Thailand Data Protection Guidelines 3.0

Questions and Answers

แนวปฏิบัติที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลที่ได้เผยแพร่มีกี่เวอร์ชัน?

3 เวอร์ชัน

GDPR เป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่มีผลบังคับใช้ในประเทศไทย

False (B)

ข้อใดคือการดำเนินการที่เกิดขึ้นเพื่อรองรับการมีผลบังคับใช้อย่างมีประสิทธิภาพ?

• การจัดสัมมนาเชิงลึก (correct)
• การตั้งหน่วยงานตรวจสอบใหม่
• การทำการตลาดสากล
• การปรึกษาทางกฎหมาย

พระราชบัญญัติการคุ้มครองข้อมูลส่วนบุคคล พ.ศ. _____ มีผลบังคับใช้ในปีนี้

2562

TDPG3.0 มีจุดมุ่งหมายในการตอบปัญหาเกี่ยวกับอะไร?

การดำเนินการในรายละเอียดของประเภทงานต่างๆ

กฎหมายคุ้มครองข้อมูลส่วนบุคคลมีเป้าหมายเพื่ออะไร?

ปกป้องข้อมูลส่วนบุคคลจากผลร้ายที่อาจเกิดจากการประมวลผลข้อมูล

GDPR ที่ออกโดยสหภาพยุโรปมีผลบังคับใช้มาตั้งแต่เมื่อไหร่?

25 พฤษภาคม 2561

ในการประมวลผลข้อมูลส่วนบุคคลตาม GDPR ต้องมีอะไร?

ฐานทางกฎหมาย (D)

กฎหมายการคุ้มครองข้อมูลส่วนบุคคลมีมาตรฐานเดียวกันทั่วโลก

False (B)

GDPR เป็นการปรับปรุงกฎหมายเดิมที่เรียกว่า ______.

EU Data Protection Directive 95/46/EC

TDPG3.0 คืออะไร?

แนวปฏิบัติเพื่อการคุ้มครองข้อมูลส่วนบุคคลในประเทศไทยที่มีความสัมพันธ์กับมาตรฐาน GDPR

จับคู่ความหมายของคำต่อไปนี้:

Anonymization = กระบวนการทำให้ความเสี่ยงในการระบุตัวตนน้อยลง Pseudonymization = การประมวลผลที่ไม่ระบุเจตนาของข้อมูล Processing = การดำเนินการเกี่ยวกับข้อมูลส่วนบุคคล

ฐานความยินยอม (CONSENT) คืออะไร?

ฐานความยินยอม (CONSENT) เป็นหลักการที่ต้องได้รับการอนุญาตจากบุคคลก่อนการเก็บรวบรวมและประมวลผลข้อมูลส่วนบุคคลของเขา.

เงื่อนไขของความยินยอม (Requirements of Consent) มีอะไรบ้าง?

1. ความชัดเจนในการให้ความยินยอม 2. การให้ข้อมูลเพียงพอ 3. การมีทางเลือกในการถอนความยินยอม.

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จะมีผลบังคับใช้เมื่อใด?

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จะมีผลบังคับใช้ก่อนเดือนมิถุนายน พ.ศ. 2563.

การทำการตลาดแบบตรง (Direct Marketing) มีลักษณะอย่างไร?

การติดต่อผู้บริโภคโดยตรง (A)

การโฆษณาตามพฤติกรรมออนไลน์ (Online Behavioural Advertisement) ใช้ข้อมูลอะไร?

ข้อมูลการเข้าเว็บไซต์ (B)

ฐานประโยชน์สำคัญต่อชีวิต (VITAL INTEREST) คืออะไร?

ฐานประโยชน์สำคัญต่อชีวิตหมายถึงการประมวลผลข้อมูลเพื่อปกป้องชีวิตและสุขภาพของบุคคล.

การจัดทำเอกสารแจ้งคุ้มครองข้อมูลส่วนบุคคล (Privacy Notice) มีวัตถุประสงค์อย่างไร?

การจัดทำเอกสารนี้มีวัตถุประสงค์เพื่อให้ข้อมูลแก่เจ้าของข้อมูลเกี่ยวกับวิธีการใช้และเก็บรักษาข้อมูลส่วนบุคคล.

ฐานทางกฎหมาย (LEGAL OBLIGATION) สามารถใช้ในการประมวลผลข้อมูลส่วนบุคคลได้หรือไม่?

True (A)

การเข้าถึงข้อมูล (Right of Access) คืออะไร?

การเข้าถึงข้อมูลหมายถึงสิทธิของเจ้าของข้อมูลในการขอดูข้อมูลส่วนบุคคลที่เกี่ยวข้องกับตน.

Flashcards

PDPA

The Thai law for protecting personal data, formally known as the Personal Data Protection Act, B.E. 2562, which came into effect in June 2021.

GDPR

The European Union's law for protecting personal data, formally known as the General Data Protection Regulation, which came into effect in May 2018.

TDPG

The Thailand Data Protection Guidelines, a set of recommendations for protecting personal data in Thailand.

Data Controller

An entity that decides how personal data is used. They determine the purpose and means of processing personal data, like a company collecting customer information for marketing.

Data Processor

An entity that processes personal data on behalf of the Data Controller, like a marketing agency handling mailing lists.

Data Subject Request

A request made by an individual to access, rectify, erase, or restrict their personal data.

DPIA (Data Protection Impact Assessment)

A process to assess the risks of processing personal data. It involves identifying risks, evaluating their impact, and creating measures to mitigate them.

Data Breach

Unauthorized access to or loss of personal data. This could be due to hacking, data leaks, or accidental deletion.

Anonymization

Making data anonymous by removing all personally identifiable information, making it impossible to trace back to a specific individual.

Pseudonymization

Replacing personally identifiable information with a pseudonym, like assigned ID or code, that can be linked back to the original data.

Data Processing Agreement (DPA)

A contract between a Data Controller and Data Processor outlining the terms of data processing, including the purpose, scope, and security measures.

Data Protection Officer (DPO)

An individual within an organization who acts as a point of contact for data protection issues, providing advice and ensuring compliance with data protection laws.

Personal Data

Information relating to an identified or identifiable individual, like name, address, email, or online activity.

Right to Erasure (Right to be Forgotten)

The right of an individual to request the deletion of their personal data from an organization's records.

Right to Access (Right to Information)

The right of an individual to access and receive a copy of their personal data held by an organization.

Right to Rectification

The right of an individual to request an organization to correct inaccurate or incomplete personal data.

Cross-Border Data Transfers

Transferring personal data from one country to another, where both countries may have different data protection laws.

Sensitive Personal Data

Data specifically protected due to its sensitivity, like health information, racial or ethnic origin, or political opinions.

Sensitive Data Processing

Processing personal data that needs extra care due to its sensitivity. This includes obtaining explicit consent and implementing strong security measures.

Study Notes

ข้อมูลทั่วไปเกี่ยวกับแนวปฏิบัติคุ้มครองข้อมูลส่วนบุคคล

• แนวปฏิบัตินี้ถูกเผยแพร่ในเดือนธันวาคม 2563 โดยศูนย์วิจัยกฎหมายและการพัฒนา คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย
• การจัดทำขึ้นเพื่อรองรับการปฏิบัติตามพระราชบัญญัติการคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• เวอร์ชันที่ 3.0 ของแนวปฏิบัติถูกสร้างขึ้นหลังจาก TDPG1.0 และ TDPG2.0

รายละเอียดการจัดทำ

• จำนวนพิมพ์ 300 เล่ม รวม 668 หน้า
• ได้รับการสนับสนุนจากองค์กรต่าง ๆ รวมทั้งบริษัทเอกชนและสมาคมบริษัทหลักทรัพย์ไทย
• ผู้ออกแบบแนวปฏิบัติรวมถึงนักวิชาการและผู้เชี่ยวชาญในด้านต่างๆ

พระราชบัญญัติที่เกี่ยวข้อง

• พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) มีผลบังคับใช้ตั้งแต่เดือนมิถุนายน 2564
• GDPR (General Data Protection Regulation) ที่สหภาพยุโรปได้ประกาศใช้ตั้งแต่เดือนพฤษภาคม 2561

วัตถุประสงค์ของแนวปฏิบัติ

• เพื่อให้ผู้ประกอบการในไทยมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เป็นที่ยอมรับตามหลักสากล
• ช่วยในการรับมือกับความท้าทายด้านการส่งข้อมูลข้ามพรมแดนในยุคดิจิทัล

ความสำคัญของการคุ้มครองข้อมูลในปัจจุบัน

• การคุ้มครองข้อมูลส่วนบุคคลมีความจำเป็นสำหรับองค์กรธุรกิจ โดยเฉพาะในยุคที่ข้อมูลสามารถถูกส่งข้ามประเทศได้อย่างง่ายดาย
• มีการจัดสัมมนาและการวิจัยเพื่อระดมความคิดเห็นและปรับปรุงแนวปฏิบัติอย่างต่อเนื่อง

โครงการต่อเนื่อง

• TDPG3.0 ถูกพัฒนาขึ้นเพื่อตอบสนองความต้องการในธุรกิจต่างๆ รวมถึงการขาย การจัดการข้อมูล และเทคโนโลยีสารสนเทศ
• แนวปฏิบัตินี้ถูกออกแบบเพื่อให้สามารถนำไปใช้งานในภาคธุรกิจได้จริง

การร่วมมือกับหน่วยงานต่าง ๆ

• รัฐบาลและหน่วยงานภาคเอกชนมีการร่วมมือเพื่อเผยแพร่และสนับสนุนการใช้แนวปฏิบัตินี้
• มีการสร้างความตระหนักรู้ในภาครัฐและเอกชนเกี่ยวกับความสำคัญของการคุ้มครองข้อมูล

ข้อพิจารณาเพิ่มเติม

• ผู้อ่านได้รับการชี้แนะเกี่ยวกับความจำเป็นในการปรึกษาผู้เชี่ยวชาญหากจำเป็นต้องมีคำแนะนำทางกฎหมาย
• มีการเน้นถึงความต้องการในการกำหนดมาตรฐานและแนวปฏิบัติร่วมกันเพื่อเห็นผลลัพธ์ที่ดีกว่าในอนาคต### สิทธิและหน้าที่ของผู้ควบคุมและผู้ประมวลผลข้อมูล
• ผู้ควบคุมข้อมูล (Data Controller) รับผิดชอบต่อข้อมูลส่วนบุคคล ตั้งแต่การเก็บรวบรวมไปจนถึงการประมวลผล
• ผู้ประมวลผลข้อมูล (Data Processor) คือหน่วยงานหรือบุคคลที่ทำการประมวลผลข้อมูลตามคำสั่งจากผู้ควบคุมข้อมูล
• กฎหมายคุ้มครองข้อมูลส่วนบุคคลมีมาตรการที่ชัดเจนเกี่ยวกับการจัดการและการเปิดเผยข้อมูล

ข้อตกลงการประมวลผลข้อมูล

• ข้อตกลงระหว่างผู้ควบคุมและผู้ประมวลผลข้อมูล (Data Processing Agreement) ต้องมีการระบุขอบเขตและวิธีการประมวลผลที่ชัดเจน
• ต้องมีตัวอย่างแบบฟอร์มการจัดการข้อตกลงเพื่อให้เรียบร้อยและปลอดภัย

การจัดการคำร้องขอข้อมูล

• เจ้าของข้อมูลสามารถร้องขอ (Data Subject Request) เพื่อขอเข้าถึงหรือการลบข้อมูลได้ โดยมีแบบฟอร์มเฉพาะสำหรับคำร้องดังกล่าว
• ผู้ควบคุมข้อมูลต้องตอบสนองคำร้องขอภายในระยะเวลาที่กำหนดโดยกฎหมาย

คำร้องขอจากหน่วยงานรัฐ

• ในกรณีที่มีคำขอเข้าถึงข้อมูลจากรัฐ ผู้ควบคุมต้องทำการตรวจสอบและต้องมีตัวอย่างแบบคำขอเพื่อเปิดเผยข้อมูลให้กับหน่วยงานของรัฐ

ความรับผิดและโทษ

• ผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูลอาจมีความรับผิดชอบทางแพ่งและทางอาญา หากไม่ปฏิบัติตามข้อกำหนดทางกฎหมาย
• โทษทางปกครองถูกกำหนดสำหรับการละเมิดกฎระเบียบเกี่ยวกับการปกป้องข้อมูล

การประเมินผลกระทบด้านการคุ้มครองข้อมูล

• DPIA (Data Protection Impact Assessment) คือขั้นตอนที่ช่วยประเมินผลกระทบจากการประมวลผลข้อมูลส่วนบุคคล
• ต้องมีการวิเคราะห์ความเสี่ยงและจัดทำมาตรการเพื่อบรรเทาความเสี่ยงที่อาจเกิดขึ้น

การโอนข้อมูลข้ามพรมแดน

• การส่งหรือโอนข้อมูลไปยังต่างประเทศจะต้องปฏิบัติตามกฎระเบียบที่ได้รับการกำหนดโดยพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• ต้องมีตัวอย่างนโยบายคุ้มครองข้อมูลส่วนบุคคลของเครือกิจการในการจัดการข้อมูลที่ถูกโอน

การจัดทำข้อมูลนิรนาม

• การทำข้อมูลนิรนามช่วยลดความเสี่ยงในการเปิดเผยข้อมูลส่วนบุคคล
• มีมาตรการเฉพาะเกี่ยวกับการวิเคราะห์ความเสี่ยงและการตัดสินใจเกี่ยวกับระดับของการจัดทำข้อมูลนิรนาม

การจัดการข้อมูลอ่อนไหว

• ข้อมูลอ่อนไหวมีเงื่อนไขพิเศษในการประมวลผล จำเป็นต้องปฏิบัติตามระเบียบที่เข้มงวด
• การจัดการข้อมูลอ่อนไหวต้องอาศัยความรู้และทักษะเฉพาะทางในการจัดการ

แนวปฏิบัติสำหรับการตลาดและการขาย

• การประมวลผลข้อมูลส่วนบุคคลมีความเชื่อมโยงกับการทำการตลาด ต้องปฏิบัติตามกฎหมายการคุ้มครองข้อมูล
• การสร้างความตระหนักเกี่ยวกับการคุ้มครองข้อมูลจะช่วยสร้างความไว้วางใจในความสัมพันธ์ระหว่างลูกค้าและองค์กร

ความสำคัญของเจ้าหน้าที่คุ้มครองข้อมูล

• เจ้าหน้าที่คุ้มครองข้อมูลต้องมีทักษะ และคุณสมบัติที่เหมาะสม
• มีหน้าที่ในการให้คำปรึกษา ตรวจสอบการปฏิบัติตามนโยบาย และจัดการคำร้องขอของเจ้าของข้อมูล### แนวปฏิบัติและการคุ้มครองข้อมูลส่วนบุคคล
• แนวปฏิบัติช่วยให้การบังคับใช้กฎหมายและหลักการเป็นไปได้อย่างมีเหตุผลและจริงจัง
• กฎหมายคุ้มครองข้อมูลส่วนบุคคลไม่สามารถกำหนดรายละเอียดวิธีปฏิบัติอย่างชัดเจน ทำให้เกิดคำถามว่า "ควรทำอย่างไร"
• กฎหมายเน้นที่ "ข้อมูลส่วนบุคคล" (Personal Data) มากกว่าตัวบุคคล (Person) โดยการปกป้องข้อมูลจะช่วยป้องกันบุคคลจากผลร้ายที่อาจเกิดจากการประมวลผลข้อมูล

GDPR และหลักการสำคัญ

• GDPR (EU General Data Protection Regulation) มีผลบังคับใช้เมื่อวันที่ 25 พฤษภาคม 2561
• กฎหมายนำมาปรับปรุงจาก EU Data Protection Directive 95/46/EC ที่ใช้งานมากว่า 20 ปี
• อายุการบังคับใช้กฎหมายสูงขึ้น องค์กรที่ทำผิดอาจโดนปรับสูงถึงร้อยละ 4 ของรายได้ทั่วโลก
• การขอความยินยอมจากเจ้าของข้อมูลต้องชัดเจนและแจ้งเตือนเมื่อเกิดเหตุข้อมูลรั่วไหลภายใน 72 ชั่วโมง
• เจ้าของข้อมูลมีสิทธิ์ในการเข้าถึงข้อมูลของตนและขอให้ลบข้อมูล หรือโอนข้อมูลไปยังผู้ประกอบการอื่น

ผลกระทบต่อประเทศไทย

• กฎหมายการคุ้มครองข้อมูลส่วนบุคคลของไทยประกาศเมื่อ 28 พฤษภาคม 2562 ใช้บังคับตั้งแต่ 1 มิถุนายน 2564
• รัฐบาลต้องพัฒนามาตรฐานการคุ้มครองข้อมูลส่วนบุคคลให้สอดคล้องกับ GDPR
• ผู้ประกอบการต้องเตรียมความพร้อมเพื่อตอบสนองต่อมาตรฐานข้อมูลส่วนบุคคล
• ปัจจุบันประเทศไทยยังไม่มีมาตรฐานการคุ้มครองข้อมูลที่แน่นอน ทำให้ต้องพัฒนาต่อไปเพื่อไม่ให้ตกหล่นจากมาตรฐานสากล

TDPG3.0

• TDPG3.0 (Thailand Data Protection Guidelines 3.0) แสดงแนวทางการปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลในประเทศไทย
• กฎหมายและมาตรฐานที่จำเป็นในการดำเนินการเพื่อการคุ้มครองต้องถูกพัฒนาต่อเนื่อง
• TDPG3.0 มีความสำคัญในการให้ความรู้และแนวทางการปฏิบัติเพื่อสร้างแนวปฏิบัติที่สามารถนำไปปฏิบัติได้จริง

ความจำเป็นของมาตรฐาน

• ประเทศสมาชิก APEC มีเพียงไม่กี่เขตเศรษฐกิจที่ไม่มีการคุ้มครองข้อมูลส่วนบุคคล ทำให้ทบทวนความพร้อมระบบการคุ้มครองเป็นสิ่งจำเป็น
• การไม่แยกความแตกต่างของการจัดการข้อมูลส่วนบุคคลตามมาตรฐานทั้งในรัฐไทยและ GDPR จะต้องเป็นแนวทางปฏิบัติเพื่อพัฒนานโยบายต่อไป

คำนิยามสำคัญ

• Anonymization: กระบวนการทำให้ข้อมูลไม่สามารถระบุตัวตนได้
• Pseudonymization: ข้อมูลยังสามารถเชื่อมโยงกับเจ้าของหากมีข้อมูลเพิ่มเติม
• Data Breach: การล่วงละเมิดข้อมูลส่วนบุคคลทำให้เกิดความสูญเสียหรือเปิดเผยโดยไม่ได้รับอนุญาต
• Data Subject: บุคคลที่ข้อมูลนั้นบ่งชี้ถึง ไม่ได้หมายถึงเจ้าของข้อมูลในเชิงทรัพย์สิน

ขอบเขตของการจัดการข้อมูล

• การรู้ว่าอะไรคือ "ข้อมูลส่วนบุคคล" ที่ต้องจัดการเป็นสิ่งสำคัญสำหรับผู้ประกอบการทุกคน
• ต้องมีแนวทางในการระบุและจัดการข้อมูลอย่างมีประสิทธิภาพเพื่อลดความเสี่ยงในการใช้ข้อมูลส่วนบุคคล