Examples : PDPA Workshop
โดย ประยุทธ พันธุลาภ
> Link DPA
> ตัวอย่าง ข้อตกลงการประมวลผลข้อมูลส่วนบุคคล(DPA) ของ สพร
> ตัวอย่าง เอกสาร PDPA ของ สพร 15 รายการ
มุมมองของสำนักงานคุ้มครองฯ : policy
มุมมองของสำนักงานคุ้มครองฯ : consent
มุมมองของสำนักงานคุ้มครองฯ : จุดยืน PDPA
มุมมองของสำนักงานคุ้มครองฯ : PDPA process (ROP)
มุมมองของสำนักงานคุ้มครองฯ : การอธิบาย ROP
มุมมองของสำนักงานคุ้มครองฯ : ROP ทำอย่างไร
- นโยบายการคุ้มครองข้อมูลส่วนบุคคล#2 การเงิน(ข้อมูลในเว็บมีลิขสิทธิ์)
- นโยบายการคุ้มครองข้อมูลส่วนบุคคล#3 การเงิน(ข้อมูลในเว็บมีลิขสิทธิ์)
- นโยบายการคุ้มครองข้อมูลส่วนบุคคล#4 เกษตรฯ [ไม่ซับซ้อน](ข้อมูลในเว็บมีลิขสิทธิ์)
- นโยบายการคุ้มครองข้อมูลส่วนบุคคล#5 สินเชื่อ [ดูภาคผนวก ระยะเวลาเก็บเอกสาร] [PDF](ข้อมูลในเว็บมีลิขสิทธิ์)
-นโยบายการคุ้มครองข้อมูลส่วนบุคคล#6 บริษัทจัดหางาน (ข้อมูลในเว็บมีลิขสิทธิ์)
- นโยบายการคุ้มครองข้อมูลส่วนบุคคล#7 Logistics(ข้อมูลในเว็บมีลิขสิทธิ์)
- นโยบายการคุ้มครองข้อมูลส่วนบุคคล#8 ประกัน [ผลของการเพิกถอนความยินยอม](ข้อมูลในเว็บมีลิขสิทธิ์)
- นโยบายการคุ้มครองข้อมูลส่วนบุคคล#9 Logistics(ข้อมูลในเว็บมีลิขสิทธิ์)
- ข้อกำหนดและเงื่อนไขการเข้าและการใช้งานเว็บไซต์ Logistics(ข้อมูลในเว็บมีลิขสิทธิ์)
- ข้อกำหนดและเงื่อนไขการใช้บริการขนส่ง Logistics [ฐานสัญญา การให้บริการ] (ข้อมูลในเว็บมีลิขสิทธิ์)
- นโยบายการคุ้มครองข้อมูลส่วนบุคคล#10 [เสื้อผ้า] (ข้อมูลในเว็บมีลิขสิทธิ์)
- นโยบายความเป็นส่วนตัว บริษัท เอพี (ไทยแลนด์) จำกัด (มหาชน) (ข้อมูลในเว็บมีลิขสิทธิ์)
- นโยบายการคุ้มครองข้อมูลส่วนบุคคล#11 [GDPR] University at USA
- นโยบายการคุ้มครองข้อมูลส่วนบุคคล#12 [GDPR] University at UK
- นโยบายการคุ้มครองข้อมูลส่วนบุคคล พนักงาน#2 [DOC] (ข้อมูลในเว็บมีลิขสิทธิ์)
- นโยบายการคุ้มครองข้อมูลส่วนบุคคล พนักงาน#3 [อ้างฐานการประมวลผล](ข้อมูลในเว็บมีลิขสิทธิ์)
- กฎหมายด้านคุ้มครองแรงงาน
- พระราชบัญญัติคุ้มครองแรงงาน
- พระราชบัญญัติประกันสังคม
- หมวด พระราชบัญญัติประกันสังคม พ.ศ.๒๕๓๓
- แบบฟอร์มขอรับประโยชน์ทดแทน สปส
- แบบคำร้องขอใช้สิทธิของเจ้าของข้อมูล#2 [PDF] (ข้อมูลในเว็บมีลิขสิทธิ์)
- แต่งตั้ง DPO#2 [PDF] (ข้อมูลในเว็บมีลิขสิทธิ์)
- consent on-line#2 (ข้อมูลในเว็บมีลิขสิทธิ์)
ในทางทฤษฎีจะมีผลบังคับใช้เมื่อใดก็ตามที่ผู้ควบคุมข้อมูลใช้ข้อมูลส่วนบุคคลในลักษณะที่เจ้าของข้อมูลคาดหวังได้
Data Anonymization Concept
IAPP : Guide to Basic Data Anonymization Techniques (Link)
IAPP : Guide to Basic Data Anonymization Techniques (PDF)
สารบัญ
| หัวข้อ | Link |
|---|---|
| Home : หน้าแรก | Link Home |
| ตัวอย่างเอกสาร | Link ตัวอย่างเอกสาร |
| หมวด และมาตรา | Link หมวด และมาตรา |
| Q&A ตอบคำถาม | Link Q&A |
| Resources | Link Resources |
Video มุมมองของสำนักงานคุ้มครองฯ
DPA 16 ก.ค. 2565
มุมมองของสำนักงานคุ้มครองฯ : Data Sharing Agreement, Data Processing Agreement> Link DPA
> ตัวอย่าง ข้อตกลงการประมวลผลข้อมูลส่วนบุคคล(DPA) ของ สพร
> ตัวอย่าง เอกสาร PDPA ของ สพร 15 รายการ
มุมมองของสำนักงานคุ้มครองฯ : policy
มุมมองของสำนักงานคุ้มครองฯ : consent
มุมมองของสำนักงานคุ้มครองฯ : จุดยืน PDPA
มุมมองของสำนักงานคุ้มครองฯ : PDPA process (ROP)
มุมมองของสำนักงานคุ้มครองฯ : การอธิบาย ROP
มุมมองของสำนักงานคุ้มครองฯ : ROP ทำอย่างไร
การสมัครงาน กับ นโยบายการคุ้มครองข้อมูลส่วนบุคคล
- ธนาคารนโยบายการคุ้มครองข้อมูลส่วนบุคคล
- นโยบายการคุ้มครองข้อมูลส่วนบุคคล#1 Automotive [ครอบคลุมเกือบทุกกรณี] (ข้อมูลในเว็บมีลิขสิทธิ์)- นโยบายการคุ้มครองข้อมูลส่วนบุคคล#2 การเงิน(ข้อมูลในเว็บมีลิขสิทธิ์)
- นโยบายการคุ้มครองข้อมูลส่วนบุคคล#3 การเงิน(ข้อมูลในเว็บมีลิขสิทธิ์)
- นโยบายการคุ้มครองข้อมูลส่วนบุคคล#4 เกษตรฯ [ไม่ซับซ้อน](ข้อมูลในเว็บมีลิขสิทธิ์)
- นโยบายการคุ้มครองข้อมูลส่วนบุคคล#5 สินเชื่อ [ดูภาคผนวก ระยะเวลาเก็บเอกสาร] [PDF](ข้อมูลในเว็บมีลิขสิทธิ์)
-นโยบายการคุ้มครองข้อมูลส่วนบุคคล#6 บริษัทจัดหางาน (ข้อมูลในเว็บมีลิขสิทธิ์)
- นโยบายการคุ้มครองข้อมูลส่วนบุคคล#7 Logistics(ข้อมูลในเว็บมีลิขสิทธิ์)
- นโยบายการคุ้มครองข้อมูลส่วนบุคคล#8 ประกัน [ผลของการเพิกถอนความยินยอม](ข้อมูลในเว็บมีลิขสิทธิ์)
- นโยบายการคุ้มครองข้อมูลส่วนบุคคล#9 Logistics(ข้อมูลในเว็บมีลิขสิทธิ์)
- ข้อกำหนดและเงื่อนไขการเข้าและการใช้งานเว็บไซต์ Logistics(ข้อมูลในเว็บมีลิขสิทธิ์)
- ข้อกำหนดและเงื่อนไขการใช้บริการขนส่ง Logistics [ฐานสัญญา การให้บริการ] (ข้อมูลในเว็บมีลิขสิทธิ์)
- นโยบายการคุ้มครองข้อมูลส่วนบุคคล#10 [เสื้อผ้า] (ข้อมูลในเว็บมีลิขสิทธิ์)
- นโยบายความเป็นส่วนตัว บริษัท เอพี (ไทยแลนด์) จำกัด (มหาชน) (ข้อมูลในเว็บมีลิขสิทธิ์)
- นโยบายการคุ้มครองข้อมูลส่วนบุคคล#11 [GDPR] University at USA
- นโยบายการคุ้มครองข้อมูลส่วนบุคคล#12 [GDPR] University at UK
นโยบายการคุ้มครองข้อมูลส่วนบุคคล พนักงาน
- นโยบายการคุ้มครองข้อมูลส่วนบุคคล พนักงาน#1 (ข้อมูลในเว็บมีลิขสิทธิ์)- นโยบายการคุ้มครองข้อมูลส่วนบุคคล พนักงาน#2 [DOC] (ข้อมูลในเว็บมีลิขสิทธิ์)
- นโยบายการคุ้มครองข้อมูลส่วนบุคคล พนักงาน#3 [อ้างฐานการประมวลผล](ข้อมูลในเว็บมีลิขสิทธิ์)
- กฎหมายด้านคุ้มครองแรงงาน
- พระราชบัญญัติคุ้มครองแรงงาน
- พระราชบัญญัติประกันสังคม
- หมวด พระราชบัญญัติประกันสังคม พ.ศ.๒๕๓๓
- แบบฟอร์มขอรับประโยชน์ทดแทน สปส
แบบฟอร์มขอใช้สิทธิข้อมูลส่วนบุคคล
- แบบคำร้องขอใช้สิทธิของเจ้าของข้อมูล#1 [PDF] (ข้อมูลในเว็บมีลิขสิทธิ์)- แบบคำร้องขอใช้สิทธิของเจ้าของข้อมูล#2 [PDF] (ข้อมูลในเว็บมีลิขสิทธิ์)
DPO
- แต่งตั้ง DPO#1 (ข้อมูลในเว็บมีลิขสิทธิ์)- แต่งตั้ง DPO#2 [PDF] (ข้อมูลในเว็บมีลิขสิทธิ์)
ตัวอย่าง consent on-line
- consent on-line#1 (ข้อมูลในเว็บมีลิขสิทธิ์)- consent on-line#2 (ข้อมูลในเว็บมีลิขสิทธิ์)
ตัวอย่าง ประเภทของข้อมูลส่วนบุคคล
- ประเภทของข้อมูลส่วนบุคคล (PDF)ตัวอย่าง การคุ้มครองข้อมูลส่วนบุคคลเกี่ยวกับการใช้กล้องวงจรปิด
- การใช้กล้อง CCTV (PDF)ตัวอย่างกรณี Legitimate of interest + Data Anonymization
- การประมวลผลไม่ได้กำหนดไว้ตามกฎหมาย แต่มีประโยชน์อย่างชัดเจน
- มีความเสี่ยงเพียงเล็กน้อยที่การประมวลผลจะละเมิดความเป็นส่วนตัวของเจ้าของข้อมูล และ
- เจ้าของข้อมูลควรคาดหวังอย่างสมเหตุสมผลว่าข้อมูลของพวกเขาจะถูกนำไปใช้ในลักษณะนั้น
Data Anonymization
Data Anonymization Concept
IAPP : Guide to Basic Data Anonymization Techniques (Link)
IAPP : Guide to Basic Data Anonymization Techniques (PDF)
Overview : DPA
ตัวอย่างข้อตกลงให้ประมวลผลข้อมูล (Data Processing Agreement, DPA)
1. ขอบเขตการบังคับใช้ ข้อตกลงให้ประมวลผลข้อมูลนี้ใช้บังคับกับการประมวลผลข้อมูลส่วนบุคคลของผู้ใช้บริการ โดย ข้อตกลงนี้ถือเป็นส่วนหนึ่งของสัญญาการให้บริการ 2. ความสัมพันธ์ระหว่างคู่สัญญา 2.1 ผู้ใช้บริการ ผู้ใช้บริการจะอยู่ในฐานะผู้ควบคุมข้อมูลตลอดระยะเวลาของสัญญาให้บริการ โดยผู้ใช้บริการ ในฐานะผู้ควบคุมข้อมูลมีหน้าที่ต้องปฏิบัติตามกฎหมายเกี่ยวกับการควบคุมข้อมูลที่มีผลใช้บังคับกับกรณี 2.2 ผู้ให้บริการ ผู้ให้บริการจะอยู่ในฐานะของผู้ประมวลข้อมูลตลอดระยะเวลาของสัญญาให้บริการ โดยผู้ ให้บริการในฐานะผู้ควบคุมข้อมูลมีหน้าที่ต้องปฏิบัติตามกฎหมายเกี่ยวกับการประมวลผลข้อมูลที่มีผลใช้ บังคับกับกรณี 3. ประเภทของข้อมูลส่วนบุคคล ผู้ใช้บริการตระหนักและยอมรับว่าการใช้บริการแพลตฟอร์มตามสัญญาให้บริการถือเป็นการสั่ง ให้ผู้ให้บริการอาจทำการประมวลข้อมูลส่วนบุคคลดังต่อไปนี้ไม่ว่าทั้งหมดหรือเพียงบางส่วน - ข้อมูลสำหรับการติดต่อ (contact information) เช่น ที่อยู่ เบอร์โทรศัพท์บ้านหรือมือถือ อีเมล์ หรือรหัสต่าง ๆ - ข้อมูลที่เกี่ยวกับครอบครัว เช่น วิถีชีวิต อายุ วันเกิด สถานภาพ จำนวนบุตร - ข้อมูลเกี่ยวกับการจ้างงาน เช่น ชื่อของนายจ้าง ตำแหน่ง หน้าที่ ประวัติการทำงาน เงินเดือน และ - ข้อมูลทางเงิน เป็นต้น - ข้อมูลอื่นๆที่ต้องประมวลผล 4. หน้าที่ในการประมวลข้อมูล 4.1 คำสั่งให้ประมวลผลข้อมูล ผู้ให้บริการจะทำการประมวลผลข้อมูลส่วนบุคคลเมื่อได้รับคำสั่งที่เป็นลายลักษณ์อักษรจาก ผู้ใช้บริการแล้วเท่านั้น 4.2 คำสั่งให้ประมวลผลข้อมูลเพิ่มเติม ผู้ใช้บริการอาจสั่งให้ผู้ให้บริการประมวลผลข้อมูลเพิ่มเติมได้ภายใต้ขอบเขตที่กฎหมายกำหนด โดยผู้ให้บริการจะทำการประมวลข้อมูลดังกล่าวโดยพลัน ทั้งนี้ จะต้องเป็นกรณีมีความจำเป็นเพื่อให้ บริการ หรือเป็นการช่วยให้ผู้ใช้บริการสามารถปฏิบัติหน้าที่ตามที่กฎหมายกำหนดได้ 4.3 การออกคำสั่งให้ประมวลผลข้อมูลโดยมิชอบ ในกรณีที่ผู้ให้บริการพิจารณาแล้วเห็นว่า การออกคำสั่งตามข้อ 4.1 และ 4.2 นั้นเป็นการออก คำสั่งที่ละเมิดต่อกฎหมาย ผู้ให้บริการจะทำการแจ้งผู้ใช้บริการโดยพลัน แต่ทั้งนี้ ผู้ใช้บริการตระหนัก และยอมรับว่าผู้ให้บริการนั้นไม่ได้มีหน้าที่ให้คำปรึกษาทางกฎหมายใด ๆ แก่ผู้ใช้บริการ 5. สิทธิของเจ้าของข้อมูล 5.1 การเข้าถึงข้อมูล ผู้ให้บริการจะสนับสนุนให้ผู้ใช้บริการสามารถเข้าถึงข้อมูลส่วนบุคคลของเจ้าของข้อมูลได้ ทั้งนี้ เพื่อให้ผู้ใช้บริการสามารถตอบสนองต่อคำร้องขอข้อมูลของเจ้าของข้อมูลซึ่งอาจมีสิทธิที่จะเรียกดู แก้ไข หรือลบข้อมูลส่วนบุคคลของตนได้ตามกฎหมาย 5.2 การร้องขอโดยเจ้าของข้อมูล ในกรณีที่ผู้ให้บริการได้รับคำร้องขอจากเจ้าของข้อมูลซึ่งได้ระบุว่าผู้ใช้บริการนั้นเป็นผู้ควบคุม ข้อมูล ผู้ให้บริการจะทำการส่งคำร้องขอนั้นต่อไปยังผู้ใช้บริการ โดยจะไม่ทำการตอบสนองต่อคำร้อง ดังกล่าว 6. การถ่ายโอนข้อมูลส่วนบุคคล 6.1 สถานที่เก็บรักษาข้อมูล ภายในบังคับของข้อ 6.2 ข้อมูลส่วนบุคคลที่เกี่ยวข้องกับการให้บริการของผู้ให้บริการจะถูก เก็บรักษาในภูมิภาคที่กำหนดไว้ในสัญญาหรือที่ผู้ใช้บริการได้กำหนด โดยผู้ให้บริการจะไม่ทำการโอนถ่าย ข้อมูลส่วนบุคคลไปยังภูมิภาคอื่นเว้นแต่จะได้รับคำอนุญาตเป็นลายลักษณ์อักษรจากผู้ใช้บริการ 6.2 ข้อยกเว้นเรื่องการโอนถ่ายข้อมูล อย่างไรก็ตาม ในกรณีมีความจำเป็นเพื่อให้บริการและเป็นกรณีที่ได้รับคำสั่งให้ประมวลผล ข้อมูลส่วนบุคคลจากผู้ใช้บริการแล้ว ผู้ให้บริการสามารถเข้าถึงและประมวลผลข้อมูลส่วนบุคคลจากพื้นที่ หรือตำแหน่งนอกภูมิภาคที่กำหนดในข้อ 6.1 ได้ 7. หน้าที่ของบริษัทในเครือและผู้ประมวลผลข้อมูลช่วง 7.1 การตั้งผู้ประมวลผลข้อมูลช่วง ภายใต้บังคับของสิทธิและหน้าที่ที่กำหนดในข้อตกลงนี้ ถือว่าผู้ใช้บริการได้ให้คำอนุญาตแก่ผู้ให้ บริการในการให้บุคคลภายนอก (ผู้ประมวลผลข้อมูลช่วง) ให้มีส่วนช่วยหรือสนับสนุนในการให้บริการ ตามสัญญา 7.2 หน้าที่ของบริษัทในเครือและผู้ประมวลผลข้อมูลช่วง บริษัทในเครือของผู้ให้บริการและผู้ประมวลผลข้อมูลช่วงที่ผู้ให้บริการกำหนดให้เข้ามามีส่วน ร่วมในการให้บริการจะต้องมีการทำความตกลงเพื่อกำหนดหน้าที่ในการคุ้มครองและรักษาความ ปลอดภัยของข้อมูลส่วนบุคคลในระดับเดียวกับหน้าที่ของผู้ให้บริการตามข้อตกลงนี้ ทั้งนี้ ผู้ให้บริการยังคงมีหน้าที่รับผิดชอบให้บริษัทในเครือและผู้ประมวลผลข้อมูลช่วงดังกล่าว ปฏิบัติหน้าที่ตามที่ข้อตกลงได้กำหนดขึ้น ตลอดจนตามที่กฎหมายที่บังคับกับกรณีกำหนด 8. มาตรการคุ้มครองความปลอดภัยของข้อมูล 8.1 มาตรการรักษาความปลอดภัย ผู้ให้บริการมีหน้าที่จะต้องจัดให้มีและธำรงรักษาไว้ซึ่งมาตรการรักษาความปลอดภัยสำหรับ การประมวลผลข้อมูลที่มีความเหมาะสมทั้งในเชิงองค์กรและเชิงเทคนิค มาตรการข้างต้นจะต้องคำนึงถึง ลักษณะ ขอบเขต และวัตถุประสงค์ของการประมวลผลข้อมูลตามที่กำหนดในสัญญา โดยมีวัตถุประสงค์ เพื่อคุ้มครองข้อมูลส่วนบุคคลจากความเสี่ยงอันเกี่ยวเนื่องกับการประมวลผลข้อมูลส่วนบุคคล เช่น ความ เสี่ยงอันเกิดจากอุบัติเหตุ การทำลาย การสูญหาย การเปลี่ยนแปลง การเปิดเผย การโอน การเก็บข้อมูล ส่วนบุคคลโดยไม่ชอบด้วยกฎหมาย 8.2 การรักษาความลับของข้อมูล ผู้ให้บริการ บริษัทในเครือและผู้ประมวลผลช่วงตามข้อ 7. มีหน้าที่ทำการประมวลผลข้อมูล ส่วนบุคคลภายใต้ข้อตกลงเรื่องการรักษาความลับที่เป็นลายลักษณ์อักษร 9. การแจ้งเตือนหากเกิดปัญหาด้านความปลอดภัย 9.1 กรณีมีการละเมิดต่อมาตรการรักษาความปลอดภัย ผู้ให้บริการมีหน้าที่ทำการประเมินและตอบสนองต่อการกระทำใด ๆ ซึ่งอาจมีลักษณะเป็นการ เข้าถึงหรือประมวลผลข้อมูลส่วนบุคคลโดยไม่ชอบด้วยกฎหมาย ทั้งนี้ บุคคลากรของผู้ให้บริการตลอดจน บริษัทในเครือของผู้ให้บริการถูกกำหนดให้มีหน้าที่ที่จะตอบสนองต่อเหตุการณ์ข้างต้น 9.2 กระบวนการแจ้งเตือน ในกรณีที่ผู้ให้บริการตะหนักได้ว่ามีการกระทำอันเป็นการละเมิดต่อความปลอดภัยซึ่งก่อให้เกิด ความเสี่ยงอันเกิดจากอุบัติเหตุ การทำลาย การสูญหาย การเปลี่ยนแปลง การเปิดเผย การโอน การเก็บ ข้อมูลส่วนบุคคล โดยไม่ชอบด้วยกฎหมาย ผู้ให้บริการจะทำการแจ้งต่อผู้ใช้บริการโดยไม่ชักช้า ทั้งนี้ ภายในระยะเวลา 24 ชั่วโมง 9.3 การดำเนินการ ผู้ให้บริการจะใช้มาตรการตามที่เห็นสมควรในการระบุถึงสาเหตุของการละเมิด และป้องกัน ปัญหาดังกล่าวมิให้เกิดซ้ า และจะให้ข้อมูลแก่ผู้ใช้บริการภายใต้ขอบเขตที่กฎหมายกำหนดดังต่อไปนี้ - รายละเอียดของลักษณะและผลที่อาจเกิดขึ้นของการละเมิด - มาตรการที่ถูกใช้เพื่อลดกระทบของการละเมิด - ประเภทของข้อมูลส่วนบุคคลและเจ้าของข้อมูลที่ถูกละเมิด (หากเป็นไปได้) และ - ข้อมูลอื่น ๆ ที่เกี่ยวข้องกับการละเมิด
ข้อสัญญาการประมวลผลข้อมูลส่วนบุคคล (DPA) ตามที่ UK Information Commissioner’s Office ให้คำแนะนำ
กฎหมายดิจิตอลมีทั้งหมด 10 ฉบับ
- 1. พ.ร.บ. กรรมการดิจิตอลเพื่อเศรษฐกิจฯ
- 2. พ.ร.บ. ปรับปรุงกระทรวง เพื่อเศรษฐกิจฯ
- 3. พ.ร.บ. ธุรกรรมทางอิเล็กทรอนิกส์ Link 2544 ฉบับ 1 ฉบับ 2 ,ฉบับ 3 , ฉบับ 4
- 4. พ.ร.บ. กระทำความผิดเกี่ยวกับคอมพิวเตอร์ Link 2550 , Link 2560
- 5. พ.ร.บ. รักษาความมั่นคงปลอดภัยไซเบอร์ Link
- 6. พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล Link 2562
- 7. พ.ร.บ. ส่งเสริมเศรษฐกิจดิจิตอล
- 8. พ.ร.บ. กองทุนพัฒนาดิจิตอลเพื่อเศรษฐกิจฯ
- 9. พ.ร.บ. องค์กรจัดสรรคลื่นความถี่และกำกับการประกอบกิจการฯ
- 10. พ.ร.ฎ. จัดตั้งสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน)
- ร่างพระราชบัญญัติ การพิสูจน์และยืนยันตัวตนทางดิจิทัล
 |
ไปที่ สารบัญ [คลิก] |
