กฎหมายคุ้มครอง

ข้อมูลส่วนบุคคล
กับบริบท การคุ้มครองข้อมูลส่วนบุคคลในกฎหมายฉบับอื่น ๆ
สุรางคณา วายุภาพ
ผู้อานวยการสานักงานพั ฒนาธุรกรรมทางอิเล็กทรอนิกส์
กระทรวงดิจิทัลเพื่ อเศรษฐกิจและสังคม

www.ETDA.OR.TH
Facebook: ETDA Thailand
Facebook: Surangkana Wayuparb
1
กฎหมายคุ้มครอง ต้องให้ความสาคัญเพราะ เมื่อโอนข้อมูล
ส่วนบุคคลไปต่างประเทศ ประเทศปลายทางที่
ข้อมูลส่วนบุคคลระดับสากล รับข้อมูล ต้องมีมาตรฐานการคุ้มครอง
ข้อมูลส่วนบุคคลที่เพี ยงพอ

2548 2556 2559 2562

▪ APEC Privacy ▪ OECD : Guidelines ▪ ASEAN ▪ พระราชบัญญัติ

Framework on the Protection Framework on คุ้มครองข้อมูล
of Privacy and Personal Data ส่วนบุคคล พ.ศ. 2562
Transborder Flows Protection
of Personal Data ▪ กฎหมายอื่นๆ ที่มี
▪ EU : General หลักเกณฑ์รองรับ
▪ Information Data Protection Data Protection
Security Regulation
Management (GDPR) ▪ ISO/IEC 27701:2019
27001/2013
▪ Preliminary Draft-
NIST Privacy
Framework

2
PAYMENT
DATA
Law Landscape
PRIVACY&
PROTECTION GOVERNMENT
พ.ร.บ. ข้อมูลข่าวสารราขการ
กาหนดมาตรการดูแลข้อมูลส่วนบุคคลที่รัฐดูแล
พ.ร.บ. การประกอบธุรกิจข้อมูลเครดิต
ปกป้องข้อมูลเครดิตที่ครอบคลุม
พ.ร.บ. การบริหารงานและ
รัฐธรรมนูญ 2560
ข้อมูลส่วนบุคคล
(เป็นข้อยกเว้นของ PDPA) การให้บริการภาครัฐผ่านระบบดิจิทัล
กาหนดธรรมาภิบาลข้อมูลภาครัฐ
่ ง หลักเกณฑ์ทัว
ประกาศ ธปท. เรือ ่ ไป
ในการกากับดูแลการประกอบธุรกิจ
ความเป็นส่วนตัวข้อมูลส่วนบุคคล ที่ครอบคลุมการดูแลข้อมูลส่วนบุคคล

ระบบการชาระเงินภายใต้การกากับ
กาหนดมาตรการดูแลการเก็บข้อมูลส่วนบุคคล พ.ร.บ. ธุรกรรมทางอิเล็กทรอนิกส์
ดูแลธุรกรรมออนไลน์ภาครัฐ เน้นสร้างความปลอดภัย
INSURANCE ลดความเสี่ยงต่อข้อมูลส่วนบุคคล & ระบบ

ประกาศ คปภ. เรื่อง หลักเกณฑ์ วิธีการ

พ.ร.บ.คุ้มครอง ่ ง แนวนโยบายและ
ประกาศ คธอ. เรือ
ออก และการเสนอขายกรมธรรม์ ข้อมูลส่วนบุคคล แนวปฎิบัติในการคุ้มครองข้อมูลส่วนบุคคล
ของหน่วยงานรัฐ
กาหนดมาตรการดูแลข้อมูลส่วนบุคคล
2562 แนวปฏิบัติดูแลข้อมูลส่วนบุคคลในการทา
ธุรกรรมออนไลน์ภาครัฐ
TELECOM
พ.ร.บ. กสทช.
กาหนดมาตรการคุ้มครองข้อมูลส่วนบุคคล HEALTHCARE
ของผู้ใช้บริการโทรคมนาคม พ.ร.บ. สุขภาพแห่งชาติ
ปกป้องข้อมูลสุขภาพ ซึ่งเป็นข้อมูลส่วนบุคคล
่ ง มาตรการคุ้มครองสิทธิของผู้ใช้บริการ
ประกาศ กทช. เรือ
โทรคมนาคม เกี่ยวกับข้อมูลส่วนบุคคล สิทธิในความเป็นส่วนตัว ระเบียบกระทรวงสาธารณสุข ว่าด้วยการคุ้มครอง
และเสรีภาพในการสื่อสารถึงกันโดยทางโทรคมนาคม และจัดการข้อมูลด้านสุขภาพของบุคคล
กาหนดมาตรการดูแลข้อมูลส่วนบุคคล สิทธิเจ้าของข้อมูล
กาหนดเงื่อนไขการเปิดเผยข้อมูลสุขภาพ
และหน้าที่ผู้ให้บริการ
พร้อมมาตการดูแล
3
DATA
Mapping
PRIVACY&
PROTECTION มี แต่อาจมีรายละเอียดที่แตกต่าง
ไม่มี

พ.ร.บ. คุ้มครอง Right of Data Breach

ข้อมูลส่วนบุคคล Personnel Data Data Subject Notification

Consent Data Security Sanction

พ.ร.บ. การประกอบ
ธุรกิจข้อมูลเครดิต

พ.ร.บ. กสทช. & ประกาศ

สามารถระบุ/
เชื่อมโยง
เจ้าของข้อมูลได้
พ.ร.บ. สุขภาพแห่งชาติ & ประกาศ
ทั้งทางตรง
ทางอ้อม
พ.ร.บ. ข้อมูลข่าวสารราขการ

พ.ร.บ. การบริหารงานและ โยงมายัง PDPA โยงมายัง PDPA โยงมายัง PDPA โยงมายัง PDPA โยงมายัง PDPA
การให้บริการภาครัฐผ่านระบบดิจท
ิ ัล

พ.ร.บ. ธุรกรรมทางอิเล็กทรอนิกส์ ไม่กาหนดนิยาม

เพื่ อรองรับ
กฎหมายที่ไปเสริม 4
 แนวนโยบาย/แนวปฏิบัติ
ในการคุ้มครองข้อมูลส่วนบุคคลภาครัฐ

21 12 ใน 120 ข้อจากัดทางปฏิบต
ั ิ
หน่วยงาน
ปัจจุบันมี
1. ต้องผ่าน Security Policy ก่อน

CI ที่ คธอ.ประกาศ (10%) 2.

จึงจะทา DP Policy ได้
ทางปฏิบัติยังมีความเข้าใจว่าตนเองไม่มี

Pass!
ข้อมูลดังกล่าว
ทาแนวนโยบาย/แนวปฏิบัติ DP 3. แม้มี ตัวอย่าง Template &

หน่วยงานของรัฐ (ม.35) และ มี 75 ใน 120 หน่วยงาน

CI (62.5%) ผ่าน Security Policy
เกณฑ์การตรวจ แต่รูปแบบการทางาน/
ข้อมูลของแต่ละหน่วยงาน
ทาให้เกิดความเข้าใจไม่ตรงกัน

เนื่องจากจะมีการดูแล
ความสอดคล้อง ม. 35 กับ หลักกฎหมายกลาง PDPA 2019 Digital ID & e-Signature
ความจาเป็นที่ต้องมีการปรับแก้เพื่ อให้สอดคล้องกฎหมาย ที่เชื่อมโยงตัวบุคคล
การดูแลข้อมูลส่วนบุคคลจึงสาคัญ

ต้อง - Encourage ให้หน่วยงานรัฐทา DP Policy มากขึ้น

- ต้องช่วยให้ 120 หน่วยงาน CI มี SP Policy และ DP Policy ครบ
- ปรับปรุงแนวปฏิบัติ DP ให้สอดคล้องกับ กฎหมาย DP & กฎหมายอื่นๆ ที่เกี่ยวข้อง

ผลักดัน - มี Format &Template ชัดเจน&ง่ายต่อการจัดทามากขึ้น

- อาจปรับแนวทางให้ประกาศได้เลย โดยไม่ต้องตรวจก่อน แต่เน้นการตรวจ Comply ตาม ม. 35

5
 ข้อมูลส่วนบุคคล คืออะไร ?
“ข้อมูลส่วนบุคคล” หมายความว่า
ข้อมูลเกี่ยวกับบุคคลซึ่งทาให้สามารถ
ระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม
แต่ไม่รวมถึงข้อมูลของ
ผู้ถึงแก่กรรมโดยเฉพาะ
Examples of personal data
• a name and surname;
: พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 • a home address;
• an email address such
as name.surname@company.com;
“personal data” means any information • an identification card number;
• location data (for example the location data function
relating to an identified or identifiable natural person on a mobile phone)*;
(‘data subject’); an identifiable natural person is one who • an Internet Protocol (IP) address;
can be identified, directly or indirectly, in particular by • a cookie ID*;
reference to an identifier such as a name, an identification • the advertising identifier of your phone;
number, location data, an online identifier or to one or more • data held by a hospital or doctor, which could be a
factors specific to the physical, physiological, genetic, symbol that uniquely identifies a person.
mental, economic, cultural or social identity of that natural
person; : European Commission,
https://ec.europa.eu/info/law/law-topic/data-
: General Data Protection Regulation (GDPR), EU protection/reform/what-personal-data_en

6
ใคร เจ้าของ
ข้อมูลส่วนบุคคล
(Data Subject)
ผู้ควบคุม
ข้อมูลส่วนบุคคล
(Controller)
ผู้ประมวลผล
ข้อมูลส่วนบุคคล
ที่มีสิทธิ (Processor)
มีมาตรการดูแล Security
& หน้าที่ ▪ ให้ความยินยอม
▪
ที่เหมาะสม และทบทวนสม่าเสมอ ▪ เก็บ ใช้ เปิดเผยตามคาสั่ง
เท่าที่เหมาะสม
ทาอะไร ▪ รับทราบและใช้สิทธิที่มี
▪ ลบ ทาลายข้อมูล เมื่อ ▪ จัดให้มีมาตรการดูแล Security
ที่เหมาะสม
พ้นระยะเวลาเก็บรักษา
เก็บรวบรวม, ▪ แจ้งเหตุละเมิด ภายใน 72 ชัว
่ โมง ▪ แจ้งเหตุละเมิดให้ Controller ทราบ
ใช้, เปิดเผย นับแต่ทราบเหตุ ▪ จัดทา + เก็บรักษาบันทึกรายงาน
▪ ถ้าเป็น บจก. ตปท.
ต้องแต่งตั้งตัวแทน และตั้ง DPO
▪ จัดทา + เก็บรักษาบันทึกรายงาน

คณะกรรมการ คณะกรรมการคุ้มครอง
ข้อมูลส่วนบุคคล
คณะกรรมการผู้เชี่ยวชาญ
ที่ดูแล Law Compliance ▪ จัดทาแผนแม่บท และแผนระดับชาติ ▪ พิจารณาเรื่องร้องเรียน
ตาม PDPA ▪ กาหนดมาตรการและแนวทาง ▪ ตรวจสอบการดาเนินการของ
การดาเนินงานเกี่ยวกับ DP ผู้ที่เกี่ยวข้อง
▪ ออกประกาศหลักเกณฑ์/มาตรการ ▪ ไกล่เกลี่ยข้อพิพาท
▪ วินิจฉัยชี้ขาด
▪ ส่งเสริมและสนับสนุนด้าน DP

Law Compliance ตามกฎหมายอื่น

ที่มีลักษณะเฉพาะ ลงลึก และ based on minimum requirement ของ PDPA พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล
7
สรุปภาพรวม PDPA - Controller มีหน้าที่
- ใช้บังคับทั้งใน และนอก o จัดให้มี Security
ราชอาณาจักร กรณี : o มีระบบรองรับการลบ
- เก็บ ใช้ เปิดเผย ทาลายแจ้งเหตุละเมิดแก่
o เสนอขายสินค้า หรือ
ต้องขอความ สนง. ภายใน 72 ชั่วโมง
บริการ
ยินยอม + แจ้ง o ถ้าเป็น บจก. .ตปท.
o เฝ้าติดตามพฤติกรรม - ร้องเรียนไปที่ คกก.
วัตถุประสงค์ก่อน ต้องแต่งตั้งตัวแทน
ผู้เชี่ยวชาญ /
- ใช้เป็นกฎหมายกลาง o บันทึกรายการเป็นหนังสือ
สนง. ตามแบบที่
- ความยินยอม หรือ e-doc - ให้คาแนะนา
- ไม่ใช้บังคับ : ประกาศกาหนด
ต้องชัดแจ้ง เข้าใจ - Processor มีหน้าที่ - ตรวจสอบการ
o เพื่ อประโยชน์ส่วนตัว ง่าย เป็นหนังสือ o เก็บ ใช้ เปิดเผย ดาเนินการที่ - คกก. พิ จารณาโดย
โดยแท้ - คกก. หรือผ่านระบบ ตามคาสั่งที่ได้รับ เกี่ยวกับการเก็บ ไกล่เกลี่ย / มี
o การดาเนินการของรัฐ อิเล็กทรอนิกส์ o จัดให้มี Security ใช้เปิดเผย คาสั่งให้แก้ไข
o เพื่ อการสื่อสารมวลชนฯ ถ้าไม่ดาเนินการ
o แจ้งเหตุละเมิดให้ - ประสานงานกับ
o สส. / สว. - ขอถอนคายินยอมได้ สามารถ ยึด อายัด
- สานักงาน Controller ทราบ สนง. เมื่อมีปัญหา
o การพิ จารณาคดี ขายทอดตลาดซึ่ง
o จัดทาบันทึกเป็น - รักษาความลับ
o ตาม Cybersecurity ทรัพย์สินได้
หนังสือ หรือ e-doc
act
พ.ร.บ.คุ้มครอง ขอ
ขอบเขต สนง. บังคับ ครบ 1 ปี ยินยอม
คุ้มครอง หน้าที่ การตั้ง หน้าที่ สิทธิของ
เจ้าของ การ
ข้อมูลส่วนบุคคล การบังคับใช้ คกก. ใช้ทันที ข้อมูล ผู้เกี่ยวข้อง
DPO DPO ข้อมูล ร้องเรียน บทลงโทษ
2562
- เก็บรวมรวมเท่าที่จาเป็น - ให้ตั้ง DPO ถ้าเป็นกรณี :
- ความยินยอม เข้าถึง - แพ่ ง
- ตั้งสานักงาน - เก็บจากเจ้าของโดยตรง o Controller และ (ชดใช้เงิน)
ชั่วคราว - ไม่เป็น Sensitive Processor ขอรับ
- การคุ้มครองข้อมูล Data เป็นหน่วยงานของรัฐ สาเนา - ปกครอง
o มีข้อมูลที่เก็บ ใช้ เปิดเผย
- ตั้งสานักงาน เป็นจานวนมาก จาเป็นต้อง (ปรับ)
(ภายใน 1 ปี) - หน้าที่ผู้เกี่ยวข้อง แก้ไข
- ใช้ และเปิดเผยได้ตาม ตรวจสอบข้อมูลและระบบ
วัตถุประสงค์ที่ขอไว้ อย่างสม่าเสมอ - อาญา
- การตั้ง DPO ลบ
o กิจกรรมหลักเป็นการเก็บ (จาคุก /
- คกก.
- โอนข้อมูลไป ตปท. ใช้ เปิดเผยข้อมูล ปรับ)
(ภายใน 90 วัน) ควบคุม /
- หน้าที่ DPO ต้องมีมาตรฐาน Sensitive Data
จากัดการ
- มีเลขาธิการ คุ้มครองที่เพี ยงพอ ประมวลผล
(90 วันนับแต่ตั้ง - สิทธิของเจ้าของข้อมูลฯ - โอนข้อมูลไป ตปท. - ถ้า Controller และ
สนง.) ภายในเครือ Privacy Processor เป็นเครือกิจการ คัดค้าน /
Policy ต้องได้รับ เดียวกัน ตั้ง DPO ร่วมกันได้ ปฏิเสธ
- การร้องเรียน
หมายเหตุ : ประกาศ ระเบียบที่คกก. ตรวจสอบ + รับรอง
ควรออกภายใน 1 ปีนับแต่ พ.ร.บ.ใช้ - การลงโทษ จาก สนง.
บังคับ ไม่ทันให้รายงาน ครม. ทราบ 8
 • Data Controller
เมื่อ : ทาข้อมูลให้ถูกต้อง เป็นปัจจุบัน
• Controller, • Data Processor
Processor เป็น ต้องปฏิบต
ั ต
ิ ามคาขอเจ้าของข้อมูล
หน่วยงานของรัฐ
ใช้ เปิดเผยตาม
• มีการเก็บ ใช้ ปฏิเสธคาขอได้ ถ้ามีกฎหมาย คาสั่งศาล
วัตถุประสงค์
เปิดเผยข้อมูล กาหนดไว้ หรือกระทบต่อสิทธิ เสรีภาพ
จานวนมาก ของผู้อน
ื่ และต้องบันทึกเหตุผลด้วย
ขอความยินยอมที่ชัดเจน ทาสัญญากับ Third
• มีกิจกรรมหลักเป็น
เข้าใจง่าย มีหลักฐานเป็น Party กาหนดหน้าที่ดูแล
การเก็บ ใช้ เปิดเผย ลบ ทาลายข้อมูลเมื่อพ้ นระยะเวลาเก็บ
doc หรือ e-document หากมีการประมวลผล
Sensitive Data
ข้อมูล
หากได้รับคาขอให้ลบ ทาลาย หรือ
แจ้งวัตถุประสงค์ เช่น จัดให้มีมาตรการ
DPO มีหน้าที่ Anonymous ต้องรับผิดชอบทั้ง จัดให้มีมาตรการ
• การใช้ โอนข้อมูลไปต่างประเทศได้ Incident response
• ให้คาแนะนา ทางเทคโนโลยีและค่าใช้จ่ายตามคาขอนั้ จัดทาช่องทาง Security
• การเปิดเผย เมื่อหน่วยงาน / องค์กร การถอนที่งา่ ย
• ตรวจสอบการ แจ้งเหตุแก่ สนง. ภายใน
• ระยะเวลาการจัดเก็บ มาตรฐานที่เพี ยงพอ เหมือนตอน
จัดทา DP policy ดาเนินการที่เกี่ยวกับ กรณีให้ข้อมูลแก่คนอื่น ต้องป้องกัน ทบทวนมาตรการ
• แจ้งสิทธิต่าง ๆ 72 ชั่วโมงนับแต่ทราบเหตุ
กาหนดเป้าหมาย การเก็บ ใช้ เปิดเผย ไม่ให้ผู้อื่นใช้ /เปิดเผย ข้อมูลโดยไม่ชอบ ขอความยินยอม Security
แก่่เจ้าของข้อมูล โอนข้อมูลไปต่างประเทศ
การเก็บรวมรวบ • ประสานงานกับ แจ้งแหตุแก่เจ้าของข้อมูล เมื่อจาเป็นหรือ
ในเครือเดียวกันได้ หาก แจ้งผลกระทบ
การใช้ การเปิดเผย สนง.เมื่อมีปญ
ั หา จัดทาบันทึกเกี่ยวกับข้อมูล เพื่ อให้ เทคโนโลยี
การเก็บรวมรวมต้องทา DP Policy ได้รับการ + แนวทางเยียวยาโดย
สร้างความโปร่งใส • รักษาความลับ ตรวจสอบได้. การขอยกเลิก เปลี่ยนแปลงไป
เท่าที่จาเป็นเหมาะสม รับรองจาก สนง.. ไม่ชักช้า

สารวจ แต่งตั้ง การใช้ ถอนความ

การเก็บรวบรวม สิทธิและหน้าที่ Data Breach Security
ตนเอง DPO การเปิดเผยข้อมูล ยินยอม
ศึกษาข้อมมูล มี Contract รู้วัตถุประสงค์ ข้อมูล ตรวจสอบข้อมูลว่า ได้รับสิทธิต่าง ๆ เพื่ อดูแลข้อมูลตัวเอง ได้รู้ถึงสาเหตุ + มั่นใจในความ
รับทราบ
DP policy point ที่เป็น ส่วนบุคคลที่จัดเก็บ และ • ได้ใช้ / เปิดเผย ตาม • เข้าถึง แนวทางการการเยียวยา มั่นคงปลอดภัย
ผลกระทบของ
ให้มั่นใจใน DPO กรณีมี สิทธิของตนเอง วัตถุประสงค์หรือไม่ • รับสาเนา
การยกเลิก
กระบวนการ ปัญหาเกิดขึ้น • ใช้ / เปิดเผย • ให้เปิดเผยแหล่งที่มากรณี
คุ้มครองข้อมูล ให้ความยินยอมตาม นอกเหนือจาก ที่ไม่ได้ให้ความยินยอม
ส่วนบุคคล ความจาเป็น เหมาะสม วัตถุประสงค์หรือไม่ • ส่ง / โอน / ย้ายข้อมูล
• คัดค้าน
ถ้าเป็นเด็ก ให้ผู้มีอานาจ • ลบ / ขอทาลาย /
ปกครองให้ความยินยอม ขอ Anonymous
• ขอให้ระงับการประมวลผล
ถ้าเป็นคนไร้ฯ คนเสมือน
ไร้ฯ ให้ผู้อนุบาล /
• ทาข้อมูลให้ถูกต้อง เป็นปัจจุบัน
• Data subject
ผู้พิทักษ้ความยินยอม สามารถร้องเรียนต่อ คกก.ผู้เชี่ยวชาญ
หากผู้ควบคุมไม่ดาเนินการตามที่ร้องขอ
9
 4 ขั ้ น ตอน PDPA
เพื่ อเตรียมพร้อม Comply ตาม Personal Data Protection Act

มีกระบวนการประเมินความเสี่ยง
:

เพื่ อให้แน่ใจว่าการออกแบบและ
กระบวนการถูกต้องเหมาะสม
1. 2.
การประเมิน
มีข้อมูลอะไร ข้อมูลอยู่ที่ไหน
ใครเข้าถึงได้บ้าง สิทธิและหน้าที่
ความรับผิดที่เกิดขึ้น
โดยคานึงถึง governance
ความเสี่ยง ธรรมาภิบาลข้อมูล
(Risk Assessment) (Data Governance)

บริหาร Law Compliance

ให้มีประสิทธิภาพ
3. 4.
การบริหารเพื่ อให้ มาตรการรับมือ
รับมือ และ response
ต่อภัยคุกคามที่ส่งผลกระทบ
ให้ข้อมูลรั่วไหล และการบริหารจัดการ
มีการปฏิบัติตาม เมื่อข้อมูลรั่วไหล เมื่อมีข้อมูลรั่วไหล
กฎเกณฑ์ (Breach Response)
(Compliance
Management)

Source: RSAConference 2018 10

สิ่งที่ควรเตรียมพร้อม Key to
Success
ก่อน PDPA ใช้บง
ั คับ Privacy by

10
Design &

9
พั ฒนาทักษะ Security by
และกระบวน Audit Design

8 สร้างความตระหนัก

7
พั ฒนากระบวนการแจ้งเตือน และ training
(Breach Notification) ให้กับบุคลากร พนักงาน
เจ้าหน้าที่ และลูกค้า
จัดเตรียมข้อกาหนด
หรือแนวปฏิบัติ
5 6 จัดทาเอกสาร
มาตรการ Security
การคุ้มครองข้อมูล
ส่วนบุคคล

4 ทบทวน Data Protection Policy

เช่น บริหารจัดการ การเข้าถึงข้อมูล life-cycle

3
กาหนดประเภทของ
ของข้อมูล
ข้อมูล และวัตถุประสงค์
ความจาเป็น

2 แต่งตั้ง Working Group

1
ตั้งงบประมาณ หรือ DPO ในองค์กร
และได้การสนับสนุน
จากผู้บริหาร Source: RSAConference 2018 11
 Best Practice ที่ควรใช้ประกอบการจัดทา
ข้อปฏิบัติในการดูแลข้อมูลส่วนบุคคล

Critical Data
Protection Baseline
Program Define Discover Secure Monitor
• ระบุและกาหนดข้อมูลส่วนบุคคล ข้อมูล จะวางแผน ออกแบบ จะจัดการการปกป้อง
ข้อมูลอะไร มีข้อกาหนดอะไร
กาหนดมาตรการรักษา
ความมั่นคงปลอดภัย
ส่วนบุคคลอะไร มีการใช้งาน ในการปกป้อง และดาเนินการ ข้อมูลสาคัญอย่างไร
• วิเคราะห์และจาแนกมิติที่สาคัญ • ทาความเข้าใจ อย่างไร ข้อมูลสาคัญ อย่างไร
ที่สุดของสภาพแวดล้อมข้อมูล กลยุทธ์โดยรวม • ทาความเข้าใจ • ทา baseline • พั ฒนากรอบ
• วางแผนและกาหนดลาดับ
• ทา GAP Analysis ของ การรักษาความ สภาพแวดล้อม ความต้องการด้าน ความสาคัญของ ธรรมาภิบาล Risk
กระบวนการและมาตรการ มั่นคงปลอดภัย ข้อมูล โครงสร้าง ความมั่นคงปลอดภัยของ กระบวนการ metrics และ
ควบคุมความมั่นคงปลอดภัย ข้อมูล และ lifecycle ข้อมูลส่วนบุคคล Transformation กระบวนการเฝ้าระวัง
ข้อมูลสาคัญ • กาหนดเป้าหมาย • ดาเนินการตรวจ • ประเมินกระบวนการและ ทางเทคนิคและ • ตรวจสอบกลยุทธ์และ
• ทาแผนการลดความเสี่ยง การปกป้อง ค้น วิเคราะห์ และ มาตรการควบคุม กระบวนการทางธุรกิจ วิธีการในการปกป้อง
เพื่ อจัดลาดับความสาคัญและ • พั ฒนาโครงสร้าง จาแนก ความมั่นคงปลอดภัยข้อมูล• ออกแบบและดาเนินการ ข้อมูลอย่างสม่าเสมอ
ทดสอบแนวทางแก้ไข โมเดลข้อมูล/ อย่างต่อเนื่อง • ตรวจสอบ GAP และ เพื่ อปกป้องข้อมูลสาคัญ
• ตรวจสอบกรอบการรักษา อนุกรมวิธาน ทาให้เข้าถึง และ
กาหนดแนวทางแก้ไข
ความมั่นคงปลอดภัย สอดคล้องกับเป้าหมาย
เติบโตทางธุรกิจ 12
 DATA
Implementation
PRIVACY&
PROTECTION
แนวปฏิบัติสากล ที่อาจนามาปรับใช้ในระหว่างรอหลักเกณฑ์

ISO/IEC 27701:2019 The COBIT

Extension to ISO/IEC Framework :
27001 and ISO/IEC Data Relevant Business
27002 for privacy information Objectives and Governance
Management – Requirements and Objectives
guidelines
Preliminary Draft
ISACA NIST Privacy
Privacy Principles Framework

13
ISO/IEC 27701:2019 แนวปฏิบัติสาหรับ information security standards
และ information security management

กาหนดความต้องการ ISO/IEC 27001:2013

สาหรับ Information Information security

+
Security Management Management
System - Requirements
System (ISMS)

• เป็นส่วนเสริมของ ISO/IEC 27001 ISO/IEC 27002:2013 แนะนาหัวข้อสาคัญที่ควรรู้

+
และ ISO/IEC 27002
Code of practice for information security • 5 PIMS-specific requirements related
• กาหนดแนวปฏิบัติของระบบการ control to ISO/IEC 27001
บริหารจัดการข้อมูลความเป็นส่วนตัว (PIMS)
• 6 PIMS-specific guidance related to
ซึ่งเกี่ยวข้องกับการประมวลผล ISO/IEC 27002
ข้อมูลที่สามารถระบุตวั บุคคลได้ (PII)
• Mapping กับ ISO/IEC 29001, 27018,
ISO/IEC 27701:2019 • 7 Additional ISO/IEC 27002 guidance
for PII controllers
29151 รวมไปถึง GDPR Extension to ISO/IEC
27001 and ISO/IEC • 8 Additional ISO/IEC 27002 guidance
for PII processor
27002 for privacy information
Management – Requirements and
guidelines

14
 The COBIT Framework : Data Relevant
Business Objectives and Governance Objectives
• C/I/A
• Compliance
Information • Reliability

• Assess and manage risks

IT
• Ensure regulatory • Data classification
Monitor and Plan and
compliance • Define use of data/Data owner
Evaluate Organization
• IT governance • Data Retention
• Manage data quality
RESOURCES

• Data privacy and security

consideration
• Test data misused and
• Ensure system security
Deliver and Acquire and compromising corporate security
• Protection of IT systems and Support Implement • Data integrity
confidential data from
unauthorized users
• Exchange of sensitive data

15
 NIST Privacy Framework
A Tool for Improving Privacy through Enterprise Risk Management

The Core Profiles Tiers

A set of privacy Assess current state Provide a point of reference on
protection activities and set the stage of how an organization views
and outcomes. “desired privacy risk and whether it has
sufficient processes and
resources in place to manage
that risk
Source: Preliminary Draft NIST Privacy Framework: A Tool for Improving Privacy through
Enterprise Risk Management (Privacy Framework)
16
 Preliminary Draft
NIST Privacy Framework

deriving
benefits from data
Balance
managing
risks to individual’s
privacy

Source: Preliminary Draft NIST Privacy Framework: A Tool for Improving Privacy through
Enterprise Risk Management (Privacy Framework)

17
Cybersecurity and Privacy Risk
Management Relationship
Cybersecurity Risk = Likelihood x Impact NIST Cybersecurity Framework

Privacy Risk = Problematic Data Action x Likelihood x Impact

NIST Privacy Framework

Privacy risks can arise outside the scope of cybersecurity risks.

18
 18 ACTIVITIES

Identify-p (id-p): develop the organizational

understanding to manage privacy risk for individuals
arising from data processing.

Govern-p (gv-p): develop and implement the

organizational governance structure to enable an
ongoing understanding of the organization’s risk
management priorities that are informed by privacy risk.

Control-p (ct-p): develop and implement appropriate

activities to enable organizations or individuals to
manage data with sufficient granularity to manage
privacy risks.

Communicate-p (cm-p): develop and implement

appropriate activities to enable organizations and
individuals to have a reliable understanding about how
data are processed and associated privacy risks.

Protect-p (pr-p): develop and implement appropriate

data processing safeguards.

19
Privacy by Design and Default
Ref: ISO/IEC 27701 Annex. A.7.4, B.8.4

ผู้ควบคุมข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคล
(Data Controller) (Data Processor)

• จากัดการประมวลผลข้อมูล เช่น การจัดเก็บ • มีกลไกการทาลายข้อมูลของระบบหรือแอปพลิเคชัน

การแสดงผล เฉพาะที่จาเป็นเท่านั้น (need-to-know) ที่เกิดขึ้นระหว่างการประมวลผล (Temporary File)
• มีกลไกการยืนยันความถูกต้องของข้อมูล • มีกระบวนการเพื่ อให้ผู้เกี่ยวข้อง เช่น ลูกค้า มั่นใจได้ว่า
ที่จัดเก็บและประมวลผล ข้อมูลที่ประมวลผลจะถูก ส่งคืน ถ่ายโอน และทาลาย
• มีกลไกการลดข้อมูลทีจ ่ ะนามาใช้ในการ • มีกลไกการควบคุมการส่งข้อมูลไปยังผู้รับปลายทาง
เชื่อมโยงตัวบุคคล เพื่ อให้แน่ใจว่าข้อมูลไม่ถูกเปลี่ยนแปลงก่อนถึงผู้รับ
• มีการจากัดช่วงเวลาของการเก็บข้อมูล
• มีกลไกการทาลายข้อมูลทั้งในรูปแบบของข้อมูลดิบ
และข้อมูลบ่งชี้ (metadata)
• มีกลไกการควบคุมการส่งข้อมูลไปยังผู้รับปลายทาง
เพื่ อให้แน่ใจว่าข้อมูลไม่สามารถเข้าถึงได้โดยบุคคลอื่น

20
ISACA Privacy Principles
ISACA Privacy Principles
establish a uniform set
of practical principles to give
guidance on planning,
implementing and maintaining
a comprehensive privacy
management program
in the context of the
wide range of enterprises.
Principle 1: Choice and Consent
Principle 2: Legitimate Purpose Specification and
Use Limitation
Principle 3: Personal information and Sensitive
Information Life Cycle
Principle 4: Accuracy and Quality
Principle 5: Openness, Transparency and Notice
Principle 6: Individual Participation
Principle 7: Accountability
Principle 8: Security Safeguards
Principle 9: Monitoring, Measuring and Reporting
Principle 10: Preventing Harm
Principle 11: Third Party/Vendor Management
Principle 12: Breach Management
Principle 13: Security and Privacy by Design
Principle 14: Free flow of information and
legitimate restriction
21
 ISACA Privacy Principles
ISACA Privacy Principles establish a uniform set of practical principles to give guidance on planning, implementing and
maintaining a comprehensive privacy management program in the context of the wide range of enterprises.
Principle 1 Choice and The data controller should:
Consent ▪ Obtain implicit or explicit consent, as appropriate and according to the corresponding regulation.
▪ Ensure that appropriate and necessary consents have been obtained:
• Prior to commencing collection activities
• Prior to using the personal information for other purposes
• Prior to the transfer of personal information to third parties
Principle 2 Legitimate The data controller should:
Purpose ▪ Describe and specify the purpose(s) for which personal information is collected in the privacy notice
Specification and or other means of communication.
Use Limitation ▪ Align the subsequent uses of the personal information with the purpose(s) provided, as well as with
the consents obtained, and be in compliance with legal requirements for use limitation.
Principle 3 Personal The data controller should:
information and ▪ Limit the collection, derivation, use, disclosure, transfer and retention and disposal of personal
Sensitive information throughout the entire information lifecycle.
Information Life ▪ Minimize the personal information that is processed to only necessary for the purposes.
Cycle ▪ Retain personal information for only as long as necessary to fulfill the purposes or as required by law.
Principle 4 Accuracy and ▪ The data controller should implement practices and processes to ensure that personal information is
Quality as accurate, complete and up to date to the extent necessary for the purposes of use.
▪ Personal information that is used on an ongoing basis, including information that is disclosed to third
parties, should generally be accurate and up to date. 22
Principle 5 Openness, The data controller should provide the following information to data subjects:
Transparency ▪ Clear and easily accessible information about its privacy management program, policies and practices.
and Notice ▪ Accurate details in the privacy notice about the personal information.
▪ Ensure that the privacy notice is provided either before or at the time of collection of personal
information where practical.
Principle 6 Individual The data controller should provide data subjects the following rights and capabilities:
Participation ▪ A process to request confirmation from the data controller about whether or not the data controller has
personal information relating to the data subjects.
▪ A process to provide data subjects with access to their personal information in an easy to understand
format.
▪ A method to validate the identity of the individual.
▪ A process to provide the data subject with the opportunity to challenge the accuracy or use of personal
information relating to him/her.
Principle 7 Accountability The data controller should:
▪ Identify privacy stakeholders and applicable legal requirements, and implement privacy frameworks to
support risk mitigation and legal compliance.
▪ Analyze, assess and manage privacy risk throughout the enterprise.
▪ Assign roles, responsibility, accountability and authority for performing privacy risk management
processes.
▪ Identify and inventory personal information and business processes that involve such information.
Principle 8 Security The data controller should:
Safeguards ▪ Identify appropriate security safeguards, based upon identification of privacy risks, which align with all
existing information security policies and applicable laws and regulations.
▪ Establish security safeguards that include administrative, technical and physical security controls and that
address confidentiality, integrity and availability of information. 23
Principle 9 Monitoring, The data controller should:
Measuring and ▪ Establish a framework for measuring and monitoring the following:
Reporting • Effectiveness of the privacy management program
• Level of compliance with applicable policies, standards and legal requirements
• Use and implementation of privacy tools
• Types and numbers of privacy breaches that occur
• Privacy risk areas within the data controller
• Third parties that have access to personal information and the associated risk levels
▪ Report compliance with privacy policies, applicable standards and laws to key stakeholders.
▪ Integrate internationally accepted privacy practices into business practices.
Principle 10 Preventing Harm The data controller should:
▪ Design the implementation of controls for personal information to prevent misuse of that
information, which can result in harm to the individuals.
▪ Establish processes to mitigate any personal harms that occur to data subjects as a result of
privacy breaches.
Principle 11 Third Party / The data controller should:
Vendor ▪ Implement governance and risk management processes and apply contractual, administrative
Management and audit measures to ensure the protections and use of personal information by all
associated third parties.
▪ Require all third parties with any type of access to personal information to report personal
information breaches in a timely manner to the data controller.
24
Principle 12 Breach The data controller should:
Management ▪ Establish a policy and procedure for identifying, escalating and reporting incidents of personal
information breaches to data subjects and relevant authorities, as necessary, in a timely manner.
▪ Maintain records of all personal information breaches, remediation and monitoring the progress
until the incident is closed.
▪ Implement remediation actions to prevent reoccurrence of personal information breaches of a
similar nature.
Principle 13 Security and The data controller should:
Privacy by Design ▪ Establish an enterprise privacy policy describing the privacy philosophy for the data controller to
ensure the evaluation of the impact to the security and privacy of personal information.
▪ Communicate executive support for the privacy enterprise-wide roles and responsibilities during
the implementation of IT systems and launch of enterprise programs and operations.
Principle 14 Free flow of The data controller should:
information and ▪ Establish a framework to govern the transfer of personal and sensitive information outside of
legitimate the jurisdiction of the data controller to ensure the level of security and privacy protections.
restriction ▪ Document the security and privacy protection requirements for the data processor to
implement within other jurisdictions.
▪ Maintain records of all personal information transferred into and out of the data controller's
jurisdiction.
25
 Phase Assess Design Transform Operate Conform

• ประเมินความเสี่ยงและ • วางแผนการอบรม • พั ฒนาขั้นตอนการ • นาไปปฏิบัติกับธุรกิจ • เฝ้าระวัง ประเมิน

ความพร้อมในการ
ดูแลข้อมูลส่วนบุคคล
• แผนเตรียมพร้อม • กาหนดมาตรฐาน
ตาม GDPR
Activity
• ระบุข้อที่อยู่ของ
ข้อมูลส่วนบุคคล
แผนการสื่อสารและ ปฏิบัติและเครือ
่ งมือ ที่เกี่ยวข้อง ตรวจสอบ รายงาน
มาตรฐานที่เกี่ยวข้อง ที่จาเป็น ความสอดคล้องกับ
• เฝ้าระวังด้านความ GDPR
• จัดอบรม GDPR มั่นคงปลอดภัยและ
การจัดการข้อมูลและ การละเมิดข้อมูล
บริหารความมั่นคง • พั ฒนาระบบ ส่วนบุคคลด้วย
ปลอดภัยของข้อมูล ในลักษณะ มาตรการทางเทคนิค
Privacy by Design และการจัดการ
และ Security by (TOMs)

IBM Design
• จัดการความยินยอม
และสิทธิในการเข้าถึง
Case Study ข้อมูล

Outcome

ระบุผลกระทบจาก GDPR มาตรการคุ้มครองข้อมูล TOMs : การระบุข้อมูล เริม

่ ใช้ขั้นตอนการ เฝ้าระวังการปฏิบัตต ิ าม
และวางแผนมาตรการ ส่วนบุคคล ที่ต้องปฏิบัติ ส่วนบุคคล การจัดแบ่ง ปฏิบัติใหม่ตาม GDPR GDPR และรายงานผล
ทางเทคนิคและการจัดการ ประเภท และการจัดการ การปฏิบัติให้ผู้มีส่วนได้
(Technical and และอภิบาลข้อมูล ส่วนเสียทั้งภายในและ26
Organizational ภายนอกรับทราบ
Measures: TOMs) 26
Source: IBM’s GDPR Readiness, Data Responsibility
 WORKING TO A PLAN
องค์กรได้มีการ ข้อมูลที่สามารถระบุตัว
คุณ ประมวลผล การจัดเก็บ และ
YES
บุคคลได้ดังกล่าวเป็น
YES คุณได้เริ่มการคุ้มครอง คุณได้ประเมินความเสี่ยง ประเด็นที่คุณกังวล
YES
ได้รับผล การจัดการข้อมูลที่สามารถ
ระบุตัวบุคคลได้ หรือข้อมูล
ของคนที่มีถิ่นพานักใน
EU ซึ่งรวมถึงลูกค้าและ/
ข้อมูลส่วนบุคคลตาม หรือวิเคราะห์เกี่ยวกับ
มากที่สุด
GDPR แล้วหรือไม่ GDPR แล้วหรือไม่
หรือไม่ ส่วนบุคคล
(หรือมีแผน) หรือไม่
หรือลูกจ้าง
ใช่หรือไม่

NO
ให้ความรู้

NO
เกี่ยวกับ GDPR

หยุด
(แล้วแต่กรณี)

กลยุทธ์ใดของท่านที่ใช้ใน คุณจัดการความเสี่ยงจาก การตอบสนองเมื่อเกิด

ขั้นตอนอัตโนมัตทิ ี่ใช้ในการลด
การระบุและตอบสนองเมื่อเกิด ภัยคุกคามหรือการโจมตี เหตุการณ์ละเมิด (Breach
ระยะเวลาที่ breach exposure
data breach ทางไซเบอร์ขั้นสูงอย่างไร Response)

กลยุทธ์ใดของท่านที่ใช้ยืนยันว่า
คุณมีรายการการ

กาหนด
คุณกาหนดนโยบายเกี่ยวกับ Data การเข้าถึงข้อมูลส่วนบุคคลมี
ประมวลผลข้อมูล Data Governance
ความเหมาะสมและอยู่ภายใต้การ

แผน
Governance อย่างไร
ที่ถูกต้องหรือไม่
ควบคุม

ของท่าน การคุ้มครองข้อมูลส่วนบุคคลอยู่
ภายในขอบเขตของกลยุทธ์ในการ
องค์กรของท่านมีกลยุทธ์ในการ
บริหารจัดการความเสี่ยงที่
ในกรณีปกติ องค์กรของ
ท่านจัดการกับ การประเมินความเสี่ยง
การประเมินความเสี่ยง (Risk Assessment)
บริหารจัดการความเสี่ยงส่วนใด ครอบคลุมหรือไม่
อย่างไร

ในกรณีปกติ องค์กรของ การบริหารจัดการ

ท่านมีวิธีจัดรายการข้อมูลและ ท่านมีวิธีการระบุ จัดลาดับ
ท่านจัดการกับ การปฏิบัติตามกฎระเบียบ
ผู้ดูแลข้อมูลที่เกี่ยวข้อง รวมทั้ง ความสาคัญ และติดตามการ
การปฏิบัติตามกฎระเบียบ (Compliance
ข้อกาหนดตามกฎระเบียบอย่างไร ปฏิบัตต
ิ ามกฎระเบียบอย่างไร
อย่างไร Management)
27
Source: RSAConference 2018
ตัวอย่าง Transparency
Implement (PDPA ม. 23) (GDPR Art 12 Transparency) (ISO 27701:2019 “7.3.3”)

วิธีการแจ้งข้อมูล ตัวอย่างข้อมูลที่แจ้ง
• ใช้ถ้อยคากระชับ ชัดเจน เข้าใจง่าย • ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูล
• ครบถ้วน โปร่งใส และ up to date • สิทธิเจ้าของข้อมูล
• รูปแบบเข้าถึงง่าย ระยะเวลาเหมาะสม • หน้าที่ของผู้ควบคุมข้อมูล
• แจ้งก่อน หรือขณะเก็บข้อมูล • ข้อมูลเกี่ยวกับการประมวลผล

ตัวอย่าง Checklist Assessment ▪ Customer data

▪ Organization data
o บันทึกรายการข้อมูลต่าง ๆ เช่น การได้มาซึ่งข้อมูล
หมวดหมู่ของข้อมูล วัตถุประสงค์การประมวล
o ตรวจสอบและจัดทาเอกสาร เช่น Form การขอคายินยอม
o จัดทา DP Policy และมีการทบทวน
▪ Employee data
o HR มีนโยบายและวิธีการบริหารจัดการข้อมูลพนักงาน
o มีขั้นตอน และนโยบายเกี่ยวกับวิธีการจัดการข้อมูล
ของลูกค้าให้พนักงานทราบ
o เผยแพร่ Privacy Policy
o มีนโยบายและกระบวนการต่าง ๆ เช่น customer
marketing protocols / consents / Cooking /
online tracking / Data Subject right
▪ Privacy by design
มีการออกแบบตาม guidance principles
o
▪ Data transfers to third parties
o มีนโยบายและกระบวนการต่าง ๆ เช่น data
sharing to other controller & processor
28
28
ตัวอย่าง Data Breach
Implement (PDPA มาตรา 37 (4) การแจ้งเหตุการณ์ละเมิดข้อมูลส่วนบุคคล)
(GDPR Art 33 การแจ้ง Supervisory Authority, 34 การแจ้งเจ้าของข้อมูล)
(ISO/IEC 27701:2019 “7.3.3”)

แนวทางการรับมือภัยคุกคาม Incident Management เช่น

2. ตอบสนองเหตุการละเมิดข้อมูล PII ในฐานะ
1. แต่งตั้ง “ผู้รับผิดชอบ” และกาหนด “กระบวนการ” เกี่ยวกับ ผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูล
1.1 การวินิจฉัยเหตุการละเมิดข้อมูล PII • 2.1 ตรวจสอบเหตุคุกคามว่าเกี่ยวกับการละเมิดข้อมูล PII หรือไม่
1.2 การจัดทาบันทึกเหตุการละเมิดข้อมูล PII • 2.2 หากเกี่ยวกับการละเมิดข้อมูล PII ให้ดาเนินการ
1.3 การแจ้งเตือนผู้ที่เกี่ยวข้อง ▪ 2.2.1 แจ้งเตือน
1.4 การเปิดเผยข้อมูลต่อ authorities ▪ 2.2.2 จัดทาบันทึกเหตุละเมิดข้อมูล PII

ตัวอย่าง Checklist Assessment

▪ จัดทาและบังคับใช้กระบวนการ Data Breach ▪ มีขั้นตอนการเก็บรักษาและ
เช่น ทารายงาน การจัดการ การแก้ไขปัญหา จัดทารายงาน Data Breach
29
▪ มีขั้นตอนในการรายงาน Data Breach ▪ กาหนดขั้นตอนการรายงาน Data Breach
ให้หน่วยงานกากับดูแล ภายใน 72 ชั่วนับแต่ทราบเหตุ ภายในองค์กร
ตัวอย่างแนวปฏิบัติ

ของ 4 บริษัทยักษ์ใหญ่
Microsoft
วิธีการรับมือ GDPR ของ Microsoft

1 ระบุขอบเขตที่แน่ชัดของ GDPR
•
•
ออก a self-service privacy portal สาหรับลูกค้าเพื่ อขอสาเนาและลบข้อมูลส่วนบุคคลที่ใช้สาหรับบริการ Cloud
สร้าง Data Inventory ข้อมูลส่วนบุคคล
• ใช้โครงสร้างพื้ นฐานเพื่ อสร้าง data schema ให้เป็นมาตรฐาน, ทาให้เป็นอัตโนมัติและบังคับใช้นโยบายความเป็นส่วนตัว
• ทบทวนและกาหนดมาตรฐานนโยบายการเก็บรักษาข้อมูลในธุรกิจระบบและพั นธมิตร / ซัพพลายเออร์
• อัปเดตเอกสารต่าง ๆ ที่เกี่ยวข้อง เช่น เอกสารทางเทคนิค สัญญาการให้บริการต่าง ๆ ให้สอดคล้องตาม GDPR
• ตรวจสอบข้อกาหนดความเป็นส่วนตัวของข้อมูลและการสร้างข้อกาหนดในการปฏิบัติตาม กระบวนการจัดซื้อ

2 จัด Training และ Workshop ให้กับทีมงาน

•
•
จัดการสัมมนา, workshop ออนไลน์ เพื่ ออบรมพนักงานเจ้าหน้าที่ภายในบริษัท คู่ค้า และ Vendors
จัด Train-the-trainer programs เพื่ อเพิ่ มขีดความสามารถให้กับผู้เชี่ยวชาญเฉพาะด้าน
• จัดทาเอกสารรายละเอียดแนะนาการใช้งานผลิตภัณฑ์และบริการ เพื่ อการปฏิบัติตาม GDPR
3 ปรับปรุงข้อกาหนดของกฎความเป็นส่วนตัว
✓ ตั้ง “ทีมกลาง” ที่ประกอบทั้ง ระดับผู้บริหาร, เจ้าของโปรแกรม Privacy ผู้จัดการด้าน Privacy และฝ่ายวิศวกรรม
เพื่ อทา framework ที่ครอบคุลมนโยบาย, กระบวนการทางเทคนิค, โครงสร้างพื้ นฐานและประสบการณ์ของลูกค้า
(Customer Experiences)

4 ลงทุนกับเทคโนโลยีใหม่
✓ สร้างระบบอัตโนมัติ เพื่ อเป็นมาตรฐานให้กับข้อมูล นาไปสู่การกากับดูแลง่ายขึ้น

ตัวอย่างการทางาน
• ใช้โปรแกรม Power BI เพื่ อควบคุม GDPR Workstream Dashboard
เพื่ อให้การทางานของทีมเชื่อมโยงกัน

• อัพเดตเอกสารทางเทคนิคใน Service Trust Portal

เพื่ อให้คาแนะนาเกี่ยวกับวิธีการจัดการข้อมูลส่วนบุคคลบนคลาวด์ และ
ความรู้เรื่องมาตราฐานความปลอดภัย ที่สอดคล้องกับการใช้งาน Microsoft ให้กับลูกค้า
Facebook
วิธีการรับมือ GDPR ของ Facebook

1. ทางานร่วมกับผู้เชี่ยวชาญเพื่ อออกแบบ Privacy ผลิตภัณฑ์ของบริษัท

(Privacy by Design)
- มีทีมงานด้าน Privacy ที่ประกอบด้วย ผู้เชี่ยวชาญด้านต่าง ๆ ทางานประจา
เช่น หน่วยงานกากับ (regulator), policymakers, ผู้เชี่ยวชาญด้านความเป็นส่วนตัว (privacy
experts) และ นักวิชาการจากทั่วโลก เพื่ อให้ผู้เชี่ยวชาญทุกกลุ่มทราบถึงขั้นตอนการดาเนินการ
ของบริษัท รวมถึงรับข้อเสนอแนะและนามาพั ฒนาเรื่องการปกป้องข้อมูลส่วนบุคคล
- พั ฒนาการ control และ design privacy ตลอดเวลา
โดยลงทุนทาการศึกษาวิจย ั และทางานร่วมกับผู้เชี่ยวชาญ
ทั้ง designers, developers, privacy professionals และ regulators.
- พั ฒนา design privacy กับผลิตภัณฑ์ของบริษัท ตั้งแต่ขั้นตอนแรกตาม
คาแนะนาของผู้เชี่ยวชาญด้านต่าง ๆ
เช่น Data Protection, Privacy Law, Security, Interface design, engineering,
product management และ public policy โดยทีม privacy ของบริษัทได้มีการทางานใน
หลากหลายมิติเหล่านี้ในทุกขัน
้ ตอนของการพั ฒนาผลิตภัณฑ์

33
Facebook
วิธีการรับมือ GDPR ของ Facebook

2. ปรับปรุงข้อกาหนดของความเป็นส่วนตัว

• กาหนด Privacy Principles เพื่ อชี้แจงให้ผู้ใช้งานได้ทราบถึงข้อกาหนด

ความเป็นส่วนตัวและการนาข้อมูลของผู้ใช้งานไปใช้งาน
เพื่ อให้ทราบว่า Facebook เข้าถึงความเป็นส่วนตัวของผู้ใช้งานอย่างไร
• ให้สิทธิในการควบคุมความเป็นส่วนตัวแก่ผู้ใช้งาน
• ออกแบบความเป็นส่วนตัวในผลิตภัณฑ์ของบริษัทตั้งแต่ขั้นตอนแรก
• ผู้ใช้งานสามารถลบข้อมูลของตัวเองได้
• มีการปรับปรุงข้อกาหนดตลอดเวลา ให้ทันสมัย สอดคล้องกับ GDPR
• แสดงให้เห็นว่า มีการทา privacy policy ที่เชื่อถือได้

34
Amazon : AWS (Amazon Web Service)
บฏิบัติตาม GDPR, EU-US Privacy Shield และยังทาตามข้อกาหนดอื่น เช่น
หลักจรรยาบรรณของ CISPE (Cloud Infrastructure Services Providers in
EU) เพื่ อรับรองว่า สินค้าบริการของ AWS สอดคล้องกับ GDPR และข้อปฏิบัติอื่น ๆ
อีกด้วย เช่น ISO 27017 ปลอดภัยของคลาวด์, ISO 27018 ความเป็นส่วนตัวใน
ระบบคลาวด์

ขั้นตอนที่ AWS มีการ Comply ตาม GDPR

▪ ระบุสิทธิของเจ้าของข้อมูล
▪ การระบุขอบเขต ความรับผิดชอบของผู้ให้บริการ
▪ แจ้งเตือนการรั่วไหลของข้อมูล (Data
(บริการโครงสร้างพื้ นฐานระบบคลาวด์)
Breach Notification)
▪ ตรวจสอบมาตรการทางเทคนิค และปรับแก้ให้ทันสมัย มีวิธีการควบคุมการรั่วไหล, ต้องทาภายใน 72
อย่างสม่าเสมอ ชม., การกาหนดแนวทางว่าต้องแจ้ง
▪ การเสนอบริการให้ลูกค้า – เพื่ อให้สอดคล้องกับ GDPR : หน่วยงานกากับ, คนที่ได้รับผลกระทบ
▪ ควบคุมการเข้าถึง : ผู้ดูแลระบบ ผู้ใช้ Application ที่เข้าถึง ▪ แต่งตั้งเจ้าหน้าที่ฝา่ ยปกป้องข้อมูล (DPO)
▪ ประเมินผลกระทบของการปกป้องข้อมูล
▪ ติดตามและบันทึกการเปลี่ยนแปลง
(APIA)
▪ เข้ารหัส (การเข้ารหัสข้อมูลบน AWS) ▪ กาหนดข้อตกลงการประมวลผลข้อมูล
▪ จัดให้มี Framework การปฏิบัติตามข้อกาหนดและมาตรฐาน (DPA) โดยเฉพาะการโอนข้อมูลส่วนบุคคลไป
ด้านความปลอดภัย เช่น ISO 27001/9001, 27017/27018, ภายนอกเขตเศรษฐกิจยุโรป
C5, AWS TüV TRUST IT
35
วิธีการรับมือ GDPR ของ Google
1. อัพเดต terms และ contractual protections
2. ทา Client Checklist
3. เสริมสร้างการทา Safeguards ให้แข็งแรงมากขึ้น
4. มี Incident Response ที่รองรับเวลาเกิดเหตุ ภัยคุกคาม
5. สร้างความโปร่งใสในการใช้ข้อมูลของผู้ใช้ (User Transparency)
6. รับการรับรองตาม Privacy Shield ระดับสากล เช่น EU-US Shield
และมาตรฐานสากลอื่น ๆ

36
1 อัพเดต terms และ
contractual protections
▪ อัพเดต terms ให้สอดคล้องกับกฎเกณฑ์และข้อบังคับ ให้เป็นปัจจุบัน
เพื่ อให้การให้บริการ สินค้าและบริการต่าง ๆ ของ Google มีความ
ทันสมัย

▪ Publisher และ Advertiser ต้องปฏิบัติตามหลักเกณฑ์ที่

Google กาหนด เช่น การให้ความยินยอมตาม EU User Consent
Policy ของ Google และการขอความยินยอมจากผู้ใช้ EEA สาหรับ
การโฆษณาและการใช้ cookies บนเว็บไซต์และ Application

37
2 ทา Client Checklist
key area ที่ต้องคานึงถึงในการทา Checklist เช่น

▪ หน่วยงานของท่านมีการรับรองความโปร่งใสของผู้ใช้
(User Transparency) และการควบคุมการใช้ข้อมูลอย่างไร
ท่านได้อธิบายประเภทของข้อมูลที่เก็บหรือไม่ และเก็บไปเพื่ ออะไร

▪ องค์กรของท่านใช้วิธีการให้ความยินยอมที่ถูกต้อง
(Right consents) หรือไม่ (ตาม GDPR, Google EU User Consent
Policy)

▪ การบันทึกการตั้งค่าของผู้ใช้ (User preference) และ

การให้ความยินยอม ทาเป็นระบบถูกต้องหรือไม่

▪ มีวิธีการแสดงให้หน่วยงานกากับตามกฎหมาย และ Partners ของท่าน

เห็นได้อย่างไร ว่าท่านเป็นหน่วยงานที่นา่ เชื่อถือและได้ปฏิบัติตาม GDPR

38
3 เสริมสร้างการทา Safeguards
ให้แข็งแรงมากขึ้น

จัดให้มีการรักษาความปลอดภัย :
▪ ป้องกันความปลอดภัยของข้อมูลครอบคลุมองค์กร
▪ แต่งตั้งทีมรักษาความปลอดภัยโดยเฉพาะและทีมรักษาความเป็นส่วนตัว
▪ จัดให้มีการ audit อย่างสม่าเสมอ, เป็นประจาปี โดยผู้ตรวจสอบภายนอก (3rd Party Auditor)

4 มีการทา Incident Response

▪ เตรียมการ Advanced Threat Detection และ Avoidance Technology
▪ จัดให้มีโปรแกรมการจัดการตอบสนองต่อเหตุการณ์ และภัยคุกคามต่าง ๆ

39
5 สร้างความโปร่งใสในการใช้ข้อมูลของผู้ใช้งาน
(User Transparency)
➢ สร้างความโปร่งใสเกี่ยวกับการใช้ข้อมูลในสินค้าโฆษณา
➢ โดย Google ขออนุญาต (permission) เมื่อมีการใช้ข้อมูลเพื่ อการโฆษณาและแสดงความโปร่งใส
แบบ real-time ผ่าน “Why This Ad”
➢ Google จะแจ้งผู้ใช้งานผ่าน Google Account ว่า มีการบันทึกข้อมูลของผู้ใช้อะไรบ้าง
(ผู้ใช้จะสามารถควบคุมการใช้ข้อมูลสาหรับการโฆษณาได้)

6 รับรองตาม Privacy Shield ระดับสากลอื่น ๆ อีก

เช่น การรับรองภายใต้ EU-US และ Swiss-US Privacy shield

และยังทาตามมาตรฐานอื่น ๆ เช่น ISO 27001 (Information Security Management)

ISO 27017 (Cloud Security)
ISO 27018 (Cloud Privacy)
SSAE16 / ISAE 3402
FedRAMP
PCI DSS (Payment Card Industry Data Security Standard) 40
 การเตรียมความพร้อมรองรับการบังคับใช้ PDPA
รวมทั้ง Law com ภายใต้กฎหมายฉบับอื่น
เจ้าของข้อมูล ตระหนักในสิทธิของตัวเอง
การทางานอย่างใกล้ชิดระหว่าง
ผู้ประกอบการ • คานึงถึงบทบาทหน้าที่ของผู้ที่เกี่ยวข้อง
Regulator ที่เกี่ยวข้อง
รายเล็ก • จัดทาแนวปฏิบัติตามข้อกาหนดเท่าที่จาเป็น เป็นสิ่งสาคัญและจาเป็น เพื่ อสร้าง
ความชัดเจน และความสอดคล้อง
ผู้ประกอบการ • comply ตาม best practice ที่ควรจะเป็น
รายใหญ่ • มีทั้ง internal audit และ external audit Law enforcement
ต้องแน่ใจว่าเป็นไปเพื่ อ
คานึงถึงกฎหมายที่เกี่ยวข้อง โดยเฉพาะอย่างยิ่ง
ภาครัฐ
• กม.ธุรกรรมฯ ที่ต้องแก้ไขให้สอดคล้อง
คุ้มครองสิทธิข้น
ั พื้ นฐาน
• Data governance ภายใต้ กม.สพร. ของประชาชน ไม่เป็นภาระเกินสมควร และ
• การเปิดเผยข้อมูลตาม กม.ข้อมูลข่าวสารฯ ไม่ก่อให้เกิดข้อจากัด
บริการที่ถูก • ปฏิบัติตามกฎหมายอย่างเคร่งครัด ต่อการเติบโตของ Technology
และ Innovation
กากับดูแล • meet International Standard

41
THANK
YOU
www.ETDA.OR.TH
Facebook: ETDA Thailand
Facebook: Surangkana Wayuparb

42