Thailand Data Protection Guidelines 3.0

Questions and Answers

แนวปฏิบัติที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลที่ได้เผยแพร่มีกี่เวอร์ชัน?

3 เวอร์ชัน

GDPR เป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่มีผลบังคับใช้ในประเทศไทย

False

ข้อใดคือการดำเนินการที่เกิดขึ้นเพื่อรองรับการมีผลบังคับใช้อย่างมีประสิทธิภาพ?

การจัดสัมมนาเชิงลึก (correct)

การตั้งหน่วยงานตรวจสอบใหม่

การทำการตลาดสากล

การปรึกษาทางกฎหมาย

พระราชบัญญัติการคุ้มครองข้อมูลส่วนบุคคล พ.ศ. _____ มีผลบังคับใช้ในปีนี้

2562 Signup and view all the answers

TDPG3.0 มีจุดมุ่งหมายในการตอบปัญหาเกี่ยวกับอะไร?

การดำเนินการในรายละเอียดของประเภทงานต่างๆ Signup and view all the answers

กฎหมายคุ้มครองข้อมูลส่วนบุคคลมีเป้าหมายเพื่ออะไร?

ปกป้องข้อมูลส่วนบุคคลจากผลร้ายที่อาจเกิดจากการประมวลผลข้อมูล Signup and view all the answers

GDPR ที่ออกโดยสหภาพยุโรปมีผลบังคับใช้มาตั้งแต่เมื่อไหร่?

25 พฤษภาคม 2561 Signup and view all the answers

ในการประมวลผลข้อมูลส่วนบุคคลตาม GDPR ต้องมีอะไร?

ฐานทางกฎหมาย Signup and view all the answers

กฎหมายการคุ้มครองข้อมูลส่วนบุคคลมีมาตรฐานเดียวกันทั่วโลก

False Signup and view all the answers

GDPR เป็นการปรับปรุงกฎหมายเดิมที่เรียกว่า ______.

EU Data Protection Directive 95/46/EC Signup and view all the answers

TDPG3.0 คืออะไร?

แนวปฏิบัติเพื่อการคุ้มครองข้อมูลส่วนบุคคลในประเทศไทยที่มีความสัมพันธ์กับมาตรฐาน GDPR Signup and view all the answers

จับคู่ความหมายของคำต่อไปนี้:

Anonymization = กระบวนการทำให้ความเสี่ยงในการระบุตัวตนน้อยลง Pseudonymization = การประมวลผลที่ไม่ระบุเจตนาของข้อมูล Processing = การดำเนินการเกี่ยวกับข้อมูลส่วนบุคคล Signup and view all the answers

ฐานความยินยอม (CONSENT) คืออะไร?

ฐานความยินยอม (CONSENT) เป็นหลักการที่ต้องได้รับการอนุญาตจากบุคคลก่อนการเก็บรวบรวมและประมวลผลข้อมูลส่วนบุคคลของเขา. Signup and view all the answers

เงื่อนไขของความยินยอม (Requirements of Consent) มีอะไรบ้าง?

<ol> <li>ความชัดเจนในการให้ความยินยอม 2. การให้ข้อมูลเพียงพอ 3. การมีทางเลือกในการถอนความยินยอม.</li> </ol> Signup and view all the answers

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จะมีผลบังคับใช้เมื่อใด?

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จะมีผลบังคับใช้ก่อนเดือนมิถุนายน พ.ศ. 2563. Signup and view all the answers

การทำการตลาดแบบตรง (Direct Marketing) มีลักษณะอย่างไร?

การติดต่อผู้บริโภคโดยตรง Signup and view all the answers

การโฆษณาตามพฤติกรรมออนไลน์ (Online Behavioural Advertisement) ใช้ข้อมูลอะไร?

ข้อมูลการเข้าเว็บไซต์ Signup and view all the answers

ฐานประโยชน์สำคัญต่อชีวิต (VITAL INTEREST) คืออะไร?

ฐานประโยชน์สำคัญต่อชีวิตหมายถึงการประมวลผลข้อมูลเพื่อปกป้องชีวิตและสุขภาพของบุคคล. Signup and view all the answers

การจัดทำเอกสารแจ้งคุ้มครองข้อมูลส่วนบุคคล (Privacy Notice) มีวัตถุประสงค์อย่างไร?

การจัดทำเอกสารนี้มีวัตถุประสงค์เพื่อให้ข้อมูลแก่เจ้าของข้อมูลเกี่ยวกับวิธีการใช้และเก็บรักษาข้อมูลส่วนบุคคล. Signup and view all the answers

ฐานทางกฎหมาย (LEGAL OBLIGATION) สามารถใช้ในการประมวลผลข้อมูลส่วนบุคคลได้หรือไม่?

True Signup and view all the answers

การเข้าถึงข้อมูล (Right of Access) คืออะไร?

การเข้าถึงข้อมูลหมายถึงสิทธิของเจ้าของข้อมูลในการขอดูข้อมูลส่วนบุคคลที่เกี่ยวข้องกับตน. Signup and view all the answers

Study Notes

ข้อมูลทั่วไปเกี่ยวกับแนวปฏิบัติคุ้มครองข้อมูลส่วนบุคคล

แนวปฏิบัตินี้ถูกเผยแพร่ในเดือนธันวาคม 2563 โดยศูนย์วิจัยกฎหมายและการพัฒนา คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย
การจัดทำขึ้นเพื่อรองรับการปฏิบัติตามพระราชบัญญัติการคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
เวอร์ชันที่ 3.0 ของแนวปฏิบัติถูกสร้างขึ้นหลังจาก TDPG1.0 และ TDPG2.0

รายละเอียดการจัดทำ

จำนวนพิมพ์ 300 เล่ม รวม 668 หน้า
ได้รับการสนับสนุนจากองค์กรต่าง ๆ รวมทั้งบริษัทเอกชนและสมาคมบริษัทหลักทรัพย์ไทย
ผู้ออกแบบแนวปฏิบัติรวมถึงนักวิชาการและผู้เชี่ยวชาญในด้านต่างๆ

พระราชบัญญัติที่เกี่ยวข้อง

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) มีผลบังคับใช้ตั้งแต่เดือนมิถุนายน 2564
GDPR (General Data Protection Regulation) ที่สหภาพยุโรปได้ประกาศใช้ตั้งแต่เดือนพฤษภาคม 2561

วัตถุประสงค์ของแนวปฏิบัติ

เพื่อให้ผู้ประกอบการในไทยมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เป็นที่ยอมรับตามหลักสากล
ช่วยในการรับมือกับความท้าทายด้านการส่งข้อมูลข้ามพรมแดนในยุคดิจิทัล

ความสำคัญของการคุ้มครองข้อมูลในปัจจุบัน

การคุ้มครองข้อมูลส่วนบุคคลมีความจำเป็นสำหรับองค์กรธุรกิจ โดยเฉพาะในยุคที่ข้อมูลสามารถถูกส่งข้ามประเทศได้อย่างง่ายดาย
มีการจัดสัมมนาและการวิจัยเพื่อระดมความคิดเห็นและปรับปรุงแนวปฏิบัติอย่างต่อเนื่อง

โครงการต่อเนื่อง

TDPG3.0 ถูกพัฒนาขึ้นเพื่อตอบสนองความต้องการในธุรกิจต่างๆ รวมถึงการขาย การจัดการข้อมูล และเทคโนโลยีสารสนเทศ
แนวปฏิบัตินี้ถูกออกแบบเพื่อให้สามารถนำไปใช้งานในภาคธุรกิจได้จริง

การร่วมมือกับหน่วยงานต่าง ๆ

รัฐบาลและหน่วยงานภาคเอกชนมีการร่วมมือเพื่อเผยแพร่และสนับสนุนการใช้แนวปฏิบัตินี้
มีการสร้างความตระหนักรู้ในภาครัฐและเอกชนเกี่ยวกับความสำคัญของการคุ้มครองข้อมูล

ข้อพิจารณาเพิ่มเติม

ผู้อ่านได้รับการชี้แนะเกี่ยวกับความจำเป็นในการปรึกษาผู้เชี่ยวชาญหากจำเป็นต้องมีคำแนะนำทางกฎหมาย
มีการเน้นถึงความต้องการในการกำหนดมาตรฐานและแนวปฏิบัติร่วมกันเพื่อเห็นผลลัพธ์ที่ดีกว่าในอนาคต### สิทธิและหน้าที่ของผู้ควบคุมและผู้ประมวลผลข้อมูล
ผู้ควบคุมข้อมูล (Data Controller) รับผิดชอบต่อข้อมูลส่วนบุคคล ตั้งแต่การเก็บรวบรวมไปจนถึงการประมวลผล
ผู้ประมวลผลข้อมูล (Data Processor) คือหน่วยงานหรือบุคคลที่ทำการประมวลผลข้อมูลตามคำสั่งจากผู้ควบคุมข้อมูล
กฎหมายคุ้มครองข้อมูลส่วนบุคคลมีมาตรการที่ชัดเจนเกี่ยวกับการจัดการและการเปิดเผยข้อมูล

ข้อตกลงการประมวลผลข้อมูล

ข้อตกลงระหว่างผู้ควบคุมและผู้ประมวลผลข้อมูล (Data Processing Agreement) ต้องมีการระบุขอบเขตและวิธีการประมวลผลที่ชัดเจน
ต้องมีตัวอย่างแบบฟอร์มการจัดการข้อตกลงเพื่อให้เรียบร้อยและปลอดภัย

การจัดการคำร้องขอข้อมูล

เจ้าของข้อมูลสามารถร้องขอ (Data Subject Request) เพื่อขอเข้าถึงหรือการลบข้อมูลได้ โดยมีแบบฟอร์มเฉพาะสำหรับคำร้องดังกล่าว
ผู้ควบคุมข้อมูลต้องตอบสนองคำร้องขอภายในระยะเวลาที่กำหนดโดยกฎหมาย

คำร้องขอจากหน่วยงานรัฐ

ในกรณีที่มีคำขอเข้าถึงข้อมูลจากรัฐ ผู้ควบคุมต้องทำการตรวจสอบและต้องมีตัวอย่างแบบคำขอเพื่อเปิดเผยข้อมูลให้กับหน่วยงานของรัฐ

ความรับผิดและโทษ

ผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูลอาจมีความรับผิดชอบทางแพ่งและทางอาญา หากไม่ปฏิบัติตามข้อกำหนดทางกฎหมาย
โทษทางปกครองถูกกำหนดสำหรับการละเมิดกฎระเบียบเกี่ยวกับการปกป้องข้อมูล

การประเมินผลกระทบด้านการคุ้มครองข้อมูล

DPIA (Data Protection Impact Assessment) คือขั้นตอนที่ช่วยประเมินผลกระทบจากการประมวลผลข้อมูลส่วนบุคคล
ต้องมีการวิเคราะห์ความเสี่ยงและจัดทำมาตรการเพื่อบรรเทาความเสี่ยงที่อาจเกิดขึ้น

การโอนข้อมูลข้ามพรมแดน

การส่งหรือโอนข้อมูลไปยังต่างประเทศจะต้องปฏิบัติตามกฎระเบียบที่ได้รับการกำหนดโดยพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
ต้องมีตัวอย่างนโยบายคุ้มครองข้อมูลส่วนบุคคลของเครือกิจการในการจัดการข้อมูลที่ถูกโอน

การจัดทำข้อมูลนิรนาม

การทำข้อมูลนิรนามช่วยลดความเสี่ยงในการเปิดเผยข้อมูลส่วนบุคคล
มีมาตรการเฉพาะเกี่ยวกับการวิเคราะห์ความเสี่ยงและการตัดสินใจเกี่ยวกับระดับของการจัดทำข้อมูลนิรนาม

การจัดการข้อมูลอ่อนไหว

ข้อมูลอ่อนไหวมีเงื่อนไขพิเศษในการประมวลผล จำเป็นต้องปฏิบัติตามระเบียบที่เข้มงวด
การจัดการข้อมูลอ่อนไหวต้องอาศัยความรู้และทักษะเฉพาะทางในการจัดการ

แนวปฏิบัติสำหรับการตลาดและการขาย

การประมวลผลข้อมูลส่วนบุคคลมีความเชื่อมโยงกับการทำการตลาด ต้องปฏิบัติตามกฎหมายการคุ้มครองข้อมูล
การสร้างความตระหนักเกี่ยวกับการคุ้มครองข้อมูลจะช่วยสร้างความไว้วางใจในความสัมพันธ์ระหว่างลูกค้าและองค์กร

ความสำคัญของเจ้าหน้าที่คุ้มครองข้อมูล

เจ้าหน้าที่คุ้มครองข้อมูลต้องมีทักษะ และคุณสมบัติที่เหมาะสม
มีหน้าที่ในการให้คำปรึกษา ตรวจสอบการปฏิบัติตามนโยบาย และจัดการคำร้องขอของเจ้าของข้อมูล### แนวปฏิบัติและการคุ้มครองข้อมูลส่วนบุคคล
แนวปฏิบัติช่วยให้การบังคับใช้กฎหมายและหลักการเป็นไปได้อย่างมีเหตุผลและจริงจัง
กฎหมายคุ้มครองข้อมูลส่วนบุคคลไม่สามารถกำหนดรายละเอียดวิธีปฏิบัติอย่างชัดเจน ทำให้เกิดคำถามว่า "ควรทำอย่างไร"
กฎหมายเน้นที่ "ข้อมูลส่วนบุคคล" (Personal Data) มากกว่าตัวบุคคล (Person) โดยการปกป้องข้อมูลจะช่วยป้องกันบุคคลจากผลร้ายที่อาจเกิดจากการประมวลผลข้อมูล

GDPR (EU General Data Protection Regulation) มีผลบังคับใช้เมื่อวันที่ 25 พฤษภาคม 2561
กฎหมายนำมาปรับปรุงจาก EU Data Protection Directive 95/46/EC ที่ใช้งานมากว่า 20 ปี
อายุการบังคับใช้กฎหมายสูงขึ้น องค์กรที่ทำผิดอาจโดนปรับสูงถึงร้อยละ 4 ของรายได้ทั่วโลก
การขอความยินยอมจากเจ้าของข้อมูลต้องชัดเจนและแจ้งเตือนเมื่อเกิดเหตุข้อมูลรั่วไหลภายใน 72 ชั่วโมง
เจ้าของข้อมูลมีสิทธิ์ในการเข้าถึงข้อมูลของตนและขอให้ลบข้อมูล หรือโอนข้อมูลไปยังผู้ประกอบการอื่น

ผลกระทบต่อประเทศไทย

กฎหมายการคุ้มครองข้อมูลส่วนบุคคลของไทยประกาศเมื่อ 28 พฤษภาคม 2562 ใช้บังคับตั้งแต่ 1 มิถุนายน 2564
รัฐบาลต้องพัฒนามาตรฐานการคุ้มครองข้อมูลส่วนบุคคลให้สอดคล้องกับ GDPR
ผู้ประกอบการต้องเตรียมความพร้อมเพื่อตอบสนองต่อมาตรฐานข้อมูลส่วนบุคคล
ปัจจุบันประเทศไทยยังไม่มีมาตรฐานการคุ้มครองข้อมูลที่แน่นอน ทำให้ต้องพัฒนาต่อไปเพื่อไม่ให้ตกหล่นจากมาตรฐานสากล

TDPG3.0

TDPG3.0 (Thailand Data Protection Guidelines 3.0) แสดงแนวทางการปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลในประเทศไทย
กฎหมายและมาตรฐานที่จำเป็นในการดำเนินการเพื่อการคุ้มครองต้องถูกพัฒนาต่อเนื่อง
TDPG3.0 มีความสำคัญในการให้ความรู้และแนวทางการปฏิบัติเพื่อสร้างแนวปฏิบัติที่สามารถนำไปปฏิบัติได้จริง

ความจำเป็นของมาตรฐาน

ประเทศสมาชิก APEC มีเพียงไม่กี่เขตเศรษฐกิจที่ไม่มีการคุ้มครองข้อมูลส่วนบุคคล ทำให้ทบทวนความพร้อมระบบการคุ้มครองเป็นสิ่งจำเป็น
การไม่แยกความแตกต่างของการจัดการข้อมูลส่วนบุคคลตามมาตรฐานทั้งในรัฐไทยและ GDPR จะต้องเป็นแนวทางปฏิบัติเพื่อพัฒนานโยบายต่อไป

คำนิยามสำคัญ

Anonymization: กระบวนการทำให้ข้อมูลไม่สามารถระบุตัวตนได้
Pseudonymization: ข้อมูลยังสามารถเชื่อมโยงกับเจ้าของหากมีข้อมูลเพิ่มเติม
Data Breach: การล่วงละเมิดข้อมูลส่วนบุคคลทำให้เกิดความสูญเสียหรือเปิดเผยโดยไม่ได้รับอนุญาต
Data Subject: บุคคลที่ข้อมูลนั้นบ่งชี้ถึง ไม่ได้หมายถึงเจ้าของข้อมูลในเชิงทรัพย์สิน

ขอบเขตของการจัดการข้อมูล

การรู้ว่าอะไรคือ "ข้อมูลส่วนบุคคล" ที่ต้องจัดการเป็นสิ่งสำคัญสำหรับผู้ประกอบการทุกคน
ต้องมีแนวทางในการระบุและจัดการข้อมูลอย่างมีประสิทธิภาพเพื่อลดความเสี่ยงในการใช้ข้อมูลส่วนบุคคล

Studying That Suits You

Use AI to generate personalized quizzes and flashcards to suit your learning preferences.

Description

แนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลในประเทศไทย เวอร์ชันสุดท้าย 3.0 ได้รับการเผยแพร่ในเดือนธันวาคม 2563 โดยมีการสนับสนุนจากสำนักหอสมุดแห่งชาติ กรุณาทำความเข้าใจกับแนวปฏิบัติและข้อบังคับที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลในเอกสารนี้