PDPA Work shop

โดย ประยุทธ พันธุลาภ

กรุณาคลิกที่ Link to New Home เพื่อใช้เอกสารหน้าใหม่ เนื่องจากหน้านี้ ไม่สามารถ update เพิ่มได้อีก แต่ยังใช้งานได้เท่าเดิม


Link for PDPA-Story ภาพรวม

ข่าว PDPA

กฏหมายที่เกี่ยวข้อง

ไฟล์ PDF

พรบ ข้อมูลข่าวสารของราชการ 2540 มาตรา 7

- พรบ.คุ้มครองข้อมูลส่วนบุคคล 2562 [Click to Open or Download]

- Unofficial Translation Personal Data Protection Act 2562 [Click to Open or Download]

-ประกาศกระทรวงดิจิทัล_มาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล_2563 [Click to Open or Download]

- เอกสารแม่แบบ PDPA สำหรับการดำเนินการ ของผู้ควบคุมข้อมูลส่วนบุคคลภาครัฐ [Click to Open Link]

- พระราชบัญญัติ การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 [Click to Open or Download]

ตัวอย่าง แนวนโยบายและแนวปฏิบัติความมั่นคงปลอดภัยของระบบสารสนเทศ และ access control [Click to Open or Download]

เลื่อนการบังคับใช้ PDPA

- ประกาศ "22 หน่วยงานและกิจการ" ไม่ต้องอยู่ภายใต้ พ.ร.บ.ข้อมูลส่วนบุคคล 2562( ถึง 31 พ.ค. 2564) [Click to Open or Download]
- ประกาศ "22 หน่วยงานและกิจการ" ไม่ต้องอยู่ภายใต้ พ.ร.บ.ข้อมูลส่วนบุคคล 2562( ถึง 31 พ.ค. 2565) [Click to Open or Download]

ที่มาของ พรบ.คุ้มครองข้อมูลส่วนบุคคล (PDPA)


หมายเหตุ พรบ.คุ้มครองข้อมูลส่วนบุคคล

ไม่โปร่งใส

ต้องโปร่งใส

ฐานการประมวลผลข้อมูลส่วนบุคคลตามกฎหมาย [zoom คลิก]


การใช้ฐานความยินยอมอย่างเดียว มีความเสี่ยงจากการถอนความยินยอมได้ง่าย มาตรา 19 [zoom คลิก]

สัดส่วนการใช้ฐานการประมวลผลข้อมูลส่วนบุคคลตามกฎหมาย [zoom คลิก]

ตัวอย่าง Legitimate ที่ สำนักงานฯ PDPA นำเสนอ [zoom คลิก]

คณะกรรมการ


สิ่งที่ควรเตรียมพร้อมก่อน PDPA บังคับใช้

1) ได้รับการสนับสนุนจากผู้บริหาร
  • ได้รับการสนับสนุนจากผู้บริหาร
  • ตั้งงบประมาณ
2) แต่งตั้ง DPO หรือ คณะทำงาน
  • แต่งตั้ง DPO ถ้าเป็นองค์กรใหญ่ หรือ
  • แต่งตั้งคณะทำงาน ถ้าเป็นองค์กรขนาดเล็ก
3) สำรวจข้อมูล
  • สำรวจข้อมูลส่วนบุคคลในทุกฝ่าย
  • กำหนดประเภทของข้อมูลส่วนบุคคล
  • ระบุวัตถุประสงค์
  • ระบุความจำเป็น
4) ทบทวน นโยบายคุ้มครองข้อมูลส่วนบุคคล
  • บริหารจัดการ
  • การเข้าถึงข้อมูล
  • life-cycle ของข้อมูล
5) จัดเตรียมข้อกำหนด หรือแนวปฏิบัติ
  • จัดเตรียมข้อกำหนด หรือแนวปฏิบัติ
  • การคุ้มครองข้อมูลส่วนบุคคล
6) จัดทำมาตรฐาน security
  • จัดทำเอกสารมาตรฐาน security
7) พัฒนากระบวนการแจ้งเตือน (Breach Notification)
  • พัฒนากระบวนการแจ้งเตือน
  • การรั่วไหลหรือละเมิดมาตรการความมั่นคงปลอดภัยต่อ ข้อมูลส่วนบุคคลมีความหมายกว้างครอบคลุมการที่ข้อมูล ถูกทำลาย การสูญหาย การแก้ไขเปลี่ยนแปลง การเปิดเผย หรือการเข้าถึง ส่งต่อ เก็บ รักษาหรือถูกประมวลผลอย่างอื่นไม่ว่าจะเกิดจากการกระทำอันมิชอบด้วยกฎหมาย หรือโดยอุบัติเหตุ
  • แจ้งสำนักงานฯกรณีข้อมูลส่วนบุคคลรั่วไหล ภายใน 72 ชั่วโมงนับแต่ได้ทราบ เว้นแต่เหตุที่เกิดนั้นไม่น่าจะก่อให้เกิดความเสี่ยงใดๆ ต่อสิทธิและเสรีภาพของเจ้าของข้อมูล กรณีที่ไม่อาจแจ้งเหตุได้ภายใน 72 ชั่วโมง ผู้ ควบคุมจะต้องแจ้งเหตุผลแห่งการแจ้งเหตุล่าช้าด้วย
  • ผู้ควบคุมข้อมูลมีหน้าที่แจ้งเจ้าของข้อมูลโดยไม่ชักช้า ต่อเมื่อการรั่วไหลของข้อมูลนั้นก่อให้เกิดความเสี่ยงสูงต่อสิทธิเสรีภาพของเจ้าของ ข้อมูล ในกรณีเช่นว่านี้จะต้องแจ้งให้เจ้าของข้อมูลทราบด้วยภาษาที่เข้าใจง่ายและมี ความชัดเจนและมีรายละเอียดอย่างน้อยดังต่อไปนี้
    (a) คำอธิบายลักษณะของการรั่วไหลของข้อมูล
    (b) ชื่อหรือข้อมูลการติดต่อเจ้าหน้าที่ผู้รับผิดชอบหรือ (ถ้ามี) เจ้าหน้าที่คุ้มครอง ข้อมูล (Data Protection Officer)
    (c) ผลที่อาจจะเกิดขึ้นจากการที่ข้อมูลรั่วไหล
    (d) มาตรการที่เสนอแนะให้เจ้าของข้อมูลกระทำเพื่อรับมือกับกรณีดังกล่าวที่ อาจจะลดผลร้ายที่อาจเกิดจากการที่ข้อมูลรั่วไหลได้
  • ผู้ควบคุมข้อมูลดำเนินการหาสาเหตุและมาตรการเยียวยา รวมถึงติดตามผลการดำเนินงานการแก้ไขปัญหาการรั่วไหลของข้อมูล
8) สร้างความตระหนักในองค์กร
  • ประกาศของบริษัทแจ้งพนักงาน
  • ให้ความรู้กับพนักงานภายในองค์กรเกี่ยวกับข้อกฎหมาย ความสำคัญของ PDPA ความเสี่ยงที่อาจจะเกิดขึ้น และโทษสูงสุด
9) พัฒนาทักษะ และการตรวจประเมิน
  • กำหนดแนวทางการตรวจประเมิน
  • พัฒนาทักษะในการตรวจประเมิน
10) PDPA by design
  • PDPA by design
  • Security by design

ผู้เกี่ยวข้อง และบทบาทหลัก

Action Plan

ตัวอย่าง PDPA Data

ประเภทข้อมูล ตัวอย่างข้อมูลส่วนบุคคล
รายละเอียดส่วนบุคคล
  • ชื่อ, ชื่อกลาง, นามสกุล
  • ชื่อเล่น, นามแฝง
  • วันเดือนปีเกิด
  • เพศ
  • อายุ
  • การศึกษา
  • สถานภาพสมรส
  • สัญชาติ (มาตรา 26)
  • เชื้อชาติ (มาตรา 26)
รายละเอียดการติดต่อ
  • หมายเลขโทรศัพท์
  • ที่อยู่ติดต่อทางไปรษณีย์
  • ที่อยู่อิเล็กทรอนิกส์
  • หมายเลขโทรสาร
  • บัญชี Facebook, LINE เป็นต้น
รายละเอียดที่ใช้ในการระบุตัวตน
และการยืนยันตัวตน
  • ภาพถ่ายบัตรประจำตัวประชาชน
  • เลขประจำตัวประชาชน
  • ลายมือชื่อ
  • ข้อมูล passport
  • ใบอนุญาตขับยานพาหนะ
รายละเอียดการทำงาน
  • อาชีพ
  • รายละเอียดเกี่ยวกับบริษัทนายจ้าง
  • ตำแหน่ง
  • เงินเดือน
  • ค่าตอบแทน
ข้อมูลการวิจัยตลาด ข้อมูลการตลาดและยอดขาย
  • การสำรวจความคิดเห็นลูกค้า
  • ข้อมูลและความเห็นที่แสดงออกเมื่อเข้าร่วมวิจัยตลาด
  • รายละเอียดบริการที่ลูกค้าได้รับและความต้องการของลูกค้า
ข้อมูลส่วนบุคคลอ่อนไหว
(มาตรา 26)
  • เชื้อชาติ
  • เผ่าพันธุ์
  • ความคิดเห็นทางการเมือง
  • ความเชื่อในลัทธิ
  • ศาสนาหรือปรัชญา
  • พฤติกรรมทางเพศ
  • ประวัติอาชญากรรม
  • ข้อมูลสุขภาพ
  • ความพิการ
  • ข้อมูลสหภาพแรงงาน
  • ข้อมูลพันธุกรรม
  • ข้อมูลชีวภาพ
  • หรือข้อมูลอื่นใด ซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการประกาศกำหนด
ข้อมูลเกี่ยวกับการรักษาความปลอดภัย
  • รูปภาพ
  • ลักษณะรูปพรรณสัณฐานบุคคล
  • การตรวจพบข้อสงสัยหรือกิจกรรมที่ผิดปกติ
  • ภาพถ่ายหรือภาพเคลื่อนไหวผ่านกล้องโทรทัศน์วงจรปิด
  • บันทึกวีดีโอ
ข้อมูลทางภูมิศาสตร์และข้อมูลเกี่ยวกับพฤติกรรม
  • ตำแหน่ง GPS ของลูกค้า
  • พฤติกรรมการชับยานพาหนะของลูกค้า



ข้อมูลอ่อนไหว มาตรา 26 ต้องขอความยินยอม

Overview and Action Plan


ที่มาการเก็บข้อมูลส่วนบุคคล

นิยาม

ผู้ที่เกี่ยวข้อง

ไม่ใช่พนักงาน...

แบบฟอร์มที่เกี่ยวข้อง(อย่างน้อย)

มาตรา5 ขอบเขตบังคับใช้#1

มาตรา5 ขอบเขตบังคับใช้#2

สำรวจข้อมูลในแต่ละฝ่าย





consent 1 [คลิก]

consent 2 [คลิก]

DPA Concept

Links

# เทคนิคการอ่านกฎหมาย (ข้อมูลในเว็บมีลิขสิทธิ์)
โดย นายมานิตย์ จิตต์จันทร์กลับ
อดีต อธิบดี ผู้พิพากษาศาลอาญากรุงเทพใต้
# มาตรา 105 ใบรับ ใบกำกับภาษี
# ประกาศกระทรวงมหาดไทย สัญญาจะซื้อจะขายห้องชุด

นโยบายการคุ้มครองข้อมูลส่วนบุคคล

- นโยบายการคุ้มครองข้อมูลส่วนบุคคล#1 พลังงาน(ข้อมูลในเว็บมีลิขสิทธิ์)
- นโยบายการคุ้มครองข้อมูลส่วนบุคคล#2 การเงิน(ข้อมูลในเว็บมีลิขสิทธิ์)
- นโยบายการคุ้มครองข้อมูลส่วนบุคคล#3 การเงิน(ข้อมูลในเว็บมีลิขสิทธิ์)
- นโยบายการคุ้มครองข้อมูลส่วนบุคคล#4 เกษตรฯ(ข้อมูลในเว็บมีลิขสิทธิ์)
- นโยบายการคุ้มครองข้อมูลส่วนบุคคล#5 สินเชื่อ ดูภาคผนวก ระยะเวลาเก็บเอกสาร [PDF](ข้อมูลในเว็บมีลิขสิทธิ์)
- นโยบายการคุ้มครองข้อมูลส่วนบุคคล#6 Logistics(ข้อมูลในเว็บมีลิขสิทธิ์)
- นโยบายการคุ้มครองข้อมูลส่วนบุคคล#7 ประกัน ผลของการเพิกถอนความยินยอม(ข้อมูลในเว็บมีลิขสิทธิ์)
- นโยบายการคุ้มครองข้อมูลส่วนบุคคล#8 Logistics(ข้อมูลในเว็บมีลิขสิทธิ์)
- การเข้าและการใช้งานเว็บไซต์ Logistics(ข้อมูลในเว็บมีลิขสิทธิ์)
- ข้อกำหนดและเงื่อนไขการใช้บริการขนส่ง Logistics (ข้อมูลในเว็บมีลิขสิทธิ์)
- นโยบายการคุ้มครองข้อมูลส่วนบุคคล#9 (ข้อมูลในเว็บมีลิขสิทธิ์)
- นโยบายการคุ้มครองข้อมูลส่วนบุคคล#10 University
- นโยบายการคุ้มครองข้อมูลส่วนบุคคล#11 University

นโยบายการคุ้มครองข้อมูลส่วนบุคคล พนักงาน

- นโยบายการคุ้มครองข้อมูลส่วนบุคคล พนักงาน#1 (ข้อมูลในเว็บมีลิขสิทธิ์)
- นโยบายการคุ้มครองข้อมูลส่วนบุคคล พนักงาน#2 [DOC] (ข้อมูลในเว็บมีลิขสิทธิ์)
- นโยบายการคุ้มครองข้อมูลส่วนบุคคล พนักงาน#3 [อ้างฐานการประมวลผล](ข้อมูลในเว็บมีลิขสิทธิ์)

แบบฟอร์มขอใช้สิทธิข้อมูลส่วนบุคคล

- แบบคำร้องขอใช้สิทธิของเจ้าของข้อมูล#1 [PDF] (ข้อมูลในเว็บมีลิขสิทธิ์)
- แบบคำร้องขอใช้สิทธิของเจ้าของข้อมูล#2 (ข้อมูลในเว็บมีลิขสิทธิ์)

DPO

- แต่งตั้ง DPO#1 (ข้อมูลในเว็บมีลิขสิทธิ์)
- แต่งตั้ง DPO#2 [PDF] (ข้อมูลในเว็บมีลิขสิทธิ์)

ตัวอย่าง consent on-line

- consent on-line#1 (ข้อมูลในเว็บมีลิขสิทธิ์)
- consent on-line#2 (ข้อมูลในเว็บมีลิขสิทธิ์)

Data Anonymization


Data Anonymization work flow

Data Anonymization Concept

IAPP : Guide to Basic Data Anonymization Techniques (Link)

IAPP : Guide to Basic Data Anonymization Techniques (PDF)

หมวด และมาตรา

ทั้งหมด 44 หน้า

ทั้งหมด 96 มาตรา

มี 7 หมวด

ทั่วไปมาตรา 1 ถึง 7
หมวด 1 คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลมาตรา 8 ถึง 18
หมวด 2 การคุ้มครองข้อมูลส่วนบุคคลส่วนที่ 1 บททั่วไป มาตรา 19 ถึง 21 Link,
ส่วนที่ 2 การเก็บรวบรวมข้อมูลส่วนบุคคล มาตรา 22 ถึง 26 Link,
ส่วนที่ 3 การใช้หรือเปิดเผยข้อมูลส่วนบุคคล มาตรา 27 ถึง 29 Link
หมวด 3 สิทธิของเจ้าของข้อมูลส่วนบุคคล มาตรา 30 ถึง 36 Link
มาตรา 37 ถึง 39 ผู้คุ้มครองข้อมูลส่วนบุคคล Link
มาตรา 40 ผู้ประมวลผลข้อมูลส่วนบุคคล Link
มาตรา 41 ถึง 43 เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล Link
หมวด 4 สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลมาตรา 43 ถึง 70
หมวด 5 การร้องเรียน มาตรา 71 ถึง 76 Link
หมวด 6 ความรับผิดทางแพ่ง มาตรา 77 ถึง 78 Link
หมวด 7 บทกำหนดโทษส่วนที่ 1 โทษอาญา มาตรา 79 ถึง 81 Link,
ส่วนที่ 2 โทษทางปกครอง มาตรา 82 ถึง 90 Link
บทเฉพาะกาลมาตรา 91 ถึง 96 Link
หมายเหตุเหตุผลในการประกาศ พรบ.





หมายเหตุ [คลิก]

มาตรา 95 (ที่ไม่ใช่ มาตรา 26) [คลิก]

ใช้ร่วมกับกฏหมายอื่น มาตรา 3 [คลิก]

ขอบเขตบังคับ มาตรา 4,5 [คลิก]

นิยาม มาตรา 6,7 [คลิก]


ความยินยอม มาตรา 19 [คลิก]


ผู้เยาว์ คนไร้ความสามารถ มาตรา 20 [คลิก]
Link ประมวลกฎหมายแพ่งและพาณิชย์ มาตรา 27 [คลิก]


ทำตามวัตถุประสงค์ มาตรา 21 [คลิก]


การเก็บรวบรวม มาตรา 22,23 [คลิก]

ฐานกฏหมายที่ยกเว้น มาตรา 24 [คลิก]

แหล่งข้อมูลอื่น มาตรา 25 [คลิก]


ต้องยินยอมเท่านั้น มาตรา 26 [คลิก]


การใช้หรือเปิดเผย มาตรา 27-29 [คลิก]


สิทธิของเจ้าของข้อมูลฯ มาตรา 30-36 [คลิก]


ผู้ควบคุมข้อมูลฯ มีหน้าที่ มาตรา 37-39 [คลิก]


ผู้ประมวลผลข้อมูลฯ มีหน้าที่ มาตรา 40 [คลิก]


เจ้าหน้าที่คุ้มครองข้อมูลฯ มาตรา 41-42 [คลิก]


การร้องเรียน มาตรา 71-76 [คลิก]


คณะกรรมการผู้เชี่ยวชาญมีหน้าที่และอำนาจ มาตรา 72 [คลิก]


ความรับผิดทางแพ่ง มาตรา 77-78 [คลิก]


โทษอาญา มาตรา 79-81 [คลิก]


โทษทางปกครอง มาตรา 82-90 [คลิก]


บทเฉพาะกาล [คลิก]
  • [2.1] ประกาศนโยบายคุ้มครองข้อมูลส่วนบุคคล

                 คําสั่งบริษัท [ชื่อบริษัท]

           วันที่ 1 มกราคม พ.ศ.2564
           
เรื่อง นโยบายคุ้มครองข้อมูลส่วนบุคคล และแนวปฏิบัติ
  ********************************************************************
         นโยบายฉบับนี้จัดทำขึ้นเพื่อให้พนักงาน ลูกจ้าง คู่ค้า และผู้ใช้บริการได้ทราบและเข้าใจในนโยบายคุ้มครองข้อมูลส่วนบุคคลที่บริษัทได้เก็บรวบรวม ใช้ เปิดเผย และเก็บรักษาข้อมูลส่วนบุคคลข้างต้น โดยเป็นไปตามกฎหมาย อำนาจหน้าที่ ภารกิจในการดำเนินงานของบริษัท เช่น 
         - ประมวลกฎหมายแพ่งและพาณิชย์
         - ประมวลรัษฎากร
         - กฎหมายแรงงาน
         - กฎหมายประกันสังคม
         - พระราชบัญญัติกำหนดความผิดเกี่ยวกับห้างหุ้นส่วนจดทะเบียน ห้างหุ้นส่วนจำกัดบริษัทจำกัด 
         - สมาคม และมูลนิธิ พ.ศ. 2499 
         - พระราชบัญญัติการบัญชี พ.ศ. 2543 
         - เครื่องหมายการค้า 
         - กฏหมายลิขสิทธิ์ เป็นต้น
         บริษัทดำเนินการให้บริการธุรกรรมทางอิเล็กทรอนิกส์ ทั้งทางเว็บไซต์และเอกสารในรูปแบบกระดาษซึ่งเป็นไปตามแบบฟอร์มในการให้บริการของบริษัท แล้วนำมาแปลงข้อมูลเข้าสู่ระบบอิเล็กทรอนิกส์หรือจัดเก็บโดยวิธีอื่น ซึ่งสอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เพื่อให้การคุ้มครองข้อมูลส่วนบุคคลให้มีประสิทธิภาพและสร้างความมั่นใจให้กับเจ้าของข้อมูล
  • [2.2] ประกาศแต่งตั้งทีมงานคุ้มครองข้อมูลส่วนบุคคล (working group) 
      ********************************************************************
           คําสั่งบริษัท [ชื่อบริษัท]

  		วันที่ 1 มกราคม พ.ศ.2564

เรื่อง	แต่งตั้งคณะทำงานจัดทำความคุ้มครองข้อมูลส่วนบุคคล [ชื่อบริษัท]

	ด้วย [ชื่อบริษัท] จะดําเนินการจัดทําความคุ้มครองข้อมูลส่วนบุคคล 
    ดังนั้นเพื่อให้การดําเนินการจัดทําความคุ้มครองข้อมูลส่วนบุคคลดังกล่าว
    เกิดขึ้นได้และนํามาปฏิบัติภายในบริษัทได้อย่างมีประสิทธิภาพ เป็นไปด้วยความรอบคอบและเป็นประโยชน์ 
	จึงให้มีการแต่งตั้งคณะทํางานจัดทําความคุ้มครองข้อมูลส่วนบุคคล โดยมีคณะทำงานและอํานาจหน้าที่ ดังต่อไปนี้

1.คณะทำงาน

	ที่	ชื่อ-นามสกุล	ตำแหน่ง
	1		หัวหน้าคณะทำงาน
	2		ที่ปรึกษา
	3		ผู้ช่วยหัวหน้าคณะทำงาน
	4		คณะทำงาน
	5		คณะทำงาน
	6		คณะทำงานและเลขาฯ

2. อํานาจหน้าที่
	2.1 ศึกษา พรบ.คุ้มครองข้อมูลส่วนบุคคล 2562
	2.2 กําหนดแนวทางในการปฏิบัติตาม พรบ.คุ้มครองข้อมูลส่วนบุคคล 2562
	2.3 ดําเนินการควบคุมความเสี่ยงทางด้านความมั่นคงปลอดภัยข้อมูลส่วนบุคคล
	2.4 จัดทํามาตรฐานการจัดการเอกสารในระบบบริหารข้อมูลส่วนบุคคล
ในหัวข้อต่างๆ ดังนี้
		a) จัดทำและทบทวนนโยบายคุ้มครองข้อมูลส่วนบุคคลอย่างสม่ำเสมอ
		b) จัดทำแบบฟอร์มที่เกี่ยวข้องกับ พรบ.คุ้มครองข้อมูลส่วนบุคคล
		c) จัดทำประกาศ และคำสั่งที่เกี่ยวข้องกับ พรบ.คุ้มครองข้อมูลส่วนบุคคล
		d) จัดทำหลักสูตรอบรมที่เกี่ยวข้องกับ พรบ.คุ้มครองข้อมูลส่วนบุคคล
		e) ดำเนินการตรวจประเมินประสิทธิภาพของ ระบบพรบ.คุ้มครองข้อมูลส่วนบุคคล
	2.5 สร้างความตระหนัก และกำหนดบทลงโทษที่เกี่ยวกับ พรบ.คุ้มครองข้อมูลส่วนบุคคล
	2.6 ปฏิบัติงานอื่น ๆ ที่เกี่ยวข้องกับ พรบ.คุ้มครองข้อมูลส่วนบุคคลตามที่ได้รับมอบหมาย


			ตั้งแต่วันที่  1 มกราคม พ.ศ. 2564 เป็นต้นไป


                     (ชื่อ-นามสกุล)
					    
					กรรมการผู้จัดการ
  
  ********************************************************************
  • [2.3] ประกาศแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล 
      ******************************************************************** 
             คําสั่งบริษัท [ชื่อบริษัท]

           วันที่ 1 มกราคม พ.ศ.2564

เรื่อง  แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลบริษัท [ชื่อบริษัท]

 เพื่อให้การดําเนินการเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของบริษัท [ชื่อบริษัท] ("ผู้ควบคุมข้อมูล") 
 เป็นไปด้วยความเรียบร้อยและสอดคล้องกับ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เกี่ยวกับ 
 การจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ตามมาตรา 41 และมาตรา 42 ของพระราชบัญญัติดังกล่าว
 บริษัท [ชื่อบริษัท] จึงแต่งตั้งให้ [ชื่อ-นามสกุล] (ตำแหน่ง) เป็น เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของบริษัท [ชื่อบริษัท] 
 โดยให้มีอํานาจและหน้าที่ตามที่ กําหนดไว้ในกฎหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ดังนี้

(๑) ให้คําแนะนําแก่ผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้ง ลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเกี่ยวกับการปฏิบัติ ตามพระราชบัญญัตินี้
(๒) ตรวจสอบการดําเนินงานของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเกี่ยวกับ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อให้เป็นไปตามพระราชบัญญัตินี้
(๓) ประสานงานและให้ความร่วมมือกับสํานักงานในกรณีที่มีปัญหาเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลในการปฏิบัติ ตามพระราชบัญญัตินี้
(๔) รักษาความลับของข้อมูลส่วนบุคคลที่ตนล่วงรู้หรือได้มาเนื่องจากการปฏิบัติหน้าที่ ตามพระราชบัญญัตินี้

โดย [ชื่อบริษัท]  หรือผู้ประมวลผลข้อมูลส่วนบุคคลที่มีข้อตกลงการปะมวลผลข้อมูลส่วนบุคคลร่วมกับบริษัท จะต้องสนับสนุนการปฏิบัติหน้าที่ ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลโดยจัดหาเครื่องมือหรืออุปกรณ์อย่างเพียงพอ รวมทั้งอํานวย ความสะดวกในการเข้าถึงข้อมูลส่วนบุคคลเพื่อการปฏิบัติหน้าที่

ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลจะให้เจ้าหน้าที่คุ้มครองข้อมูล ส่วนบุคคลออกจากงานหรือเลิกสัญญาการจ้างด้วยเหตุที่เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลปฏิบัติหน้าที่ ตามพระราชบัญญัตินี้ไม่ได้ ทั้งนี้ ในกรณีที่มีปัญหาในการปฏิบัติหน้าที่ เจ้าหน้าที่คุ้มครองข้อมูล ส่วนบุคคลต้องสามารถรายงานไปยังผู้บริหารสูงสุดของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูล ส่วนบุคคลโดยตรงได้

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลอาจปฏิบัติหน้าที่หรือภารกิจอื่นได้ แต่ผู้ควบคุมข้อมูล ส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลต้องรับรองกับสํานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ว่าหน้าที่หรือภารกิจดังกล่าว ต้องไม่ขัดหรือแย้งต่อการปฏิบัติหน้าที่ตามพระราชบัญญัตินี้


ทั้งนี้ ตั้งแต่บัดนี้เป็นต้นไป

สั่ง ณ วันที่ 1 มกราคม 2564



(ชื่อ-นามสกุล) 
กรรมการผู้จัดการ

  ******************************************************************** 



    ***********************************************************************

[3.]ตัวอย่างแบบคําขอให้เปิดเผยข้อมูลแก่หน่วยงานของรัฐ  
 
ส่วนที่ 1 ผู้ขอ 
ชื่อ-สกุล ............................................................................... ตำแหน่ง ................................................
ต้นสังกัด................................................................................ 
ที่อยู่/ข้อมูลติดต่อ................................................................................................................................. 
 
ส่วนที่ 2 เจ้าของข้อมูล 
ชื่อ-สกุล .............................................................................................................................................. 
 
ข้อมูลเบื้องต้น 
ส่วนที่ 3 ข้อมูลที่ขอเข้าถึง (โปรดระบุ) 
..............................................................................................................................................................
.............................................................................................................................................................. 
เหตุผล/วัตถุประสงค์ที่จะนำเอาข้อมูลไปใช้
.............................................................................................................................................................. 
..............................................................................................................................................................
.............................................................................................................................................................. 
ระยะเวลาที่จะเก็บข้อมูลส่วนบุคคลไว้
.............................................................................................................................................................. 
.............................................................................................................................................................. 
 
ส่วนที่ 4 ช่องทางในการจัดส่งข้อมูล 
 ทางอิเล็กทรอนิกส์ผ่านทางอีเมลที่มีความมั่นคงปลอดภัย 
 เข้ามารับด้วยตนเอง (ต้องมีการยืนยันตัวตนเมื่อเข้ามาติดต่อรับข้อมูลด้วย)  
 
ส่วนที่ 5 ฐานทางกฎหมายในการเปิดเผยข้อมูลและคำยืนยัน 
ข้าพเจ้า (ผู้ขอ) ขอยืนยันว่าข้าพเจ้ามีอำนาจตามกฎหมายที่จะเข้าถึงข้อมูลส่วนบุคคลตาม
กฎหมายโดยไม่ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลตาม 
............................................................................................................................................................ 
(ระบุชื่อกฎหมายและมาตราที่เกี่ยวข้องหรือคำสั่งหรือหมายศาลที่ให้อำนาจ) และ 
..................................................................................................................................(ผู้ได้รับคำร้องขอ) 
มีหน้าที่ตามกฎหมายที่จะสามารถเปิดเผยข้อมูลดังกล่าวได้เพราะมีหน้าที่ตามกฎหมายตามมาตรา 
27 ประกอบกับมาตรา 24 (6) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562  
ข้าพเจ้า (ผู้ขอ) ยืนยันว่าข้อมูลที่ได้รับจะนำเอาไปใช้เพื่อวัตถุประสงค์อันได้ระบุไว้ข้างต้น
เท่านั้น โดยไม่นำไปใช้เพื่อประโยชน์อื่นใด รวมถึงขอยืนยันว่าข้อมูลที่ได้กรอกลงในแบบฟอร์มนี้เป็น
ความจริงทุกประการ และข้าพเจ้าเข้าใจดีว่าการกรอกข้อมูลที่ไม่ถูกต้องลงในแบบฟอร์มนี้อาจเป็น
การกระทำฝ่าฝืน พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือกฎหมายอื่นที่เกี่ยวข้อง 
 
ลงชื่อ .................................................(ผู้ร้องขอ)                              วันที่ ................................ 
 
ผู้มอบอำนาจ (ในกรณีผู้ที่ร้องขอเป็นผู้ใต้บังคับบัญชาที่อาจไม่มีอำนาจในการลงนามหรือใช้อำนาจ
ตามกฎหมาย) 
ชื่อ-สกุล ............................................... ตำแหน่ง............................................... 
ลงชื่อ ................................... วันที่ .................................................................. 



***********************************************************************
  • [3] กำหนดประเภทของข้อมูลส่วนบุคคล วัตถุประสงค์ และความจำเป็น
    แล้ววิเคราะห์ระดับความเสี่ยง กับความเสียหายสูงสุดที่เป็นไปได้

  • [4] ประกาศนโยบายคุ้มครองข้อมูลส่วนบุคคล และมีการทบทวนสม่ำเสมอ
    ***********************************************************************
นโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท <ชื่อบริษัท>
สำหรับการใช้งาน………………………………….
บริษัท <ชื่อบริษัท> จำกัด (“บริษัท”)  ขอแนะนำให้ผู้ใช้งานทำความเข้าใจนโยบายส่วนบุคคล (privacy policy) นี้  เนื่องจาก นโยบายนี้อธิบายถึงวิธีการที่บริษัทปฏิบัติต่อข้อมูลส่วนบุคคลของผู้ใช้งาน เช่น การเก็บรวบรวม การจัดเก็บรักษา การใช้ การเปิดเผย รวมถึงสิทธิต่าง ๆ ของผู้ใช้งาน เป็นต้น เพื่อให้ผู้ใช้งานได้รับทราบถึงนโยบายในการคุ้มครองข้อมูลส่วนบุคคลของบริษัท บริษัทจึงประกาศนโยบายส่วนบุคคล ดังต่อไปนี้

1. การเก็บรวบรวมข้อมูลส่วนบุคคลอย่างจำกัด
1.1 การจัดเก็บรวบรวมข้อมูลส่วนบุคคลจะกระทำโดยมี วัตถุประสงค์ ขอบเขต และใช้วิธีการที่ชอบด้วยกฎหมายและเป็นธรรม ในการเก็บรวบรวมและจัดเก็บข้อมูล ตลอดจนเก็บรวบรวม และจัดเก็บข้อมูลส่วนบุคคลอย่างจำกัดเพียงเท่าที่จำเป็นแก่การให้บริการ หรือบริการด้วยวิธีการทางอิเล็กทรอนิกส์อื่นใดภายใต้วัตถุประสงค์ของบริษัทเท่านั้น ทั้งนี้บริษัทจะดำเนินการให้เจ้าของข้อมูล รับรู้ ให้ความยินยอม ทางอิเล็กทรอนิกส์ ข้อความสั้น (Short Message Service) หรือตามแบบวิธีการของบริษัท
1.2 บริษัทจะขอความยินยอมจากผู้ใช้งานก่อนทำการเก็บรวบรวม เว้นแต่
        a) เป็นกรณีที่กฎหมายกำหนด เช่น พระราชบัญญัติการประกอบกิจการโทรคมนาคม พระราชบัญญัติว่าด้วยการกระทำความผิดทางคอมพิวเตอร์ พระราชบัญญัติป้องกันและปราบปรามการฟอกเงิน เป็นต้น
          b) เป็นไปเพื่อประโยชน์ของผู้ใช้งาน และการขอความยินยอมไม่อาจกระทำได้ในเวลานั้น
          c) เป็นไปเพื่อประโยชน์เกี่ยวกับชีวิต สุขภาพ หรือความปลอดภัยของผู้ใช้งานและ/หรือผู้ใช้งานรายอื่น
           d) เพื่อประโยชน์แก่การสอบสวนของพนักงานสอบสวน หรือการพิจารณาพิพากษาคดีของศาล
           e) เพื่อใช้ในการให้บริการ และปรับปรุงบริการของบริษัท
            f) เพื่อประโยชน์ในการศึกษา วิจัย การจัดทำสถิติ หรือ เพื่อประโยชน์สาธารณะ
1.3 บริษัทจะไม่จัดเก็บข้อมูลส่วนบุคคลของผู้ใช้งานซึ่งเกี่ยวกับ Sensitivity data เช่น ลักษณะทางพันธุกรรม พฤติกรรมทางเพศ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลในลักษณะเดียวกัน รวมถึงข้อมูลที่อาจเป็นผลร้าย ทำให้เสียชื่อเสียง หรืออาจก่อให้เกิดความรู้สึกเกี่ยวกับการเลือกปฏิบัติโดยไม่เป็นธรรมหรือความไม่เท่าเทียมกันแก่บุคคลใด เว้นแต่
           a) ได้รับความยินยอมโดยชัดแจ้งจากผู้ใช้งาน
            b) เป็นกรณีที่กฎหมายกำหนด เช่น พระราชบัญญัติการประกอบกิจการโทรคมนาคม พระราชบัญญัติว่าด้วยการกระทำความผิดทางคอมพิวเตอร์ พระราชบัญญัติป้องกันและปราบปรามการฟอกเงิน เป็นต้น
            c) เป็นไปเพื่อประโยชน์ของผู้ใช้งาน และการขอความยินยอมไม่อาจกระทำได้ในเวลานั้น
            d) เป็นไปเพื่อประโยชน์เกี่ยวกับชีวิต สุขภาพ หรือความปลอดภัยของผู้ใช้งาน และ/หรือผู้ใช้บริการผู้ใช้งานอื่น
            e) เพื่อประโยชน์แก่การสอบสวนของพนักงานสอบสวน หรือการพิจารณาพิพากษาคดีของศาล
            f) เพื่อประโยชน์ในการศึกษา วิจัย หรือการจัดทำสถิติ หรือ เพื่อประโยชน์สาธารณะ

1.4 คุณภาพของข้อมูลส่วนบุคคล
    ข้อมูลส่วนบุคคลของผู้ใช้งานที่บริษัทได้รับมา ซึ่งสามารถบ่งบอกตัวบุคคลของผู้ใช้งานได้ และเป็นข้อมูลส่วนบุคคลที่มีความสมบูรณ์และเป็นปัจจุบัน จะถูกนำไปใช้ให้เป็นไปตามวัตถุประสงค์การดำเนินงานของบริษัทเท่านั้น และบริษัทจะดำเนินมาตรการที่เข้มงวดในการรักษาความมั่นคงปลอดภัย ตลอดจนการป้องกันมิให้มีการนำข้อมูลส่วนบุคคลไปใช้โดยมิได้รับอนุญาตจากผู้ใช้งานก่อน

2. วัตถุประสงค์ในการรวบรวม จัดเก็บ ข้อมูลส่วนบุคคล
        บริษัทรวบรวม จัดเก็บ ใช้ ข้อมูลส่วนบุคคลของผู้ใช้งาน เพื่อการดำเนินงานของบริษัท ในการให้บริการด้าน   การคำนวณและเรียกเก็บค่าใช้บริการ การศึกษา วิเคราะห์ข้อมูล ซึ่งเป็นไปตามวัตถุประสงค์ของการดำเนินงานของบริษัท และเพื่อปรับปรุงคุณภาพของการให้บริการของบริษัทให้มีประสิทธิภาพมากยิ่งขึ้น
            บริษัทจะใช้ข้อมูลที่รวบรวมจากแอพพลิเคชั่นทั้งหมดของบริษัท เพื่อให้บริการ บำรุงรักษา ป้องกัน ปรับปรุง พัฒนาบริการใหม่ๆ และปกป้องบริษัทและผู้ใช้งาน ตลอดจนเพื่อนำเสนอเนื้อหาที่ได้รับการปรับแต่ง (Customize) ให้เหมาะสมกับการใช้งานของผู้ใช้งานโดยเฉพาะ เช่น แสดงผลการค้นหาที่เกี่ยวข้องกับผู้ใช้งาน แสดงโฆษณาประชาสัมพันธ์บริการที่ผู้ใช้งานอาจสนใจและเป็นประโยชน์แก่ผู้ใช้งาน
            นอกจากนี้เมื่อผู้ใช้งานติดต่อมายังบริษัท บริษัทอาจเก็บบันทึกข้อมูล ที่อยู่อีเมลล์ ปัญหา หรือข้อเสนอแนะของผู้ใช้งานผ่าน “ช่องทางการติดต่อ” เพื่อนำมาใช้ในการให้คำปรึกษา แนะนำวิธีการแก้ปัญหาที่เกี่ยวข้องกับการใช้งานอุปกรณ์ และแอพพลิเคชั่น ในการนำมาปรับปรุงและพัฒนาการให้บริการของบริษัท บริษัทในเครือ และพันธมิตรทางธุรกิจ และแจ้งให้ผู้ใช้งานทราบผ่านที่อยู่ที่ผู้ใช้งานแจ้งไว้
        หากภายหลังมีการเปลี่ยนแปลงวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคล บริษัทจะประกาศให้ผู้ใช้งานทราบ การแจ้งล่วงหน้าให้ผู้ใช้งานทราบก่อน 15 วัน โดยการส่งทางจดหมายอิเล็กทรอนิกส์ หรือประกาศไว้ในหน้าแรกของเว็บไซต์ เว้นแต่กฎหมายจะกำหนดไว้เป็นอย่างอื่น

2.1 ข้อมูลที่รวบรวมและเหตุผลที่รวบรวม
        ให้ผู้ใช้งานแจ้งหรือกรอกข้อมูลส่วนบุคคลของผู้ใช้งาน เช่น ชื่อ-นามสกุล ที่อยู่ หมายเลขโทรศัพท์เคลื่อนที่ เป็นต้น สำหรับแอพพลิเคชั่นที่ต้องให้มีการลงทะเบียนก่อนการใช้งาน เพื่อจัดเก็บและบันทึกไว้ในบัญชีผู้ใช้งาน ตลอดจนเพื่อใช้ในการจัดเก็บค่าใช้บริการต่างๆ ภายในแอพพลิเคชั่น 
        บริษัทรวบรวมข้อมูลจากการใช้งานแอพพลิเคชั่นของผู้ใช้งาน ซึ่งประกอบด้วยข้อมูลอย่างน้อยดังนี้
          a) ข้อมูลเครื่องโทรศัพท์เคลื่อนที่/อุปกรณ์: บริษัทจะรวบรวมข้อมูลหมายเลขโทรศัพท์เคลื่อนที่ ตลอดจนหมายเลขอุปกรณ์   ที่ทำให้บริษัททราบว่าผู้ใช้งานเข้าใช้งานแอพพลิเคชั่นจากอุปกรณ์   ใด เพื่อนำมาเก็บไว้ที่ server ของบริษัท และใช้ปรับแต่งการให้บริการและวิเคราะห์ปัญหาที่เหมาะสมกับอุปกรณ์นั้นๆ และใช้ SMS สำหรับส่งข้อมูล OTP สำหรับการลงทะเบียนใช้งาน
           b) ข้อมูลกล้องถ่ายรูป (Camera) เมื่อผู้ใช้งานใช้งานแอพพลิเคชั่นนี้ บริษัทอาจเข้าถึงรวบรวม และประมวลผลข้อมูลรูปถ่าย วิดีโอ และสถานที่ของรูปถ่ายและ/หรือวิดีโอของผู้ใช้งาน เพื่อให้แอพพลิเคชั่นสามารถสแกน QR-Code อุปกรณ์ดิจิตอลที่ใช้งานได้ หรือ ใช้รูปภาพสำหรับแสดง profile ของผู้ใช้งานแอพพลิเคชั่น  
            c) ข้อมูลตำแหน่ง (Location) เมื่อผู้ใช้งานใช้งานแอพพลิเคชั่นของบริษัท บริษัทอาจเข้าถึง รวบรวมและประมวลผลข้อมูลเกี่ยวกับตำแหน่งที่แท้จริงของผู้ใช้งานผ่านเทคโนโลยีที่หลากหลายในการระบุตำแน่ง เช่น ที่อยู่ IP, GPS เซ็นเซอร์หรือเครื่องมืออื่นๆ ผ่านอุปกรณ์   ของบริษัท เพื่อใช้ระบุตำแหน่งปัจจุบันของผู้ใช้บนแผนที่ และเส้นทาง
           d) ข้อมูลบัญชีผู้ใช้งานแอพพลิเคชั่น (Account) เมื่อผู้ใช้งานใช้งานแอพพลิเคชั่นของบริษัท บริษัทอาจเข้าถึง รวบรวมและประมวลผลข้อมูลเกี่ยวกับบัญชีผู้ใช้งานแอพพลิเคชั่น (Account) ของผู้ใช้งาน สำหรับการตรวจสอบ Token และ/หรือ UDID ของเครื่องโทรศัพท์เคลื่อนที่/อุปกรณ์ดิจิตอล เพื่อการ log-in และตรวจสอบ account ผู้ใช้งาน หรือการจัดทำข้อความแจ้งโฆษณาประชาสัมพันธ์เกี่ยวกับแอพพลิเคชั่นไปยังผู้ใช้งาน
           e) คุกกี้และเทคโนโลยีที่คล้ายกัน (Cookies and Similar Technologies) บริษัท กับบริษัทในเครือ และ/หรือพันธมิตรทางธุรกิจของบริษัท อาจใช้เทคโนโลยีต่างๆ ในการรวบรวมและจัดเก็บข้อมูลเมื่อผู้ใช้งานเยี่ยมชมเว็บไซต์และ/หรือบริการของบริษัท โดยการใช้คุกกี้และเทคโนโลยีที่คล้ายกัน เพื่อระบุบราวเซอร์หรืออุปกรณ์ และ/หรือเพื่อรวบรวมและจัดเก็บข้อมูลเมื่อผู้ใช้งานมีการโต้ตอบกับบริการที่บริษัทให้กับบริษัทในเครือ และ/หรือพันธมิตรทางธุรกิจของบริษัท เช่น หัวข้อบริการที่สนใจ หรือ บริการโฆษณา เป็นต้น
           f) ข้อมูลที่ถูกบันทึก : เมื่อผู้ใช้งานเรียกดูข้อมูลและ/หรือรายงานจากแอพพลิเคชั่น บริษัทจะบันทึกการเรียกดูข้อมูลและ/หรือเนื้อหาดังกล่าวไว้ในแหล่งรวบรวมดังต่อไปนี้ ในเซิร์ฟเวอร์ของบริษัทเอง และ/หรือของบริษัทในเครือ และ/หรือของคู่สัญญาที่เชื่อถือได้ของบริษัทที่ทำหน้าที่บริหารจัดการข้อมูลในแอพพลิเคชั่นตามสัญญา

2.2 การเปิดเผยและใช้งานข้อมูลส่วนบุคคล
    ข้อมูลส่วนบุคคลของผู้ใช้งานที่บริษัทได้รับ ซึ่งสามารถบ่งบอกตัวบุคคลของผู้ใช้งานได้ และเป็นข้อมูลส่วนบุคคลที่มีความสมบูรณ์และเป็นปัจจุบัน จะถูกนำไปใช้ให้เป็นไปตามวัตถุประสงค์การดำเนินงานของบริษัทเท่านั้น และบริษัทจะดำเนินมาตรการที่เข้มงวดในการรักษาความมั่นคงปลอดภัย ตลอดจนการป้องกันมิให้มีการนำข้อมูลส่วนบุคคลไปใช้โดยมิได้รับอนุญาตจากผู้ใช้งานก่อน
        บริษัทจะใช้ เปิดเผยข้อมูลส่วนบุคคลของผู้ใช้งานได้ ตามความยินยอมของผู้ใช้งานโดยจะต้องเป็นการใช้ตามวัตถุประสงค์ของการเก็บรวบรวม จัดเก็บ ข้อมูลของบริษัทเท่านั้น
        บริษัทจะดูแลให้ผู้ปฏิบัติงานของบริษัทมิให้เปิดเผย แสดง หรือทำให้ปรากฏในลักษณะอื่นใดซึ่งข้อมูลส่วนบุคคลของผู้ใช้งานนอกเหนือไปจากวัตถุประสงค์หรือต่อบุคคลภายนอก เว้นแต่
          a) เป็นกรณีที่กฎหมายกำหนด เช่น พระราชบัญญัติการประกอบกิจการโทรคมนาคม พระราชบัญญัติว่าด้วยการกระทำความผิดทางคอมพิวเตอร์ พระราชบัญญัติป้องกันและปราบปรามการฟอกเงิน เป็นต้น
          b) ได้รับความยินยอมโดยชัดแจ้งจากผู้ใช้งาน
          c) เป็นไปเพื่อประโยชน์เกี่ยวกับชีวิต สุขภาพ หรือความปลอดภัยของผู้ใช้งานและ/หรือผู้ใช้บริการอื่น
          d) เพื่อประโยชน์แก่การสอบสวนของพนักงานสอบสวน หรือการพิจารณาพิพากษาคดีของศาล
          e) เพื่อประโยชน์ในการศึกษา วิจัย หรือการจัดทำสถิติ หรือ เพื่อประโยชน์สาธารณะ
        บริษัทอาจแบ่งปันหรือเปิดเผยข้อมูลส่วนบุคคลของผู้ใช้งานกับบริษัทในเครือ บริษัทในกลุ่ม ตลอดจนคู่สัญญาที่มีหน้าที่บริหารจัดการแอพพลิเคชั่นตามสัญญากับบริษัทโดยตรง หรือบริษัทอื่นที่มีนโยบายเกี่ยวกับข้อมูลส่วนบุคคลที่น่าเชื่อถือ เพื่อให้บริการ บำรุงรักษา ป้องกัน ปรับปรุง พัฒนาบริการใหม่ๆ และปกป้องบริษัทและผู้ใช้งาน ตลอดจนเพื่อนำเสนอเนื้อหาที่ได้รับการปรับแต่ง (Customize) ให้เหมาะสมกับการใช้งานของผู้ใช้งานโดยเฉพาะ เช่น แสดงผลการค้นหาที่เกี่ยวข้องกับผู้ใช้งาน แสดงโฆษณาประชาสัมพันธ์บริการที่ผู้ใช้งานอาจสนใจและเป็นประโยชน์แก่ผู้ใช้งาน โดยดำเนินการตามคำแนะนำและสอดคล้องตามนโยบายข้อมูลส่วนบุคคลของบริษัท รวมถึงมาตรการการรักษาข้อมูลที่เป็นความลับและการรักษาความปลอดภัยที่เหมาะสม

3. การรักษาความมั่นคงปลอดภัย และการจัดการละเมิด
    บริษัทตระหนักถึงความสำคัญของการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลของผู้ใช้งาน บริษัทจึงกำหนดให้มีมาตรการในการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลอย่างเหมาะสมและสอดคล้องกับการรักษาความลับของข้อมูลส่วนบุคคลเพื่อป้องกันการสูญหาย การเข้าถึง ทำลาย ใช้ แปลง แก้ไขหรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่มีสิทธิหรือโดยไม่ชอบด้วยกฎหมาย โดยให้เป็นไปตามที่กำหนดในนโยบายเรื่องการรักษาความมั่นคงปลอดภัยข้อมูลสารสนเทศของบริษัท   ทั้งนี้ บริษัทได้จำกัดการเข้าถึงข้อมูลส่วนบุคคลไว้เฉพาะกับพนักงาน ลูกจ้าง และตัวแทนของบริษัท ที่มีความจำเป็นต้องเข้าถึงข้อมูลนั้นๆ (Need to Know Basis) เพื่อทำการประมวลผลข้อมูล โดยที่บุคคลดังกล่าวนั้น จะต้องปฏิบัติตามข้อกำหนดเกี่ยวกับการรักษาข้อมูลที่เป็นความลับตามสัญญาอย่างเคร่งครัด หากฝ่าฝืนจะมีบทลงโทษขั้นรุนแรง และต้องมีการทบทวน ปรับปรุงมาตรการ เมื่อพบว่ามีความเสี่ยง หรือมีความไม่สอดคล้องกับข้อกำหนดของกฎหมาย
บริษัทได้กำหนดมาตรการที่เหมาะสม เพื่อป้องกันการละเมิด มีการตรวจสอบ และรายงานผลการละเมิด และถ้ามีการละเมิดต้องแจ้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายใน 72 ชั่วโมง

4. การมีส่วนร่วมของเจ้าของข้อมูล 
        ในกรณีที่ผู้ใช้งานประสงค์จะทราบข้อมูลส่วนบุคคลเกี่ยวกับตนเอง ผู้ใช้งานกรอกแบบฟอร์ม และยื่นคำร้องขอได้ที่”ช่องทางการติดต่อ”  ตามหลักเกณฑ์และวิธีการที่บริษัทกำหนด  เมื่อบริษัทได้รับคำร้องขอดังกล่าวแล้ว บริษัทจะดำเนินการแจ้งถึงความมีอยู่ หรือรายละเอียดของข้อมูลส่วนบุคคลดังกล่าวให้ผู้ใช้งานภายในระยะเวลา 30 วันทำการ โดยไม่มีค่าใช้จ่าย สำหรับกรณีที่แจ้งขอเป็นครั้งเดียว แต่หากผู้ใช้งานร้องขอข้อมูลในลักษณะฟุ่มเฟือย บริษัทจะคิดค่าบริการตามความเป็นจริง
        ผู้ใช้งานมีสิทธิตรวจดูความมีอยู่ ลักษณะของข้อมูลส่วนบุคคล วัตถุประสงค์ของการนำข้อมูลไปใช้ของบริษัท อย่างไรก็ตามบริษัทอาจปฏิเสธสิทธิของผู้ใช้งานได้ในกรณีที่กฎหมายกำหนด หรือในกรณีที่ข้อมูลส่วนบุคคลของผู้ใช้งานถูกทำให้ไม่ปรากฏชื่อหรือสิ่งบอกลักษณะอันสามารถระบุตัวผู้ใช้งานได้อีก
        หากผู้ใช้งานเห็นว่า ข้อมูลส่วนบุคคลใดที่เกี่ยวกับตนไม่ถูกต้องตามที่เป็นจริง ผู้ใช้งานสามารถแจ้งให้บริษัทแก้ไข เปลี่ยนแปลง หรือลบข้อมูลส่วนบุคคล ทั้งหมดหรือแต่บางส่วนนั้นได้ ในการนี้ บริษัทจะจัดทำบันทึกคำคัดค้านการจัดเก็บ ความถูกต้อง หรือการกระทำใด ๆ เกี่ยวกับข้อมูลส่วนบุคคลของผู้ใช้งานไว้เป็นหลักฐานด้วย ในกรณีที่เจ้าของข้อมูลส่วนบุคคลเสียชีวิต เมื่อมีคำสั่งจากศาลบริษัทจะอนุญาตให้ผู้สืบสิทธิ์ และ/หรือทายาทโดยชอบธรรม มาแจ้งความประสงค์ขอข้อมูลส่วนบุคคลได้

5. ความรับผิดชอบของบุคคลซึ่งทำหน้าที่ควบคุมข้อมูล
    บริษัทมีระเบียบ คำสั่ง ให้ผู้ควบคุมข้อมูลส่วนบุคคลปฏิบัติหน้าที่ตาม ระเบียบ คำสั่ง ที่กำหนดไว้ เพื่อให้การดำเนินงานตามแนวนโยบายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลเป็นไปตามมาตรฐานของประกาศฉบับนี้ ผู้ควบคุมข้อมูลมีหน้าที่ปฏิบัติตามนโยบายเรื่องการรักษาความมั่นคงปลอดภัยข้อมูลสารสนเทศ ของบริษัทด้วย

6. ช่องทางการติดต่อ และการเปิดเผยเกี่ยวกับการดำเนินการ แนวปฏิบัติ และนโยบายที่เกี่ยวกับข้อมูลส่วนบุคคล
    บริษัทมีนโยบายปฏิบัติตามกฏหมายรวมถึงประกาศ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล สิทธิในความเป็นส่วนตัว และกฏหมายที่เกี่ยวข้องกับข้อมูลส่วนบุคคล รวมถึงออกมาตรการคุ้มครองข้อมูลผู้ใช้บริการ
         บริษัท จะเปิดเผยนโยบาย และแนวทางปฏิบัติการคุ้มครองข้อมูลส่วนบุคคล ผ่านช่องทางสื่อสาร ดังนี้
1.	Telephone : 02xxxxxx
2.	Web site : www.<ชื่อบริษัท>.co.th 
3.	Email : info@<ชื่อบริษัท>.co.th


ช่องทางสื่อสาร และติดต่อในการขอใช้สิทธิของเจ้าของข้อมูล และการร้องเรียน
สายงานธุรกิจบริหารลูกค้าและการบริการ (Customer and Service Management Business Unit)
บริษัท <ชื่อบริษัท> จำกัด 
<ที่อยู่ กรุงเทพฯ 10160>
หรือติดต่อผ่าน สำนักคุ้มครองข้อมูลส่วนบุคคล (Data Protection Office Unit)
Email: dpo@<ชื่อบริษัท>.co.th



***********************************************************************
    คลิกเพื่อดาวน์โหลด ตัวอย่าง

    • ตัวอย่าง consent 

    
ชื่อบริษัท

แบบฟอร์มขออนุญาตใช้ข้อมูลส่วนบุคคล ตาม พรบคุ้มครองข้อมูลส่วนบุคคล ต้องลงนามเป็นรายบุคคล
ชื่อบริษัท] เป็นผู้ควบคุมข้อมูลส่วนบุคคลของท่าน และสามารถติดต่อ [ชื่อบริษัท] ได้ที่ [ที่อยู่ของบริษัท] 
หรือ ทางโทรศัพท์และอีเมลที่: [ใส่ชื่อและข้อมูลติดต่อของบุคคลในหน่วยขอข้อมูลส่วนบุคคล
ข้อมูลส่วนบุคคลของท่านจะถูกใช้เพื่อวัตถุประสงค์ดังต่อไปนี้ (เลือกทุกข้อที่ใช่)
__การสรรหาพนักงานของบริษัท
__การประสานงานกับหน่วยงานรัฐ ในนามบริษัท เช่น ประกันสังคม เป็นต้น
 __การประชาสัมพันธ์บริษัท 
__การประสานงานกับหน่วยงานภายนอก ในนามบริษัท เช่น ธนาคาร, ประกันชีวิต เป็นต้น 
__การวิจัย 
__อื่น ๆ (รวมถึงคําอธิบายโดยละเอียดเกี่ยวกับการใช้ข้อมูลส่วนบุคคล

ลักษณะของข้อมูลส่วนบุคคลที่ท่านถูกขอให้ความยินยอมจากการใช้และการประมวลผลของ [ชื่อบริษัท] ได้แก่ 
ชื่อ ที่อยู่, อีเมล,หมายเลขโทรศัพท์ และ [รวมคําอธิบายของข้อมูลส่วนบุคคลอื่น ๆ ที่รวบรวม]

[ชื่อบริษัท] จะแบ่งปันข้อมูลส่วนบุคคลของท่านกับผู้ให้บริการภายนอกที่รวบรวมจัดเก็บและประมวลผลข้อมูลส่วนบุคคล
ของท่านในนามของ[ชื่อบริษัท] และผู้มีหน้าที่ตามสัญญาในการเก็บรักษาข้อมูลส่วนบุคคลของท่าน 
เป็นความลับภายใต้มาตรการป้องกันที่เหมาะสม 
ยังตั้งใจที่จะแบ่งปันข้อมูลส่วนบุคคลของท่านเพื่อจัดเก็บ ประมวลผล [ระบุหน่วย [ชื่อบริษัท] 
และบุคคลที่สามที่จะรับข้อมูลส่วนบุคคล]


ข้อมูลส่วนบุคคลของท่านจะถูกถ่ายโอนจากประเทศไทยไปยัง [ชื่อบริษัท] ซึ่งตั้งอยู่ใน [ชื่อประเทศ] 
เพื่อ ประมวลผล และทําลายทิ้งเมื่อการประมวลผลเสร็จสิ้น


ข้อมูลส่วนบุคคลของท่านจะถูกจัดเก็บตามข้อกําหนดการเก็บรักษาตาม พรบคุ้มครองข้อมูลส่วนบุคคล และ 
กฎหมายอื่น ๆ ของที่มีผลบังคับใช้ของประเทศไทย ท่านมีสิทธิ์ร้องขอเข้าถึง แก้ไข ลบ และ จํากัด การ 
ประมวลผลข้อมูลส่วนบุคคลของท่านนอกจากนี้ท่านยังมีสิทธิ์ในการเพิกถอนคํายินยอมนี้ ในการใช้ข้อมูลส่วน 
บุคคลของท่านหากท่านรู้สึกว่า [ชื่อบริษัท] ละเมิด พรบคุ้มครองข้อมูลส่วนบุคคล ท่านมีสิทธิ์ยื่นเรื่องร้องเรียน 
ต่อ คณะกรรมการฯ ตามสิทธิของ พรบคุ้มครองข้อมูลส่วนบุคคล 
สิทธิได้รับการอธิบายเพิ่มเติมโดยเฉพาะใน ประกาศความเป็นส่วนตัว ที่โพสต์บนเว็บไซต์ของเชื่อบริษัท ที่ [URL ของบริษัท ]

---------------------------------------------------------------------------------------------
กรุณา เซ็นชื่อ เซ็น / ทําเครื่องหมายด้วยระบบอิเล็กทรอนิกส์ด้านล่าง] วันที่และส่งคืนโดย [อีเมล / ส่ง] 
ด้านล่าง:


ข้าพเจ้ายินยอมให้ [ชื่อบริษัท] ใช้ข้อมูลส่วนบุคคลของข้าพเจ้าเพื่อจุดประสงค์ที่อธิบายไว้ในประกาศนี้
และเข้าใจว่าข้าพเจ้าสามารถถอนการยินยอมของข้าพเจ้าได้ตลอดเวลา

[  ] ให้ความยินยอม        [ ]ไม่ให้ความยินยอม

ชื่อของบุคคลที่ให้ความยินยอม:_____________________
ที่อยู่ของบุคคลที่ให้ความยินยอม:____________________
ลายเซ็น:_____________________________________
วันที่ลงนาม:___________________________________

  • [5] จัดเตรียมข้อกำหนด หรือแนวปฏิบัติที่เกี่ยวกับ ข้อมูลส่วนบุคคล

  • [6] จัดเตรียมแนวปฏิบัติด้าน information security
    คลิกเพื่อดาวน์โหลด ตัวอย่าง information security

  • [7] จัดเตรียมแนวปฏิบัติด้านการแจ้งเตือน ถ้าพบว่ามีการละเมิด

  • [8] จัดเตรียมประกาศแจ้งพนักงานให้ปฏิบัติ และกำหนดบทลงโทษให้ชัดเจน
    จัดทำและอบรมหลักสูตรหัวข้อ ความรู้เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล
    จัดทำและอบรมหลักสูตรหัวข้อ ความรู้เกี่ยวกับการ audit ระบบคุ้มครองข้อมูลส่วนบุคคลขององค์กร
    คัดเลือก ทีมงาน auditor
  • แบบฟอร์ม ขอความยินยอมใช้ข้อมูลส่วนบุคคล (consent)
  • แบบฟอร์ม ใช้สิทธิเจ้าของข้อมูลส่วนบุคคล
  • ข้อสัญญาการประมวลผลข้อมูลส่วนบุคคล (DPA) ตามที่ UK Information Commissioner’s Office ให้คำแนะนำ
    คลิกเพื่อดาวน์โหลด ตัวอย่าง DPA
  • ตัวอย่างแบบคําขอให้เปิดเผยข้อมูลแก่หน่วยงานของรัฐ

แนวทางการทำงาน

  • -consent for B2B
  • -ระบบบริหาร consent
  • -แนวทางวิเคราะห์ ข้อมูลส่วนบุคคลในฝ่ายต่างๆ
  • -แนวทางวิเคราะห์ความเสี่ยง
  • -Data Processing Agreement ระหว่าง ผู้ควบคุมข้อมูล กับ ผู้ประมวลผลข้อมูล
  • -แนวทางการขออนุญาตใช้ข้อมูลส่วนบุคคลระหว่างผู้ควบคุมข้อมูล กับ พนักงานของบริษัท ผ่านบริษัท
  • -แนวทางการสร้างความตระหนัก และการอบรมพนักงาน
  • -แนวทางการตรวจประเมินประสิทธิภาพในการคุ้มครองข้อมูลส่วนบุคคลภายในบริษัท และสร้างทักษะในการตรวจประเมินแก่พนักงาน
  • -แนวทางการจัดการเรื่องการร้องเรียนและการเยียวยา

-แนวทางการจัดการเกี่ยวกับสิทธิของเจ้าของข้อมูลส่วนบุคคล และตัวอย่างแบบฟอร์ม


ตัวอย่าง การใช้ข้อมูลส่วนบุุคคลสำหรับการเปลี่ยนสินค้า

Incident Report

McAfee ผู้ให้บริการโซลูชันสำหรับศูนย์ SOC ชั้นนำ จึงได้ออก White Paper หัวข้อ “Ten Ways to Prepare for Incident Response” เพื่อให้เจ้าหน้าที่ด้านความมั่นคงปลอดภัยได้นำไปใช้เป็นแนวทางในการเตรียมความพร้อมสำหรับทำ Incident Response อย่างเป็นระบบ ซึ่งสามารถสรุปเนื้อหาได้ดังนี้
1.กำหนดหน้าที่ แนวทาง และกระบวนการต่างๆขณะเกิดเหตุการณ์ไม่พึงประสงค์ จำเป็นต้องมีการแบ่งแยกหน้าที่และความรับผิดชอบที่ชัดเจน เพื่อให้ทุกคนทราบถึงสิ่งที่ตนเองต้องกระทำ เช่น IR & Forensics, Network & Information Security, Endpoint Security, SOC, Legal Department, Public Relations, Policy หรือ Contracting เป็นต้น
2. สื่อสารแผนงานและกระบวนการอย่างมีประสิทธิผลควรวางแผนการรับมือกับเหตุการณ์ไม่พึงประสงค์ก่อนจะเกิดเหตุการณ์ขึ้นจริง ไม่ว่าจะเป็นรูปแบบการสื่อสารที่ใช้ ช่องทางการติดต่อ รวมไปถึงจัดห้องวอร์รูมที่มีสิ่งอำนวยความสะดวกครบครันต่อการประชุมเมื่อเกิดเหตุผิดปกติ ที่สำคัญคือต้องมีลิสต์รายชื่อผู้เกี่ยวข้องและวิธีการติดต่อบุคคลเหล่านั้น
3. ผสานรวม Threat Intelligence และข้อมูลภัยคุกคามต่างๆ เข้าด้วยกันการมี Threat Intelligence และข้อมูลเกี่ยวกับภัยคุกคามประเภทต่างๆ ช่วยให้สามารถจำแนกประเภทของภัยคุกคาม เทคนิคที่ใช้ ผลกระทบ และ IoC (Indicators of Compromise) ได้อย่างแม่นยำ ช่วยให้สามารถปกป้องระบบได้อย่างรวดเร็วและตรงจุด
4. คัดแยกและเฝ้าระวังระบบที่ได้รับผลกระทหลังจากที่ระบุ IoC ได้แล้ว จำเป็นต้องตัดสินใจว่าจะทำการคัดแยกระบบที่มีปัญหาออกจากระบบเครือข่ายเพื่อป้องกันผลกระทบที่อาจเกิดขึ้นต่อระบบอื่นๆ หรือไม่ ซึ่งอาจทำได้ในเชิง Physical เช่น ดึงสายเคเบิลที่ใช้เชื่อมต่อออก หรือในเชิง Logical เช่น การใช้ Firewall หรือปิดพอร์ตบน Switch
5. จัดทำเอกสารและลงบันทึกการตอบสนองต่อเหตุการณ์ไม่พึงประสงค์การลงบันทึกและทำเอกสารระหว่างเกิดเหตุไม่พึงประสงค์ช่วยให้ง่ายต่อการแชร์และตรวจสอบข้อมูลย้อนหลัง รวมไปถึงทำรายงานส่งผู้บริหาร ผู้ตรวจประเมิน หรือหน่วยงานกำกับดูแลที่เกี่ยวข้อง
6. จัดทำเอกสารเหตุการณ์ไม่พึงประสงค์ตามลำดับเวลานอกจากจัดทำเอกสารเป็นลายลักษณ์อักษรแล้ว ควรมีการระบุและจัดลำดับเหตุการณ์ที่เกิดขึ้นตามเวลาให้ชัดเจน เพื่อให้เห็นภาพและเข้าใจเหตุการณ์ทั้งหมดได้ง่ายยิ่งขึ้น
7. เข้าใจการตอบสนองต่อภัยคุกคามในแต่ละเฟสการตอบสนองต่อภัยคุกคามจะถูกแบ่งออกเป็น 3 เฟสหลัก คือ การระบุขอบเขตของเหตุการณ์ไม่พึงประสงค์ การกักกันภัยคุกคาม และการฟื้นฟูระบบให้กลับคืนมา ซึ่งผู้ที่ได้รับมอบหมายจำเป็นต้องศึกษากระบวนการในเฟสที่ตนรับผิดชอบให้เป็นอย่างดี เพื่อให้สามารถรับมือกับเหตุการณ์ไม่พึงประสงค์ได้อย่างถูกต้องและรวดเร็ว
8. พร้อมรับมือภัยคุกคามตลอดเวลาด้วยการทำสถาปัตยกรรม แอพพลิเคชัน และระบบปฏิบัติการให้มั่นคงปลอดภัยภัยคุกคามบางอย่างสามารถป้องกันได้ล่วงหน้าจากการทำให้แอพพลิเคชัน ระบบปฏิบัติ และระบบเครือข่ายมีความมั่นคงปลอดภัย เช่น อัปเดตแพทช์สม่ำเสมอ มีการแบ่งระบบเครือข่ายออกเป็นส่วนๆ ใช้การพิสูจน์ตัวตนแบบ 2-factor Authentication หรือตั้งรหัสผ่านให้แข็งแกร่ง เป็นต้น
9. จัดการและสำรองข้อมูล Logการตรวจสอบข้อมูล Log ย้อนหลังเป็นสิ่งสำคัญมาก เนื่องจากช่วยให้สามารถจำลองสถานการณ์การโจมตีที่เคยเกิดขึ้นได้ ส่งผลให้สามารถเตรียมรับมือกับเหตุการณ์ที่คล้ายคลึงกันได้ง่ายยิ่งขึ้น โดย Log ควรเก็บจาก Antivirus, Network Traffic, PCAP, IDS/IPS, Firewall, Web Proxy, VPN, DHCP, AD และอื่นๆ
10. ใช้โซลูชันการบริหารจัดการและเฝ้าระวังอุปกรณ์ปลายทาง
(Endpoint Management)		อุปกรณ์ปลายทางนับว่าเป็นจุดที่อ่อนแอที่สุดในระบบเครือข่าย จึงควรมีการวางมาตรการควบคุม เช่น ติดตั้งโปรแกรม Antivirus และอัปเดตฐานข้อมูลล่าสุดเสมอ และการมีระบบบริหารจัดการจากศูนย์กลางจะช่วยลดภาระในการเฝ้าระวังอุปกรณ์ปลายทางได้เป็นอย่างมาก

สรุป

การตอบสนองต่อเหตุการณ์ที่มีประสิทธิผลจะเริ่มต้นได้ดีล่วงหน้า ของการตรวจจับเหตุการณ์หรือวิกฤตที่เกิดขึ้นจริง เวลาองค์กรใช้ในการเตรียมการและการวางแผน ก่อนที่เหตุการณ์จะเกิดขึ้นสามารถลดผลกระทบและการเปิดรับระหว่างเหตุการณ์ เนื่องจากมีธุรกิจมากขึ้นเริ่มเห็นมันไม่ใช่ถ้า แต่เมื่อพวกเขาต้องการ จัดการกับภัยคุกคามขั้นสูง การเตรียมการแบบนี้มีความสำคัญต่อความสำเร็จในอนาคตของการตอบสนองใด ๆ ผู้บัญชาการเหตุการณ์ควรได้รับการระบุว่าใครสามารถจัดการเหตุการณ์และประสานงานทั้งหมดได้อย่างมีประสิทธิภาพ การสื่อสารระหว่างกลุ่มผู้มีส่วนได้ส่วนเสียก่อนเหตุการณ์เกิดขึ้น

กฎหมายดิจิตอลมีทั้งหมด 10 ฉบับ

  • 1. พ.ร.บ. กรรมการดิจิตอลเพื่อเศรษฐกิจฯ
  • 2. พ.ร.บ. ปรับปรุงกระทรวง เพื่อเศรษฐกิจฯ
  • 3. พ.ร.บ. ธุรกรรมทางอิเล็กทรอนิกส์ Link 2544 ฉบับ 1 ฉบับ 2 ,ฉบับ 3 , ฉบับ 4
  • 4. พ.ร.บ. กระทำความผิดเกี่ยวกับคอมพิวเตอร์ Link 2550 , Link 2560
  • 5. พ.ร.บ. รักษาความมั่นคงปลอดภัยไซเบอร์ Link
  • 6. พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล Link 2562
  • 7. พ.ร.บ. ส่งเสริมเศรษฐกิจดิจิตอล
  • 8. พ.ร.บ. กองทุนพัฒนาดิจิตอลเพื่อเศรษฐกิจฯ
  • 9. พ.ร.บ. องค์กรจัดสรรคลื่นความถี่และกำกับการประกอบกิจการฯ
  • 10. พ.ร.ฎ. จัดตั้งสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน)
  • ร่างพระราชบัญญัติ การพิสูจน์และยืนยันตัวตนทางดิจิทัล
EDTA Link กฎหมายดิจิตอล

ตัวอย่างกรณี อุปกรณ์การแพทย์

ผู้ประมวลผลฯ เป็นใครได้บ้าง มีหลักเกณฑ์ในการพิจารณาอย่างไร จากที่ได้ฟังการอบรมมาหลายที่ จะพูดรวมๆ ว่าเป็น Outsource ที่ทำตามคำสั่งของผู้ควบคุมข้อมูลฯ แต่ไม่มีการยกตัวอย่างที่หลากหลายว่าคือใครบ้าง เลยอยากฟังความหมายที่ชัดเจนมากขึ้นนอกเหนือจากที่เขียนไว้ใน มาตรา 6 และอยากให้ยกตัวอย่างผู้ประมวลผลฯที่หลากหลาย เพื่อให้มองเห็นภาพ และเข้าใจมากขึ้น (บริษัทเป็นผู้ผลิตเครื่องมือแพทย์ อาจารย์จะยกตัวอย่างตามธุรกิจที่ทำก็ได้)

Answer:ควรเขียน business process / work flow ขึ้นมา จะช่วยให้เข้าใจบทบาทของแต่ละขั้นตอนง่ายขึ้น

ผู้ป่วย (เจ้าของข้อมูล) มาโรงพยาบาลเอกชน (ผู้ควบคุมข้อมูล) เพื่อต้องการ x-ray


โรงพยาบาลเอกชน (ผู้ควบคุมข้อมูล) เช่า เครื่อง x-ray พร้อมพนักงานคุมเครื่อง จากบริษัท#1 (ผู้ประมวลผลข้อมูล#1)เพื่อทำการฉายแสง x-ray (ประมวลผลข้อมูล) จากผู้ป่วย และเก็บในระบบฐานข้อมูล x-ray (ระบบเก็บผลลัพธ์)

โรงพยาบาลเอกชน (ผู้ควบคุมข้อมูล) จ้าง นักรังสีเทคนิค จากบริษัท#2 (ผู้ประมวลผลข้อมูล#2) มาวิเคราะห์ผล x-ray แล้วจัดทำรายงานผล x-ray (ประมวลผลข้อมูล) เพื่อเก็บในระบบฐานข้อมูล x-ray (ระบบเก็บผลลัพธ์)


โรงพยาบาลเอกชน (ผู้ควบคุมข้อมูล) จัดทำรายงานผล x-ray แก่ผู้ป่วย (เจ้าของข้อมูล) โดยโรงพยาบาลยังเก็บข้อมูลในระบบฐานข้อมูล x-ray อีก 3 ปี

ตัวอย่างกรณี แบ่งปันข้อมูลของพนักงาน

กรณีบริษัทจัดทำ Consent กับพนักงาน และมีข้อตกลงเรื่องการแบ่งปันข้อมูล กับธนาคาร หรือ บริษัทอื่น การแบ่งปันข้อมูลนี้ เราต้องทำ Agreement กับองค์กรที่เราแบ่งปันข้อมูลไปด้วยไหมคะ แล้วองค์กรเหล่านั้น ถือว่าเป็นใครใน พรบ.นี้ เป็นผู้ควบคุมฯ หรือ ผู้ประมวลผลฯ (คิดว่าน่าจะไม่ใช่ผู้ประมวลผล เพราะไม่ได้ทำตามคำสั่งของผู้ควบคุมฯ ค่ะ) เช่น เราแบ่งปันข้อมูลพนักงานกับธนาคารสำหรับจ่ายเงินเดือน หรือ แบ่งปันอีเมล์ของพนักงานกับ ผู้ให้บริการเช่าพื้นที่อีเมล์ เป็นต้น

Answer:บริษัทต้องทำ Agreement กับทุกๆองค์กรที่บริษัทจะแบ่งปันข้อมูล กำหนดขอบเขตการใช้ข้อมูล และทำตามคำสั่งของบริษัท เช่น

สั่ง "ธนาคาร" ให้ประมวลผลเมื่อบริษัทจะโอนเงินให้พนักงานแต่ละคน หรือตามที่บริษัทกำหนดเท่านั้น

สั่ง "ธนาคาร" ไม่ต้องแสดงรายงานข้อมูลพนักงานที่ลาออกไป

สั่ง "ผู้ให้บริการเช่าพื้นที่อีเมล์" ยกเลิก email ของพนักงานที่ลาออกไป (กรณีที่บริษัทไม่มีฝ่าย IT ดูแลเอง)

ฯลฯ

และใน consent ต้องแจ้ง รายชื่อ หรือ ประเภทธุรกิจ ของทุกๆองค์กรที่บริษัทจะแบ่งปันข้อมูล และกำหนดขอบเขตการใช้ข้อมูล ให้พนักงานทราบก่อนให้ความยินยอม

ตัวอย่างกรณี processor ข้อมูลของพนักงาน


แนวทางวิเคราะห์ข้อมูลส่วนบุคคลในระหว่างการศึกษา



B2B


ตัวอย่างกรณี Legitimate of interest



ในทางทฤษฎีจะมีผลบังคับใช้เมื่อใดก็ตามที่ผู้ควบคุมข้อมูลใช้ข้อมูลส่วนบุคคลในลักษณะที่เจ้าของข้อมูลคาดหวังได้

  • การประมวลผลไม่ได้กำหนดไว้ตามกฎหมาย แต่มีประโยชน์อย่างชัดเจน
  • มีความเสี่ยงเพียงเล็กน้อยที่การประมวลผลจะละเมิดความเป็นส่วนตัวของเจ้าของข้อมูล และ
  • เจ้าของข้อมูลควรคาดหวังอย่างสมเหตุสมผลว่าข้อมูลของพวกเขาจะถูกนำไปใช้ในลักษณะนั้น



ตัวอย่างกรณี ติดตั้งกล้องวงจรปิด CCTV

  1. ทำให้แน่ใจว่าลูกค้า หรือ พนักงาน รู้ว่าพวกเขากำลังถูกบันทึก
  2. ระบุให้ชัดเจนว่าเหตุใดคุณจึงใช้กล้อง CCTV
  3. ควบคุมผู้ที่สามารถเข้าถึงกล้อง CCTV อย่างจำกัด
  4. ลบข้อมูล CCTV เมื่อไม่จำเป็นอีกต่อไป

The background
The co-owners of a Romanian apartment block installed CCTV cameras in the common parts of the building. TK, who owned an apartment in the building, objected and brought an action seeking the removal of the cameras on the grounds that the cameras amounted to an infringement of the right to respect for private life.
The Romanian court decided to refer the case to the CJEU for guidance on whether Articles 6(1)(c) and 7(f) of the Data Protection Directive (95/46/EC), read in light of Articles 7 and 8 of the EU Charter of Fundamental Rights, precluded national law from allowing installation of a system of video surveillance in the common parts of a residential building, for the purposes of pursuing legitimate interests in ensuring the safety and protection of individuals and property, without the data subjects’ consent.

GDPR vs PDPA


GDPR vs PDPA #1


GDPR vs PDPA #2

Spirax sarco privacy policy

Spirax Sarco privacy policy

Data Breach response time

Data Breach

Link video สัมมนา ETDA เกี่ยวกับ PDPA

PDPA Compliance for SMEs (Feb 17, 202)

TDPG3.0 - EP.2 HR Department (Dec 4, 2020)

โครงการสัมมนาเรื่อง “TDPG 2.0: Building Trust with Data Protection” ( Oct 22, 2019)

ETDA Channel videos

*****Next Step*****


General Data Protection Regulation (GDPR) Guideline and Samples

GDPR clauses

Articles of the GDPR

How do we apply legitimate interests in practice?

Link : Sample of Legitimate Interest Assment (LIA) Template from ICO

Data protection impact assessments (DPIA)

Thai legitimate interest (PDF)

Popular posts from this blog

Home : PDPA Workshop

Image
โดย ประยุทธ พันธุลาภ สารบัญ หัวข้อ Link Home : หน้าแรก Link Home ตัวอย่างเอกสาร Link ตัวอย่างเอกสาร หมวด และมาตรา Link หมวด และมาตรา Q&A ตอบคำถาม Link Q&A Resources Link Resources Link for PDPA-Story ภาพรวม กฏหมายที่เกี่ยวข้อง ประมวลกฎหมายแพ่งและพาณิชย์ [Click to Open] พรบ ข้อมูลข่าวสารของราชการ 2540 มาตรา 7 [Click to Open] บังคับใช้ พรบ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) 1 มิถุนายน พ.ศ.2565 ไฟล์ PDF - พรบ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 [Click to Open] - Unofficial Translation Personal Data Protection Act 2562 [Click to Open] - การยกเว้นการบันทึกรายการของผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นกิจการขนาดเล็ก พ.ศ.2565 [Click to Open] - หลักเกณฑ์และวิธีการในการจัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลสำหรับผู้ประมวลผลข้อมูลส่วนบุคคล พ.ศ.2565 [Click to Open] - มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565 [Click to Open...
Read more

PDPA มาตรา : PDPA Workshop

Image
โดย ประยุทธ พันธุลาภ สารบัญ หัวข้อ Link Home : หน้าแรก Link Home ตัวอย่างเอกสาร Link ตัวอย่างเอกสาร หมวด และมาตรา Link หมวด และมาตรา Q&A ตอบคำถาม Link Q&A Resources Link Resources - พรบ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 [Click to Open] - Unofficial Translation Personal Data Protection Act 2562 [Click to Open] - การยกเว้นการบันทึกรายการของผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นกิจการขนาดเล็ก พ.ศ.2565 [Click to Open] - หลักเกณฑ์และวิธีการในการจัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลสำหรับผู้ประมวลผลข้อมูลส่วนบุคคล พ.ศ.2565 [Click to Open] - มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565 [Click to Open] - หลักเกณฑ์การพิจารณาออกคำสั่งลงโทษปรับทางปกครองของคณะกรรมการผู้เชี่ยวชาญ พ.ศ. 2565 [Click to Open] หมวด และมาตรา ทั้งหมด 44 หน้า ทั้งหมด 96 มาตรา มี 7 หมวด ทั่วไป มาตรา 1 ถึง 7 หมวด 1 คณะกรรมการคุ้มครองข้อมูล...
Read more