเศษ จะต้องเป็นลักษณะชัดแจ้ง หมายถึง มีช่องให้พนักงาน ติ๊ก ยินยอมรับทราบด้วย
.
อะไรถือเป็นข้อมูลส่วนบุคคลบ้าง ได้แก่ข้อมูลทั่วไป เช่น
- ชื่อ สกุล
- เบอร์ติดต่อ
- ที่อยู่
- หมายเลขบัตรประชาชน
- ฯลฯ
.
อะไรถือเป็นข้อมูลลักษณะพิเศษ
ข้อมูลที่ต้องได้รับการดูแลแตกต่างจากข้อมูลทั่วไป เช่น
- ประวัติอาชญากรรม
- ข้อมูลสุขภาพ
- ความพิการ
- พฤติกรรมทางเพศ
- เชื้อชาติ
- เผ่าพันธุ์
- ความคิดเห็นทางการเมือง
- ความเชื่อในลัทธิ ศาสนา หรือปรัชญา
- ข้อมูลสหภาพแรงงาน
- ข้อมูลพันธุกรรม
- ข้อมูลชีวภาพ
- ข้อมูลอื่นใดที่กระทบเจ้าของข้อมูลในทำนองเดียวกัน
.
สรุปแล้วสามารถทำได้ ด้วยฐานความยินยอม (Consent) และ ฐานสัญญา (Contract) แต่ต้องปฏิบัติเตรียมเอกสารให้ครบถ้วน โปร่งใส ถูกต้องนะครับ

แรงงาน (Labor) เป็นหนึ่งในปัจจัยที่ก่อให้เกิดธุรกิจ

แรงงาน ยังได้รับการจัดให้อยู่ในประเภททุนมนุษย์ (M: Manpower Resource) ตามหลักการวิเคราะห์ 4Ms เพื่อช่วยให้ธุรกิจสามารถระบุและจำแนกสาเหตุของปัญหา

ประเทศไทยนั้น นอกจากจะได้รับการขับเคลื่อนด้วยแรงงานคนไทยแล้ว ยังได้รับการขับเคลื่อนจากแรงงานประเภทหนึ่งที่เข้ามาทำงานประเภทที่คนไทยด้วยกันเองมักไม่นิยมทำ เช่น ประเภทงานยาก (Difficult), งานอันตราย (Dangerous), งานสกปรก (Dirty) และงานหนัก (Demanding)…..

ครับ ผมกำลังพูดถึง “แรงงานต่างด้าว” (Alien workers หรือ Foreign Workers) ซึ่งปัจจุบันเท่าที่อ่านๆ ตำราวิชาการ มักใช้คำว่า “แรงงานข้ามชาติ” (Migrant Labor) ...ถ้าจะอธิบาย ให้ละเอียดขึ้นไปอีกจะพูดว่าแรงงานกลุ่มนี้คือแรงงานเพื่อนบ้าน ก็คงไม่ผิดกติกาเท่าไหร่นัก

“แรงงานเพื่อนบ้าน”....ในประเทศไทยตามกระทรวงแรงงานแล้วมากกว่า 90% เป็นคนจากกลุ่มประเทศ CLMV: Cambodia, Laos, Myanmar, Vietnam

ด้วยข้อจำกัดหลายอย่างแรงงานเพื่อนบ้านมักจะเข้าไม่ถึง “สิทธิ” บางอย่าง หรือ “สวัสดิการ” บางประเภทที่ พวกเขาพึงจะได้รับจากนายจ้าง หรือ รัฐไทย บางครั้งได้รับการเลือกปฏิบัติจากคนไทยทั่วไป จาก “อคติ” หรือ “ทัศนคติเชิงลบ”

แรงงานเหล่านี้มักนิยมทาแป้งด้วย แป้งที่เรียกว่า “ทานาคา”ในหน้าเพจของมูลนิธิ กล่าวว่า หากเอาแป้งทานาคา บนใบหน้าออก เราไม่อาจเห็นถึงความแตกต่างของคนไทย คนกะเหรี่ยง คนพม่า หรือ คนมอญ

“สมพงศ์ สระแก้ว”

ผมได้ยินชื่อ “สมพงศ์ สระแก้ว” ครั้งแรกจาก ดร.อุดมธิปก ไพรเกษตร ในวันที่ได้รับมอบหมายให้ไปเป็นตัวแทนแสดงความยินดีกับการเปิดสำนักงานของมูลนิธิเครือข่ายส่งเสริมคุณภาพชีวิตแรงงาน (LPN)

ตอนได้เจอ “พี่ตุ่น” หรือ “คุณสมพงศ์ สระแก้ว” ที่มูลนิธิ ผมรับรู้ถึง บุคลิกที่เงียบขรึม กอปรกับการไว้หนวดเคราดูน่าเกรงขาม แต่ใครจะไปนึกว่าเป็นมหาบัณทิต ลูกแม่โดม ด้านพัฒนาชุมชน จากธรรมศาสตร์ ทำงานด้าน NGO และ ช่วยเหลือแรงงานเพื่อนบ้านมากว่าหลายทศวรรษ

วันพฤหัสที่ 4 สิงหาคม 2565 มูลนิธิเครือข่ายส่งเสริมคุณภาพชีวิตแรงงาน (LPN) ได้ถือฤกษ์ เปิดสำนักงานแห่งใหม่ โดยมี ฯพณฯ นายนะชิดะ คะสุยะ เอกอัครราชทูตวิสามัญผู้มีอำนาจเต็มแห่งญี่ปุ่น ในประเทศไทยมาเป็นประธานในพิธีเปิด

หลังจากสนทนากับ “พี่ตุ่น” ซักระยะ ถึงได้ทราบว่าปัญหา “แรงงานเพื่อนบ้าน” นั้นมีมาช้านาน ยั่งรากลึกและไม่สามารถแก้ไขได้ด้วย หน่วยงานใด หน่วยงานหนึ่ง หากแต่ต้องทำงานบนพื้นฐานความร่วมมือ เชิงบูรณาการ

“พี่ตุ่น” กล่าวว่า “แรงงานเพื่อนบ้าน” เป็นแรงงานที่เปราะบาง เพราะไม่สามารถเข้าถึง “สิทธิ” ต่างขั้นพื้นฐานได้ ตั้งแต่การศึกษา สาธารณสุข และความปลอดภัย มิใยต้องเอ่ย “ด้านการคุ้มครองข้อมูลส่วนบุคคล”

บริษัท Digital Business Consult และ สถาบันพัฒนาและทดสอบทักษะดิจิทัล มีความยินดีที่ได้เป็นส่วนหนึ่งในการสนบสนุนมูลนิธิเครือข่ายส่งเสริมคุณภาพชีวิตแรงงาน และขอแสดงความยินดีอีกครั้งมา ณ ที่นี้ครับ





#พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล

บริษัทรักษาความปลอดภัย, PDPA และความเป็นบุคคลหรือนิติบุคคลหลากสถานะ

บริษัทรักษาความปลอดภัยเอกชน (Private Security Company: PSC) หรือที่คนไทยเรียกติดหูว่า “รปภ.” นั้นเชื่อหรือไม่ครับเป็นอาชีพที่เก่าแก่อีกอาชีพหนึ่งตั้งแต่อารยธรรมสมัยใหม่ของมนุษย์ถือกำเนิดขึ้น…

เชื่อเหลือเกินว่า ท่านผู้อ่านบทความผมที่เป็นเจ้าของกิจการ ผู้บริหาร ผู้นำองค์กร ล้วนแล้วแต่เคยว่าจ้าง รปภ. มาดูแลอาคารทรัพย์สินของท่าน

ธุรกิจรักษาความปลอดภัย นอกจากจะมีบทบาทหน้าที่ในการตอบสนองต่อ “ผู้ว่าจ้าง” แล้ว ยังต้องตอบสนองต่อ “รัฐ” ตาม พรบ.ธุรกิจรักษาความปลอดภัย ไม่ว่าจะเป็นต่อ “คณะกรรมการกำกับธุรกิจรักษาความปลอดภัย” หรือ “นายทะเบียน” (นายทะเบียนกลางหรือนายทะเบียนจังหวัด กรณีอยู่ต่างจังหวัด)

แล้วบริษัทรักษาความปลอดภัย เกี่ยวข้องอย่างไรกับ พรบ.การคุ้มครองข้อมูลส่วนบุคคล (PDPA)? บริษัท รปภ. นั้นโดยสถานะเป็น ผู้ควบคุมข้อมูล (Data Controller) หรือ ผู้ประมวลผลข้อมูล (Data Processor)?

จะอธิบายว่า บริษัท รปภ. อยู่ในสถานะใด ก็คงต้องมาตั้งต้นหรือเริ่มพิจารณาที่ “กิจกรรม”

ตัวอย่าง บริษัท ทรัพย์มั่นคั่ง ว่าจ้าง บริษัท ยามมั่นคง ซึ่งเป็น บริษัทผู้ประกอบการให้บริการรักษาความปลอดภัย ทำการรักษา ความปลอดภัยของอาคาร รวมถึงการบันทึกและรับแลกบัตรเข้าออก อาคารแก่ผู้มาเยือน คู่ค้า ลูกค้า ของบริษัท ทรัพย์มั่นคั่ง

โดย บริษัท ยามมั่นคง ว่าจ้าง พนักงาน รปภ. 4-5 นาย (เพื่อให้ครอบคลุมทั้ง 3 กะตลอด 7 วัน) โดย บริษัท ทรัพย์มั่นคั่ง ในฐานะผู้ว่าจ้างกำหนดเงื่อนไขในสัญญาจ้างให้บริการรักษาความปลอดภัยว่า บริษัท ยามมั่นคง จะต้องเก็บข้อมูลอะไรบ้างของผู้มาเยือน เช่น สำเนาบัตร/ชื่อ สกุล/เลข 13 หลัก ฯลฯ และจะต้องส่งรายชื่อคนเข้าออก อาคารให้บริษัท ทรัพย์มั่นคั่ง ตรวจสอบทุกวัน

จะเห็นชัดในด้าน “กิจกรรมการแลกบัตร” เข้าออกอาคารที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของผู้มาเยือนนี้ บริษัท ทรัพย์มั่นคั่ง เป็นผู้ควบคุม (Data Controller) เพราะเป็นผู้กำหนดวัตถุประสงค์ของการเก็บรวบรวม และบริษัท รปภ.ยามมั่นคง เป็น ผู้ประมวลผลข้อมูล (Data Processor) เพราะไม่ใช่ผู้ “ตัดสินใจ” (Determine) การประมวลผล

ในทางกลับกัน บริษัท ยามมั่นคง ในฐานะบริษัทผู้ให้บริการรักษาความปลอดภัย ก็ต้องปฏิบัติตาม พรบ.ธุรกิจรักษาความปลอดภัย เช่น ใน มาตรา ๒๙

กล่าวคือ เมื่อบริษัทได้รับแจ้งจาก รปภ. เกี่ยวกับข้อมูลอาชญากรรม เบาะแสคนร้าย หรือการกระทำความผิดอาญาที่เกิดขึ้นหรือเชื่อว่าเกิดขึ้นภายในบริเวณหรือสถานที่ที่รับผิดชอบรักษาความปลอดภัย

ให้บริษัทฯ แจ้งให้พนักงานฝ่ายปกครองหรือตำรวจที่ปฏิบัติหน้าที่ประจำอยู่ในท้องที่ที่สถานที่รักษาความปลอดภัยนั้นตั้งอยู่ในทันที

ฉะนั้นใน “กิจกรรมการแจ้งเบาะแสคนร้ายแก่พนักงานปกครอง” นั้น บริษัท รปภ. เป็นผู้ใช้อำนาจตัดสินใจ (Determine) ทางวิชาชีพในการประมวลผลข้อมูลส่วนบุคคลตามกฎหมาย และสามารถดำเนินการโดยอิสระ (เพราะถ้าไม่กระทำก็จะเป็นการฝ่าฝืน ม.29) จึงมีสถานะเป็น ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ในกิจกรรมนี้

และเหมือนบริษัททั่วๆ ไปที่มีการว่าจ้างงาน บริษัท รปภ. ก็มีสถานะเป็น ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) และ รปภ.ที่มาเป็นพนักงานเป็นเจ้าของข้อมูลส่วนบุคคล (Data Subject) ใน “กิจกรรมการจ้างงาน”

สมการหัวจะปวดเพิ่มขึ้นอีกเปลาะ ถ้า ผู้ให้บริการรักษาความปลอดภัยเป็นจดทะเบียนในนามบุคคลธรรมดา…เจ้าของธุรกิจจะมีชื่ออยู่ในสัญญาจ้างกรณีจัดจ้างแล้ว หรือ อยู่ใน Approved Vendor List (AVL) กรณีเป็นคู่เทียบเพื่อจัดจ้าง

ถ้าเข้าสู่ประเด็นนี้ เจ้าของธุรกิจรักษาความปลอดภัยก็จะเป็น เจ้าของข้อมูลส่วนบุคคล (Data Subject) และ บริษัท ทรัพย์มั่นคง ก็จะเป็น ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)

จะเห็นว่าซับซ้อนไม่น้อยเลย…

ธุรกิจรักษาความปลอดภัย มักถูกมองว่าเป็นต้นทุน เป็นสินค้าและบริการอย่างหนึ่ง

…แต่ผมกลับมองว่า ธุรกิจการรักษาความปลอดภัยใน “ทรัพย์สิน” นั้นไม่ต่างจาก การรักษาความปลอดภัยใน “ข้อมูลส่วนบุคคล”

ศาสดาจารย์ บรู๊ซ ไชนเออร์ (Bruce Schneier) ผู้เชี่ยวชาญด้าน computer and privacy specialist เคยกล่าวไว้ว่า “ความมั่นคงปลอดภัย มิได้เป็นสินค้า หากแต่เป็นกระบวนการ” (Security is not a product but it is a process)

#พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล

หากคุณเป็นข้าราชการ หรือพนักงานสังกัดหน่วยงานของรัฐ ไม่ว่าจะเป็นส่วนราชการ/รัฐวิสาหกิจหรือองค์การมหาชน…คุณไม่ควรพลาดการสัมมนาครั้งนี้

Mapping PDPA vs พ.ร.บ.ข้อมูลข่าวสารราชการ

A MUST สำหรับข้าราชการทุกคน


#พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล

เพจ AnswerPDPA ขอแบ่งปัน เพจ สรุปไปเรื่อย by ทนายกอล์ฟ เกี่ยวกับร่างกฎหมายลูก 4 ฉบับ

Admin ชื่นชมและขอปรบมือให้ทนายกอล์ฟครับ

ความหลากหลายทาง พหุสังคม
ของประชาคมอาเซียน’

ความหลากหลายทาง การคุ้มครองข้อมูลส่วนบุคคลของ ประชาคมอาเซียน

“อาเซียน (Association of South East Asia Nations: ASEAN)” คือองค์กรระหว่างประเทศที่เป็นเบ้าหลอมที่ทำให้ประเทศในพื้นที่เอเชียตะวันออกเฉียงใต้ (ตะวันออกเฉียงใต้ เป็นมุมมองจากที่เรียกโดยใช้จักรวรรดิยุโรปเป็นศูนย์กลาง) สามารถใช้เป็นกรอบในการสร้างความร่วมมือระหว่างประเทศทั้งใน ทางการเมือง ทางเศรษฐกิจสังคม ทางการทหาร และการค้าการลงทุน โดยมีข้อแม้ว่าแต่ละชาติจะไม่เข้าแทรกแซงกิจการภายในของประเทศอื่น

สมัยมัธยมที่ 2 ใครที่เป็นคนวัยพ้นหลักสี่อย่างผมจะต้องเคยเรียนวิชาสังคม “เพื่อนบ้านของเรา”
และครูผู้สอนก็จะให้ทำรายงานกลุ่มเรื่องอาเซียน

นั่นเป็นที่มาที่ทำให้ เด็กยุคนั้นไม่มี internet
ต้องถ่อสังขารไปหาข้อมูลที่กรมอาเซียน
ซึ่งสมัยนั้นตั้งอยู่ที่ ตึกกระทรวงการต่างประเทศเก่า หรือตึกซีโต้ ถ.ศรีอยุธยา ชั้น 4 (ตึกมี 5 ชั้น แต่ชั้นล่างสุดเรียกว่าชั้น G)

ประชาคมประชาติอาเซียน ปัจจุบันมี 10 ประเทศสมาชิกครับ.....
เป็นองค์การระหว่างประเทศมีความหลากหลายทางสังคม ภาษาวัฒนธรรมสูงระหว่างสมาชิกประเทศมากที่สุดถ้าเทียบกับองค์การอื่น

ซึ่งรวมถึงความหลากหลายแตกต่างกันในมิติกฎหมาย กฎระเบียบการคุ้มครองข้อมูลส่วนบุคคลและความเป็นส่วนตัว (Data Protection and Privacy Laws and Regulations)

จากภาพ จะเห็นว่าเพียง 3 ประเทศ อันได้แก่ ประเทศไทย ประเทศสิงค์โปร์ และ ประเทศมาเลเซีย

ที่มีกฎหมายการคุ้มครองข้อมูลส่วนบุคคลแบบสมบูรณ์ (Comprehensive Personal Data Protection Laws) ที่แยกออกมาจาก กฎหมายความเป็นส่วนตัว (Privacy Law)
หรือ กฎหมายการรักษาความปลอดภัยทางไซเบอร์ (Cybersecurity Laws)

ในขณะที่อีก 3 ชาติอันได้แก่ ประเทศเวียดนาม ประเทศอินโดนิเซีย และ ประเทศฟิลิปปินส์

ยังไม่มีกฎหมายการคุ้มครองข้อมูลส่วนบุคคลที่สมบูรณ์แยกออกมาจากกฎหมายอื่น และมีระดับการคุ้มครองข้อมูลส่วนบุคคลที่ยังเหลื่อมล้ำกัน

ประเทศเวียดนามนั้น สิทธิในความเป็นส่วนตัวและความลับบัญญัติโดยรัฐธรรมนูญ และรายละเอียดบางเรื่องของการคุ้มครองอยู่ใน กฎหมายหลายฉบับ

แต่เวียดนาม ไม่มีกฎหมายใดที่กล่าวถึงการคุ้มครองข้อมูลส่วนบุคคลแบบเข้มข้นสมบูรณ์เหมือน 3 ประเทศข้างต้น

ประเทศอินโดนิเซีย ณ วันที่ผมเขียนบทความนี้ก็ยังไม่มี กฎหมายหลักที่กล่าวถึงการคุ้มครองข้อมูลส่วนบุคคล
แม้ว่าจะมี กฎหมายที่ว่าด้วยเรื่องของการใช้ข้อมูลทางอิเล็กทรอนิกส์ และการทำธุรกรรมอิเล็กทรอนิกส์

ประเทศฟิลิปปินส์ เหมือนมีภาษีดีที่สุดในบรรดา 3 ชาติ เพราะมี กฎหมาย Data Privacy Act ซึ่งปีที่แล้ว 2564 สภาผู้แทนราษฎร์ประเทศฟิลิปปินส์ มีการรับร่างต่างๆ เพื่อให้กฎหมายขยายเนื้อหาให้ครอบคลุมการคุ้มครองข้อมูลส่วนบุคคล
เช่น มีการพูดถึงข้อมูลชีวมิติ , มีการขยายแก้นิยามคำว่าของคำว่าข้อมูลอ่อนไหว หรือ ข้อมูลลักษณะพิเศษ ให้รวมถึงถึงข้อมูลชีวมิติ ความคิดเห็นทางการเมือง และ ข้อมูลสหภาพแรงงาน,
มีการอธิบายระเบียบการขอความยินยอมจากผู้เยาว์ , ขอบเขตการบังคับกฎหมายและอื่นๆ อีกมากมาย (ปัจจุบันที่ผมเขียนบทความร่างยังอยู่ที่สภาสูง หรือวุฒิสภา)

จะเห็นได้ว่าในกรอบอาเซียนของเรานั้น
ก็เริ่มให้ความสำคัญกับการใช้
ข้อมูลส่วนบุคคลอย่างก้าวกระโดด

ประเทศไทยเรามี พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล 2562 (ไม่ใช่เป็นเรื่องถ่ายรูปอย่างเดียวนะ)

ประเทศไทยเป็นสมาชิก ของสนธิสัญญา
ข้อตกลงการโอนข้อมูลระหว่างประเทศต่างๆ เช่น กรอบความเป็นส่วนตัวเอเปค(the APEC privacy Framework)
และ กรอบอาเซียนมิติเรื่องการคุ้มครองข้อมูลส่วนบุคคล (the ASEAN Framework on Personal Data)

หากบริษัทของท่านเป็นบริษัทหนึ่ง
ที่มีการโอนข้อมูลส่วนบุคคลไปในหลายๆ ประเทศอาเซียน ก็ควรพิจารณาให้ถ้วนถี่
เพราะ PDPA มาตรา 28
กล่าวถึงรายละเอียดกรณีโอนข้อมูลส่วนบุคคลไปต่างประเทศ ประเทศปลายทางต้องมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่ดีเพียงพอ

ปลายปีนี้ 2565 ประเทศไทยจะเป็นเจ้าภาพจัดการประชุม APEC ซึ่งมีกรอบ APEC privacy Framework อยู่

ใครที่ยังไม่ได้เริ่มต้นทำ 5 ส. ข้อมูลองค์กรท่าน ยังไม่ได้เริ่มทำงาน compliance PDPA
เวลานี้เป็นเวลาที่เหมาะสมที่ ต้องเริ่มแล้วนะครับ

Credit Image: https://th.kddi.com/company/news/detail/pdpa-seminar200124.html