01 PDPA For University

Suphawatchara MALANOND
กฎหมายคุ้มครองข้อมูลส่วนบุคคล - Assistant Professor in Economic Law

-
ส หรับสถาบันการศึกษา IAPP Fellow of Information Privacy (FIP)
- CIPM, CIPP/E (GDPR), CIPP/US, CIPP/A (Asia)
- Certi ed Data Protection Of cer
(EXIN, ECPC-B, PECB, EIPACC)
- ISO/IEC 27001/27701 Senior Lead Implementer
- Graduate School of Management and Innovation (GMI)
King Mongkut's University of Technology Thonburi
[Update 27 Feb 2022] 1 of 102

ำ
fi
fi
ศุภวัชร์ มาลานนท์
FIP, CIPM, CIPP/US, CIPP/E, CIPP/A, Certified DPO
❑ ปรึกษาส นักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (ตุลาคม 2564 - สิงหาคม 2565)
❑ ปรึกษาส นักงานปลัดกระทรวงสาธารสุข (PDPA Implementation, กุมภาพันธ์- กรกฎาคม 2565)
❑ ผู้ช่วยศาสตราจารย์ สาขากฎหมายเศรษฐกิจ
❑ IAPP Fellow of Information Privacy (FIP)
❑ CIPP/US, CIPP/E (GDPR), CIPP/A, IAPP Certified Information Privacy Professional
❑ CIPM, IAPP Certified Information Privacy Manager
❑ Europrivacy Implementer
❑ EXIN Certified Data Protection Officer, Accredited Trainer
❑ European Centre on Privacy and Cybersecurity Certified Data Protection Officer
❑ PECB Certified ISO/IEC 27701 Senior Lead Implementer, Certified Trainer
❑ EXIN Certified Information Security Officer
❑ Certified GRC Auditor (GRCA), Certified GRC Professional (GRCP)
❑ PECB Certified Data Protection Officer, Certified Trainer
❑ PECB Certified ISO/IEC 27001 Senior Lead Implementer, Certified Trainer
❑ Practitioner Certificate in Personal Protection Act Data Protection (Singapore) 2020
❑ EXIN Privacy and Data Protection Practitioner
❑ EXIN Certified Information Security Management Professional based on ISO/IEC 27001
❑ EIPACC DPO Certification (Certificate of GDPR) (The Netherlands) European Data Protection Professionals
Certification (The Netherlands)
❑ Academy of European Law on European Data Protection Law
❑ Tech, Law & Security Program, Fulbright H. Humphrey Fellow, AUWCL (2019-2020)
❑ Research Fellow, Max Planck Institute Luxembourg (2020-2022)
2 of 102
ที่
ที่
ำ
ำ
หั ว ข้ อ การน เสนอ
1 Why do you need to comply with Data Protection Law?
2 Overview of PDPA
3 PDPA LIABILITIES
PDPA for
4 Personal Data LifeCycle and Data Processing Obligations
University
5 Lawful Basis for Data Processing
6 Data Controller’s Responsibilities
7 Data Subject’s Rights
8 Achieving PDPA Compliance
9 Lessons Learned: University of Oxford
Suphawatchara
DPOaaS
MALANOND
(Feb 2022) (Feb 2022) 3 of 102
ำ
1 Why do you need to comply with Data Protection Law?
Start
Suphawatchara
DPOaaS
MALANOND
(Feb 2022) (Feb 2022) 4 of 102
WHY… Why do you need to comply with
Data Protection Law?
ความรับผิดชอบ ความเ อ นจากสาธารณะ ความปลอดภัยของข้อมูล
Accountability Public Trust Data Security

(Meet regulatory compliance (Meet expectations of business (Safeguard data against attacks
clients and partners) and threats)
obligations)
(Meet consumer expectations/

enhance trust)
Source: IAPP-EY Annual Privacy Governance Report 2021, pp. xiv-xv.
Suphawatchara MALANOND (Jan 2022) 5 of 102

ชื่
มั่
GDPR: 12 Countries with GDPR-Like Data Protection Laws
Canada
China Japan
California Republic South Korea
India
Thailand
Brazil
South Africa
Chile Australia
New Zealand
Suphawatchara MALANOND (Feb 2022) 6 of 102

GDPR and PDPA: Rationales and Objectives
1
5
2
0
9
2
290 Appendix 1
(171) Directive 95/46/EC should be repealed by this Regulation. Processing already under
way on the date of application of this Regulation should be brought into conform-
APPENDIX 1 ity with this Regulation within the period of two years after which this Regulation
enters into force. Where processing is based on consent pursuant to Directive 95/
46/EC, it is not necessary for the data subject to give his or her consent again if the
Regulation (EU) 2016/679 of the European manner in which the consent has been given is in line with the conditions of this
Regulation, so as to allow the controller to continue such processing after the date of
Parliament and of the Council application of this Regulation. Commission decisions adopted and authorisations by
supervisory authorities based on Directive 95/46/EC remain in force until amended,
replaced or repealed.
of 27 April 2016 (172) The European Data Protection Supervisor was consulted in accordance with Article
on the protection of natural persons with regard to the processing of personal data and 28(2) of Regulation (EC) No 45/2001 and delivered an opinion on 7 March
on the free movement of such data, and repealing Directive 95/46/EC (General Data 2012 ¹7.
Protection Regulation) (173) This Regulation should apply to all matters concerning the protection of fundamental
(Text with EEA relevance) rights and freedoms vis-à-vis the processing of personal data which are not subject to
specific obligations with the same objective set out in Directive 2002/58/EC of the
European Parliament and of the Council ¹8, including the obligations on the control-
ler and the rights of natural persons. In order to clarify the relationship between this
THE EUROPEAN PARLIAMENT AND THE COUNCIL OF THE Regulation and Directive 2002/58/EC, that Directive should be amended accord-
EUROPEAN UNION, ingly. Once this Regulation is adopted, Directive 2002/58/EC should be reviewed in
Having regard to the Treaty on the Functioning of the European Union, and in particular particular in order to ensure consistency with this Regulation,
Article 16 thereof, HAVE ADOPTED THIS REGULATION:
Having regard to the proposal from the European Commission,
After transmission of the draft legislative act to the national parliaments,
Having regard to the opinion of the European Economic and Social Committee ¹, CHAPTER I GENERAL PROVISIONS
(1) Fundamental rights, and

Having regard to the opinion of the Committee of the Regions ²,
Acting in accordance with the ordinary legislative procedure ³, Article 1
Whereas: Subject-matter and objectives
(2) Free ow of data

1. This Regulation lays down rules relating to the protection of natural persons with
(1) The protection of natural persons in relation to the processing of personal data is a funda-
regard to the processing of personal data and rules relating to the free movement of
mental right. Article 8(1) of the Charter of Fundamental Rights of the European Union (the
personal data.
‘Charter’) and Article 16(1) of the Treaty on the Functioning of the European Union (TFEU)
2. This Regulation protects fundamental rights and freedoms of natural persons and in
provide that everyone has the right to the protection of personal data concerning him or her. particular their right to the protection of personal data.
(2) The principles of, and rules on the protection of natural persons with regard to the 3. The free movement of personal data within the Union shall be neither restricted nor
processing of their personal data should, whatever their nationality or residence, respect prohibited for reasons connected with the protection of natural persons with regard to
their fundamental rights and freedoms, in particular their right to the protection of the processing of personal data.
personal data. This Regulation is intended to contribute to the accomplishment of an
area of freedom, security and justice and of an economic union, to economic and social Article 2
progress, to the strengthening and the convergence of the economies within the internal Material scope
market, and to the well-being of natural persons.
(3) Directive 95/46/EC of the European Parliament and of the Council 4 seeks to harmon- 1. This Regulation applies to the processing of personal data wholly or partly by auto-
ise the protection of fundamental rights and freedoms of natural persons in respect of mated means and to the processing other than by automated means of personal data
processing activities and to ensure the free flow of personal data between Member States. which form part of a filing system or are intended to form part of a filing system.
¹ OJ C 229, 31.7.2012, p. 90. ² OJ C 391, 18.12.2012, p. 127.

³ Position of the European Parliament of 12 March 2014 (not yet published in the Official Journal) ¹7 OJ C 192, 30.6.2012, p. 7.
and position of the Council at first reading of 8 April 2016 (not yet published in the Official Journal). ¹8 Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning
Position of the European Parliament of 14 April 2016. the processing of personal data and the protection of privacy in the electronic communications sector
4 Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the (Directive on privacy and electronic communications) (OJ L 201, 31.7.2002, p. 37).
protection of individuals with regard to the processing of personal data and on the free movement of
such data (OJ L 281, 23.11.1995, p. 31).

fl
Data Sharing Myths Busted [1/5]
Myth #1: Data protection law stops all organisations and

businesses from sharing personal data.
Fact: Data protection law enables organisations and

businesses to share personal data securely, fairly and
proportionately.
กฎหมายคุ้มครองข้อมูลช่วยให้องค์กรและธุรกิจ
สามารถแบ่ง นข้อมูลส่วนบุคคลได้อย่าง
ปลอดภัย เ นธรรมและได้สัดส่วน
Source: https://ico.org.uk/for-organisations/data-sharing-information-hub/data-sharing-myths-busted/

ป็
ปั
Myth #2: Only large tech companies gain any bene t from data
sharing.
Fact: Data sharing can bring signi cant social and economic
bene ts for a wide range of organisations and for individuals,
including job creation, ef cient delivery of public services -
including support for the vulnerable and improved customer
experience.
การแบ่ ง นข้ อ มู ล สามารถน มา งผลประโยชน์ ท างสั ง คมและเศรษฐกิ จ

ส คั ญ ส หรับ องค์ ก รและเจ้ า ของข้ อ มู ล ส่ ว นบุ ค คล หลากหลายรวมถึ ง การ
สร้างงาน การให้บริการสาธารณะอย่างมีประสิทธิภาพ การสนับสนุนกลุ่ม
เปราะบางต่าง ๆ และสร้างประสบการณ์ ดี นให้แก่ผู้ใช้บริการ

ซึ่
ที่
ขึ้
ที่
ที่
ำ
fi
ำ
ปั
fi
ำ
fi
fi
Myth #3: Personal data can’t be shared in emergency

situations.
Fact: You can share data in an emergency, and you should

do whatever is necessary and proportionate to save
someone’s life. Data protection does not stop that.
องค์กรสามารถแบ่ง นข้อมูลในกรณีฉุกเฉิน และควรท ทุกอย่าง จ เ นและเหมาะสมเ อช่วยชีวิตของบุคคล

กฎหมายคุ้มครองข้อมูลส่วนบุคคลไม่ได้เ นอุปสรรคต่อการด เนินการดังกล่าว
ตัวอย่างของสถานการณ์ฉุกเฉิน ได้แก่ ความเ ยง จะเกิดอันตรายร้ายแรงต่อชีวิตมนุษย์ วิกฤตด้านสาธารณสุข หรือ

การคุ้มครองความ นคงของชาติ
องค์กรควร นใจว่าข้อมูลส่วนบุคคล เ ยวข้องสามารถแบ่ง นได้ตามกฎหมาย หากเ นการปก องบุคคลจาก

อันตรายร้ายแรงต่อร่างกาย อารมณ์หรือจิตใจ

มั่
มั่
ที่
กี่
สี่
ที่
ที่
พื่
ปั
ป็
ำ
ำ
ปั
ำ
ป็
ป็
ป้
Myth #4: Data protection law prevents organisations from sharing sensitive
personal data with the police or other law enforcement authorities.
Fact: When the police and other ‘competent authorities’, ask organisations and
businesses for information to help them investigate, prevent, detect or prosecute a
crime, the law enables appropriate data sharing to take place.
เ อต รวจและเจ้าหน้า ผู้มีอ นาจ น ๆ งมีอ นาจหน้า ตามกฎหมายขอ

ข้อมูลองค์กรและธุรกิจเ อช่วยในการตรวจสอบ องกัน ตรวจจับ หรือด เนิน
คดีกับอาชญากรรม กฎหมายอนุญาตให้มีการแบ่ง นข้อมูล เหมาะสมได้

มื่
ที่
พื่
อื่
ซึ่
ที่
ที่
ำ
ำ
ำ
ป้
ปั
ำ
Myth #5: Consent is always needed to share people’s data with another
organisation.
Fact: Not always. You can usually share without consent if you have a good
reason to do so. And often it is inappropriate to rely on consent.
“ความยินยอม” ไม่ใช่ฐานทางกฎหมาย เหมาะสมเสมอไป โดยปกติแล้วองค์กรสามารถแบ่ง

นข้อมูลได้โดยไม่ต้องได้รบ
ั ความยินยอมหากมีเหตุผล กฎหมายอนุญาต (จ เ น) และบ่อยค งก็ไม่
เหมาะสม จะใช้ความยินยอม อาทิ ธนาคารแบ่ง นข้อมูลเ อวัตถุประสงค์ในการ องกันการฉ้อโกง
บริษัทประกันภัยขอข้อมูลส หรับการเรียกร้องค่าสินไหม หรือหน่วยงานต้องการข้อมูลส่วนบุคคลใน
ประเมินภาษี - กรณีข้างต้นไม่ใช้ความยินยอมเ น นฐานทางกฎหมายในการแบ่ง นข้อมูลส่วน
บุคคล

ที่
รั้
ที่
พื้
ที่
พื่
ปั
ำ
ป็
ปั
ำ
ป็
ป้
ปั
2 Overview of PDPA
ภาพรวม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
Start
Suphawatchara
DPOaaS
MALANOND
(Feb 2022) (Feb 2022) 13 of 102
PDPA คื อ อะไร
▪ Personal Data Protection Act ▪ Risk-bas ed & Right-bas ed

▪ บั ง คั บ ใช้ งฉบั บ 1 มิ ถุ น ายน 2565
B.E. 2562 (PDPA) Re gulatory compliance
▪ ส่ ว นมาตรการด้ า นความ นคง
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ปลอดภั ย ใช้ บั ง คั บ แล้ ว
พ.ศ. 2562

ทั้
มั่
ภาพรวม พ.ร.บ.คุ้ ม ครองข้ อ มู ล ส่ ว นบุ ค คล พ.ศ. 2562
การคุ้มครองข้อมูลส่วนบุคคล หมวด 2
มาตรา หลักการขอความยินยอนข้อมูลส่วนบุคคล วไปและข้อมูลของผู้เยาว์
19-27
หลักการเก็บรวบรวม ใช้ และเ ดเผยข้อมูลส่วนบุคคล หมวด 3 สิทธิของเจ้าของข้อมูลส่วนบุคคล
ข้อยกเว้นในการเก็บรวบรวม ใช้ และเ ดเผยข้อมูลส่วนบุคคล
หลักการเก็บรวบรวม ใช้ และเ ดเผยข้อมูส่วนบุคคล มีความละเอียดอ่อน มาตรา การก หนดสิทธิของเจ้าของข้อมูล ได้แก่ การขอเข้าถึงและขอรับส เนา
30-36
ข้อมูล (Access) การขอโอนหรือรับข้อมูล เก็บแบบอัตโนมัติ (Data
มาตรา หลักเกณฑ์การส่งหรือโอนข้อมูลส่วนบุคคลต่างประเทศ portability) การขอคัดค้านการเก็บข้อมูล (Objection) การขอให้ลบหรือ
28-29
ท ลาย (Erasure) การระงับการใช้ (Restriction) การขอท ให้ข้อมูลถูกต้อง
(Recti cation)
การร้องเรียน หมวด 5
มาตรา การแต่ง ง คกก.ผู้เ ยวชาญเ อพิจารณาตรวจสอบเ องร้องเรียนและ มาตรา หน้า ของผู้ควบคุมข้อมูลส่วนบุคคล (Data controller) ต้องจัดให้มี
71-76 37-39
ไกล่เก ยการแต่ง งแะละอ นาจหน้า ของพนักงานเจ้าหน้า มาตรการรักษาความ นคงปลอดภัย จัดท บันทึกรายการกิจกรรมและต้อง
แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่ส นักงาน
ความรับผิดทางแพ่ง หมวด 6
มาตรา การก หนดค่าสินไหมทดแทนและอายุความ
มาตรา หน้า ของผู้ประมวลผลข้อมูลส่วนบุคคล (Data processer) ต้องจัดให้มี
40
77-78 มาตรการรักษาความ นคงปลอดภัยและจัดท บันทึกรายการกิจกรรม
บทก หนดโทษ หมวด 7 มาตรา หน้า ของเจ้าหน้า คุ้มครองข้อมูลส่วนบุคค (Data protection of cer, DPO)
41-42
มาตรา การก หนดโทษอาญา สูงสุดจ คุกไม่เกิน 1 หรือปรับไม่เกิน 1 ล้านบาท
79-81
หรือ งจ งปรับ
มาตรา การก หนดทางปกครอง ปรับสูงสุด 5 ล้านบาท หมวดเฉพาะกาล
82-90
มาตรา
95
การเก็บรวบรวมและใช้ข้อมูลเดิม

ำ
ทั้
ที่
ที่
ที่
ำ
ำ
ำ
ำ
ำ
ลี่
fi
ตั้
ำ
ทั้
ตั้
ที่
ชี่
มั่
มั่
ำ
พื่
ปิ
ปิ
ำ
ที่
ปิ
ำ
ที่
ทั่
ำ
ปี
ำ
ที่
รื่
ำ
ที่
ำ
fi
3 LIABILITIES
ความรับผิด
Start
Suphawatchara
DPOaaS
MALANOND
(Feb 2022) (Feb 2022) 16 of 102
ความรั บ ผิ ด
ความรับผิดทางละเมิดของเจ้าหน้า
ความรับผิดตาม ป.อาญา มาตรา 157
ความรับผิดทางแพ่ง ค่าปรับทางปกครอง จ นวน จ คุกกรรมการหรือผู้บริหาร

ของนิติบุคคลไม่เกิน 6 เดือน
‣ ค่าเสียหายเ อการลงโทษ (Punitive Damages) ‣ ห้าแสน หรือ 1
‣ การด เนินคดีแบบกลุ่ม (Class Action) ‣ 1 ล้าน
‣ ค่าธรรมเนียมทนายความ (Attorney ‣ 3 ล้าน
Contingency Fee) ‣ 5 ล้านบาท
‣ (แล้วแต่กรณี)

ที่
พื่
ำ
ำ
ปี
ำ
ความรับผิดทางแพ่ง: การด เนินคดีแบบกลุ่ม
Scenario: Possible C ศาลก หนดค่าเสียหายให้ 2 เท่า ของค่าเสียหาย แท้จริง
Data Breach Outcome:
Punitive
Damages
(PD)
A สมมติว่ามีข้อมูล วไหลไปจ นวน 10,000 รายการ D ทนายความได้ ร้อยละ 30 ของค่าเสียหาย งหมด
Attorney
แต่ละรายมีค่าเสียหายรายละ 1,000 บาท Contingency Fee
(ACF)
B Actual
Damages
(AD) @1,000 B.
ค่าเสียหาย งหมด อาจจะต้องจ่ายในคดี
ผู้เสียหาย งทนายความ ปรึกษาเ อด เนินคดีแบบกลุ่ม ADM
[ B (2x B ) ]x A
[Awarded Damages for Class’s Member = [AD+(2AD)] x No. of Class’s Member

ACF 0.3 x AD
Class Action
Attorney Fee = 30% of Awarded Damages for Class’s Member

ที่
นี้
ทั้
ทั้
ตั้
รั่
ที่
ที่
พื่
ำ
ำ
ำ
ำ
ความรับผิดทางแพ่ง: การด เนินคดีแบบกลุ่ม
ค่าเสียหาย งหมด อาจจะต้องจ่ายในคดี
Awarded Damages for Class’s Member = [AD+(2AD)] x No. of Class’s Member

1
1
Awarded
Damages for ฿ 30 M.
Class’s [
= 1,000 + (2x1,000) ] x 10,000
Member
Class Action
2
Attorney Fee = 30% of Awarded Damages for Class’s Member
2
฿ 9 M.
Attorney
Fee
= 30,000,000 x 0.3
฿ 39 M.

ที่
นี้
ทั้
ำ
ความรั บ ผิดทางอาญาของกรร มก าร/ผู้ มีอ นาจนิติบุคคล
ใช้ เ ดเผยข้อมูลส่วน
บุคคลตามมาตรา 26
โดยปราศจากฐานทาง
โดยประการ น่ า จะท ให้ ผู้ น • จ คุกไม่เกิน 6 เดือน
กฎหมาย
เสียหาย เสีย อเสียง ถูกดูห น • เกิดจากการ งการ
(PDPA Art. 27 para1)
• ปรับไม่เกิน 500,000 บาท
ใช้ เ ดเผย ข้อมูลส่วน ถูกเกลียดชัง ฯลฯ ห รื อ ก า ร ก ร ะ ท
บุคคลตามมาตรา 26 • หรือ งจ งปรับ ของกรรมการ
ไม่ถูกต้องตาม
วัตถุประสงค์ • ละเว้นการกระท
(PDPA Art.27 para3)
(PDPA Art.79,81)
• จ คุกไม่เกิน 1
โอนข้อมูลส่วนบุคคล
เ อแสดงหาประโยชน์ มิชอบ
ตามมาตรา 26 ไปต่าง • ปรับไม่เกิน 1 ล้าน บาท
ด้ ว ยกฎหมายส หรั บ ตนเอง
ประเทศโดยไม่ชอบ
หรือผู้ น • หรือ งจ งปรับ
ด้วยกฎหมาย (PDPA
Art.28)

ทั้
ทั้
ทั้
ทั้
สั่
พื่
อื่
ชื่
ที่
ที่
อื่
ำ
ำ
ปิ
ปิ
ำ
ำ
ปี
ำ
ำ
ำ
ำ
มิ่
ำ
4 Personal Data Lifecycle
Start
Suphawatchara
DPOaaS
MALANOND
(Feb 2022) (Feb 2022) 21 of 102
วง จ รชี วิ ต ข อง ข้ อ มู ล ส่ ว น บุ ค ค ล
Pe rs ona l Data Lifec ycle
PDPA as Legal Framework for Regulatory Compliance
CMU must implement control and safeguard.
Data Storage Data Disclosure Data Archival

(รูปแบบการจัดเก็บ (องค์กรภายนอก มีการ (มีการส รองข้อมูลไว้
แหล่ง จัดเก็บ) เ ดเผยข้อมูล) ไหนหรือไม่)
(Handling of Data Subject Request/Response of Request)

Physical/Electronic Retention Period
(ระยะเวลาการจัดเก็บ)
Data Collection Data Use Data Transfer Data Disposal
(Lawful basis, Access to (Rules for international transfer) (การลบและท ลายข้อมูล)
Notice requirement, purpose
limitation, data minimization) Personal Data
(ฐานทางกฎหมาย,การแจ้ง, วัตถุประสงค์จ กัด, (ภายในองค์กร: ใครบ้าง (มีการโอนข้อมูลฯ ไปต่างประเทศหรือไม่
ใช้ข้อมูลน้อย สุด) ใช้และเข้าถึงข้อมูล) รูปแบบ, วิธีการโอน)
Ensuring Data Privacy & Security (Breach Notification)

[การมี ม าตรการด้ า นควา นคงปลอดภั ย เหมาะสม/การแจ้ ง เหตุุ การละเมิ ด ]
มั่
ที่
ที่
ที่
ปิ
ที่
ำ
ที่
ำ
ที่
ำ
วงจรชีวิ ต ข้อมูลส่ว นบุคคล
Data Collection 1. ฐานทางกฎหมาย (7 ฐานตามมาตรา 24,

1. Lawful basis
และ 26)
2. Notice requirement 2. การแจ้ง (ม.23 Privacy Notice)
3. purpose limitation 3. วัตถุประสงค์จ กัด (ม.21)
4. data minimization
4. ใช้ข้อมูลน้อย สุด (ม.22)
ที่
ำ
ความหมา ยของข้อมูลส่วนบุคค ล มีอย่างไรบ้าง
เจ้ า ของข้ อ มู ล ส่ ว นบุ ค คล?

[พิจารณาตามบริบทประมวลผล]
PDPA มาตรา 6 “ข้อมูลส่วนบุคคล” หมายความว่า บุคคลธรรมดา ข้อมูลส่วนบุคคล นระบุไปถึง
ข้อมูลเ ยวกับบุคคล (ธรรมดา) งท ให้สามารถ
ระบุตัวบุคคล นได้ไม่ว่าทางตรงหรือทางอ้อม แ ต่
ไ ม่ ร ว ม ถึ ง ข้ อ มู ล ข อ ง ผู้ ถึ ง แ ก่ ก ร ร ม โ ด ย เ ฉ พ า ะ
1 โดยทางตรง
2 เ อมโยงกับข้อมูล น ๆ
32K
นั้
ที่
นั้
ชื่
อื่
กี่
ซึ่
ำ
SPECIAL CATEGORIES OF PERSONAL DATA/SENSITIVE DATA
Racial or Ethnic origin Health information
ต้องการฐานทางกฎหมาย
1 เ อ ช า ติ เ ผ่ า พั น ธ์ 6 ข้ อ มู ล สุ ข ภ า พ
เ มเติมในการประมวลผล
Political opinion Disability
2 ค ว า ม คิ ด เ ห็ น ท า ง ก า ร เ มื อ ง 7 ข้ อ มู ล ค ว า ม พิ ก า ร
Religious or
3 philosophical beliefs
8 Trade union information
ข้ อ มู ล ส ห ภ า พ แ ร ง ง า น
ค ว า ม เ อ ใ น ลั ท ธิ ศ า ส น า ห รื อ ป รั ช ญ า
Sexual orientation Genetic data

4 พ ฤ ติ ก ร ร ม ท า ง เ พ ศ 9 ข้ อ มู ล พั น ธุ ก ร ร ม
Biometric data
Criminal record
5 ป ร ะ วั ติ อ า ช ญ า ก ร ร ม
10 ข้ อ มู ล ชี ว ภ า พ

ชื้
ชื่
พิ่
01 02 03 04
ปฏิบัติตามกรอบของ มีวัตถุประสงค์ ใช้ข้อมูลให้น้อย ความถูกต้องของ
กฎหมาย เ นธรรมและ จ กัด สุด ข้อมูล
Data Processing โปร่งใส (Purpose limitation) (Data minimisation) (Accuracy)
(PDPA Art. 21, 37(3)) (PDPA Art. 22) (PDPA Art.35)
(Lawfulness, fairness
Obligations and transparency) (PIMS clause 7.2.1) (PIMS clause 7.4.4) (PIMS clause 7.4.3)
(PDPA Art. 24)
หน้า ต่อการประมวลผล
(PIMS clause 7.2.2)
05 06 07
ระยะเวลาการจัดเก็บ ความปลอดภัยของ ความรับผิดชอบ
ข้อมูลเท่า จ เ น ข้อมูล (Accountability)
RoPA PDPA Art.39
(Storage limitation) (Integrity and
(PDPA Art. 23(3), confidentiality (PIMS 0.1, ref to ISO/
37(3), 39(4)) (PDPA Art. 37(1))
IEC 29100)
(PIMS clause 7.4.4, (PIMS clause 5.1, 6.1)
7.4.5, 7.4.7, 7.4.8) ISO/IEC 27701:2019 PIMS
ที่
ที่
ที่
ที่
ำ
ป็
ำ
ป็
Data Processing Obligations (1)
01 02 03 04 05 06 07
PDPA
✓ ประมวลผลข้ อ มู ล ฯ ต้ อ งมี ฐ านทางกฎหมาย ดู ม าตรา

24 (และ 26) ทุ ก ค ง
✓ ความโปร่ ง ใสจึ ง ต้ อ งมี ก ารบั น ทึ ก กิ จ กรรม (ม.39)
และแจ้ ง การประมวลผล (ม.23)
01 GDPR
ปฏิบัติตามกรอบของกฎหมาย
▪ ถูกประมวลผลโดยชอบด้วยกฎหมาย เ นธรรม และด้วยวิธีการอันโปร่งใส
เ นธรรมและโปร่งใส
▪ กฎหมาย หมายถึง PDPA และกฎหมาย น ๆ (การประมวลผลต้องไม่ละเมิด
(Lawfulness, fairness and
transparency) กฎหมาย น ๆ)
(PDPA Art. 24, 26 และ 23) ▪ โดยเฉพาะอย่าง งต้องมีฐานทางกฎหมายในการประมวลผลตาม PDPA
(lawful basis)

รั้
อื่
อื่
ป็
ยิ่
ป็
01 02 03 04 05 06 07
02
มีวัตถุประสงค์ จ กัด PDPA
(Purpose limitation)
(มาตรา 21) ผู้ควบคุมข้อมูลส่วนบุคคลต้องท การเก็บรวบรวม ใช้ หรือเ ด
(PDPA Art. 21, 37(3))
เผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ ได้แจ้งเจ้าของข้อมูลส่วนบุคคลไว้
GDPR ก่อนหรือในขณะ เก็บรวบรวม
ถูกรวบรวมเ อวัตถุประสงค์ เฉพาะ ชัดเจนและ การเก็ บ รวบรวม ใช้ หรื อ เ ดเผยข้ อ มู ล ส่ ว นบุ ค คล แตกต่ า งไปจาก
ชอบธรรม และไม่ถูกประมวลผลนอกเหนือไปจาก วัตถุประสงค์ ได้แจ้งไว้ตามวรรคห งจะกระท มิได้ เว้นแต่

ตกลงไว้แต่ต้นด้วยวิธีการ เข้ากับวัตถุประสงค์ 1. ได้แจ้งวัตถุประสงค์ใหม่ นให้เจ้าของข้อมูลส่วนบุคคลทราบและได้รับ
งต้นไม่ได้ ความยินยอมก่อนเก็บรวบรวม ใช้ หรือเ ดเผยแล้ว
(initial purpose, compatible purpose) 2. บทบัญญัติแห่งพระราชบัญญัติ หรือกฎหมาย นบัญญัติให้กระท ได้

ตั้
นั้
ที่
พื่
ที่
ที่
ที่
ที่
ที่
นี้
นึ่
ที่
อื่
ที่
ำ
ปิ
ปิ
ำ
ำ
ำ
ปิ
01 02 03 04 05 06 07
03
ใช้ข้อมูลให้น้อย สุด
(Data minimisation) PDPA
(PDPA Art. 22)
การเก็บรวบรวมข้อมูลส่วนบุคคล ให้เก็บรวบรวมได้เท่า จ เ นภาย
ใต้วัตถุประสงค์อันชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล
GDPR
(มาตรา 22)
เพียงพอ เ ยวเ องและอยู่ในขอบเขต จ เ น โดย
จัดให้มีระบบการตรวจสอบเ อด เนินการลบหรือท ลายข้อมูลส่วน
สัมพันธ์กับวัตถุประสงค์ ข้อมูลถูกประมวลผล
บุคคลเ อพ้นก หนดระยะเวลาการเก็บรักษา หรือ ไม่เ ยวข้อง
หรือเกินความจ เ นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูล
ส่วนบุคคล น...( มาตรา 37(3))

ที่
กี่
นั้
มื่
กี่
นื่
ที่
ที่
พื่
ที่
ที่
ำ
ำ
ป็
ำ
ำ
ป็
ำ
ำ
ป็
01 02 03 04 05 06 07
04
ความถูกต้องของข้อมูล
(Accuracy)
(PDPA Art.35)
GDPR PDPA
ถูกต้องและเ น จจุบัน นตอน จ เ น งหมดจะต้องถูกปฏิบัติ ผู้ควบคุมข้อมูลส่วนบุคคลต้องด เนินการให้ข้อมูลส่วนบุคคล น

เ อรับประกันว่าข้อมูลส่วนบุคคล ไม่ถูกต้องจะถูกลบหรือแก้ไข ถูกต้อง เ น จจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด
โดยไม่ชักช้า โดยค นึงถึงวัตถุประสงค์ ข้อมูลถูกประมวลผล (ม.35)

ขั้
ทั้
นั้
พื่
ที่
ที่
ที่
ป็
ป็
ปั
ปั
ำ
ำ
ำ
ป็
01 02 03 04 05 06 07
PDPA
o ข้อมูลส่วนบุคคล จะมีการเก็บรวบรวมและระยะเวลาในการเก็บรวบรวมไว้ ง ในกรณี ไม่

สามารถก หนดระยะเวลาดังกล่าวได้ชัดเจน ให้ก หนดระยะเวลา อาจคาดหมายได้ตามมาตรฐาน
05 ของการเก็บรวบรวม (23(3))
o จัดให้มีระบบการตรวจสอบเ อด เนินการลบหรือท ลายข้อมูลส่วนบุคคลเ อพ้นก หนดระยะ
เวลาการเก็บรักษา หรือ ไม่เ ยวข้องหรือเกินความจ เ นตามวัตถุประสงค์ในการเก็บรวบรวม
ระยะเวลาการจัดเก็บข้อมูลเท่า จ เ น
ข้อมูลส่วนบุคคล น หรือตาม เจ้าของข้อมูลส่วนบุคคลร้องขอ หรือ เจ้าของข้อมูลส่วนบุคคลได้
(Storage limitation)
ถอนความยินยอม (37(3))
(PDPA Art. 23(3), 37(3), 39(4))
o ให้ผู้ควบคุมข้อมูลส่วนบุคคลบันทึกรายการ “ระยะเวลาการเก็บรักษาข้อมูลส่วนบุคค” เ อให้
เจ้าของข้อมูลส่วนบุคคลและส นักงานสามารถตรวจสอบได้ โดยจะบันทึกเ นหนังสือหรือระบบ
อิเล็กทรอนิกส์ก็ได้ (39(4))

นั้
ทั้
ที่
ที่
พื่
กี่
ที่
ที่
ที่
ที่
มื่
นี้
พื่
ที่
ำ
ำ
ำ
ำ
ป็
ำ
ำ
ำ
ป็
ป็
ำ
01 02 03 04 05 06 07
06
ความปลอดภัยของข้อมูล
(Integrity and
confidentiality
(PDPA Art. 37(1), 40(2))
PDPA
GDPR
จัดให้มีมาตรการรักษาความ นคงปลอดภัย เหมาะสม เ อ
▪ ถู ก ประมวลผลโดยมี ห ลั ก ประกั น ความปลอดภั ย ของข้ อ มู ล ส่ ว น
บุคคล องกันการสูญหาย เข้าถึง ใช้ เป ยนแปลง แก้ไข หรือเ ดเผย
ข้อมูลส่วนบุคคลโดยปราศจากอ นาจหรือโดยมิชอบ และต้อง
▪ มีมาตรการคุ้มครองจากการประมวลผล ไม่ได้รับอนุญาตหรือไม่
ชอบด้วยกฎหมายและจากการสูญเสีย การถูกท ลายหรือความเสีย ทบทวนมาตรการดังกล่าวเ อมีความจ เ นหรือเ อเทคโนโลยี
หายโดยอุ บั ติ เ หตุ โดยใช้ ม าตรการทางเทคนิ ค หรื อ การจั ด การ เป ยนแปลงไปเ อให้มีประสิทธิภาพในการรักษาความ นคง
องค์กรตามสมควร ปลอดภัย เหมาะสม ( ม.37(1)) (Data Peocessor ดู ม.40(2))

มั่
มั่
ลี่
ที่
พื่
มื่
ลี่
ที่
ที่
มื่
พื่
ป้
ำ
ำ
ป็
ำ
ปิ
01 02 03 04 05 06 07
07
ความรับผิดชอบ ผู้ควบคุมข้อมูลส่วนบุคคล (องค์กร) เ นผู้รบ
ั ผิดชอบต่อการปฏิบัติ
(Accountability) ตามข้อ (1)-(6) และสามารถแสดงและพิสูจน์ได้ว่าได้ด เนินการแล้ว
(demonstrate of compliance)
Suphawatchara MALANOND (Feb 2022)

33 of 102
ป็
ำ
Cornerstone of Accountability-based Compliance Framework
ความปลอดภัยของข้อมูล (ม.37) การประมวลผล ชอบด้วยกฎหมาย

Integrity and Con dentiality โปร่งใส เ นธรรม (PDPA ม. 24, 23)
Lawfulness , fairness and
Processed in a manner to
maintain security transparency
ระยะเวลาการจัดเก็บข้อมูลเท่า จ เ น มีวต
ั ถุประสงค์ ชอบด้วยกฎหมาย (และ
(ม.23(3), 37(3), 39(4)) อย่างจ กัด) (ม.21)
Storage limitation Accountability Purpose limitation
Retained only for as long as ความรับผิดชอบ Collected for speci ed
necessary for achieving the explicit and legitimate
purpose purposes
ใช้ข้อมูลน้อย สุด เพียงเท่า

ความถูกต้องของข้อมูล (ม.35) จ เ นตามวัตุประสงค์ (ม.22)
Accuracy Data minimisation
Accuracy any, where Adequate, relevant and limited to what

necessary, kept up to date necessary in relation to the purpose

ที่
ที่
ที่
ที่
ที่
ำ
ป็
ำ
ป็
fi
fi
ำ
ป็
APEC Framework: Accountability Principle
IX. Accountability
32. A personal information controller 32. Efficient and cost effective business
The APEC Framework 2015, published by the Asia-Pacific Economic
should be accountable for complying
with measures that give effect to the
models often require information
transfers between different types of Cooperation, is a framework to protect privacy within and beyond
economies and to enable regional transfers of personal information benefits
Principles stated above. When organizations in different locations with
personal information is to be varying relationships. When
transferred to another person or transferring information, personal
organization, whether domestically
or internationally, the personal
information controllers should be
accountable for ensuring that the
consumers, businesses, and governments. This framework is used as a basis
information controller should obtain
the consent of the individual or
recipient will protect the information
consistently with these Principles when for the APEC Cross-Border Privacy Rules (CBPR) System. (IAPP)
exercise due diligence and take not obtaining consent. Thus,
reasonable steps to ensure that the information controllers should take
recipient person or organization will reasonable steps to ensure the
protect the information consistently information is protected, in accordance
with these Principles. with these Principles, after it is
transferred. “A personal information controller should be accountable
There are certain situations where such
due diligence may be impractical or for complying with measures that give effect to the
Principles stated above. ”
impossible, for example, when there is
no on-going relationship between the
personal information controller and the
third party to whom the information is
disclosed. In these types of
circumstances, personal information
controllers may choose to use other
means, such as obtaining consent, to
assure that the information is being A useful means for a personal information controller to help
ensure accountability for the personal information it holds
protected consistently with these
Principles. However, in cases where
disclosures are required by domestic
is to have in place a privacy management

law, the personal information controller
would be relieved of any due diligence
or consent obligations.
programme.
A useful means for a personal
information controller to help ensure
accountability for the personal
information it holds is to have in place a
privacy management programme.7
Part.Privacy
APEC IV. Implementation
Framework 2015
Page 22 of 31
33. Part IV provides guidance to member economies on implementing the APEC Privacy
Framework. Section A. focuses on those measures member economies should
consider in implementing the Framework domestically, while Section B sets out Suphawatchara MALANOND (Feb 2022) 35 of 102
5 L aw f u l B a s i s fo r D a t a P r o c e s s i n g
(ฐานในการประมวลผลข้ อ มู ล ส่ ว นบุ ค คล)
Start

ความแตกต่ า งของ GDPR และ PDPA
GDPR P D PA

ฐานในการประมวลผลข้อมูลส่วนบุคคล
ประมวลผลต้องมีฐาน ในกรณีของข้อมูลส่วนบุคคล วไป ให้พิจารณาฐานทางกฎหมายตามมาตรา 24

ทางกฎหมายเสมอ
1 2 3 4 5 6 7
วิจัย สถิติ และเอกสาร ปฏิบัติตามสัญญา ประโยชน์โดยชอบ

ประวัติศาสตร์ ด้วยกฎหมาย
ปฏิบัติตาม
ความยินยอม องกันอันตรายเ ยว เ อประโยชน์ กฎหมาย
กับชีวิต ฯลฯ สาธารณะ

ทั่
พื่
กี่
ป้
ฐานการประมวลผลข้อมูล วไป ส หรั บ องค์กรของรั ฐ
ในกรณีของข้อมูลส่วนบุคคล วไป ให้พิจารณาฐานทางกฎหมายตามมาตรา 24
1 01 ความยินยอม (Consent)
เ นการจ เ นเ อการปฏิบัติตามสัญญา งเจ้าของข้อมูลส่วนบุคคลเ นคู่สัญญาหรือ
2 02 เ อใช้ในการด เนินการตามค ขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าท สัญญา น

(Contractual Basis)
3 03 ภาระกิจเ อประโยชน์สาธารณะ (Public Tasks)
เ นการจ เ นเ อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วน
4 04 บุคคลหรือของบุคคลหรือนิติบุคคล น ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล
(Legitimate Interest)
505 เ นการปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล (Legal Obligation)
Suphawatchara MALANOND (Nov 2022) 39 of 102

ทั่
ทั่
นั้
พื่
พื่
พื่
พื่
อื่
ที่
ซึ่
ป็
ป็
ป็
ำ
ำ
ป็
ป็
ำ
ำ
ำ
ป็
ำ
ฐานในการประมวลผลของหน่วยงานรัฐ: กรณีศึกษาจาก ICO
Data protection
Guide to the
General Data Protection
Regulation (GDPR)
Suphawatchara MALANOND ( Feb 2022) 40 of 102

ข้อพิจารณาเ อใช้ฐานคว ามยินย อม (1 )
การขอความยินยอมต้องท โดยชัดแจ้ง เ นหนังสือหรือท โดยผ่านระบบอิเล็กทรอนิกส์

01 เว้นแต่โดยสภาพไม่อาจขอความยินยอมด้วยวิธีการดังกล่าวได้
Explicit Consent:
02
Purpose Limitation:
ในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้ง
วัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเ ดเผยข้อมูลส่วนบุคคลไปด้วย
03
Form of Consent:
การขอความยินยอม นต้องแยกส่วนออกจากข้อความ นอย่างชัดเจน มีแบบหรือข้อความ เข้าถึงได้ง่ายและเข้าใจได้
รวม งใช้ภาษา อ่านง่าย และไม่เ นการหลอกลวงหรือท ให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์ดังกล่าว
ในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลต้อง
04
Freely Given:
ค นึงอย่างถึง สุดในความเ นอิสระของเจ้าของข้อมูลส่วนบุคคลในการให้ความยินยอม
( P D PA A r t . 1 9 )
มื่
ทั้
นั้
ที่
ที่
อื่
ที่
ำ
ำ
ป็
ป็
ป็
ปิ
ำ
ำ
ข้อพิจารณาเ อใช้ฐา นค วามยินยอม (2)
เจ้าของข้อมูลส่วนบุคคลจะถอนความยินยอมเสียเ อใดก็ได้โดยจะต้องถอนความยินยอมได้ง่ายเช่นเดียวกับการให้ความ
05 ยินยอม เว้นแต่มีข้อจ กัดสิทธิในการถอนความยินยอมโดยกฎหมายหรือสัญญา ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคล
Right to Withdraw:
การถอนความยินยอมย่อมไม่ส่งผลกระทบต่อการเก็บรวบรวม ใช้ หรือเ ดเผยข้อมูลส่วนบุคคล เจ้าของ
06
Effect:
ข้อมูลส่วนบุคคลได้ให้ความยินยอมไปแล้วโดยชอบตาม ก หนดไว้ในหมวด ในกรณี การถอนความยินยอม
ส่งผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลในเ องใด ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งให้เจ้าของข้อมูลส่วน
บุคคลทราบถึงผลกระทบจากการถอนความยินยอม น
การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ไม่เ นไปตาม ก หนดไว้ในหมวด ไม่มีผลผูกพันเจ้าของ
07 ข้อมูลส่วนบุคคล และไม่ท ให้ผู้ควบคุมข้อมูลส่วนบุคคลสามารถท การเก็บรวบรวมใช้ หรือเ ดเผยข้อมูลส่วน

บุคคลได้
Non-binding:
( P D PA A r t . 1 9 )

มื่
นั้
รื่
ที่
มื่
ที่
ที่
นี้
ที่
ที่
นี้
ที่
ำ
ำ
ป็
ำ
ำ
ำ
ปิ
ปิ
คุ ก [1/3]

กี้
คุ ก [2/3]

กี้
คุ ก [3/3]
Source: https://www.ais.th/cookiesPolicy/th/

กี้
คุ ก [3/3]
Source: https://www.ais.th/cookiesPolicy/th/

กี้
Rig h ts to Withdrawal of Con s ent
มาตรา 19 เจ้าของข้อมูลส่วนบุคคลจะถอนความยินยอมเสียเ อใดก็ได้โดยจะต้องถอนความยินยอมได้ง่ายเช่นเดียวกับการให้
ความยินยอม เว้นแต่มีข้อจ กัดสิทธิในการถอนความยินยอมโดยกฎหมายหรือสัญญา ให้ประโยชน์แก่เจ้าของข้อมูลส่วน
para 5
บุคคล ง การถอนความยินยอมย่อมไม่ส่งผลกระทบต่อการเก็บรวบรวม ใช้ หรือเ ดเผยข้อมูลส่วนบุคคล เจ้าของ
ข้อมูลส่วนบุคคลได้ให้ความยินยอมไปแล้วโดยชอบตาม ก หนดไว้ในหมวด
ในกรณี การถอนความยินยอมส่งผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลในเ องใด ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้ง

para 6
ให้เจ้าของข้อมูลส่วนบุคคลทราบถึงผลกระทบจากการถอนความยินยอม น
การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ไม่เ นไปตาม ก หนดไว้ในหมวด ไม่มีผลผูกพันเจ้าของข้อมูล

para 7 ส่วนบุคคล และไม่ท ให้ผู้ควบคุมข้อมูลส่วนบุคคลสามารถท การเก็บรวบรวม ใช้ หรือเ ดเผยข้อมูลส่วนบุคคล
ได้
ผู้ควบคุมข้อมูลส่วนบุคคลผู้ใดไม่ปฏิบัติตาม....มาตรา 19 วรรคหก ....ต้องระวางโทษปรับทางปกครองไม่

มาตรา 82
เกินห งล้านบาท
ผู้ควบคุมข้อมูลส่วนบุคคลผู้ใด...ขอความยินยอมโดยการหลอกลวงหรือท ให้เจ้าของข้อมูลส่วนบุคคล
มาตรา 83
เข้าใจผิดในวัตถุประสงค์...ต้องระวางโทษปรับทางปกครองไม่เกินสามล้านบาท
Picture by ICO Suphawatchara MALANOND (Feb 2022) 47 of 102

นึ่
ทั้
นั้
ที่
นี้
ที่
มื่
ที่
ที่
รื่
นี้
นี้
ที่
ที่
ำ
ำ
ป็
ำ
ำ
ำ
ปิ
ปิ
ำ
6 Data Controller’s Responsibilities
Start

ผู้ ควบคุมข้อมูลส่วน บุค คล/Data C ontroller
[GDPR 4(7)]
(“ผู้ ค ว บ คุ ม ” ห ม า ย ถึ ง บุ ค ค ล ธ ร ร ม ด า “ผู้ ค วบคุ ม ข้ อ มู ล ส่ ว นบุ ค คล” หมายความว่ า
ห รื อ นิ ติ บุ ค ค ล ห น่ ว ย ง า น ข อ ง รั ฐ ห รื อ
อ ง ค์ ก ร ใ ด ก ห น ด วั ต ถุ ป ร ะ ส ง ค์ แ ล ะ
วิ ธี ก า ร ป ร ะ ม ว ล ผ ล ข้ อ มู ล ส่ ว น บุ ค ค ล
ไ ม่ ว่ า จ ะ โ ด ย ล พั ง ห รื อ ร่ ว ม กั น
บุ ค คลหรื อ นิ ติ บุ ค คล งมี อ นาจ
หน้ า ตั ด สิ น ใ จ เ ยวกั บ การเก็ บ
รวบรวม ใช้ หรื อ เ ดเผย ข้ อ มู ล
ส่ ว นบุ ค คล
Mean
ก หนดวิธีการ
Purpose ก หนดวัตถุประสงค์

ที่
กี่
ซึ่
ที่
ำ
ำ
ำ
ำ
ปิ
ำ
ผู้ ปร ะม วลข้อมูลส่วนบุคคล/Data Proce ssor
“ผู้ ป ระมวลผลข้ อ มู ล ส่ ว นบุ ค คล”
หมายความว่า
บุ ค คลหรื อ นิ ติ บุ ค คล งด เนิ น การเ ยวกั บ การเก็ บ รวบรวม ใช้ หรื อ เ ดเผยข้ อ มู ล ส่ ว น

บุ ค คลต า ม ค ง ห รื อ ใ น น า ม ข อ ง ผู้ ค ว บ คุ ม ข้ อ มู ล ส่ ว น บุ ค ค ล ง บุ ค คล
หรื อ นิ ติ บุ ค คล งด เนิ น การดั ง กล่ า วไม่ เ นผู้ ค วบคุ ม ข้ อ มู ล ส่ ว นบุ ค คล
(1) ต้องไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล
(2) ปฏิบัติหน้า ตามสัญญาจ้าง มีวัตถุประสงค์เ อการประมวลผลตาม ได้รบ

ั การว่าจ้าง

สั่
ทั้
ที่
ซึ่
ซึ่
ที่
กี่
พื่
ที่
นี้
ำ
ำ
ำ
ป็
ปิ
พนักงา นเ นผู้ ควบคุม ฯหรื อ ผู้ ป ระ มวลผลฯ หรื อ ไม่
“พนั ก งานของผู้ ค วบคุ ม ข้ อ มู ล ส่ ว น

บุ ค คลไม่ ใ ช่ ผู้ ป ระมวลผลฯ/ผู้ ค วบคุ ม ฯ
Data Data
ตราบใด พนั ก งานท หน้ า ภายใน
Controller Processor ขอบเขตหน้ า ของตนในฐานะพนั ก งาน
พนั ก งานก็ จ ะท หน้ า เ นตั ว แทนของผู้
ควบคุ ม ฯ เอง พนั ก งานจึ ง เ นส่ ว นห ง
ของผู้ ค วบคุ ม ฯ ไม่ ใ ช่ ายแยกต่ า งหาก
ท สั ญ ญาในการประมวลผลข้ อ มู ล ใน
นามของผู้ ค วบคุ ม ” (ข้ อ แนะน ของ UK
Information Commissioner)

ที่
ที่
ที่
ที่
นึ่
ที่
ำ
ป็
ำ
ำ
ฝ่
ป็
ป็
ำ
Controllers (ผู้ ค วบคุ ม ฯ) v Processors (ผู้ ป ระมวลผลฯ)
Data processing roles
Scenario A: Identifying data processing roles
ายบุคคลของบริษัทฯ
The Human Resources
A is employed by a department at the construction
construction company. company keeps A’s personal data on
A พนักงานของบริษัทก่อสร้าง
2
le.
Data subject Data Controller 1

The construction company
The PDPC provides regulatory contracts with a payroll
oversight to ensure A’s company company that directly
follows PDPA. deposits A’s paycheck into his
3
bank account.
4
Data Processor
Supervisory Authority/
Data Protection Authority บริษัทฯ จ้างบริษัท นมาจัดการเงินเดือน
Suphawatchara MALANOND ( Feb 2022) 52 of 102
อื่
ฝ่
fi
พนักงานเ นผู้ ควบคุมฯหรื อ ผู้ ป ระมวลผลฯ หรื อ ไม่ (2)
HIGHLIGHTS
! ในแต่ละองค์กร ผู้ควบคุมข้อมูลส่วนบุคคล คือองค์กร เ นนิติบุคคล ไม่ใช่
พนักงานหรือส่วนงานใดส่วนงานห งภายในองค์กร
! สถานะ หน้า และความรับผิดในฐานะผู้ควบคุมข้อมูลส่วนบุคคลเ นไปตาม
กฎหมายก หนด ไม่สามารถมอบหมายไปยังบุคคล นได้
! พนักงานภายในองค์กรในบริบทของสัญญาจ้างพนักงานไม่ใช่ผู้ประมวลผล
ข้อมูลส่วนบุคคล
! ในบริบทของกิจกรรมการประมวลผลห ง ๆ บุคคลธรรมดา จะเ นผู้ควบคุม
ข้อมูลส่วนบุคคลตามนิยามในกฎหมาย ต้องไม่ใช่ผู้ ท การประมวลผลในนาม
หรือตามค งขององค์กร ตนสังกัด เ องจากเจตนารมณ์ของกฎหมายไม่
ต้องการให้แยกการด เนินการของบุคคลต่าง ๆ ในองค์กรออกจากองค์กร
ตนเองสังกัด
! บุคคลธรรมดา งมีอ นาจหน้า ตัดสินใจเ ยวกับการประมวลผลข้อมูลส่วน
บุคคล อาทิ ในกรณี ประกอบกิจการเจ้าของคนเดียวโดย ไม่ได้จดทะเบียนจัด ง
นิติบุคคลแยกต่างห่างจากบุคคล เ นเจ้าของ

สั่
ตั้
ที่
ซึ่
ที่
ที่
ที่
ที่
นึ่
นื่
นี้
นึ่
กี่
อื่
ที่
ที่
ที่
ที่
ที่
ที่
ำ
ำ
ำ
ำ
ป็
ป็
ำ
ป็
ป็
ป็
D PA : D a t a P r o c e s s i n g A g re e m e n t ( 1 )
ด เนินการเ ยวกับการเก็บรวบรวม ใช้ หรือเ ดเผยข้อมูลส่วนบุคคลตามค ง ได้รบ

ั
จากผู้ควบคุมข้อมูลส่วนบุคคลเท่า น เว้นแต่ค ง นขัดต่อกฎหมายหรือบทบัญญัติใน
การคุ้มครองข้อมูลส่วนบุคคลตามพระราชบัญญัติ
การด เนินงานตามหน้า ของผู้ประมวลผลข้อมูลส่วนบุคคลตาม ได้รับมอบหมายจากผู้

ควบคุมข้อมูลส่วนบุคคลตามวรรคห ง ผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดให้มีข้อตกลง
ระหว่างกัน เ อควบคุมการด เนินงานตามหน้า ของผู้ประมวลผลข้อมูลส่วนบุคคลให้เ น
ไปตามพระราชบัญญัติ
ม.86 ปรับไม่เกิน 3 ล้านบาท

นึ่
กี่
ที่
นั้
สั่
นั้
สั่
พื่
นี้
ที่
ที่
ที่
นี้
ำ
ำ
ำ
ปิ
ำ
ำ
ป็
ห น้ า ข อ ง ผู้ ค ว บ คุ ม ข้ อ มู ล ส่ ว น บุ ค ค ล
Privacy Notice Response to DSR Security Processing
หน้า ในการแจ้งข้อมูลเ ยวกับการ หน้า ตอบสนองต่อค ขอใช้สิทธิ หน้า จัดให้มีมาตรการด้านความ

ประมวลผลข้อมูลส่วนบุคคล ของเจ้าของข้อมูลส่วนบุคคล นคงปลอดภัย เหมาะสม
ม.82 ปรับไม่เกิน 1 ล้านบาท ม.83 ปรับไม่เกิน 3 ล้านบาท
Data Breach Notification ROPA DPO
หน้า แต่ง งและสนับสนุนการปฏิบัติ

หน้า แจ้งเหตุการละเมิดข้อมูลส่วน หน้า จัดท บันทึกรายการ
งานของเจ้าหน้า คุ้มครองข้อมูลส่วน
บุคคล กิจกรรมการประมวลผล บุคคล
ม.83 ปรับไม่เกิน 3 ล้านบาท ม.82 ปรับไม่เกิน 1 ล้านบาท ม.82 ปรับไม่เกิน 1 ล้านบาท

ที่
มั่
ตั้
ที่
ที่
ที่
ที่
ที่
ที่
ที่
ที่
กี่
ำ
ำ
Security of Processing
D a t a B re a c h N o t i f i c a t i o n
Start

หน้า ของผู้ควบคุม-ผู้ประมวลผลข้อมูลส่วนบุคคล
Data Controller Data Processor
ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้า จัดให้มีมาตรการรักษา ผู้ ป ระมวลผลข้ อ มู ล ส่ ว นบุ ค คลมี ห น้ า จั ด ให้ มี

ความ นคงปลอดภัย เหมาะสม เ อ องกันการสูญหาย มาตรการรัก ษาความ นคงปลอดภั ย เหมาะสม
เข้าถึง ใช้ เป ยนแปลง แก้ไข หรือเ ดเผยข้อมูลส่วนบุคคล เ อ องกันการสูญหาย เข้าถึง ใช้ เป ยนแปลง
โดยปราศจากอ นาจหรือ โดยมิ ช อบ และต้ อ งทบทวน แก้ไข หรือเ ดเผยข้อมูลส่วนบุคคลโดยปราศจาก
ม า ต ร ก า ร ดั ง ก ล่ า ว เ อ มี ค ว า ม จ เ น ห รื อ เ อ อ นาจหรือโดยมิชอบ (ม.40(2))
เทคโนโลยี เ ป ยนแปลงไปเ อให้ มี ป ระสิ ท ธิ ภ าพใน
การรักษาความ นคงปลอดภัย เหมาะสม ง ให้
เ นไปตามมาตรฐาน น คณะกรรมการประกาศ
ก หนด (ม.37(1))

ที่
ลี่
มื่
พื่
ที่
มื่
มั่
มั่
มั่
ขั้
ทั้
พื่
ลี่
ที่
ที่
ที่
พื่
ที่
ลี่
ที่
นี้
ต่
ป็
ำ
ำ
ป้
ปิ
ำ
ำ
ปิ
ป้
ำ
ป็
การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล (Breach Notification)
มาตรา 37 (4) ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้า แจ้งเหตุการละเมิด

ข้อมูลส่วนบุคคลแก่ส นักงานโดยไม่ชักช้าภายในเจ็ดสิบสอง วโมง
นับแต่ทราบเหตุเท่า จะสามารถกระท ได้ เว้นแต่การละเมิดดังกล่าวไม่มี
ความเ ยง จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ในกรณี
การละเมิ ด มี ค วามเ ยงสู ง จะมี ผ ลกระทบต่ อ สิ ท ธิ แ ละเสรีภ าพของ
บุคคลให้แจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อมกับ
แนวทางการเยียวยาโดยไม่ชักช้าด้วย ง การแจ้งดังกล่าวและข้อยกเว้นให้
เ นไปตามหลักเกณฑ์และวิธีการ คณะกรรมการประกาศก หนด
มาตรา 83 ผู้ควบคุมข้อมูลส่วนบุคคลผู้ใด า นหรือไม่ปฏิบัติตาม….มาตรา

37 ….ต้องระวางโทษปรับทางปกครองไม่เกินสามล้านบาท

สี่
ที่
สี่
ที่
ทั้
ชั่
ที่
ที่
นี้
ที่
ที่
ป็
ำ
ำ
ฝ่
ฝื
ำ
การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล (Privacy Breach)
กรณี ไม่ต้องแจ้ง ไม่มีความเ ยง จะมีผลกระทบ

(แต่ควรบันทึกเหตุการละเมิด) ต่อสิทธิและเสรีภาพของบุคคล
กรณี ใ ดบ้ า ง
แจ้ง
ถือว่าเ นเหตุการละเมิดฯ ส นักงาน(สคส.) กฎ 72 ช.ม.
มีความเ ยง
CIA กรณี ต้องแจ้ง จะมีผลกระทบ
ต่อสิทธิและเสรีภาพของบุคคล
แจ้ง
เจ้าของข้อมูลส่วนบุคคล
มีความเ ยงสูง (high
risk) จะมีผลกระทบต่อสิทธิและ
เสรีภาพของบุคคล

สี่
สี่
สี่
ที่
ที่
ที่
ที่
ที่
ำ
ป็
ใครมีหน้า แจ้ง
(แจ้งผู้ควบคุมฯ) (มีหน้า ตามกฎหมาย

Data Processor PDPA Art.40(2) Data Controller ในการแจ้ง)
ผู้ประมวลผลข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคล PDPA Art.37(4)

ที่
ที่
CASE STUDY:
The Dutch DPA announced, on 31 March 2022, its

Febision to fine Booking.com B.V. €475,000 for the
late reporting of a data breach. In particular, the AP
13 Febuary 2019
noted that Booking.com was notified of the data breach
on 13 Febuary 2019, but did not report it to the Dutch
DPA until 7 February 2019, 22 days after being made
7 February 2019
aware of the breach despite being required to notify the
AP within 72 hours.

การเตรียมความพร้อมขององค์กรเ อง
มาตรการรักษาความ นคงปลอดภัย
Suphawatchara
DPOaaS
MALANOND
(Feb 2022) (Feb 2022) 62 of 102
รื่
มั่
Data Security: Preparation
1 Information Security Policy and Standard of Procedure
สัญญาจ้างการประมวลผล (including vendor audit, vendor

2
assessment)
3 Incident Response Plan and Data Breach Noti cation Procedure
4 Audit Process
Suphawatchara MALANOND (Feb 2022)

fi
63 of 102
Guidelines on Personal data breach noti cation under
Regulation 2016/679
ARTICLE 29 DATA PROTECTION WORKING PARTY
VII. Annex
A. Flowchart showing notification requirements
Controller detects/is made aware of a The controller becomes aware

personal data breach and assesses risk
18/EN security incident and establishes if
to individuals.
personal data beach has occurred.
WP250rev.01
Is the breach likely No

to result in a risk to
?
and freedoms?
No requirement to notify supervisory authority
or individuals.
Guidelines on Personal data breach notification under Regulation 2016/679

Yes
Notify competent supervisory authority.
If the breach affects individuals in more than

one Member State, notify the lead supervisory
authority.
Adopted on 3 October 2017
As last Revised and Adopted on 6 February 2018 Is the breach likely to

result in a high risk to
freedoms?
No requirement to notify
individuals.
Yes No
Notify affected individuals and, where required, provide

information on steps they can take to protect themselves from
consequences of the breach.
All breaches recordable under Article 33(5). Breach should be documented and
This Working Party was set up under Article 29 of Directive 95/46/EC. It is an independent European advisory body on data record maintained by the controller.
protection and privacy. Its tasks are described in Article 30 of Directive 95/46/EC and Article 15 of Directive 2002/58/EC.
The secretariat is provided by Directorate C (Fundamental Rights and Union Citizenship) of the European Commission, 30
Directorate General Justice, B-1049 Brussels, Belgium, Office No MO-59 02/013.
Website: http://ec.europa.eu/justice/data-protection/index_en.htm
fi
Incident Management: ISO/IEC 2703 5-1 /-2
— information sharing between stakeholders and internal and external collaborators such as vendors
and other IRTs. ISO/IEC 27035-1:2016(E)
INTERNATIONAL ISO/IEC Incident

identi!ied
STANDARD 27035-1 Before incident

After incident identi!ication
identi!ication
Process Class1
First edition
2016-
Readiness Initialization Acquisitive Investigative
Activity 2
Identify, Collect,
Plan Prepare Respond Understand Report Close
Acquire, Preserve
Information technology — Security 27035-1
techniques — Information security 27035-2
incident management — 27035-3

27037
Part 1: 27038
Principles of incident management 27040
Technologies de l’information — Techniques de sécurité — Gestion 27041
des incidents de sécurité de l’information —
27042
Partie 1: Principes de la gestion des incidents
27043
27050
30121
Key
Key
International Standard can be directly applied to these activities
International Standard contains information which may in!luence
and/or assist with these activities
1.
1.Process
Process classes are de!ined
classes in ISO/IEC
are de!ined 27043 27043
in ISO/IEC
2. Detail of activities is given in ISO/IEC 27035-2,
2. Detail of activities is given in ISO/IEC 27035-2, ISO/IEC 27037, and 27037, and
ISO/IEC
ISO/IEC
ISO/IEC 27042
27042
Figure A.1 — Applicability of standards to investigation process classes and activities
Reference number
ISO/IEC 27035-1:2016(E)
© ISO/IEC 2016
© ISO/IEC 2016 – All rights reserved 15

Figure 3 — Information security incident management phases
impact of the incident by containing it and ultimately recovering from it. During this phase, activity ofte
NIST SP 800-61: Computer Security Incident Handling Guidecycles back to detection and analysis for example, to see if additional hosts are infected by malware
while eradicating a malware incident. After the incident is adequately handled, the organization issues a
report that details the cause and cost of the incident and the steps the organization should take to preven
future incidents. This section describes the major phases of the incident response process preparation,
detection and analysis, containment, eradication and recovery, and post-incident activity in detail.
Figure 3-1 illustrates the incident response life cycle.
Special Publication 800-61
Revision 2
Computer Security
Incident Handling Guide
Recommendations of the National Institute

of Standards and Technology
Paul Cichonski
Tom Millar
Tim Grance
Karen Scarfone
Figure 3-1. Incident Response Life Cycle
3.1 Suphawatchara
Preparation MALANOND (Feb 2022) 66 of 102
เจ้าห น้า คุ้ มครองข้อมูลส่วนบุค ค ล
เ จ้ า ห น้ า คุ้ ม ค ร อ ง ข้ อ มู ล ส่ ว น บุ ค ค ล
Data Protection Officer (DPO)
Designation Position Tasks
การแต่ง ง DPO สถานะ หน้า -ภาระกิจ

ที่
ที่
ตั้
ที่
เ จ้ า ห น้ า คุ้ ม ค ร อ ง ข้ อ มู ล ส่ ว น บุ ค ค ล / DPO: Data Protection Officer
ผู้ ค วบคุ ม ข้ อ มู ล ส่ ว นบุ ค คลและผู้ ป ระมวลผลข้ อ มู ล ส่ ว นบุ ค คลต้ อ งจั ด ให้ มี

DPO ของตนในกรณี ดั ง ต่ อ ไป
1 ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเ นหน่วยงานของ
รัฐตาม คณะกรรมการประกาศก หนด
DPO
Mandatory v. Voluntary
2
การด เนินกิจกรรมของผู้ควบคุมข้อมูลส่วนบุคคลจ เ นต้องตรวจสอบข้อมูลส่วน
บุคคลหรือระบบอย่างส เสมอ โดยเหตุ มีข้อมูลส่วนบุคคลเ นจ นวนมาก
Designation ตาม คณะกรรมการประกาศก หนด(systematic monitoring on a large
scale)
กิจกรรมหลักของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล
3 เ นการประมวลผลข้อมูลส่วนบุคคลตามมาตรา 26 (sensitive data)
การไม่ แ ต่ ง ง DPO อาจมี ค วามรั บ ผิ ด ทางปกครองปรั บ ไม่ เ กิ น 1 ล้ า นบาท (ม.82)

ที่
ที่
ที่
ตั้
นี้
ที่
ม่
ป็
ำ
ำ
ำ
ำ
ำ
ป็
ป็
ป็
ำ
ในกรณี ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลอยู่ในเครือกิจการ
บทบาท หรือเครือธุรกิจเดียวกันเ อการประกอบกิจการหรือธุรกิจร่วมกันผู้ควบคุมข้อมูลส่วน
สถานะ
ของ DPO
1 บุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลดังกล่าวอาจจัดให้มี DPO ร่วมกันได้ (ให้น มา
ใช้บังคับแก่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล งเ นหน่วยงาน
ของรัฐ งมีขนาดใหญ่หรือมีสถาน ท การหลายแห่งโดยอนุโลม)
ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้า ต้องแจ้งข้อมูลเ ยวกับ DPO สถาน ติดต่อ และวิธี

2
DPO
การติดต่อให้เจ้าของข้อมูลส่วนบุคคลและส นักงานทราบ
คณะกรรมการอาจประกาศก หนดคุณสมบัติของ DPO ได้โดยค นึงถึงความรู้หรือความ
Designation 3 เ ยวชาญเ ยวกับการคุ้มครองข้อมูลส่วนบุคคล (Qualification)
DPO อาจเ นพนักงานของผู้ควบคุมข้อมูลส่วนบุคคลหรือเ นผู้รับจ้างให้บริการตามสัญญา

4 (Outsourced DPO/DPO as s Service)

ที่
ชี่
ซึ่
ที่
กี่
พื่
ที่
ที่
กี่
ที่
ซึ่
ป็
ำ
ำ
ำ
ป็
ำ
ป็
ำ
ผู้ควบคุมข้อมูลส่วนบุคคลต้องสนับสนุนการปฏิบัติหน้า ของ DPO โดยจัดหาเค อง

หน้ า 1 มือหรืออุปกรณ์อย่างเพียงพอ รวม งอ นวยความสะดวกในการเข้าถึงข้อมูลส่วนบุคคลเ อ
ขององค์ ก ร การปฏิบัติหน้า
ต่ อ DPO
2 ผู้ควบคุมข้อมูลส่วนบุคคลจะให้ DPO ออกจากงานหรือเลิกสัญญาการจ้างด้วยเหตุ เจ้า
หน้า คุ้มครองข้อมูลส่วนบุคคลปฏิบัติหน้า ตามพระราชบัญญัติ ไม่ได้
DPO
Mandatory v. Voluntary 3
DPO ต้องสามารถรายงานไปยังผู้บริหารสูงสุดของผู้ควบคุมข้อมูลส่วนบุคคลโดยตรง
ได้ (C-Suite)
Position DPO อาจปฏิบัติหน้า หรือภารกิจ นได้ แต่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผล

4 ข้อมูลส่วนบุคคลต้องรับรองกับส นักงานว่าหน้า หรือภารกิจดังกล่าวต้องไม่ขัดหรือ
แย้งต่อการปฏิบัติหน้า ตามพระราชบัญญัติ (conflict of interests)
5 DPO ต้องรักษาความลับของข้อมูลส่วนบุคคล ตนล่วงรู้หรือได้มาเ องจากการปฏิบัติหน้า

ที่
ที่
ที่
ที่
ทั้
ที่
ที่
ที่
อื่
ที่
นี้
ที่
ที่
นี้
นื่
ที่
รื่
พื่
ที่
ำ
ำ
หน้ า ให้ค แนะน แก่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล
ของ DPO
1 (inform and advise)
2 ตรวจสอบการด เนินงานของผู้ควบคุมข้อมูลส่วนบุคคล (monitor of compliance)
DPO
ประสานงานและให้ความร่วมมือกับส นักงาน (สคส.) ในกรณี มี ญหาเ ยว
Tasks 3 กับการเก็บรวบรวม ใช้ หรือเ ดเผยข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วน
บุคคล (being a contact point)
ประสานงานกับเจ้าของข้อมูลส่วนบุคคล เ ยวกับการประมวลผลข้อมูลส่วน
4 บุคคลและการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลตามพระราชบัญญัติ

ที่
ที่
กี่
ที่
นี้
กี่
ำ
ำ
ำ
ปิ
ำ
ปั
ค ว า ม รั บ ผิ ด ข อ ง อ ง ค์ ก ร ต่ อ D P O
ความรั บ ผิ ด 1 ต้องสนับสนุนการปฏิบัติหน้า ของ DPO โดยจัดหาเค องมือหรืออุปกรณ์อย่าง

เพียงพอ รวม งอ นวยความสะดวกในการเข้าถึงข้อมูลส่วนบุคคลเ อการปฏิบัติ
ขององค์ ก ร หน้า
ต่ อ DPO [ม.82/85 ปรับ 1 ล้านบาท]
DPO 2 ให้ DPO ออกจากงานหรือเลิกสัญญาการจ้างด้วยเหตุ เจ้าหน้า คุ้มครองข้อมูล

ส่วนบุคคลปฏิบัติหน้า ตามพระราชบัญญัติ ไม่ได้
Mandatory v. Voluntary [ม.82/85ปรับ 1 ล้านบาท]
Position
3 ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล มีหน้า ตาม
กฎหมายต้องแต่ง ง DPO แต่ไม่แต่ง ง [ม.82/85 ปรับ 1 ล้านบาท]

ที่
ทั้
ตั้
ตั้
ที่
ที่
นี้
ที่
รื่
ที่
ที่
พื่
ที่
ำ
7 Data Subject’s Rights
Start

Data Subjects’ Rights
Access and recti cation Data portability Erasure
Restriction of processing Right to object to processing

fi
สิทธิของเจ้าของข้อมูลส่วนบุคคล/Rights of Data Subject
Right to be สิทธิขอเข้าถึง: สิทธิขอแก้ไข : สิทธิโอนย้าย: สิทธิเพิกถอนความยินยอม:

informed: หนังสือแจ้ง Rights to Access Right to Rectification Right to Data Portability Right to withdraw consent
การประมวลผลฯ (PDPA (PDPA Art.30) (PDPA Art.36) (PDPA Art.31) (PDPA Art.19)
Art.23, 25)
สิทธิการคัดค้าน: สิทธิในการขอให้ลบ: สิทธิในการระงับ: สิทธิในการร้องเรียน:

Rights to Objection Right to Erasure Right to Restriction Right to lodge a complaint
(PDPA Art.32) (PDPA Art.33) (PDPA Art.34) (PDPA Art.73)
Picture by ICO Suphawatchara MALANOND (Feb 2022) 75 of 102

Information Provision Obligations
Transparency provision
Transparency
An intelligible and
Clear and plain language Concise communication
easily accessible form

Privacy Notice: Information provision obligations
Transparency provision
What is a privacy notice?
Fair
Privacy Privacy
processing
statement policy
statement

Right to be informed: หนังสือแจ้งการประมวลผลฯ
ในการเก็บรวบรวมข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบ มาตรา 23
ก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคลถึงรายละเอียด ดังต่อไป เว้นแต่เจ้าของข้อมูลส่วนบุคคลได้
มาตรา 82 ผู้ควบคุมข้อมูลส่วนบุคคลผู้ใด
ทราบถึงรายละเอียด นอยู่แล้ว
ไม่ปฏิบัติตามมาตรา 23 …ต้องระวางโทษ
วัตถุประสงค์ของการเก็บรวบรวมเ อการน ข้อมูลส่วนบุคคลไปใช้หรือเ ดเผย งรวมถึงวัตถุประสงค์ตาม มา ปรับทางปกครองไม่เกินห งล้านบาท
(1)
ตรา 24 ให้อ นาจในการเก็บรวบรวมได้โดยไม่ได้รบ
ั ความยินยอมจากเจ้าของข้อมูลส่วนบุคคล
แจ้งให้ทราบถึงกรณี เจ้าของข้อมูลส่วนบุคคลต้องให้ข้อมูลส่วนบุคคลเ อปฏิบัติตามกฎหมายหรือสัญญาหรือมี

(2) ความจ เ นต้องให้ข้อมูลส่วนบุคคลเ อเข้าท สัญญา รวม งแจ้งถึงผลกระทบ เ นไปได้จากการไม่ให้ข้อมูล
ส่วนบุคคล
ข้อมูลส่วนบุคคล จะมีการเก็บรวบรวมและระยะเวลาในการเก็บรวบรวมไว้ ง ในกรณี ไม่สามารถ
(3)
ก หนดระยะเวลาดังกล่าวได้ชัดเจน ให้ก หนดระยะเวลา อาจคาดหมายได้ตามมาตรฐานของการเก็บรวบรวม
ปรับไม่เกิน 1,000,000 บาท
(4) ประเภทของบุคคลหรือหน่วยงาน งข้อมูลส่วนบุคคล เก็บรวบรวมอาจจะถูกเ ดเผย
ข้อมูลเ ยวกับผู้ควบคุมข้อมูลส่วนบุคคล สถาน ติดต่อ และวิธีการติดต่อในกรณี มีตัวแทนหรือเจ้าหน้า
(5) คุ้มครองข้อมูลส่วนบุคคล ให้แจ้งข้อมูล สถาน ติดต่อ และวิธีการติดต่อของตัวแทนหรือเจ้าหน้า คุ้มครองข้อมูล
ส่วนบุคคลด้วย
สิทธิของเจ้าของข้อมูลส่วนบุคคลตามมาตรา 19 วรรคห้า (Consent withdrawl) มาตรา 30 วรรคห ง (Right to access)
(6) มาตรา 31 วรรคห ง (Data portability) มาตรา 32 วรรคห ง (Objection) มาตรา 33วรรคห ง (Erasure) มาตรา 34 วรรค
ห ง (Restriction) มาตรา 36 วรรคห ง (Recti cation) และมาตรา 73วรรคห ง (Lodge complaint)

กี่
ที่
ที่
นั้
ทั้
ทั้
ที่
ซึ่
พื่
พื่
ที่
ที่
ที่
พื่
นี้
ที่
ซึ่
นี้
ที่
ที่
ที่
ที่
ที่
นึ่
นึ่
นึ่
นึ่
นึ่
นึ่
นึ่
นึ่
ำ
ำ
ป็
ำ
ำ
fi
ำ
ำ
ปิ
ปิ
ป็
DSR s: PD PA C ompli an ce Journey
Step 6
Step 5 ทบทวนและลงระบบ
Step 4 ตอบสนองต่อค ขอใช้ ROPA เ อการตรวจสอบ

สิทธิและให้เหตุผลหาก
Step 3 ค้นหาข้อมูลตาม ปฏิเสธ
Step 2 ด เนินงานตามค ขอ
ค ร้องเ อด เนิน
การ
Step 1 กระบวนการยืนยันตัว
โดยการประสานงานกับ
ผู้ถือข้อมูลในองค์กร
ตน
ก หนดวิธีการ/จุดใน
หรือผู้ใช้ข้อมูลในองค์กร
การรับ DSRs
A time limit of 30 days
Tracking and monitoring your process
Workflows to support DSRs journey

พื่
พื่
ำ
ำ
ำ
ำ
ำ
ำ
D SRs : เ หตุ แ ห่ ง การปฏิ เ สธการด เนิ น การตาม ค ข อ ใ ช้ สิ ท ธิ
เ ห ตุ แ ห่ ง ก า ร ป ฏิ เ ส ธ ก า ร ด เ นิ น ก า ร ต า ม ค ข อ ใ ช้ สิ ท ธิ ( D S R s )
เ อการจ เ น
เ อปฏิบัติตาม เ อประโยชน์โดย เ อจัดท เอกสาร ในการปฏิบัติตามกฎหมาย
การใช้สิทธิอาจเกิด เ อก่อ ง ปฏิบัติ
กฎหมาย/ค งศาล ประวัติศาสตร์เ อ
สิ ท ธิ ข องเจ้ า ของ เ อเสรีภาพในการ เ อปฏิบัติตาม ผลกระทบด้านลบแก่ เ อประโยชน์ ตาม ใช้ หรือ องกัน ชอบด้วยกฎหมาย เ อ
และ การใช้สิทธิอาจ ส คัญ งกว่า ประโยชน์สาธารณะ เวชศาสตร์ องกัน/อาชีว
ข้ อ มู ล ส่ ว นบุ ค คล แสดงความคิดเห็น
เกิดผลกระทบด้าน
กฎหมาย สิทธิและเสรีภาพ สาธารณะ สิทธิเรียกร้องทาง
หรือเ อศึกษาวิจัย/ เวชศาสตร์ หรือประโยชน์
ของบุคคล น กฎหมาย สาธารณะ
ลบแก่บุคคล น สถิติ
ด้านสาธารณสุข
1.การเพิกถอนความยินยอม
(ม.19)
INITIAL DRAFT
2. การเข้าถึงข้อมูลส่วน
บุคคล (ม.30)
3. การให้โอนย้ายข้อมูลส่วน
4. การคัดค้านการประ มวล
ผลข้อมูลส่วนบุคคล
(ม.32)
5. การลบหรือท ลายข้อมูล
ส่วนบุคคล (ม.33)
6.การระงับการใช้ข้อมูลส่วน
7. การแก้ไขข้อมูลส่วนบุคคล
ให้ถูกต้อง (ม.36)
ข้อ 2-7 หากมีเหตุในการไม่อนุญาต ต้องลง ROPA ตามม.39
80 of 102
ตั้
สั่
พื่
พื่
พื่
พื่
พื่
พื่
พื่
พื่
อื่
อื่
พื่
ที่
พื่
พื่
ำ
ยิ่
ำ
ำ
ป้
ป็
ำ
ป้
ำ
ำ
ำ
ำ
ำ
Access requests and right-to-erasure requests are the
most
IAPP-EY common
Annual DSRs
Privacy across firms, with at least two-thirds
Access requests and right-to-erasure requests are the most
receiving
Governance them
Report 2021 common DSRs across rms, with at least two-thirds receiving them
Types of DSRs received in past year
Access requests 72%
Right-to-erasure requests 66%
Rectification requests 28%
Do-not-sell requests 28%
Processing restrictions and objections 24%
Data portability requests 14%
None 11%
IAPP-EY Annual Priv

Governance Report 2
Unsure 6%
IAPP-EY Annual Privacy Governance Report 2022

81 of 102
fi
MostPrivacy
IAPP-EY Annual firms saidMost
they rms
usually takeusually
said they at least a few
take days
at least to days
a few respond
to respond to
toReport
Governance DSRs,2021
with nearly 4 innearly
DSRs, with 10 saying they
4 in 10 take
saying attake
they leastat a week
least a week
Typical DSR response time
About a few
days to a
week, 20% About a
week or
About a day two, 28%
or two, 9%
About a few hours, 9%

Unsure,
19% About a month or longer, 10%
IAPP-EY Annual Priv
Less than an hour, 4% Governance Report 2

82 of 102
fi
IAPP-EYMore
Annualthan half of organizations
Privacy handle
More than half of DSRs manually,
organizations while
handle DSRs 1
manually,
in 3Report
Governance have automated
2021 the1process
while in 3 have automated the process
How DSRs are handled
Entirely manual and ad hoc

Haven't addressed this/unsure
Automated
22% 6%
3%
Overall manual: 52%
Overall automated: 35%
30% 32%
Entirely manual but mature
Partially automated
7%
IAPP-EY Annual Priv
Governance Report 2

83 of 102
Handling Complaints: Procedural Consideration
Differentiating between
sources and types of
complaints
Designating proper
recipients
Implementing a
centralized intake
process
Tracking the process
Reporting and
documenting resolutions
Redressing
IAPP-EY A
Governanc

ร่างกฎหมายล ดับรองภายใต้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
(2.2)
(2.3)
30
2562
(2.4)
30
60
30
2
(2.5)
(2.6)
2562 30
(2.7) 32 33 34
2562
(2.8)
14
https://sites.google.com/view/pdpa-2019/pdpa-home

ำ
ร่างประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เ อง หน้า ในการให้ใช้
สิทธิของเจ้าของข้อมูลส่วนบุคคล
ผู้ควบคุมข้อมูลส่วนบุคคล ต้องจัดให้มีมาตรการเ ยวกับการขอ

ใช้สิทธิในการเข้าถึงข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล
รวม งจัดท บันทึกรายการกิจกรรมประมวลผลข้อมูลและบันทึกการ
ปฏิเสธการใช้สิทธิ
https://sites.google.com/view/pdpa-2019/pdpa-home
กี่
รื่
ที่
ทั้
ำ
8 Achieving PDPA Compliance
(แนวทางการน พาองค์กรไปสู่การปฏิบัติตามกฎหมาย)
Start

ำ
Data Protection Compliance Frameworks
How to make the PDPA a success ▸ Staff training and awareness

▸ Professional skills and qualifications
▸ Competent resources
People
▸ Management systems
▸ Governance frameworks Process
▸ Best practice
▸ IT audit
Technology
▸ You can’t deploy technology without competent

people, support processes or an overall plan.
Source: IT Governance Privacy Team. EU General Data Protection Regulation (GDPR): An Implementation and Compliance Guide. 4th ed.,
IT Governance Ltd, 2020. P.80

ง ควรเตรียมพร้อม
1 10
งงบประมาณและได้รบั การ
สนับสนุนจากคณะผู้บริหาร ก หนดประเภทของข้อมูล , วัตถุประสงค์ สร้าความตระหนัก
(budget,vision & mission) ความจ เ น, และการท ผังวงจรชีวิต จัดท มาตรการด้านความ และอบรมให้กับ
ของข้อมูลในองค์กร ปลอดภัยของข้อมูลและแนว บุคลากร พนักงาน
(Data inventory, classification and ปฏิบัติเ อเกิดเหตุการณ์ วไหล และคู่ค้า
4 data mapping) ของข้อมูล (Training and
(Info Sec Policy & Incident Awareness)
7
Response Plan)
2 3 เตรียมข้อก หนดหรือแนวปฏิบัติ
การคุ้มครองข้อมูลส่วนบุคคล และ
เอกสารทางกฎหมาย เ ยวข้อง กระบวนการทบทวน
(Policy, Notice, DPA, Data 8 (Internal Audit/
- แต่ง ง Working Sharing , Agreement, Vendor Audit)
group/PDPA Team Retention Policy, Disposal
- Executive Sponsor 5 Policy, Consent Form)
เ มกระบวนการจัดท Data
Protection Management
6
Program (DPMP) เตรียมกระบวนการตอบ พัฒนากระบวนการแจ้ง
สนองต่อค ขอใช้สิทธิของ เหตุการละเมิด
เจ้าของข้อมูลส่วนบุคคล (Breach Notification)
(Data Subject Request)
Training & Awareness

ที่
ตั้
ตั้
รั่
มื่
ที่
กี่
ำ
ริ่
สิ่
ำ
ำ
ป็
ำ
ำ
ำ
ำ
Personal Data
Protection Policy/ Risk Assessment

เอกสารทางกฎหมายตาม PDPA
Privacy Policy Data Protection Impact
(and subset policy)
Assessment (DPIA)
GDPR Article 24/ISO/IEC 27701 Clause 6.2.1.1
Privacy Notice Employee Privacy Notice Data Retention Policy Data Disposal Policy
(หนังสือแจ้งการประมวลผลต่อพนักงาน) (นโยบายระยะเวลาการจัดเก็บข้อมูล) (นโยบายการท ลายข้อมูล)
(หนังสือแจ้งการประมวลผล)
PDPA Article 23 PDPA Article 23(3), 37(3), 39(4) PDPA Article 37(3)
PDPA Article 23
GDPR Article 12, 13, and 14 GDPR Articles 5, 13, 17, and 30(f) GDPR Articles Article 5(1)(f)
GDPR Article 12, 13, and 14
ISO/IEC 27701 Clause 7.3.2 ISO/IEC 27701 Clause 7.4.7, 7.2.8 ISO/IEC 27701 Clause 7.4.8
ISO/IEC 27701 Clause 7.3.2
Data Subject Consent Form Data Processing Agreement Data Breach Response and Data Breach Notification
(แบบฟอร์มการขอความยินยอม) (ข้อตกลงการประมวลผล) Notification Procedure Form to Data Subjects
PDPA Articles 19, 24, 26 PDPA Articles 40 (มาตรการเ อเกิดเหตุการละเมิดและ (แบบการแจ้งเหตุการละเมิดฯต่อเจ้าของ

กระบวนการแจ้ง) ข้อมูลฯ)
PDPA Articles 37(4) PDPA Article 37(4)
Data Protection Officer Inventory of Processing Data Sharing Agreement Data Subject Request Form
Job Description Activities (ข้อตกลงการโอนข้อมูลระหว่างองค์กร) (แบบฟอร์มขอใช้สิทธิขอใช้สิทธิของ
(รายละเอียดภาระงานของ DPO) (บันทึกรายการกิจกรรม) PDPA Article 37(2), เจ้าของข้อมูลฯ)
PDPA Articles 41 PDPA Article 39 ISO/IEC 27701 Clause 7.2.7

90 of 102
มื่
ำ
C o n s i d e r a t i o n s fo r i m p l e m e n t i n g a D P M P
Leverage key functions and

There is no ONE-SIZE-
involve all departments that
FITS-ALL approach to
process personal data – Form
implementation
a PDPA Project Team
Ensure there is a Develop controls to

management sponsor manage the risks
Identify Conduct data protection

key stakeholders training for operational
staff and stakeholders
Develop Risk Assessment

More
IAPP-EY than
Annual 1 in 4 organizations
Privacy More than 1 inuse NIST’s Privacy
4 organizations Framework
use NIST’s Privacy Framework or
or ISO
Governance 27701
Report 2021as benchmarks
ISO 27701 as benchmarks
Benchmark frameworks used

NIST Privacy Framework 28%
ISO 27701 26%
Framework developed by a third party 17%
IAPP Governance Report 9%
AICPA Privacy Management Framework 9%
Other 13%
IAPP-EY Annual Priv

No formal frameworks 35% Governance Report 2

92 of 102
9
Lessons Learned: University of Oxford
https://compliance.admin.ox.ac.uk/policies-and-statements
Start

Accountability as University Responsibility
Accountability is one of the most interesting concepts

The controller shall be responsible for, that we now are starting to see into the law. Could you
and be able to demonstrate compliance tell me what accountability’s about? It’s about
with the principles relating to processing evidence. It’s no longer enough to be compliant. You
of personal data. [GDPR Art.5(2) ] need to be able to show how you comply.
[Evidence] [IAPP]
Accountability is the most important aspect of

privacy program management. Privacy program
managers are accountable for the safekeeping and
ACCOUNTABILITY responsible use of personal information—not just
You [University] can to investors and regulators, but to the everyday consumer,
as well as their fellow employees. [IAPP]
outsource any activities,
but not liabilities. When an organisation outsources any data processing
to a data processor/vendor; the organisation continues
to be obliged to make reasonable security
arrangements to protect personal data in its
possession or under its control (Singapore PDPC)

C e n t r a l i s e d M a n a g e m e n t fo r D a t a P r o t e c t i o n
Staff guidance on data protection

Information for staff handling personal data
This information is intended to help staff

ensure they handle personal
information in a way which complies
with the University's guidance and
meets its legal requirements. This
includes how information is both collected
and shared.
https://compliance.admin.ox.ac.uk/staff-guidance
U n i ve r s i t y P o l i c y o n D a t a P r o t e c t i o n
ANNEX A ANNEX A ANNEX A
University Policy on Data Protection University Policy on Data Protection University Policy on Data Protection
1. Purpose and scope 9. Review and development

Contents This policy, and supporting guidance, will apply with effect from 25 May 2018. It will be
This policy provides a framework for ensuring that the University meets its obligations under
the General Data Protection Regulation (GDPR) and associated legislation1 reviewed during the 2018/19 academic year to take into account outstanding ICO guidance
1. Purpose and scope ...................................................................................................................... 2 . and the final form of national legislation underpinning the GDPR.
2. Background ................................................................................................................................... 2
It applies to all processing of personal data carried out for a University purpose, irrespective 10. Related policies
3. Principles ....................................................................................................................................... 3
of whether the data is processed on non-university equipment or by third parties. This policy should be read in conjunction with related policies and regulations, including the:
4. Aims and commitments ............................................................................................................... 4
5. Roles and responsibilities ........................................................................................................... 5 Information Security Policy; and
means any information relating to an identifiable living individual who can be
6. Breaches of data privacy legislation .......................................................................................... 8 identified from that data or from that data and other data. Processing means anything that is
7. Compliance ................................................................................................................................... 8 Regulations relating to the use of Information Technology
done with personal data, including collection, storage, use, disclosure and deletion.
Facilities.
8. Further information ....................................................................................................................... 8
9. Review and development ............................................................................................................ 9 More stringent conditions apply to the processing of special category personal data.
10. Related policies ............................................................................................................................ 9
means personal data revealing racial or ethnic origin, political opinions,
religious or philosophical beliefs, or trade union membership, and the processing of genetic
data, biometric data for the purpose of uniquely identifying an individual, data concerning
health or data concerning an indivi
This policy should be read in conjunction with the accompanying guidance, which provides
further detail and advice on practical application, as well as any other documents that
impose confidentiality or data management obligations in respect of information held by the
University.
This policy does not cover the use of personal data by members of the University when
acting in a private or non-University capacity.
2. Background
The processing of personal data underpins almost everything the University does. Without it,
students cannot be admitted and taught; staff cannot be recruited; living individuals cannot
be researched; and events cannot be organised for alumni or visitors.
( N o t M a n d a t o r y, 1
This includes all legislation enacted in the UK in respect of the protection of personal data as well as the Privacy and
Electronic Communications (EC Directive) Regulations 2003.
b u t m u s t h ave )

U n i ve r s i t y P o l i c y o n D a t a P r o t e c t i o n
ANNEX A Council
Council has executive responsibility for ensuring that the University complies with data
University Policy on Data Protection
investigating promptly any suspected breach of data privacy legislation; reporting it, privacy legislation.
where necessary, to the ICO; and seeking to learn any lessons from the incident in
order to reduce the risk of reoccurrence.
5. Roles and responsibilities

Council
Council has executive responsibility for ensuring that the University complies with data
privacy legislation.
The DPO is responsible for monitoring internal compliance, advising on the
It is supported by its General Purposes Committee, which is responsible for keeping under
University’s data protection obligations and acting as a point of contact for

.
protection obligations and acting as a point of contact for individuals and the ICO. individuals and the ICO.
Information Compliance Team
The Information Compliance Team is responsible for:
establishing and maintaining policies and procedures at a central level to facilitate the Vice Chancellor’s and Registrar’s Office: Information Compliance Team
data privacy legislation;
establishing and maintaining guidance and training materials on data privacy

legislation and specific compliance issues;
The Information Compliance Team is responsible for:
supporting privacy by design and privacy impact assessments;
1. establishing and maintaining policies and procedures at a central level to
responding to requests for advice from departments;
coordinating a University-wide register exercise to capture the full range of facilitate the University’s compliance with data privacy legislation;
processing that is carried out;
complying with subject access and other rights based requests made by individuals
for copies of their personal data;
2. establishing and maintaining guidance and training materials on data privacy
legislation and specific compliance issues;

Roles and Responsibilities
Heads of Department are responsible for ensuring that the processing of personal data in their department
conforms to the requirements of data privacy legislation and this policy. In particular, they must ensure that:
new and existing staff, visitors or third parties associated with the Department who are likely to
process personal data are aware of their responsibilities under data privacy legislation. This includes drawing the
attention of staff to the requirements of this policy, ensuring that staff who have responsibility for handling
(1)
personal data are provided with adequate training and, where appropriate, ensuring that job descriptions
for members of staff or agreements with relevant third parties reference data privacy
responsibilities.
(2) adequate records of processing activities are kept (for example, by undertaking register exercises);
data sharing is conducted in accordance with University guidance;

(3)
data privacy risks are included in the department’s risk management framework and considered by senior management
(4)
on a regular basis; and departmental policies and procedures are adopted where appropriate.

S t u d e n t P r i va c y N o t i c e
University of Oxford: Student Privacy Policy July 2021

All third-party service providers that process data on our behalf are required to take appropriate security
measures to protect your data in line with our policies. We do not allow them to use your data for their own
How the University collects and uses your personal data during and after your studies with us purposes. We permit them to process your data only for specified purposes and in accordance with our
instructions.
-
I. Transfers of Your Data Overseas
There may be occasions when we transfer your data overseas, for example, if we communicate with you using
Introduction Document navigation a cloud based service provider that operates outside the EEA or for scholarships where selection takes place
overseas, or returns to bodies overseas such as those offering international opportunities. Such transfers will
only take place if one of the following applies:
A. What is the purpose of this document? C. Who is using your personal data?
the country receiving the data is considered by the EU to provide an adequate level of data protection;
The University of Oxford is committed to protecting the privacy and security of your D. The types of data we hold about you the organisation receiving the data is covered by an arrangement recognised by the EU as providing an
adequate standard of data protection e.g. transfers to companies that are certified under the EU US
This privacy policy describes how we collect and use your personal data during and after E. How the University Obtained Your Data Privacy Shield;
the transfer is governed by approved contractual clauses;
your studies with us, in accordance with the General Data Protection Regulation (GDPR) and F. How the University Uses Your Data the transfer has your consent;
related UK data protection legislation. the transfer is necessary for the performance of a contract with you or to take steps requested by you
It applies to all individuals who have or have had a contract for study with the University of G. Special Category and Criminal Convictions prior to entering into that contract;
the transfer is necessary for the performance of a contract with another person, which is in your interests;
Oxford including all current and former undergraduates and postgraduates. It is important H. Data Sharing with Third Parties the transfer is necessary in order to protect your vital interests or of those of other persons, where you or
that you read this policy, together with any other privacy policy we may provide on specific other persons are incapable of giving consent;
occasions when we are collecting or processing information about you, so that you are I. Transfer of Your Data Overseas the transfer is necessary for the exercise of legal claims; or
the transfer is necessary for important reasons of public interest.
aware of how and why we are using the information. We may update this policy at any J. Data Security We may display your University email address on our websites, which are accessible to internet users,
time. including those in countries overseas.
Information about how we use the data of former students for alumni relations or fund K. Retention Period
raising purposes is covered in a separate document. In addition, each college1 will have its L. Your Rights J. Data Security
own privacy notice.
We have put in place measures to protect the security of your information. Details of these measures are
M. Keeping Your Data Up-to-Date available from the .
B. Glossary N. Changes to this Privacy Policy Third parties that process data on our behalf will do so only on our instructions and where they have agreed to
keep it secure.
that is about you and from which you can be identified, whether directly or indirectly. It
does not include data where your identity has been removed (anonymous data). Related documents and links K. Retention Period
We will retain your data only for as long as we need it to meet our purposes, including any relating to legal,
with that information, including collection, use, storage, disclosure, deletion or retention. Retention of student records
accounting, or reporting requirements.
Data Protection: Policy Details of the retention periods for different types of student data are available here.
1
means any college or Permanent Private Hall
Issued July 2021 Further information: Data protection enquiries Quick links: Who is using your personal data? | The types of data we hold about you | How the University Obtained Your Data | How
the University Uses Your Data | Special Category and Criminal Convictions | Data Sharing with Third Parties | Transfer of Data Overseas
data.protection@admin.ox.ac.uk
( C o m p a r a b l e t o P D PA A r t . 2 3 )
| Data Security | Retention Period | Your Rights | Keeping Your Data Up-to-Date | Changes to this Privacy Policy| Back to top
Page 8 of 9

1. Implementation of an appropriate control/
safe guard.
2. PDPA’s liabilitie s and re sponsibilitie s is for
“University” as an entity. (with limited
exemption)

https://www.bangkokbiznews.com/tags/Tech%20Law%20Security
101 of 102
End

01 PDPA For University

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

01 PDPA For University

Uploaded by

Copyright:

Available Formats

Suphawatchara MALANOND

กฎหมายคุ้มครองข้อมูลส่วนบุคคล - Assistant Professor in Economic Law

[Update 27 Feb 2022] 1 of 102

1 Why do you need to comply with Data Protection Law?

6 Data Controller’s Responsibilities

7 Data Subject’s Rights

8 Achieving PDPA Compliance

9 Lessons Learned: University of Oxford

Accountability Public Trust Data Security

(Meet consumer expectations/

Source: IAPP-EY Annual Privacy Governance Report 2021, pp. xiv-xv.

Suphawatchara MALANOND (Jan 2022) 5 of 102

Suphawatchara MALANOND (Feb 2022) 6 of 102

(1) Fundamental rights, and

(2) Free ow of data

¹ OJ C 229, 31.7.2012, p. 90. ² OJ C 391, 18.12.2012, p. 127.

Suphawatchara MALANOND (Feb 2022) 7 of 102

Myth #1: Data protection law stops all organisations and

Fact: Data protection law enables organisations and

Suphawatchara MALANOND (Feb 2022) 8 of 102

การแบ่ ง นข้ อ มู ล สามารถน มา งผลประโยชน์ ท างสั ง คมและเศรษฐกิ จ

Suphawatchara MALANOND (Feb 2022) 9 of 102

Myth #3: Personal data can’t be shared in emergency

Fact: You can share data in an emergency, and you should

องค์กรสามารถแบ่ง นข้อมูลในกรณีฉุกเฉิน และควรท ทุกอย่าง จ เ นและเหมาะสมเ อช่วยชีวิตของบุคคล

ตัวอย่างของสถานการณ์ฉุกเฉิน ได้แก่ ความเ ยง จะเกิดอันตรายร้ายแรงต่อชีวิตมนุษย์ วิกฤตด้านสาธารณสุข หรือ

องค์กรควร นใจว่าข้อมูลส่วนบุคคล เ ยวข้องสามารถแบ่ง นได้ตามกฎหมาย หากเ นการปก องบุคคลจาก

Suphawatchara MALANOND (Feb 2022) 10 of 102

เ อต รวจและเจ้าหน้า ผู้มีอ นาจ น ๆ งมีอ นาจหน้า ตามกฎหมายขอ

Suphawatchara MALANOND (Feb 2022) 11 of 102

“ความยินยอม” ไม่ใช่ฐานทางกฎหมาย เหมาะสมเสมอไป โดยปกติแล้วองค์กรสามารถแบ่ง

Suphawatchara MALANOND (Feb 2022) 12 of 102

▪ Personal Data Protection Act ▪ Risk-bas ed & Right-bas ed

Suphawatchara MALANOND (Feb 2022) 14 of 102

Suphawatchara MALANOND (Feb 2022) 15 of 102

ความรับผิดทางแพ่ง ค่าปรับทางปกครอง จ นวน จ คุกกรรมการหรือผู้บริหาร

Suphawatchara MALANOND (Feb 2022) 17 of 102

A สมมติว่ามีข้อมูล วไหลไปจ นวน 10,000 รายการ D ทนายความได้ ร้อยละ 30 ของค่าเสียหาย งหมด

[Awarded Damages for Class’s Member = [AD+(2AD)] x No. of Class’s Member

Suphawatchara MALANOND (Feb 2022) 18 of 102

ค่าเสียหาย งหมด อาจจะต้องจ่ายในคดี

Awarded Damages for Class’s Member = [AD+(2AD)] x No. of Class’s Member

Suphawatchara MALANOND (Feb 2022) 19 of 102

Suphawatchara MALANOND (Feb 2022) 20 of 102

Data Storage Data Disclosure Data Archival

(Handling of Data Subject Request/Response of Request)

Ensuring Data Privacy & Security (Breach Notification)

Data Collection 1. ฐานทางกฎหมาย (7 ฐานตามมาตรา 24,

เจ้ า ของข้ อ มู ล ส่ ว นบุ ค คล?

Racial or Ethnic origin Health information

Sexual orientation Genetic data

Suphawatchara MALANOND (Feb 2022) 25 of 102

✓ ประมวลผลข้ อ มู ล ฯ ต้ อ งมี ฐ านทางกฎหมาย ดู ม าตรา

Suphawatchara MALANOND (Feb 2022) 27 of 102

GDPR ก่อนหรือในขณะ เก็บรวบรวม

ชอบธรรม และไม่ถูกประมวลผลนอกเหนือไปจาก วัตถุประสงค์ ได้แจ้งไว้ตามวรรคห งจะกระท มิได้ เว้นแต่

Suphawatchara MALANOND (Feb 2022) 28 of 102

Suphawatchara MALANOND (Feb 2022) 29 of 102

Suphawatchara MALANOND (Feb 2022) 30 of 102

o ข้อมูลส่วนบุคคล จะมีการเก็บรวบรวมและระยะเวลาในการเก็บรวบรวมไว้ ง ในกรณี ไม่

Suphawatchara MALANOND (Feb 2022) 31 of 102

Suphawatchara MALANOND (Feb 2022) 32 of 102

Suphawatchara MALANOND (Feb 2022)