Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
ผลกระทบของ พรบ คมครองขอมลสวนบคคล พ.ศ. 2562 ตอธรกจประกนวนาศภย
Impacts of the Personal Data Protection Act on the Non-Life Insurance Industry
ส าหรบงานสมมนา สมมนาการประกนภย ครงท 26
สมาคมประกนวนาศภยไทย โดย
รศ. คณาธป ทองรววงศ
กฎหมายทเกยวของ
• พระราชบญญตการกระท าความผดเกยวกบคอมพวเตอร พ.ศ. 2560
• Computer Crime Act 2560 (2017)
• พระราชบญญตการรกษาความมนคงปลอดภยไซเบอร พ.ศ. 2562 • Cyber Security Act 2562 (2019)
• พระราชบญญตคมครองขอมลสวนบคคล พ.ศ. 2562 • Personal Data Protection Act 2562 (2019)
รศ คณาธป ทองรววงศ [email protected]
แนวคดและหลกการอนหลากหลาย
ของ พรบ ขอมลสวนบคคล
•Data privacy
•Data security
•Data subject’s right
• Legal basis for processing
รศ คณาธป ทองรววงศ [email protected]
Cash V Cashless
Goods
service
cash Bank v financial sector
Criminal
Government App developer
Auditor
IT securities
รศ คณาธป ทองรววงศ [email protected]
หนาท ตาม พรบ ขอมลสวนบคคล
ความปลอดภยของขอมล จากภยคกคาม
• Data protection / security
• มาตรา 37 (1)
• การรกษาความปลอดภย
• การแจงเหตลวงละเมด
การเกบ ใช ประโยชนจากขอมล
• เหตแหงการเกบ ใช เปดเผย • ขอยกเวน
• ยนยอม
• ปฎบตตามกฎหมาย
• ปฎบตตามสญญา
รศ คณาธป ทองรววงศ [email protected]
Data subject
เจาของขอมล
Hacker ผควบคมขอมล
Data controller
รศ คณาธป ทองรววงศ [email protected]
ผประมวลขอมล Data processor
ผควบคมขอมล : Data Controller : GDPR
• Art.4(7)
• "Controller" means the natural or legal person, public authority, agency or any other body which alone or jointly with others determines the purposes and means of the processing of personal data
รศ คณาธป ทองรววงศ [email protected]
Data controller V Data processor Art.4(8) GDPR
• "Processor" means a natural or legal person, public authority, agency or any other body which processes personal data on behalf of the controller.
รศ คณาธป ทองรววงศ [email protected]
นยามตามมาตรา 6
• “ผควบคมขอมลสวนบคคล” หมายความวา บคคลหรอนตบคคลซงมอ านาจหนาทตดสนใจเกยวกบการเกบรวบรวม ใช หรอเปดเผยขอมลสวนบคคล
• “ผประมวลผลขอมลสวนบคคล” หมายความวา บคคลหรอนตบคคลซงด าเนนการเกยวกบการเกบรวบรวม ใช หรอเปดเผยขอมลสวนบคคลตามค าสงหรอในนามของผควบคมขอมลสวนบคคล ทงน บคคลหรอนตบคคลซงด าเนนการดงกลาวไมเปนผควบคมขอมลสวนบคคล
รศ คณาธป ทองรววงศ [email protected]
Personal data leak : Pattern V Character
1 ภยคกคามขอมลสวนบคคลโดยวธการทางคอมพวเตอร (กฎหมายทเกยวของ ?)
2 ภยคกคามขอมลสวนบคคลโดยวธการอน (Physical , non –technical means)
(กฎหมายทเกยวของ ?) 3. ภยคกคามขอมลสวนบคคลโดยไมเจตนา (negligence , technical error , system error , natural disaster) (กฎหมายทเกยวของ ?)
รศ คณาธป ทองรววงศ [email protected]
กรณศกษาขอมลรวไหลในตางประเทศ
• UK: B Airways / 2018
• Singapore : May 1, 2015, and July 4, 2018.
• 1.5 million patients , including Prime Minister Lee Hsien Loong
• the Philippine Commission on the Elections (Comelec) in April 2016
รศ คณาธป ทองรววงศ [email protected]
หนาทผควบคมขอมล ( พรบ ขอมลฯ มาตรา 37)
มาตรา 37 ผควบคมขอมลสวนบคคลมหนาท ดงตอไปน • (1) จดใหมมาตรการรกษาความมนคงปลอดภยทเหมาะสม เพอปองกนการ
สญหาย เขาถง ใช เปลยนแปลง แกไข หรอเปดเผยขอมลสวนบคคลโดยปราศจากอ านาจหรอโดยมชอบ
• (4) แจงเหตการณละเมดขอมลสวนบคคล...โดยไมชกชาภายในเจดสบสองชวโมงนบแตทราบเหตเทาทจะสามารถกระท าได .....ในกรณทการละเมดมความเสยงสงทจะมผลกระทบตอสทธและเสรภาพของบคคล ใหแจงเหตการละเมดใหเจาของขอมลสวนบคคลทราบพรอมกบแนวทางการเยยวยาโดยไมชกชา
รศ คณาธป ทองรววงศ [email protected]
• มาตรา 40 ผประมวลผลขอมลสวนบคคลมหนาท ดงตอไปน • (1) ด าเนนการเกยวกบการเกบรวบรวม ใช หรอเปดเผยขอมลสวนบคคลตามค าสงทไดรบจากผควบคมขอมลสวนบคคลเทานน เวนแตค าสงนนขดตอกฎหมายหรอบทบญญตในการคมครองขอมลสวนบคคลตามพระราชบญญตน
• (2) จดใหมมาตรการรกษาความมนคงปลอดภยทเหมาะสม เพอปองกนการสญหาย เขาถง ใช เปลยนแปลง แกไข หรอเปดเผยขอมลสวนบคคลโดยปราศจากอ านาจหรอโดยมชอบ รวมทงแจงใหผควบคมขอมลสวนบคคลทราบถงเหตการละเมดขอมลสวนบคคลทเกดขน
รศ คณาธป ทองรววงศ [email protected]
ตวอยางขอความแจงเตอนการรวไหล /2018
• “….We took steps immediately when the incident occurred and we are confident that exposures identified related to customer data have been closed off….”
รศ คณาธป ทองรววงศ [email protected]
กรณศกษาในองกฤษ
• The British Pregnancy Advisory Service (BPAS)
• แฮกเกอรเขาถง ขอมลลกคา + จะไปแจงเหตและแจงลกคา
• แฮกเกอรถกจบและจ าคก ตาม กฎหมายความผดคอมพวเตอรขององกฤษ
• BPAS ถกปรบ (200,000 ponds) ??
รศ คณาธป ทองรววงศ [email protected]
กรณศกษาขอมลรวไหลในลกษณะอปกรณทางกายภาพ
• Computer of employee was stolen
• Thumb drive / Flash drive stolen / lost
• Document / paper stolen / lost
รศ คณาธป ทองรววงศ [email protected]
กรณศกษาการสงขอมลผดพลาด
• Employee send email (sensitive data of customer) to wrong address
• reported within 72 hours
• Still be fined 100 000 pounds
(Hertfordshire case : UK)
รศ คณาธป ทองรววงศ [email protected]
กรณขอมลรวไหลเกยวกบธรกจประกนภย
• เหตการณ : Blue Cross is notifying 16,762 patients -
- about 1 percent of its members -- that their data was exposed online …. due to an employee uploading a number file online.
• ขอมลสวนบคลทไดรบผลกระทบคอ ..........names, dates of
birth, diagnosis codes, provider details and information used for claim processing purposes.
รศ คณาธป ทองรววงศ [email protected]
หนาทรกษาความปลอดภยขอมล (Data security) : เปรยบเทยบกบภยคกคามตาม พรบ คอมพวเตอร
(ภยคกคามโดยวธการทางคอมพวเตอร)
•มาตรา 5-11
Hack
/technical
•มาตรา 14-16 Content based crime
รศ คณาธป ทองรววงศ [email protected]
พรบ คอมพวเตอร กบ การลวงละเมดขอมลสวนบคคล
กอน 2550
• การใชงาน เชงเนอหา
• การโจรกรรมขอมล
• ค าพพากษาฎกา 5161/2547
• กฎหมายอน เชน พรบ ความลบทางการคา • ฎกาท 937/2549 สงเมลออกไป (รายชอลกคา)
2560 -----
• ภยคกคามตาม มาตรา 5 มาตรา 7 มาตรา 8 -- การโจรกรรมขอมล
• ภยคกคามอนเปนความผดตาม พรบ คอมพวเตอร มาตราอนๆ
• DDOS
• System interference
• Data interference
• Malware
รศ คณาธป ทองรววงศ [email protected]
• มาตรา 5 ผใดเขาถงโดยมชอบซงระบบคอมพวเตอรทมมาตรการปองกนการเขาถงโดยเฉพาะและมาตรการนนมไดมไวส าหรบตน ตองระวางโทษจ าคกไมเกนหกเดอน หรอปรบไมเกนหนงหมนบาท หรอทงจ าทงปรบ
• มาตรา 7 ผใดเขาถงโดยมชอบซงขอมลคอมพวเตอรทมมาตรการปองกนการเขาถงโดยเฉพาะและมาตรการนนมไดมไวส าหรบตน ตองระวางโทษจ าคกไมเกนสองปหรอปรบไมเกนสหมนบาทหรอทงจ าทงปรบ
• มาตรา 6 ผใดลวงรมาตรการปองกนการเขาถงระบบคอมพวเตอรทผ อนจดท าขนเปนการเฉพาะถาน ามาตรการดงกลาวไปเปดเผยโดยมชอบในประการทนาจะเกดความเสยหายแกผ อน ตองระวางโทษจ าคกไมเกนหนงป หรอปรบไมเกนสองหมนบาท หรอทงจ าทงปรบ
รศ คณาธป ทองรววงศ [email protected]
ค าพพากษาศาลฎกาท 4155 - 4157/2560
โจทกท 2 และโจทกท 3 แจงรหสผานของตนใหโจทกท 1 แลวโจทกท 1 ใชรหสผานนนบนทกเวลาเขาท างานแทนโจทกท 2 และโจทกท 3 ในโปรแกรม Hris ของจ าเลยซงเปนระบบออนไลน ขอมลทบนทกถกเกบรวมกนไวทงประเทศ จ าเลยออกมาตรฐานความปลอดภยระบบสารสนเทศแจงใหลกจางถอปฏบตอยางเครงครด โดยก าหนดระดบชนความลบของรหสผานและระบวา ตองไมเปดเผยรหสผานแกผ อน สมาชกครอบครว หรอเพอนรวมงาน การกระท าของโจทกทงสามจงเปนการฝาฝนขอบงคบเกยวกบการท างาน ระเบยบ หรอค าสงของจ าเลยอนชอบดวยกฎหมายและเปนธรรมในกรณรายแรง
รศ คณาธป ทองรววงศ [email protected]
IT policy / Computer usage policy
Data classification
Authorization for user
รศ คณาธป ทองรววงศ [email protected]
Policy ในองคกร : ความสมพนธ
กบ ขอมลสวนบคคล
IT Policy เนอหา คอ ? กฎหมายบงคบ ?
Social media Policy เนอหา คอ ? กฎหมายบงคบ ?
Privacy Policy เนอหาคอ ? กฎหมายบงคบ?
รศ คณาธป ทองรววงศ [email protected]
การดกรบขอมล (Interception) มาตรา 8
• ผใดกระท าดวยประการใดโดยมชอบดวยวธการทางอเลกทรอนกสเพอดกรบไวซงขอมลคอมพวเตอรของผ อนทอยระหวางการสงในระบบคอมพวเตอร และขอมลคอมพวเตอรนนมไดมไวเพอประโยชนสาธารณะหรอเพอใหบคคลทวไปใชประโยชนไดตองระวางโทษจ าคกไมเกนสามป หรอปรบไมเกนหกหมนบาท หรอทงจ าทงปรบ
รศ คณาธป ทองรววงศ [email protected]
หนาท พรบ ขอมล เมอเกดภยคกคาม ตามมาตรา 5/7/8
Cyber attack
พรบ คอม มาตรา 5/7/8
Audit requirement ?
( Personal data protection Act)
Audit requirement (Cyber security Act )
Audit requirement ( Computer Crime Act)
Q : Personal data ?
รศ คณาธป ทองรววงศ [email protected]
มาตรา 9
• ผใดท าใหเสยหาย ท าลาย แกไข เปลยนแปลง หรอเพมเตมไมวาทงหมดหรอบางสวน ซงขอมลคอมพวเตอรของผ อนโดยมชอบ ตองระวางโทษจ าคกไมเกนหาป หรอปรบไมเกนหนงแสนบาท หรอทงจ าทงปรบ
• มาตรา 9 วตถประสงคและขอบเขตกฎหมาย
• พฤตกรรมใด ?
รศ คณาธป ทองรววงศ [email protected]
มาตรา 10
• ผใดกระท าดวยประการใดโดยมชอบ เพอใหการท างานของระบบคอมพวเตอรของผ อนถกระงบ ชะลอ ขดขวาง หรอรบกวนจนไมสามารถท างานตามปกตไดตองระวางโทษจ าคกไมเกนหาป หรอปรบไมเกนหนงแสนบาท หรอทงจ าทงปรบ
• Cyber attack , DDOS เกยวของกบความรบผดตาม พรบ ขอมลสวนบคคล ?
รศ คณาธป ทองรววงศ [email protected]
หนาท พรบ ขอมล เมอเกดภยคกคาม ตามมาตรา 9/10
Cyber attack
พรบ คอม มาตรา 9/10
Audit requirement ?
( Personal data protection Act)
Audit requirement (Cyber security Act )
Audit requirement ( Computer Crime Act)
Q : Personal data ?
รศ คณาธป ทองรววงศ [email protected]
Spam
การไดขอมลมา
การประมวลผล
การตดตอ
พรบ. คอมพวเตอร Opt out
พรบ ขอมลสวนบคคล
รศ คณาธป ทองรววงศ [email protected]
พรบ คอมพวเตอร มาตรา 11
• ผใดสงขอมลคอมพวเตอรหรอจดหมายอเลกทรอนกสแกบคคลอนโดยปกปดหรอปลอมแปลงแหลงทมาของการสงขอมลดงกลาว อนเปนการรบกวนการใชระบบคอมพวเตอรของบคคลอนโดยปกตสข ตองระวางโทษปรบไมเกนหนงแสนบาท
• ผใดสงขอมลคอมพวเตอรหรอจดหมายอเลกทรอนกสแกบคคลอนอนมลกษณะเปนการกอใหเกดความเดอดรอนร าคาญแกผ รบขอมลคอมพวเตอรหรอจดหมายอเลกทรอนกส โดยไมเปดโอกาสใหผ รบสามารถบอกเลกหรอแจงความประสงคเพอปฏเสธการตอบรบไดโดยงาย ตองระวางโทษปรบไมเกนสองแสนบาท
• พรบ ขอมลสวนบคคล การสงสแปมเปนการ กระท าอยางไรตอขอมลสวนบคคล ??
รศ คณาธป ทองรววงศ [email protected]
พรบ ขอมลสวนบคคล มาตรา 32
• มาตรา 32 เจาของขอมลสวนบคคลมสทธคดคานการเกบรวบรวม ใช หรอเปดเผยขอมลสวนบคคลทเกยวกบตนเมอใดกได
• .......................... • (2) กรณทเปนการเกบรวบรวม ใช หรอเปดเผยขอมลสวนบคคลเพอ
วตถประสงคเกยวกบการตลาดแบบตรง
• ในกรณทเจาของขอมลสวนบคคลใชสทธคดคานตามวรรคหนง ผควบคมขอมลสวนบคคลไมสามารถเกบรวบรวม ใช หรอเปดเผยขอมลสวนบคคลนนตอไปได ทงน ผควบคมขอมลสวนบคคลตองปฏบตโดยแยกสวนออกจากขอมลอนอยางชดเจนในทนทเมอเจาของขอมลสวนบคคลไดแจงการคดคานใหผควบคมขอมลสวนบคคลทราบ
รศ คณาธป ทองรววงศ [email protected]
การตดตอทางธรกจกบ “Spam”
พรบ คอมพวเตอร
• ก าหนดหลกการเกยวกบ Opt out
• เมอ Opt out แลว ตองท าอยางไรกบ
“ขอมล” ?
• ก าหนดหลกการเกยวกบการประมวลขอมล
วเคราะห เพอท ำกำรสง ?
• Profiling / analytics
พรบ ขอมลสวนบคคล
ตองระบไวใน Message / Mail ?
เมอใชสทธคดคาน ใหยตการใช และ แยกสวน
รศ คณาธป ทองรววงศ [email protected]
Phishing V personal data leak: มาตรา 14 ทแกไข 2560
• ผใดกระท าความผดทระบไวดงตอไปน ตองระวางโทษจ าคกไมเกนหาปหรอปรบไมเกนหนงแสนบาท หรอทงจ าทงปรบ
• (1) โดยทจรต หรอโดยหลอกลวง น าเขาสระบบคอมพวเตอรซงขอมลคอมพวเตอรทบดเบอนหรอปลอมไมวาทงหมดหรอบางสวน หรอขอมลคอมพวเตอรอนเปนเทจ โดยประการทนาจะเกดความเสยหายแกประชาชน อนมใชการกระท าความผดฐานหมนประมาทตามประมวลกฎหมายอาญา
• (2) น าเขาสระบบคอมพวเตอรซงขอมลคอมพวเตอรอนเปนเทจ โดยประการทนาจะเกดความเสยหายตอการรกษาความมนคงปลอดภยของประเทศ ความปลอดภยสาธารณะ ความมนคงในทางเศรษฐกจของประเทศ หรอโครงสรางพนฐานอนเปนประโยชนสาธารณะของประเทศ หรอกอใหเกดความตนตระหนกแกประชาชน
รศ คณาธป ทองรววงศ [email protected]
Phishing
พรบ คอมพวเตอร
• ก าหนดใหผใดรบผด
• ก าหนดมาตรการความปลอดภย ?
พรบ ขอมลสวนบคคล
• ก าหนดใหผใดรบผด
• ก าหนดมาตรการความปลอดภย ?
รศ คณาธป ทองรววงศ [email protected]
หนาท Data security
ผควบคมขอมล • มาตรา 37 • จดใหมมาตรการรกษาความปลอดภย
• ในกรณทใช Processor ตองด าเนนการ
เพอปองกนมใหผนนใชหรอเปดเผยขอมลสวนบคคลโดยปราศจากอ านาจหรอโดยมชอบ
• มาตรา 40 ผควบคมขอมลสวนบคคลตองจดใหมขอตกลงระหวางกน เพอควบคมการด าเนนงานตามหนาทของผประมวลผลขอมลสวนบคคลใหเปนไปตามพระราชบญญตน
ผประมวลขอมล
• มาตรา 40
• เกบรวบรวม ใช หรอเปดเผยขอมลสวนบคคลตามค าสงทไดรบจากผควบคมขอมลสวนบคคลเทานน
• จดใหมมาตรการรกษาความมนคงปลอดภยทเหมาะสม
รศ คณาธป ทองรววงศ [email protected]
• มาตรา 37 (2)
• ในกรณทตองใหขอมลสวนบคคลแกบคคลหรอนตบคคลอนทไมใชผควบคมขอมลสวนบคคลตองด าเนนการเพอปองกนมใหผ
นนใชหรอเปดเผยขอมลสวนบคคลโดยปราศจากอ านาจหรอโดยมชอบ • มาตรา 40 ผประมวลผลขอมลสวนบคคลมหนาท ดงตอไปน
• (1) ด าเนนการเกยวกบการเกบรวบรวม ใช หรอเปดเผยขอมลสวนบคคลตามค าสงทไดรบจากผควบคมขอมลสวนบคคลเทานน
เวนแตค าสงนนขดตอกฎหมายหรอบทบญญตในการคมครองขอมลสวนบคคลตามพระราชบญญตน
• (2) จดใหมมาตรการรกษาความมนคงปลอดภยทเหมาะสม ..
• การด าเนนงานตามหนาทของผประมวลผลขอมลสวนบคคลตามทไดรบมอบหมายจากผควบคมขอมลสวนบคคลตามวรรคหนง ผควบคมขอมลสวนบคคลตองจดใหมขอตกลงระหวางกน เพอควบคมการด าเนนงานตามหนาทของผประมวลผลขอมลสวนบคคลใหเปนไปตามพระราชบญญตน
รศ คณาธป ทองรววงศ [email protected]
รปแบบความสมพนธในธรกจประกนภย
• บรษทประกนภย
• ตวแทน
• บรษทนายหนา
• บคคลอน ผจดการเรองการเรยกรองสนไหม
• บคคลอน ผ รบวเคราะหขอมล
• ฃ รศ คณาธป ทองรววงศ [email protected]
• บรษทประกน เสนอขายผานชองทางพนธมตร ทมขอมลลกคาของตน
• บรษทประกน เสนอขายผานบรษททเปนผควบคมขอมลโดยอสระ
• บรษทประกน เสนอขายผลตภณฑเองผานชองทางออนไลน
รศ คณาธป ทองรววงศ [email protected]
Data sharing : related parties
Hospital
employee
Employer
Insurance
รศ คณาธป ทองรววงศ [email protected]
ประเดนเกยวกบ Controller V Processor
• “alone or jointly with others”
• multiple actors interact in the processing of personal data.
• Cloud computing service
รศ คณาธป ทองรววงศ [email protected]
มาตรการทางสญญา
• Data sharing agreement
• C2C
• C2P
• จ าเปนตองใสเงอนไข
• ตาม พรบ ขอมลฯ กบ Supplier / Vendor ??
รศ คณาธป ทองรววงศ [email protected]
Data sharing agreement :
• 1 Introduction
• (A) ……… Company acts as a Data Controller.
• (B) ……..Company wishes to subcontract certain Services ….to the Data Processor.
รศ คณาธป ทองรววงศ [email protected]
2 Definitions and Interpretation
• "Company Personal Data" means any Personal Data Processed by …
• "Services" means ……….. The Service is described more in detail in Schedule 1.
รศ คณาธป ทองรววงศ [email protected]
• "Subprocessor" means any person appointed by or on behalf of Processor to process Personal Data on behalf of Controller in connection with the Agreement
• Necessary ??
รศ คณาธป ทองรววงศ [email protected]
3 Scope of data
the following types of Personal Data may be shared between the Parties during the Term…………
รศ คณาธป ทองรววงศ [email protected]
4 Processing of
Company Personal Data
• Processor shall:
• Not process Company Personal Data other than on Controller's documented instructions.
รศ คณาธป ทองรววงศ [email protected]
5 Processor Personnel
• Processor shall take reasonable steps to ensure the reliability of any employee, agent or contractor who may have access to Company Personal Data,
• ensuring in each case that access is strictly limited to those individuals who need to know / access the relevant Company Personal Data, as strictly necessary for the purposes of the Agreement,
รศ คณาธป ทองรววงศ [email protected]
6 Security
• ,Processor shall in relation to the Company Personal Data implement appropriate technical and organizational measures to ensure a level of security appropriate to that risk, including, as appropriate, the measures referred to in Article 32(1) of the GDPR.
รศ คณาธป ทองรววงศ [email protected]
7 Personal Data Breach
• Processor shall
• notify Controller without undue delay upon Processor
becoming aware of a Personal Data Breach affecting Company Personal Data
• provide Controller with sufficient information to allow Controller to meet any obligations to report ….
• Processor shall co-operate with Controller ….
รศ คณาธป ทองรววงศ [email protected]
8 Deletion or return of Company Personal Data
• Processor shall promptly and in any event within …………business days of the date of cessation of any Services involving the Processing of Company Personal Data (the "Cessation Date"), delete or procure the deletion of all copies of those Company Personal Data.
รศ คณาธป ทองรววงศ [email protected]
สรปหนาท Data security
ผควบคมขอมล
• ไมใช Processor • จดใหมมาตรการรกษาความปลอดภย
ระบบของตน
• ในกรณทใช Processor • ตองด าเนนการเพอปองกนมใหผนนใชหรอ
เปดเผยขอมลสวนบคคลโดยปราศจากอ านาจหรอโดยมชอบ
สงทตองด าเนนการ
• มาตรการทางเทคนค ทางองคกร
• สญญา ทระบขอบเขต กจกรรม
• C2C
• C2P
รศ คณาธป ทองรววงศ [email protected]
Data controller
• เชงปรมาณ Quantity of data ?
• เชงขนาด Size of data controller ?
รศ คณาธป ทองรววงศ [email protected]
หลกส าคญของ พรบ ขอมล
•มาตรา 37
•มาตรา 40
Data security / Data
protection
•มาตรา 19-28
Lawful basis
for using
รศ คณาธป ทองรววงศ [email protected]
GDPR Lawful grounds for data processing : • data subject has given consent to the processing
of his or her personal data for one or more specific purposes;
• processing is necessary for the performance of a
contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract;
• processing is necessary for compliance with a
legal obligation to which the controller is subject;
รศ คณาธป ทองรววงศ [email protected]
• มาตรา 19 ผควบคมขอมลสวนบคคลจะกระท าการเกบรวบรวม ใช หรอเปดเผยขอมลสวนบคคลไมไดหากเจาของขอมลสวนบคคลไมไดใหความยนยอมไวกอนหรอในขณะนน เวนแตบทบญญตแหงพระราชบญญตนหรอกฎหมายอนบญญตใหกระท าได
• มาตรา 24 หามมใหผควบคมขอมลสวนบคคลท าการเกบรวบรวมขอมลสวนบคคลโดยไมไดรบความยนยอมจากเจาของขอมลสวนบคคล เวนแต..
• มาตรา 27 หามมใหผควบคมขอมลสวนบคคลใชหรอเปดเผยขอมลสวนบคคล โดยไมไดรบความยนยอมจากเจาของขอมลสวนบคคล เวนแต...
• มาตรา 25 หามมใหผควบคมขอมลสวนบคคลท าการเกบรวบรวมขอมลสวนบคคลจากแหลงอนทไมใชจากเจาของขอมลสวนบคคลโดยตรง ...
รศ คณาธป ทองรววงศ [email protected]
เหต ส าหรบการเกบ ใช เปดเผย
เปดเผย โอน สงออกตางประเทศ
ยนยอม ปฎบตตามสญญาหรอกฎหมายอน
ใช
ยนยอม ปฎบตตามสญญาหรอกฎหมายอน
เกบรวบรวม
ยนยอม ปฎบตตามสญญาหรอกฎหมายอน
รศ คณาธป ทองรววงศ [email protected]
บรษทประกน จะอางฐานทางกฎหมายใดเพอทจะใชขอมลสวนบคคล
Purpose of processing
• ขอมลลกจาง (ทวไป)
• ขอมลลกจาง (Sensitive)
• ขอมลผ เอาประกน • เพอพจารณารบประกน • เพอตรวจสอบ Fraud
• เพอการจดการเคลม
Legal basis / ground
?
รศ คณาธป ทองรววงศ [email protected]
ขอยกเวนหลก : กฎหมายขอมล ไมใชกบ หนวยงานหรอการกระท าบางอยาง GDPR Art.2(2)-(3) ,
• any activity performed by a natural person in the course of a purely personal or household activity;
• any processing by the EU itself
• any activities performed by national authorities for the purposes of prevention, investigation, detection or prosecution of criminal offences, or performance of judicial functions.
• เปรยบเทยบ กฎหมายไทย มาตรา 4
รศ คณาธป ทองรววงศ [email protected]
ขอยกเวนหลก
• มาตรา 4 พระราชบญญตนไมใชบงคบแก
• (1) การเกบรวบรวม ใช หรอเปดเผยขอมลสวนบคคลของบคคลทท าการเกบรวบรวมขอมลสวนบคคลเพอประโยชนสวนตนหรอเพอกจกรรมในครอบครวของบคคลนนเทานน
• (2) การด าเนนการของหนวยงานของรฐทมหนาทในการรกษาความมนคงของรฐ ซงรวมถงความมนคงทางการคลงของรฐ หรอการรกษาความปลอดภยของประชาชน รวมทงหนาทเกยวกบการปองกนและปราบปรามการฟอกเงน นตวทยาศาสตร หรอการรกษาความมนคงปลอดภยไซเบอร
• (3) บคคลหรอนตบคคลซงใชหรอเปดเผยขอมลสวนบคคลทท าการเกบรวบรวมไวเฉพาะเพอกจการสอมวลชน งานศลปกรรม หรองานวรรณกรรมอนเปนไปตามจรยธรรมแหงการประกอบวชาชพหรอเปนประโยชนสาธารณะเทานน
รศ คณาธป ทองรววงศ [email protected]
• (4) สภาผแทนราษฎร วฒสภา และรฐสภา รวมถงคณะกรรมาธการทแตงตงโดยสภาดงกลาว ซงเกบรวบรวม ใช หรอเปดเผยขอมลสวนบคคลในการพจารณาตามหนาทและอ านาจของสภาผแทนราษฎร วฒสภา รฐสภา หรอคณะกรรมาธการ แลวแตกรณ
• (5) การพจารณาพพากษาคดของศาลและการด าเนนงานของเจาหนาทในกระบวนการพจารณาคด การบงคบคด และการวางทรพย รวมทงการด าเนนงานตามกระบวนการยตธรรมทางอาญา
• (6) การด าเนนการกบขอมลของบรษทขอมลเครดตและสมาชกตามกฎหมายวาดวยการประกอบธรกจขอมลเครดต
รศ คณาธป ทองรววงศ [email protected]
นยาม ขอมลสวนบคคล (Personal Data) : GDPR
• "Personal data" means any information relating to an identified or identifiable natural person ("data subject"); an identifiable person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that person
รศ คณาธป ทองรววงศ [email protected]
• expanded:
• IP addresses, application user IDs, Global Positioning System (GPS) data, cookies, media access control (MAC) addresses, unique mobile device identifiers (UDID), and International Mobile Equipment IDs (IMEI) are some examples.
รศ คณาธป ทองรววงศ [email protected]
• มาตรา 6 ในพระราชบญญตน
• “ขอมลสวนบคคล” หมายความวา ขอมลเกยวกบบคคลซงท าใหสามารถระบตวบคคลนนไดไมวาทางตรงหรอทางออม แตไมรวมถงขอมลของผถงแกกรรมโดยเฉพาะ
รศ คณาธป ทองรววงศ [email protected]
ขอมลสวนบคคลทเกยวกบการประกนภย (ลกคา) กอนการท าสญญา
ขอมลเพอน ามาวเคราะห
• ดานการเงน
• ดานความเสยงสวนบคคล
• ดานการเกดเหตตางๆ ตามสญญา
ความเสยง และ เหตทางกฎหมาย
ยนยอม ปฎบตตามสญญา ปฎบตตามกฎหมายของผควบคม Legitimate interest ประโยชนโดยชอบของผควบคมขอมล ความเสยง ม 26
รศ คณาธป ทองรววงศ [email protected]
ขอมลสวนบคคลทเกยวกบการประกนภย (ลกคา) หลงท าสญญา
ขอมลเพอน ามาวเคราะห
• ดานการเกดเหตตางๆ ตามสญญา
• ขอมลจากแหลงตางๆ
• เพอการตรวจสอบ
• เหตปฎเสธการจาย
ความเสยง และ เหตทางกฎหมาย
ยนยอม
ปฎบตตามสญญา
ปฎบตตามกฎหมายของผควบคม
Legitimate interest ประโยชนโดยชอบของผควบคมขอมล
รศ คณาธป ทองรววงศ [email protected]
กรณเหลานตองหาเหตในการเกบหรอใชขอมลหรอไม
• Ex. Digital map
• Ex. key-coded data
--clinical investigators (healthcare professionals)
-- pharmaceutical companies
รศ คณาธป ทองรววงศ [email protected]
การสงขอมลใหภาครฐ :ขอยกเวน มาตรา 4 / 24
• กฎหมายอน นอกเหนอจาก พรบ ขอมลสวนบคคล
• ก าหนดใหเกบ ใช เปดเผยขอมลสวนบคคล.
• กฎหมายภาษอากร ฟอกเงน แรงงาน ฯลฯ
รศ คณาธป ทองรววงศ [email protected]
ขอยกเวน : กฎหมายอน / ปฎบตตามกฎหมาย
• พรบ การรกษาความมนคงไซเบอร 2562
• การสงเรยกใหสงขอมลตามมาตรา 62
• ผใหขอมลทท าโดยสจรต ไดรบความคมครอง ไมถอวาเปนการละเมดหรอผดสญญา
• มาตรา 62 วรรคทาย
รศ คณาธป ทองรววงศ [email protected]
• เปนเพยงเหตหนงในบรรดา “lawful ground”
• เงอนไขของการ เกบ ใช เปดเผย ขอมลสวนบคคล
• องคกรอาจเลอกใช ฐานน หรอ ฐานอน ??
รศ คณาธป ทองรววงศ [email protected]
เหตหลก : ความยนยอม : Consent
ความยนยอมตามกฎหมายยโรป GDPR consent
• Article 4(11) of the GDPR defines consent as:
• “any freely given, specific, informed and unambiguous indication of the data subject's wishes by which he or she, by a statement or by a clear affirmative action, signifies agreement to the processing of personal data relating to him or her.”
รศ คณาธป ทองรววงศ [email protected]
1 Freely given
• มาตรา 19 วรรคส
• ในการขอความยนยอมจากเจาของขอมลสวนบคคล ผควบคมขอมลสวนบคคลตองค านงอยางถงทสดในความเปนอสระของเจาของขอมลสวนบคคลในการใหความยนยอม ทงน ในการเขาท าสญญาซงรวมถงการใหบรการใด ๆ ตองไมมเงอนไขในการใหความยนยอมเพอเกบรวบรวม ใช หรอเปดเผยขอมลสวนบคคลทไมมความจ าเปนหรอเกยวของส าหรบการเขาท าสญญาซงรวมถงการใหบรการนน ๆ
รศ คณาธป ทองรววงศ [email protected]
ตวอยางแนวการตความของยโรป ความยนยอมทไมอสระ
• A mobile app for photo editing asks its users to have their GPS localisation activated for the use of its services.
• A public school asks students for consent to use their photographs for website display
• A bank asks customers for consent to allow third parties to use their payment details for direct marketing purposes.
รศ คณาธป ทองรววงศ [email protected]
2 Specific + 3 Unambiguous
• ในการขอความยนยอมจากเจาของขอมลสวนบคคล ผควบคมขอมลสวนบคคลตองแจงวตถประสงคของการเกบรวบรวม ใช หรอเปดเผยขอมลสวนบคคลไปดวย และการขอความยนยอมนนตองแยกสวนออกจากขอความอนอยางชดเจน มแบบหรอขอความทเขาถงไดงายและเขาใจได รวมทงใชภาษาทอานงาย และไมเปนการหลอกลวงหรอท าใหเจาของขอมลสวนบคคลเขาใจผดในวตถประสงคดงกลาว
รศ คณาธป ทองรววงศ [email protected]
แบบ วธการ ขอความยนยอม
• มาตรา 19
• การขอความยนยอมตองท าโดยชดแจง เปนหนงสอหรอท าโดยผานระบบอเลกทรอนกส เวนแตโดยสภาพไมอาจขอความยนยอมดวยวธการดงกลาวได
• ประเดนปญหาเกยวกบ ความยนยอมโดยปรยาย
(Implied consent)
รศ คณาธป ทองรววงศ [email protected]
4 Informed consent
• มาตรา ๒๓ ในการเกบรวบรวมขอมลสวนบคคล ผควบคมขอมลสวนบคคลจะตองแจงให
เจาของขอมลสวนบคคลทราบกอนหรอในขณะเกบรวบรวมขอมลสวนบคคลถงรายละเอยด ดงตอไปน เวนแตเจาของขอมลสวนบคคลไดทราบถงรายละเอยดนนอยแลว
• (๑) วตถประสงคของการเกบรวบรวมเพอการน าขอมลสวนบคคลไปใชหรอเปดเผยซงรวมถงวตถประสงคตามทมาตรา ๒๔ ใหอ านาจในการเกบรวบรวมไดโดยไมไดรบความยนยอมจากเจาของขอมลสวนบคคล
• (๒) แจงใหทราบถงกรณทเจาของขอมลสวนบคคลตองใหขอมลสวนบคคลเพอปฏบตตามกฎหมายหรอสญญาหรอมความจ าเปนตองใหขอมลสวนบคคลเพอเขาท าสญญา รวมทงแจงถงผลกระทบทเปนไปไดจากการไมใหขอมลสวนบคคล
รศ คณาธป ทองรววงศ [email protected]
• (๓) ขอมลสวนบคคลทจะมการเกบรวบรวมและระยะเวลาในการเกบรวบรวมไว ทงน ในกรณทไมสามารถก าหนดระยะเวลาดงกลาวไดชดเจน ใหก าหนดระยะเวลาทอาจคาดหมายไดตามมาตรฐานของการเกบรวบรวม
• (๔) ประเภทของบคคลหรอหนวยงานซงขอมลสวนบคคลทเกบรวบรวมอาจจะถกเปดเผย
• (๕) ขอมลเกยวกบผควบคมขอมลสวนบคคล สถานทตดตอ และวธการตดตอในกรณทมตวแทนหรอเจาหนาทคมครองขอมลสวนบคคล ใหแจงขอมล สถานทตดตอ และวธการตดตอของตวแทนหรอเจาหนาทคมครองขอมลสวนบคคลดวย
• (๖) สทธของเจาของขอมลสวนบคคลตามมาตรา ๑๙ วรรคหา มาตรา ๓๐ วรรคหนง มาตรา ๓๑ วรรคหนง มาตรา ๓๒ วรรคหนง มาตรา ๓๓ วรรคหนง มาตรา ๓๔ วรรคหนง มาตรา ๓๖ วรรคหนง และมาตรา ๗๓ วรรคหนง
รศ คณาธป ทองรววงศ [email protected]
ผลตอเนองของการแจงรายละเอยด ม 23
•มาตรา 23
•หนาทท าลาย ม 37 ผลในแง
ระยะเวลาจดเกบ
•ตามวตถประสงค ม.21
•โยงกบ วตถประสงค 23 ผลในแงการน าไปใช
รศ คณาธป ทองรววงศ [email protected]
ความยนยอมส าหรบกรณพเศษ
•กฎหมายไทยมาตรา 20
เดก
•กฎหมายไทยมาตรา 26
•Explicit
ขอมล Sensitive
รศ คณาธป ทองรววงศ [email protected]
• มาตรา 26 หามมใหเกบรวบรวมขอมลสวนบคคลเกยวกบเชอชาต เผาพนธ ความคดเหนทางการเมอง ความเชอในลทธ ศาสนาหรอปรชญา พฤตกรรมทางเพศ ประวตอาชญากรรม ขอมลสขภาพ ความพการ ขอมลสหภาพแรงงาน ขอมลพนธกรรม ขอมลชวภาพ หรอขอมลอนใดซงกระทบตอเจาของขอมลสวนบคคลในท านองเดยวกนตามทคณะกรรมการประกาศก าหนด โดยไมไดรบความยนยอมโดยชดแจงจากเจาของขอมลสวนบคคล เวนแต
รศ คณาธป ทองรววงศ [email protected]
เหตอนนอกจากความยนยอม : Contract
• GDPR 6(1)(b)
• “processing is necessary for the performance of a contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract”
• มาตรา 24 (3) เปนการจ าเปนเพอการปฏบตตามสญญาซงเจาของขอมลสวนบคคลเปนคสญญาหรอเพอใชในการด าเนนการตามค าขอของเจาของขอมลสวนบคคลกอนเขาท าสญญานน
รศ คณาธป ทองรววงศ [email protected]
Contract : UK interpretation
• ….you have a contract with the individual and you need to process their personal data so that they can comply with specific counter-obligations under the contract
• (processing payment details).
รศ คณาธป ทองรววงศ [email protected]
Necessary to perform contract ?
• data subject makes an online purchase
• a controller processes the address of the individual in order to deliver the goods.
รศ คณาธป ทองรววงศ [email protected]
Necessary to perform contract ?
• the profiling of an individual’s interests and preferences based on items purchased
• KYC
• Analytic for Target advertising
รศ คณาธป ทองรววงศ [email protected]
• กอนการรบประกน
• เกบ ใช วเคราะหขอมล จ าเปนตามสญญา ?
• หลงการรบประกน
• เกบ ใช วเคราะหขอมล จ าเปนตามสญญา ?
รศ คณาธป ทองรววงศ [email protected]
legitimate interest
• GDPR article 6 (f)
• processing is necessary for the purposes of the legitimate interests pursued by the controller or by a third party, except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject which require protection of personal data, in particular where the data subject is a child.
รศ คณาธป ทองรววงศ [email protected]
Ex ?
• A bank asks customers for consent to allow third parties to use their payment details for direct marketing purposes.
• If the customer’s refusal to consent to this processing purpose would lead to the denial of banking services, closure of the bank account, an increase of the fee,
• necessary for the performance of the contract ??
• Legitimate ?
รศ คณาธป ทองรววงศ [email protected]
Legitimate Interest ตาม พรบ ขอมลสวนบคคล
• มาตรา 24 (5)
• เปนการจ าเปนเพอประโยชนโดยชอบดวยกฎหมายของผควบคมขอมลสวนบคคลหรอของบคคลหรอนตบคคลอนทไมใชผควบคมขอมลสวนบคคล เวนแตประโยชนดงกลาวมความส าคญนอยกวาสทธขนพนฐานในขอมลสวนบคคลของเจาของขอมลสวนบคคล
รศ คณาธป ทองรววงศ [email protected]
Recital GDPR
• Appropriate relationship between the data subject and the controller
• Ex where the data subject is a client or in the service of the controller
• direct marketing
• administrative transfers within a group of companies.
• fraud prevention
รศ คณาธป ทองรววงศ [email protected]
ความส าคญของ “เหตอน” ตามมาตรา 24 นอกเหนอจาก ความยนยอม
• มาตรา 25 หามมใหผควบคมขอมลสวนบคคลท าการเกบรวบรวมขอมลสวนบคคลจากแหลงอนทไมใชจากเจาของขอมลสวนบคคลโดยตรง เวนแต
• -ไดแจงถงการเกบรวบรวมขอมลสวนบคคลจากแหลงอนใหแกเจาของขอมลสวนบคคลทราบโดยไมชกชา แตตองไมเกนสามสบวนนบแตวนทเกบรวบรวมและไดรบความยนยอมจากเจาของขอมลสวนบคคล
• -เปนการเกบรวบรวมขอมลสวนบคคลทไดรบยกเวนไมตองขอความยนยอมตามมาตรา 24 ....
รศ คณาธป ทองรววงศ [email protected]
บรษทประกน กบ ฐานทางกฎหมาย ทตางกนในการใชขอมลบคคล
Purpose of processing
• ขอมลลกจาง (ทวไป)
• ขอมลลกจาง (Sensitive)
• ขอมลผ เอาประกน
• เพอตรวจสอบ Fraud
• เพอการจดการเคลม
Legal basis / ground
• ปฎบตตามสญญา
• ยนยอม • ยนยอมโดยชดแจง
• ประโยชนโดยชอบดวยกฎหมาย
• ยนยอมโดยชดแจง
• ปฎบตตามกฎหมาย (อน)
รศ คณาธป ทองรววงศ [email protected]
ผเกยวของกบบรษทประกน กบ ฐานทางกฎหมาย
พนธมตร ชองทางการจ าหนาย
บรษทสนเชอ ลซซง
บรษทนายหนา
บรษทรบจดการเรองสนไหม
Legal basis / ground
• ปฎบตตามสญญา
• ยนยอม • ยนยอมโดยชดแจง
• ประโยชนโดยชอบดวยกฎหมาย
• ยนยอมโดยชดแจง
• ปฎบตตามกฎหมาย (อน)
รศ คณาธป ทองรววงศ [email protected]
กรณ สญญาหวางบรษทประกนและตวแทน
• ตวแทนประกนตกลงยนยอมใหบรษท
• เปดเผยขอมลเกยวกบการปฏบตงานของตวแทน ตามสญญาตวแทนและสญญาเพมเตมใดๆ
• ให.....................และ/หรอหนวยงานอนใดทเกยวของ
รศ คณาธป ทองรววงศ [email protected]
หลกความจ าเปน
• Personal data shall be adequate, relevant and not excessive in relation to the purpose or purposes for which they are processed.
• กฎหมายไทยมาตรา 22
• การเกบรวบรวมขอมลสวนบคคล ใหเกบรวบรวมไดเทาทจ าเปนภายใตวตถประสงคอนชอบดวยกฎหมายของผควบคมขอมลสวนบคคล
รศ คณาธป ทองรววงศ [email protected]
•GDPR : data minimization
• Art.5(1)(c)
• Personal data must be adequate, relevant and limited to what is necessary in relation to the purposes for which those data are processed.
• Minimize the amount of personal data processed
รศ คณาธป ทองรววงศ [email protected]
สทธขอเขาถงและขอรบส าเนาขอมลสวนบคคลทเกยวกบตน – [Right to access s30] สทธขอรบขอมลสวนบคคลทเกยวกบตนโดยอตโนมตและขอใหสงหรอโอนไปยงผควบคมขอมลสวนบคคลอนโดยอตโนมต – [Right to data portability s31] สทธคดคานการประมวลผล – [Right to object s32] สทธขอใหลบหรอท าลาย หรอท าใหไมสามารถระบตวตน – [Right to erasure s33] สทธขอใหระงบการประมวลผล - [Right to restriction of processing s34] สทธขอใหขอมลเปนปจจบน สมบรณ ไมกอใหเกดความเขาใจผด – [Right to Rectification s36]
• สทธของเจาของขอมลสวนบคคล มาตรา 30-34
รศ คณาธป ทองรววงศ [email protected]
สทธถอนความยนยอม มาตรา 19 และกลยทธการรบมอ
• เจาของขอมลสวนบคคลจะถอนความยนยอมเสยเมอใดกได
• โดยจะตองถอนความยนยอมไดงายเชนเดยวกบการใหความยนยอม
• เวนแตมขอจ ากดสทธในการถอนความยนยอมโดยกฎหมายหรอสญญาทใหประโยชนแกเจาของขอมลสวนบคคล
รศ คณาธป ทองรววงศ [email protected]
สทธขอใหลบ Right to be forgotten • มาตรา 33 เจาของขอมลสวนบคคลมสทธขอใหผควบคมขอมลสวนบคคลด าเนนการลบหรอท าลาย หรอท าให
ขอมลสวนบคคลเปนขอมลทไมสามารถระบตวบคคลทเปนเจาของขอมลสวนบคคลได ในกรณดงตอไปน
• (1) เมอขอมลสวนบคคลหมดความจ าเปนในการเกบรกษาไวตามวตถประสงคในการเกบรวบรวม ใช หรอเปดเผยขอมลสวนบคคล
• (2) เมอเจาของขอมลสวนบคคลถอนความยนยอมในการเกบรวบรวม ใช หรอเปดเผยขอมลสวนบคคลและผควบคมขอมลสวนบคคลไมมอ านาจตามกฎหมายทจะเกบรวบรวม ใช หรอเปดเผยขอมลสวนบคคลนนไดตอไป
• (3) เมอเจาของขอมลสวนบคคลคดคานการเกบรวบรวม และผควบคมขอมลสวนบคคลไมอาจปฏเสธค าขอ
• (4) เมอขอมลสวนบคคลไดถกเกบรวบรวม ใช หรอเปดเผยโดยไมชอบดวยกฎหมายตามทก าหนดไวในหมวดน
รศ คณาธป ทองรววงศ [email protected]
การปฎเสธ “Right to be forgotten”
• ความจ าเปน ตาม วตถประสงค
• หาเหตตามกฎหมายทจะปฎเสธการถอนความยนยอม • ( เวนแตมขอจ ากดสทธในการถอนความยนยอมโดยกฎหมายหรอสญญาท
ใหประโยชนแกเจาของขอมลสวนบคคล : มาตรา 19)
• หาเหตตามกฎหมายทจะปฎเสธสทธคดคาน (มาตรา 32) เปนไปเพอกอตงสทธเรยกรองตามกฎหมาย การปฏบตตามหรอการใชสทธเรยกรองตามกฎหมาย หรอการยกขนตอสสทธเรยกรองตามกฎหมาย รศ คณาธป ทองรววงศ [email protected]
เจาหนาทคมครองขอมล (DPO) : หนาท
• (1) ใหค าแนะน าแกผควบคมขอมลสวนบคคลหรอผประมวลผลขอมลสวนบคคล รวมทงลกจางหรอผ รบจางของผควบคมขอมลสวนบคคลหรอผประมวลผลขอมลสวนบคคลเกยวกบการปฏบตตามพระราชบญญตน
• (2) ตรวจสอบการด าเนนงานของผควบคมขอมลสวนบคคลหรอผประมวลผลขอมลสวนบคคล รวมทงลกจางหรอผรบจางของผควบคมขอมลสวนบคคลหรอผประมวลผลขอมลสวนบคคลเกยวกบการเกบรวบรวม ใช หรอเปดเผยขอมลสวนบคคลเพอใหเปนไปตามพระราชบญญตน
• (3) ประสานงานและใหความรวมมอกบส านกงานในกรณทมปญหาเกยวกบการเกบรวบรวม ใช หรอเปดเผยขอมลสวนบคคลของผควบคมขอมลสวนบคคลหรอผประมวลผลขอมลสวนบคคล รวมทงลกจางหรอผ รบจางของผควบคมขอมลสวนบคคลหรอผประมวลผลขอมลสวนบคคลในการปฏบตตามพระราชบญญตน
• (4) รกษาความลบของขอมลสวนบคคลทตนลวงรหรอไดมาเนองจากการปฏบตหนาทตามพระราชบญญตน
รศ คณาธป ทองรววงศ [email protected]
มาตรา 42
• ผควบคมขอมลสวนบคคลหรอผประมวลผลขอมลสวนบคคลจะใหเจาหนาทคมครองขอมลสวนบคคลออกจากงานหรอเลกสญญาการจางดวยเหตทเจาหนาทคมครองขอมลสวนบคคลปฏบตหนาทตามพระราชบญญตนไมได
• ในกรณทมปญหาในการปฏบตหนาท เจาหนาทคมครองขอมลสวนบคคลตองสามารถรายงานไปยงผบรหารสงสดของผควบคมขอมลสวนบคคลหรอผประมวลผลขอมลสวนบคคลโดยตรงได
รศ คณาธป ทองรววงศ [email protected]
เฉพาะองคกรบางประเภททตองม DPO
• มาตรา 41 • (1) ผควบคมขอมลสวนบคคลหรอผประมวลผลขอมลสวนบคคลเปนหนวยงานของ
รฐตามทคณะกรรมการประกาศก าหนด
• (2) การด าเนนกจกรรมของผควบคมขอมลสวนบคคลหรอผประมวลผลขอมลสวนบคคลในการเกบรวบรวม ใช หรอเปดเผย จ าเปนตองตรวจสอบขอมลสวนบคคลหรอระบบอยางสม าเสมอโดยเหตทมขอมลสวนบคคลเปนจ านวนมากตามทคณะกรรมการประกาศก าหนด
• (3) กจกรรมหลกของผควบคมขอมลสวนบคคลหรอผประมวลผลขอมลสวนบคคลเปนการเกบรวบรวม ใช หรอเปดเผยขอมลสวนบคคลตามมาตรา ๒๖
รศ คณาธป ทองรววงศ [email protected]
สรป
Compliance issues • สรางฐานทางกฎหมายเพอ เกบ ใช เปดเผย
• สรางระบบรองรบการใชสทธ
• รองรบความสมพนธกบ Processor
• แนวปฎบตการเกบรกษา การท าลาย การรกษาความปลอดภย
Method
• สญญา สภาพของธรกจ
• สญญา / ระบบ
• สญญา
• Policy / ระบบ
รศ คณาธป ทองรววงศ [email protected]
Check points : Policy preparation
IT Policy เนอหา คอ ? กฎหมายบงคบ ?
Social media Policy เนอหา คอ ? กฎหมายบงคบ ?
Data Protection Policy (Internal) กฎหมายบงคบ?
Privacy Policy เนอหาคอ ? กฎหมายบงคบ?
รศ คณาธป ทองรววงศ [email protected]
Check points : สญญา
• Agreement with third parties
• C2C : การแชรขอมลระหวางพนธมตร
• C2P : Outsourcing, supplier , vendor • สญญากบเจาของขอมล : แยกระหวาง ยนยอม กบ ปฎบตตามสญญา
รศ คณาธป ทองรววงศ [email protected]
Check points : รองรบการใชสทธ
• ระบบการรบเรองรองเรยน
• แบบฟอรมการใชสทธ ขอแกไข ขอลบ ขอส าเนา ขอคดคาน
• จากเจาของขอมล
รศ คณาธป ทองรววงศ [email protected]
Check points : Data breach
• ระบบความปลอดภย (Technical / non technical)
• แบบฟอรมหนงสอ Notice
• ฝายทท าการแจง
• การแจงทงตอหนวยงานรฐและตอเจาของขอมล
รศ คณาธป ทองรววงศ [email protected]
กลไกการบงคบและโทษ
โทษอาญา
บคคลธรรมดา
นตบคคล
เฉพาะการฝาฝน
26 27 28
คาเสยหายทางแพง
ผควบคมขอมล
ผประมวลขอมล
โทษปรบทางปกครอง
การฝาฝนหนาทตางๆ
1 ลาน 3 ลาน 5 ลาน
รศ คณาธป ทองรววงศ [email protected]
คาเสยหายทางแพง Compensation (Civil case)
• มาตรา 77 ผควบคมขอมลสวนบคคลหรอผประมวลผลขอมลสวนบคคลซงด าเนนการใด ๆ เกยวกบขอมลสวนบคคลอนเปนการฝาฝนหรอไมปฏบตตามบทบญญตแหงพระราชบญญตนท าใหเกดความเสยหายตอเจาของขอมลสวนบคคล ตองชดใชคาสนไหมทดแทนเพอการนนแกเจาของขอมลสวนบคคล ไมวาการด าเนนการนนจะเกดจากการกระท าโดยจงใจหรอประมาทเลนเลอหรอไมกตาม เวนแตผควบคมขอมลสวนบคคลหรอผประมวลผลขอมลสวนบคคลนนจะพสจนไดวา
• (1) ความเสยหายนนเกดจากเหตสดวสย หรอเกดจากการกระท าหรอละเวนการกระท าของเจาของขอมลสวนบคคลนนเอง
• (2) เปนการปฏบตตามค าสงของเจาหนาทซงปฏบตการตามหนาทและอ านาจตามกฎหมาย
• คาสนไหมทดแทนตามวรรคหนง ใหหมายความรวมถงคาใชจายทงหมดทเจาของขอมลสวนบคคลไดใชจายไปตามความจ าเปนในการปองกนความเสยหายทก าลงจะเกดขนหรอระงบความเสยหายทเกดขนแลวดวย
รศ คณาธป ทองรววงศ [email protected]
โทษอาญา
• มาตรา 79 ผควบคมขอมลสวนบคคลผใดฝาฝนมาตรา 27 วรรคหนงหรอวรรคสอง หรอไมปฏบตตามมาตรา 28 อนเกยวกบขอมลสวนบคคลตามมาตรา 26 โดยประการทนาจะท าใหผอนเกดความเสยหาย เสยชอเสยง ถกดหมน ถกเกลยดชง หรอไดรบความอบอาย ตองระวางโทษจ าคกไมเกนหกเดอน หรอปรบไมเกนหาแสนบาท หรอทงจ าทงปรบ
• ผควบคมขอมลสวนบคคลผใดฝาฝนมาตรา 27 วรรคหนงหรอวรรคสอง หรอไมปฏบตตามมาตรา 28 อนเกยวกบขอมลสวนบคคลตามมาตรา 26 เพอแสวงหาประโยชนทมควรไดโดยชอบดวยกฎหมายส าหรบตนเองหรอผอน ตองระวางโทษจ าคกไมเกนหนงป หรอปรบไมเกนหนงลานบาท หรอทงจ าทงปรบ
• ความผดตามมาตรานเปนความผดอนยอมความได
รศ คณาธป ทองรววงศ [email protected]
โทษอาญาของกรรมการ
• มาตรา 81
• ในกรณทผกระท าความผดตามพระราชบญญตนเปนนตบคคล
• ถาการกระท าความผดของนตบคคลนนเกดจากการสงการหรอการกระท าของกรรมการหรอผจดการหรอบคคลใดซงรบผดชอบในการด าเนนงานของนตบคคลนน หรอในกรณทบคคลดงกลาวมหนาทตองสงการหรอกระท าการและละเวนไมสงการหรอไมกระท าการจนเปนเหตใหนตบคคลนนกระท าความผด ผนนตองรบโทษตามทบญญตไวส าหรบความผดนน ๆ ดวย
รศ คณาธป ทองรววงศ [email protected]
โทษปรบทางปกครองหนงลาน
• มาตรา 82 ผควบคมขอมลสวนบคคลผใดไมปฏบตตามมาตรา 23 ...หรอไมขอความยนยอมตามมาตรา 19 วรรคสาม หรอไมแจงผลกระทบจากการถอนความยนยอมตามมาตรา 19 วรรคหก ....ระวางโทษปรบทางปกครองไมเกนหนงลานบาท
รศ คณาธป ทองรววงศ [email protected]
โทษปรบทางปกครองสามลาน
• มาตรา 83 ผควบคมขอมลสวนบคคลผใดฝาฝนหรอไมปฏบตตามมาตรา 21 มาตรา 22 มาตรา 24......หรอขอความยนยอมโดยการหลอกลวงหรอท าใหเจาของขอมลสวนบคคลเขาใจผดในวตถประสงค หรอไมปฏบตตามมาตรา 21 .....หรอสงหรอโอนขอมลสวนบคคลโดยไมเปนไปตามมาตรา 29 วรรคหนงหรอวรรคสาม ตองระวางโทษปรบทางปกครองไมเกนสามลานบาท
รศ คณาธป ทองรววงศ [email protected]
โทษปรบทางปกครองหาลาน
• มาตรา 84 ผควบคมขอมลสวนบคคลผใดฝาฝนมาตรา 26 วรรคหนงหรอวรรคสาม หรอฝาฝนมาตรา 27 วรรคหนงหรอวรรคสอง หรอมาตรา 28 อนเกยวกบขอมลสวนบคคลตามมาตรา 26 หรอสงหรอโอนขอมลสวนบคคลตามมาตรา 26 โดยไมเปนไปตามมาตรา 29 วรรคหนงหรอวรรคสาม ตองระวางโทษปรบทางปกครองไมเกนหาลานบาท
รศ คณาธป ทองรววงศ [email protected]
Ex ตวแทนประกนน าขอมลของลกคาไปเผยแพร
• มาตรา 37 ผควบคมขอมลสวนบคคลมหนาท ด าเนนการเพอปองกนมใหผประมวลผลใชหรอเปดเผยขอมลสวนบคคลโดยปราศจากอ านาจหรอโดยมชอบ
• มาตรา 40 ผประมวลตองเกบ ใช ขอมลตามค าสงเทานน .... ผควบคมขอมลสวนบคคลตองจดใหมขอตกลงระหวางกน เพอควบคมการด าเนนงานตามหนาทของผประมวลผลขอมลสวนบคคล
• มาตรา 83 ผควบคมขอมลสวนบคคลผใดฝาฝนหรอไมปฏบตตามมาตรา 37 ตองระวางโทษปรบทางปกครองไมเกนสามลานบาท
รศ คณาธป ทองรววงศ [email protected]
• มาตรา 86 ผประมวลผลขอมลสวนบคคลผใดไมปฏบตตามมาตรา 40 ....ตองระวางโทษปรบทางปกครองไมเกนสามลานบาท
• มาตรา 77 ผควบคมขอมลสวนบคคลหรอผประมวลผลขอมลสวนบคคลซงด าเนนการใด ๆ...ฝาฝน..พระราชบญญตนท าใหเกดความเสยหายตอเจาของขอมลสวนบคคล ตองชดใชคาสนไหมทดแทนเพอการนนแกเจาของขอมลสวนบคคล ไมวาการด าเนนการนนจะเกดจากการกระท าโดยจงใจหรอประมาทเลนเลอหรอไมกตาม
รศ คณาธป ทองรววงศ [email protected]
รศ คณาธป ทองรววงศ Kanathip thongrawewong Associate Professor of law (Data Protection and cyber crime laws) ผอ านวยการสถาบนกฎหมายสอดจทล มหาวทยาลยเกษมบณฑต
Director of Digital Media Law Institution , Kasembundit University 088-183-4879 [email protected]