PDPA กฏหมายที่พนักงานมีสิทธิ์ฟ้องนายจ้าง ถ้าเก็บข้อมูลเกินกำหนด

ในช่วงที่กำลังมีการเตรียมพร้อมของการทำ PDPA สิ่งที่หลายบริษัทกำลังมีแผนตั้งรับอยู่ทุกแผนก ซึ่งมีสิ่งหนึ่งที่ขาดไปไม่ได้คือส่วน เก็บข้อมูลพนักงาน ทั้งพนักงานที่ทำอยู่ปัจจุบัน และที่ไม่ได้ทำงานกับบริษัทแล้ว เมื่อเวลาผ่านไปเราต้องจัดการกับข้อมูลเก่ายังไง ปรับปรุงการเก็บข้อมูลตรงไหน สรุปมาให้แล้ว

PDPA พรบ.คุ้มครองข้อมูลส่วนบุคคล

PDPA พรบ.คุ้มครองข้อมูลส่วนบุคคล เป็นกระบวนการที่ถ้าหากมีความจำเป็นต้องเก็บข้อมูล ชื่อ นามสกุล เพศ อายุ รายได้ เลขบัตรประชาชน ของใครก็ตาม จำเป็นต้องมีการขออนุญาตเก็บข้อมูลอย่างมีลายลักษณ์อักษร เหตุนี้เองทำให้เราต้องการสร้างแบบขออนุญาตที่เกี่ยวข้องกับบุคคลทั้งหมดอย่างเช่น

  • เก็บข้อมูลลูกค้า
  • เก็บข้อมูลภาพกล้องวงจรปิดของพนักงาน
  • เก็บข้อมูลส่วนตัวของพนักงสย
  • เก็บข้อมูลคู่ค้าสัญญาของบริษัท และอื่นๆ

pdpaจากข้อมูลของหลายบริษัทที่มีการเตรียมระบบกับทาง Prospace กว่า 84% ของบริษัทที่เริ่มวางแผนจะทำ พรบ.ฉบับนี้ จึงเลือกเริ่มต้นจากการขออนุญาตพนักงาน (HR Privacy policy) ให้ถูกต้องตามกฏหมายก่อน ทำไมถึงเป็นอย่างนั้นล่ะ?

บริษัทเคารพสิทธิ์พนักงาน

ส่วนหนึ่งการทำตามกฏหมาย PDPA ที่ทุกบริษัทต้องทำ แต่ในส่วนของสิทธิ์พนักงานนั้นเป็นสิ่งที่บริษัทจะเลือกขออนุญาตพนักงานหลังจากที่เตรียมการในแผนกต่างๆพร้อมแล้วก็ได้ แต่การสำรวจจาก Prospace  กับผู้ใช้บริการกับเรานั้น ต่างให้เหตุผลการทำที่น่าสนใจ เพราะบริษัทส่วนมาก ซึ่งเป็นบริษัทชั้นนำนั้นเลือกจะเริ่มต้นจากการทำนโยบายขอสิทธิ์เก็บข้อมูลส่วนตัวพนักงาน เพราะถือว่าพนักงานคือส่วนสำคัญขององค์กร และทำให้ตัวบริษัทเองเกิดการรับรู้ว่าองค์กรให้ความสำคัญกับสิทธิพื้นฐานของพนักงานมาเป็นสิ่งสำคัญก่อน

pdpa

พนักงานตอบแทนบริษัท

การทำงานหนักเพื่อองค์กร พนักงานก็หวังจะได้รับการตอบแทนด้วยวิธีการต่างๆ

เช่นเดียวกันเมื่อบริษัทมองว่าพนักงานคือส่วนหนึ่งขององค์กรในทางทฤษฏีมันเป็นสิทธิ์ที่ต้องทำตามกฏหมาย แต่ในทางปฏิบัติจริง เมื่อพนักงานได้รับการดูแลที่ดี ทำให้เกิดความภูมิใจที่ทำงานในองค์กรของตัวเอง ในระยะยาวพนักงานจะตอบแทนด้วยการพัฒนางาน ทุ่มเทเพื่อองค์กร เพราะองค์กรเองเป็นฝ่ายมอบคุณค่าอันดีให้กับพวกเขาก่อน

pdpa

เริ่มจากพนักงานใหม่  

หลายบริษัทนั้นมีพนักงานที่ทำงานมากมาย ทำให้การเริ่มขออนุญาตเก็บข้อมูลพนักงานปัจจุบันอาจจะเป็นงานใหญ่ขององค์กร ในขณะที่ทุกคนต่างได้ทำหน้าที่ของตัวเองอย่างดีที่สุด การเริ่มเปลี่ยนนโยบายการเก็บข้อมูล (Privacy policy) จากพนักงานใหม่ นอกจากจะสามารถเริ่มต้นส่งวัฒนธรรมองค์กรที่เคารพสิทธิ์ให้กับพนักงานใหม่ได้แล้ว จะสะดวกกับทีมฝ่ายบุคคล ที่จะสามารถจัดการข้อมูลได้อย่างเป็นระบบยิ่งขึ้น

พนักงานเก่าฟ้องร้อง

การลาออกจากบริษัทของพนักงานนั้นอาจจะเป็นประสบการณ์ที่ดีและไม่ดีแตกต่างกันออกไป แต่สิ่งหนึ่งที่ยังคงอยู่กับบริษัทถึงแม้พนักงานได้ออกจากองค์กรไปแล้วก็คือข้อมูล โดยถึงแม้ว่ากฏหมายฉบับนี้ไม่ได้มีข้อกำหนดในการเก็บข้อมูลตามกฏหมายคุ้มครองข้อมูลส่วนบุคคลฉบับหลักก็ตาม แต่จะต้องมีการเก็บ Log ข้อมูลเดิม 90 วันตามกฏหมาย

ซึ่งเป็นกฏหมายที่ประกาศฉบับลูกที่ประกาศตามมา นอกจากจะต้องมีไว้สำหรับตรวจสอบข้อมูล Audit แล้วยังง่ายต่อการจัดการกับข้อมูลพนักงานเก่า ที่อาจจะมีการฟ้องร้องเรื่องการเก็บข้อมูลโดยไม่ได้รับอนุญาต จากการที่เอกสารยินยอมนั้นมีผลการบังคับใช้เฉพาะระยะเวลาที่ทำงานกับบริษัทนั่นเอง

PDPA Prokit

บริการเอกสารและวิธีการ พรบ.ข้อมูลส่วนบุคคล

ชุดเอกสาร 69 รายการที่จำเป็นสำหรับการทำระบบข้อมูลส่วนบุคคลพื้นฐานภายในบริษัท

ลดเวลาเตรียมระบบ

เก็บทุกประเด็นของการเดือนและแนวทางปฏิบัติที่ถูกต้องกับพนักงาน สำหรับธุรกิจที่มีการรวบรวม เก็บข้อมูลพนักงาน ระหว่างการคัดเลือก สัญญาจ้าง โดยจัดทำนโยบายความเป็นส่วนตัวของพนักงาน

ปรับใช้งานได้หลากหลาย

นโยบายการรักษาผลประโยชน์ของพนักงานเป็นกฏเกณฑ์ที่สากลบนพื้นฐานของหลักกฏหมาย สามารถนำไปปรับเนื้อหาให้สอดคล้องกับความละเอียดอ่อนในการดูแลพนักงานที่แตกต่างกันออกไปได้

มีที่ปรึกษาการใช้งาน

สะดวกสบายด้านการใช้งานข้อมูลเพราะบริการของเรามีทีมงานด้านกฏหมายที่จะคอยตรวจสอบการปรับปรุงกฏหมายลูก ที่ออกมาสอดคล้องกับ พรบ. ฉบับหลัก ดังนั้นถ้าหากเลือกใช้บริการกับเราแล้ว จะได้รับการอัปเดตตัวกฏหมายให้ทันสมัยอยู่เสมอ

ศึกษาข้อมูลเพิ่มเติม

ปรึกษาการทำระบบ

กรอกแบบฟอร์มให้ทีมงานติดต่อกลับ

Cookie consent บริการติดตั้งระบบสัญญาเว็บไซต์ จบได้ในราคา 2400 บาท

PDPA คืออะไร

ช่วงนี้หลายบริษัทเริ่มตื่นตัวกับการเตรียม PDPA ให้สอดคล้องกับทุกส่วนงานที่ทำ ซึ่งเป็นช่วงเวลาที่ดีของการปรับการทำธุรกิจ และเก็บข้อมูลลูกค้าให้สอดคล้องกฏหมาย PDPA คือ ต้องมีการเตรียมพร้อมทั้งด้านบุคคล ด้านเทคนิคและกฏหมาย อาจจะใช้เวลาหลายสัปดาห์ หรือหลายเดือน โดยเฉพาะการสร้างระบบ Cookie consent แบบตอบรับออนไลน์ 

การสร้างแบบ Cookie consent ต้องเตรียมตัวอย่างไร

โดยปกติของแบบตอบรับ ซึ่งเป็นรูปแบบสัญญา โดยประกอบไปด้วยข้อกำหนด บทคำนิยามทางกฏหมาย จากนั้นมี โดยจุดประสงค์มีความเฉพาะเจาะจง

ลงไปที่ “ข้อมูลส่วนบุคคล” ประกอบไปด้วย “เจ้าของข้อมูล” , “ผู้ประมวลผลข้อมูล” และ “ผู้ควบคุมข้อมูล” ทั้งหมดนี้เมื่อมองย้อนกลับไปถึงตัวบริษัทเองที่มี “ลูกค้า” เป็นเจ้าของข้อมูล โดยที่มีพนักงานในบริษัทเป็น “ผู้ประมวลผลข้อมูล” และบริษัทเป็นเจ้าของข้อมูลที่ได้รับมา หรือ “ผู้ควบคุมข้อมูล” ด้วยเหตุนี้เองเมื่อบริษัทที่ต้องการข้อมูลของลูกค้า และตัวลูกค้าเองก็ผันตัวไปอยู่บนโลกออนไลน์เกือบจะเต็มรูปแบบแล้ว เป็นที่มาของการทำแบบตอบรับ PDPA ออนไลน์นี่เอง

การสร้างแบบตอบรับ PDPA ออนไลน์อย่างลืมสิ่งนี้

เช่นเดียวกับแบบฟอร์มออฟไลน์ที่กล่าวไปข้างต้น Cookie consent จะคล้ายกับรูปแบบปกติของการทำเอกสารสัญญาขอเก็บข้อมูลจากลูกค้า

เพียงแต่ว่าต้องเป็นรูปแบบออนไลน์นั่นเอง โดยถ้ามีทีมงานออกแบบที่ดีจะสามารถทำให้แบบฟอร์มรู้ว่าใคร อายุเท่าไหร่ เพศอะไร สนใจสิ่งไหนอยู่ จากการรับข้อมูลลูกค้า โดยอย่าลืมเช็คลิสต์ดังต่อไปนี้

Cyber security คือ

  • POP UP ที่โดดเด่น

การสร้างจุดที่ให้ลูกค้าตอบรับ PDPA ที่โดดเด่นจะช่วยให้ลูกค้าตระหนักถึงการยินยอมให้ข้อมูลได้อย่างดี เพราะทั้งหมดของการทำ PDPA ออนไลน์นั้น เป็นไปเพื่อพัฒนาเนื้อหาเว็บไซต์ และประสบการณ์ที่ดีที่สุดของลูกค้า

  • อธิบายให้ชัดเจนถึงจุดประสงค์

แน่นอนว่านอกจากมีความโดดเด่นของแบบตอบรับแล้ว การที่ย่อยข้อมูลให้กระชับ สั้น ได้ใจความเป็นเหมือนการหยิบยื่นข้อเสนอสุดพิเศษให้กับอีกฝ่าย ดังนั้นสั้น กระชับ จะทำให้ได้เปรียบ

  • มีการอัปเดตข้อมูลทางกฏหมายตลอดเวลา

นอกจาก พรบ.PDPA นั้นเป็นกฏหมายที่ออกแบบมาเพื่อครอบคลุมการใช้งานข้อมูลส่วนบุคคล อย่างเริ่มมีกฏเกณฑ์แล้ว ยังคาบเกี่ยวกับการทำงานออนไลน์มากยิ่งขึ้น และลักษณะของโลกออนไลน์นั้นเปลี่ยนแปลงไปอย่างรวดเร็วตลอดเวลา ทำให้กฏหมายตัวนี้ถ้าออกมาแล้วจะมีการเปลี่ยนแปลงไปได้ตลอด ดังนั้นการที่คอยอัปเดตแบบฟอร์มออนไลน์จึงเป็นสิ่งหนึ่งที่บริษัทต้องเตรียมพร้อมรับอย่างทันที

ธุรกิจออฟไลน์ไม่ทำ PDPA ออนไลน์ได้ไหม ดูยุ่งยาก!

เป็นเรื่องไม่ง่ายเลยที่หลายธุรกิจที่ขายของแบบออฟไลน์มาโดยตลอด ต้องเข้าไปดูแลส่วนที่เป็นออนไลน์โดยเฉพาะการเขียนโปรแกรม

หรือการเพิ่มข้อมูลฟอร์มเข้าระบบหลังบ้านของเว็บไซต์ตัวเอง แต่เป็นเรื่องที่น่าเสียดายที่เราจะบอกว่า “ธุรกิจออฟไลน์ ไม่ทำ PDPA คือระเบิดเวลาเจ๊ง!” เมื่อก่อนเราคงไม่นึกไม่ฝันว่าวันหนึ่งเราจะรู้จากปากลูกค้าว่าชอบใช้ปูนยี่ห้อ A มากกว่า B เพราะ…. จากกลุ่มช่างบน Facebook ซึ่งแม้อุปกรณ์ก่อสร้างที่ดูไม่น่าทำการตลาดออนไลน์ได้ ก็ยังถูกดึงเข้ามาอย่างไม่ตั้งตัว ดังนั้น “การทำ PDPA ออนไลน์” 

ปรึกษาการติดตั้ง PDPA บนเว็บไซต์
รายละเอียดการติดตั้ง Cookie

ติดตั้งระบบเก็บข้อมูลบนเว็บไซต์

ได้ถูกต้องตามกฏหมาย

PDPA คือ

เราเป็นโฮสต์ดูแลนโยบายของคุณ

เรามีทีมกฏหมายอัปเดตนโยบาย PDPA ให้กับคุณเมื่อมีการเปลี่ยนแปลงข้อกฏหมายตาม พรบ. รวมถึงข้อกำหนดที่เกี่ยวข้อง ทำให้มั่นใจได้ถึงความถูกต้อง และได้รับการอัปเดตตลอดจากกฏหมายล่าสุด

PDPA คือ

สอดคล้องกับธุรกิจของคุณ

สิ่งสำคัญของการทำ PDPA การปรับเปลี่ยนกฏเกณฑ์ได้สอดคล้องกับภาคธุรกิจที่คุณดูแล ฉะนั้นวางใจได้เลยว่านโยบายการทำ PDPA ของคุณจะสามารถปรับเปลี่ยนได้

PDPA คือ

ใช้งานได้ง่ายแม้ไม่มีไอที

เราเชื่อว่าหลายธุรกิจไม่ได้มีทีมเขียนโค้ดในการช่วยทำงานระบบหลังบ้าน เรามีทีมคอยช่วยเหลือวิธีการ แนะนำ หรือต้องการทีมช่วยเหลือคุณจนจบ ดังนั้นทำได้แม้ไม่มีไอทีแน่นอน

ปรึกษาการติดตั้ง Cookie consent บนเว็บไซต์

กรอกแบบฟอร์มเพื่อให้พนักงานติดต่อกลับ

2fa มีกี่รูปแบบ two factor authentication เบื้องหลังการโอนเงิน ยืนยันตัวตน บนโลกออนไลน์

2fa

การเข้ารหัสสองชั้น เป็นกระบวนการที่ระบบรุ่นใหม่ ไม่ว่าจะเป็นการ Login เข้าระบบผ่านการทำงานที่บ้าน หรือเข้าใช้บัญชีออนไลน์ต่างๆ บทบาทของระบบความปลอดภัยสองชั้น แทบจะเข้ามาอยู่ในทุกกิจกรรมแล้ว วันนี้มาดูกันว่า 2FA กระบวนการเหล่านี้มีอะไรบ้าง ปลอดภัยกว่าที่เคยเป็นยังไงกัน

Two Factor authentication (2FA) คืออะไร

ถ้าหากเรานั่นเห็นวิวัฒนาการของอินเตอร์เน็ตยุค 10 ปีมานี้เองจะเห็นได้ว่าพัฒนาการทางด้านระบบความปลอดภัยมีการพัฒนามากยิ่งขึ้นตามบทบาทของมันในชีวิต เริ่มจากมันเป็นบอร์ดแลกเปลี่ยนสนทนา แลกเปลี่ยนรูปภาพต่าง หรือแค่นัดซื้อขายสินค้าเพียงเท่านั้นเอง

1FA authentication

โดย 1FA (One factor authentication) หรือการเข้ารหัสเพียงชั้นเดียว ที่เราใช้เป็นประจำเป็นเพียงการใช้ “รหัสผ่าน” ในการเข้ามาทำงานเท่านั้นเอง จนกระทั่งการเปลี่ยนแปลงบทบาทของมันกลายมาเป็น “การยืนยันตัวตน” รวมถึง “การเงิน” ที่ทำการสั่งจ่ายผ่านโลกออนไลน์ ทำให้กระบวนการยืนยันตัวตนด้วย “รหัสผ่าน” ไม่เพียงพอที่ป้องกัน “การโจมตีทางไซเบอร์” อีกต่อไป จึงเป็นขั้นต่อยอดของการพัฒนาสองชั้น หรือ MFA เพื่อมั่นใจถึงความปลอดภัยได้อย่างสูงสุด แล้วมันคืออะไรบ้าง

2FA authentication

การเข้ารหัสสองขั้นตอน เป็นกระบวนการที่ต้องเข้ารหัสสองชั้น 2fa ด้วยการใช้ “รหัสผ่าน” ร่วมกับการยืนยันตัวตนในหลากหลายรูปแบบ เพื่อที่จะทำให้มั่นใจว่ากระบวนการยืนยันตัวตนทางอินเตอร์เน็ตมีความปลอดภัยเพียงพอ แล้วมันมีกี่ประเภท

กระบวนการเข้ารหัส 2FA มีกี่ประเภท

ปัจจุบันแต่ละแพลตฟอร์มนั้นเลือกการใช้ ระบบป้องกันสองชั้นที่แตกต่างกันออกไปตามความปลอดภัยที่ต้องการ โดยแบ่งเป็น 4 ประเภท ดังนี้

  • Token USB

     ในยุคก่อนที่อินเตอร์เน็ต และ มือถือจะเข้ามามีบทบาทในชีวิตเราสูง เป็นยุคแรกที่เราใช้การยืนยันตัวตนด้วยการเสียบอุปกรณ์ที่บรรจุข้อมูลสำหรับยืนยันตัวก็ได้ถูกนำมาใช้งาน แต่ข้อจำกัดของมันคือเราสามารถถูกขโมยได้เช่นกัน

  • รหัสเข้าใช้ครั้งเดียว OTP (One Time Password)

    ในช่วงหลังจากที่มือถือเป็นอวัยวะสำคัญสำหรับเรา ทำให้มือถือมีความสำคัญและน่าเชื่อถือไม่ต่างจากการพกบัตรประชาชน ทำให้การส่งรหัส OTP ยืนยันเข้าไปใน SMS มือถือเครื่องที่เราใช้จึงเริ่มใช้งานในการยืนยันตัวอย่างแพร่หลาย โดยรหัสผ่านนั้นมีอายุ 5 นาทีหลังจากที่ส่ง วิธีการนี้นิยมในการเข้าไปใช้ธุรกรรมทางการเงินต่างๆในธนาคารออนไลน์นั่นเอง

  • โปรแกรม

    ถึงแม้การพัฒนาด้าน OTP ที่ส่งเข้ามือถือของแต่ละคนในการยืนยันตัวตนแล้ว มันยังมีข้อจำกัดในหลายด้าน ทั้งในกรณีที่ผู้ใช้บริการเป็น Application ต่างชาติที่ไม่ได้จดทะเบียนในประเทศก็ไม่สามารถส่ง SMS เข้ามาในมือถือได้ หรือ ระยะเวลาที่ OTP จะหมดอายุมันนานเกินจะทำให้แฮกเกอร์สามารถสวมสิทธิ์ได้ หรือ บางครั้ง SMS ก็ไม่เข้าเครื่องก็มี เลยเป็นที่มาของการพัฒนาขั้นต่อไป คือการใช้โปรแกรมในการมาสุ่มรหัสการใช้งานครั้งเดียวได้
     โดยวิธีการนี้เป็นการเชื่อมต่อระหว่างผู้ให้บริการ กับ เจ้าของโปรแกรมตรวจสอบบุคคล ในการให้สิทธิ์ในการสุ่มรหัส 6 หลักในการลงชื่อเข้าใช้แต่ละครั้ง เช่น เมื่อเราเข้าสู่ระบบด้วยรหัสผ่านเสร็จแล้ว ขั้นที่สองต้องเปิด Authentication app ที่จะเปลี่ยนรหัสผ่านใหม่ทุกๆ 30 วินาที มากรอกลงไปอีกครั้งเพื่อยืนยันว่าเราเป็นตัวจริงนั่นเอง โดยเพียงแค่มีอินเตอร์เน็ต และแอปพลิเคชั่นเท่านั้น ก็สามารถใช้ได้แล้วนั่นเอง จึงเริ่มเป็นที่นิยมแพร่หลาย

  • Inherent

    วิธีการนี้เป็นการตรวจสอบโดยใช้เซนเซอร์ในการยืนยันตัวตนของเรา เช่น การแสกนลายนิ้วมือ การแสกนม่านตา หรือ การแสกนใบหน้าก่อนจะเข้าใช้งานนั่นเอง โดยหลายครั้งวิธีนี้อาจจะมีข้อจำกัดของอุปกรณ์ด้วยเช่นเดียวกัน เช่น กล้องไม่ชัด หรือ เซนเซอร์มีปัญหา ก็อาจจะทำให้ยืนยันตัวตนในวิธีนี้มีข้อจำกัดอยู่นั่นเองLocation

    วิธีการจับตำแหน่งของเราเป็นวิธีการหนึ่งที่ส่วนใหญ่ไม่ได้ทำระบบเพียงสองชั้นแต่จะเป็นความปลอดภัยสาม สี่ชั้นก็เป็นไปได้ ในธุรกิจการเงินนั่นเอง เช่นการเข้าระบบถึงแม้จะผ่านการยืนยันตัวด้วยรหัสผ่าน และระบบ SMS แล้ว แต่ปรากฏว่าอยู่ตำแหน่งต่างประเทศ เป็นเหตุทำให้มีการต้องยืนยันตัวตนอีกซ้ำอีกครั้ง หรือ ระบบอาจจะบล็อคไม่ให้ทำธุรกรรมได้นั่นเอง

วิศวกรดูแลระบบ wifi organizer ตลอดการทำงาน

Firewall as a Service

Firewall subscription base โดยจัดการ Configuration หลังบ้านให้ทั้งหมด โดยมีทีม IT support ตลอดอายุสัญญา

  • ฟรี อุปกรณ์ Firewall BOX
  • ฟรี ต่อ MA ตลอดอายุ
  • ฟรี อัปเกรดอุปกรณ์เมื่อตกรุ่น
รายละเอียดบริการ

ปรึกษาการทำระบบ Network security

กรอกแบบสอบถามที่นี่

5 สิ่งที่มือใหม่ต้องรู้ PDPA คือ สิ่งที่ต้องปรับใช้สำหรับธุรกิจที่วางแผนทำ พรบ.ข้อมูลส่วนบุคคล

อบรม PDPA

เรียน PDPA เป็นสิ่งที่ลดเวลาการทำงานของ ธุรกิจ SMEs จนไปถึงบริษัทในตลาดหลักทรัพย์ จำเป็นต้องเตรียมพร้อมในการทำให้ถูกต้อง แล้ว PDPA คืออะไร 5 สิ่งที่มือใหม่ต้องรู้ ต้องฟังทางนี้

Personal Data Protection Act : PDPA

พรบ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) เป็นกฏหมายที่ออกแบบมาสำหรับการเก็บข้อมูลโดยเฉพาะ โดยที่มันจะรวบรวมทั้งเก็บข้อมูลของพนักงาน เก็บข้อมูลของลูกค้า เพื่อเป็นการเก็บหลักฐานการ “อนุญาต”ให้ข้อมูลของคนนั้น ไปใช้งาน “ป้องกัน” กรณีที่ถูกฟ้องร้องจากการใช้งาน

ข้อมูลส่วนบุคคล VS ข้อมูลส่วนบุคคลละเอียดอ่อน

ส่วนประกอบของข้อมูลส่วนบุคคล

ข้อมูลส่วนบุคคล 

  • ชื่อ นามสกุล 

  • อายุ 

  • เพศ 

  • เบอร์โทรศัพท์

ข้อมูลส่วนบุคคลอ่อนไหว

  • โรคประจำตัว

  • ศาสนา

  • มุมมองทางการเมือง

  • ประวัติอาชญากรรม และอื่นๆ

 

PDPA คือ อะไร บังคับใช้

ออนไลน์ ออฟไลน์ ต่างกันยังไง?

  • PDPA ออนไลน์

คือการทำแบบฟอร์มสำหรับให้ลูกค้าตอบรับ ใบอนุญาตบนเว็บไซต์ อ่านเพิ่มเติม โดยที่ใจความสำคัญคือการนำข้อมูลลูกค้ามาประมวลผล และทำการตลาดเพื่อสร้างประสบการณ์ที่ดีของลูกค้า และการได้มาซึ่งพฤติกรรมการเลือกซื้อสินค้าของเรา

  • PDPA ออฟไลน์

คือการทำแบบฟอร์มการเก็บข้อมูลด้วยกระดาษ ไม่ว่าจะเป็นสัญญาเก็บข้อมูลส่วนบุคคลของพนักงาน การเก็บข้อมูลสมาชิกลูกค้า โดยส่วนมากการทำเขียนนิยามทางสัญญาต่างๆนั้นจะเป็นภาษากฏหมาย โดยที่จะต้องครอบคลุมเงื่อนไข สิ่งที่ผู้ให้บริการต้องการ ไม่ว่าจะเป็นข้อมูลส่วนใดก็ตาม รวมถึงวิธีการที่เก็บข้อมูลตามระยะเวลาที่กฏหมายกำหนด

เรียน PDPA

ทุกแผนกต้องเตรียมพร้อม

การปรับตัวครั้งนี้จะต้องสอดคล้องทั้งบริษัท โดยเฉพาะผู้ที่เกี่ยวข้องทางตรงกับลูกค้า

โดยที่การตลาดจะต้องดูแล Customer journey consent หรือ ตำแหน่งการจัดวางการขออนุญาตเก็บข้อมูล ทีมไอทีจะต้องดูแลบริเวณที่เก็บข้อมูลอย่างมีประสิทธิภาพ ฝ่ายบุคคลต้องเตรียมเอกสารสำหรับให้พนักงานยินยอมเก็บข้อมูลส่วนบุคคล ซึ่งเหล่านี้จะเป็นงานที่ไปด้วยกันทั้งทีม เพื่อจะเข้ามาสู่ยุคของ PDPA ในวันที่ 1 มิถุนายน 2565

คอร์สเรียน PDPA เริ่มต้นอย่างไรดี

สิ่งที่สะดวกสบายในยุคนี้คือการ เรียน PDPA ผ่านอินเตอร์เน็ต ซึ่งปัจจุบันมีให้เห็นและศึกษาแนวทางอย่างแพร่หลาย

แต่หลายองค์กรนั้นอยากแน่ใจว่ามีการอบรมพนักงานได้อย่างครบถ้วนหรือยัง จึงเกิดเป็นบริการ Learn PDPA ที่ออกแบบมาให้ตรงตามไลฟ์สไตล์ของพนักงาน และการรักษาระยะห่างอย่างลงตัว 

หลักสูตรพัฒนาทักษะ PDPA สำหรับพนักงาน

คอร์สเพื่อพัฒนาความเข้าใจระบบ PDPA และแนวทางปฏิบัติให้แก่พนักงานที่สนใจ พรบ.คุ้มครองข้อมูลส่วนบุคคลอย่างง่าย

หลักสูตร PDPA สำหรับฝ่ายบุคคล

คอร์สเพื่อสนับสนุนการบริหารงานทรัพยากรบุคคล เพื่อสามารถจัดการกับข้อมูลส่วนบุคคลของพนักงานได้ถูกต้อง

เข้าใจ 7 หลักการของกฏหมายคุ้มครองข้อมูลส่วนบุคคลเข้าใจง่าย และเห็นประเด็นที่ต้องเริ่มเตรียมก่อน

เข้าใจความเสี่ยงบทลงโทษสำหรับผู้ฝ่าฝืนกฏหมาย และ ถาม – ตอบ เกี่ยวกับกฏหมายฉบับนี้

การเตรียมเพื่อวางแผนในองค์กร ได้อย่างมีประสิทธิภาพ ผ่านกรณีศึกษาได้เห็นภาพ

ออกแบบคอร์สเรียนด้วยทีมกฏหมาย เรียนจบแล้วมี Certificate

ปรึกษาคอร์สอบรม PDPA

กรอกแบบฟอร์มด้านล่างนี้

5 ทักษะการดูแลลูกค้าออนไลน์ของนักขายมืออาชีพ ช่วงการระบาดของโควิด19 ทำยังไง

บริษัทเอกชนเป้าหมายของทุกบริษัทคือการสร้างกำไรมาหล่อเลี้ยงบริษัท ซึ่งเกิดจากการขายสินค้าหรือบริการนำเสนอให้กับลูกค้ากลุ่มเป้าหมาย ทำให้ความสัมพันธ์ระหว่างเซลล์และลูกค้าที่ดีจะมีผลต่อการสร้างยอดขาย และได้รับการตอบรับจากบริการใหม่ๆ ในยุคที่พบปะลูกค้าไม่ได้ เซลล์แมนจะดูแลลูกค้าออนไลน์ยังไงให้ดูแลลูกค้าให้ได้นานๆ สรุปมาให้แล้ว

ทักษะคุยกับลูกค้าผ่านแชท

เชื่อว่าเซลล์หลายคนนั้นคุ้นชินกับการเก็บรายละเอียดลูกค้าในการพบปะในชีวิตจริง แต่เมื่อสถานการณ์เปลี่ยนการรู้จักลูกค้าเป็นการแชทกันบนไลน์ การพูดคุยถูกจำกัดการสังเกตจากท่าทาง น้ำเสียง และสิ่งแวดล้อมต่างๆ ทำให้ทักษะการคุยแชทให้รู้รายละเอียดลูกค้านั้นจึงเป็นสกิลสำคัญของเซลล์ในต่อจากนี้ 

โดยรายละเอียดลูกค้าอาจจะเริ่มจากการหาวนหาประเด็นที่ลูกค้าสนใจ เช่น เม้าท์มอยเรื่องซีรีส์วาย ละครเมื่อคืน หรือบอลนัดชิง ซึ่งพอหลังจากการค้นหาประเด็นที่ตรงกันแล้ว จะทำให้แชทสนุกสนานกันทั้งสองฝ่าย

เป็นมนุษย์

เมื่อยุคที่ไม่สามารถเดินทางไปมาระหว่างกันได้ สิ่งที่เป็นปัญหาต่อมาเมื่อศูนย์บริการถูกปิด ลูกค้าจึงไปรวมกันที่คอลเซนเตอร์ ซึ่งถ้าหลายคนมีประสบการณ์ติดต่อผู้ให้บริการต่างๆในช่วงโควิด รอติดต่อก็นาน ระบบอัติโนมัติก็ไม่เข้าใจสิ่งที่เราต้องการคุย ทักแชทไปก็มีแต่ให้กด QA สิ่งที่เกิดขึ้นตามมาคือเราโหยหาความเป็นมนุษย์มากขึ้น

เราต้องการมีมนุษยสัมพันธ์กับอีกฝ่าย ดังนั้นถ้าหากเซลล์แมนสามารถที่จะให้มากกว่า auto message อย่างที่หลายคนเคยประสบมา เช่น ปฏิบัติลูกค้าเหมือนพระเจ้า ยกยอปอปั้นลูกค้าเกินจริง ซึ่งเป็นสิ่งตรงข้ามกับพฤติกรรมมนุษย์ ก็ทำให้อีกฝ่ายรู้สึกว่าคู่สนทนาเหมือน “หุ่นยนต์”  มากกว่า “คน” ดังนั้นการย้อนกลับไปสนทนาตามข้อ (1.) จะช่วยให้หาจุดร่วมกันระหว่าง “เซลล์” และ “ลูกค้า” แล้วความเป็นหุ่นยนต์จะกลายเป็นมนุษย์ได้

ฟัง

แน่นอนว่าความประทับใจของคู่สนทนาคือการนั่งฟังคู่สนทนา เล่าถึงเรื่องของตัวเอง เล่าถึงประสบการณ์ชีวิตของตัวเอง เพราะมนุษย์ชอบเล่าเรื่องตัวเอง สนใจเรื่องตัวเอง ทำให้พอเปลี่ยนเป็นโลกที่มีแต่แชทไลน์ การเล่าเรื่องชีวิตของคู่สนทนาอาจจะน้อยลงบ้าง ลองเปลี่ยนเป็นการโทรคุยสลับกับการคุยแชท จะช่วยให้ลูกค้าที่เป็นคู่สนทนาสะดวกใจเล่าเรื่องของตัวเองมากขึ้น แล้วนำมาเปิดเป็นประเด็นสนทนาในห้องแชทเพื่อสร้างความคุ้นเคยกันขึ้นมาอีก

ขอคำแนะนำ

หลังจากที่มีการฟังลูกค้าทั้งในเรื่องงาน และเรื่องส่วนตัวแล้ว ขั้นกว่าของการฟังคือการขอแนวคิด ความคิดของลูกค้า ในการแนะนำปัญหาการใช้งานสินค้าและบริการด้วยใจจริง เมื่อมีความสัมพันธ์ที่ดีกันแล้ว สิ่งที่จะได้กลับมาจะมากกว่าการให้ feedback ส่งๆ เช่น “ก็ดีนะคะ” “ส่งช้ามาก” ซึ่งการเข้าไปนั่งในใจลูกค้าแล้ว ฝ่ายลูกค้าเองยินดีให้คำแนะนำ จนอาจจะไปถึงเสนอแนะการแก้ไขด้วยใจจริงนั่นเอง

ทำการบ้าน

โรงแรมได้ระดับ 5 ดาว ไม่ได้มาจากสถานที่ที่ใหญ่ สวยงาม สิ่งอำนวยความสะดวกครบครันเพียงเท่านั้น หากแต่ถ้าไม่ได้พนักงานที่บริการอย่างมืออาชีพ เชฟที่รังสรรค์อาหารได้อย่างมีศิลปะ พนักงานทำความสะอาดที่รักษามาตรฐานการทำงานไว้เป็นอย่างดี รวมถึงพนักงานบริการลูกค้าที่จดจำรายละเอียดได้ว่า ลูกค้ามาดาม A จะชอบจิบกาแฟอุ่นที่อุณหภูมิ 70 องศาเซลเซียส 

ถ้าหากเซลล์จะสร้างความประทับใจในการแชทในไลน์ การเก็บไฟล์เอกสารต่างๆ เก็บ Quotation รวมถึงกลับไปทวนซ้ำรายละเอียดของลูกค้าเมื่อเวลาผ่านไประยะหนึ่ง จะทำให้ความมืออาชีพนี้ไปสร้างความประทับใจให้กับลูกค้ามากขึ้น ถ้าหากจำได้ว่าบริษัทมาดาม A มียอดซื้อสินค้ากับ supplier ของเราในไตรมาสนี้เมื่อเทียวกับไตรมาสที่ผ่านมาสูงเป็นประวัติการณ์ จากข้อมูลที่เราเก็บไว้ในไลน์ แล้วไปแสดงความยินดีกับยอดขาย ก็เป็นรายละเอียดที่ทำให้ลูกค้าเกิดความประทับใจมากขึ้นได้นั่นเอง

สรุป

ปฏิเสธไม่ได้เลยว่า Line ในยุค WFH อีกกี่ระรอกก็ยังคงเป็นเครื่องมือการทำงาน ติดต่อประสานงานลูกค้า สิ่งที่ทำให้มันสำคัญมากขึ้นคือการสะดวกในการส่งงานระหว่างกัน ส่งเอกสารไปมาในบริษัทอย่างง่ายดาย เพียงแต่การเก็บข้อมูลในแอพนั้นจำกัดไว้แค่ 7 วัน แต่ครั้นจะไปใช้ Facebook messenger ก็ไม่สะดวกใจให้ใครรู้จักอีกมุมมองของเรา จึงมีบริการ “จดที” ที่มาช่วยจดแชทไลน์ เก็บไฟล์งานและรูปภาพ ไม่ให้หมดอายุโดยใช้บริการฟรี 30 วัน โดยกรอกฟอร์มด้านล่างนี้เลย

References :
Source1
Source2
Source3
Source4
Source5

วิธีดึงประสิทธิภาพของ VPN มีความส่วนตัวขนาดไหน ควรปิดใช้งานตอนไหนดี มีคำตอบ

เมื่อพูดถึง personal privacy ในโลกออนไลน์ บริการ VPN ก็กำลังแพร่หลายมากขึ้นเรื่อย ๆ ซึ่งอันที่จริง VPN ได้กลายมาเป็นกระแสหลัก จนกระทั่งวันที่ 19 สิงหาคมได้ถูกตั้งว่าเป็นวัน VPN สากลอย่างเป็นทางการ ซึ่งเป็นส่วนหนึ่งของโครงการ cybersecurity awareness ที่นำโดย NordVPN

นอกจากนี้ การทำให้ผู้คนเข้าใจถึงประโยชน์ของ VPN นั้นเป็นสิ่งสำคัญ โดยเฉพาะอย่างยิ่งในยุคของ age of data mining, geo-blocking และ working from home อย่างไรก็ตาม การเปิดใช้งาน VPN อย่างเดียวไม่เพียงพอที่จะปกป้องข้อมูลของเราได้ 100% ดังนั้น เราจะมาดูวิธีใช้ประโยชน์จาก VPN และข้อผิดพลาดที่หลายคนทำ เพื่อที่จะได้หลีกเลี่ยงได้ทันก่อนที่จะสายเกินไป

VPN ป้องกันความเป็นส่วนตัวได้มากน้อยแค่ไหน?

อย่างไรก็ตาม VPN ไม่ได้ช่วยเรื่องการป้องกันความเป็นส่วนตัวทางอินเทอร์เน็ต 100% แม้ว่า VPN จะสามารถซ่อน IP และหลีกเลี่ยงการโจมตีจากบุคคลที่เป็นอันตรายอื่น ๆ ได้ แต่การที่เราใช้ชีวิตในโลกออนไลน์อย่างไรนั้นสำคัญกว่า นอกจากนี้ ผู้คนจำนวนมากก็ยังไม่รู้ว่าการใช้งาน VPN นั้นก็มีความเสี่ยงเช่นเดียวกัน

ตัวอย่างเช่น โซเชียลเน็ตเวิร์กอย่าง Facebook ที่เรามักใช้ล็อกอินเพื่อเข้าสู่เว็บไซต์และแอปต่าง ๆ ซึ่งการทำเช่นนั้นเราจะระบุตัวตนของเราทันที ไม่ว่าเราจะเชื่อมต่อกับเครือข่ายใดก็ตาม นอกจากนี้เว็บไซต์เกือบทุกเว็บต่างก็ใช้คุกกี้ ซึ่งเป็นการระบุตัวตนของเราและเชื่อมโยงเรากับกิจกรรมก่อนหน้านี้ 

การใช้คุกกี้และ incognito mode ช่วยอะไรได้ไหม?

อย่างไรก็ตาม คุกกี้ไม่ค่อยเป็นอันตราย เพราะมันแค่บันทึกรหัสผ่าน บันทึกสิ่งที่อยู่ในรถเข็น หรือเพื่อแสดงโฆษณาต่าง ๆ เท่านั้น แต่คุกกี้ไม่ได้ป้องกันความเป็นส่วนตัว และหากเราไม่คอยลบคุกกี้ออก ข้อมูลต่าง ๆ ของเราจะยังคงบันทึกไว้อยู่แม้ว่าเราจะเปิด VPN

การใช้ incognito mode และการตั้งค่าอีเมลในการลงชื่อเข้าใช้ในเว็บไซต์ นับว่าเป็นวิธีการแก้ไขปัญหาเรื่องความเป็นส่วนตัวได้ทันที และการใช้ VPN ร่วมด้วยจะยิ่งช่วยให้มีประสิทธิภาพในการปกป้องความเป็นส่วนตัวได้ดีขึ้นอีก 

ควรเปิด-ปิดใช้งาน VPN ตอนไหนดี?

อย่างไรก็ตาม ในการเปิดใช้งาน VPN ส่วนใหญ่เราจะเปิดใช้เมื่อเราจำเป็นจริง ๆ เท่านั้น เช่น เวลาที่เราต้องใช้ Wi-Fi สาธารณะในการท่องเว็บ แล้วต้องการเข้าสู่ระบบธนาคารออนไลน์ เราก็อาจจะเปิด VPN เอาไว้เพื่อต้องป้อนข้อมูลของธนาคาร และเมื่อใช้งานเสร็จเราก็ปิด VPN ซึ่งเราก็คิดว่าปลอดภัยเพียงพอแล้ว

แต่หากเรากังวลเกี่ยวกับการรักษาข้อมูลส่วนตัวเวลาที่ต้องใช้ Wi-Fi สาธารณะจริง ๆ เราควรเปิดใช้งาน VPN ก่อนที่จะเชื่อมต่อ Wi-Fi สาธารณะ และควรปิดใช้งานทันทีเมื่อเราไม่ได้เชื่อมต่อ Wi-Fi สาธารณะแล้ว นอกจากนี้ โซเชียลมีเดียนั้นเป็นช่องทางที่ง่ายในการเปิดเผยข้อมูลอย่างมาก ซึ่งหากเราโชคไม่ดีถูกโจมตี ผู้โจมตีก็จะได้รายละเอียดเกี่ยวกับธนาคารของเรารวมถึงข้อมูลส่วนตัวอื่น ๆ ด้วย

อย่างไรก็ตาม บางครั้งการเปิด VPN ก็ทำให้การทำงานไม่สะดวก ดังนั้นหากอยากปิด VPN ก็ควรใช้ฟีเจอร์  split tunneling ที่มีอยู่ใน VPN ซึ่งการทำด้วยวิธีนี้ เราจะสามารถอนุญาตให้เว็บไซต์หรือแอปบางตัวยังคงป้องกันข้อมูลส่วนตัวของเราได้อยู่

สรุป

ถึงแม้มีการพัฒนาความปลอดภัยทางไซเบอร์ การปิดบังตัวตนของผู้ใช้งานได้ดียิ่งขึ้น แต่สิ่งที่ไม่ควรมองข้ามคือโครงสร้างของอินเตอร์เน็ตที่ใช้งานอย่าง Firewall โดยที่การเลือกอุปกรณ์ Firewall ได้เหมาะสมกับการใช้งานแล้ว การใช้ฟีเจอร์ที่เหมาะสมกับการทำงานก็จะทำให้มีประสิทธิภาพการรักษาความปลอดภัยได้อย่างสูงสุดนั่นเอง

Reference : Source

ไอทีจะถูกฟ้องร้องจากกฏหมาย PDPA ฉบับใหม่หรือเปล่า (วะ?)

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ที่ออกมาคุ้มครองผู้บริโภค จากการนำข้อมูลส่วนตัวของเราไปใช้งานแบบไม่ได้อนุญาต จากหลากหลายผู้ให้บริการ ทั้งโซเชี่ยลมีเดีย ธนาคาร ประกันภัย หรือแม้กระทั่งกู้เงิน การพนันออนไลน์และอื่นๆ ข้อมูลนี้เป็นหน้าที่รับผิดชอบจากคนเบื้องหลังที่ดูแลข้อมูลคือ พนักงานไอที แล้วอย่างนี้คนทำงานบริษัทที่ดูแลข้อมูล ระบบงานแล้วมีข้อมูลหลุดหรือมีปัญหาถูกฟ้องร้องขึ้นมา ไอทีจะเป็นผู้สมรู้ร่วมคิดที่มีความผิดหรือเปล่านะ

พรบ.คุ้มครองข้อมูลส่วนบุคคล PDPA มีไว้เพื่ออะไร 

ถ้ายกเอานิยามจากราชกิจจานุเบกษามาพลอตลงให้อ่าน คำนิยามของกฏหมายฉบับนี้คือ “การคุ้มครองข้อมูลส่วนบุคคลมีประสิทธิภาพและเพื่อให้มีมาตรการเยียวยาเจ้าของข้อมูลส่วนบุคคลจาก การถูกละเมิดสิทธิในข้อมูลส่วนบุคคลที่มีประสิทธิภาพ” ฉะนั้นพอมาดูไอเดียของการมีฉบับนี้ดูเหมือนจะทำให้เจ้าของข้อมูล Win ที่มีขอบเขตการฟ้องร้องกรณีที่ถูกละเมิด เอาข้อมูลไปใช้โดยไม่ได้ยินยอม

ตัวละครของ PDPA มีใครเป็นตัวละครคนสำคัญบ้าง?

1.ผู้ควบคุมข้อมูลส่วนบุคคล – โดยที่ผู้ควบคุมข้อมูลบุคคลที่ดูข้อกำหนด แจ้งจุดประสงค์ของข้อมูลไปใช้งาน
2.เจ้าของข้อมูลส่วนบุคคล – เป็นคนที่ถูกนำข้อมูลไปใช้งาน ต้องเข้าใจข้อกำหนดการใช้งานทั้งหมดจากผู้ควบคุมข้อมูล
3.ผู้ประมวลผลข้อมูลส่วนบุคคล – เป็นคนที่ต้องเก็บรวบรวมข้อมูลไว้ในที่ปลอดภัย ป้องกันการสูญหาย โดยรับอำนาจมาจากผู้ควบคุมข้อมูลส่วนบุคคลนั่นเอง

ไอทีเกี่ยวอะไรกับ PDPA บริษัท?

ปฏิเสธไม่ได้เลยว่าตัวละครสำคัญของการจัดเก็บข้อมูล ซึ่งกฏหมายฉบับนี้เหมือนเน้นไปทางเก็บข้อมูลทางอิเลกโทรนิคมากกว่ารูปแบบเดิม ผู้ที่ต้องอำนวยความสะดวกในการจัดการข้อมูลต่างๆ นอกจากตำแหน่งแอดมินแล้ว ผู้ที่เป็นโครงสร้างและเบื้่องหลังคือไอทีนั่นเอง ซึ่ง Part การจัดเก็บข้อมูลและความปลอดภัยทางข้อมูลต่างๆ จะขึ้นอยู่กับนโยบายของแต่ละบริษัท แต่สงสัยไหมว่าถ้าเกิดเหตุการณ์ไม่ปกติ เช่น ข้อมูลหลุดออกไปไม่ว่าจะเป็นฝีมือคนใน หรือ แฮกเกอร์เจาะระบบออกไปแล้ว ไอทีที่เป็นเหมือนผู้อำนวยความสะดวกมีสิทธิ์ติดคุกหรือเปล่า

ไอทีติดคุกเรื่องจริงหรือจ้อจี้

1.โทษทางอาญา

จากพระราชบัญญัติฉบับนี้กำหนดโทษไว้สองรูปแบบ คือโทษทางอาญาซึ่งกำหนดบทลงโทษให้กับ ผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งการทำงานของฝ่ายไอทีที่อยู่ภายใต้บริษัท ที่เป็นนิติบุคคล ถ้าหากสิ่งใดที่เกิดความผิดพลาดจากระบบการทำงาน หรือคำสั่งของผู้บังคับบัญชา จะมีบทลงโทษกับนิติบุคคล หรือ “ผู้ควบคุมข้อมูลส่วนบุคคล”

2.โทษทางปกครอง

ฐานะฝ่ายไอทีที่เป็นผู้ประมวลผลข้อมูลส่วนบุคคล จะมีบทลงโทษถ้าหากไม่ได้มีการทำตามผู้ควบคุม ในการเก็บข้อมูล หรือตรวจสอบข้อมูลในระบบอย่างสม่ำเสมอ รวมถึงตรวจสอบการดำเนินงาน ประสานงานสำนักงานในกรณีที่มีปัญหาการเก็บข้อมูลส่วนบุคคล ต้องระวางโทษปรับทางปกครองไม่เกินหนึ่งล้านบาท 

ถึงแม้ว่าทางกฏหมายมีบัญญัติไว้แล้วก็ตาม ในทางปฏิบัติขั้นตอนการดำเนินการหลายอย่างยังคงมีความคลุมเครือ ระหว่างการทำงานที่ได้รับมอบหมายจากผู้คุมข้อมูลส่วนบุคคลแต่เกิดปัญหา หรือ ปัญหาการถูกโจรกรรมข้อมูลแล้วข้อมูลสูญหาย ในกรณีดังกล่าวยังคงเป็นที่ถกเถียงกันอยู่

อย่าเพิ่งตื่นตกใจ

ปัญหาของกฏหมายที่ออกมาใหม่นั้นคือไม่มีกรณีตัวอย่างการตัดสินคดี ฉะนั้นหลายกรณีนั้นก่อนจะเกิดเป็นคดีความจึงจะมีการไกล่เกลี่ย รวมถึงขั้นตอนการสืบหาความผิดนั้นยังคงไม่แน่นอน และผู้ที่เป็นพระเอกในการรับการถูกฟ้องร้องได้ก่อนก็คือตัวองค์กร หรือ ผู้ควบคุมข้อมูล เป็นด่านแรกก่อนเสมอ ทำให้ไอทีที่ทำงานตามนโยบายขององค์กร และการตัดสินใจเรื่องต่างๆก็เป็นความรับผิดชอบของผู้บริหารนั่นเอง สบายใจได้ว่าโอกาสที่คนทำงานต้องมาแบกรับความผิดมีน้อย

สรุป

ถึงมีการเปลี่ยนแปลงทางกฏหมายในการเก็บข้อมูลส่วนบุคคลที่ต้องการความรัดกุมทางการทำงานมากยิ่งขึ้น ซึ่งแนวทางการออกกฏหมาย PDPA ฉบับนี้นั้นเน้นให้ผู้ใช้งานต้องยอมรับสิทธิ์ โดยที่รับทราบกฏและข้อบังคับอย่างถี่ถ้วนเพียงเท่านี้ บริษัทก็สบายใจได้ว่าความเสี่ยงที่บริษัทจะต้องปวดหัวกับการถูกฟ้องร้องคงมีไม่มาก โดย Prospace เรามีบริการทั้งเอกสาร PDPA ที่ถูกต้องตามหลักนิติกรรม หรือ ถ้าไม่มีผู้ติดตั้งบนเว็บไซต์ หรือไอทีที่ติดตั้งระบบ บริการของเรามีทีมที่ปรึกษาสามารถช่วยเหลือได้จนถึงอบรมพนักงานที่เกี่ยวข้องสามารถติดต่อเราโดยแบบฟอร์มด้านล่างนี้เลย

 

Reference : Source

ไวรัสคอมพิวเตอร์ เลียนแบบโควิด19 สายพันธุ์โอไมครอน (Omicron) ได้ยังไง?

ในการเกิดไวรัสโควิด 19 ในช่วงสองปีที่ผ่านมา เราจะเห็นการเกิดขึ้นของมันแล้วแพร่กระจายไปทั่วโลก แต่ความแสบของมันเมื่อไปอยู่ตามภูมิภาคต่างๆของโลกแล้ว เกิดเป็นสายพันธุ์ใหม่ขึ้นมามีทั้งสายพันธุ์อังกฤษ อินเดีย ที่แยกออกมาจากสายพันธุ์แรกที่พบที่เมืองอู่ฮั่น ประเทศจีน จนล่าสุดเกิดเป็นการกระจายพันธุ์ครั้งใหม่ที่มาจากการร่วมมือกันของเชื้อโควิดกับคนที่มีภูมิคุ้มกันบกพร่องในแถบแอฟริกา แล้วถ้าลองเปรียบเทียบกันระหว่างไวรัสที่ติดในคน กับ คอมพิวเตอร์ มันมีจุดร่วมวิวัฒนาการที่เหมือนกันอย่างน่าสนใจ

ไวรัสโควิด

ถ้าร่วมรวมเหตุการกระจายไวรัสของทั่วโลกเป็นทามไลน์ มันจะมี 3 ไฮไลต์ที่น่าสนใจตลอดการระบาดจนมาถึงปัจจุบัน 

  • ระยะ 1

ช่วงที่ทุกคนแตกตื่นจากการเจอไวรัสและเกิดการเจ็บป่วย ช่วงนี้ถึงแม้ว่าไวรัสมีความรุนแรงในระดับที่อ่อนไหวกับผู้สูงอายุและผู้ที่มีโรคประจำตัว แต่ไม่ค่อยแสดงอาการของโรคในคนที่มีอายุน้อยนั่นเอง ช่วงนั้นทำให้เกิดภาวะคนไข้ล้นโรงพยาบาลจากการที่ผู้ป่วยที่แสดงอาการต้องการใช้เครื่องช่วยหายใจ เกิดเป็นความโกลาหลรอบแรก แล้วก็เริ่มมีคนไข้ลดลงจากการระบาดจนกระทั่งการมาของสายพันธุ์ “เดลต้า”

  • ระยะ 2 

ในช่วงการระบาดรอบแรกนั้นมีสายพันธุ์ที่กระจายไปอยู่ตามภูมิภาคต่างๆแล้วเกิดเป็นสายพันธุ์ย่อยของเชื้อโควิด แต่มีสายพันธุ์นึงที่แสดงอาการรุนแรงที่ทำให้คนเสียชีวิตเป็นใบไม้ร่วงประมาณการณ์ในช่วงที่ระบาดรุนแรงในประเทศอินเดียมีสูงถึงกว่า  480,000 ราย หลังจากนั้นเกิดการเดินทางของไวรัสที่ถึงแม้จะปิดพรมแดนก็สามารถออกไปสู่นานาอารยประเทศได้อย่างรวดเร็ว

 

จนมีประมาณการณ์ว่าในเดือน ตุลาคม ไวรัสที่กระจายอยู่ทั่วโลก 2 ใน 3 คือสายพันธุ์เดลต้า ที่กระจายได้เร็ว มีอาการที่รุนแรง และเสียชีวิตเร็ว จนถึงจุดที่ความรุนแรงของไวรัสนั้นถูกลดความรุนแรงลงด้วยอาวุธที่เรียกว่า “วัคซีน” แต่แล้วการเข้ามาของไวรัสสายพันธุ์ใหม่ที่หลบเลี่ยงการตรวจพันธุกรรม และวัคซีนได้ … ในนามของสายพันธุ์ “โอไมครอน”

 

  • ระยะ3 (ปัจจุบันที่ไม่รู้ว่ามีอีกกี่ระรอก)

การเข้ามาของโอไมครอนนั้นรวดเร็ว และหลบเลี่ยงภูมิคุ้มกันของร่างกายเราได้ ..อธิบายว่าการฉีดวัคซีนโควิด 19 ร่างกายจะรับรู้ว่าเป็น เชื้อแบบนี้ มีตัวจับแบบนี้ แล้วภูมิคุ้มกันจะรีบดักจับ กำจัดออกจากร่างกายเราก่อนที่จะเกิดอาการรุนแรงจากร่างกาย ..เพียงแต่ว่าร่างกายแยกแยะไม่ออกว่า โอไมครอน มันคือ โควิด19 จนเป็นประเด็นว่าคนทั่งโลกเกิดการตื่นตระหนกอีกครั้ง เพียงแต่ว่าการมาครั้งนี้มันแพร่กระจายรวดเร็วก็จริง แต่มันเป็นสายพันธุ์ที่ลดระดับความรุนแรงลงเมื่อเทียบกับสายพันธุ์ที่ผ่านมา ในหลายเคสก็ไม่แสดงอาการป่วยตั้งแต่แรก …แล้วมันเหมือนกับไวรัสคอมพิวเตอร์ยังไง?

 

ไวรัสคอมพิวเตอร์

ไวรัสคอมพิวเตอร์นั้นแรกเริ่มเดิมทีมันคือโค้ดคอมพิวเตอร์ หรือ โปรแกรมคอมพิวเตอร์ชนิดหนึ่งที่เข้ามาทำลายระบบคอมพ์ของเราให้ใช้งานต่อไปไม่ได้ โดยมีพฤติกรรมที่คล้ายกับไวรัสจริงๆ มีทั้งการคัดลอกข้อมูล คัดลอกตัวเองไปติดต่อกับเครื่องอื่นๆ หรือแม้กระทั่งอยู่ในเครื่องแต่ไม่แสดงอาการ และสามารถหลบหลีกการตรวจจับจากโปรแกรมแอนตี้ไวรัสเช่นกัน ถ้าจะให้แบ่งเป็น 3 ระยะให้สอดคล้องกับไวรัสโควิด

  • ระยะ1

การเกิดขึ้นของไวรัสคอมพ์นั่นแรกเริ่มเดิมทีเกิดจากแลคเชอร์ “ทฤษฏีและการจัดการออโต้มาต้าที่ซับซ้อน” ซึ่งออโต้มาต้า (Automata) มาจากภาษากรีกที่นิยามว่า “แสดงออกเอง , ตัดสินใจเอง , เคลื่อนไหวเอง” ซึ่งในการบรรยายครั้งนั้นมีการอธิบายว่าคอมพิวเตอร์สามารถทำซ้ำตัวเองได้อย่างไร เกิดเป็นไวรัสตัวแรกของโลก จากนั้นเริ่มมีการพัฒนาของไวรัสที่แตกต่างกันไป แต่ไม่แพร่หลายเพราะในยุคนั้นคอมพิวเตอร์ส่วนมากอยู่ในห้องปฏิบัติการ หรือตามองค์กรขนาดใหญ่

 

  • ระยะ2

ในช่วงที่มีการแพร่หลายของคอมพิวเตอร์บุคคล (Personal computer : PC) เกิดโปรแกรมที่มาตอบสนองการใช้งานผู้คนที่หลากหลาย และเป็นการเติบโตของไวรัสในโลกคอมพิวเตอร์ด้วยเช่นเดียวกัน โดยที่ยุคนั้นมีการโจมตีหนักไปถึงการทำลายอุปกรณ์ (Hardware) ทั้งทำให้เกิดการทำงานขัดข้อง ตัวโปรแกรมที่มุ่งการทำลายเครื่องให้เสียหาย ซึ่งตอนหลังการพัฒนาด้านโปรแกรมระบบ (OS) ทั้งแบบ Shareware และ Opensource ต่างร่วมกันพัฒนาขีดความสามารถจนไม่สามารถทำลายฮาร์ดแวร์ได้อย่างง่าย ทำให้ความรุนแรงของไวรัสคอมพิวเตอร์ลดลงมาเหลือระดับที่ทำลายโปรแกรมระบบให้เสียหายเปิดไม่ได้ แต่ไม่ได้ทำลายให้เสียหายทั้งอุปกรณ์ วินโดวพังก็ลงใหม่ โปรแกรมหายก็ลงใหม่ จนกระทั่ง….

 

  • ระยะที่3 (ปัจจุบัน)

ถึงแม้ปัจจุบันการโจมตีของไวรัสคอมพิวเตอร์ยังไม่ได้หายไปไหน แต่วิวัฒนาการของมันก็คล้ายกับการระบาดของโรคหลายชนิดที่อยู่คู่กับมวลมนุษยชาติมายาวนานอย่างไข้หวัด ซึ่งไวรัสคอมพิวเตอร์นั้นหลายครั้งแฝงอยู่ในเครื่องอยู่นานเป็นปี ไม่แสดงอาการ ไม่ทำให้เครื่องร้อนหรือมีปัญหาใดใด จนถึงจังหวะและเวลาที่ดีก็อาจจะเข้ามาขโมยข้อมูล หรือเอกสารบางอย่างในเครื่องเราได้อย่างรอยนวลได้อย่างง่าย เพราะวิวัฒนาการการเดินทางเข้าออกเครื่องเราได้อย่างอิสระเสรี ด้วยระบบอินเตอร์เน็ตนั้นเหมือนประตูต้อนรับผู้หวังดี และไม่หวังดีได้อย่างเสรีนั่นเอง

 

จากโรคระบาดกลายเป็นโรคประจำถิ่น

ในเมื่อเราไม่สามารถจับเชื้อไวรัสว่ามันอยู่ตรงไหน ต่อให้กันคนที่ติดเชื้อกับไม่ติดเชื้อออกจากกัน ทำสารพัดวิธีการให้มันหายไปจากมวลมนุษยชาติก็ทำให้เรารู้ว่าเอาชนะไม่ได้สักที ทำให้สุดท้ายเราเลือกที่จะป้องกัน ต่อต้าน และรักษาอย่างมีวิธีการต่างๆแทน ซึ่งแน่นอนว่ามันยังคงอยู่กับเรา แต่เราจะจำกัดให้มันอยู่ในวงเล็กลง ซึ่งไวรัสคอมพิวเตอร์ก็เช่นเดียวกัน 

 

ในอดีตการระบาดของไวรัสคอมพิวเตอร์อาจจะมาจากการเสียบแฟลชไดร์ฟที่ติดไวรัสมา การติดตั้งโปรแกรมละเมิดลิขสิทธิ์ต่างๆ ที่แอบแฝงไวรัสมาติดตั้งบนคอมพิวเตอร์โดยอนุญาตให้มันทำงานได้ในฐานะผู้ดูแลคอมพิวเตอร์ จนเกิดการแฝงเข้าไปในระบบจนไม่สามารถตรวจจับได้ แต่พอเวลาผ่านไปหลายโปรแกรมนั้นเลือกจะเปลี่ยนโมเดลการทำธุรกิจ จากการจ่ายแบบซื้อขาด ก็เริ่มมาเปลี่ยนเป็นการจ่ายรายเดือนเพื่อได้ฟีเจอร์ที่จำเป็นจากนักพัฒนา เพลงเถื่อนก็เริ่มมาเป็นเพลงฟรีถูกลิขสิทธิ์แลกกับการมีโฆษณา หรือจ่ายรายเดือนราคาที่เข้าถึงผู้คนมากขึ้น ทำให้การพัฒนาไวรัสตัวใหม่ๆก็เริ่มเปลี่ยนจากโปรแกรมเถื่อน ไปเป็นการโจมตีผ่านระบบเครือข่าย แทนการติดตั้งบนคอมพิวเตอร์ และเหยื่อที่ถูกคุกคามเปลี่ยนเป้าหมายโจมตีเป็นธุรกิจที่เก็บข้อมูลมหาศาลมากขึ้นนั่นเอง

 

เน็ตเวิร์คเป็นดาบสองคม

ถ้าการประกาศปิดพรมแดนเป็นการกั้นไม่ให้คนใน และคนนอกออกมาพบปะเจอกัน แต่ในยุคปัจจุบันมันพิสูจน์แล้วว่ามันทำไม่ได้อีกต่อไป แต่ละประเทศต้องพึ่งพากันและกัน การใช้อินเตอร์เน็ตเป็นเหมือนการพบกันได้อย่างเสรี ซึ่งมีทั้งคนที่หวังดี และคนที่หวังดีประสงค์ร้าย

 

การโจมตีไวรัสทางอินเตอร์เน็ตก็เป็นที่แพร่หลายมากขึ้น สอดคล้องกับจำนวนคนที่เข้าถึงอินเตอร์เน็ตในอุปกรณ์ต่างๆ มันเย้ายวนทั้งข้อมูล และการเรียกค่าไถ่ข้อมูลที่เหมือนดั่งทองคำในโลกของข้อมูลข่าวสาร ทำให้ธุรกิจที่เริ่มเข้าสู่โลกเน็ตเวิร์กที่ขาดภูมิคุ้มกัน ถูกขโมยข้อมูลทางธุรกิจ ข้อมูลลูกค้า ออกไปเรียกค่าไถ่ จากการที่ไม่มีระบบป้องกันที่ดี หรือ Firewall ที่เป็นป้อมปราการของบริษัท โดยที่ Firewall ที่ดีจะช่วยคัดกรองข้อมูลเข้าออก อินเตอร์เน็ต ดูแลการแอบเข้าใช้งานของบุคคลที่ถูกยืนยันว่าเป็นตัวปลอมได้ตลอดเวลา รวมถึงมีการออกแบบระบบให้เข้ากับรูปแบบธุรกิจที่ทำอยู่เพื่อไม่ให้เกิดคอขวดและใช้งานได้อย่างเต็มประสิทธิภาพอย่างลงตัว

สรุป

แม้วันหนึ่งไวรัสโควิด 19 จะกลายเป็นโรคประจำถิ่นเหมือนที่เราไม่ได้ตื่นตระหนกกับไข้หวัดใหญ่ก็ตาม แต่ไม่ได้หมายความว่ามันจะไม่กลับมาเป็นซ้ำอีกและจะเนียนขึ้นไปอีกเรื่อยๆจากวิวัฒนาการที่มันต้องการมีชีวิตที่ยาวนานที่สุด เช่นเดียวกับไวรัสคอมพิวเตอร์ที่จากจุดแรกที่ต้องการทำลายล้างทั้งอุปกรณ์ สุดท้ายก็สามารถลดความรุนแรงลงมาได้ก็จริง แต่มันก็พยายามจะปรับเปลี่ยนแปลงตัวเองให้อยู่เป็นส่วนหนึ่งในคอมพิวเตอร์ เพื่อที่วันหนึ่งจะสามารถเรียนรู้วิธีการโจมตีใหม่ๆผ่านระบบ Network ที่มี Firewall เป็นตัวกลาง ฉะนั้นการออกแบบ Firewall ที่ถูกต้องแต่แรกจะช่วยให้ลดความเสี่ยงการเกิดปัญหาทั้งระบบการทำงาน ซึ่ง Prospace มีบริการออกแบบ Firewall ทั้งระบบผ่านบริการ Firewall as a Service ที่ออกแบบตั้งแต่วางโครงสร้าง ติดตั้งเครื่อง และดูแลตลอดอายุการใช้งาน สามารถขอรายละเอียดได้จากแบบฟอร์มด้านล่างนี้เลย

References :
Source1
Source2
Source3
Source4

พรบ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) อาจทำให้ฝ่ายบุคคลเสียค่าปรับ 5 ล้านบาท

PDPA อาจจะทำให้ HR เสียค่าปรับเป็นล้าน

ปัจจุบันนี่เราคงหลีกเลี่ยงการไม่ยอมให้ข้อมูลของเรากับคนอื่นๆไม่ได้ ทั้งการขอเก็บข้อมูลบนเว็บไซต์ การขอเก็บข้อมูลตอนเข้าสมัครงาน หรือแม้กระทั่งการซื้อของออนไลน์ ข้อมูลส่วนตัวแทบทั้งหมดของเรานั้นก็เริ่มกลายเป็นข้อมูลที่คนนั้นรู้ คนนี้เห็น จนบางครั้งเราไม่แน่ใจเลยว่าสิ่งที่เรามอบให้ไปมันจะถูกเอาไปต้มยำทำแกงอะไรบ้าง โดยเฉพาะข้อมูลสุขภาพ ข้อมูลอาชญากรรม ข้อมูลที่เป็นส่วนตัวในตอนที่เราสมัครเข้าทำงาน โดยมีผลบังคับใช้วันที่ 1 มิถุนายน พ.ศ. 2565

PDPA คืออะไร (ภาษากฏหมาย)

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Act : PDPA) ถ้ายกมาจากตัวเอกสารเขาบอกไว้ว่า “พระราชบัญญัตินี้มีบทบัญญัติบางประการเกี่ยวกับการจำกัดสิทธิและเสรีภาพของบุคคล

ซึ่งมาตรา ๒๖ ประกอบกับมาตรา ๓๒ มาตรา ๓๓ และมาตรา ๓๗ ของรัฐธรรมนูญแห่งราชอาณาจักรไทย บัญญัติให้กระทำได้โดยอาศัยอำนาจตามบทบัญญัติแห่งกฎหมาย เหตุผลและความจำเป็นในการจำกัดสิทธิและเสรีภาพของบุคคลตามพระราชบัญญัตินี้ เพื่อให้การคุ้มครองข้อมูลส่วนบุคคลมีประสิทธิภาพและเพื่อให้มีมาตรการเยียวยาเจ้าของข้อมูลส่วนบุคคลจากการถูกละเมิดสิทธิในข้อมูลส่วนบุคคลที่มีประสิทธิภาพ ซึ่งการตราพระราชบัญญัตินี้สอดคล้องกับเงื่อนไขที่บัญญัติไว้ในมาตรา ๒๖ ของรัฐธรรมนูญแห่งราชอาณาจักรไทย”

โดยที่ มาตรา ๒๖ การตรากฎหมายที่มีผลเป็นการจํากัดสิทธิหรือเสรีภาพของบุคคลต้องเป็นไป ตามเงื่อนไขที่บัญญัติไว้ในรัฐธรรมนูญ ในกรณีที่รัฐธรรมนูญมิได้บัญญัติเงื่อนไขไว้ กฎหมายดังกล่าว ต้องไม่ขัดต่อหลักนิติธรรม ไม่เพิ่มภาระหรือจํากัดสิทธิหรือเสรีภาพของบุคคลเกินสมควรแก่เหตุ และจะกระทบต่อศักดิ์ศรีความเป็นมนุษย์ของบุคคลมิได้ รวมทั้งต้องระบุเหตุผลความจําเป็นในการจํากัดสิทธิ และเสรีภาพไว้ด้วย

PDPA คืออะไร (ภาษาชาวบ้าน)

พระราชบัญญัติฉบับนี้ออกแบบมาให้ข้อมูลส่วนตัวของเราที่มี ก่อนจะเอาให้ใครไปต้องให้เขามาขออนุญาตให้เอาไปใช้ เช่น เมื่อก่อนเราถ่ายรูปคนอื่นที่ไม่รู้จัก แล้วปรากฏว่ารูปสวยดีแล้วเอาไปขายภาพต่อได้ แต่พอมีกฏหมายนี้บังคับใช้ ถ้าเราถ่ายภาพคนอื่นแล้วเอาไปขายโดยคนในรูปไม่อนุญาต ก็มีสิทธิ์โดนฟ้องร้องค่าเสียหายจากการที่นำรูปภาพเขาไปใช้นั่นเอง

PDPA คุ้มครอง 3 บุคคล

1. เจ้าของข้อมูล (ตัวเรา)

 ให้เรารู้และเข้าใจว่าถ้าอนุญาตให้เขาเอาข้อมูลไปใช้ เขาจะเอาไปส่ง SMS เข้าเบอร์เราได้ไหม ส่งไลน์มาสวัสดีวันจันทร์กับเราได้หรือเปล่า ถ้าทำไม่ได้แล้วเขาแอบส่งมาให้เรา เราก็ฟ้องร้องเรียกค่าเสียหายได้

2.ผู้ควบคุมข้อมูล ( เจ้าของเว็บ เจ้าของบริษัท เจ้าของรูปภาพ)

ต้องบอกเจ้าของข้อมูลว่าจะเอาข้อมูลอะไรไปใช้ แล้วเรามีสิทธิ์ทำอะไรกับข้อมูลลูกค้า หรือ พนักงานของเราบ้าง โดยที่มีลายลักษณ์อักษรว่าเราขออนุญาตเขาถูกต้องแล้ว เพื่อป้องกันไม่ให้เราถูกฟ้องตอนที่เราเอาข้อมูลไปใช้งาน

3.ผู้ประมวลผลข้อมูล (คนที่ทำงานตามคำสั่งเจ้าของเว็บ เจ้าของบริษัท)

คนที่ทำงานเกี่ยวกับข้อมูล เอาไปยิงแอด เอาไปส่งเมลแจ้งโปรโมชั่น หรือเอาข้อมูลไปเก็บเป็นฐานข้อมูลเพื่อดูภาพรวมว่าลูกค้ากลุ่มไหนชอบซื้อสินค้า A มากกว่า B … คนที่ทำงานเหล่านี้ถ้าวันนึงมีคนฟ้องร้องจากการทำงานต่างๆ จะไม่โดนฟ้องเข้าเนื้อตัวเอง เพราะทำงานให้ในนามบริษัท ตัวองค์กรต้องรับผิดชอบความผิดที่เกิดขึ้นจากการกระทำของพนักงานเหล่านี้นั่นเอง

ฝ่ายบุคคลจะเสี่ยงโดนฟ้องร้อง

ใน พรบ.ฉบับนี้มีการกำหนดไว้ว่าการเก็บข้อมูลนั้นต้องเก็บเท่าที่จำเป็น และต้องเก็บด้วยความปลอดภัย แล้วในฐานะบริษัทเองที่ต้องเก็บข้อมูลของพนักงานที่ละเอียดอ่อนในหลายเรื่อง เช่น ข้อมูลสุขภาพ ข้อมูลอาชญากรรม ข้อมูลทะเบียนบ้าน ทัศนคติการทำงาน ไว้กับบริษัทถึงแม้ว่าจะเก็บอย่างมิดชิดแล้วก็ตาม

  • เก็บดีแล้วแต่ไม่ถูกกฏหมาย (โทษทางปกครอง)

กฏหมายฉบับนี้บังคับให้ฝ่ายบุคคลต้องขออนุญาตเก็บข้อมูลพนักงาน ต้องจัดเตรียมพนักงานประมวลผลข้อมูล แจ้งจุดประสงค์การเก็บและนำข้อมูลไปใช้งานทุกครั้ง หลังจากมีการบังคับใช้แล้วถ้าหากมีการฟ้องร้องแล้วปรากฏว่าไม่มีการวางแผนดังกล่าวไว้ อาจจะมีโทษปรับสูงถึง 5,000,000 บาท

  • เก็บถูกกฏหมายแล้วแต่ไม่ปลอดภัย (โทษทางอาญา)

นอกจากการเก็บข้อมูลที่ถูกต้องตามกฏหมาย ปัญหาต่อมาคือระบบเก็บไม่ดี ถูกขโมยข้อมูลไปขายต่อแล้วถูกฟ้องร้อง เกิดหลายครั้งในบริษัทที่ไม่มีระบบ Firewall ที่เหมาะสมกับองค์กร ปรึกษาทีมงานของเราในการเลือกใช้ Firewall จากที่นี่ ถ้าเกิดเหตุทำให้เกิดข้อมูลหลุดรั่วออกไป ระวังโทษจำคุกไม่เกิน 1 ปี หรือ ปรับไม่เกิน 1,000,000 บาทโดยที่นิติบุคคลต้องร่วมรับผิดกับสิ่งที่เกิดขึ้นด้วย

สรุป

ถึงแม้ว่าตัวบทกฏหมายนั้นจะเป็นเรื่องที่ใหม่กับหลายองค์กรที่ยังไม่ได้เริ่มการเก็บข้อมูลตาม พรบ.ฉบับดังกล่าว แล้วยังไม่แน่ใจว่าบริษัทจะเริ่มต้นอย่างไรดี เบื้องต้นต้องเริ่มต้นจากการปรึกษาทีมกฏหมาย PDPA ที่ได้รับ Certificated จาก ISO27001 (Information Security) และ ISO27701 (Privacy Information) จะช่วยให้มั่นใจในมาตรฐานความปลอดภัย และครอบคลุมกฏหมายฉบับนี้อย่างแน่นอน ซึ่งสอดคล้องกับบริการ PDPA ของเราโดยมีครบจบในที่เดียว โดยถ้าหากต้องการปรึกษา หรือไม่รู้จะเริ่มอย่างไรดี สามารถกรอกแบบฟอร์มด้านล่างนี้ แล้วทีมงานของเราจะเข้าไปช่วยเหลือเลย

References :

Source1
Source2
Source3

Contact us

เคราะห์กรรม ของคนไอที กับสิ่งที่ผู้บริหารไม่เคยรู้

เคราะห์กรรม ของคนในแผนกไอที ที่ผู้บริหารไม่เคยรู้
.
ถ้าคุณเป็นผู้บริหารองค์กร และออฟฟิศของคุณมี IT อยู่ 1-2 คนที่ทำทุกอย่างเกี่ยวกับงาน IT หัวข้อเหล่านี้อาจเป็นสิ่งที่คุณไม่เคยรู้มาก่อน
.
.

ไอทีมีหลายแขนง ความรู้และฝึกฝนก็ต่างกัน ทำงานแทนกันไม่ได้

หมอมีเฉพาะทาง พยาบาลก็มีเฉพาะทาง งานช่างก็มีเฉพาะทาง เชฟก็แบ่งแยกความชำนาญตามอาหารเชื้อชาติแตกต่างกันไป  งานไอทีไม่ได้แตกต่างจากวิชาชีพอื่น ๆ ก็มีหลากหลายแขนง


การเหมารวมคนทำไอทีว่า เขาต้องทำงานไอทีได้หมดทุกด้าน ก็คือการไปเหมาเอาว่า หมอก็หมอเหมือน ๆ กัน ช่างทุกคนต้องซ่อม-สร้างทุกอย่างในตึกได้ เชฟทุกคนทำอาหารทุกชาติได้ ทำขนมได้ทุกแบบ เพราะมันก็คืออาหารเหมือน ๆ กัน….เป็นความคิดที่ไม่ถูก เราจึงไปเหมารวมไม่ได้ว่า คนไอทีก็ทำไอทีทั้งหมด 
.
คนทำไอทีในสาขา Infrastructure อาจทำ System เช่น Build และ Manage server farm และ Manage office client ได้บ้าง แต่ไม่ถนัด ผมเห็นหลายองค์กรส่งเจ้าหน้าที่ไอทีของตัวเอง ไปเข้าคอร์สอบรม Cybersecurity แล้วองค์กรก็หวังพึ่งไอทีคนนั้นให้กลับมาวางแผนให้องค์กรปลอดภัยจากการโจมตี ความคาดหวังแบบนี้ ไม่แตกต่างจากการส่งช่างไฟไปเรียนงานประปา ส่งเชฟญี่ปุ่นไปหัดตำปลาร้า ส่งจักษุแพทย์ไปเข้าคอร์สเรียนทันตกรรม องค์กรจะหวังพึ่งอะไรหรือผลงานคุณภาพไหน จากการอบรมแค่ไม่กี่ชั่วโมงเหรอครับ
.
ก็ไม่ใช่ว่า อาชีพนั้น ๆ จะทำงานในแขนงอื่นไม่ได้เลย ทำอ่ะ…ทำได้ แต่มันไม่ถนัดครับ ผลงานออกมาไม่ดี ถ้าอยากให้ได้ผลงานดี ก็ต้องใช้เวลาฝึกฝน มีต้นทุนในการพัฒนาตัวเองในสาขานั้น ๆ และต้องฝึกกันเป็นปี ๆ กว่าจะแตะก้าวแรกของระดับมืออาชีพที่รับประกันความสำเร็จได้ ในขณะที่งานประจำก็ยังต้องทำอยู่ทุกวันด้วย คำถามสำคัญคือ….นี่คือวิธีที่องค์กรจะได้ประโยชน์จากคนจริง ๆ หรือ
.
มีความถนัด และไม่ถนัด เพราะไม่ใช่วิชาเอกของตัวเอง ไม่ได้ทำทุกวัน มันมีทุกอาชีพ ไอทีก็คือหนึ่งในนั้น
.
ถ้าเข้าใจถูกต้อง องค์กรต้องจ้างคนสายตรงด้านนั้น ๆ มาทำงานให้องค์กร เช่น มาทำ Proposal เสนอเป็นโครงการก็ได้, จะทำกันแบบ Outsource หรือ Turnkey ก็ได้ แล้วให้มืออาชีพด้านนั้น ๆ ประสานงานกับคนไอทีของเราที่เขาถนัดอีกอย่าง เป็นเหมือนวิศวกรหลายสาขาที่ทำงานร่วมกัน แบบนี้คือทางออกที่ถูกต้อง ที่องค์กรจะได้ประโยชน์จากเงินที่จ่าย เพื่อให้ได้ผลงานระดับมืออาชีพ
.
จ่ายให้กับคนที่ถนัดถูกงาน แล้วเราจะได้งานที่ถูกต้อง 
encyption

ค่าตัวแพง ไม่ได้แปลว่า ทำได้หลายอย่าง

ผู้บริหาร-นายจ้าง และแม้แต่คนไอทีด้วยกันเอง มักจะคิดว่า “ก็น่าจะทำได้หลายอย่างไม่ใช่เหรอ จ้างไอทีตั้งแพงขนาดนั้น” หรือประโยคที่ว่า “ถ้าจะต้อง Outsource แล้วจะจ้างไอทีเอาไว้ทำห่านอะไร”


นักดนตรีที่ค่าตัวแพง แปลว่า เขาเล่นเครื่องดนตรีได้หลายประเภทเหรอครับ แถมยังต้องร้องเพลงเพราะอีกด้วย 
………ถามกลับกัน นักดนตรีค่าตัวแพง แต่เล่นเครื่องดนตรีได้ชิ้นเดียว แปลว่า ไม่คุ้มค่าจ้าง…เหรอ ?
.
หมอที่ค่าตัวแพง แปลว่า เขาทำศัลยกรรมสมอง-หัวใจ-ฟัน-กระดูก-ประสาท ใช่เหรอครับ
……..ถามกลับกัน โรงพยาบาลไหนจะคิดจ้างศัลยแพทย์คนเดียว และทำศัลยกรรมหลาย ๆ ส่วนมีมั้ย จะได้ไม่ต้องจ้างศัลยแพทย์หลายคน….ไม่น่ามีมั้ง ?

.

เชฟค่าตัวแพง แปลว่า เขาสามารถหันซ้ายนวดแป้งพาสต้า หันขวานวดแป้งโซบะได้ ตรงหน้ากำลังปั่นแป้งพิซซ่า จริงเหรอครับ
……..ถามกลับกัน เชฟระดับดาวมิชลิน แต่เป็นเชพภัตตาคารญี่ปุ่นเชื้อชาติเดียว แปลเมียเราชนะขาดลอย เพราะทำอาหารได้หลากหลายเชื้อชาติมากกว่า…..เหรอ ?
.
คนไอทีค่าตัวแพง ไม่ได้แปลว่า เขาต้องดูแลเซิร์ฟเวอร์ได้ ทำ Wifi เป็น และต้องเก่ง Router/Firewall ส่วนอันอื่น ๆ ที่ยังไม่เคยทำ ก็แค่เข้าคอร์สเรียน 3 ชั่วโมงก็กลับมาเก่งแระ และถ้าจ้างคนที่แพงกว่านี้ น่าจะต้องทำ web ของบริษัทและวางระบบ Cybersecurity ได้ด้วย มันเป็นอย่างนั้นจริง ๆ เหรอครับ
.
ค่าตัวแพง แปลว่า เขาร่ำเรียนฝึกฝนจนเก่งและเชี่ยวชาญ “ในแขนงนั้น ๆ” ค่าตัวจึงแพง ไม่แตกต่างจากวิชาชีพอื่น ๆ
.
ถ้าทุกวันนี้ องค์กรของเราพยายามหาไอทีที่ทำได้หลาย ๆ อย่าง โดยเอาค่าตัวเป็นเครื่องวัด ต้องเปลี่ยนความคิดนะครับ
IT security

System = One man show….แปลก ๆ นะครับ….ว่ามั้ย

แผนกไอทีมีเจ้าหน้าที่คนเดียว มีถมไปครับ และระบบที่ดูแลก็ทำงานได้ดีด้วย แต่…แผนกไอทีที่ทำงานคนเดียว “ดูแลทั้ง System และทุก System” อันเนี้ย…แปลก ๆ
.
ก็คือ…ทำ System คนเดียวก็ทำได้ครับ นึกภาพเหมือนวงออเคสตร้าที่มีนักดนตรีคนเดียวอ่ะครับ วิ่งหัวหมุน วิ่งไปวิ่งมา ดีดนู่น ตีนี่ เป่านั่น เคาะนี่ ฟังก็ได้เป็นเพลงอยู่ แต่ผุ ๆ พัง ๆ ไปตามประสา ตีโน้ตไม่ทันเวลาก็ออกจะบ่อย บางทีก็ตีเพี้ยน ๆ ฟังไม่เหมือนว่าจะเป็นเพลง แผนกไอทีที่ออฟฟิศ บรรเลงแบบนี้กันใช่หรือเปล่าครับ ทำไม Wifi มีปัญหาบ่อยจัง ทำไมเซิร์ฟเวอร์ล่มบ่อยจัง ทำไมข้อมูลหายถึงกู้ไม่ได้ ทำไมออฟฟิศอื่นไม่เห็นมีปัญหาเยอะเหมือนออฟฟิศเรา  ทำไม ทำไม ทำไม…
.
แผนกไอทีที่มีแค่คนเดียว ก็มีความถนัดที่จะดูแลได้เพียงส่วนหนึ่งของ System ของทั้งออฟฟิศ ซึ่งเขาพึงจะทำงานร่วมกับ Outsource และผู้เชี่ยวชาญแขนงอื่น ๆ รวมกันเป็นทีมที่ช่วยกันดูแลระบบของออฟฟิศ แบบนี้คือโครงสร้างการดูแลระบบที่ถูกต้อง คนเก่ง Infrastructure ก็มารับ Outsource ด้าน Infrastructure ออกไป Cybersecurity ก็หาคนเก่งด้านนั้นมารับงาน แยกชิ้นส่วนกันไป ทำงานร่วมกันเป็นทีม โดยมีแผนกไอทีขององค์กรเป็นศูนย์รวมในการจัดการและประสานงาน ประสานกับผู้ใช้ ประสานกับผู้บริหาร
.
คนไข้หนึ่งคน ยังต้องมีพยาบาล มีแพทย์เจ้าของไข้ มีนักรังษีเทคนิค มีฝ่ายเทคนิคการแพทย์ เคสใหญ่ ๆ ยังถึงกับต้องตั้งคณะแพทย์มาทำงานร่วมกันจากหลายสาขา เพราะร่างกายก็ประกอบด้วยหลาย System เหมือนกัน จึงต้องใช้คนจากหลายแขนงมาดูแลแต่ละ System และทำงานร่วมกัน
.
ถ้าอยากให้ระบบ IT มีความเสถียรยั่งยืน ก็อย่าปล่อยให้ไอทีทำงานทั้ง System โดยลำพังครับ 

ส่งไอทีไปอบรม หรือแค่โหลดคู่มือมาอ่าน ก็ทำได้แล้ว..

องค์กรซื้อ Firewall ใหม่ ก็ส่งไอทีไปอบรมกับคนขายซักวันนึง กลับมาจะได้จัดการ Firewall นั้นได้ 


อ้าว…ก็อบรม Wifi กับคนขายมาแล้วไม่ใช่เหรอ ทำไม Wifi ที่ออฟฟิศยังติด ๆ หลุด ๆ อยู่อ่ะ ไอทีแก้ไม่ได้เหรอ
.
โหล…สวัสดีครับ…ผมไอทีนะครับ…ระบบ Video conference ที่คุณคนขาย เพิ่งมาติดตั้งให้เมื่อวานอ่ะครับ ช่วยส่งคู่มือมาด้วยนะครับ ผมจะได้ศึกษาและทำเป็นในเวลาอันรวดเร็ว อ้อ…แล้วขอสไลด์อบรมเมื่อวานด้วยนะครับ มีปัญหาผมจะได้แก้ได้เลย
.
ความเชื่อ + ความคาดหวังแบบนี้ มีให้เห็นอยู่ตลอดครับ และผลลัพธ์ที่ได้ก็คือความล้มเหลวมากกว่าความสำเร็จ
.
ตกใจมั้ยครับ ส่งไอทีไปอบรมกับคนขายทุกครั้งที่ซื้ออุปกรณ์ใหม่ เพิ่งมารู้ความจริงวันนี้ว่า มันคือการ “อบลืม” คืนเดียวก็ลืมหมดแล้วครับ ถามแผนกไอทีในองค์กรของคุณดูดิ จริงหรือเปล่า
.
ไม่แตกต่างไปจากงานอื่น ๆ ครับ งานใหม่ที่เราไม่เคยทำ อุปกรณ์ที่เราไม่เคยเจอ ให้อบรมยังไง วันเดียวก็ลืมครับ โหลดคู่มือมา แปะไว้บน Desktop ตั้งหลายวันแล้ว ก็ไม่มีเวลาอ่าน หนาเป็นร้อย ๆ หน้า ใครจะไปอ่านหมด อ่านแล้วไม่ได้ฝึก ก็สู้คนที่เขาทำทุกวันไม่ได้ 
.
ไอ้ที่ทุกวันนี้ คนไอทีทำนู่นนี่กันได้ หลายอย่างเราใช้ Prakong mode ครับ คือทำยังไงก็ได้ อย่าให้มันล่ม คนขายเขาเซ็ตมาแล้ว มันทำงานได้ ไอทีจะพยายามไม่ไปแตะตรงนั้นครับ เดี๋ยวมันจะพัง !!!

ว่าง่าย ๆ ซื้ออุปกรณ์อะไรมา จะแพงแค่ไหน ก็ได้ใช้เท่าที่คนขายเขาเซ็ตเอาไว้ให้เท่านั้นแหละ

เคราะห์กรรม ของคนไอที

เคราะห์กรรม ของคนไอทีคือ การถูกยัดเยียดหน้าที่ ก็อบลืมกันมาแล้ว ได้ใบ “Certificate of Participant” มาใส่กรอบแปะข้างฝากันด้วย งั้นหน้าที่ของอุปกรณ์นี้หรือระบบนั้น ก็มอบให้รับผิดชอบไปเลยละกัน อบลืมกันมาตั้ง 1 วันเต็มแล้วนี่นา


คำพระเขาว่า Great certificate comes with Great responsibility ไปอบรมอะไรมา ก็เอาสิ่งนั้นไปทำ…สาธุ
.
โปรดเถิดครับ องค์กรที่ยังคงขยันส่งไอทีไปอบรมเรื่องใหม่ ๆ แล้วหวังว่ากลับมาเขาจะทำภาระกิจนั้น ๆ ให้องค์กรได้สำเร็จลุล่วงด้วยดี ตื่นจากฝันเถิดครับ ให้ตั้งเป้าว่า การอบรมนั้นเพื่อแค่ทำให้รู้จักเท่านั้น แต่การจะทำงานได้ จะต้องอาศัยการอ่านและฝึกฝนอีกมาก องค์กรรอไม่ได้หรอกครับ วิธีที่ถูกก็คือ ให้ไอทีทำงานร่วมกับผู้เชี่ยวชาญแขนงนั้น ๆ หันหน้าหา Outsource ใช้คนให้ถูกงาน แล้วเราจะได้ผลผลิตอันเป็นที่น่าพอใจครับ

อ๊ะ อ๊ะ…ถ้าอ่านมาถึงบรรทัดสุดท้ายแล้ว 

ยังคิดว่าจ้างไอทีมาแล้ว ทำไมยังต้องจ้าง Outsource อีก 

ก็ถือว่าผมคุยไม่รู้เรื่องละกัน….ฮิ้ว

เขียนและบันทึกเรื่องราวโดยพี่วุฒิ

แลกเปลี่ยนความรู้ IT ที่นี่
บริการ IT เฉพาะทาง

ปรึกษาปัญหา IT Outsource

ทีมงานจะติดต่อกลับไป