Privacy Data Protection - egovernment-forum.com Data Protection.pdf · ศูนย์การเรียนรู้ด้านการค้มุครองข้อมูลส่วนบคุคล

ศนยการเรยนรดานการคมครองขอมลสวนบคคล (Data Protection Knowledge Center: DPKC) ส านกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน)

กระทรวงดจทลเพอแศรษฐกจและสงคม

“Privacy”“Data Protection”

ชาตชาย สทธาเวศรองผอ ำนวยกำร

ส ำนกงำนพฒนำธรกรรมทำงอเลกทรอนกส (องคกำรมหำชน)



• ท ำควำมเขำใจ “ขอมลสวนบคคล”

• เหตกำรณส ำคญทเกยวของ

• คนไทยดแลเรองขอมลสวนบคคลอยำงไร

• โลกท ำอะไรเรองกำรคมครองขอมลสวนบคคล

• ขำวดทจะเกดขนในประเทศไทย

2


กระทรวงดจทลเพอแศรษฐกจและสงคม 3

เทคโนโลยกาวหนา กบการดแลขอมลสวนบคคล

Internet of Things (IoT)เชอมตอกบอนเทอรเนต 8,400 ลานชน

ผใชอนเทอรเนต3,300 ลาน

ท าใหมขอมลสวนบคคลทถกเกบรวบรวมมจ านวนมากขน

3



ความสมพนธระหวาง ความเปนสวนตว และ ขอมลสวนบคคล

ขอมลสวนบคคล

ความเปนสวนตว

ขอมลเกยวกบบคคลซงท าใหสามารถระบตวบคคลนนไดไมวาทางตรงหรอ

ทางออม

เชน สทธทจะอยโดยล าพง (The right to be let alone)

ขอมลอาจถกน าไปใชอะไรบาง?

Identity theft“ถกขโมยตวตน”

เพอใชกออาชญกรรม และโจรกรรมขอมลทางการเงน

“ประมวลขอมล เพอใชก าหนด Profile”Profiling

เพอเจาะโฆษณาหาประโยชนทางการเมอง / การตลาด

“ขอมลถกขายใหบคคลท 3”เพอใชประโยชนทางการตลาด เชน กรณของ Facebook และ Cambridge Analytica

Misuse

“ตดตามสะกดรอยสอดแนม”Tracking Stalking

“SPAM”

ท าใหมขอมลสวนบคคลทถกเกบรวบรวมมจ านวนมาก

อปกรณตาง ๆ มการเชอมตอกบอนเทอรเนต 8,400 ลานชน

“Privacy”

▪ เจาของขอมล Data Subject คอ ?บคคลธรรมดา ทยงมชวต ซงเปนบคคลทขอมลสวนบคคลระบหรอเชอมโยงถง

▪ ผควบคมขอมลสวนบคคลData Controller คอ ?

บคคลหรอนตบคคล ซงมอ านาจหนาทตดสนใจ เกยวกบการเกบรวบรวม ใช หรอเปดเผยขอมลสวนบคคล

▪ ผประมวลผลขอมลสวนบคคล Data Processer คอ ?

บคคลหรอนตบคคล ซงด าเนนการเกยวกบการเกบรวบรวม ใช หรอเปดเผยขอมลสวนบคคล ภายใตค าสงหรอในนามของผควบคมขอมลสวนบคคล



เหตการณส าคญในไทย

กรกฎาคม 60บรษท Equifaxขอมลสวนบคคลของผบรโภคชาวสหรฐฯ ร วไหล145 ลานคน

พฤศจกายน 60บรษท Uberขอมลสวนบคคลของคนขบรถและผใชบรการ ร วไหล 53 ลานคน

มกราคม 61ระบบฐานขอมลประชาชนของอนเดยกวา1,000 ลานคน ตกเปนขาววามชองโหวใหผไมประสงคดเขาถงไดโดยไมไดรบอนญาต

FACEBOOK ยอมรบวาดแลขอมลสวนบคคลของ USER ไมเพยงพอ ท าให Cambridge Analytica น าขอมลไปวจยท าแคมแปญหาเสยงเลอกตง

มลแวร WannaCryและ Petya แพรระบาดเครองคอมพวเตอรทใช

ระบบ ปฏบตการ Microsoft Windows จ านวนหนงในไทยถกเขารหสขอมล

พฤษภาคม 60

มรายงานวา ขอมลลกคา TrueMoveHทจดเกบไวบนระบบ Cloud Amazon S3ร วไหล นกวจยสามารถเขาถงขอมลไดจ านวนประมาณ 46,000 ไฟล

เมษายน 61

เมอมอปกรณ Internet of Things (IoT) เชอมตอกบอนเทอรเนต 8.4 พนลานชน

การเกบและใชขอมลสวนบคคลจ านวนมากขน

คนไทย กวา 31%ของผใชงานอนเทอรเนต

เพยง 12.3% อานขอตกลงและนโยบายโดยละเอยด

การใชขอมลหรอ App กอนเขาใชงาน

67% ระบวาใชเวลานานเกนไป

42.9% ระบวาขอความเขาใจยาก

ไมกงวลทมขอมลสวนตวทางสงคมออนไลน

24.4% ไมต งคาความเปนสวนตว (Privacy Setting) บน Social Network 45% ของคนกลมน ระบวา ไมทราบวธการตงคา

กวา 70% ตระหนกวาเจาของขอมลมบทบาทส าคญทสดใน

การดแลขอมล

รายงานผลการส ารวจพฤตกรรมผใชอนเทอรเนตในประเทศไทย ป 2561 (Thailand Internet User Profile 2018)

โดย สพธอ.

กรกฎาคม 61

มรายงานการเจาะระบบธนาคารส าคญสองแหง ท าใหขอมลลกคาธนาคารร วไหลกวา 1.2แสนราย

ความตระหนกของคนไทยเกยวกบขอมลสวนบคคล

มนาคม 61

เทคโนโลยทกาวหนา กบการดแลขอมลสวนบคคลปญหาการละเมดขอมลสวนบคคล กบประเดนทางเทคโนโลย เกยวพนกนอยางใกลชด

กรกฎาคม 61

มรายงานขาวการเจาะเขาฐานขอมลสงคเฮลท(SingHealth) 1 ใน 2 สถาบนสขภาพหลกของสงคโปรเพอเอาขอมลสขภาพประชากรกวา 1.5 ลานคน















ประเภทของกำรละเมด (Breach) ขอมลสวนบคคล

กำรละเมดควำมพรอมใชของขอมล(Availability Breach)กำรท ำลำยขอมลสวนบคคลทไมเปนไปตำมกฎหมำยหรอเกดเหตสดวสยท ำใหขอมลเสยหำย

กำรละเมดควำมครบถวนสมบรณของขอมล (Integrity Breach)กำรเปลยนแปลงขอมลสวนบคคล

กำรละเมดควำมลบของขอมล (Confidentiality Breach)กำรเปดเผยหรอเขำถงโดยไมมสทธของขอมลสวนบคคล



1. General Data Protection Regulation (GDPR) ของ EU

2. แนวปฏบตดำนกำรคมครองขอมลสวนบคคล เชน Cross-border Privacy Rules: CBPR ครอบคลมองคกรภาคเอกชนหรอภาคธรกจทสมครใจ ผานกลไกการ Self-regulation โดยก าหนดนโยบายและกฎระเบยบของ

ตนเอง เพอใหคมครองขอมลสวนบคคลทระหวางประเทศ โดยตองสอดคลองกบหลกการคมครองขอมลสวนบคคลของเอเปค (APEC Privacy Principles)

ระบบ CBPRs จะมหนวยงานทเปนผบงคบใชกฎหมาย (Privacy Enforcement Agent) หรอหนวยงานทไดรบการแตงตงใหเปนหนวยตรวจสอบความโปรงใส (Accountability Agent) ของเขตเศรษฐกจสมาชกนนๆ ท าหนาทเปนผตรวจสอบและบงคบใชกรอบการคมครองขอมลสวนบคคลของเอเปค และกฎหมายทเกยวของกบการคมครองขอมลสวนบคคลของประเทศสมาชก

ความส าคญของขอมลสวนบคคล ในเวทระหวางประเทศทมผลตอประเทศไทย

เปนกฎหมายเกยวกบ PRIVACY & DATA PROTECTION แทนท Data Protection Directive 1995

(Directive 95/46/EC)

EU Commission รบรองวนท 27 พฤษภาคม 2016 บงคบใชกบประเทศสมาชก EU วนท 25 พฤษภาคม 2018

หลกเกณฑการคมครองขอมลสวนบคคลทใหเจาของขอมลสามารถควบคมขอมลของตนไดอยางมประสทธภาพมากขน



General Data Protection Regulation (GDPR)

ขอบเขตการใชบงคบ (article 3)

• กจกรรม: การประมวลผลในบรบทของกจกรรมของผควบคมหรอผประมวลผลทตงอยในสหภาพยโรป

• คน: การประมวลผลขอมลสวนบคคลของเจาของขอมลทอยในสหภาพ (who are in the Union) โดยไมดวาผควบคมหรอผประมวลผลจะอยทใด ซงเปนการประมวลผลในกจกรรมทเกยวกบ

o การเสนอสนคาหรอบรการ โดยไมค านงวาจะมการจายเงนหรอไม

o การสงเกตพฤตกรรมของเจาของขอมลซงเกดขนในสหภาพ

• สถานท: การประมวลผลขอมลสวนบคคลโดยผควบคมหรอผประมวลผลทไมไดอยในสหภาพแตอยในสถานทซงกฎหมายของรฐสมาชกใชบงคบตามกฎหมายระหวางประเทศ



GDPR กบผลกระทบทอาจมตอประเทศไทย

1. หนวยงานหรอเอกชนไทยอาจไดรบผลกระทบหากถกพจารณาโดย EU วา มการละเมดตอ

Privacy ของ EU ตามทคณะกรรมการพจารณา โดย GDPR (Article 3)

2. หากประเทศไทยไมมกฎหมายหรอมาตรฐานการดแลขอมลสวนบคคลทเทยบเทา GDPR

อาจสงผลตอการรบโอนขอมลสวนบคคลจาก EU มายงประเทศไทย เวนแตผรบโอนมกลไก

การดแล บงคบตามสทธของเจาของขอมล และการเยยวยาทมประสทธภาพเทยบเทา GDPR

(Article 44-46)

3. กรณอยภายใตเงอนไข GDPR หากมการฝาฝน อาจถกคาปรบ 4 เปอรเซนตของผล

ประกอบการ หรอ 20 ลานยโร (ยงเปนปญหาวาจะมการบงคบในทางระหวางประเทศอยางไร) (Article 83)



หลกการส าคญของ GDPRเพมควำมเขมงวดในกำรคมครองขอมลสวนบคคล + เพมเตมสทธของเจำของขอมล เชน

• ขอมลสวนบคคลทจดเกบตองไดรบควำมยนยอมอยำงอสระ ชดแจง

• แจงวตประสงคกำรใชทเขำใจงำย

• แจงแกไข/ลบ/ใหหยดกำรประมวลผล เมอไมจ ำเปนตองเกบ/ไมประสงคใหน ำขอมลไปใช

• ขอใหโอนยำยขอมลสวนบคคลไปยงผควบคมขอมลสวนบคคลรำยอน

• ผควบคมขอมลตองจดท ำระบบใหเจำของขอมลตองเขำถงขอมลของตนไดอยำงรวดเรว

เพมมำตรกำรแจงเหตกรณมกำรรวไหลของขอมล โดยผควบคมขอมลสวนบคคลภำยใน 72 ชวโมง พรอมรำยละเอยด แกหนวยงำน และเจำของขอมล

ผควบคมขอมลสวนบคคลตองก ำกบดแลบคคลทสำม เชน Vendor ใหปฏบตตำมมำตรกำรดแลขอมลสวนบคคล เชน กำรก ำหนดหนำทตำมสญญำใหชดเจน

ก ำหนดบทลงโทษ หรอก ำหนดคำปรบตำมควำมหนกเบำของกำรกระท ำ โดยคำปรบ ม ๒ กรณ คอ

• breaches of controller or processor obligations ปรบสงสด 10 ลำนยโร / 2% ของผลประกอบกำรทวโลกของปทแลว แลวแตจ ำนวนใดจะสงกวำ

• breaches of data subjects’ rights and freedoms ปรบสงสด 20 ลำนยโร / 4% ของผลประกอบกำรทวโลกของปทแลว แลวแตจ ำนวนใดจะสงกวำแลวแตจ ำนวนใดจะสงกวำ



• ประเมนควำมเสยงและควำมพรอมในกำรดแลขอมลสวนบคคล

• แผนเตรยมพรอมตำมGDPR

• ระบขอทอยของขอมลสวนบคคล

• วำงแผนกำรอบรม แผนกำรสอสำรและมำตรฐำนทเกยวของ

• ก ำหนดมำตรฐำนกำรจดกำรขอมลและบรหำรควำมมนคงปลอดภยของขอมล

• พฒนำขนตอนกำรปฏบตและเครองมอทจ ำเปน

• จดอบรม GDPR

• พฒนำระบบในลกษณะ Privacy by Design และ Security by Design

• น ำไปปฏบตกบธรกจทเกยวของ

• เฝำระวงดำนควำมมนคงปลอดภยและกำรละเมดขอมลสวนบคคลดวยมำตรกำรทำงเทคนคและกำรจดกำร (TOMs)

• จดกำรควำมยนยอมและสทธในกำรเขำถงขอมล

• เฝำระวง ประเมน ตรวจสอบ รำยงำน ควำมสอดคลองกบGDPR

ระบผลกระทบจำก GDPR และวำงแผนมำตรกำรทำงเทคนคและกำรจดกำร (Technical and Organizational Measures: TOMs)

มำตรกำรคมครองขอมลสวนบคคล ทตองปฏบต

TOMs : กำรระบขอมลสวนบคคลกำรจดแบงประเภท และกำรจดกำรและอภบำลขอมล

เรมใชข นตอนกำรปฏบตใหมตำม GDPR

เฝำระวงกำรปฏบตตำมGDPR และรำยงำนผลกำรปฏบตใหผมสวนไดสวนเสยทงภำยในและภำยนอกรบทรำบ

Source: IBM’s GDPR Readiness, Data Responsibility

17



สถานภาพกฎหมายคมครองขอมลสวนบคคลASEAN

ทมา Review of e-commerce legislation harmonization in the Association of Southeast Asian Nations โดย UNTAD

Personal Data Protection Act in 2012

Data Privacy Act (2012).

Personal Data Protection Act 2010

หมายเหต

Partial หมายถง มหลกกฎหมายคมครองขอมลสวนบคคลแทรกในกฎหมายอน โดยยงไมมกฎหมายกลางเฉพาะในเรองน

อยระหวางจดท ากฎหมายกลาง

อยระหวางจดท ากฎหมายกลาง

The Data Protection Act 2017



Timeline กฎหมายคมครองขอมลสวนบคคลของคนไทย(Data Protection Law)

พ.ศ.2545

พ.ศ.2540

พ.ศ.2550

พ.ศ. 2553

พ.ศ.2546

รฐธรรมนญ

พ.ศ.2534

พ.ร.บ. การประกอบธรกจขอมลเครดต : ปกปองขอมลเครดตจากการเปดเผยโดยไมไดรบการยนยอม

ประกาศ คกก.โทรคมนาคมแหงชาต: การประมวลผลขอมลสวนบคคลตองไดรบความยนยอมจากผใชบรการ

• รฐธรรมนญ• พ.ร.บ. สขภาพแหงชาต: ปกปองการเปดเผยขอมลดานสขภาพของบคคล

ประกาศ คกก.ธรกรรมทางอเลกทรอนกสเรอง แนวนโยบายและแนวปฎบตในการคมครองขอมลสวนบคคลของหนวยงานรฐ: ปกปองการเปดเผยขอมลสวนบคคล

พ.ศ. 2560

รฐธรรมนญ

ราง พ.ร.บ.คมครองขอมลสวนบคคล

กระทรวงดจทลเพอเศรษฐกจและสงคมเสนอรางกฎหมายสคก. พจารณาเสรจเมอวนท 23 ส.ค. 61

พ.ศ.2541เรมราง พ.ร.บ.

เสนอราง พ.ร.บ.คมครองขอมลสวนบคคลเขาใน ครม.ครงแรก

20 ป

พ.ศ.2561

พ.ศ.2549

19

พ.ร.บ. ขอมลขาวสารราชการ

พ.ร.บ.คมครองเดก

มาตรการทางกฎหมายของประเทศไทย

• การเปลยนแปลงทางการเมอง

• ความ Complicate ในการท างาน

• การจดองคกรใหม & การยบสวนงานทมอย

• ขนตอนการจดท ากฎหมายทเขมขนยงขน

มาตรา 32 บคคลยอมมสทธในความเปนอยสวนตว

กำรกระท ำละเมดหรอกระทบตอสทธ หรอกำรน ำขอมล

สวนบคคลไปใชประโยชน จะกระท ำมได เวนแต

อำศยอ ำนำจตำมกฎหมำยเทำทจ ำเปนเพอสำธำรณะ



ขอมลสวนบคคล

หนาทผควบคมขอมล

สทธเจาของขอมล

มาตรการความปลอดภย

การละเมดขอมลสวนบคคล

จ าแนกประเภทขอมล

ก าหนดหนาท/ผรบผดชอบ

ชองทางตดตอสอสาร ดแลระบบ IT แจงเจาของขอมล/หนวยงานทเกยวของ

หลกการของราง พ.ร.บ.คมครองขอมลสวนบคคล พ.ศ. ....

หนาทผประมวลผล

ดแลตามค าสงผควบคม



โครงสรางราง พ.ร.บ. ขอมลสวนบคคล พ.ศ. ....

หมวด ๑ คณะกรรมการคมครองขอมลสวนบคคล

หมวด ๒ การคมครองขอมลสวนบคคล

หมวด ๓ สทธของเจาของขอมลสวนบคคล

หมวด ๔ ส านกงานคณะกรรมการคมครองขอมลสวนบคคล

หมวด ๕ การรองเรยน

หมวด ๖ ความรบผดทางแพง

หมวด ๗ บทก าหนดโทษ

บทเฉพาะกาล



โครงสรางราง พ.ร.บ. ขอมลสวนบคคล พ.ศ. ....

▪ ผควบคมขอมลสวนบคคล คอ ใคร บคคลหรอนตบคคล ซงมอ านาจหนาทตดสนใจ เกยวกบการเกบรวบรวม ใช หรอเปดเผยขอมลสวนบคคล”

▪ ผประมวลผลขอมลสวนบคคล คอ ใคร

“ผประมวลผลขอมลสวนบคคล” หมายความวา บคคลหรอนตบคคลซงด าเนนการเกยวกบการเกบรวบรวม ใช หรอเปดเผยขอมลสวนบคคลภายใตค าสงหรอในนามของผควบคมขอมลสวนบคคล

▪ ขอมลสวนบคคล คอ อะไร ขอมลเกยวกบบคคลซงท าให สามารถระบตวบคคลนนไดไมวาทางตรงหรอทางออม...

เปนขอมลของบคคลธรรมดา ทยงมชวต



หนาทของผควบคมของขอมลสวนบคคล และสทธของเจาของขอมล

✓จดใหมมาตรการรกษาความมนคงปลอดภย

✓ท าใหขอมลถกตอง ทนสมย สมบรณ

✓ท าลายขอมลเมอพนก าหนดเวลาจดเกบ / หมดความจ าเปน / เจาของขอมลฯ ถอนความยนยอม

✓ขอความยนยอม เมอเกบรวบรวม ใชและการเปดเผย

✓ แจงประเภทขอมลสวนบคคลทจะเกบ

✓ แจงคนหรอหนวยงานทอาจมการเปดเผยขอมล

✓ เกบเทาทจ าเปน ตองใชหรอเปดเผย ตามวถตประสงค

✓ เกบโดยตรงจากเจาของขอมล

✓แจงเหตละเมดขอมลสวนบคคลพรอม

จดใหมมาตรการเยยวยา

✓ แจงวตถประสงคใหเจาของขอมลทราบ กอนหรอขณะเกบขอมล

✓ วตถประสงค ตองชดเจน ไมหลอกลวง

✓ ใชตามวตถประสงคทไดมการแจง

การเกบรวบรวม ใช เปดเผย

วตถประสงค

การใช outsource

✓ หากใช Outsource ตองจด

มาตรการปองกนทเพยงพอ


แจงเหตละเมด✓ สทธเขาถงขอมล และสทธขอใหเปดเผยถงการไดมา

✓ สทธขอใหระงบการใช / ลบ หากผควบคมไมไดดแลตามกฎหมาย

✓ สทธขอใหผควบคมฯ แกไขขอมลใหถกตอง ทนสมย สมบรณ

แจงสทธเจาของขอมล



หนาทของผประมวลขอมลสวนบคคล

✓จดใหมมาตรการรกษาความมนคง

ปลอดภย

✓ปองกน การสญหาย เขาถง ใช

เปลยนแปลง แกไข หรอเปดเผยขอมล

สวนบคคลโดยไมมอ านาจหรอโดยมชอบ

✓การเกบ รวบรวม ใช เปดเผย

✓ แจงวตถประสงค ในการจดเกบ

✓ แจงสทธเจาของขอมล

* เงอนไข ค าสงตองไมขดตอกฎหมายหรอหลกการคมครองขอมลสวนบคคลตามพระราชบญญตน

✓แจงเหตละเมด ใหผควบคมขอมลสวน

บคคลทราบ

ด าเนนการตามค าสงของผควบคมขอมลสวนบคคล


แจงเหตละเมด

✓จดหา เกบรกษา บนทกรายการของ

กจกรรมการประมวลผลขอมล ตามท

คณะกรรมการประกาศก าหนด

รายงานกจกรรมประมวลผล



ขอปฏบตอนๆ ในการคมครองขอมลสวนบคคล

✓ จดท าขอปฏบตในการคมครองขอมลสวนบคคล เพอเปนแนวทางในการปฏบต

การปฏบตทครบถวน

ขอปฏบตในการคมครองขอมลสวนบคคล

✓ การโอนขอมลไปตางประเทศตองเปนไปตามหลกเกณฑทกฎหมายก าหนด

การโอนขอมลวนบคคลระหวางประเทศ



• แจง/รายงานเหตการณใหเจาของขอมลฯ ทราบ

• รบมอ และบรรเทาความเสยหาย

• วเคราะห และตรวจหาสาเหต

• ปรบปรงระบบทจดเกบขอมลสวนบคคล

หากขอมลรวไหลตองท าอยางไร ?



DPKC ศนยการเรยนรดานการคมครองขอมลสวนบคคล (Data Protection Knowledge Center: DPKC)

“เพอเปนศนยกลางในการใหบรการทางวชาการ

การสงเสรมการเรยนรและพฒนาบคลากร

ตลอดจนการสรางความตระหนกใหกบหนวยงาน องคกร และประชาชน”

ส านกงานศนยการเรยนรดานการคมครองขอมลสวนบคคลส านกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน)อาคารเดอะ ไนน ทาวเวอร แกรนด พระรามเกา (อาคารบ) ชน 20-22เลขท 33/4 ถนนพระราม 9 หวยขวาง กรงเทพฯ

https://www.etda.or.th/dpkc

27

Documents

Privacy Data Protection - egovernment-forum.com Data Protection.pdf · ศูนย์การเรียนรู้ด้านการค้มุครองข้อมูลส่วนบคุคล