พรบ. คุ้มครองข้อมูลส่วนบุคคล 2562 ... ·...
Post on 28-Dec-2019
12 Views
Preview:
TRANSCRIPT
พรบ. คมครองขอมลสวนบคคล 2562 : หลกการ แนวปฎบต และ ประเดนทางกฎหมาย
ส าหรบงานสมมนาผบรหารระดบสง สมาคมประกนวนาศภยไทย
โดย
รศ. คณาธป ทองรววงศ
Overview of Thai Digital laws 2019
• พระราชบญญตการกระท าความผดเกยวกบคอมพวเตอร พ.ศ. 2560
• Computer Crime Act 2560 (2017)
• พระราชบญญตการรกษาความมนคงปลอดภยไซเบอร พ.ศ. 2562 • Cyber Security Act 2562 (2019)
• พระราชบญญตคมครองขอมลสวนบคคล พ.ศ. 2562 • Personal Data Protection Act 2562 (2019)
รศ คณาธป ทองรววงศ kanathip@yahoo.com
Information technology environment
รศ คณาธป ทองรววงศ kanathip@yahoo.com
Big data
QR
Blockchain Biometric
AI
Cash V Cashless
Goods
service
cash Bank v financial sector
Criminal
Government App developer
Auditor
IT securities
รศ คณาธป ทองรววงศ kanathip@yahoo.com
Data subject
เจาของขอมล
Hacker ผควบคมขอมล
Data controller
รศ คณาธป ทองรววงศ ส าหรบการอบรมภายในบรษเมองไทยประกนชวต kanathip@yahoo.com
ผประมวลขอมล Data processor
Personal data leak : Pattern V Character
1 ภยคกคามขอมลสวนบคคลโดยวธการทางคอมพวเตอร (กฎหมายทเกยวของ ?)
2 ภยคกคามขอมลสวนบคคลโดยวธการอน (Physical , non –technical means)
(กฎหมายทเกยวของ ?) 3. ภยคกคามขอมลสวนบคคลโดยไมเจตนา (negligence , technical error , system error , natural disaster) (กฎหมายทเกยวของ ?)
รศ คณาธป ทองรววงศ kanathip@yahoo.com
กรณศกษาขอมลรวไหลในตางประเทศ
• UK: B Airways / 2018
• Singapore : May 1, 2015, and July 4, 2018.
• 1.5 million patients , including Prime Minister Lee Hsien Loong
• the Philippine Commission on the Elections (Comelec) in April 2016
รศ คณาธป ทองรววงศ ส าหรบการอบรมภายในบรษเมองไทยประกนชวต kanathip@yahoo.com
ตวอยางขอความแจงเตอนการรวไหล /2018
• “….We took steps immediately when the incident occurred and we are confident that exposures identified related to customer data have been closed off….”
รศ คณาธป ทองรววงศ ส าหรบการอบรมภายในบรษเมองไทยประกนชวต kanathip@yahoo.com
หนาทผควบคมขอมล ( พรบ ขอมลฯ มาตรา 37)
• (1) จดใหมมาตรการรกษาความมนคงปลอดภยทเหมาะสม เพอปองกนการ
สญหาย เขาถง ใช เปลยนแปลง แกไข หรอเปดเผยขอมลสวนบคคลโดยปราศจากอ านาจหรอโดยมชอบ
• (4) แจงเหตการณละเมดขอมลสวนบคคล...โดยไมชกชาภายในเจดสบสองชวโมงนบแตทราบเหตเทาทจะสามารถกระท าได .....ในกรณทการละเมดมความเสยงสงทจะมผลกระทบตอสทธและเสรภาพของบคคล ใหแจงเหตการละเมดใหเจาของขอมลสวนบคคลทราบพรอมกบแนวทางการเยยวยาโดยไมชกชา
รศ คณาธป ทองรววงศ ส าหรบการอบรมภายในบรษเมองไทย
ประกนชวต kanathip@yahoo.com
กรณศกษาในองกฤษ
• The British Pregnancy Advisory Service (BPAS)
• แฮกเกอรเขาถง ขอมลลกคา + จะไปแจงเหตและแจงลกคา
• แฮกเกอรถกจบและจ าคก ตาม กฎหมายความผดคอมพวเตอรขององกฤษ
• BPAS ถกปรบ (200,000 ponds) ??
รศ คณาธป ทองรววงศ ส าหรบการอบรมภายในบรษเมองไทย
ประกนชวต kanathip@yahoo.com
กรณศกษาขอมลรวไหลในลกษณะอปกรณทางกายภาพ
• Computer of employee was stolen
• Thumb drive / Flash drive stolen / lost
• Document / paper stolen / lost
รศ คณาธป ทองรววงศ ส าหรบการอบรมภายในบรษเมองไทยประกนชวต kanathip@yahoo.com
กรณศกษาการสงขอมลผดพลาด
• Employee send email (sensitive data of customer) to wrong address
• reported within 72 hours
• Still be fined 100 000 pounds
(Hertfordshire case : UK)
รศ คณาธป ทองรววงศ ส าหรบการอบรมภายในบรษเมองไทยประกนชวต kanathip@yahoo.com
กรณขอมลรวไหลเกยวกบบรษทประกนชวต
• เหตการณ : Blue Cross is notifying 16,762 patients -
- about 1 percent of its members -- that their data was exposed online …. due to an employee uploading a number file online.
• ขอมลสวนบคลทไดรบผลกระทบคอ ..........names, dates of
birth, diagnosis codes, provider details and information used for claim processing purposes.
รศ คณาธป ทองรววงศ ส าหรบการอบรมภายในบรษเมองไทยประกนชวต kanathip@yahoo.com
หนาท ตาม พรบ ขอมลสวนบคคล
ความปลอดภยของขอมล จากภยคกคาม
• มาตรา 37 (1) • มาตรการทางเทคนค
• มาตรการทางองคกร
• แจงเหตเมอเกดภยคกคาม
• มาตรการจดการความสมพนธกบบคคลท 3 • ขอมลคอมพวเตอรและขอมลรปแบบอน
การเกบ ใช ประโยชนจากขอมล
• เหตแหงการเกบ ใช เปดเผย • ขอยกเวน
• ยนยอม
• ปฎบตตามกฎหมาย
• ปฎบตตามสญญา
รศ คณาธป ทองรววงศ kanathip@yahoo.com
หนาทรกษาความปลอดภยขอมล การรวไหลหรอลวงละเมดโดยภยคกคามทางคอมพวเตอร
: พรบ คอมพวเตอร
•มาตรา 5-11
Hack
/technical
•มาตรา 14-16 Content based crime
รศ คณาธป ทองรววงศ kanathip@yahoo.com
พรบ คอมพวเตอร กบ การลวงละเมดขอมลสวนบคคล
กอน 2550
• การใชงาน เชงเนอหา
• การโจรกรรมขอมล
• ค าพพากษาฎกา 5161/2547
• กฎหมายอน เชน พรบ ความลบทางการคา • ฎกาท 937/2549 สงเมลออกไป (รายชอลกคา)
2550-2560 / 2560...........
• การใชงานเชงเนอหา
• การโจรกรรมขอมล
• การปรบใช พรบ คอมพวเตอรกบการลวงละเมดขอมล
รศ คณาธป ทองรววงศ kanathip@yahoo.com
• มาตรา 5 ผใดเขาถงโดยมชอบซงระบบคอมพวเตอรทมมาตรการปองกนการเขาถงโดยเฉพาะและมาตรการนนมไดมไวส าหรบตน ตองระวางโทษจ าคกไมเกนหกเดอน หรอปรบไมเกนหนงหมนบาท หรอทงจ าทงปรบ
• มาตรา 7 ผใดเขาถงโดยมชอบซงขอมลคอมพวเตอรทมมาตรการปองกนการเขาถงโดยเฉพาะและมาตรการนนมไดมไวส าหรบตน ตองระวางโทษจ าคกไมเกนสองปหรอปรบไมเกนสหมนบาทหรอทงจ าทงปรบ
• มาตรา 6 ผใดลวงรมาตรการปองกนการเขาถงระบบคอมพวเตอรทผ อนจดท าขนเปนการเฉพาะถาน ามาตรการดงกลาวไปเปดเผยโดยมชอบในประการทนาจะเกดความเสยหายแกผ อน ตองระวางโทษจ าคกไมเกนหนงป หรอปรบไมเกนสองหมนบาท หรอทงจ าทงปรบ
รศ คณาธป ทองรววงศ kanathip@yahoo.com
IT Policy : ความสมพนธ กบ พรบคอม ฯ และ พรบ ขอมลสวนบคคล
IT Policy เนอหา คอ ? กฎหมายบงคบ ?
Social media Policy เนอหา คอ ? กฎหมายบงคบ ?
Privacy Policy เนอหาคอ ? กฎหมายบงคบ?
รศ คณาธป ทองรววงศ kanathip@yahoo.com
ค าพพากษาศาลฎกาท 4155 - 4157/2560
โจทกท 2 และโจทกท 3 แจงรหสผานของตนใหโจทกท 1 แลวโจทกท 1 ใชรหสผานนนบนทกเวลาเขาท างานแทนโจทกท 2 และโจทกท 3 ในโปรแกรม Hris ของจ าเลยซงเปนระบบออนไลน ขอมลทบนทกถกเกบรวมกนไวทงประเทศ จ าเลยออกมาตรฐานความปลอดภยระบบสารสนเทศแจงใหลกจางถอปฏบตอยางเครงครด โดยก าหนดระดบชนความลบของรหสผานและระบวา ตองไมเปดเผยรหสผานแกผ อน สมาชกครอบครว หรอเพอนรวมงาน การกระท าของโจทกทงสามจงเปนการฝาฝนขอบงคบเกยวกบการท างาน ระเบยบ หรอค าสงของจ าเลยอนชอบดวยกฎหมายและเปนธรรมในกรณรายแรง
รศ คณาธป ทองรววงศ kanathip@yahoo.com
การดกรบขอมล (Interception) มาตรา 8
• ผใดกระท าดวยประการใดโดยมชอบดวยวธการทางอเลกทรอนกสเพอดกรบไวซงขอมลคอมพวเตอรของผ อนทอยระหวางการสงในระบบคอมพวเตอร และขอมลคอมพวเตอรนนมไดมไวเพอประโยชนสาธารณะหรอเพอใหบคคลทวไปใชประโยชนไดตองระวางโทษจ าคกไมเกนสามป หรอปรบไมเกนหกหมนบาท หรอทงจ าทงปรบ
รศ คณาธป ทองรววงศ kanathip@yahoo.com
การวเคราะหหนาท พรบ ขอมล และ พรบ คอมพวเตอร เมอเกดภยคกคาม ตามมาตรา 5/7/8
Cyber attack
พรบ คอม มาตรา 5/7/8
Audit requirement ?
( Personal data protection Act)
Audit requirement (Cyber security Act )
Audit requirement ( Computer Crime Act)
Q : Personal data ?
มาตรา 9
• ผใดท าใหเสยหาย ท าลาย แกไข เปลยนแปลง หรอเพมเตมไมวาทงหมดหรอบางสวน ซงขอมลคอมพวเตอรของผ อนโดยมชอบ ตองระวางโทษจ าคกไมเกนหาป หรอปรบไมเกนหนงแสนบาท หรอทงจ าทงปรบ
• มาตรา 9 วตถประสงคและขอบเขตกฎหมาย
• พฤตกรรมใด ?
รศ คณาธป ทองรววงศ kanathip@yahoo.com
มาตรา 10
• ผใดกระท าดวยประการใดโดยมชอบ เพอใหการท างานของระบบคอมพวเตอรของผ อนถกระงบ ชะลอ ขดขวาง หรอรบกวนจนไมสามารถท างานตามปกตไดตองระวางโทษจ าคกไมเกนหาป หรอปรบไมเกนหนงแสนบาท หรอทงจ าทงปรบ
• Cyber attack , DDOS เกยวของกบความรบผดตาม พรบ ขอมลสวนบคคล ?
รศ คณาธป ทองรววงศ kanathip@yahoo.com
การวเคราะหหนาท พรบ ขอมล และ พรบ คอมพวเตอร เมอเกดภยคกคาม ตามมาตรา 9/10
Cyber attack
พรบ คอม มาตรา 9/10
Audit requirement ?
( Personal data protection Act)
Audit requirement (Cyber security Act )
Audit requirement ( Computer Crime Act)
Q : Personal data ?
Spam
การไดขอมลมา
การประมวลผล
การตดตอ
พรบ. คอมพวเตอร Opt out
พรบ ขอมลสวนบคคล
รศ คณาธป ทองรววงศ kanathip@yahoo.com
พรบ คอมพวเตอร มาตรา 11
• ผใดสงขอมลคอมพวเตอรหรอจดหมายอเลกทรอนกสแกบคคลอนโดยปกปดหรอปลอมแปลงแหลงทมาของการสงขอมลดงกลาว อนเปนการรบกวนการใชระบบคอมพวเตอรของบคคลอนโดยปกตสข ตองระวางโทษปรบไมเกนหนงแสนบาท
• ผใดสงขอมลคอมพวเตอรหรอจดหมายอเลกทรอนกสแกบคคลอนอนมลกษณะเปนการกอใหเกดความเดอดรอนร าคาญแกผ รบขอมลคอมพวเตอรหรอจดหมายอเลกทรอนกส โดยไมเปดโอกาสใหผ รบสามารถบอกเลกหรอแจงความประสงคเพอปฏเสธการตอบรบไดโดยงาย ตองระวางโทษปรบไมเกนสองแสนบาท
• พรบ ขอมลสวนบคคล การสงสแปมเปนการ กระท าอยางไรตอขอมลสวนบคคล ??
รศ คณาธป ทองรววงศ kanathip@yahoo.com
พรบ ขอมลสวนบคคล มาตรา 32
• มาตรา 32 เจาของขอมลสวนบคคลมสทธคดคานการเกบรวบรวม ใช หรอเปดเผยขอมลสวนบคคลทเกยวกบตนเมอใดกได
• .......................... • (2) กรณทเปนการเกบรวบรวม ใช หรอเปดเผยขอมลสวนบคคลเพอ
วตถประสงคเกยวกบการตลาดแบบตรง
• ในกรณทเจาของขอมลสวนบคคลใชสทธคดคานตามวรรคหนง ผควบคมขอมลสวนบคคลไมสามารถเกบรวบรวม ใช หรอเปดเผยขอมลสวนบคคลนนตอไปได ทงน ผควบคมขอมลสวนบคคลตองปฏบตโดยแยกสวนออกจากขอมลอนอยางชดเจนในทนทเมอเจาของขอมลสวนบคคลไดแจงการคดคานใหผควบคมขอมลสวนบคคลทราบ
รศ คณาธป ทองรววงศ kanathip@yahoo.com
การตดตอทางธรกจกบ “Spam”
พรบ คอมพวเตอร
• ก าหนดหลกการเกยวกบ Opt out
• เมอ Opt out แลวหามตดตอ
• ตองท าอยางไรกบ “ขอมล” ?
• ก าหนดหลกการเกยวกบการประมวลขอมล
วเคราะห เพอท ำกำรสง ?
• Profiling / analytics
พรบ ขอมลสวนบคคล
ตองระบไวใน Message / Mail ?
เมอใชสทธคดคาน ใหยตการใช และ แยกสวน
รศ คณาธป ทองรววงศ kanathip@yahoo.com
Phishing V personal data leak: มาตรา 14 ทแกไข 2560
• ผใดกระท าความผดทระบไวดงตอไปน ตองระวางโทษจ าคกไมเกนหาปหรอปรบไมเกนหนงแสนบาท หรอทงจ าทงปรบ
• (1) โดยทจรต หรอโดยหลอกลวง น าเขาสระบบคอมพวเตอรซงขอมลคอมพวเตอรทบดเบอนหรอปลอมไมวาทงหมดหรอบางสวน หรอขอมลคอมพวเตอรอนเปนเทจ โดยประการทนาจะเกดความเสยหายแกประชาชน อนมใชการกระท าความผดฐานหมนประมาทตามประมวลกฎหมายอาญา
• (2) น าเขาสระบบคอมพวเตอรซงขอมลคอมพวเตอรอนเปนเทจ โดยประการทนาจะเกดความเสยหายตอการรกษาความมนคงปลอดภยของประเทศ ความปลอดภยสาธารณะ ความมนคงในทางเศรษฐกจของประเทศ หรอโครงสรางพนฐานอนเปนประโยชนสาธารณะของประเทศ หรอกอใหเกดความตนตระหนกแกประชาชน
รศ คณาธป ทองรววงศ kanathip@yahoo.com
Phishing
พรบ คอมพวเตอร
• ก าหนดใหผใดรบผด
• ก าหนดมาตรการความปลอดภย ?
พรบ ขอมลสวนบคคล
• ก าหนดใหผใดรบผด
• ก าหนดมาตรการความปลอดภย ?
รศ คณาธป ทองรววงศ kanathip@yahoo.com
หลกทวไปของกฎหมายขอมลสวนบคคล
• มาตรา 3 หลกทวไป กฎหมายขอมล เปนกฎหมายกลาง
• ไมยกเลกกฎหมายอน
• กฎหมายเฉพาะอนๆ กอนหนา พรบ ขอมลสวนบคคลคออะไร
• และยงใชไดแคไหน เพยงไร
รศ คณาธป ทองรววงศ kanathip@yahoo.com
ขอบเขตดนแดน (Territorial scope)
• มาตรา 5 พระราชบญญตนใหใชบงคบแกการเกบรวบรวม ใช หรอเปดเผยขอมลสวนบคคลโดยผควบคมขอมลสวนบคคลหรอผประมวลผลขอมลสวนบคคลซงอยในราชอาณาจกร ไมวาการเกบรวบรวม ใช หรอเปดเผยนน ไดกระท าในหรอนอกราชอาณาจกรกตาม
• ในกรณทผควบคมขอมลสวนบคคลหรอผประมวลผลขอมลสวนบคคลอยนอกราชอาณาจกร พระราชบญญตนใหใชบงคบแกการเกบรวบรวม ใช หรอเปดเผยขอมลสวนบคคลของเจาของขอมลสวนบคคลซงอยในราชอาณาจกรโดยการด าเนนกจกรรมของผควบคมขอมลสวนบคคลหรอผประมวลผลขอมลสวนบคคลดงกลาว เมอเปนกจกรรม ดงตอไปน
• (1) การเสนอสนคาหรอบรการใหแกเจาของขอมลสวนบคคลซงอยในราชอาณาจกร ไมวาจะมการช าระเงนของเจาของขอมลสวนบคคลหรอไมกตาม
• (2) การเฝาตดตามพฤตกรรมของเจาของขอมลสวนบคคลทเกดขนในราชอาณาจกร
รศ คณาธป ทองรววงศ kanathip@yahoo.com
กฎหมายขอมล ไมใชกบ หนวยงานหรอการกระท าบางอยาง GDPR Art.2(2)-(3) ,
• any activity performed by a natural person in the course of a purely personal or household activity;
• any processing by the EU itself
• any activities performed by national authorities for the purposes of prevention, investigation, detection or prosecution of criminal offences, or performance of judicial functions.
• เปรยบเทยบ กฎหมายไทย มาตรา 4
รศ คณาธป ทองรววงศ kanathip@yahoo.com
ขอยกเวนหลก
• มาตรา 4 พระราชบญญตนไมใชบงคบแก
• (1) การเกบรวบรวม ใช หรอเปดเผยขอมลสวนบคคลของบคคลทท าการเกบรวบรวมขอมลสวนบคคลเพอประโยชนสวนตนหรอเพอกจกรรมในครอบครวของบคคลนนเทานน
• (2) การด าเนนการของหนวยงานของรฐทมหนาทในการรกษาความมนคงของรฐ ซงรวมถงความมนคงทางการคลงของรฐ หรอการรกษาความปลอดภยของประชาชน รวมทงหนาทเกยวกบการปองกนและปราบปรามการฟอกเงน นตวทยาศาสตร หรอการรกษาความมนคงปลอดภยไซเบอร
• (3) บคคลหรอนตบคคลซงใชหรอเปดเผยขอมลสวนบคคลทท าการเกบรวบรวมไวเฉพาะเพอกจการสอมวลชน งานศลปกรรม หรองานวรรณกรรมอนเปนไปตามจรยธรรมแหงการประกอบวชาชพหรอเปนประโยชนสาธารณะเทานน
รศ คณาธป ทองรววงศ kanathip@yahoo.com
• (4) สภาผแทนราษฎร วฒสภา และรฐสภา รวมถงคณะกรรมาธการทแตงตงโดยสภาดงกลาว ซงเกบรวบรวม ใช หรอเปดเผยขอมลสวนบคคลในการพจารณาตามหนาทและอ านาจของสภาผแทนราษฎร วฒสภา รฐสภา หรอคณะกรรมาธการ แลวแตกรณ
• (5) การพจารณาพพากษาคดของศาลและการด าเนนงานของเจาหนาทในกระบวนการพจารณาคด การบงคบคด และการวางทรพย รวมทงการด าเนนงานตามกระบวนการยตธรรมทางอาญา
• (6) การด าเนนการกบขอมลของบรษทขอมลเครดตและสมาชกตามกฎหมายวาดวยการประกอบธรกจขอมลเครดต
รศ คณาธป ทองรววงศ kanathip@yahoo.com
Definition of ขอมลสวนบคคล (Personal Data)
• กฎหมายไทย มาตรา 3 • Personal data" means any information relating to
an identified or identifiable natural person ("data subject") not included death person
• Trade secret ?
• Juristic person?
• Data about “things” ขอมลเกยวกบสงของ
รศ คณาธป ทองรววงศ kanathip@yahoo.com
GDPR
• "Personal data" means any information relating to an identified or identifiable natural person ("data subject"); an identifiable person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that person
รศ คณาธป ทองรววงศ kanathip@yahoo.com
• expanded:
• IP addresses, application user IDs, Global Positioning System (GPS) data, cookies, media access control (MAC) addresses, unique mobile device identifiers (UDID), and International Mobile Equipment IDs (IMEI) are some examples.
รศ คณาธป ทองรววงศ kanathip@yahoo.com
• มาตรา 6 ในพระราชบญญตน
• “ขอมลสวนบคคล” หมายความวา ขอมลเกยวกบบคคลซงท าใหสามารถระบตวบคคลนนไดไมวาทางตรงหรอทางออม แตไมรวมถงขอมลของผถงแกกรรมโดยเฉพาะ
รศ คณาธป ทองรววงศ kanathip@yahoo.com
Example
• Ex. Digital map
• Ex. key-coded data
--clinical investigators (healthcare professionals)
-- pharmaceutical companies
รศ คณาธป ทองรววงศ kanathip@yahoo.com
ผควบคมขอมล : Data Controller : GDPR
• Art.4(7)
• "Controller" means the natural or legal person, public authority, agency or any other body which alone or jointly with others determines the purposes and means of the processing of personal data
รศ คณาธป ทองรววงศ kanathip@yahoo.com
Data controller V Data processor Art.4(8) GDPR
• "Processor" means a natural or legal person, public authority, agency or any other body which processes personal data on behalf of the controller.
รศ คณาธป ทองรววงศ kanathip@yahoo.com
นยามตามมาตรา 6
• “ผควบคมขอมลสวนบคคล” หมายความวา บคคลหรอนตบคคลซงมอ านาจหนาทตดสนใจเกยวกบการเกบรวบรวม ใช หรอเปดเผยขอมลสวนบคคล
• “ผประมวลผลขอมลสวนบคคล” หมายความวา บคคลหรอนตบคคลซงด าเนนการเกยวกบการเกบรวบรวม ใช หรอเปดเผยขอมลสวนบคคลตามค าสงหรอในนามของผควบคมขอมลสวนบคคล ทงน บคคลหรอนตบคคลซงด าเนนการดงกลาวไมเปนผควบคมขอมลสวนบคคล
รศ คณาธป ทองรววงศ kanathip@yahoo.com
มาตรา 37 ผควบคมขอมลสวนบคคลมหนาท ดงตอไปน
• (1) จดใหมมาตรการรกษาความมนคงปลอดภยทเหมาะสม เพอปองกนการสญหาย เขาถง ใช เปลยนแปลง แกไข หรอเปดเผยขอมลสวนบคคลโดยปราศจากอ านาจหรอโดยมชอบ และตองทบทวนมาตรการดงกลาวเมอมความจ าเปนหรอเมอเทคโนโลยเปลยนแปลงไปเพอใหมประสทธภาพในการรกษาความมนคงปลอดภยทเหมาะสม ทงน ใหเปนไปตามมาตรฐานขนต าทคณะกรรมการประกาศก าหนด
รศ คณาธป ทองรววงศ kanathip@yahoo.com
• มาตรา 40 ผประมวลผลขอมลสวนบคคลมหนาท ดงตอไปน • (1) ด าเนนการเกยวกบการเกบรวบรวม ใช หรอเปดเผยขอมลสวนบคคลตามค าสงทไดรบจากผควบคมขอมลสวนบคคลเทานน เวนแตค าสงนนขดตอกฎหมายหรอบทบญญตในการคมครองขอมลสวนบคคลตามพระราชบญญตน
• (2) จดใหมมาตรการรกษาความมนคงปลอดภยทเหมาะสม เพอปองกนการสญหาย เขาถง ใช เปลยนแปลง แกไข หรอเปดเผยขอมลสวนบคคลโดยปราศจากอ านาจหรอโดยมชอบ รวมทงแจงใหผควบคมขอมลสวนบคคลทราบถงเหตการละเมดขอมลสวนบคคลทเกดขน
รศ คณาธป ทองรววงศ kanathip@yahoo.com
• ประเดนเกยวกบ Controller V Processor
• “alone or jointly with others”
• multiple actors interact in the processing of personal data.
• Cloud computing service
รศ คณาธป ทองรววงศ kanathip@yahoo.com
Data sharing : employee and health care
Hospital
employee
Employer
Insurance
รศ คณาธป ทองรววงศ kanathip@yahoo.com
หนาทผควบคมตามมาตรา 37 (2) • ในกรณทตองใหขอมลสวนบคคลแกบคคลหรอนตบคคลอนทไมใชผควบคม
ขอมลสวนบคคลตองด าเนนการเพอปองกนมใหผนนใชหรอเปดเผยขอมลสวนบคคลโดยปราศจากอ านาจหรอโดยมชอบ
• มาตรการทางสญญา
• Data sharing agreement
• C2C
• C2P • จ าเปนตองใสเงอนไข ตาม พรบ ขอมลฯ กบ Supplier / Vendor ??
รศ คณาธป ทองรววงศ kanathip@yahoo.com
Data controller
• เชงปรมาณ Quantity of data ?
• เชงขนาด Size of data controller ?
รศ คณาธป ทองรววงศ kanathip@yahoo.com
หนาทตาม พรบ ขอมล
•มาตรา 37
•มาตรา 40
Data security / Data
protection
•มาตรา 19-28
Lawful basis
for using
รศ คณาธป ทองรววงศ kanathip@yahoo.com
Info. Collection
• Information Collection
• มาตรา 19 24
Info. Processing
• Information Processing / Use / Analyze
• มาตรา 27
Info. Dissemination
• Information Dissemination / Disclose
• มาตรา 27-28 -29
ขนตอนพฤตกรรมท พรบ ขอมลสวนบคคล หาม
รศ คณาธป ทองรววงศ kanathip@yahoo.com
• มาตรา 19 ผควบคมขอมลสวนบคคลจะกระท าการเกบรวบรวม ใช หรอเปดเผยขอมลสวนบคคลไมไดหากเจาของขอมลสวนบคคลไมไดใหความยนยอมไวกอนหรอในขณะนน เวนแตบทบญญตแหงพระราชบญญตนหรอกฎหมายอนบญญตใหกระท าได
• มาตรา 24 หามมใหผควบคมขอมลสวนบคคลท าการเกบรวบรวมขอมลสวนบคคลโดยไมไดรบความยนยอมจากเจาของขอมลสวนบคคล เวนแต..
• มาตรา 27 หามมใหผควบคมขอมลสวนบคคลใชหรอเปดเผยขอมลสวนบคคล โดยไมไดรบความยนยอมจากเจาของขอมลสวนบคคล เวนแต...
รศ คณาธป ทองรววงศ kanathip@yahoo.com
ขอยกเวนส าหรบการเกบ ใช เปดเผย
เกบรกษา
ยนยอม ปฎบตตามสญญาหรอกฎหมายอน
ใช เปดเผย
ยนยอม ปฎบตตามสญญาหรอกฎหมายอน
เกบรวบรวม
ยนยอม ปฎบตตามสญญาหรอกฎหมายอน
รศ คณาธป ทองรววงศ kanathip@yahoo.com
Lawful grounds for data processing :
• data subject has given consent to the processing of his or her personal data for one or more specific purposes;
• processing is necessary for the performance of a
contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract;
• processing is necessary for compliance with a
legal obligation to which the controller is subject;
รศ คณาธป ทองรววงศ kanathip@yahoo.com
การสงขอมลใหภาครฐ :ขอยกเวน มาตรา 4 / 24
• กฎหมายอน นอกเหนอจาก พรบ ขอมลสวนบคคล
• ก าหนดใหเกบ ใช เปดเผยขอมลสวนบคคล.
• กรณตวอยางกฎหมายภาษอากร
รศ คณาธป ทองรววงศ kanathip@yahoo.com
ขอยกเวน : กฎหมายอน / ปฎบตตามกฎหมาย
• พรบ การรกษาความมนคงไซเบอร 2562
• การสงเรยกใหสงขอมลตามมาตรา 62
• ผใหขอมลทท าโดยสจรต ไดรบความคมครอง ไมถอวาเปนการละเมดหรอผดสญญา
• มาตรา 62 วรรคทาย
รศ คณาธป ทองรววงศ kanathip@yahoo.com
หลกความยนยอม
• เปนหนงใน “lawful ground”
• เงอนไขของการ เกบ ใช เปดเผย ขอมลสวนบคคล
• องคกรอาจเลอกใช ฐานน หรอ ฐานอน ??
รศ คณาธป ทองรววงศ kanathip@yahoo.com
ความยนยอมตามกฎหมายยโรป GDPR consent
• Article 4(11) of the GDPR defines consent as:
• “any freely given, specific, informed and unambiguous indication of the data subject's wishes by which he or she, by a statement or by a clear affirmative action, signifies agreement to the processing of personal data relating to him or her.”
รศ คณาธป ทองรววงศ kanathip@yahoo.com
1 Freely given
• มาตรา 19 วรรคส
• ในการขอความยนยอมจากเจาของขอมลสวนบคคล ผควบคมขอมลสวนบคคลตองค านงอยางถงทสดในความเปนอสระของเจาของขอมลสวนบคคลในการใหความยนยอม ทงน ในการเขาท าสญญาซงรวมถงการใหบรการใด ๆ ตองไมมเงอนไขในการใหความยนยอมเพอเกบรวบรวม ใช หรอเปดเผยขอมลสวนบคคลทไมมความจ าเปนหรอเกยวของส าหรบการเขาท าสญญาซงรวมถงการใหบรการนน ๆ
รศ คณาธป ทองรววงศ kanathip@yahoo.com
ตวอยางแนวการตความของยโรป ความยนยอมทไมอสระ
• A mobile app for photo editing asks its users to have their GPS localisation activated for the use of its services.
• A public school asks students for consent to use their photographs for website display
• A bank asks customers for consent to allow third parties to use their payment details for direct marketing purposes.
รศ คณาธป ทองรววงศ kanathip@yahoo.com
2 Specific + 3 Unambiguous
• ในการขอความยนยอมจากเจาของขอมลสวนบคคล ผควบคมขอมลสวนบคคลตองแจงวตถประสงคของการเกบรวบรวม ใช หรอเปดเผยขอมลสวนบคคลไปดวย และการขอความยนยอมนนตองแยกสวนออกจากขอความอนอยางชดเจน มแบบหรอขอความทเขาถงไดงายและเขาใจได รวมทงใชภาษาทอานงาย และไมเปนการหลอกลวงหรอท าใหเจาของขอมลสวนบคคลเขาใจผดในวตถประสงคดงกลาว
รศ คณาธป ทองรววงศ kanathip@yahoo.com
แบบ วธการ ขอความยนยอม
• มาตรา 19
• การขอความยนยอมตองท าโดยชดแจง เปนหนงสอหรอท าโดยผานระบบอเลกทรอนกส เวนแตโดยสภาพไมอาจขอความยนยอมดวยวธการดงกลาวได
• ประเดนปญหาเกยวกบ ความยนยอมโดยปรยาย
(Implied consent)
รศ คณาธป ทองรววงศ kanathip@yahoo.com
4 Informed consent
• มาตรา ๒๓ ในการเกบรวบรวมขอมลสวนบคคล ผควบคมขอมลสวนบคคลจะตองแจงให
เจาของขอมลสวนบคคลทราบกอนหรอในขณะเกบรวบรวมขอมลสวนบคคลถงรายละเอยด ดงตอไปน เวนแตเจาของขอมลสวนบคคลไดทราบถงรายละเอยดนนอยแลว
• (๑) วตถประสงคของการเกบรวบรวมเพอการน าขอมลสวนบคคลไปใชหรอเปดเผยซงรวมถงวตถประสงคตามทมาตรา ๒๔ ใหอ านาจในการเกบรวบรวมไดโดยไมไดรบความยนยอมจากเจาของขอมลสวนบคคล
• (๒) แจงใหทราบถงกรณทเจาของขอมลสวนบคคลตองใหขอมลสวนบคคลเพอปฏบตตามกฎหมายหรอสญญาหรอมความจ าเปนตองใหขอมลสวนบคคลเพอเขาท าสญญา รวมทงแจงถงผลกระทบทเปนไปไดจากการไมใหขอมลสวนบคคล
รศ คณาธป ทองรววงศ kanathip@yahoo.com
• (๓) ขอมลสวนบคคลทจะมการเกบรวบรวมและระยะเวลาในการเกบรวบรวมไว ทงน ในกรณทไมสามารถก าหนดระยะเวลาดงกลาวไดชดเจน ใหก าหนดระยะเวลาทอาจคาดหมายไดตามมาตรฐานของการเกบรวบรวม
• (๔) ประเภทของบคคลหรอหนวยงานซงขอมลสวนบคคลทเกบรวบรวมอาจจะถกเปดเผย
• (๕) ขอมลเกยวกบผควบคมขอมลสวนบคคล สถานทตดตอ และวธการตดตอในกรณทมตวแทนหรอเจาหนาทคมครองขอมลสวนบคคล ใหแจงขอมล สถานทตดตอ และวธการตดตอของตวแทนหรอเจาหนาทคมครองขอมลสวนบคคลดวย
• (๖) สทธของเจาของขอมลสวนบคคลตามมาตรา ๑๙ วรรคหา มาตรา ๓๐ วรรคหนง มาตรา ๓๑ วรรคหนง มาตรา ๓๒ วรรคหนง มาตรา ๓๓ วรรคหนง มาตรา ๓๔ วรรคหนง มาตรา ๓๖ วรรคหนง และมาตรา ๗๓ วรรคหนง
รศ คณาธป ทองรววงศ kanathip@yahoo.com
ผลตอเนองของการแจงรายละเอยด ม 23
•มาตรา 23
•หนาทท าลาย ม 37 ผลในแง
ระยะเวลาจดเกบ
•ตามวตถประสงค ม.21
•โยงกบ วตถประสงค 23 ผลในแงการน าไปใช
ความยนยอมส าหรบกรณพเศษ
•กฎหมายไทยมาตรา 20
เดก
•กฎหมายไทยมาตรา 26
ขอมล
Sensitive รศ คณาธป ทองรววงศ kanathip@yahoo.com
• มาตรา 26 หามมใหเกบรวบรวมขอมลสวนบคคลเกยวกบเชอชาต เผาพนธ ความคดเหนทางการเมอง ความเชอในลทธ ศาสนาหรอปรชญา พฤตกรรมทางเพศ ประวตอาชญากรรม ขอมลสขภาพ ความพการ ขอมลสหภาพแรงงาน ขอมลพนธกรรม ขอมลชวภาพ หรอขอมลอนใดซงกระทบตอเจาของขอมลสวนบคคลในท านองเดยวกนตามทคณะกรรมการประกาศก าหนด โดยไมไดรบความยนยอมโดยชดแจงจากเจาของขอมลสวนบคคล เวนแต
รศ คณาธป ทองรววงศ kanathip@yahoo.com
เหตอนนอกจากความยนยอม : Contract
• GDPR 6(1)(b)
• “processing is necessary for the performance of a contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract”
• มาตรา 24 (3) เปนการจ าเปนเพอการปฏบตตามสญญาซงเจาของขอมลสวนบคคลเปนคสญญาหรอเพอใชในการด าเนนการตามค าขอของเจาของขอมลสวนบคคลกอนเขาท าสญญานน
รศ คณาธป ทองรววงศ kanathip@yahoo.com
Contract : UK interpretation
• you have a contract with the individual and you need to process their personal data so that they can comply with specific counter-obligations under the contract
• (processing payment details).
รศ คณาธป ทองรววงศ kanathip@yahoo.com
• data subject makes an online purchase
• a controller processes the address of the individual in order to deliver the goods.
• necessary in order to perform the contract ??
รศ คณาธป ทองรววงศ kanathip@yahoo.com
Issues
• the profiling of an individual’s interests and preferences based on items purchased
• KYC
• Analytic for Target advertising
รศ คณาธป ทองรววงศ kanathip@yahoo.com
legitimate interest
• GDPR article 6 (f)
• processing is necessary for the purposes of the legitimate interests pursued by the controller or by a third party, except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject which require protection of personal data, in particular where the data subject is a child.
Ex ?
• A bank asks customers for consent to allow third parties to use their payment details for direct marketing purposes.
• . If the customer’s refusal to consent to this processing purpose would lead to the denial of banking services, closure of the bank account, an increase of the fee,
• necessary for the performance of the contract ??
• Legitimate ?
รศ คณาธป ทองรววงศ ส าหรบการอบรมภายใน บรษทบตรกรงไทยเทานน
Legitimate Interest ตาม พรบ ขอมลสวนบคคล
• มาตรา 24 (5)
• เปนการจ าเปนเพอประโยชนโดยชอบดวยกฎหมายของผควบคมขอมลสวนบคคลหรอของบคคลหรอนตบคคลอนทไมใชผควบคมขอมลสวนบคคล เวนแตประโยชนดงกลาวมความส าคญนอยกวาสทธขนพนฐานในขอมลสวนบคคลของเจาของขอมลสวนบคคล
Recital
• •appropriate relationship between the data subject and the controller
• Ex where the data subject is a client or in the service of the controller
• direct marketing
• administrative transfers within a group of companies.
• fraud prevention
หลกความจ าเปน
• Personal data shall be adequate, relevant and not excessive in relation to the purpose or purposes for which they are processed.
• กฎหมายไทยมาตรา 22
• การเกบรวบรวมขอมลสวนบคคล ใหเกบรวบรวมไดเทาทจ าเปนภายใตวตถประสงคอนชอบดวยกฎหมายของผควบคมขอมลสวนบคคล
รศ คณาธป ทองรววงศ kanathip@yahoo.com
•GDPR : data minimization
• Art.5(1)(c)
• Personal data must be adequate, relevant and limited to what is necessary in relation to the purposes for which those data are processed.
• Minimize the amount of personal data processed
รศ คณาธป ทองรววงศ kanathip@yahoo.com
Application form : financial products
Details required by laws
• Identity
• ID
• Questionnaire
Details required by banks
• For “Analytics”
• Marketing products
• Less or more ?
รศ คณาธป ทองรววงศ kanathip@yahoo.com
เจาหนาทคมครองขอมล (DPO) : หนาท
• (1) ใหค าแนะน าแกผควบคมขอมลสวนบคคลหรอผประมวลผลขอมลสวนบคคล รวมทงลกจางหรอผ รบจางของผควบคมขอมลสวนบคคลหรอผประมวลผลขอมลสวนบคคลเกยวกบการปฏบตตามพระราชบญญตน
• (2) ตรวจสอบการด าเนนงานของผควบคมขอมลสวนบคคลหรอผประมวลผลขอมลสวนบคคล รวมทงลกจางหรอผรบจางของผควบคมขอมลสวนบคคลหรอผประมวลผลขอมลสวนบคคลเกยวกบการเกบรวบรวม ใช หรอเปดเผยขอมลสวนบคคลเพอใหเปนไปตามพระราชบญญตน
• (3) ประสานงานและใหความรวมมอกบส านกงานในกรณทมปญหาเกยวกบการเกบรวบรวม ใช หรอเปดเผยขอมลสวนบคคลของผควบคมขอมลสวนบคคลหรอผประมวลผลขอมลสวนบคคล รวมทงลกจางหรอผ รบจางของผควบคมขอมลสวนบคคลหรอผประมวลผลขอมลสวนบคคลในการปฏบตตามพระราชบญญตน
• (4) รกษาความลบของขอมลสวนบคคลทตนลวงรหรอไดมาเนองจากการปฏบตหนาทตามพระราชบญญตน
รศ คณาธป ทองรววงศ kanathip@yahoo.com
มาตรา 42
• ผควบคมขอมลสวนบคคลหรอผประมวลผลขอมลสวนบคคลจะใหเจาหนาทคมครองขอมลสวนบคคลออกจากงานหรอเลกสญญาการจางดวยเหตทเจาหนาทคมครองขอมลสวนบคคลปฏบตหนาทตามพระราชบญญตนไมได
• ในกรณทมปญหาในการปฏบตหนาท เจาหนาทคมครองขอมลสวนบคคลตองสามารถรายงานไปยงผบรหารสงสดของผควบคมขอมลสวนบคคลหรอผประมวลผลขอมลสวนบคคลโดยตรงได
รศ คณาธป ทองรววงศ kanathip@yahoo.com
เฉพาะองคกรบางประเภททตองม DPO
• มาตรา 41 • (1) ผควบคมขอมลสวนบคคลหรอผประมวลผลขอมลสวนบคคลเปนหนวยงานของ
รฐตามทคณะกรรมการประกาศก าหนด
• (2) การด าเนนกจกรรมของผควบคมขอมลสวนบคคลหรอผประมวลผลขอมลสวนบคคลในการเกบรวบรวม ใช หรอเปดเผย จ าเปนตองตรวจสอบขอมลสวนบคคลหรอระบบอยางสม าเสมอโดยเหตทมขอมลสวนบคคลเปนจ านวนมากตามทคณะกรรมการประกาศก าหนด
• (3) กจกรรมหลกของผควบคมขอมลสวนบคคลหรอผประมวลผลขอมลสวนบคคลเปนการเกบรวบรวม ใช หรอเปดเผยขอมลสวนบคคลตามมาตรา ๒๖
รศ คณาธป ทองรววงศ kanathip@yahoo.com
สงทตองปฎบตตาม พรบ ขอมลสวนบคคล
Compliance issues • สรางฐานทางกฎหมายเพอ เกบ ใช เปดเผย
• สรางระบบรองรบการใชสทธ
• รองรบความสมพนธกบ Processor
• แนวปฎบตการเกบรกษา การท าลาย การรกษาความปลอดภย
• ขอมลรปแบบอน ?
Method
• สญญา สภาพของธรกจ
• สญญา / ระบบ
• สญญา
• Policy / ระบบ
รศ คณาธป ทองรววงศ kanathip@yahoo.com
กลไกการบงคบและโทษ
โทษอาญา
บคคลธรรมดา
นตบคคล
เฉพาะการฝาฝน
26 27 28
คาเสยหายทางแพง
ผควบคมขอมล
ผประมวลขอมล
โทษปรบทางปกครอง
การฝาฝนหนาทตางๆ
1 ลาน 3 ลาน 5 ลาน
คาเสยหายทางแพง Compensation (Civil case)
• มาตรา 77 ผควบคมขอมลสวนบคคลหรอผประมวลผลขอมลสวนบคคลซงด าเนนการใด ๆ เกยวกบขอมลสวนบคคลอนเปนการฝาฝนหรอไมปฏบตตามบทบญญตแหงพระราชบญญตนท าใหเกดความเสยหายตอเจาของขอมลสวนบคคล ตองชดใชคาสนไหมทดแทนเพอการนนแกเจาของขอมลสวนบคคล ไมวาการด าเนนการนนจะเกดจากการกระท าโดยจงใจหรอประมาทเลนเลอหรอไมกตาม เวนแตผควบคมขอมลสวนบคคลหรอผประมวลผลขอมลสวนบคคลนนจะพสจนไดวา
• (1) ความเสยหายนนเกดจากเหตสดวสย หรอเกดจากการกระท าหรอละเวนการกระท าของเจาของขอมลสวนบคคลนนเอง
• (2) เปนการปฏบตตามค าสงของเจาหนาทซงปฏบตการตามหนาทและอ านาจตามกฎหมาย
• คาสนไหมทดแทนตามวรรคหนง ใหหมายความรวมถงคาใชจายทงหมดทเจาของขอมลสวนบคคลไดใชจายไปตามความจ าเปนในการปองกนความเสยหายทก าลงจะเกดขนหรอระงบความเสยหายทเกดขนแลวดวย
รศ คณาธป ทองรววงศ kanathip@yahoo.com
โทษอาญา
• มาตรา 79 ผควบคมขอมลสวนบคคลผใดฝาฝนมาตรา 27 วรรคหนงหรอวรรคสอง หรอไมปฏบตตามมาตรา 28 อนเกยวกบขอมลสวนบคคลตามมาตรา 26 โดยประการทนาจะท าใหผอนเกดความเสยหาย เสยชอเสยง ถกดหมน ถกเกลยดชง หรอไดรบความอบอาย ตองระวางโทษจ าคกไมเกนหกเดอน หรอปรบไมเกนหาแสนบาท หรอทงจ าทงปรบ
• ผควบคมขอมลสวนบคคลผใดฝาฝนมาตรา 27 วรรคหนงหรอวรรคสอง หรอไมปฏบตตามมาตรา 28 อนเกยวกบขอมลสวนบคคลตามมาตรา 26 เพอแสวงหาประโยชนทมควรไดโดยชอบดวยกฎหมายส าหรบตนเองหรอผอน ตองระวางโทษจ าคกไมเกนหนงป หรอปรบไมเกนหนงลานบาท หรอทงจ าทงปรบ
• ความผดตามมาตรานเปนความผดอนยอมความได
รศ คณาธป ทองรววงศ kanathip@yahoo.com
โทษอาญาของกรรมการ
• มาตรา 81
• ในกรณทผกระท าความผดตามพระราชบญญตนเปนนตบคคล
• ถาการกระท าความผดของนตบคคลนนเกดจากการสงการหรอการกระท าของกรรมการหรอผจดการหรอบคคลใดซงรบผดชอบในการด าเนนงานของนตบคคลนน หรอในกรณทบคคลดงกลาวมหนาทตองสงการหรอกระท าการและละเวนไมสงการหรอไมกระท าการจนเปนเหตใหนตบคคลนนกระท าความผด ผนนตองรบโทษตามทบญญตไวส าหรบความผดนน ๆ ดวย
โทษปรบทางปกครองหนงลาน
• มาตรา 82 ผควบคมขอมลสวนบคคลผใดไมปฏบตตามมาตรา 23 ...หรอไมขอความยนยอมตามมาตรา 19 วรรคสาม หรอไมแจงผลกระทบจากการถอนความยนยอมตามมาตรา 19 วรรคหก ....ระวางโทษปรบทางปกครองไมเกนหนงลานบาท
รศ คณาธป ทองรววงศ kanathip@yahoo.com
โทษปรบทางปกครองสามลาน
• มาตรา 83 ผควบคมขอมลสวนบคคลผใดฝาฝนหรอไมปฏบตตามมาตรา 21 มาตรา 22 มาตรา 24......หรอขอความยนยอมโดยการหลอกลวงหรอท าใหเจาของขอมลสวนบคคลเขาใจผดในวตถประสงค หรอไมปฏบตตามมาตรา 21 .....หรอสงหรอโอนขอมลสวนบคคลโดยไมเปนไปตามมาตรา 29 วรรคหนงหรอวรรคสาม ตองระวางโทษปรบทางปกครองไมเกนสามลานบาท
รศ คณาธป ทองรววงศ kanathip@yahoo.com
โทษปรบทางปกครองหาลาน
• มาตรา 84 ผควบคมขอมลสวนบคคลผใดฝาฝนมาตรา 26 วรรคหนงหรอวรรคสาม หรอฝาฝนมาตรา 27 วรรคหนงหรอวรรคสอง หรอมาตรา 28 อนเกยวกบขอมลสวนบคคลตามมาตรา 26 หรอสงหรอโอนขอมลสวนบคคลตามมาตรา 26 โดยไมเปนไปตามมาตรา 29 วรรคหนงหรอวรรคสาม ตองระวางโทษปรบทางปกครองไมเกนหาลานบาท
รศ คณาธป ทองรววงศ kanathip@yahoo.com
Legal requirement ?
• Privacy by design , by default ?
• PIA ?
• Do not Call registration ?
รศ คณาธป ทองรววงศ kanathip@yahoo.com
Check points : Policy preparation
IT Policy เนอหา คอ ? กฎหมายบงคบ ?
Social media Policy เนอหา คอ ? กฎหมายบงคบ ?
Data Protection Policy (Internal) กฎหมายบงคบ?
Privacy Policy เนอหาคอ ? กฎหมายบงคบ?
รศ คณาธป ทองรววงศ kanathip@yahoo.com
Check points : สญญา
• Agreement with third parties
• C2C : การแชรขอมลระหวางพนธมตร
• C2P : Outsourcing, supplier , vendor • สญญากบเจาของขอมล : แยกระหวาง ยนยอม กบ ปฎบตตามสญญา
รศ คณาธป ทองรววงศ kanathip@yahoo.com
Check points : รองรบการใชสทธ
• ระบบการรบเรองรองเรยน
• แบบฟอรมการใชสทธ ขอแกไข ขอลบ ขอส าเนา ขอคดคาน
• จากเจาของขอมล
รศ คณาธป ทองรววงศ kanathip@yahoo.com
Check points : Data breach
• ระบบความปลอดภย (Technical / non technical)
• แบบฟอรมหนงสอ Notice
• ฝายทท าการแจง
• การแจงทงตอหนวยงานรฐและตอเจาของขอมล
รศ คณาธป ทองรววงศ kanathip@yahoo.com
รศ คณาธป ทองรววงศ Kanathip thongrawewong Associate Professor of law (Data Protection and cyber crime laws) Director of Digital Media Law Institution , Kasembundit University www.thaiprivacylaw.com 088-183-4879 kanathip@yahoo.com
รศ คณาธป ทองรววงศ kanathip@yahoo.com
top related