Professional Documents
Culture Documents
DP Session MDES - forCEO - 11.00 - SRW
DP Session MDES - forCEO - 11.00 - SRW
ข้อมูลส่วนบุคคล
กับบริบท การคุ้มครองข้อมูลส่วนบุคคลในกฎหมายฉบับอื่น ๆ
สุรางคณา วายุภาพ
ผู้อานวยการสานักงานพั ฒนาธุรกรรมทางอิเล็กทรอนิกส์
กระทรวงดิจิทัลเพื่ อเศรษฐกิจและสังคม
www.ETDA.OR.TH
Facebook: ETDA Thailand
Facebook: Surangkana Wayuparb
1
กฎหมายคุ้มครอง ต้องให้ความสาคัญเพราะ เมื่อโอนข้อมูล
ส่วนบุคคลไปต่างประเทศ ประเทศปลายทางที่
ข้อมูลส่วนบุคคลระดับสากล รับข้อมูล ต้องมีมาตรฐานการคุ้มครอง
ข้อมูลส่วนบุคคลที่เพี ยงพอ
2
PAYMENT
DATA
Law Landscape
PRIVACY&
PROTECTION GOVERNMENT
พ.ร.บ. ข้อมูลข่าวสารราขการ
กาหนดมาตรการดูแลข้อมูลส่วนบุคคลที่รัฐดูแล
พ.ร.บ. การประกอบธุรกิจข้อมูลเครดิต
ปกป้องข้อมูลเครดิตที่ครอบคลุม
พ.ร.บ. การบริหารงานและ
รัฐธรรมนูญ 2560
ข้อมูลส่วนบุคคล
(เป็นข้อยกเว้นของ PDPA) การให้บริการภาครัฐผ่านระบบดิจิทัล
กาหนดธรรมาภิบาลข้อมูลภาครัฐ
่ ง หลักเกณฑ์ทัว
ประกาศ ธปท. เรือ ่ ไป
ในการกากับดูแลการประกอบธุรกิจ
ความเป็นส่วนตัวข้อมูลส่วนบุคคล ที่ครอบคลุมการดูแลข้อมูลส่วนบุคคล
ระบบการชาระเงินภายใต้การกากับ
กาหนดมาตรการดูแลการเก็บข้อมูลส่วนบุคคล พ.ร.บ. ธุรกรรมทางอิเล็กทรอนิกส์
ดูแลธุรกรรมออนไลน์ภาครัฐ เน้นสร้างความปลอดภัย
INSURANCE ลดความเสี่ยงต่อข้อมูลส่วนบุคคล & ระบบ
พ.ร.บ. การประกอบ
ธุรกิจข้อมูลเครดิต
พ.ร.บ. การบริหารงานและ โยงมายัง PDPA โยงมายัง PDPA โยงมายัง PDPA โยงมายัง PDPA โยงมายัง PDPA
การให้บริการภาครัฐผ่านระบบดิจท
ิ ัล
21 12 ใน 120 ข้อจากัดทางปฏิบต
ั ิ
หน่วยงาน
ปัจจุบันมี
1. ต้องผ่าน Security Policy ก่อน
Pass!
ข้อมูลดังกล่าว
ทาแนวนโยบาย/แนวปฏิบัติ DP 3. แม้มี ตัวอย่าง Template &
เนื่องจากจะมีการดูแล
ความสอดคล้อง ม. 35 กับ หลักกฎหมายกลาง PDPA 2019 Digital ID & e-Signature
ความจาเป็นที่ต้องมีการปรับแก้เพื่ อให้สอดคล้องกฎหมาย ที่เชื่อมโยงตัวบุคคล
การดูแลข้อมูลส่วนบุคคลจึงสาคัญ
5
ข้อมูลส่วนบุคคล คืออะไร ?
“ข้อมูลส่วนบุคคล” หมายความว่า
ข้อมูลเกี่ยวกับบุคคลซึ่งทาให้สามารถ
ระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม
แต่ไม่รวมถึงข้อมูลของ
ผู้ถึงแก่กรรมโดยเฉพาะ
Examples of personal data
• a name and surname;
: พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 • a home address;
• an email address such
as name.surname@company.com;
“personal data” means any information • an identification card number;
• location data (for example the location data function
relating to an identified or identifiable natural person on a mobile phone)*;
(‘data subject’); an identifiable natural person is one who • an Internet Protocol (IP) address;
can be identified, directly or indirectly, in particular by • a cookie ID*;
reference to an identifier such as a name, an identification • the advertising identifier of your phone;
number, location data, an online identifier or to one or more • data held by a hospital or doctor, which could be a
factors specific to the physical, physiological, genetic, symbol that uniquely identifies a person.
mental, economic, cultural or social identity of that natural
person; : European Commission,
https://ec.europa.eu/info/law/law-topic/data-
: General Data Protection Regulation (GDPR), EU protection/reform/what-personal-data_en
6
ใคร เจ้าของ
ข้อมูลส่วนบุคคล
(Data Subject)
ผู้ควบคุม
ข้อมูลส่วนบุคคล
(Controller)
ผู้ประมวลผล
ข้อมูลส่วนบุคคล
ที่มีสิทธิ (Processor)
มีมาตรการดูแล Security
& หน้าที่ ▪ ให้ความยินยอม
▪
ที่เหมาะสม และทบทวนสม่าเสมอ ▪ เก็บ ใช้ เปิดเผยตามคาสั่ง
เท่าที่เหมาะสม
ทาอะไร ▪ รับทราบและใช้สิทธิที่มี
▪ ลบ ทาลายข้อมูล เมื่อ ▪ จัดให้มีมาตรการดูแล Security
ที่เหมาะสม
พ้นระยะเวลาเก็บรักษา
เก็บรวบรวม, ▪ แจ้งเหตุละเมิด ภายใน 72 ชัว
่ โมง ▪ แจ้งเหตุละเมิดให้ Controller ทราบ
ใช้, เปิดเผย นับแต่ทราบเหตุ ▪ จัดทา + เก็บรักษาบันทึกรายงาน
▪ ถ้าเป็น บจก. ตปท.
ต้องแต่งตั้งตัวแทน และตั้ง DPO
▪ จัดทา + เก็บรักษาบันทึกรายงาน
คณะกรรมการ คณะกรรมการคุ้มครอง
ข้อมูลส่วนบุคคล
คณะกรรมการผู้เชี่ยวชาญ
ที่ดูแล Law Compliance ▪ จัดทาแผนแม่บท และแผนระดับชาติ ▪ พิจารณาเรื่องร้องเรียน
ตาม PDPA ▪ กาหนดมาตรการและแนวทาง ▪ ตรวจสอบการดาเนินการของ
การดาเนินงานเกี่ยวกับ DP ผู้ที่เกี่ยวข้อง
▪ ออกประกาศหลักเกณฑ์/มาตรการ ▪ ไกล่เกลี่ยข้อพิพาท
▪ วินิจฉัยชี้ขาด
▪ ส่งเสริมและสนับสนุนด้าน DP
มีกระบวนการประเมินความเสี่ยง
:
เพื่ อให้แน่ใจว่าการออกแบบและ
กระบวนการถูกต้องเหมาะสม
1. 2.
การประเมิน
มีข้อมูลอะไร ข้อมูลอยู่ที่ไหน
ใครเข้าถึงได้บ้าง สิทธิและหน้าที่
ความรับผิดที่เกิดขึ้น
โดยคานึงถึง governance
ความเสี่ยง ธรรมาภิบาลข้อมูล
(Risk Assessment) (Data Governance)
10
Design &
9
พั ฒนาทักษะ Security by
และกระบวน Audit Design
8 สร้างความตระหนัก
7
พั ฒนากระบวนการแจ้งเตือน และ training
(Breach Notification) ให้กับบุคลากร พนักงาน
เจ้าหน้าที่ และลูกค้า
จัดเตรียมข้อกาหนด
หรือแนวปฏิบัติ
5 6 จัดทาเอกสาร
มาตรการ Security
การคุ้มครองข้อมูล
ส่วนบุคคล
3
กาหนดประเภทของ
ของข้อมูล
ข้อมูล และวัตถุประสงค์
ความจาเป็น
1
ตั้งงบประมาณ หรือ DPO ในองค์กร
และได้การสนับสนุน
จากผู้บริหาร Source: RSAConference 2018 11
Best Practice ที่ควรใช้ประกอบการจัดทา
ข้อปฏิบัติในการดูแลข้อมูลส่วนบุคคล
Critical Data
Protection Baseline
Program Define Discover Secure Monitor
• ระบุและกาหนดข้อมูลส่วนบุคคล ข้อมูล จะวางแผน ออกแบบ จะจัดการการปกป้อง
ข้อมูลอะไร มีข้อกาหนดอะไร
กาหนดมาตรการรักษา
ความมั่นคงปลอดภัย
ส่วนบุคคลอะไร มีการใช้งาน ในการปกป้อง และดาเนินการ ข้อมูลสาคัญอย่างไร
• วิเคราะห์และจาแนกมิติที่สาคัญ • ทาความเข้าใจ อย่างไร ข้อมูลสาคัญ อย่างไร
ที่สุดของสภาพแวดล้อมข้อมูล กลยุทธ์โดยรวม • ทาความเข้าใจ • ทา baseline • พั ฒนากรอบ
• วางแผนและกาหนดลาดับ
• ทา GAP Analysis ของ การรักษาความ สภาพแวดล้อม ความต้องการด้าน ความสาคัญของ ธรรมาภิบาล Risk
กระบวนการและมาตรการ มั่นคงปลอดภัย ข้อมูล โครงสร้าง ความมั่นคงปลอดภัยของ กระบวนการ metrics และ
ควบคุมความมั่นคงปลอดภัย ข้อมูล และ lifecycle ข้อมูลส่วนบุคคล Transformation กระบวนการเฝ้าระวัง
ข้อมูลสาคัญ • กาหนดเป้าหมาย • ดาเนินการตรวจ • ประเมินกระบวนการและ ทางเทคนิคและ • ตรวจสอบกลยุทธ์และ
• ทาแผนการลดความเสี่ยง การปกป้อง ค้น วิเคราะห์ และ มาตรการควบคุม กระบวนการทางธุรกิจ วิธีการในการปกป้อง
เพื่ อจัดลาดับความสาคัญและ • พั ฒนาโครงสร้าง จาแนก ความมั่นคงปลอดภัยข้อมูล• ออกแบบและดาเนินการ ข้อมูลอย่างสม่าเสมอ
ทดสอบแนวทางแก้ไข โมเดลข้อมูล/ อย่างต่อเนื่อง • ตรวจสอบ GAP และ เพื่ อปกป้องข้อมูลสาคัญ
• ตรวจสอบกรอบการรักษา อนุกรมวิธาน ทาให้เข้าถึง และ
กาหนดแนวทางแก้ไข
ความมั่นคงปลอดภัย สอดคล้องกับเป้าหมาย
เติบโตทางธุรกิจ 12
DATA
Implementation
PRIVACY&
PROTECTION
แนวปฏิบัติสากล ที่อาจนามาปรับใช้ในระหว่างรอหลักเกณฑ์
13
ISO/IEC 27701:2019 แนวปฏิบัติสาหรับ information security standards
และ information security management
+
Security Management Management
System - Requirements
System (ISMS)
+
และ ISO/IEC 27002
Code of practice for information security • 5 PIMS-specific requirements related
• กาหนดแนวปฏิบัติของระบบการ control to ISO/IEC 27001
บริหารจัดการข้อมูลความเป็นส่วนตัว (PIMS)
• 6 PIMS-specific guidance related to
ซึ่งเกี่ยวข้องกับการประมวลผล ISO/IEC 27002
ข้อมูลที่สามารถระบุตวั บุคคลได้ (PII)
• Mapping กับ ISO/IEC 29001, 27018,
ISO/IEC 27701:2019 • 7 Additional ISO/IEC 27002 guidance
for PII controllers
29151 รวมไปถึง GDPR Extension to ISO/IEC
27001 and ISO/IEC • 8 Additional ISO/IEC 27002 guidance
for PII processor
27002 for privacy information
Management – Requirements and
guidelines
14
The COBIT Framework : Data Relevant
Business Objectives and Governance Objectives
• C/I/A
• Compliance
Information • Reliability
IT
• Ensure regulatory • Data classification
Monitor and Plan and
compliance • Define use of data/Data owner
Evaluate Organization
• IT governance • Data Retention
• Manage data quality
RESOURCES
15
NIST Privacy Framework
A Tool for Improving Privacy through Enterprise Risk Management
deriving
benefits from data
Balance
managing
risks to individual’s
privacy
Source: Preliminary Draft NIST Privacy Framework: A Tool for Improving Privacy through
Enterprise Risk Management (Privacy Framework)
17
Cybersecurity and Privacy Risk
Management Relationship
Cybersecurity Risk = Likelihood x Impact NIST Cybersecurity Framework
19
Privacy by Design and Default
Ref: ISO/IEC 27701 Annex. A.7.4, B.8.4
ผู้ควบคุมข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคล
(Data Controller) (Data Processor)
20
ISACA Privacy Principles
Principle 1: Choice and Consent
Principle 2: Legitimate Purpose Specification and
Use Limitation
ISACA Privacy Principles Principle 3: Personal information and Sensitive
establish a uniform set Information Life Cycle
of practical principles to give Principle 4: Accuracy and Quality
guidance on planning, Principle 5: Openness, Transparency and Notice
implementing and maintaining Principle 6: Individual Participation
a comprehensive privacy Principle 7: Accountability
management program Principle 8: Security Safeguards
in the context of the Principle 9: Monitoring, Measuring and Reporting
wide range of enterprises. Principle 10: Preventing Harm
Principle 11: Third Party/Vendor Management
Principle 12: Breach Management
Principle 13: Security and Privacy by Design
Principle 14: Free flow of information and
legitimate restriction
21
ISACA Privacy Principles
ISACA Privacy Principles establish a uniform set of practical principles to give guidance on planning, implementing and
maintaining a comprehensive privacy management program in the context of the wide range of enterprises.
Principle 1 Choice and The data controller should:
Consent ▪ Obtain implicit or explicit consent, as appropriate and according to the corresponding regulation.
▪ Ensure that appropriate and necessary consents have been obtained:
• Prior to commencing collection activities
• Prior to using the personal information for other purposes
• Prior to the transfer of personal information to third parties
Principle 2 Legitimate The data controller should:
Purpose ▪ Describe and specify the purpose(s) for which personal information is collected in the privacy notice
Specification and or other means of communication.
Use Limitation ▪ Align the subsequent uses of the personal information with the purpose(s) provided, as well as with
the consents obtained, and be in compliance with legal requirements for use limitation.
Principle 3 Personal The data controller should:
information and ▪ Limit the collection, derivation, use, disclosure, transfer and retention and disposal of personal
Sensitive information throughout the entire information lifecycle.
Information Life ▪ Minimize the personal information that is processed to only necessary for the purposes.
Cycle ▪ Retain personal information for only as long as necessary to fulfill the purposes or as required by law.
Principle 4 Accuracy and ▪ The data controller should implement practices and processes to ensure that personal information is
Quality as accurate, complete and up to date to the extent necessary for the purposes of use.
▪ Personal information that is used on an ongoing basis, including information that is disclosed to third
parties, should generally be accurate and up to date. 22
Principle 5 Openness, The data controller should provide the following information to data subjects:
Transparency ▪ Clear and easily accessible information about its privacy management program, policies and practices.
and Notice ▪ Accurate details in the privacy notice about the personal information.
▪ Ensure that the privacy notice is provided either before or at the time of collection of personal
information where practical.
Principle 6 Individual The data controller should provide data subjects the following rights and capabilities:
Participation ▪ A process to request confirmation from the data controller about whether or not the data controller has
personal information relating to the data subjects.
▪ A process to provide data subjects with access to their personal information in an easy to understand
format.
▪ A method to validate the identity of the individual.
▪ A process to provide the data subject with the opportunity to challenge the accuracy or use of personal
information relating to him/her.
Principle 7 Accountability The data controller should:
▪ Identify privacy stakeholders and applicable legal requirements, and implement privacy frameworks to
support risk mitigation and legal compliance.
▪ Analyze, assess and manage privacy risk throughout the enterprise.
▪ Assign roles, responsibility, accountability and authority for performing privacy risk management
processes.
▪ Identify and inventory personal information and business processes that involve such information.
Principle 8 Security The data controller should:
Safeguards ▪ Identify appropriate security safeguards, based upon identification of privacy risks, which align with all
existing information security policies and applicable laws and regulations.
▪ Establish security safeguards that include administrative, technical and physical security controls and that
address confidentiality, integrity and availability of information. 23
Principle 9 Monitoring, The data controller should:
Measuring and ▪ Establish a framework for measuring and monitoring the following:
Reporting • Effectiveness of the privacy management program
• Level of compliance with applicable policies, standards and legal requirements
• Use and implementation of privacy tools
• Types and numbers of privacy breaches that occur
• Privacy risk areas within the data controller
• Third parties that have access to personal information and the associated risk levels
▪ Report compliance with privacy policies, applicable standards and laws to key stakeholders.
▪ Integrate internationally accepted privacy practices into business practices.
Principle 10 Preventing Harm The data controller should:
▪ Design the implementation of controls for personal information to prevent misuse of that
information, which can result in harm to the individuals.
▪ Establish processes to mitigate any personal harms that occur to data subjects as a result of
privacy breaches.
Principle 11 Third Party / The data controller should:
Vendor ▪ Implement governance and risk management processes and apply contractual, administrative
Management and audit measures to ensure the protections and use of personal information by all
associated third parties.
▪ Require all third parties with any type of access to personal information to report personal
information breaches in a timely manner to the data controller.
24
Principle 12 Breach The data controller should:
Management ▪ Establish a policy and procedure for identifying, escalating and reporting incidents of personal
information breaches to data subjects and relevant authorities, as necessary, in a timely manner.
▪ Maintain records of all personal information breaches, remediation and monitoring the progress
until the incident is closed.
▪ Implement remediation actions to prevent reoccurrence of personal information breaches of a
similar nature.
Principle 13 Security and The data controller should:
Privacy by Design ▪ Establish an enterprise privacy policy describing the privacy philosophy for the data controller to
ensure the evaluation of the impact to the security and privacy of personal information.
▪ Communicate executive support for the privacy enterprise-wide roles and responsibilities during
the implementation of IT systems and launch of enterprise programs and operations.
Principle 14 Free flow of The data controller should:
information and ▪ Establish a framework to govern the transfer of personal and sensitive information outside of
legitimate the jurisdiction of the data controller to ensure the level of security and privacy protections.
restriction ▪ Document the security and privacy protection requirements for the data processor to
implement within other jurisdictions.
▪ Maintain records of all personal information transferred into and out of the data controller's
jurisdiction.
25
Phase Assess Design Transform Operate Conform
IBM Design
• จัดการความยินยอม
และสิทธิในการเข้าถึง
Case Study ข้อมูล
Outcome
NO
ให้ความรู้
NO
เกี่ยวกับ GDPR
หยุด
(แล้วแต่กรณี)
กลยุทธ์ใดของท่านที่ใช้ยืนยันว่า
คุณมีรายการการ
กาหนด
คุณกาหนดนโยบายเกี่ยวกับ Data การเข้าถึงข้อมูลส่วนบุคคลมี
ประมวลผลข้อมูล Data Governance
ความเหมาะสมและอยู่ภายใต้การ
แผน
Governance อย่างไร
ที่ถูกต้องหรือไม่
ควบคุม
ของท่าน การคุ้มครองข้อมูลส่วนบุคคลอยู่
ภายในขอบเขตของกลยุทธ์ในการ
องค์กรของท่านมีกลยุทธ์ในการ
บริหารจัดการความเสี่ยงที่
ในกรณีปกติ องค์กรของ
ท่านจัดการกับ การประเมินความเสี่ยง
การประเมินความเสี่ยง (Risk Assessment)
บริหารจัดการความเสี่ยงส่วนใด ครอบคลุมหรือไม่
อย่างไร
วิธีการแจ้งข้อมูล ตัวอย่างข้อมูลที่แจ้ง
• ใช้ถ้อยคากระชับ ชัดเจน เข้าใจง่าย • ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูล
• ครบถ้วน โปร่งใส และ up to date • สิทธิเจ้าของข้อมูล
• รูปแบบเข้าถึงง่าย ระยะเวลาเหมาะสม • หน้าที่ของผู้ควบคุมข้อมูล
• แจ้งก่อน หรือขณะเก็บข้อมูล • ข้อมูลเกี่ยวกับการประมวลผล
ของ 4 บริษัทยักษ์ใหญ่
Microsoft
วิธีการรับมือ GDPR ของ Microsoft
1 ระบุขอบเขตที่แน่ชัดของ GDPR
•
•
ออก a self-service privacy portal สาหรับลูกค้าเพื่ อขอสาเนาและลบข้อมูลส่วนบุคคลที่ใช้สาหรับบริการ Cloud
สร้าง Data Inventory ข้อมูลส่วนบุคคล
• ใช้โครงสร้างพื้ นฐานเพื่ อสร้าง data schema ให้เป็นมาตรฐาน, ทาให้เป็นอัตโนมัติและบังคับใช้นโยบายความเป็นส่วนตัว
• ทบทวนและกาหนดมาตรฐานนโยบายการเก็บรักษาข้อมูลในธุรกิจระบบและพั นธมิตร / ซัพพลายเออร์
• อัปเดตเอกสารต่าง ๆ ที่เกี่ยวข้อง เช่น เอกสารทางเทคนิค สัญญาการให้บริการต่าง ๆ ให้สอดคล้องตาม GDPR
• ตรวจสอบข้อกาหนดความเป็นส่วนตัวของข้อมูลและการสร้างข้อกาหนดในการปฏิบัติตาม กระบวนการจัดซื้อ
4 ลงทุนกับเทคโนโลยีใหม่
✓ สร้างระบบอัตโนมัติ เพื่ อเป็นมาตรฐานให้กับข้อมูล นาไปสู่การกากับดูแลง่ายขึ้น
ตัวอย่างการทางาน
• ใช้โปรแกรม Power BI เพื่ อควบคุม GDPR Workstream Dashboard
เพื่ อให้การทางานของทีมเชื่อมโยงกัน
33
Facebook
วิธีการรับมือ GDPR ของ Facebook
2. ปรับปรุงข้อกาหนดของความเป็นส่วนตัว
34
Amazon : AWS (Amazon Web Service)
บฏิบัติตาม GDPR, EU-US Privacy Shield และยังทาตามข้อกาหนดอื่น เช่น
หลักจรรยาบรรณของ CISPE (Cloud Infrastructure Services Providers in
EU) เพื่ อรับรองว่า สินค้าบริการของ AWS สอดคล้องกับ GDPR และข้อปฏิบัติอื่น ๆ
อีกด้วย เช่น ISO 27017 ปลอดภัยของคลาวด์, ISO 27018 ความเป็นส่วนตัวใน
ระบบคลาวด์
36
1 อัพเดต terms และ
contractual protections
▪ อัพเดต terms ให้สอดคล้องกับกฎเกณฑ์และข้อบังคับ ให้เป็นปัจจุบัน
เพื่ อให้การให้บริการ สินค้าและบริการต่าง ๆ ของ Google มีความ
ทันสมัย
37
2 ทา Client Checklist
key area ที่ต้องคานึงถึงในการทา Checklist เช่น
▪ หน่วยงานของท่านมีการรับรองความโปร่งใสของผู้ใช้
(User Transparency) และการควบคุมการใช้ข้อมูลอย่างไร
ท่านได้อธิบายประเภทของข้อมูลที่เก็บหรือไม่ และเก็บไปเพื่ ออะไร
▪ องค์กรของท่านใช้วิธีการให้ความยินยอมที่ถูกต้อง
(Right consents) หรือไม่ (ตาม GDPR, Google EU User Consent
Policy)
38
3 เสริมสร้างการทา Safeguards
ให้แข็งแรงมากขึ้น
จัดให้มีการรักษาความปลอดภัย :
▪ ป้องกันความปลอดภัยของข้อมูลครอบคลุมองค์กร
▪ แต่งตั้งทีมรักษาความปลอดภัยโดยเฉพาะและทีมรักษาความเป็นส่วนตัว
▪ จัดให้มีการ audit อย่างสม่าเสมอ, เป็นประจาปี โดยผู้ตรวจสอบภายนอก (3rd Party Auditor)
39
5 สร้างความโปร่งใสในการใช้ข้อมูลของผู้ใช้งาน
(User Transparency)
➢ สร้างความโปร่งใสเกี่ยวกับการใช้ข้อมูลในสินค้าโฆษณา
➢ โดย Google ขออนุญาต (permission) เมื่อมีการใช้ข้อมูลเพื่ อการโฆษณาและแสดงความโปร่งใส
แบบ real-time ผ่าน “Why This Ad”
➢ Google จะแจ้งผู้ใช้งานผ่าน Google Account ว่า มีการบันทึกข้อมูลของผู้ใช้อะไรบ้าง
(ผู้ใช้จะสามารถควบคุมการใช้ข้อมูลสาหรับการโฆษณาได้)
41
THANK
YOU
www.ETDA.OR.TH
Facebook: ETDA Thailand
Facebook: Surangkana Wayuparb
42