Q&A : PDPA Workshop
สารบัญ
| หัวข้อ | Link |
|---|---|
| Home : หน้าแรก | Link Home |
| ตัวอย่างเอกสาร | Link ตัวอย่างเอกสาร |
| หมวด และมาตรา | Link หมวด และมาตรา |
| Q&A ตอบคำถาม | Link Q&A |
| Resources | Link Resources |
Workshop 7 มีนาคม 2565
หัวข้อให้คำปรึกษา
Workshop PDPA Processes 24 พฤศจิกายน 2565
หัวข้อให้คำปรึกษา
- เปรียบเทียบ พรบ.Cyber กับ พรบ.PDPA
- ติดตามความก้าวหน้าของฝ่ายต่างๆ
- การจัดเตรียมเอกสารของฝ่ายต่างๆ
- แนวทางปฏิบัติของฝ่ายต่างๆ
- แนวทางการประเมินตนเอง
เอกสารที่ต้องจัดทำ
- ทบทวนเอกสารแม่แบบ 15 รายการจาก DGA [click open link]- ประกาศกระทรวงดิจิทัล_มาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล_2563 [Click to Open or Download]
- ตัวอย่าง แนวนโยบายและแนวปฏิบัติความมั่นคงปลอดภัยของระบบสารสนเทศ และ access control [Click to Open or Download]
- ร่างกฎหมายลำดับรอง (**NEW** 2564)
เปรียบเทียบ พรบ.Cyber กับ พรบ.PDPA
บริษัทต้องแสดงให้เห็นว่า พยายามคุ้มครองข้อมูลส่วนบุคคล ด้วยมาตราการที่เหมาะสมและเป็นมาตราฐานสากล
สรุปเอกสารที่ต้องจัดทำ
เอกสารแม่แบบ 15 รายการ ประกอบด้วย (1) นโยบายการคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy) (2) คำประกาศเกี่ยวกับความเป็นส่วนตัว (Privacy Notice) (3) เอกสารแสดงความยินยอม (Consent Form) (4) ข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (5) แนวปฏิบัติในการบันทึกรายการประมวลผลข้อมูลส่วนบุคคล (6) นโยบายคุกกี้ (Cookies Policy) สำหรับเว็บ (7) ข้อตกลงการแบ่งปันข้อมูลส่วนบุคคล (Personal Data Sharing Agreement) (8) แบบคำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Rights Request Form) (9) หนังสือตอบกลับการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Rights Responding) (10) หนังสือแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล (Personal Data Breach Notification) (11) คำประกาศเกี่ยวกับความเป็นส่วนตัวในการใช้กล้องวงจรปิด (CCTV Privacy Notice) (12) แบบฟอร์มใบสมัครงาน (13) สัญญาจ้างปฏิบัติงาน (14) คำประกาศเกี่ยวกับความเป็นส่วนตัวสำหรับผู้สมัครงานและผู้ปฏิบัติงาน (15) ข้อตกลงการเป็นผู้ควบคุมข้อมูลส่วนบุคคลร่วม (Joint Controller Agreement)
ตัวอย่าง ร่างกฏหมายรองกลุ่มที่ 1
มีรายละเอียดจากมากขึ้น แต่หลักการเหมือนเดิม
แนวนโยบายและแนวปฏิบัติความมั่นคงปลอดภัยของระบบสารสนเทศ
แนวทางการประเมินตนเอง
Workshop PDPA Processes 4 พฤศจิกายน
หัวข้อให้คำปรึกษา
- ทบทวนความเข้าใจเกี่ยวกับ PDPA process และ ROP
- ทบทวน consent
- การบริการตามสิทธิ์ของเจ้าของข้อมูล Link ตัวอย่าง
- กำหนดผู้รับผิดชอบ PDPA process
- ประเภทของข้อมูล Link ตัวอย่าง
- Workshop
- ตัวอย่างขั้นตอนการขอ consent จาก ลูกค้า
- ตัวอย่างขั้นตอนการขอใช้สิทธิ์ของเจ้าของข้อมูล : ขอเข้าถึง consent, ขอแก้ไขข้อมูลติดต่อ ฯลฯ
- ตัวอย่าง ROP กิจกรรมของฝ่าย
การขอใช้สิทธิของเจ้าของข้อมูล
ตัวอย่างขั้นตอนการขอ consent จาก ลูกค้า
ตัวอย่างขั้นตอนการขอใช้สิทธิ์ของเจ้าของข้อมูล
ตัวอย่าง ROP กิจกรรมของฝ่าย
Workshop PDPA Processes 26 ตุลาคม
หัวข้อให้คำปรึกษา
- ความเข้าใจเกี่ยวกับ PDPA process
- ทบทวน consent
- ทบทวน สิทธิ์ของเจ้าของข้อมูล
- มุมมองของสำนักงานคุ้มครองฯ PDPA process
- กำหนดผู้รับผิดชอบ PDPA process
- Workshop
- ปรับแก้ตัวอย่าง consent
- ร่างขั้นตอนการขอ consent จาก ลูกค้า พนักงาน ผู้ให้บริการขนส่งรายย่อย
- ร่างขั้นตอนการขอเข้าถึง consent
- ร่างขั้นตอนการขอเข้าถึงของเจ้าของข้อมูล
- ร่างขั้นตอนการขอแก้ไขข้อมูลของเจ้าของข้อมูล
- ร่างกิจกรรมของฝ่ายการตลาด
- ร่างกิจกรรมของฝ่าย HR
- ร่างกิจกรรมของฝ่ายจัดส่ง
- ร่างกิจกรรมของฝ่ายบริการลูกค้า
วัตถุประสงค์ :
- เพื่อให้เข้าใจ consent และ process ที่เกี่ยวข้อง
- เพื่อให้เข้าใจมุมมองของสำนักงานคุ้มครองฯ
- เพื่อให้เข้าใจการจัดทำ PDPA process และผู้รับผิดชอบ
- เพื่อให้เข้าใจแนวทางการบันทึกกิจกรรม PDPA
Video มุมมองของสำนักงานคุ้มครองฯ
มุมมองของสำนักงานคุ้มครองฯ : จุดยืน PDPAมุมมองของสำนักงานคุ้มครองฯ : PDPA process (ROP)
มุมมองของสำนักงานคุ้มครองฯ : การอธิบาย ROP
มุมมองของสำนักงานคุ้มครองฯ : ROP ทำอย่างไร
มุมมองของสำนักงานคุ้มครองฯ : policy
มุมมองของสำนักงานคุ้มครองฯ : consent
ทบทวนมุมมองของสำนักงานคุ้มครองฯ (ไฟล์ PDF ที่ส่งให้)
Workshop
- ปรับแก้ตัวอย่าง consent
- ร่างขั้นตอนการขอ consent จาก ลูกค้า พนักงาน ผู้ให้บริการขนส่งรายย่อย
- ร่างขั้นตอนการขอเข้าถึง consent
- ร่างขั้นตอนการขอเข้าถึงของเจ้าของข้อมูล
- ร่างขั้นตอนการขอแก้ไขข้อมูลของเจ้าของข้อมูล
- ร่างกิจกรรมของฝ่ายการตลาด ในการใช้ข้อมูลส่วนบุคคล
- ร่างกิจกรรมของฝ่าย HR ในการใช้ข้อมูลส่วนบุคคล
- ร่างกิจกรรมของฝ่ายจัดส่ง ในการใช้ข้อมูลส่วนบุคคล
- ร่างกิจกรรมของฝ่ายบริการลูกค้า ในการใช้ข้อมูลส่วนบุคคล
Workshop Data Processing Agreement (DPA) 7 ตุลาคม
หัวข้อให้คำปรึกษา
- ความเข้าใจเกี่ยวกับ Data Processing Agreement (DPA)
- บทบาทของ Controller, Processor, Joint Controller
- การเป็นตัวแทนของ Controller
- Workshop
- ร่าง DPA ระหว่าง Controller กับ Processor
- ตัวอย่าง DPA แบบ Joint Controller
- ตาม Homework นโยบายฯของพนักงาน
- และการนำเสนอของ HR
วัตถุประสงค์ :
- เพื่อให้เข้าใจการเตรียม ข้อตกลงการประมวลผลข้อมูลส่วนบุคคล ระหว่าง B2B
- เพื่อให้เข้าใจความรับผิดชอบของ Controller และ Processor
- เพื่อให้เข้าใจความรับผิดชอบร่วมกันของ Controller และ Processor ในการใช้สิทธิของเจ้าของข้อมูล
- เพื่อให้เข้าใจความรับผิดชอบร่วมกันของ DPA แบบ Joint Controller
Link เอกสารตัวอย่าง DGA ทั้งหมด
ข้อตกลงในการประมวลผลข้อมูลส่วนบุคคล (DPA)
เป็นเอกสารที่มีผลผูกพันทางกฎหมายซึ่งต้องทำขึ้นระหว่างผู้ควบคุมและผู้ประมวลผลเป็นลายลักษณ์อักษรหรือในรูปแบบอิเล็กทรอนิกส์ เพื่อควบคุมขอบเขตและวัตถุประสงค์ของการประมวลผล รวมถึงระบุกับความรับผิดชอบระหว่างผู้ควบคุมและผู้ประมวลด้วย
ตัวอย่าง ข้อตกลงการประมวลผลข้อมูลส่วนบุคคล DPA .docx (click to open)
แนวคิดการแบ่งปันข้อมูล
การแบ่งปันข้อมูลแบ่งออกเป็น 3 ประเภทใหญ่ๆ :
ลักษณะที่ 1 :
แบ่งปันข้อมูลส่วนบุคคลกับบุคคลที่ 3 เพื่อวัตถุประสงค์ร่วมกัน
ลักษณะที่ 2 :
แบ่งปันข้อมูลส่วนบุคคลกับบุคคลที่ 3 เพื่อวัตถุประสงค์เฉพาะของบุคคลที่ 3
ลักษณะที่ 3 :
มอบหมายให้บุคคลที่ 3 เป็นผู้จัดการ เก็บ ใช้และเปิดเผย ในนามของบริษัท
***โดยปกติแล้ว ขึ้นอยู่กับดุลยพินิจของบริษัทว่าจะแบ่งปันข้อมูลส่วนบุคคลหรือไม่***
***ประเด็นสำคัญของ Joint Controller คือ
กรณีที่เจ้าของข้อมูลติดต่อขอใช้สิทธิของเจ้าของข้อมูล ที่ผู้ควบคุมรายใดรายหนึ่ง
ผู้ควบคุมทั้งหมดต้องประสานงานกันเอง ในการตอบสนอง
ห้ามอ้างว่า เจ้าของข้อมูลไม่ได้ติดต่อมาโดยตรงเลยไม่ทราบ***
ตัวอย่างเอกสาร Joint Controller (.docx click to open)
ติดตาม Homework นโยบายฯของพนักงาน และการนำเสนอของ HR
New Homework
1) ทำ data survey เอกสารที่ใช้ร่วมกับ บริษัทคู่ค้าทั้งหมด เพื่อระบุข้อมูลส่วนบุคคล ที่เกี่ยวข้อง โดยเฉพาะ มาตรา 26 เพื่อนำมาระบุใน DPA ที่จะทำกับคู่ค้า
2) จากข้อ 1) ทีมงานประชุมสรุปว่า ต้องทำ DPA กับบริษัทคู่ค้าใดบ้าง และพิจารณาว่า L&E จะเป็น Data Controller หรือ Data Processor หรือ Joint Controller ถึงจะสะดวกในการทำงาน
Link เอกสาร import/export
Workshop : Import / Export Data Survey
Workshop#1 : Import / Export Data Survey
1.นำแบบฟอร์มที่จะสำรวจมา
2.List ข้อมูลที่เป็นข้อมูลส่วนบุคคล
3.ระบุวัตถุประสงค์ที่จะนำไปใช้
4.ระบุฐานกฏหมายที่เป็นไปได้
5.กำหนดระยะเวลาอย่างน้อยที่จะเก็บ
Workshop#2 : ร่าง นโยบายการคุ้มครองข้อมูลส่วนบุคคล
Link นโยบายการคุ้มครองข้อมูลส่วนบุคคล#1 ปรับแก้หัวข้อ 4.1 ค.
นำข้อมูลส่วนบุคคลจาก data survey มาปรับ แก้ ใส่ใน ต้นแบบนโยบายการคุ้มครองข้อมูลส่วนบุคคล
Homework : ร่าง นโยบายการคุ้มครองข้อมูลส่วนบุคคลของพนักงาน
Link นโยบายการคุ้มครองข้อมูลส่วนบุคคล พนักงาน#1ตัวอย่างกรณี อุปกรณ์การแพทย์
ผู้ประมวลผลฯ เป็นใครได้บ้าง มีหลักเกณฑ์ในการพิจารณาอย่างไร จากที่ได้ฟังการอบรมมาหลายที่ จะพูดรวมๆ ว่าเป็น Outsource ที่ทำตามคำสั่งของผู้ควบคุมข้อมูลฯ แต่ไม่มีการยกตัวอย่างที่หลากหลายว่าคือใครบ้าง เลยอยากฟังความหมายที่ชัดเจนมากขึ้นนอกเหนือจากที่เขียนไว้ใน มาตรา 6 และอยากให้ยกตัวอย่างผู้ประมวลผลฯที่หลากหลาย เพื่อให้มองเห็นภาพ และเข้าใจมากขึ้น (บริษัทเป็นผู้ผลิตเครื่องมือแพทย์ อาจารย์จะยกตัวอย่างตามธุรกิจที่ทำก็ได้)
ผู้ป่วย (เจ้าของข้อมูล) มาโรงพยาบาลเอกชน (ผู้ควบคุมข้อมูล) เพื่อต้องการ x-ray
โรงพยาบาลเอกชน (ผู้ควบคุมข้อมูล) เช่า เครื่อง x-ray พร้อมพนักงานคุมเครื่อง จากบริษัท#1 (ผู้ประมวลผลข้อมูล#1)เพื่อทำการฉายแสง x-ray (ประมวลผลข้อมูล) จากผู้ป่วย และเก็บในระบบฐานข้อมูล x-ray (ระบบเก็บผลลัพธ์)
โรงพยาบาลเอกชน (ผู้ควบคุมข้อมูล) จ้าง นักรังสีเทคนิค จากบริษัท#2 (ผู้ประมวลผลข้อมูล#2) มาวิเคราะห์ผล x-ray แล้วจัดทำรายงานผล x-ray (ประมวลผลข้อมูล) เพื่อเก็บในระบบฐานข้อมูล x-ray (ระบบเก็บผลลัพธ์)
โรงพยาบาลเอกชน (ผู้ควบคุมข้อมูล) จัดทำรายงานผล x-ray แก่ผู้ป่วย (เจ้าของข้อมูล) โดยโรงพยาบาลยังเก็บข้อมูลในระบบฐานข้อมูล x-ray อีก 3 ปี
ตัวอย่างกรณี แบ่งปันข้อมูลของพนักงาน
กรณีบริษัทจัดทำ Consent กับพนักงาน และมีข้อตกลงเรื่องการแบ่งปันข้อมูล กับธนาคาร หรือ บริษัทอื่น การแบ่งปันข้อมูลนี้ เราต้องทำ Agreement กับองค์กรที่เราแบ่งปันข้อมูลไปด้วยไหมคะ แล้วองค์กรเหล่านั้น ถือว่าเป็นใครใน พรบ.นี้ เป็นผู้ควบคุมฯ หรือ ผู้ประมวลผลฯ (คิดว่าน่าจะไม่ใช่ผู้ประมวลผล เพราะไม่ได้ทำตามคำสั่งของผู้ควบคุมฯ ค่ะ) เช่น เราแบ่งปันข้อมูลพนักงานกับธนาคารสำหรับจ่ายเงินเดือน หรือ แบ่งปันอีเมล์ของพนักงานกับ ผู้ให้บริการเช่าพื้นที่อีเมล์ เป็นต้น
Answer:บริษัทต้องทำ Agreement กับทุกๆองค์กรที่บริษัทจะแบ่งปันข้อมูล กำหนดขอบเขตการใช้ข้อมูล และทำตามคำสั่งของบริษัท เช่น
สั่ง "ธนาคาร" ให้ประมวลผลเมื่อบริษัทจะโอนเงินให้พนักงานแต่ละคน หรือตามที่บริษัทกำหนดเท่านั้น
สั่ง "ธนาคาร" ไม่ต้องแสดงรายงานข้อมูลพนักงานที่ลาออกไป
สั่ง "ผู้ให้บริการเช่าพื้นที่อีเมล์" ยกเลิก email ของพนักงานที่ลาออกไป (กรณีที่บริษัทไม่มีฝ่าย IT ดูแลเอง)
ฯลฯ
และใน consent ต้องแจ้ง รายชื่อ หรือ ประเภทธุรกิจ ของทุกๆองค์กรที่บริษัทจะแบ่งปันข้อมูล และกำหนดขอบเขตการใช้ข้อมูล ให้พนักงานทราบก่อนให้ความยินยอม
ตัวอย่างกรณี processor ข้อมูลของพนักงาน
ตัวอย่างกรณี ติดตั้งกล้องวงจรปิด CCTV
- ทำให้แน่ใจว่าลูกค้า หรือ พนักงาน รู้ว่าพวกเขากำลังถูกบันทึก
- ระบุให้ชัดเจนว่าเหตุใดคุณจึงใช้กล้อง CCTV
- ควบคุมผู้ที่สามารถเข้าถึงกล้อง CCTV อย่างจำกัด
- ลบข้อมูล CCTV เมื่อไม่จำเป็นอีกต่อไป
ตัวอย่างกรณีการปรับโดย GDPR
ตัวอย่างการปรับโดย GDPRExample of data processing
Example of RoPA
GDPR Processing Activities Examples
Can I ask a company/organisation to stop processing my personal data?
Owner Rights cases
Penalties and Fines for Violating the GDPR.
 |
ไปที่ สารบัญ [คลิก] |
