More Related Content More from Nawanan Theera-Ampornpunt (20) Case Studies on Overview of PDPA and its Subordinate Laws (September 15, 2023)5. 5
5
▪Privacy: “The ability of an individual or group to
seclude themselves or information about
themselves and thereby reveal themselves
selectively.” (Wikipedia)
▪Information Security: “Protecting information
and information systems from unauthorized
access, use, disclosure, disruption, modification,
perusal, inspection, recording or destruction”
(Wikipedia)
Security & Privacy
30. 30
30
Lawful Basis & การขัดกันของกฎหมาย
Reference: หนังสือตอบข้อหารือของคณะอนุกรรมการเฉพาะกิจตอบข้อหารือและให้คาแนะนาหน่วยงานของรัฐ
เพื่อรองรับการบังคับใช้ PDPA ในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
36. 36
36
Consent as the Last Resort
Reference: แนวทางการดาเนินการในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล พ.ศ. 2565
39. 39
39
Privacy Notice vs. Privacy Policy
Reference: หนังสือตอบข้อหารือของคณะอนุกรรมการเฉพาะกิจตอบข้อหารือและให้คาแนะนาหน่วยงานของรัฐ
เพื่อรองรับการบังคับใช้ PDPA ในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
40. 40
40
Privacy Notice vs. Privacy Policy
Reference: หนังสือตอบข้อหารือของคณะอนุกรรมการเฉพาะกิจตอบข้อหารือและให้คาแนะนาหน่วยงานของรัฐ
เพื่อรองรับการบังคับใช้ PDPA ในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
41. 41
41
Privacy Notice vs. Privacy Policy
Reference: หนังสือตอบข้อหารือของคณะอนุกรรมการเฉพาะกิจตอบข้อหารือและให้คาแนะนาหน่วยงานของรัฐ
เพื่อรองรับการบังคับใช้ PDPA ในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
42. 42
42
Privacy Notice vs. Privacy Policy
Reference: หนังสือตอบข้อหารือของคณะอนุกรรมการเฉพาะกิจตอบข้อหารือและให้คาแนะนาหน่วยงานของรัฐ
เพื่อรองรับการบังคับใช้ PDPA ในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
44. 44
44
การ “ผลักภาระ” การขอ Consent และ Privacy Notice
Reference: หนังสือตอบข้อหารือของคณะอนุกรรมการเฉพาะกิจตอบข้อหารือและให้คาแนะนาหน่วยงานของรัฐ
เพื่อรองรับการบังคับใช้ PDPA ในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
45. 45
45
การ “ผลักภาระ” การขอ Consent และ Privacy Notice
Reference: หนังสือตอบข้อหารือของคณะอนุกรรมการเฉพาะกิจตอบข้อหารือและให้คาแนะนาหน่วยงานของรัฐ
เพื่อรองรับการบังคับใช้ PDPA ในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
52. 52
52
กฎหมายลาดับรองตาม PDPA ที่ประกาศแล้ว
• ประกาศคณะกรรมการฯ เรื่อง การยกเว้นการบันทึกรายการของผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นกิจการ
ขนาดเล็ก พ.ศ. 2565
• ประกาศในราชกิจจานุเบกษาเมื่อ 20 มิ.ย. 2565 มีผลใช้บังคับตั้งแต่วันถัดจากวันประกาศฯ
• ประกาศคณะกรรมการฯ เรื่อง หลักเกณฑ์และวิธีการในการจัดทาและเก็บรักษาบันทึกรายการของ
กิจกรรมการประมวลผลข้อมูลส่วนบุคคลสาหรับผู้ประมวลผลข้อมูลส่วนบุคคล พ.ศ. 2565
• ประกาศในราชกิจจานุเบกษาเมื่อ 20 มิ.ย. 2565 มีผลใช้บังคับเพื่อพ้นกาหนด 180 วันนับแต่วัน
ประกาศฯ
• ประกาศคณะกรรมการฯ เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ.
2565
• ประกาศในราชกิจจานุเบกษาเมื่อ 20 มิ.ย. 2565 มีผลใช้บังคับตั้งแต่วันถัดจากวันประกาศฯ
• ประกาศคณะกรรมการฯ เรื่อง หลักเกณฑ์การพิจารณาออกคาสั่งลงโทษปรับทางปกครองของ
คณะกรรมการผู้เชี่ยวชาญ พ.ศ. 2565
• ประกาศในราชกิจจานุเบกษาเมื่อ 20 มิ.ย. 2565 มีผลใช้บังคับตั้งแต่วันถัดจากวันประกาศฯ
53. 53
53
กฎหมายลาดับรองตาม PDPA ที่ประกาศแล้ว
• ระเบียบคณะกรรมการฯ ว่าด้วยการยื่น การไม่รับเรื่อง การยุติเรื่อง การพิจารณา และระยะเวลาในการ
พิจารณาคาร้องเรียน พ.ศ. 2565
• ประกาศในราชกิจจานุเบกษาเมื่อ 11 ก.ค. 2565 มีผลใช้บังคับตั้งแต่วันถัดจากวันประกาศฯ
• ประกาศคณะกรรมการฯ เรื่อง คุณสมบัติและลักษณะต้องห้าม วาระการดารงตาแหน่ง การพ้นจาก
ตาแหน่ง และการดาเนินงานอื่นของคณะกรรมการผู้เชี่ยวชาญ พ.ศ. 2565
• ประกาศในราชกิจจานุเบกษาเมื่อ 11 ก.ค. 2565 มีผลใช้บังคับตั้งแต่วันถัดจากวันประกาศฯ
• ประกาศคณะกรรมการฯ เรื่อง หลักเกณฑ์เกี่ยวกับคุณสมบัติของพนักงานเจ้าหน้าที่ พ.ศ. 2565
• ประกาศในราชกิจจานุเบกษาเมื่อ 12 ก.ย. 2565 มีผลใช้บังคับตั้งแต่วันถัดจากวันประกาศฯ
• ประกาศคณะกรรมการฯ เรื่อง กาหนดแบบบัตรประจาตัวของพนักงานเจ้าหน้าที่ พ.ศ. 2565
• ประกาศในราชกิจจานุเบกษาเมื่อ 12 ก.ย. 2565 มีผลใช้บังคับตั้งแต่วันถัดจากวันประกาศฯ
• ประกาศคณะกรรมการฯ เรื่อง หลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล พ.ศ.
2565
• ประกาศในราชกิจจานุเบกษาเมื่อ 15 ธ.ค. 2565 มีผลใช้บังคับตั้งแต่วันประกาศฯ
54. 54
54
กฎหมายลาดับรองตาม PDPA ที่ประกาศแล้ว
• ประกาศ กคส. เรื่อง หลักเกณฑ์และวิธีการในการจัดทาคาสั่งของคณะกรรมการผู้เชี่ยวชาญตาม พ.ร.บ.
คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 พ.ศ. 2566
• ประกาศในราชกิจจานุเบกษาเมื่อ 21 มิ.ย. 2566 มีผลใช้บังคับตั้งแต่วันถัดจากวันประกาศฯ
• ประกาศ กคส. เรื่อง ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลที่เป็นหน่วยงานของรัฐ
ซึ่งต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2566
• ประกาศในราชกิจจานุเบกษาเมื่อ 18 ก.ค. 2566 มีผลใช้บังคับเมื่อพ้นกาหนด 90 วันนับแต่วัน
ประกาศฯ
• พรฎ.กาหนดลักษณะ กิจการ หรือหน่วยงานที่ได้รับการยกเว้นไม่ให้นา พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล
พ.ศ. 2562 บางส่วนมาใช้บังคับ พ.ศ. 2566
• ประกาศในราชกิจจานุเบกษาเมื่อ 17 ส.ค. 2566 มีผลใช้บังคับเมื่อพ้นกาหนด 150 วันนับแต่วัน
ประกาศฯ
• ประกาศ กคส. เรื่อง การจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามมาตรา 41 (2) พ.ศ. 2566
• ประกาศในราชกิจจานุเบกษาเมื่อ 14 ก.ย. 2566 มีผลใช้บังคับเมื่อพ้นกาหนด 90 วันนับแต่วัน
ประกาศฯ
57. 57
57
PDPA as a Principle-Based Regulation
PDPA เป็น Principle-Based
Regulation กาหนดหลักการไว้เพราะ
ไม่สามารถเขียนครอบคลุมได้ทุกอย่าง
59. 59
59
PDPA as a Principle-Based Regulation
การบังคับใช้ PDPA หลายเรื่อง
เช่น มาตรการ security เป็นเรื่อง
ที่ควรใช้ Risk-Based Approach
ตามระดับความเสี่ยง