Professional Documents
Culture Documents
01 PDPA For University
01 PDPA For University
2 of 102
ที่
ที่
ำ
ำ
หั ว ข้ อ การน เสนอ
2 Overview of PDPA
3 PDPA LIABILITIES
PDPA for
4 Personal Data LifeCycle and Data Processing Obligations
University
5 Lawful Basis for Data Processing
Suphawatchara
DPOaaS
MALANOND
(Feb 2022) (Feb 2022) 3 of 102
ำ
1 Why do you need to comply with Data Protection Law?
Start
Suphawatchara
DPOaaS
MALANOND
(Feb 2022) (Feb 2022) 4 of 102
WHY… Why do you need to comply with
Data Protection Law?
ความรับผิดชอบ ความเ อ นจากสาธารณะ ความปลอดภัยของข้อมูล
Canada
China Japan
California Republic South Korea
India
Thailand
Brazil
South Africa
Chile Australia
New Zealand
290 Appendix 1
(171) Directive 95/46/EC should be repealed by this Regulation. Processing already under
way on the date of application of this Regulation should be brought into conform-
APPENDIX 1 ity with this Regulation within the period of two years after which this Regulation
enters into force. Where processing is based on consent pursuant to Directive 95/
46/EC, it is not necessary for the data subject to give his or her consent again if the
Regulation (EU) 2016/679 of the European manner in which the consent has been given is in line with the conditions of this
Regulation, so as to allow the controller to continue such processing after the date of
Parliament and of the Council application of this Regulation. Commission decisions adopted and authorisations by
supervisory authorities based on Directive 95/46/EC remain in force until amended,
replaced or repealed.
of 27 April 2016 (172) The European Data Protection Supervisor was consulted in accordance with Article
on the protection of natural persons with regard to the processing of personal data and 28(2) of Regulation (EC) No 45/2001 and delivered an opinion on 7 March
on the free movement of such data, and repealing Directive 95/46/EC (General Data 2012 ¹7.
Protection Regulation) (173) This Regulation should apply to all matters concerning the protection of fundamental
(Text with EEA relevance) rights and freedoms vis-à-vis the processing of personal data which are not subject to
specific obligations with the same objective set out in Directive 2002/58/EC of the
European Parliament and of the Council ¹8, including the obligations on the control-
ler and the rights of natural persons. In order to clarify the relationship between this
THE EUROPEAN PARLIAMENT AND THE COUNCIL OF THE Regulation and Directive 2002/58/EC, that Directive should be amended accord-
EUROPEAN UNION, ingly. Once this Regulation is adopted, Directive 2002/58/EC should be reviewed in
Having regard to the Treaty on the Functioning of the European Union, and in particular particular in order to ensure consistency with this Regulation,
Article 16 thereof, HAVE ADOPTED THIS REGULATION:
Having regard to the proposal from the European Commission,
After transmission of the draft legislative act to the national parliaments,
Having regard to the opinion of the European Economic and Social Committee ¹, CHAPTER I GENERAL PROVISIONS
กฎหมายคุ้มครองข้อมูลช่วยให้องค์กรและธุรกิจ
สามารถแบ่ง นข้อมูลส่วนบุคคลได้อย่าง
ปลอดภัย เ นธรรมและได้สัดส่วน
Source: https://ico.org.uk/for-organisations/data-sharing-information-hub/data-sharing-myths-busted/
Myth #2: Only large tech companies gain any bene t from data
sharing.
Fact: Data sharing can bring signi cant social and economic
bene ts for a wide range of organisations and for individuals,
including job creation, ef cient delivery of public services -
including support for the vulnerable and improved customer
experience.
Source: https://ico.org.uk/for-organisations/data-sharing-information-hub/data-sharing-myths-busted/
Source: https://ico.org.uk/for-organisations/data-sharing-information-hub/data-sharing-myths-busted/
Myth #4: Data protection law prevents organisations from sharing sensitive
personal data with the police or other law enforcement authorities.
Fact: When the police and other ‘competent authorities’, ask organisations and
businesses for information to help them investigate, prevent, detect or prosecute a
crime, the law enables appropriate data sharing to take place.
Source: https://ico.org.uk/for-organisations/data-sharing-information-hub/data-sharing-myths-busted/
Myth #5: Consent is always needed to share people’s data with another
organisation.
Fact: Not always. You can usually share without consent if you have a good
reason to do so. And often it is inappropriate to rely on consent.
Source: https://ico.org.uk/for-organisations/data-sharing-information-hub/data-sharing-myths-busted/
Start
Suphawatchara
DPOaaS
MALANOND
(Feb 2022) (Feb 2022) 13 of 102
PDPA คื อ อะไร
การคุ้มครองข้อมูลส่วนบุคคล หมวด 2
มาตรา หลักการขอความยินยอนข้อมูลส่วนบุคคล วไปและข้อมูลของผู้เยาว์
19-27
หลักการเก็บรวบรวม ใช้ และเ ดเผยข้อมูลส่วนบุคคล หมวด 3 สิทธิของเจ้าของข้อมูลส่วนบุคคล
ข้อยกเว้นในการเก็บรวบรวม ใช้ และเ ดเผยข้อมูลส่วนบุคคล
หลักการเก็บรวบรวม ใช้ และเ ดเผยข้อมูส่วนบุคคล มีความละเอียดอ่อน มาตรา การก หนดสิทธิของเจ้าของข้อมูล ได้แก่ การขอเข้าถึงและขอรับส เนา
30-36
ข้อมูล (Access) การขอโอนหรือรับข้อมูล เก็บแบบอัตโนมัติ (Data
มาตรา หลักเกณฑ์การส่งหรือโอนข้อมูลส่วนบุคคลต่างประเทศ portability) การขอคัดค้านการเก็บข้อมูล (Objection) การขอให้ลบหรือ
28-29
ท ลาย (Erasure) การระงับการใช้ (Restriction) การขอท ให้ข้อมูลถูกต้อง
(Recti cation)
การร้องเรียน หมวด 5
มาตรา การแต่ง ง คกก.ผู้เ ยวชาญเ อพิจารณาตรวจสอบเ องร้องเรียนและ มาตรา หน้า ของผู้ควบคุมข้อมูลส่วนบุคคล (Data controller) ต้องจัดให้มี
71-76 37-39
ไกล่เก ยการแต่ง งแะละอ นาจหน้า ของพนักงานเจ้าหน้า มาตรการรักษาความ นคงปลอดภัย จัดท บันทึกรายการกิจกรรมและต้อง
แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่ส นักงาน
ความรับผิดทางแพ่ง หมวด 6
มาตรา การก หนดค่าสินไหมทดแทนและอายุความ
มาตรา หน้า ของผู้ประมวลผลข้อมูลส่วนบุคคล (Data processer) ต้องจัดให้มี
40
77-78 มาตรการรักษาความ นคงปลอดภัยและจัดท บันทึกรายการกิจกรรม
บทก หนดโทษ หมวด 7 มาตรา หน้า ของเจ้าหน้า คุ้มครองข้อมูลส่วนบุคค (Data protection of cer, DPO)
41-42
มาตรา การก หนดโทษอาญา สูงสุดจ คุกไม่เกิน 1 หรือปรับไม่เกิน 1 ล้านบาท
79-81
หรือ งจ งปรับ
มาตรา การก หนดทางปกครอง ปรับสูงสุด 5 ล้านบาท หมวดเฉพาะกาล
82-90
มาตรา
95
การเก็บรวบรวมและใช้ข้อมูลเดิม
Start
Suphawatchara
DPOaaS
MALANOND
(Feb 2022) (Feb 2022) 16 of 102
ความรั บ ผิ ด
ความรับผิดทางละเมิดของเจ้าหน้า
ความรับผิดตาม ป.อาญา มาตรา 157
‣ (แล้วแต่กรณี)
Attorney
แต่ละรายมีค่าเสียหายรายละ 1,000 บาท Contingency Fee
(ACF)
B Actual
Damages
(AD) @1,000 B.
ค่าเสียหาย งหมด อาจจะต้องจ่ายในคดี
ผู้เสียหาย งทนายความ ปรึกษาเ อด เนินคดีแบบกลุ่ม ADM
[ B (2x B ) ]x A
Awarded
Damages for ฿ 30 M.
Class’s [
= 1,000 + (2x1,000) ] x 10,000
Member
Class Action
2
Attorney Fee = 30% of Awarded Damages for Class’s Member
2
฿ 9 M.
Attorney
Fee
= 30,000,000 x 0.3
฿ 39 M.
ใช้ เ ดเผยข้อมูลส่วน
บุคคลตามมาตรา 26
โดยปราศจากฐานทาง
โดยประการ น่ า จะท ให้ ผู้ น • จ คุกไม่เกิน 6 เดือน
กฎหมาย
เสียหาย เสีย อเสียง ถูกดูห น • เกิดจากการ งการ
(PDPA Art. 27 para1)
• ปรับไม่เกิน 500,000 บาท
ใช้ เ ดเผย ข้อมูลส่วน ถูกเกลียดชัง ฯลฯ ห รื อ ก า ร ก ร ะ ท
บุคคลตามมาตรา 26 • หรือ งจ งปรับ ของกรรมการ
ไม่ถูกต้องตาม
วัตถุประสงค์ • ละเว้นการกระท
(PDPA Art.27 para3)
(PDPA Art.79,81)
• จ คุกไม่เกิน 1
โอนข้อมูลส่วนบุคคล
เ อแสดงหาประโยชน์ มิชอบ
ตามมาตรา 26 ไปต่าง • ปรับไม่เกิน 1 ล้าน บาท
ด้ ว ยกฎหมายส หรั บ ตนเอง
ประเทศโดยไม่ชอบ
หรือผู้ น • หรือ งจ งปรับ
ด้วยกฎหมาย (PDPA
Art.28)
Start
Suphawatchara
DPOaaS
MALANOND
(Feb 2022) (Feb 2022) 21 of 102
วง จ รชี วิ ต ข อง ข้ อ มู ล ส่ ว น บุ ค ค ล
Pe rs ona l Data Lifec ycle
PDPA as Legal Framework for Regulatory Compliance
CMU must implement control and safeguard.
2 เ อมโยงกับข้อมูล น ๆ
32K
Suphawatchara MALANOND (Feb 2022) 24 of 102
นั้
ที่
นั้
ชื่
อื่
กี่
ซึ่
ำ
SPECIAL CATEGORIES OF PERSONAL DATA/SENSITIVE DATA
ต้องการฐานทางกฎหมาย
1 เ อ ช า ติ เ ผ่ า พั น ธ์ 6 ข้ อ มู ล สุ ข ภ า พ
เ มเติมในการประมวลผล
Political opinion Disability
2 ค ว า ม คิ ด เ ห็ น ท า ง ก า ร เ มื อ ง 7 ข้ อ มู ล ค ว า ม พิ ก า ร
Religious or
3 philosophical beliefs
8 Trade union information
ข้ อ มู ล ส ห ภ า พ แ ร ง ง า น
ค ว า ม เ อ ใ น ลั ท ธิ ศ า ส น า ห รื อ ป รั ช ญ า
Biometric data
Criminal record
5 ป ร ะ วั ติ อ า ช ญ า ก ร ร ม
10 ข้ อ มู ล ชี ว ภ า พ
05 06 07
ระยะเวลาการจัดเก็บ ความปลอดภัยของ ความรับผิดชอบ
ข้อมูลเท่า จ เ น ข้อมูล (Accountability)
RoPA PDPA Art.39
(Storage limitation) (Integrity and
(PDPA Art. 23(3), confidentiality (PIMS 0.1, ref to ISO/
37(3), 39(4)) (PDPA Art. 37(1))
IEC 29100)
(PIMS clause 7.4.4, (PIMS clause 5.1, 6.1)
7.4.5, 7.4.7, 7.4.8) ISO/IEC 27701:2019 PIMS
Suphawatchara MALANOND (Feb 2022) 26 of 102
ที่
ที่
ที่
ที่
ำ
ป็
ำ
ป็
Data Processing Obligations (1)
01 02 03 04 05 06 07
PDPA
01 02 03 04 05 06 07
02
มีวัตถุประสงค์ จ กัด PDPA
(Purpose limitation)
(มาตรา 21) ผู้ควบคุมข้อมูลส่วนบุคคลต้องท การเก็บรวบรวม ใช้ หรือเ ด
(PDPA Art. 21, 37(3))
เผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ ได้แจ้งเจ้าของข้อมูลส่วนบุคคลไว้
ถูกรวบรวมเ อวัตถุประสงค์ เฉพาะ ชัดเจนและ การเก็ บ รวบรวม ใช้ หรื อ เ ดเผยข้ อ มู ล ส่ ว นบุ ค คล แตกต่ า งไปจาก
01 02 03 04 05 06 07
03
ใช้ข้อมูลให้น้อย สุด
(Data minimisation) PDPA
(PDPA Art. 22)
การเก็บรวบรวมข้อมูลส่วนบุคคล ให้เก็บรวบรวมได้เท่า จ เ นภาย
ใต้วัตถุประสงค์อันชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล
GDPR
(มาตรา 22)
เพียงพอ เ ยวเ องและอยู่ในขอบเขต จ เ น โดย
จัดให้มีระบบการตรวจสอบเ อด เนินการลบหรือท ลายข้อมูลส่วน
สัมพันธ์กับวัตถุประสงค์ ข้อมูลถูกประมวลผล
บุคคลเ อพ้นก หนดระยะเวลาการเก็บรักษา หรือ ไม่เ ยวข้อง
หรือเกินความจ เ นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูล
ส่วนบุคคล น...( มาตรา 37(3))
01 02 03 04 05 06 07
04
ความถูกต้องของข้อมูล
(Accuracy)
(PDPA Art.35)
GDPR PDPA
01 02 03 04 05 06 07
PDPA
05 ของการเก็บรวบรวม (23(3))
o จัดให้มีระบบการตรวจสอบเ อด เนินการลบหรือท ลายข้อมูลส่วนบุคคลเ อพ้นก หนดระยะ
เวลาการเก็บรักษา หรือ ไม่เ ยวข้องหรือเกินความจ เ นตามวัตถุประสงค์ในการเก็บรวบรวม
ระยะเวลาการจัดเก็บข้อมูลเท่า จ เ น
ข้อมูลส่วนบุคคล น หรือตาม เจ้าของข้อมูลส่วนบุคคลร้องขอ หรือ เจ้าของข้อมูลส่วนบุคคลได้
(Storage limitation)
ถอนความยินยอม (37(3))
(PDPA Art. 23(3), 37(3), 39(4))
o ให้ผู้ควบคุมข้อมูลส่วนบุคคลบันทึกรายการ “ระยะเวลาการเก็บรักษาข้อมูลส่วนบุคค” เ อให้
เจ้าของข้อมูลส่วนบุคคลและส นักงานสามารถตรวจสอบได้ โดยจะบันทึกเ นหนังสือหรือระบบ
อิเล็กทรอนิกส์ก็ได้ (39(4))
01 02 03 04 05 06 07
06
ความปลอดภัยของข้อมูล
(Integrity and
confidentiality
(PDPA Art. 37(1), 40(2))
PDPA
GDPR
จัดให้มีมาตรการรักษาความ นคงปลอดภัย เหมาะสม เ อ
▪ ถู ก ประมวลผลโดยมี ห ลั ก ประกั น ความปลอดภั ย ของข้ อ มู ล ส่ ว น
บุคคล องกันการสูญหาย เข้าถึง ใช้ เป ยนแปลง แก้ไข หรือเ ดเผย
ข้อมูลส่วนบุคคลโดยปราศจากอ นาจหรือโดยมิชอบ และต้อง
▪ มีมาตรการคุ้มครองจากการประมวลผล ไม่ได้รับอนุญาตหรือไม่
ชอบด้วยกฎหมายและจากการสูญเสีย การถูกท ลายหรือความเสีย ทบทวนมาตรการดังกล่าวเ อมีความจ เ นหรือเ อเทคโนโลยี
หายโดยอุ บั ติ เ หตุ โดยใช้ ม าตรการทางเทคนิ ค หรื อ การจั ด การ เป ยนแปลงไปเ อให้มีประสิทธิภาพในการรักษาความ นคง
องค์กรตามสมควร ปลอดภัย เหมาะสม ( ม.37(1)) (Data Peocessor ดู ม.40(2))
01 02 03 04 05 06 07
07
ความรับผิดชอบ ผู้ควบคุมข้อมูลส่วนบุคคล (องค์กร) เ นผู้รบ
ั ผิดชอบต่อการปฏิบัติ
(Accountability) ตามข้อ (1)-(6) และสามารถแสดงและพิสูจน์ได้ว่าได้ด เนินการแล้ว
(demonstrate of compliance)
ระยะเวลาการจัดเก็บข้อมูลเท่า จ เ น มีวต
ั ถุประสงค์ ชอบด้วยกฎหมาย (และ
(ม.23(3), 37(3), 39(4)) อย่างจ กัด) (ม.21)
Storage limitation Accountability Purpose limitation
Retained only for as long as ความรับผิดชอบ Collected for speci ed
necessary for achieving the explicit and legitimate
purpose purposes
32. A personal information controller 32. Efficient and cost effective business
The APEC Framework 2015, published by the Asia-Pacific Economic
should be accountable for complying
with measures that give effect to the
models often require information
transfers between different types of Cooperation, is a framework to protect privacy within and beyond
economies and to enable regional transfers of personal information benefits
Principles stated above. When organizations in different locations with
personal information is to be varying relationships. When
transferred to another person or transferring information, personal
organization, whether domestically
or internationally, the personal
information controllers should be
accountable for ensuring that the
consumers, businesses, and governments. This framework is used as a basis
information controller should obtain
the consent of the individual or
recipient will protect the information
consistently with these Principles when for the APEC Cross-Border Privacy Rules (CBPR) System. (IAPP)
exercise due diligence and take not obtaining consent. Thus,
reasonable steps to ensure that the information controllers should take
recipient person or organization will reasonable steps to ensure the
protect the information consistently information is protected, in accordance
with these Principles. with these Principles, after it is
transferred. “A personal information controller should be accountable
There are certain situations where such
due diligence may be impractical or for complying with measures that give effect to the
Principles stated above. ”
impossible, for example, when there is
no on-going relationship between the
personal information controller and the
third party to whom the information is
disclosed. In these types of
circumstances, personal information
controllers may choose to use other
means, such as obtaining consent, to
assure that the information is being A useful means for a personal information controller to help
ensure accountability for the personal information it holds
protected consistently with these
Principles. However, in cases where
disclosures are required by domestic
programme.
A useful means for a personal
information controller to help ensure
accountability for the personal
information it holds is to have in place a
privacy management programme.7
Part.Privacy
APEC IV. Implementation
Framework 2015
Page 22 of 31
33. Part IV provides guidance to member economies on implementing the APEC Privacy
Framework. Section A. focuses on those measures member economies should
consider in implementing the Framework domestically, while Section B sets out Suphawatchara MALANOND (Feb 2022) 35 of 102
5 L aw f u l B a s i s fo r D a t a P r o c e s s i n g
(ฐานในการประมวลผลข้ อ มู ล ส่ ว นบุ ค คล)
Start
GDPR P D PA
1 2 3 4 5 6 7
1 01 ความยินยอม (Consent)
เ นการจ เ นเ อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วน
4 04 บุคคลหรือของบุคคลหรือนิติบุคคล น ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล
(Legitimate Interest)
Data protection
Guide to the
General Data Protection
Regulation (GDPR)
Explicit Consent:
02
Purpose Limitation:
ในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้ง
วัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเ ดเผยข้อมูลส่วนบุคคลไปด้วย
03
Form of Consent:
การขอความยินยอม นต้องแยกส่วนออกจากข้อความ นอย่างชัดเจน มีแบบหรือข้อความ เข้าถึงได้ง่ายและเข้าใจได้
รวม งใช้ภาษา อ่านง่าย และไม่เ นการหลอกลวงหรือท ให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์ดังกล่าว
ในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลต้อง
04
Freely Given:
ค นึงอย่างถึง สุดในความเ นอิสระของเจ้าของข้อมูลส่วนบุคคลในการให้ความยินยอม
( P D PA A r t . 1 9 )
Suphawatchara MALANOND (Feb 2022) 41 of 102
มื่
ทั้
นั้
ที่
ที่
อื่
ที่
ำ
ำ
ป็
ป็
ป็
ปิ
ำ
ำ
ข้อพิจารณาเ อใช้ฐา นค วามยินยอม (2)
เจ้าของข้อมูลส่วนบุคคลจะถอนความยินยอมเสียเ อใดก็ได้โดยจะต้องถอนความยินยอมได้ง่ายเช่นเดียวกับการให้ความ
05 ยินยอม เว้นแต่มีข้อจ กัดสิทธิในการถอนความยินยอมโดยกฎหมายหรือสัญญา ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคล
Right to Withdraw:
06
Effect:
ข้อมูลส่วนบุคคลได้ให้ความยินยอมไปแล้วโดยชอบตาม ก หนดไว้ในหมวด ในกรณี การถอนความยินยอม
ส่งผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลในเ องใด ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งให้เจ้าของข้อมูลส่วน
บุคคลทราบถึงผลกระทบจากการถอนความยินยอม น
Source: https://www.ais.th/cookiesPolicy/th/
Source: https://www.ais.th/cookiesPolicy/th/
ผู้ควบคุมข้อมูลส่วนบุคคลผู้ใด...ขอความยินยอมโดยการหลอกลวงหรือท ให้เจ้าของข้อมูลส่วนบุคคล
มาตรา 83
เข้าใจผิดในวัตถุประสงค์...ต้องระวางโทษปรับทางปกครองไม่เกินสามล้านบาท
Start
[GDPR 4(7)]
(“ผู้ ค ว บ คุ ม ” ห ม า ย ถึ ง บุ ค ค ล ธ ร ร ม ด า “ผู้ ค วบคุ ม ข้ อ มู ล ส่ ว นบุ ค คล” หมายความว่ า
ห รื อ นิ ติ บุ ค ค ล ห น่ ว ย ง า น ข อ ง รั ฐ ห รื อ
อ ง ค์ ก ร ใ ด ก ห น ด วั ต ถุ ป ร ะ ส ง ค์ แ ล ะ
วิ ธี ก า ร ป ร ะ ม ว ล ผ ล ข้ อ มู ล ส่ ว น บุ ค ค ล
ไ ม่ ว่ า จ ะ โ ด ย ล พั ง ห รื อ ร่ ว ม กั น
บุ ค คลหรื อ นิ ติ บุ ค คล งมี อ นาจ
หน้ า ตั ด สิ น ใ จ เ ยวกั บ การเก็ บ
รวบรวม ใช้ หรื อ เ ดเผย ข้ อ มู ล
ส่ ว นบุ ค คล
Mean
ก หนดวิธีการ
Purpose ก หนดวัตถุประสงค์
หมายความว่า
(1) ต้องไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล
ายบุคคลของบริษัทฯ
The Human Resources
A is employed by a department at the construction
construction company. company keeps A’s personal data on
A พนักงานของบริษัทก่อสร้าง
2
le.
3
bank account.
4
Data Processor
Supervisory Authority/
Data Protection Authority บริษัทฯ จ้างบริษัท นมาจัดการเงินเดือน
Suphawatchara MALANOND ( Feb 2022) 52 of 102
อื่
ฝ่
fi
พนักงานเ นผู้ ควบคุมฯหรื อ ผู้ ป ระมวลผลฯ หรื อ ไม่ (2)
HIGHLIGHTS
! ในแต่ละองค์กร ผู้ควบคุมข้อมูลส่วนบุคคล คือองค์กร เ นนิติบุคคล ไม่ใช่
พนักงานหรือส่วนงานใดส่วนงานห งภายในองค์กร
! สถานะ หน้า และความรับผิดในฐานะผู้ควบคุมข้อมูลส่วนบุคคลเ นไปตาม
กฎหมายก หนด ไม่สามารถมอบหมายไปยังบุคคล นได้
! พนักงานภายในองค์กรในบริบทของสัญญาจ้างพนักงานไม่ใช่ผู้ประมวลผล
ข้อมูลส่วนบุคคล
! ในบริบทของกิจกรรมการประมวลผลห ง ๆ บุคคลธรรมดา จะเ นผู้ควบคุม
ข้อมูลส่วนบุคคลตามนิยามในกฎหมาย ต้องไม่ใช่ผู้ ท การประมวลผลในนาม
หรือตามค งขององค์กร ตนสังกัด เ องจากเจตนารมณ์ของกฎหมายไม่
ต้องการให้แยกการด เนินการของบุคคลต่าง ๆ ในองค์กรออกจากองค์กร
ตนเองสังกัด
! บุคคลธรรมดา งมีอ นาจหน้า ตัดสินใจเ ยวกับการประมวลผลข้อมูลส่วน
บุคคล อาทิ ในกรณี ประกอบกิจการเจ้าของคนเดียวโดย ไม่ได้จดทะเบียนจัด ง
นิติบุคคลแยกต่างห่างจากบุคคล เ นเจ้าของ
D a t a B re a c h N o t i f i c a t i o n
Start
กรณี ใ ดบ้ า ง
แจ้ง
ถือว่าเ นเหตุการละเมิดฯ ส นักงาน(สคส.) กฎ 72 ช.ม.
มีความเ ยง
CIA กรณี ต้องแจ้ง จะมีผลกระทบ
ต่อสิทธิและเสรีภาพของบุคคล
แจ้ง
เจ้าของข้อมูลส่วนบุคคล
มีความเ ยงสูง (high
risk) จะมีผลกระทบต่อสิทธิและ
เสรีภาพของบุคคล
Suphawatchara
DPOaaS
MALANOND
(Feb 2022) (Feb 2022) 62 of 102
รื่
มั่
Data Security: Preparation
4 Audit Process
VII. Annex
freedoms?
No requirement to notify
individuals.
Yes No
All breaches recordable under Article 33(5). Breach should be documented and
This Working Party was set up under Article 29 of Directive 95/46/EC. It is an independent European advisory body on data record maintained by the controller.
protection and privacy. Its tasks are described in Article 30 of Directive 95/46/EC and Article 15 of Directive 2002/58/EC.
The secretariat is provided by Directorate C (Fundamental Rights and Union Citizenship) of the European Commission, 30
Directorate General Justice, B-1049 Brussels, Belgium, Office No MO-59 02/013.
Website: http://ec.europa.eu/justice/data-protection/index_en.htm
fi
Incident Management: ISO/IEC 2703 5-1 /-2
— information sharing between stakeholders and internal and external collaborators such as vendors
and other IRTs. ISO/IEC 27035-1:2016(E)
Process Class1
First edition
2016-
Readiness Initialization Acquisitive Investigative
Activity 2
Identify, Collect,
Plan Prepare Respond Understand Report Close
Acquire, Preserve
Key
Key
International Standard can be directly applied to these activities
International Standard contains information which may in!luence
and/or assist with these activities
1.
1.Process
Process classes are de!ined
classes in ISO/IEC
are de!ined 27043 27043
in ISO/IEC
2. Detail of activities is given in ISO/IEC 27035-2,
2. Detail of activities is given in ISO/IEC 27035-2, ISO/IEC 27037, and 27037, and
ISO/IEC
ISO/IEC
ISO/IEC 27042
27042
Reference number
ISO/IEC 27035-1:2016(E)
© ISO/IEC 2016
Computer Security
Incident Handling Guide
Paul Cichonski
Tom Millar
Tim Grance
Karen Scarfone
3.1 Suphawatchara
Preparation MALANOND (Feb 2022) 66 of 102
เจ้าห น้า คุ้ มครองข้อมูลส่วนบุค ค ล
เ จ้ า ห น้ า คุ้ ม ค ร อ ง ข้ อ มู ล ส่ ว น บุ ค ค ล
Data Protection Officer (DPO)
1 ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเ นหน่วยงานของ
รัฐตาม คณะกรรมการประกาศก หนด
DPO
Mandatory v. Voluntary
2
การด เนินกิจกรรมของผู้ควบคุมข้อมูลส่วนบุคคลจ เ นต้องตรวจสอบข้อมูลส่วน
บุคคลหรือระบบอย่างส เสมอ โดยเหตุ มีข้อมูลส่วนบุคคลเ นจ นวนมาก
Designation ตาม คณะกรรมการประกาศก หนด(systematic monitoring on a large
scale)
กิจกรรมหลักของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล
3 เ นการประมวลผลข้อมูลส่วนบุคคลตามมาตรา 26 (sensitive data)
ในกรณี ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลอยู่ในเครือกิจการ
บทบาท หรือเครือธุรกิจเดียวกันเ อการประกอบกิจการหรือธุรกิจร่วมกันผู้ควบคุมข้อมูลส่วน
สถานะ
ของ DPO
1 บุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลดังกล่าวอาจจัดให้มี DPO ร่วมกันได้ (ให้น มา
ใช้บังคับแก่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล งเ นหน่วยงาน
ของรัฐ งมีขนาดใหญ่หรือมีสถาน ท การหลายแห่งโดยอนุโลม)
ต่ อ DPO
2 ผู้ควบคุมข้อมูลส่วนบุคคลจะให้ DPO ออกจากงานหรือเลิกสัญญาการจ้างด้วยเหตุ เจ้า
หน้า คุ้มครองข้อมูลส่วนบุคคลปฏิบัติหน้า ตามพระราชบัญญัติ ไม่ได้
DPO
Mandatory v. Voluntary 3
DPO ต้องสามารถรายงานไปยังผู้บริหารสูงสุดของผู้ควบคุมข้อมูลส่วนบุคคลโดยตรง
ได้ (C-Suite)
ของ DPO
1 (inform and advise)
DPO
Mandatory v. Voluntary
ประสานงานและให้ความร่วมมือกับส นักงาน (สคส.) ในกรณี มี ญหาเ ยว
Tasks 3 กับการเก็บรวบรวม ใช้ หรือเ ดเผยข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วน
บุคคล (being a contact point)
ประสานงานกับเจ้าของข้อมูลส่วนบุคคล เ ยวกับการประมวลผลข้อมูลส่วน
4 บุคคลและการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลตามพระราชบัญญัติ
Position
3 ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล มีหน้า ตาม
กฎหมายต้องแต่ง ง DPO แต่ไม่แต่ง ง [ม.82/85 ปรับ 1 ล้านบาท]
Start
Transparency
An intelligible and
Clear and plain language Concise communication
easily accessible form
Fair
Privacy Privacy
processing
statement policy
statement
Step 6
Step 5 ทบทวนและลงระบบ
1.การเพิกถอนความยินยอม
(ม.19)
INITIAL DRAFT
2. การเข้าถึงข้อมูลส่วน
บุคคล (ม.30)
3. การให้โอนย้ายข้อมูลส่วน
บุคคล (ม.31)
4. การคัดค้านการประ มวล
ผลข้อมูลส่วนบุคคล
(ม.32)
5. การลบหรือท ลายข้อมูล
ส่วนบุคคล (ม.33)
6.การระงับการใช้ข้อมูลส่วน
บุคคล (ม.34)
7. การแก้ไขข้อมูลส่วนบุคคล
ให้ถูกต้อง (ม.36)
80 of 102
ตั้
สั่
พื่
พื่
พื่
พื่
พื่
พื่
พื่
พื่
อื่
อื่
พื่
ที่
พื่
พื่
ำ
ยิ่
ำ
ำ
ป้
ป็
ำ
ป้
ำ
ำ
ำ
ำ
ำ
Access requests and right-to-erasure requests are the
most
IAPP-EY common
Annual DSRs
Privacy across firms, with at least two-thirds
Access requests and right-to-erasure requests are the most
receiving
Governance them
Report 2021 common DSRs across rms, with at least two-thirds receiving them
None 11%
About a few
days to a
week, 20% About a
week or
About a day two, 28%
or two, 9%
Automated
22% 6%
3%
Overall manual: 52%
Overall automated: 35%
30% 32%
Entirely manual but mature
Partially automated
7%
IAPP-EY Annual Priv
Governance Report 2
Differentiating between
sources and types of
complaints
Designating proper
recipients
Implementing a
centralized intake
process
Tracking the process
Reporting and
documenting resolutions
Redressing
IAPP-EY A
Governanc
(2.2)
(2.3)
30
2562
(2.4)
30
60
30
2
(2.5)
(2.6)
2562 30
(2.7) 32 33 34
2562
(2.8)
14
https://sites.google.com/view/pdpa-2019/pdpa-home
https://sites.google.com/view/pdpa-2019/pdpa-home
กี่
รื่
ที่
ทั้
ำ
8 Achieving PDPA Compliance
(แนวทางการน พาองค์กรไปสู่การปฏิบัติตามกฎหมาย)
Start
People
▸ Management systems
▸ Governance frameworks Process
▸ Best practice
▸ IT audit
Technology
Source: IT Governance Privacy Team. EU General Data Protection Regulation (GDPR): An Implementation and Compliance Guide. 4th ed.,
IT Governance Ltd, 2020. P.80
2 3 เตรียมข้อก หนดหรือแนวปฏิบัติ
การคุ้มครองข้อมูลส่วนบุคคล และ
เอกสารทางกฎหมาย เ ยวข้อง กระบวนการทบทวน
(Policy, Notice, DPA, Data 8 (Internal Audit/
- แต่ง ง Working Sharing , Agreement, Vendor Audit)
group/PDPA Team Retention Policy, Disposal
- Executive Sponsor 5 Policy, Consent Form)
เ มกระบวนการจัดท Data
Protection Management
6
Program (DPMP) เตรียมกระบวนการตอบ พัฒนากระบวนการแจ้ง
สนองต่อค ขอใช้สิทธิของ เหตุการละเมิด
เจ้าของข้อมูลส่วนบุคคล (Breach Notification)
(Data Subject Request)
Privacy Notice Employee Privacy Notice Data Retention Policy Data Disposal Policy
(หนังสือแจ้งการประมวลผลต่อพนักงาน) (นโยบายระยะเวลาการจัดเก็บข้อมูล) (นโยบายการท ลายข้อมูล)
(หนังสือแจ้งการประมวลผล)
PDPA Article 23 PDPA Article 23(3), 37(3), 39(4) PDPA Article 37(3)
PDPA Article 23
GDPR Article 12, 13, and 14 GDPR Articles 5, 13, 17, and 30(f) GDPR Articles Article 5(1)(f)
GDPR Article 12, 13, and 14
ISO/IEC 27701 Clause 7.3.2 ISO/IEC 27701 Clause 7.4.7, 7.2.8 ISO/IEC 27701 Clause 7.4.8
ISO/IEC 27701 Clause 7.3.2
Data Subject Consent Form Data Processing Agreement Data Breach Response and Data Breach Notification
(แบบฟอร์มการขอความยินยอม) (ข้อตกลงการประมวลผล) Notification Procedure Form to Data Subjects
Data Protection Officer Inventory of Processing Data Sharing Agreement Data Subject Request Form
Job Description Activities (ข้อตกลงการโอนข้อมูลระหว่างองค์กร) (แบบฟอร์มขอใช้สิทธิขอใช้สิทธิของ
Other 13%
Start
You [University] can to investors and regulators, but to the everyday consumer,
as well as their fellow employees. [IAPP]
outsource any activities,
but not liabilities. When an organisation outsources any data processing
to a data processor/vendor; the organisation continues
to be obliged to make reasonable security
arrangements to protect personal data in its
possession or under its control (Singapore PDPC)
https://compliance.admin.ox.ac.uk/staff-guidance
Suphawatchara MALANOND (Feb 2022) 95 of 102
U n i ve r s i t y P o l i c y o n D a t a P r o t e c t i o n
ANNEX A ANNEX A ANNEX A
University Policy on Data Protection University Policy on Data Protection University Policy on Data Protection
This policy should be read in conjunction with the accompanying guidance, which provides
further detail and advice on practical application, as well as any other documents that
impose confidentiality or data management obligations in respect of information held by the
University.
This policy does not cover the use of personal data by members of the University when
acting in a private or non-University capacity.
2. Background
The processing of personal data underpins almost everything the University does. Without it,
students cannot be admitted and taught; staff cannot be recruited; living individuals cannot
be researched; and events cannot be organised for alumni or visitors.
( N o t M a n d a t o r y, 1
This includes all legislation enacted in the UK in respect of the protection of personal data as well as the Privacy and
Electronic Communications (EC Directive) Regulations 2003.
b u t m u s t h ave )
Council has executive responsibility for ensuring that the University complies with data
University Policy on Data Protection
investigating promptly any suspected breach of data privacy legislation; reporting it, privacy legislation.
where necessary, to the ICO; and seeking to learn any lessons from the incident in
order to reduce the risk of reoccurrence.
protection obligations and acting as a point of contact for individuals and the ICO. individuals and the ICO.
Information Compliance Team
establishing and maintaining policies and procedures at a central level to facilitate the Vice Chancellor’s and Registrar’s Office: Information Compliance Team
data privacy legislation;
coordinating a University-wide register exercise to capture the full range of facilitate the University’s compliance with data privacy legislation;
processing that is carried out;
complying with subject access and other rights based requests made by individuals
for copies of their personal data;
2. establishing and maintaining guidance and training materials on data privacy
new and existing staff, visitors or third parties associated with the Department who are likely to
process personal data are aware of their responsibilities under data privacy legislation. This includes drawing the
attention of staff to the requirements of this policy, ensuring that staff who have responsibility for handling
(1)
personal data are provided with adequate training and, where appropriate, ensuring that job descriptions
for members of staff or agreements with relevant third parties reference data privacy
responsibilities.
(2) adequate records of processing activities are kept (for example, by undertaking register exercises);
data privacy risks are included in the department’s risk management framework and considered by senior management
(4)
on a regular basis; and departmental policies and procedures are adopted where appropriate.
-
I. Transfers of Your Data Overseas
There may be occasions when we transfer your data overseas, for example, if we communicate with you using
Introduction Document navigation a cloud based service provider that operates outside the EEA or for scholarships where selection takes place
overseas, or returns to bodies overseas such as those offering international opportunities. Such transfers will
only take place if one of the following applies:
A. What is the purpose of this document? C. Who is using your personal data?
the country receiving the data is considered by the EU to provide an adequate level of data protection;
The University of Oxford is committed to protecting the privacy and security of your D. The types of data we hold about you the organisation receiving the data is covered by an arrangement recognised by the EU as providing an
adequate standard of data protection e.g. transfers to companies that are certified under the EU US
This privacy policy describes how we collect and use your personal data during and after E. How the University Obtained Your Data Privacy Shield;
the transfer is governed by approved contractual clauses;
your studies with us, in accordance with the General Data Protection Regulation (GDPR) and F. How the University Uses Your Data the transfer has your consent;
related UK data protection legislation. the transfer is necessary for the performance of a contract with you or to take steps requested by you
It applies to all individuals who have or have had a contract for study with the University of G. Special Category and Criminal Convictions prior to entering into that contract;
the transfer is necessary for the performance of a contract with another person, which is in your interests;
Oxford including all current and former undergraduates and postgraduates. It is important H. Data Sharing with Third Parties the transfer is necessary in order to protect your vital interests or of those of other persons, where you or
that you read this policy, together with any other privacy policy we may provide on specific other persons are incapable of giving consent;
occasions when we are collecting or processing information about you, so that you are I. Transfer of Your Data Overseas the transfer is necessary for the exercise of legal claims; or
the transfer is necessary for important reasons of public interest.
aware of how and why we are using the information. We may update this policy at any J. Data Security We may display your University email address on our websites, which are accessible to internet users,
time. including those in countries overseas.
Information about how we use the data of former students for alumni relations or fund K. Retention Period
raising purposes is covered in a separate document. In addition, each college1 will have its L. Your Rights J. Data Security
own privacy notice.
We have put in place measures to protect the security of your information. Details of these measures are
M. Keeping Your Data Up-to-Date available from the .
B. Glossary N. Changes to this Privacy Policy Third parties that process data on our behalf will do so only on our instructions and where they have agreed to
keep it secure.
that is about you and from which you can be identified, whether directly or indirectly. It
does not include data where your identity has been removed (anonymous data). Related documents and links K. Retention Period
We will retain your data only for as long as we need it to meet our purposes, including any relating to legal,
with that information, including collection, use, storage, disclosure, deletion or retention. Retention of student records
accounting, or reporting requirements.
Data Protection: Policy Details of the retention periods for different types of student data are available here.
1
means any college or Permanent Private Hall
Issued July 2021 Further information: Data protection enquiries Quick links: Who is using your personal data? | The types of data we hold about you | How the University Obtained Your Data | How
the University Uses Your Data | Special Category and Criminal Convictions | Data Sharing with Third Parties | Transfer of Data Overseas
data.protection@admin.ox.ac.uk
( C o m p a r a b l e t o P D PA A r t . 2 3 )
| Data Security | Retention Period | Your Rights | Keeping Your Data Up-to-Date | Changes to this Privacy Policy| Back to top
Page 8 of 9