PDPA Story

เล่าเรื่อง พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล

โดย ประยุทธ พันธุลาภ และ เมธี พันธุลาภ
ทบทวนล่าสุด : 2023-05-13

ข้อมูลในเว็บไซต์มีลิขสิทธิ์

เว็บไซต์มีลิขสิทธิ์

*****การบรรยายนี้ใช้ ข้อมูลในเว็บไซต์ภายนอกประกอบ ซึ่งมีลิขสิทธิ์*****

*****จึงต้องใช้ link url ในการนำเสนอ เพื่อไม่ทำซ้ำ*****

*****และอาจมีการกล่าวพาดพิงหน่วยงานอื่นๆ*****

*****จึงไม่อนุญาตให้อัด video เป็นหลักฐานว่า*****

*****ผู้บรรยายกำลังละเมิดลิขสิทธิ์ หรือหมิ่นประมาท*****

ประเภทข้อมูล	ตัวอย่างข้อมูลส่วนบุคคล
รายละเอียดส่วนบุคคล	ชื่อ, ชื่อกลาง, นามสกุล ชื่อเล่น, นามแฝง วันเดือนปีเกิด เพศ อายุ การศึกษา สถานภาพสมรส สัญชาติ (มาตรา 26) เชื้อชาติ (มาตรา 26)
รายละเอียดการติดต่อ	หมายเลขโทรศัพท์ ที่อยู่ติดต่อทางไปรษณีย์ ที่อยู่อิเล็กทรอนิกส์ หมายเลขโทรสาร บัญชี Facebook, LINE เป็นต้น
รายละเอียดที่ใช้ในการระบุตัวตน และการยืนยันตัวตน	ภาพถ่ายบัตรประจำตัวประชาชน เลขประจำตัวประชาชน ลายมือชื่อ ข้อมูล passport ใบอนุญาตขับยานพาหนะ
รายละเอียดการทำงาน	อาชีพ รายละเอียดเกี่ยวกับบริษัทนายจ้าง ตำแหน่ง เงินเดือน ค่าตอบแทน
ข้อมูลการวิจัยตลาด ข้อมูลการตลาดและยอดขาย	การสำรวจความคิดเห็นลูกค้า ข้อมูลและความเห็นที่แสดงออกเมื่อเข้าร่วมวิจัยตลาด รายละเอียดบริการที่ลูกค้าได้รับและความต้องการของลูกค้า
ข้อมูลส่วนบุคคลอ่อนไหว (มาตรา 26)	เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใด ซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการประกาศกำหนด
ข้อมูลเกี่ยวกับการรักษาความปลอดภัย	รูปภาพ ลักษณะรูปพรรณสัณฐานบุคคล การตรวจพบข้อสงสัยหรือกิจกรรมที่ผิดปกติ ภาพถ่ายหรือภาพเคลื่อนไหวผ่านกล้องโทรทัศน์วงจรปิด บันทึกวีดีโอ
ข้อมูลทางภูมิศาสตร์และข้อมูลเกี่ยวกับพฤติกรรม	ตำแหน่ง GPS ของลูกค้า พฤติกรรมการชับยานพาหนะของลูกค้า

ขั้นตอน	แนวทาง
1) ได้รับการสนับสนุนจากผู้บริหาร	ได้รับการสนับสนุนจากผู้บริหาร ตั้งงบประมาณ
2) แต่งตั้ง DPO หรือ คณะทำงาน	แต่งตั้ง DPO ถ้าเป็นองค์กรใหญ่ หรือ แต่งตั้งคณะทำงาน ถ้าเป็นองค์กรขนาดเล็ก
3) สำรวจข้อมูล	สำรวจข้อมูลส่วนบุคคลในทุกฝ่าย กำหนดประเภทของข้อมูลส่วนบุคคล ระบุวัตถุประสงค์ ระบุความจำเป็น
4) ทบทวน นโยบายคุ้มครองข้อมูลส่วนบุคคล	บริหารจัดการ การเข้าถึงข้อมูล life-cycle ของข้อมูล
5) จัดเตรียมข้อกำหนด หรือแนวปฏิบัติ	จัดเตรียมข้อกำหนด หรือแนวปฏิบัติ การคุ้มครองข้อมูลส่วนบุคคล
6) จัดทำมาตรฐาน security	จัดทำเอกสารมาตรฐาน security
7) พัฒนากระบวนการแจ้งเตือน (Breach Notification)	พัฒนากระบวนการแจ้งเตือน การรั่วไหลหรือละเมิดมาตรการความมั่นคงปลอดภัยต่อ ข้อมูลส่วนบุคคลมีความหมายกว้างครอบคลุมการที่ข้อมูล ถูกทำลาย การสูญหาย การแก้ไขเปลี่ยนแปลง การเปิดเผย หรือการเข้าถึง ส่งต่อ เก็บ รักษาหรือถูกประมวลผลอย่างอื่นไม่ว่าจะเกิดจากการกระทำอันมิชอบด้วยกฎหมาย หรือโดยอุบัติเหตุ แจ้งสำนักงานฯกรณีข้อมูลส่วนบุคคลรั่วไหล ภายใน 72 ชั่วโมงนับแต่ได้ทราบ เว้นแต่เหตุที่เกิดนั้นไม่น่าจะก่อให้เกิดความเสี่ยงใดๆ ต่อสิทธิและเสรีภาพของเจ้าของข้อมูล กรณีที่ไม่อาจแจ้งเหตุได้ภายใน 72 ชั่วโมง ผู้ ควบคุมจะต้องแจ้งเหตุผลแห่งการแจ้งเหตุล่าช้าด้วย ผู้ควบคุมข้อมูลมีหน้าที่แจ้งเจ้าของข้อมูลโดยไม่ชักช้า ต่อเมื่อการรั่วไหลของข้อมูลนั้นก่อให้เกิดความเสี่ยงสูงต่อสิทธิเสรีภาพของเจ้าของ ข้อมูล ในกรณีเช่นว่านี้จะต้องแจ้งให้เจ้าของข้อมูลทราบด้วยภาษาที่เข้าใจง่ายและมี ความชัดเจนและมีรายละเอียดอย่างน้อยดังต่อไปนี้ (a) คำอธิบายลักษณะของการรั่วไหลของข้อมูล (b) ชื่อหรือข้อมูลการติดต่อเจ้าหน้าที่ผู้รับผิดชอบหรือ (ถ้ามี) เจ้าหน้าที่คุ้มครอง ข้อมูล (Data Protection Officer) (c) ผลที่อาจจะเกิดขึ้นจากการที่ข้อมูลรั่วไหล (d) มาตรการที่เสนอแนะให้เจ้าของข้อมูลกระทำเพื่อรับมือกับกรณีดังกล่าวที่ อาจจะลดผลร้ายที่อาจเกิดจากการที่ข้อมูลรั่วไหลได้ ผู้ควบคุมข้อมูลดำเนินการหาสาเหตุและมาตรการเยียวยา รวมถึงติดตามผลการดำเนินงานการแก้ไขปัญหาการรั่วไหลของข้อมูล
8) สร้างความตระหนักในองค์กร	ประกาศของบริษัทแจ้งพนักงาน ให้ความรู้กับพนักงานภายในองค์กรเกี่ยวกับข้อกฎหมาย ความสำคัญของ PDPA ความเสี่ยงที่อาจจะเกิดขึ้น และโทษสูงสุด
9) พัฒนาทักษะ และการตรวจประเมิน	กำหนดแนวทางการตรวจประเมิน พัฒนาทักษะในการตรวจประเมิน
10) PDPA by design	PDPA by design Security by design

ทั่วไป	มาตรา 1 ถึง 7
หมวด 1 คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล	มาตรา 8 ถึง 18
หมวด 2 การคุ้มครองข้อมูลส่วนบุคคล	ส่วนที่ 1 บททั่วไป มาตรา 19 ถึง 21 Link, ส่วนที่ 2 การเก็บรวบรวมข้อมูลส่วนบุคคล มาตรา 22 ถึง 26 Link, ส่วนที่ 3 การใช้หรือเปิดเผยข้อมูลส่วนบุคคล มาตรา 27 ถึง 29 Link
หมวด 3 สิทธิของเจ้าของข้อมูลส่วนบุคคล	มาตรา 30 ถึง 36 Link มาตรา 37 ถึง 39 ผู้คุ้มครองข้อมูลส่วนบุคคล Link มาตรา 40 ผู้ประมวลผลข้อมูลส่วนบุคคล Link มาตรา 41 ถึง 42 เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล Link
หมวด 4 สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล	มาตรา 43 ถึง 70
หมวด 5 การร้องเรียน	มาตรา 71 ถึง 76 Link
หมวด 6 ความรับผิดทางแพ่ง	มาตรา 77 ถึง 78 Link
หมวด 7 บทกำหนดโทษ	ส่วนที่ 1 โทษอาญา มาตรา 79 ถึง 81 Link, ส่วนที่ 2 โทษทางปกครอง มาตรา 82 ถึง 90 Link
บทเฉพาะกาล	มาตรา 91 ถึง 96
หมายเหตุ	เหตุผลในการประกาศ พรบ.

Monday, January 11, 2021

เล่าเรื่อง พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล

*****ข้อมูลในเว็บไซต์มีลิขสิทธิ์*****

บังคับใช้ พรบ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) 1 มิถุนายน พ.ศ.2565

กฏหมายที่เกี่ยวข้อง

สำนักงานคุ้มครองข้อมูลส่วนบุคคล

คณะกรรมการ

กฏหมายที่เกี่ยวข้องกับ พรบ.คุ้มครองข้อมูลส่วนบุคคล 2562

เลื่อนการบังคับใช้ PDPA

ที่มาของ พรบ.คุ้มครองข้อมูลส่วนบุคคล (PDPA)

ตัวอย่าง PDPA Data

Overview and Action Plan

แนวทางการเตรียมตัว 10 ขั้นตอน

Data Breach

Links

นโยบายการคุ้มครองข้อมูลส่วนบุคคล

นโยบายการคุ้มครองข้อมูลส่วนบุคคล พนักงาน

แบบฟอร์มขอใช้สิทธิข้อมูลส่วนบุคคล

DPO

หมวด และมาตรา

แนวทางวิเคราะห์ข้อมูลส่วนบุคคลในฝ่าย HR

ตัวอย่าง เอกสารที่เกิดขึ้นต่อเนื่อง และประเด็นการใช้สิทธิของเจ้าของข้อมูล

แนวทางวิเคราะห์ข้อมูลส่วนบุคคลในระหว่างการศึกษา

ข้อมูลในเว็บไซต์มีลิขสิทธิ์