Thailand Data Protection Guidelines 3.0
21 Questions
3 Views

Choose a study mode

Play Quiz
Study Flashcards
Spaced Repetition
Chat to Lesson

Podcast

Play an AI-generated podcast conversation about this lesson

Questions and Answers

แนวปฏิบัติที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลที่ได้เผยแพร่มีกี่เวอร์ชัน?

3 เวอร์ชัน

GDPR เป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่มีผลบังคับใช้ในประเทศไทย

False (B)

ข้อใดคือการดำเนินการที่เกิดขึ้นเพื่อรองรับการมีผลบังคับใช้อย่างมีประสิทธิภาพ?

  • การจัดสัมมนาเชิงลึก (correct)
  • การตั้งหน่วยงานตรวจสอบใหม่
  • การทำการตลาดสากล
  • การปรึกษาทางกฎหมาย

พระราชบัญญัติการคุ้มครองข้อมูลส่วนบุคคล พ.ศ. _____ มีผลบังคับใช้ในปีนี้

<p>2562</p> Signup and view all the answers

TDPG3.0 มีจุดมุ่งหมายในการตอบปัญหาเกี่ยวกับอะไร?

<p>การดำเนินการในรายละเอียดของประเภทงานต่างๆ</p> Signup and view all the answers

กฎหมายคุ้มครองข้อมูลส่วนบุคคลมีเป้าหมายเพื่ออะไร?

<p>ปกป้องข้อมูลส่วนบุคคลจากผลร้ายที่อาจเกิดจากการประมวลผลข้อมูล</p> Signup and view all the answers

GDPR ที่ออกโดยสหภาพยุโรปมีผลบังคับใช้มาตั้งแต่เมื่อไหร่?

<p>25 พฤษภาคม 2561</p> Signup and view all the answers

ในการประมวลผลข้อมูลส่วนบุคคลตาม GDPR ต้องมีอะไร?

<p>ฐานทางกฎหมาย (D)</p> Signup and view all the answers

กฎหมายการคุ้มครองข้อมูลส่วนบุคคลมีมาตรฐานเดียวกันทั่วโลก

<p>False (B)</p> Signup and view all the answers

GDPR เป็นการปรับปรุงกฎหมายเดิมที่เรียกว่า ______.

<p>EU Data Protection Directive 95/46/EC</p> Signup and view all the answers

TDPG3.0 คืออะไร?

<p>แนวปฏิบัติเพื่อการคุ้มครองข้อมูลส่วนบุคคลในประเทศไทยที่มีความสัมพันธ์กับมาตรฐาน GDPR</p> Signup and view all the answers

จับคู่ความหมายของคำต่อไปนี้:

<p>Anonymization = กระบวนการทำให้ความเสี่ยงในการระบุตัวตนน้อยลง Pseudonymization = การประมวลผลที่ไม่ระบุเจตนาของข้อมูล Processing = การดำเนินการเกี่ยวกับข้อมูลส่วนบุคคล</p> Signup and view all the answers

ฐานความยินยอม (CONSENT) คืออะไร?

<p>ฐานความยินยอม (CONSENT) เป็นหลักการที่ต้องได้รับการอนุญาตจากบุคคลก่อนการเก็บรวบรวมและประมวลผลข้อมูลส่วนบุคคลของเขา.</p> Signup and view all the answers

เงื่อนไขของความยินยอม (Requirements of Consent) มีอะไรบ้าง?

<ol> <li>ความชัดเจนในการให้ความยินยอม 2. การให้ข้อมูลเพียงพอ 3. การมีทางเลือกในการถอนความยินยอม.</li> </ol> Signup and view all the answers

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จะมีผลบังคับใช้เมื่อใด?

<p>พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จะมีผลบังคับใช้ก่อนเดือนมิถุนายน พ.ศ. 2563.</p> Signup and view all the answers

การทำการตลาดแบบตรง (Direct Marketing) มีลักษณะอย่างไร?

<p>การติดต่อผู้บริโภคโดยตรง (A)</p> Signup and view all the answers

การโฆษณาตามพฤติกรรมออนไลน์ (Online Behavioural Advertisement) ใช้ข้อมูลอะไร?

<p>ข้อมูลการเข้าเว็บไซต์ (B)</p> Signup and view all the answers

ฐานประโยชน์สำคัญต่อชีวิต (VITAL INTEREST) คืออะไร?

<p>ฐานประโยชน์สำคัญต่อชีวิตหมายถึงการประมวลผลข้อมูลเพื่อปกป้องชีวิตและสุขภาพของบุคคล.</p> Signup and view all the answers

การจัดทำเอกสารแจ้งคุ้มครองข้อมูลส่วนบุคคล (Privacy Notice) มีวัตถุประสงค์อย่างไร?

<p>การจัดทำเอกสารนี้มีวัตถุประสงค์เพื่อให้ข้อมูลแก่เจ้าของข้อมูลเกี่ยวกับวิธีการใช้และเก็บรักษาข้อมูลส่วนบุคคล.</p> Signup and view all the answers

ฐานทางกฎหมาย (LEGAL OBLIGATION) สามารถใช้ในการประมวลผลข้อมูลส่วนบุคคลได้หรือไม่?

<p>True (A)</p> Signup and view all the answers

การเข้าถึงข้อมูล (Right of Access) คืออะไร?

<p>การเข้าถึงข้อมูลหมายถึงสิทธิของเจ้าของข้อมูลในการขอดูข้อมูลส่วนบุคคลที่เกี่ยวข้องกับตน.</p> Signup and view all the answers

Flashcards

PDPA

The Thai law for protecting personal data, formally known as the Personal Data Protection Act, B.E. 2562, which came into effect in June 2021.

GDPR

The European Union's law for protecting personal data, formally known as the General Data Protection Regulation, which came into effect in May 2018.

TDPG

The Thailand Data Protection Guidelines, a set of recommendations for protecting personal data in Thailand.

Data Controller

An entity that decides how personal data is used. They determine the purpose and means of processing personal data, like a company collecting customer information for marketing.

Signup and view all the flashcards

Data Processor

An entity that processes personal data on behalf of the Data Controller, like a marketing agency handling mailing lists.

Signup and view all the flashcards

Data Subject Request

A request made by an individual to access, rectify, erase, or restrict their personal data.

Signup and view all the flashcards

DPIA (Data Protection Impact Assessment)

A process to assess the risks of processing personal data. It involves identifying risks, evaluating their impact, and creating measures to mitigate them.

Signup and view all the flashcards

Data Breach

Unauthorized access to or loss of personal data. This could be due to hacking, data leaks, or accidental deletion.

Signup and view all the flashcards

Anonymization

Making data anonymous by removing all personally identifiable information, making it impossible to trace back to a specific individual.

Signup and view all the flashcards

Pseudonymization

Replacing personally identifiable information with a pseudonym, like assigned ID or code, that can be linked back to the original data.

Signup and view all the flashcards

Data Processing Agreement (DPA)

A contract between a Data Controller and Data Processor outlining the terms of data processing, including the purpose, scope, and security measures.

Signup and view all the flashcards

Data Protection Officer (DPO)

An individual within an organization who acts as a point of contact for data protection issues, providing advice and ensuring compliance with data protection laws.

Signup and view all the flashcards

Personal Data

Information relating to an identified or identifiable individual, like name, address, email, or online activity.

Signup and view all the flashcards

Right to Erasure (Right to be Forgotten)

The right of an individual to request the deletion of their personal data from an organization's records.

Signup and view all the flashcards

Right to Access (Right to Information)

The right of an individual to access and receive a copy of their personal data held by an organization.

Signup and view all the flashcards

Right to Rectification

The right of an individual to request an organization to correct inaccurate or incomplete personal data.

Signup and view all the flashcards

Cross-Border Data Transfers

Transferring personal data from one country to another, where both countries may have different data protection laws.

Signup and view all the flashcards

Sensitive Personal Data

Data specifically protected due to its sensitivity, like health information, racial or ethnic origin, or political opinions.

Signup and view all the flashcards

Sensitive Data Processing

Processing personal data that needs extra care due to its sensitivity. This includes obtaining explicit consent and implementing strong security measures.

Signup and view all the flashcards

Study Notes

ข้อมูลทั่วไปเกี่ยวกับแนวปฏิบัติคุ้มครองข้อมูลส่วนบุคคล

  • แนวปฏิบัตินี้ถูกเผยแพร่ในเดือนธันวาคม 2563 โดยศูนย์วิจัยกฎหมายและการพัฒนา คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย
  • การจัดทำขึ้นเพื่อรองรับการปฏิบัติตามพระราชบัญญัติการคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
  • เวอร์ชันที่ 3.0 ของแนวปฏิบัติถูกสร้างขึ้นหลังจาก TDPG1.0 และ TDPG2.0

รายละเอียดการจัดทำ

  • จำนวนพิมพ์ 300 เล่ม รวม 668 หน้า
  • ได้รับการสนับสนุนจากองค์กรต่าง ๆ รวมทั้งบริษัทเอกชนและสมาคมบริษัทหลักทรัพย์ไทย
  • ผู้ออกแบบแนวปฏิบัติรวมถึงนักวิชาการและผู้เชี่ยวชาญในด้านต่างๆ

พระราชบัญญัติที่เกี่ยวข้อง

  • พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) มีผลบังคับใช้ตั้งแต่เดือนมิถุนายน 2564
  • GDPR (General Data Protection Regulation) ที่สหภาพยุโรปได้ประกาศใช้ตั้งแต่เดือนพฤษภาคม 2561

วัตถุประสงค์ของแนวปฏิบัติ

  • เพื่อให้ผู้ประกอบการในไทยมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เป็นที่ยอมรับตามหลักสากล
  • ช่วยในการรับมือกับความท้าทายด้านการส่งข้อมูลข้ามพรมแดนในยุคดิจิทัล

ความสำคัญของการคุ้มครองข้อมูลในปัจจุบัน

  • การคุ้มครองข้อมูลส่วนบุคคลมีความจำเป็นสำหรับองค์กรธุรกิจ โดยเฉพาะในยุคที่ข้อมูลสามารถถูกส่งข้ามประเทศได้อย่างง่ายดาย
  • มีการจัดสัมมนาและการวิจัยเพื่อระดมความคิดเห็นและปรับปรุงแนวปฏิบัติอย่างต่อเนื่อง

โครงการต่อเนื่อง

  • TDPG3.0 ถูกพัฒนาขึ้นเพื่อตอบสนองความต้องการในธุรกิจต่างๆ รวมถึงการขาย การจัดการข้อมูล และเทคโนโลยีสารสนเทศ
  • แนวปฏิบัตินี้ถูกออกแบบเพื่อให้สามารถนำไปใช้งานในภาคธุรกิจได้จริง

การร่วมมือกับหน่วยงานต่าง ๆ

  • รัฐบาลและหน่วยงานภาคเอกชนมีการร่วมมือเพื่อเผยแพร่และสนับสนุนการใช้แนวปฏิบัตินี้
  • มีการสร้างความตระหนักรู้ในภาครัฐและเอกชนเกี่ยวกับความสำคัญของการคุ้มครองข้อมูล

ข้อพิจารณาเพิ่มเติม

  • ผู้อ่านได้รับการชี้แนะเกี่ยวกับความจำเป็นในการปรึกษาผู้เชี่ยวชาญหากจำเป็นต้องมีคำแนะนำทางกฎหมาย
  • มีการเน้นถึงความต้องการในการกำหนดมาตรฐานและแนวปฏิบัติร่วมกันเพื่อเห็นผลลัพธ์ที่ดีกว่าในอนาคต### สิทธิและหน้าที่ของผู้ควบคุมและผู้ประมวลผลข้อมูล
  • ผู้ควบคุมข้อมูล (Data Controller) รับผิดชอบต่อข้อมูลส่วนบุคคล ตั้งแต่การเก็บรวบรวมไปจนถึงการประมวลผล
  • ผู้ประมวลผลข้อมูล (Data Processor) คือหน่วยงานหรือบุคคลที่ทำการประมวลผลข้อมูลตามคำสั่งจากผู้ควบคุมข้อมูล
  • กฎหมายคุ้มครองข้อมูลส่วนบุคคลมีมาตรการที่ชัดเจนเกี่ยวกับการจัดการและการเปิดเผยข้อมูล

ข้อตกลงการประมวลผลข้อมูล

  • ข้อตกลงระหว่างผู้ควบคุมและผู้ประมวลผลข้อมูล (Data Processing Agreement) ต้องมีการระบุขอบเขตและวิธีการประมวลผลที่ชัดเจน
  • ต้องมีตัวอย่างแบบฟอร์มการจัดการข้อตกลงเพื่อให้เรียบร้อยและปลอดภัย

การจัดการคำร้องขอข้อมูล

  • เจ้าของข้อมูลสามารถร้องขอ (Data Subject Request) เพื่อขอเข้าถึงหรือการลบข้อมูลได้ โดยมีแบบฟอร์มเฉพาะสำหรับคำร้องดังกล่าว
  • ผู้ควบคุมข้อมูลต้องตอบสนองคำร้องขอภายในระยะเวลาที่กำหนดโดยกฎหมาย

คำร้องขอจากหน่วยงานรัฐ

  • ในกรณีที่มีคำขอเข้าถึงข้อมูลจากรัฐ ผู้ควบคุมต้องทำการตรวจสอบและต้องมีตัวอย่างแบบคำขอเพื่อเปิดเผยข้อมูลให้กับหน่วยงานของรัฐ

ความรับผิดและโทษ

  • ผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูลอาจมีความรับผิดชอบทางแพ่งและทางอาญา หากไม่ปฏิบัติตามข้อกำหนดทางกฎหมาย
  • โทษทางปกครองถูกกำหนดสำหรับการละเมิดกฎระเบียบเกี่ยวกับการปกป้องข้อมูล

การประเมินผลกระทบด้านการคุ้มครองข้อมูล

  • DPIA (Data Protection Impact Assessment) คือขั้นตอนที่ช่วยประเมินผลกระทบจากการประมวลผลข้อมูลส่วนบุคคล
  • ต้องมีการวิเคราะห์ความเสี่ยงและจัดทำมาตรการเพื่อบรรเทาความเสี่ยงที่อาจเกิดขึ้น

การโอนข้อมูลข้ามพรมแดน

  • การส่งหรือโอนข้อมูลไปยังต่างประเทศจะต้องปฏิบัติตามกฎระเบียบที่ได้รับการกำหนดโดยพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
  • ต้องมีตัวอย่างนโยบายคุ้มครองข้อมูลส่วนบุคคลของเครือกิจการในการจัดการข้อมูลที่ถูกโอน

การจัดทำข้อมูลนิรนาม

  • การทำข้อมูลนิรนามช่วยลดความเสี่ยงในการเปิดเผยข้อมูลส่วนบุคคล
  • มีมาตรการเฉพาะเกี่ยวกับการวิเคราะห์ความเสี่ยงและการตัดสินใจเกี่ยวกับระดับของการจัดทำข้อมูลนิรนาม

การจัดการข้อมูลอ่อนไหว

  • ข้อมูลอ่อนไหวมีเงื่อนไขพิเศษในการประมวลผล จำเป็นต้องปฏิบัติตามระเบียบที่เข้มงวด
  • การจัดการข้อมูลอ่อนไหวต้องอาศัยความรู้และทักษะเฉพาะทางในการจัดการ

แนวปฏิบัติสำหรับการตลาดและการขาย

  • การประมวลผลข้อมูลส่วนบุคคลมีความเชื่อมโยงกับการทำการตลาด ต้องปฏิบัติตามกฎหมายการคุ้มครองข้อมูล
  • การสร้างความตระหนักเกี่ยวกับการคุ้มครองข้อมูลจะช่วยสร้างความไว้วางใจในความสัมพันธ์ระหว่างลูกค้าและองค์กร

ความสำคัญของเจ้าหน้าที่คุ้มครองข้อมูล

  • เจ้าหน้าที่คุ้มครองข้อมูลต้องมีทักษะ และคุณสมบัติที่เหมาะสม
  • มีหน้าที่ในการให้คำปรึกษา ตรวจสอบการปฏิบัติตามนโยบาย และจัดการคำร้องขอของเจ้าของข้อมูล### แนวปฏิบัติและการคุ้มครองข้อมูลส่วนบุคคล
  • แนวปฏิบัติช่วยให้การบังคับใช้กฎหมายและหลักการเป็นไปได้อย่างมีเหตุผลและจริงจัง
  • กฎหมายคุ้มครองข้อมูลส่วนบุคคลไม่สามารถกำหนดรายละเอียดวิธีปฏิบัติอย่างชัดเจน ทำให้เกิดคำถามว่า "ควรทำอย่างไร"
  • กฎหมายเน้นที่ "ข้อมูลส่วนบุคคล" (Personal Data) มากกว่าตัวบุคคล (Person) โดยการปกป้องข้อมูลจะช่วยป้องกันบุคคลจากผลร้ายที่อาจเกิดจากการประมวลผลข้อมูล

GDPR และหลักการสำคัญ

  • GDPR (EU General Data Protection Regulation) มีผลบังคับใช้เมื่อวันที่ 25 พฤษภาคม 2561
  • กฎหมายนำมาปรับปรุงจาก EU Data Protection Directive 95/46/EC ที่ใช้งานมากว่า 20 ปี
  • อายุการบังคับใช้กฎหมายสูงขึ้น องค์กรที่ทำผิดอาจโดนปรับสูงถึงร้อยละ 4 ของรายได้ทั่วโลก
  • การขอความยินยอมจากเจ้าของข้อมูลต้องชัดเจนและแจ้งเตือนเมื่อเกิดเหตุข้อมูลรั่วไหลภายใน 72 ชั่วโมง
  • เจ้าของข้อมูลมีสิทธิ์ในการเข้าถึงข้อมูลของตนและขอให้ลบข้อมูล หรือโอนข้อมูลไปยังผู้ประกอบการอื่น

ผลกระทบต่อประเทศไทย

  • กฎหมายการคุ้มครองข้อมูลส่วนบุคคลของไทยประกาศเมื่อ 28 พฤษภาคม 2562 ใช้บังคับตั้งแต่ 1 มิถุนายน 2564
  • รัฐบาลต้องพัฒนามาตรฐานการคุ้มครองข้อมูลส่วนบุคคลให้สอดคล้องกับ GDPR
  • ผู้ประกอบการต้องเตรียมความพร้อมเพื่อตอบสนองต่อมาตรฐานข้อมูลส่วนบุคคล
  • ปัจจุบันประเทศไทยยังไม่มีมาตรฐานการคุ้มครองข้อมูลที่แน่นอน ทำให้ต้องพัฒนาต่อไปเพื่อไม่ให้ตกหล่นจากมาตรฐานสากล

TDPG3.0

  • TDPG3.0 (Thailand Data Protection Guidelines 3.0) แสดงแนวทางการปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลในประเทศไทย
  • กฎหมายและมาตรฐานที่จำเป็นในการดำเนินการเพื่อการคุ้มครองต้องถูกพัฒนาต่อเนื่อง
  • TDPG3.0 มีความสำคัญในการให้ความรู้และแนวทางการปฏิบัติเพื่อสร้างแนวปฏิบัติที่สามารถนำไปปฏิบัติได้จริง

ความจำเป็นของมาตรฐาน

  • ประเทศสมาชิก APEC มีเพียงไม่กี่เขตเศรษฐกิจที่ไม่มีการคุ้มครองข้อมูลส่วนบุคคล ทำให้ทบทวนความพร้อมระบบการคุ้มครองเป็นสิ่งจำเป็น
  • การไม่แยกความแตกต่างของการจัดการข้อมูลส่วนบุคคลตามมาตรฐานทั้งในรัฐไทยและ GDPR จะต้องเป็นแนวทางปฏิบัติเพื่อพัฒนานโยบายต่อไป

คำนิยามสำคัญ

  • Anonymization: กระบวนการทำให้ข้อมูลไม่สามารถระบุตัวตนได้
  • Pseudonymization: ข้อมูลยังสามารถเชื่อมโยงกับเจ้าของหากมีข้อมูลเพิ่มเติม
  • Data Breach: การล่วงละเมิดข้อมูลส่วนบุคคลทำให้เกิดความสูญเสียหรือเปิดเผยโดยไม่ได้รับอนุญาต
  • Data Subject: บุคคลที่ข้อมูลนั้นบ่งชี้ถึง ไม่ได้หมายถึงเจ้าของข้อมูลในเชิงทรัพย์สิน

ขอบเขตของการจัดการข้อมูล

  • การรู้ว่าอะไรคือ "ข้อมูลส่วนบุคคล" ที่ต้องจัดการเป็นสิ่งสำคัญสำหรับผู้ประกอบการทุกคน
  • ต้องมีแนวทางในการระบุและจัดการข้อมูลอย่างมีประสิทธิภาพเพื่อลดความเสี่ยงในการใช้ข้อมูลส่วนบุคคล

Studying That Suits You

Use AI to generate personalized quizzes and flashcards to suit your learning preferences.

Quiz Team

Related Documents

Description

แนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลในประเทศไทย เวอร์ชันสุดท้าย 3.0 ได้รับการเผยแพร่ในเดือนธันวาคม 2563 โดยมีการสนับสนุนจากสำนักหอสมุดแห่งชาติ กรุณาทำความเข้าใจกับแนวปฏิบัติและข้อบังคับที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลในเอกสารนี้

More Like This

JavaScript Security Guidelines
5 questions

JavaScript Security Guidelines

SelfDeterminationGyrolite8760 avatar
SelfDeterminationGyrolite8760
Use Quizgecko on...
Browser
Browser