พ.ร.บ.คอมพิวเตอร์ คืออะไร
cr https://youtu.be/OyCW-9kVZn4
พ.ร.บ.คอมพิวเตอร์ คือพระราชบัญญัติที่ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ซึ่งคอมพิวเตอร์ที่ว่านี้ก็เป็นได้ทั้งคอมพิวเตอร์ตั้งโต๊ะ คอมพิวเตอร์โน้ตบุ๊ค สมาร์ตโฟน รวมถึงระบบต่างๆ ที่ถูกควบคุมด้วยระบบคอมพิวเตอร์ด้วย ซึ่งเป็นพ.ร.บ.ที่ตั้งขึ้นมาเพื่อป้องกัน ควบคุมการกระทำผิดที่จะเกิดขึ้นได้จากการใช้คอมพิวเตอร์ หากใครกระทำความผิดตามพ.ร.บ.คอมพิวเตอร์นี้ ก็จะต้องได้รับการลงโทษตามที่พ.ร.บ.กำหนดไว้ค่ะ
ปัจจุบันมีคนใช้คอมพิวเตอร์ รวมถึงสมาร์ตโฟนเป็นจำนวนมาก บางคนก็อาจจะใช้ในทางที่เป็นประโยชน์ แต่บางคนก็อาจใช้สิ่งนี้ทำร้ายคนอื่นในทางอ้อมด้วยก็ได้
เราอาจจะได้ยินข่าวเรื่องการกระทำความผิดทางคอมพิวเตอร์อยู่บ้าง ซึ่งบางเหตุการณ์ก็สร้างความเสียหายไม่น้อยเลย เพื่อจัดการกับเรื่องพวกนี้ เลยต้องมีพ.ร.บ.ออกมาควบคุม ในเมื่อการใช้คอมพิวเตอร์เป็นเรื่องใกล้ตัวเรา พ.ร.บ.คอมพิวเตอร์ก็เป็นเรื่องใกล้ตัวเราเช่นกันค่ะ หากเราไม่รู้เอาไว้ เราอาจจะเผลอไปทำผิด โดยที่เราไม่ได้ตั้งใจก็ได้
พ.ร.บ. คอมพิวเตอร์ มีกี่ฉบับ
ประเทศไทย มี พ.ร.บ. คอมพิวเตอร์ มาแล้ว 2 ฉบับ คือ ฉบับแรก ปี 2550 และ ฉบับสอง ปี 2560 โดยฉบับที่ใช้งานปัจจุบัน คือ ฉบับปี 2560
ความแตกต่างสำคัญระหว่างฉบับปี 2560 กับ 2550 คือ แก้ไขมิให้ “ความผิดหมิ่นประมาท” เป็นความผิดตาม พ.ร.บ คอมพิวเตอร์ อีกต่อไป
เพราะในอดีต ความผิดหมิ่นประมาท ถือว่าเข้าข่ายผิด พ.ร.บ. คอมพิวเตอร์ ซึ่งกฎหมายระบุว่า ไม่สามารถยอมความได้ ดังนั้นแม้ต่อมา คู่ความจะเจรจายอมความสำเร็จ หรืออยากถอนฟ้อง ศาลก็ไม่สามารถใช้ดุลพิจนิจที่จะไม่ลงโทษคู่ความได้ ส่งผลให้มีคดีฟ้องร้องขึ้นศาลจำนวนมากและเกิดปัญหาทางปฏิบัติ
เพื่อแก้ปัญหาดังกล่าว จึงมีการนำ “ความผิดหมิ่นประมาท” ออกจาก พรบ คอมพิวเตอร์ แต่ไปบังคับใช้ด้วยประมวลกฎหมายอาญาแทน ทำให้การบังคับใช้กฎหมายมีประสิทธิภาพมากขึ้น
พ.ร.บ. คอมพิวเตอร์ 2560 มีกี่หมวด กี่มาตรา
พ.ร.บ.คอมพิวเตอร์ 2560 มีอยู่ 2 หมวด โดยหมวดที่เกี่ยวข้องกับประชาชนคือ หมวด 1 “ความผิดเกี่ยวกับคอมพิวเตอร์” เพราะเป็นหมวดที่บอกว่า พฤติกรรมใดที่มีความผิด พ.ร.บ.คอมพิวเตอร์ และมีบทลงโทษอะไรอย่างไร
ตัวอย่าง การกระทำความผิดเกี่ยวกับ พรบ คอมพิวเตอร์ พร้อมบทลงโทษ
เรามาดูกันต่อกันค่ะว่า แล้วพฤติกรรมหรือ การกระทำความผิดเกี่ยวกับคอมพิวเตอร์ ที่คนทำงานออนไลน์อย่างพวกเราไม่ควรทำจะมีอะไร แล้วหากทำผิด พรบ คอมพิวเตอร์ มีบทลงโทษ อะไรบ้าง
พ.ร.บ. คอมพิวเตอร์ มาตรา 5 | ตัวอย่างการกระทำผิด
cr.สรุป พ.ร.บ.คอมพิวเตอร์ 2560 ยกตัวอย่างจริง พร้อมบทลงโทษ (contentshifu.com)
การเข้าถึงระบบคอมพิวเตอร์ของผู้อื่นโดยมิชอบ ตัวอย่างเช่นการแฮคเกอร์ เข้าไปดูข้อมูลคอมพิวเตอร์คนอื่น โดยไม่ได้รับอนุญาต
การใช้ username / password ของผู้อื่น Login เข้าสู่ระบบ โดยไม่ได้รับการอนุญาต
บทลงโทษ
ต้องระวางโทษ จำคุกไม่เกิน 6 เดือน ปรับไม่เกิน 1 หมื่นบาท หรือทั้งจำทั้งปรับ
พ.ร.บ. คอมพิวเตอร์ มาตรา 9 | ตัวอย่างการกระทำผิด
ทำลาย แก้ไข ดัดแปลง นำไฟล์อันตรายเข้าสู่คอม จนทำให้ข้อมูลคอมพิวเตอร์ของผู้อื่นเสียหาย ตัวอย่างเช่นการนำไฟล์อันตราย เช่น ไวรัส มัลแวร์ มาสู่คอมพิวเตอร์ของเพื่อน หรือ คนรู้จัก จนระบบคอมพิวเตอร์เสียหาย
การแฮคเกอร์ เข้าไปดูข้อมูลคอมพิวเตอร์คนอื่น โดยไม่ได้รับอนุญาต
การใช้ username / password ของผู้อื่น Login เข้าสู่ระบบ โดยไม่ได้รับการอนุญาต
บทลงโทษ
ต้องระวางโทษ จำคุกไม่เกิน 5 ปี ปรับไม่เกิน 1 แสนบาท หรือทั้งจำทั้งปรับ
พ.ร.บ. คอมพิวเตอร์ มาตรา 11 | ตัวอย่างการกระทำผิด
cr.สรุป พ.ร.บ.คอมพิวเตอร์ 2560 ยกตัวอย่างจริง พร้อมบทลงโทษ (contentshifu.com)
มาตรานี้เกี่ยวข้องโดยตรงกับพ่อค้าแม่ค้าออนไลน์ค่ะ เพราะเกี่ยวข้องกับการโปรโมทสินค้าบนอินเตอร์เน๊ต โดยการกระทำที่อาจผิด พ.ร.บ. คอมพิวเตอร์ 2560 มีดังนี้การส่งข้อมูลหรืออีเมล์ก่อกวนผู้อื่น (สแปม) เพื่อขายสินค้าหรือบริการ จนผู้รับเกิดความเดือดร้อนรำคาญ โดยไม่มีปุ่มให้กดเลิกการรับอีเมล์
การฝากร้านใน FB หรือ IG แบบรัวๆ ซ้ำไปซ้ำมา โดยเจ้าของเพจไม่ได้อนุญาต จนเกิดความเดือดร้อนรำคาญแก่เจ้าของเพจหรือผู้พบเห็น
บทลงโทษ
ต้องระวางโทษ ปรับไม่เกิน 2 แสนบาท
พ.ร.บ. คอมพิวเตอร์ มาตรา 12 | ตัวอย่างการกระทำผิด
กระทำการทำลาย แก้ไข หรือ รบกวนข้อมูลหรือระบบคอมพิวเตอร์ ของระบบสาธารณะ หรือ ความมั่นคง เช่นเจาะเข้าระบบคอมพิวเตอร์ซึ่งความคุมไฟฟ้าในนครหลวง และสั่งดับไฟฟ้าทั่วเมือง อันก่อให้เกิดความวุ่นวายและมีผลกระทบเป็นวงกว้าง
บทลงโทษ
ต้องระวางโทษ ปรับไม่เกิน 2 แสนบาท
พ.ร.บ. คอมพิวเตอร์ มาตรา 13 | ตัวอย่างการกระทำผิด
จำหน่ายหรือเผยแพร่ชุดคำสั่งเพื่อนำไปใช้กระทำความผิด ตัวอย่างเช่นเป็นผู้จำหน่ายชุดคำสั่งที่ใช้ในการเจาะระบบ หรือ รบกวนข้อมูลคอมพิวเตอร์ เช่น โปรแกรมทำ BOTNET หรือ DOS (Denial of Service)
บทลงโทษ
ต้องระวางโทษ จำคุกไม่เกิน 5 ปี เดือน ปรับไม่เกิน 2 หมื่นบาท หรือทั้งจำทั้งปรับ
พ.ร.บ. คอมพิวเตอร์ มาตรา 14 | ตัวอย่างการกระทำผิด
พ.ร.บ. คอมพิวเตอร์ มาตรา 14 คือหนึ่งในมาตราที่ประชาชนควรให้สนใจเป็นพิเศษ เพราะเป็นหนึ่งในฐานความผิดที่มีคดีฟ้องร้องมากที่สุด โดยตัวอย่างการกระทำผิด มาตราดังกล่าว มีดังนี้โพสต์หรือแชร์ ข้อมูลปลอม ไม่เป็นความจริง หลอกลวง (อย่างเช่น แม่ค้าออนไลน์โพสต์หลอกลวงเพื่อเก็บเงินลูกค้า แต่ไม่มีการส่งมอบสินค้าจริง โฆษณาธุรกิจลูกโซ่ที่หลอกลวงเอาเงินลูกค้า โพสข่าวปลอม เป็นต้น)
การกด like & Share ข่าวหรือข้อมูลปลอม อันเป็นการให้เพื่อนใน social network ได้เห็นข้อมูลดังกล่าวด้วย ก็ถือเป็นความผิดตาม พรบ คอมพิวเตอร์ มาตรา 14 เช่นกัน
เป็นแอดมินเพจที่ปล่อยให้มีข่าวหรือข้อมูลปลอมเผยแพร่ในเพจตัวเอง โดยมิได้ทำการลบทิ้ง
โพสหรือเผยแพร่ภาพเปลือย ภาพลามกอนาจารของคนรู้จัก หรือ คนรักเก่า อันเป็นเหตุให้ผู้อื่นได้รับความอับอาย หรือเสียหาย
บทลงโทษ
หากเป็นการกระทำที่ส่งผลถึงประชาชน ต้องได้รับโทษจำคุกไม่เกิน 5 ปี ปรับไม่เกิน 1 แสนบาท หรือทั้งจำทั้งปรับ และหากเป็นกรณีที่เป็นการกระทำที่ส่งผลต่อบุคลใดบุคคลหนึ่ง ต้องได้รับโทษจำคุกไม่เกิน 3 ปี ปรับไม่เกิน 6 แสนบาท หรือทั้งจำทั้งปรับ (แต่ในกรณีอย่างหลังนี้สามารถยอมความกันได้)
พ.ร.บ. คอมพิวเตอร์ มาตรา 16 | ตัวอย่างการกระทำผิด
กระทำการเผยแพร่ภาพที่สร้างขึ้น หรือภาพตัดต่อ อันเป็นเหตุให้ผู้อื่นได้รับการดูหมิ่น อับอาย หรือ เสียชื่อเสียง ตัวอย่างเช่นเผยแพร่ข้อมูลเยาวชน โดยไม่มีการปกปิดตัวตนของเยาวชนท่านนั้น โดยตามกฏหมาย หากเปิดเผยตัวตนเยาวชนสู่สาธารณะ อาจทำให้ใช้ชีวิตในสังคมลำบาก อาจถูกดูหมิ่น เกลียดชัง
เผยแพร่ภาพของผู้เสียชีวิต อันส่งผลให้พ่อแม่หรือคู่สมรสของผู้ตาย เกิดความอับอาย
บทลงโทษ
ต้องระวางโทษ จำคุกไม่เกิน 3 ปี เดือน ปรับไม่เกิน 2 แสนบาท หรือทั้งจำทั้งปรับ
กรณีศึกษา: การทำผิดกฎหมายคอมพิวเตอร์ ตาม พ.ร.บ.คอมพิวเตอร์
หลังจากมีการประกาศใช้ พ.ร.บ.คอมพิวเตอร์ ฉบับที่ 2 ก็มีเคสที่เข้าข่ายกระทำความผิด พ.ร.บ. ออกมาให้เห็นกันบ้างค่ะ เพื่อสร้างความเข้าใจมากขึ้น เราเลยขอยกตัวอย่างเคสที่อาจผิดตาม พ.ร.บ.คอมพิวเตอร์มาให้อ่านกันค่ะ
cr.สรุป พ.ร.บ.คอมพิวเตอร์ 2560 ยกตัวอย่างจริง พร้อมบทลงโทษ (contentshifu.com)
เคสแรก เป็นเคสที่ออกข่าวอย่างโด่งดังเช่นกัน เป็นกรณีที่มีชายหนุ่มคนหนึ่งถ่ายรูปตึกที่มีลักษณะเอนๆ พร้อมโพสต์ข้อความประมาณว่า ตึกทรุดตัว ลงบน Facebook เลยทำให้เกิดเป็นประเด็นที่หลายเอาตกอกตกใจไปกันใหญ่ แต่ต่อมาก็มีการเปิดเผยว่า ตึกที่เห็นนั้นเป็นเพียงดีไซน์ของตึกที่ตั้งใจจะให้เอนแบบนั้นอยู่แล้ว เลยทำให้เจ้าของโพสต์ถูกตำรวจเรียกสอบสวน เพราะเข้าข่ายความผิด พ.ร.บ.คอมพิวเตอร์ ม.14 (2) นำข้อความเท็จเข้าระบบคอมพิวเตอร์ อันเป็นเท็จก่อให้เกิดความตื่นตระหนก
cr.สรุป พ.ร.บ.คอมพิวเตอร์ 2560 ยกตัวอย่างจริง พร้อมบทลงโทษ (contentshifu.com)
อีกกรณีหนึ่งที่น่าสนใจก็คือ พ.ร.บ.คอมพิวเตอร์ก็สามารถช่วยคุ้มครองผู้ที่ใช้งานคอมพิวเตอร์หรืออินเตอร์เน็ตได้ด้วย อย่างเช่นกรณีคดีของคุณบริบูรณ์ เกียงวรางกูล ที่ถูกตั้งข้อหาหมิ่นประมาท และ พ.ร.บ.คอมพิวเตอร์ พ.ศ. 2550 มาตรา 14 (1) จากการโพสต์เฟซบุ๊กเกี่ยวกับเหตุการณ์ที่ตำรวจเข้าค้นบ้าน โดยอ้างอำนาจตาม มาตรา 44
ซึ่งคุณบริบูรณ์ได้ยื่นหนังสือร้องความเป็นธรรมต่อศาลว่า ปัจจุบันได้มีการใช้พ.ร.บ.คอมพิวเตอร์ พ.ศ. 2560 แล้ว โดยพ.ร.บ.ดังกล่าวได้ยกเลิกข้อความใน มาตรา 14 ของ พ.ร.บ.คอมพิวเตอร์ฉบับเดิม และบัญญัติใหม่ไว้ว่า ห้ามมิให้นำบทบัญญัติดังกล่าวมาใช้ลงโทษกับการกระทำความผิดฐานหมิ่นประมาทตามประมวลกฎหมายอาญา จึงขอให้อัยการมีคำสั่งไม่ฟ้องในข้อหาตาม พ.ร.บ.คอมพิวเตอร์ฯ ผลก็คือ อัยการศาลจังหวัดราชบุรีมีคำสั่งไม่ฟ้องคดีบริบูรณ์ในข้อหาตาม พ.ร.บ.คอมพิวเตอร์ฯ
เราก็จะเริ่มเห็นว่า ได้เริ่มมีการใช้ พ.ร.บ.คอมพิวเตอร์ กันอย่างจริงจัง และมีการปรับใช้ให้ตรงตาม พ.ร.บ. ที่แก้ไข ไม่ใช่แค่จับกุมผู้ทำผิด แต่ยังคุ้มครองผู้ที่ไม่มีความผิดใน พ.ร.บ. ฉบับที่ 2 แล้ว
พ.ร.บ.คอมพิวเตอร์ พ.ศ. 2560 หรือฉบับที่ 2 ปัจจุบันมีผลบังคับใช้แล้ว ถ้าเราเป็นคนหนึ่งที่คลุกคลีกับการใช้งานคอมพิวเตอร์ หรืออินเตอร์เน็ต ก็ควรจะรู้เกี่ยวกับ พ.ร.บ. นี้ไว้ค่ะ เพราะเราจะได้ไม่เผลอไปทำความผิด อย่างน้อยๆ ต้องระวัง 8 ประเด็นที่เราได้เขียนเอาไว้เลยค่ะ อีกทั้งการมี พ.ร.บ.คอมพิวเตอร์ ขึ้นมา ก็ถือว่าเป็นการควบคุมการใช้งานคอมพิวเตอร์ในระดับหนึ่ง และในทางหนึ่งก็ช่วยคุ้มครองสิทธิเสรีภาพของผู้ใช้งานด้วย
PDPA คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นกฎหมายที่ถูกสร้างมาเพื่อป้องกันการละเมิดข้อมูลส่วนบุคคลของทุกคน รวมถึงการจัดเก็บข้อมูลและนำไปใช้โดยไม่ได้แจ้งให้ทราบ และไม่ได้รับความยินยอมจากเจ้าของข้อมูลเสียก่อน
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act: PDPA) คือกฎหมายใหม่ที่ออกมาเพื่อแก้ไขปัญหาการถูกล่วงละเมิดข้อมูลส่วนบุคคลที่เพิ่มมากขึ้นเรื่อย ๆ ในปัจจุบัน เช่น การซื้อขายข้อมูลเบอร์โทรศัพท์และข้อมูลส่วนตัวอื่น ๆ โดยที่เจ้าของข้อมูลไม่ยินยอม ที่มักพบได้มากในรูปแบบการโทรมาโฆษณา หรือล่อลวง
โดยกฎหมายนี้ได้เริ่มบังคับใช้อย่างเต็มรูปแบบเมื่อวันที่ 1 มิ.ย. 2565 เป็นกฎหมายที่ให้ความคุ้มครองข้อมูลส่วนบุคคล เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ รูปถ่าย บัญชีธนาคาร อีเมล ไอดีไลน์ บัญชีผู้ใช้ของเว็บไซต์ ลายนิ้วมือ ประวัติสุขภาพ เป็นต้น ซึ่งข้อมูลเหล่านี้สามารถระบุถึงตัวเจ้าของข้อมูลนั้นได้ อาจเป็นได้ทั้งข้อมูลในรูปแบบเอกสาร กระดาษ หนังสือ หรือจัดเก็บในรูปแบบอิเล็กทรอนิกส์ก็ได้
PDPA มีความเป็นมาอย่างไร ?
กฎหมาย PDPA เรียกได้ว่าถอดแบบมาจากกฎหมายต้นแบบอย่างกฎหมาย GDPR (General Data Protection Regulation) ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป วัตถุประสงค์ของการเก็บรักษาข้อมูลส่วนบุคคลของกฎหมายทั้ง 2 ฉบับ ก็เพื่อป้องกันไม่ให้ผู้ไม่ประสงค์ดีทำการแฮ็กข้อมูลหรือละเมิดความเป็นส่วนตัวเพื่อข่มขู่หวังผลประโยชน์จากทั้งจากตัวเจ้าของข้อมูลเองหรือจากบุคคลที่ดูแลข้อมูล
PDPA สำคัญอย่างไร ?
สิทธิที่เพิ่มขึ้นของเจ้าของข้อมูล ทำให้ผู้ประกอบการขององค์กรและบริษัทต่าง ๆ ต้องปรับเปลี่ยนกระบวนการเก็บรวบรวมและนำข้อมูลส่วนตัวของเจ้าของข้อมูลไม่ว่าจะเป็นลูกค้า พนักงานในองค์กร หรือบุคคลใด ๆ ที่เกี่ยวข้องให้เป็นไปตามหลักปฏิบัติของ PDPA พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล
โดยหากคุณเป็นผู้ประกอบการ หรือเป็นตัวแทนองค์กรที่ดำเนินการเรื่อง PDPA วันนี้เราจะช่วยคุณเปลี่ยนแนวทางการดำเนินงานเพื่อให้สอดคล้องกับกฎหมาย PDPA กัน
หากคุณต้องการเก็บรวบรวมข้อมูล ประมวลผลข้อมูล นำข้อมูลไปใช้ รวมถึงการเก็บรักษาและดูแลความปลอดภัยของข้อมูลส่วนบุคคคลของลูกค้าและบุคคลที่เกี่ยวข้อง คุณจะต้องดำเนินการตามขั้นตอนต่อไปนี้โดยด่วน เพราะในขณะนี้ประเทศไทยได้เริ่มบังคับใช้ พ.ร.บ. PDPA แล้ว หากคุณไม่ดำเนินการตามหลักของ PDPA คุณอาจต้องรับโทษร้ายแรงทั้งทางแพ่ง อาญา และปกครอง
องค์ประกอบสำคัญของ PDPA
บุคคลที่ต้องปฎิบัติตามกฎหมาย PDPA ประกอบด้วย เจ้าของข้อมูลส่วนบุคคล (Data Subject) และผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) โดยผู้ควบคุมข้อมูลส่วนบุคคลนั้นเปรียบเสมือนผู้ดูแลระบบ เป็นฝ่ายปฏิบัติงาน มีหน้าที่เก็บรวบรวม และนำข้อมูลส่วนบุคคลที่ขอความยินยอม (Consent) จากเจ้าของข้อมูลไปใช้ ยกตัวอย่างเช่น เว็บไซต์ขายของออนไลน์ ตัวผู้จัดทำเว็บไซต์ก็จะต้องขอข้อมูลทั้งชื่อ ที่อยู่ เบอร์โทรศัพท์ ข้อมูลการจ่ายเงิน เพื่อนำไปดำเนินการสั่งซื้อและจัดส่งสินค้าไปยังที่อยู่ของเจ้าของข้อมูล ซึ่ง PDPA เมื่อได้ข้อมูลมาแล้ว ก็ต้องจัดให้มีมาตรการรักษาความปลอดภัยข้อมูลด้วย
องค์กรหรือเจ้าของเว็บไซต์สามารถแจ้งเจ้าของข้อมูลผ่าน Privacy Policy บนเว็บไซต์หรือแอปพลิเคชัน หรือช่องทางการติดต่ออื่น ๆ เช่น การลงทะเบียนผ่านเว็บไซต์ หรือทางโซเชียลมีเดียแจ้งว่าจะขอเก็บข้อมูลอะไรบ้าง เพื่อวัตถุประสงค์ใด
แจ้งสิทธิของเจ้าของข้อมูล โดยสามารถถอนความยินยอมได้ทุกเมื่อ
ข้อความอ่านเข้าใจง่าย ชัดเจน ใช้ภาษาไม่กำกวม ไม่มีเงื่อนไขในการยินยอม คลิก PDPA Pro เพื่อสร้าง Privacy Policy ที่ถูกต้องตาม PDPA
2. การจัดการเว็บไซต์ แอปพลิเคชัน และ Third-party
นอกจากการจัดทำ Privacy Policy ผ่านเว็บไซต์หรือแอปพลิเคชันแล้ว การขอจัดเก็บ Cookie ก็จะต้องแจ้งเพื่อขอความยินยอมให้ใช้ข้อมูลส่วนบุคคลจากผู้ใช้งานด้วย ซึ่งที่เราพบเห็นได้ทั่วไป มักแจ้งขอเก็บ Cookie เป็น Pop up เล็ก ๆ ทางด้านล่างเว็บไซต์ คลิก Cookie Wow เพื่อจัดทำ Cookie Consent Banner เพียงไม่กี่นาที ส่วน Third Party ที่เก็บข้อมูลส่วนบุคคล เช่น เว็บไซต์โฆษณาที่ทำการตลาด ก็ต้องระบุวัตถุประสงค์และขอความยินยอมการเก็บรวบรวมข้อมูลไว้ใน Privacy Policy ด้วย
3. การเก็บข้อมูลพนักงาน
สำหรับการเก็บข้อมูลส่วนบุคคลของพนักงานนั้นก็ต้องจัดทำนโยบายความเป็นส่วนตัวสำหรับพนักงานหรือ HR Privacy Policy เพื่อแจ้งวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคลของพนักงานเช่นเดียวกัน แนะนำว่าสำหรับพนักงานเก่า ให้แจ้ง Privacy Policy เป็นเอกสารใหม่ ส่วนพนักงานใหม่ ให้แจ้งในใบสมัคร 1 ครั้ง และแจ้งในสัญญาจ้าง 1 ครั้ง คลิก PDPA Pro เพื่อสร้าง Privacy Policy สร้าง HR Privacy Policy ถูกต้องตาม PDPA
แต่ละฝ่ายในองค์กรควรร่วมกำหนดแนวทางหรือนโยบายในการดำเนินการด้านข้อมูลส่วนบุคคล (Standard Operating Procedure) และบันทึกรายการข้อมูลส่วนบุคคลที่มีการเก็บหรือใช้ (Records of Processing Activity: ROPA) ทั้งข้อมูลที่จัดเก็บในฐานข้อมูลอิเล็กทรอนิกส์ ข้อมูลเอกสารที่จับต้องได้ ข้อมูลส่วนบุคคลทั่วไป ข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Personal Data) ซึ่งเป็นข้อมูลที่ระบุตัวบุคคลได้เฉพาะเจาะจงมากขึ้น เช่น เชื้อชาติ ความคิดเห็นทางการเมือง ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ (face ID, ลายนิ้วมือ) รวมถึงห้ามเปิดเผยข้อมูลส่วนบุคคลให้กับบุคคลที่ไม่มีความรับผิดชอบโดยตรง
สิ่งที่ควรทำแอด Line เจ้าของข้อมูลส่วนบุคคล หลังจากขออนุญาตแล้ว
ส่ง Direct Marketing ให้ลูกค้าหลังจากที่ลูกค้ายินยอมแล้ว
ส่งข้อมูลลูกค้าจาก Cookie ไป Target Advertising ต่อ หลังจากที่ลูกค้ายินยอมแล้ว
ส่งข้อมูลให้ Vendor หลังจากบริษัทได้ทำความตกลงกับ Vendor ที่มีข้อกำหนดเรื่องความคุ้มครองข้อมูลส่วนบุคคลแล้ว
การให้บริการที่ต้องวิเคราะห์ข้อมูลส่วนบุคคลจำนวนมากหรือใช้ Sensitive Personal Data เช่น การสแกนใบหน้า จะต้องขอความยินยอมก่อน
รวบรวมสถิติลูกค้าเพื่อพัฒนาบริการ โดยไม่ใช้ข้อมูลส่วนบุคคลของลูกค้า
มีกระบวนการ Breach Notification Protocol ซึ่งเป็นระบบแจ้งเตือนเพื่อปกป้องข้อมูลจากการโจมตีจากผู้ไม่หวังดี
มีกระบวนการรับคำร้องจากเจ้าของข้อมูลส่วนบุคคล ควรเป็นวิธีที่ง่ายไม่ซับซ้อน และไม่กำหนดเงื่อนไข อาจผ่านการยื่นแบบฟอร์ม ส่งคำร้องผ่านช่อง Chat หรือส่งอีเมลก็ได้
และที่สำคัญหากผู้ควบคุมข้อมูลส่วนบุคคลและบุคลากรในองค์กรมีความรู้ความเข้าใจและปฏิบัติตามมาตรการรักษาความปลอดภัยของข้อมูลตาม PDPA แล้ว ความเสี่ยงกรณีข้อมูลถูกละเมิดก็จะน้อยลง ซึ่งจะสร้างความเชื่อมั่นต่อองค์กรให้กับผู้ใช้งานได้เป็นอย่างดี หากคุณยังมีข้อสงสัยเกี่ยวกับ DPO คือใคร ทำหน้าที่อะไรบ้าง และจำเป็นต่อองค์กรของคุณหรือไม่ ทำหน้าที่อะไรบ้าง สามารถศึกษาเพิ่มเติมได้ที่บทความ: DPO คืออะไร ? ตัวช่วยดูแลข้อมูลส่วนบุคคลที่ไว้ใจได้
cr.สรุป พ.ร.บ.คอมพิวเตอร์ 2560 ยกตัวอย่างจริง พร้อมบทลงโทษ (contentshifu.com)
อีกกรณีหนึ่งที่น่าสนใจก็คือ พ.ร.บ.คอมพิวเตอร์ก็สามารถช่วยคุ้มครองผู้ที่ใช้งานคอมพิวเตอร์หรืออินเตอร์เน็ตได้ด้วย อย่างเช่นกรณีคดีของคุณบริบูรณ์ เกียงวรางกูล ที่ถูกตั้งข้อหาหมิ่นประมาท และ พ.ร.บ.คอมพิวเตอร์ พ.ศ. 2550 มาตรา 14 (1) จากการโพสต์เฟซบุ๊กเกี่ยวกับเหตุการณ์ที่ตำรวจเข้าค้นบ้าน โดยอ้างอำนาจตาม มาตรา 44
ซึ่งคุณบริบูรณ์ได้ยื่นหนังสือร้องความเป็นธรรมต่อศาลว่า ปัจจุบันได้มีการใช้พ.ร.บ.คอมพิวเตอร์ พ.ศ. 2560 แล้ว โดยพ.ร.บ.ดังกล่าวได้ยกเลิกข้อความใน มาตรา 14 ของ พ.ร.บ.คอมพิวเตอร์ฉบับเดิม และบัญญัติใหม่ไว้ว่า ห้ามมิให้นำบทบัญญัติดังกล่าวมาใช้ลงโทษกับการกระทำความผิดฐานหมิ่นประมาทตามประมวลกฎหมายอาญา จึงขอให้อัยการมีคำสั่งไม่ฟ้องในข้อหาตาม พ.ร.บ.คอมพิวเตอร์ฯ ผลก็คือ อัยการศาลจังหวัดราชบุรีมีคำสั่งไม่ฟ้องคดีบริบูรณ์ในข้อหาตาม พ.ร.บ.คอมพิวเตอร์ฯ
เราก็จะเริ่มเห็นว่า ได้เริ่มมีการใช้ พ.ร.บ.คอมพิวเตอร์ กันอย่างจริงจัง และมีการปรับใช้ให้ตรงตาม พ.ร.บ. ที่แก้ไข ไม่ใช่แค่จับกุมผู้ทำผิด แต่ยังคุ้มครองผู้ที่ไม่มีความผิดใน พ.ร.บ. ฉบับที่ 2 แล้ว
สรุป
พ.ร.บ.คอมพิวเตอร์ พ.ศ. 2560 หรือฉบับที่ 2 ปัจจุบันมีผลบังคับใช้แล้ว ถ้าเราเป็นคนหนึ่งที่คลุกคลีกับการใช้งานคอมพิวเตอร์ หรืออินเตอร์เน็ต ก็ควรจะรู้เกี่ยวกับ พ.ร.บ. นี้ไว้ค่ะ เพราะเราจะได้ไม่เผลอไปทำความผิด อย่างน้อยๆ ต้องระวัง 8 ประเด็นที่เราได้เขียนเอาไว้เลยค่ะ อีกทั้งการมี พ.ร.บ.คอมพิวเตอร์ ขึ้นมา ก็ถือว่าเป็นการควบคุมการใช้งานคอมพิวเตอร์ในระดับหนึ่ง และในทางหนึ่งก็ช่วยคุ้มครองสิทธิเสรีภาพของผู้ใช้งานด้วย
PDPA คือ อะไร ?
cr https://youtu.be/V8A7OqqY980
PDPA คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นกฎหมายที่ถูกสร้างมาเพื่อป้องกันการละเมิดข้อมูลส่วนบุคคลของทุกคน รวมถึงการจัดเก็บข้อมูลและนำไปใช้โดยไม่ได้แจ้งให้ทราบ และไม่ได้รับความยินยอมจากเจ้าของข้อมูลเสียก่อน
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act: PDPA) คือกฎหมายใหม่ที่ออกมาเพื่อแก้ไขปัญหาการถูกล่วงละเมิดข้อมูลส่วนบุคคลที่เพิ่มมากขึ้นเรื่อย ๆ ในปัจจุบัน เช่น การซื้อขายข้อมูลเบอร์โทรศัพท์และข้อมูลส่วนตัวอื่น ๆ โดยที่เจ้าของข้อมูลไม่ยินยอม ที่มักพบได้มากในรูปแบบการโทรมาโฆษณา หรือล่อลวง
โดยกฎหมายนี้ได้เริ่มบังคับใช้อย่างเต็มรูปแบบเมื่อวันที่ 1 มิ.ย. 2565 เป็นกฎหมายที่ให้ความคุ้มครองข้อมูลส่วนบุคคล เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ รูปถ่าย บัญชีธนาคาร อีเมล ไอดีไลน์ บัญชีผู้ใช้ของเว็บไซต์ ลายนิ้วมือ ประวัติสุขภาพ เป็นต้น ซึ่งข้อมูลเหล่านี้สามารถระบุถึงตัวเจ้าของข้อมูลนั้นได้ อาจเป็นได้ทั้งข้อมูลในรูปแบบเอกสาร กระดาษ หนังสือ หรือจัดเก็บในรูปแบบอิเล็กทรอนิกส์ก็ได้
PDPA มีความเป็นมาอย่างไร ?
กฎหมาย PDPA เรียกได้ว่าถอดแบบมาจากกฎหมายต้นแบบอย่างกฎหมาย GDPR (General Data Protection Regulation) ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป วัตถุประสงค์ของการเก็บรักษาข้อมูลส่วนบุคคลของกฎหมายทั้ง 2 ฉบับ ก็เพื่อป้องกันไม่ให้ผู้ไม่ประสงค์ดีทำการแฮ็กข้อมูลหรือละเมิดความเป็นส่วนตัวเพื่อข่มขู่หวังผลประโยชน์จากทั้งจากตัวเจ้าของข้อมูลเองหรือจากบุคคลที่ดูแลข้อมูล
PDPA สำคัญอย่างไร ?
ความสำคัญของ PDPA คือการทำให้เจ้าของข้อมูลมีสิทธิในข้อมูลส่วนตัวที่ถูกจัดเก็บไปแล้ว หรือกำลังจะถูกจัดเก็บมากขึ้น เพื่อสร้างความปลอดภัยและเป็นส่วนตัวให้แก่เจ้าของข้อมูล โดยมีสิทธิที่สำคัญคือ สิทธิการรับทราบและยิมยอมการเก็บข้อมูลส่วนตัว และสิทธิในการขอเข้าถึงข้อมูลส่วนตัว คัดค้านและเพิกถอนการเก็บและนำข้อมูลไปใช้ และสิทธิขอให้ลบหรือทำลายข้อมูลส่วนตัว
สิทธิที่เพิ่มขึ้นของเจ้าของข้อมูล ทำให้ผู้ประกอบการขององค์กรและบริษัทต่าง ๆ ต้องปรับเปลี่ยนกระบวนการเก็บรวบรวมและนำข้อมูลส่วนตัวของเจ้าของข้อมูลไม่ว่าจะเป็นลูกค้า พนักงานในองค์กร หรือบุคคลใด ๆ ที่เกี่ยวข้องให้เป็นไปตามหลักปฏิบัติของ PDPA พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล
โดยหากคุณเป็นผู้ประกอบการ หรือเป็นตัวแทนองค์กรที่ดำเนินการเรื่อง PDPA วันนี้เราจะช่วยคุณเปลี่ยนแนวทางการดำเนินงานเพื่อให้สอดคล้องกับกฎหมาย PDPA กัน
หากคุณต้องการเก็บรวบรวมข้อมูล ประมวลผลข้อมูล นำข้อมูลไปใช้ รวมถึงการเก็บรักษาและดูแลความปลอดภัยของข้อมูลส่วนบุคคคลของลูกค้าและบุคคลที่เกี่ยวข้อง คุณจะต้องดำเนินการตามขั้นตอนต่อไปนี้โดยด่วน เพราะในขณะนี้ประเทศไทยได้เริ่มบังคับใช้ พ.ร.บ. PDPA แล้ว หากคุณไม่ดำเนินการตามหลักของ PDPA คุณอาจต้องรับโทษร้ายแรงทั้งทางแพ่ง อาญา และปกครอง
องค์ประกอบสำคัญของ PDPA
บุคคลที่ต้องปฎิบัติตามกฎหมาย PDPA ประกอบด้วย เจ้าของข้อมูลส่วนบุคคล (Data Subject) และผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) โดยผู้ควบคุมข้อมูลส่วนบุคคลนั้นเปรียบเสมือนผู้ดูแลระบบ เป็นฝ่ายปฏิบัติงาน มีหน้าที่เก็บรวบรวม และนำข้อมูลส่วนบุคคลที่ขอความยินยอม (Consent) จากเจ้าของข้อมูลไปใช้ ยกตัวอย่างเช่น เว็บไซต์ขายของออนไลน์ ตัวผู้จัดทำเว็บไซต์ก็จะต้องขอข้อมูลทั้งชื่อ ที่อยู่ เบอร์โทรศัพท์ ข้อมูลการจ่ายเงิน เพื่อนำไปดำเนินการสั่งซื้อและจัดส่งสินค้าไปยังที่อยู่ของเจ้าของข้อมูล ซึ่ง PDPA เมื่อได้ข้อมูลมาแล้ว ก็ต้องจัดให้มีมาตรการรักษาความปลอดภัยข้อมูลด้วย
ขั้นตอนการทำตาม PDPA ต้องทำอย่างไร ?
STEP 1 การเก็บรวบรวมข้อมูลส่วนบุคคล
1. จัดทำ Privacy Policy แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบองค์กรหรือเจ้าของเว็บไซต์สามารถแจ้งเจ้าของข้อมูลผ่าน Privacy Policy บนเว็บไซต์หรือแอปพลิเคชัน หรือช่องทางการติดต่ออื่น ๆ เช่น การลงทะเบียนผ่านเว็บไซต์ หรือทางโซเชียลมีเดียแจ้งว่าจะขอเก็บข้อมูลอะไรบ้าง เพื่อวัตถุประสงค์ใด
แจ้งสิทธิของเจ้าของข้อมูล โดยสามารถถอนความยินยอมได้ทุกเมื่อ
ข้อความอ่านเข้าใจง่าย ชัดเจน ใช้ภาษาไม่กำกวม ไม่มีเงื่อนไขในการยินยอม คลิก PDPA Pro เพื่อสร้าง Privacy Policy ที่ถูกต้องตาม PDPA
2. การจัดการเว็บไซต์ แอปพลิเคชัน และ Third-party
นอกจากการจัดทำ Privacy Policy ผ่านเว็บไซต์หรือแอปพลิเคชันแล้ว การขอจัดเก็บ Cookie ก็จะต้องแจ้งเพื่อขอความยินยอมให้ใช้ข้อมูลส่วนบุคคลจากผู้ใช้งานด้วย ซึ่งที่เราพบเห็นได้ทั่วไป มักแจ้งขอเก็บ Cookie เป็น Pop up เล็ก ๆ ทางด้านล่างเว็บไซต์ คลิก Cookie Wow เพื่อจัดทำ Cookie Consent Banner เพียงไม่กี่นาที ส่วน Third Party ที่เก็บข้อมูลส่วนบุคคล เช่น เว็บไซต์โฆษณาที่ทำการตลาด ก็ต้องระบุวัตถุประสงค์และขอความยินยอมการเก็บรวบรวมข้อมูลไว้ใน Privacy Policy ด้วย
3. การเก็บข้อมูลพนักงาน
สำหรับการเก็บข้อมูลส่วนบุคคลของพนักงานนั้นก็ต้องจัดทำนโยบายความเป็นส่วนตัวสำหรับพนักงานหรือ HR Privacy Policy เพื่อแจ้งวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคลของพนักงานเช่นเดียวกัน แนะนำว่าสำหรับพนักงานเก่า ให้แจ้ง Privacy Policy เป็นเอกสารใหม่ ส่วนพนักงานใหม่ ให้แจ้งในใบสมัคร 1 ครั้ง และแจ้งในสัญญาจ้าง 1 ครั้ง คลิก PDPA Pro เพื่อสร้าง Privacy Policy สร้าง HR Privacy Policy ถูกต้องตาม PDPA
STEP 2 การใช้หรือประมวลผลข้อมูลส่วนบุคคล
แต่ละฝ่ายในองค์กรควรร่วมกำหนดแนวทางหรือนโยบายในการดำเนินการด้านข้อมูลส่วนบุคคล (Standard Operating Procedure) และบันทึกรายการข้อมูลส่วนบุคคลที่มีการเก็บหรือใช้ (Records of Processing Activity: ROPA) ทั้งข้อมูลที่จัดเก็บในฐานข้อมูลอิเล็กทรอนิกส์ ข้อมูลเอกสารที่จับต้องได้ ข้อมูลส่วนบุคคลทั่วไป ข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Personal Data) ซึ่งเป็นข้อมูลที่ระบุตัวบุคคลได้เฉพาะเจาะจงมากขึ้น เช่น เชื้อชาติ ความคิดเห็นทางการเมือง ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ (face ID, ลายนิ้วมือ) รวมถึงห้ามเปิดเผยข้อมูลส่วนบุคคลให้กับบุคคลที่ไม่มีความรับผิดชอบโดยตรง
สิ่งที่ควรทำแอด Line เจ้าของข้อมูลส่วนบุคคล หลังจากขออนุญาตแล้ว
ส่ง Direct Marketing ให้ลูกค้าหลังจากที่ลูกค้ายินยอมแล้ว
ส่งข้อมูลลูกค้าจาก Cookie ไป Target Advertising ต่อ หลังจากที่ลูกค้ายินยอมแล้ว
ส่งข้อมูลให้ Vendor หลังจากบริษัทได้ทำความตกลงกับ Vendor ที่มีข้อกำหนดเรื่องความคุ้มครองข้อมูลส่วนบุคคลแล้ว
การให้บริการที่ต้องวิเคราะห์ข้อมูลส่วนบุคคลจำนวนมากหรือใช้ Sensitive Personal Data เช่น การสแกนใบหน้า จะต้องขอความยินยอมก่อน
รวบรวมสถิติลูกค้าเพื่อพัฒนาบริการ โดยไม่ใช้ข้อมูลส่วนบุคคลของลูกค้า
STEP 3 มาตรการด้านความปลอดภัยของข้อมูลส่วนบุคคลกำหนดแนวทางอย่างน้อยตามมาตรฐานขั้นต่ำด้านการรักษาความปลอดภัยข้อมูลส่วนบุคคล (Minimum Security Requirements) ได้แก่ การรักษาความลับ (Confidentiality) ความถูกต้องครบถ้วน (Integrity) และสภาพพร้อมใช้งาน (Availability) ซึ่งควรครอบคลุมถึงมาตรการป้องกันด้านการบริหารจัดการ (Administrative Safeguard) มาตรการป้องกันด้านเทคนิค (Technical Safeguard) และมาตรการป้องกันทางกายภาพ (Physical Safeguard) ในเรื่องการเข้าถึงหรือควบคุมการใช้งานข้อมูลส่วนบุคคล (Access Control) ตามประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม
กำหนดนโยบายรักษาระยะเวลาการเก็บข้อมูล และการทำลายเอกสารที่มีข้อมูลส่วนบุคคล (Data Retention)มีกระบวนการ Breach Notification Protocol ซึ่งเป็นระบบแจ้งเตือนเพื่อปกป้องข้อมูลจากการโจมตีจากผู้ไม่หวังดี
STEP 4 การส่งหรือเปิดเผยข้อมูลส่วนบุคคลทำสัญญาหรือข้อตกลงกับผู้ให้บริการภายนอก หรือทำ Data Processing Agreement เพื่อคุ้มครองข้อมูลส่วนบุคคลให้เป็นไปตามมาตรฐานกฎหมาย PDPA
ในกรณีโอนข้อมูลไปต่างประเทศ ให้ทำสัญญากับบริษัทปลายทางเพื่อคุ้มครองข้อมูลตามมาตรฐาน PDPAมีกระบวนการรับคำร้องจากเจ้าของข้อมูลส่วนบุคคล ควรเป็นวิธีที่ง่ายไม่ซับซ้อน และไม่กำหนดเงื่อนไข อาจผ่านการยื่นแบบฟอร์ม ส่งคำร้องผ่านช่อง Chat หรือส่งอีเมลก็ได้
STEP 5 การกำกับดูแลข้อมูลส่วนบุคคล
ในประเทศไทย มีสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นหน่วยงานภาครัฐเป็นผู้กำกับดูแลกฎหมาย PDPA ให้แต่ละองค์กรต้องปฏิบัติตาม โดยองค์กรที่ทำการเก็บรวบรวม นำไปใช้ หรือเปิดเผยข้อมูลของเจ้าของข้อมูลส่วนบุคคลในราชอาณาจักรไทยเพื่อการขายสินค้าหรือบริการให้กับเจ้าของข้อมูล ควรมีเจ้าหน้าที่คุ้มครองข้อมูล หรือ DPO (Data Protection Officer) ซึ่งเป็นผู้มีความรู้ด้านกฎหมาย PDPA ด้านเทคโนโลยี เข้ามาดูแลและตรวจสอบนโยบายการเก็บรักษาข้อมูลส่วนบุคคลของลูกค้าให้เกิดความปลอดภัย ทั้งนี้ขึ้นอยู่กับขนาดและประเภทของธุรกิจเป็นเกณฑ์ในการพิจารณาว่าควรแต่งตั้ง DPO หรือไม่ ?และที่สำคัญหากผู้ควบคุมข้อมูลส่วนบุคคลและบุคลากรในองค์กรมีความรู้ความเข้าใจและปฏิบัติตามมาตรการรักษาความปลอดภัยของข้อมูลตาม PDPA แล้ว ความเสี่ยงกรณีข้อมูลถูกละเมิดก็จะน้อยลง ซึ่งจะสร้างความเชื่อมั่นต่อองค์กรให้กับผู้ใช้งานได้เป็นอย่างดี หากคุณยังมีข้อสงสัยเกี่ยวกับ DPO คือใคร ทำหน้าที่อะไรบ้าง และจำเป็นต่อองค์กรของคุณหรือไม่ ทำหน้าที่อะไรบ้าง สามารถศึกษาเพิ่มเติมได้ที่บทความ: DPO คืออะไร ? ตัวช่วยดูแลข้อมูลส่วนบุคคลที่ไว้ใจได้
พรบ. คอมพิวเตอร์ ฉบับเต็ม 2560/2
พรบ. PDPA
