Home : PDPA Workshop

โดย ประยุทธ พันธุลาภ

---

สารบัญ

หัวข้อ	Link
Home : หน้าแรก	Link Home
ตัวอย่างเอกสาร	Link ตัวอย่างเอกสาร
หมวด และมาตรา	Link หมวด และมาตรา
Q&A ตอบคำถาม	Link Q&A
Resources	Link Resources

Link for PDPA-Story ภาพรวม

กฏหมายที่เกี่ยวข้อง

• ประมวลกฎหมายแพ่งและพาณิชย์ [Click to Open]
  
• พรบ ข้อมูลข่าวสารของราชการ 2540 มาตรา 7 [Click to Open]
  

---

บังคับใช้ พรบ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) 1 มิถุนายน พ.ศ.2565

ไฟล์ PDF

- พรบ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562
[Click to Open]

- Unofficial Translation Personal Data Protection Act 2562
[Click to Open]

- การยกเว้นการบันทึกรายการของผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นกิจการขนาดเล็ก พ.ศ.2565
[Click to Open]

- หลักเกณฑ์และวิธีการในการจัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลสำหรับผู้ประมวลผลข้อมูลส่วนบุคคล พ.ศ.2565
[Click to Open]

- มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565
[Click to Open]

- หลักเกณฑ์การพิจารณาออกคำสั่งลงโทษปรับทางปกครองของคณะกรรมการผู้เชี่ยวชาญ พ.ศ. 2565
[Click to Open]

---

- กฎหมายคุ้มครองข้อมูลส่วนบุคคลที่เกี่ยวข้อง
[Click to Open]

- (New) เอกสารความรู้ความเข้าใจเกี่ยวกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
[Click to Open]

- ร่างกฎหมายลำดับรอง
[Click to Open]

-ประกาศกระทรวงดิจิทัล_มาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล 2563 [Click to Open]

-ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หลักเกณฑ์และวิธีการในการจัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลสำหรับผู้ประมวลผลข้อมูลส่วนบุคคล 2565
[Click to Open]

-ประกาศกระทรวงดิจิทัล มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล 2565
[Click to Open]

- เอกสารแม่แบบ PDPA สำหรับการดำเนินการ ของผู้ควบคุมข้อมูลส่วนบุคคลภาครัฐ
[Click to Open]

- พระราชบัญญัติ การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562
[Click to Open]

- (ตัวอย่าง) สำนักงานปลัดสำนักนายกรัฐมนตรี : แนวนโยบายและแนวปฏิบัติความมั่นคงปลอดภัยของระบบสารสนเทศ และ access control
[Click to Open]

เลื่อนการบังคับใช้ PDPA

- ประกาศ "22 หน่วยงานและกิจการ" ไม่ต้องอยู่ภายใต้ พ.ร.บ.ข้อมูลส่วนบุคคล 2562( ถึง 31 พ.ค. 2564) [Click to Open]
- ประกาศ "22 หน่วยงานและกิจการ" ไม่ต้องอยู่ภายใต้ พ.ร.บ.ข้อมูลส่วนบุคคล 2562( ถึง 31 พ.ค. 2565) [Click to Open]

---

ถ้าไม่ปฏิบัติตาม พรบ.คุ้มครองข้อมูลส่วนบุคคล (PDPA)

เถ้าแก่/ผู้จัดการบริษัท/กรรมการผู้จัดการ/CEO

ทำไมต้องปฏิบัติตาม พรบ.คุ้มครองข้อมูลส่วนบุคคล

---

ที่มาของ พรบ.คุ้มครองข้อมูลส่วนบุคคล (PDPA)

หมายเหตุ พรบ.คุ้มครองข้อมูลส่วนบุคคล

ไม่โปร่งใส

ต้องโปร่งใส

ฐานการประมวลผลข้อมูลส่วนบุคคลตามกฎหมาย [zoom คลิก]

การใช้ฐานความยินยอมอย่างเดียว มีความเสี่ยงจากการถอนความยินยอมได้ง่าย มาตรา 19 [zoom คลิก]

สัดส่วนการใช้ฐานการประมวลผลข้อมูลส่วนบุคคลตามกฎหมาย [zoom คลิก]

ประโยชน์ดังกล่าวมีความสำคัญน้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล

---

ตัวอย่าง Legitimate ที่ สำนักงานฯ PDPA นำเสนอ [zoom คลิก]

---

คณะกรรมการ

สิ่งที่ควรเตรียมพร้อมก่อน PDPA บังคับใช้

สิ่งที่ควรเตรียมพร้อมก่อน PDPA บังคับใช้

สำรวจข้อมูลในแต่ละฝ่าย

1) ได้รับการสนับสนุนจากผู้บริหาร	ได้รับการสนับสนุนจากผู้บริหาร ตั้งงบประมาณ
2) แต่งตั้ง DPO หรือ คณะทำงาน	แต่งตั้ง DPO ถ้าเป็นองค์กรใหญ่ หรือ แต่งตั้งคณะทำงาน ถ้าเป็นองค์กรขนาดเล็ก
3) สำรวจข้อมูล	สำรวจข้อมูลส่วนบุคคลในทุกฝ่าย กำหนดประเภทของข้อมูลส่วนบุคคล ระบุวัตถุประสงค์ ระบุความจำเป็น
4) ทบทวน นโยบายคุ้มครองข้อมูลส่วนบุคคล	บริหารจัดการ การเข้าถึงข้อมูล life-cycle ของข้อมูล
5) จัดเตรียมข้อกำหนด หรือแนวปฏิบัติ	จัดเตรียมข้อกำหนด หรือแนวปฏิบัติ การคุ้มครองข้อมูลส่วนบุคคล
6) จัดทำมาตรฐาน security	จัดทำเอกสารมาตรฐาน security
7) พัฒนากระบวนการแจ้งเตือน (Data Breach Notification)	พัฒนากระบวนการแจ้งเตือน การรั่วไหลหรือละเมิดมาตรการความมั่นคงปลอดภัยต่อ ข้อมูลส่วนบุคคลมีความหมายกว้างครอบคลุมการที่ข้อมูล ถูกทำลาย การสูญหาย การแก้ไขเปลี่ยนแปลง การเปิดเผย หรือการเข้าถึง ส่งต่อ เก็บ รักษาหรือถูกประมวลผลอย่างอื่นไม่ว่าจะเกิดจากการกระทำอันมิชอบด้วยกฎหมาย หรือโดยอุบัติเหตุ แจ้งสำนักงานฯกรณีข้อมูลส่วนบุคคลรั่วไหล ภายใน 72 ชั่วโมงนับแต่ได้ทราบ เว้นแต่เหตุที่เกิดนั้นไม่น่าจะก่อให้เกิดความเสี่ยงใดๆ ต่อสิทธิและเสรีภาพของเจ้าของข้อมูล กรณีที่ไม่อาจแจ้งเหตุได้ภายใน 72 ชั่วโมง ผู้ ควบคุมจะต้องแจ้งเหตุผลแห่งการแจ้งเหตุล่าช้าด้วย ผู้ควบคุมข้อมูลมีหน้าที่แจ้งเจ้าของข้อมูลโดยไม่ชักช้า ต่อเมื่อการรั่วไหลของข้อมูลนั้นก่อให้เกิดความเสี่ยงสูงต่อสิทธิเสรีภาพของเจ้าของ ข้อมูล ในกรณีเช่นว่านี้จะต้องแจ้งให้เจ้าของข้อมูลทราบด้วยภาษาที่เข้าใจง่ายและมี ความชัดเจนและมีรายละเอียดอย่างน้อยดังต่อไปนี้ (a) คำอธิบายลักษณะของการรั่วไหลของข้อมูล (b) ชื่อหรือข้อมูลการติดต่อเจ้าหน้าที่ผู้รับผิดชอบหรือ (ถ้ามี) เจ้าหน้าที่คุ้มครอง ข้อมูล (Data Protection Officer) (c) ผลที่อาจจะเกิดขึ้นจากการที่ข้อมูลรั่วไหล (d) มาตรการที่เสนอแนะให้เจ้าของข้อมูลกระทำเพื่อรับมือกับกรณีดังกล่าวที่ อาจจะลดผลร้ายที่อาจเกิดจากการที่ข้อมูลรั่วไหลได้ ผู้ควบคุมข้อมูลดำเนินการหาสาเหตุและมาตรการเยียวยา รวมถึงติดตามผลการดำเนินงานการแก้ไขปัญหาการรั่วไหลของข้อมูล
8) สร้างความตระหนักในองค์กร	ประกาศของบริษัทแจ้งพนักงาน ให้ความรู้กับพนักงานภายในองค์กรเกี่ยวกับข้อกฎหมาย ความสำคัญของ PDPA ความเสี่ยงที่อาจจะเกิดขึ้น และโทษสูงสุด
9) พัฒนาทักษะ และการตรวจประเมิน	กำหนดแนวทางการตรวจประเมิน พัฒนาทักษะในการตรวจประเมิน
10) PDPA by design และ Security by design	PDPA by design Security by design

ผู้เกี่ยวข้อง และบทบาทหลัก

Action Plan

---

ตัวอย่าง PDPA Data

ประเภทข้อมูล	ตัวอย่างข้อมูลส่วนบุคคล
รายละเอียดส่วนบุคคล	ชื่อ, ชื่อกลาง, นามสกุล ชื่อเล่น, นามแฝง วันเดือนปีเกิด เพศ อายุ การศึกษา สถานภาพสมรส สัญชาติ (มาตรา 26) เชื้อชาติ (มาตรา 26)
รายละเอียดการติดต่อ	หมายเลขโทรศัพท์ ที่อยู่ติดต่อทางไปรษณีย์ ที่อยู่อิเล็กทรอนิกส์ หมายเลขโทรสาร บัญชี Facebook, LINE เป็นต้น
รายละเอียดที่ใช้ในการระบุตัวตน และการยืนยันตัวตน	ภาพถ่ายบัตรประจำตัวประชาชน เลขประจำตัวประชาชน ลายมือชื่อ ข้อมูล passport ใบอนุญาตขับยานพาหนะ
รายละเอียดการทำงาน	อาชีพ รายละเอียดเกี่ยวกับบริษัทนายจ้าง ตำแหน่ง เงินเดือน ค่าตอบแทน
ข้อมูลการวิจัยตลาด ข้อมูลการตลาดและยอดขาย	การสำรวจความคิดเห็นลูกค้า ข้อมูลและความเห็นที่แสดงออกเมื่อเข้าร่วมวิจัยตลาด รายละเอียดบริการที่ลูกค้าได้รับและความต้องการของลูกค้า
ข้อมูลส่วนบุคคลอ่อนไหว (มาตรา 26)	เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใด ซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการประกาศกำหนด
ข้อมูลเกี่ยวกับการรักษาความปลอดภัย	รูปภาพ ลักษณะรูปพรรณสัณฐานบุคคล การตรวจพบข้อสงสัยหรือกิจกรรมที่ผิดปกติ ภาพถ่ายหรือภาพเคลื่อนไหวผ่านกล้องโทรทัศน์วงจรปิด บันทึกวีดีโอ
ข้อมูลทางภูมิศาสตร์และข้อมูลเกี่ยวกับพฤติกรรม	ตำแหน่ง GPS ของลูกค้า พฤติกรรมการชับยานพาหนะของลูกค้า

---

ข้อมูลอ่อนไหว มาตรา 26 ต้องขอความยินยอม

---

Overview and Action Plan

ที่มาการเก็บข้อมูลส่วนบุคคล

นิยาม

ผู้ที่เกี่ยวข้อง

พนักงานไม่ใช่....

แบบฟอร์มที่เกี่ยวข้อง(อย่างน้อย)

มาตรา5 ขอบเขตบังคับใช้#1

มาตรา5 ขอบเขตบังคับใช้#2

สำรวจข้อมูลในแต่ละฝ่าย

ผู้สมัครงาน และ พนักงาน

มาตรา 25 การติดต่อครั้งแรก

การติดต่อครั้งแรก

---

consent 1 [คลิก]

consent 2 [คลิก]

---

DPA Concept [คลิก]

แนวทางการจัดทำ DPA [คลิก]

ตัวอย่าง DGA ข้อตกลงแบ่งปันข้อมูล (MS Word) [คลิก]

---

Cyber Security Assessment

Links เอกสารเพิ่มเติม

กฎหมายดิจิตอลมีทั้งหมด 10 ฉบับ

• 1. พ.ร.บ. กรรมการดิจิตอลเพื่อเศรษฐกิจฯ
• 2. พ.ร.บ. ปรับปรุงกระทรวง เพื่อเศรษฐกิจฯ
• 3. พ.ร.บ. ธุรกรรมทางอิเล็กทรอนิกส์ Link 2544 ฉบับ 1 ฉบับ 2 ,ฉบับ 3 , ฉบับ 4
• 4. พ.ร.บ. กระทำความผิดเกี่ยวกับคอมพิวเตอร์ Link 2550 , Link 2560
• 5. พ.ร.บ. รักษาความมั่นคงปลอดภัยไซเบอร์ Link
• 6. พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล Link 2562
• 7. พ.ร.บ. ส่งเสริมเศรษฐกิจดิจิตอล
• 8. พ.ร.บ. กองทุนพัฒนาดิจิตอลเพื่อเศรษฐกิจฯ
• 9. พ.ร.บ. องค์กรจัดสรรคลื่นความถี่และกำกับการประกอบกิจการฯ
• 10. พ.ร.ฎ. จัดตั้งสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน)
• ร่างพระราชบัญญัติ การพิสูจน์และยืนยันตัวตนทางดิจิทัล

EDTA Link กฎหมายดิจิตอล

# เทคนิคการอ่านกฎหมาย (ข้อมูลในเว็บมีลิขสิทธิ์)
โดย นายมานิตย์ จิตต์จันทร์กลับ
อดีต อธิบดี ผู้พิพากษาศาลอาญากรุงเทพใต้
# ประมวลรัษฎากร มาตรา 105 ใบรับ ใบกำกับภาษี
# ประกาศกระทรวงมหาดไทย สัญญาจะซื้อจะขายห้องชุด

---

ไปที่ สารบัญ [คลิก]