Practical Data Protection

Data protection law Effective date: May 2020

“Privacy concerns exist wherever personally identifiable information or other sensitive information is collected, stored, used, and finally destroyed or deleted – in digital form or otherwise. Improper or non-existent disclosure control can be the root cause for privacy issues. Data privacy issues may arise in response to information” Reference: Wikipedia on data privacy.

What’s Data Protection?

Data Protection Data Security Data PrivacyData Accessing (Safeguarding)▪ User Access Control▪ Infrastructure & Network Security▪ Cyber Security

Data Processing▪ Data transfer▪ Data Usage Determination▪ Data Storing▪ Data Destruction

Cyber Security Law

Data Protection Law

Purpose Limitation

Notification

Access and Correction

Accuracy

Protection

Retention Limitation

Transfer Limitation

Law Implication PDPAConsent

The purpose of using personal information but be according to the original intent (consent)

Basic services / Specific services

Purpose of collection, usage, and disclosure must be notified to customers prior to giving consent

Purpose of collection, usage, and disclosure must be notified to customers prior to giving consent

reasonable effort to collect accurate and complete personal data, especially if any decisions made using the personal data affects the individual, and if the personal data will be disclosed to another organisation.

Adequate security standard.

Retention Policy

Privacy by Design in reference to NBTC decision

PDPACollect, Use, and Disclose

Data Subject

Tran

spar

ency

Sect

ion

19

,23

Co

llection

of P

erson

alin

form

ation

(Directly)sectio

n 2

5

Controller

Co

llect

, Use

, an

d D

iscl

ose

To fulfill Contract obligation? Or other exemption in Section

24

Yes

EndNo Consent Required

Explicit Consent Required.No

Consent MgmtPlatform

(Data Tagging, Withdrawal, individual purpose

(Recommended)

- Privacy by design

- DPIA

Request the Withdrawal of

consent) PDPA Readiness

Transparency- Consent Management Procedure- Privacy Notice, & TC

Use of Data

- Must be used for purpose customer has given consent for or to fulfill contract Obligation

- Privacy by Design to be in place.- Privacy Data Shall be regarded as criteria for

Security Assessment

Data Processor

DPA

Consents

Data Accessing Data Processing

Controls Set

• Reconciliation

• SOD

• Process Inv.

Technology

Operations

Self

assessment

As

Necessary/Governed by law

Privacy by Design (DPIA, DPA, DPO, Awareness)

Governed by: Industry Regulations, Applicable laws, GDPR, Corporate PoliciesBreach Handling

Detection/Contain/

Evaluate/Notification/

Preventive actions

Privacy in Operation.Openness

(Data Subject Right)

Data Protection

Process Controls

Retention

TRUST

General

Specific

Privacy by Design• Proactive not Reactive, Preventive not Remedial

• Privacy as Default Setting

• Privacy Embedded into the Design

• Full Functionality

• End-to-End security

• Visibility and Transparency

• Respect for User Privacy

Sensitivity: Internal

Privacy culture

Mitigating risk

As you increase:

• Awareness

• Training

• Security

• Use of formal Processes

• Use of contracts

• Accountability

Your risk of:

• Data breach

• Severe penalties

• Loss of reputation

…will decrease.

Sensitivity: Internal

Supporting Documents

9

Requirements

Data Processing Agreement (DPA)

• Purpose of Processing

• Location of Processing

• Obligations to Subcontractors

• Right to Audit

• Data destruction

Data Privacy Impact

Assessment

• Information Security Framework

• Data processing risk identification and

mitigation

Privacy Awareness

• Technology (In house & Vendors)

• Operation ( In house & Vendors)

• Staffs in General

ดชน ถอยแถลงขอก ำหนด เกณฑ

D-1 กำรบรหำรจดกำรควำมยนยอมทวไป

D-1-1 ระบบจะตองมกลองท ำเครองหมำยถกส ำรบกำรยอมรบขอตกลงและเงอนไข (T&C) ของผลตภณฑของลกคำ Mandatory

D-1-2 ระบบจะตองสำมำรถบนทกและดงขอมลควำมยนยอมทงหมดเพออำงองและตรวจสอบในอนำคตไดทงหมด กลำวคอ กำรบนทกเวลำส ำหรบบญชผใชงำนทม

กำรใชงำนอยในปจจบน

Mandatory

D-1-3 ระบบไมควรเขำถงหรอเกบภำพต ำแหนงสถำนทของเจำของขอมลไวนอกจำกจะเปนผลตภณฑ/แอพพลเคชนทตองใชต ำแหนงสถำนท Mandatory

D-1-4 ระบบจะตองรองรบกำรรองขอของเจำของขอมลเพอลบหรอบลอคขอมลสวนบคคลไมใหมกำรประมวลผลในอนำคตโดยผใชงำนขอมล (มลฐำนทำงกฎหมำย

ทถกตองส ำหรบกำรใชขอมลไมมผลบงคบใชอกตอไป)

Mandatory

D-2 กำรประกำศและกำรบรหำรจดกำรตวเลอก

D-2-1 ฝำยบรกำรลกคำ/ระบบรบมอลกคำตองเกบภำพลงคไปยงขอตกลงและเงอนไขของผลตภณฑ ถอยแถลงเกยวกบควำมเปนสวนตว และหนำทในกำรคมครอง

ขอมล และท ำใหสำมำรถเขำถงบนหนำแลนดงของเวบไซตได

Mandatory

D-2-2 ระบบควรรองรบกำรจดกำรกบควำมยนยอมของผใชงำน/เจำของขอมลและควำมสำมำรถในกำรเชอมตอกบระบบ opt-in/opt-out ภำยนอกได Mandatory

D-3 กำรบรหำรจดกำรควำมปลอดภยของขอมล

D-3-1 ระบบจะตองปฏบตตำมและจดท ำขอมลอำงองถงขอก ำหนดดำนควำมปลอดภยของขอมลในดำนตำง ๆ ทเกยวของกบกำรคมครองขอมลสวนบคคลและ

เกยวของกบกำรนยำมกำรบรรลและกำรรกษำควำมลบ ควำมสมบรณ ควำมพรอม ควำมถกตอง และควำมนำเชอถอของขอมลหรอสถำนทประมวลผลขอมล

บงคบ

D-3-2 ระบบจะตองรบรองวำในกำรรบสงทำงอเลกทรอนก หรอระหวำงกำรขนสงหรอกำรบนทกผขนสงขอมล ขอมลสวนตวไมสำมำรถอำน คดลอก ดดแปลง หรอ

ลบโดยผทไมไดรบอนญำตได และตองสำมำรถตรวจสอบและก ำหนดวำจะตองสงขอมลสวนบคคลไปทไหนโดยอปกรณรบสงขอมล (กำรควบคมกำรรบสง

ขอมล)

บงคบ

D-4 กำรบรหำรจดกำรควำมสมบรณของขอมล

D-4-1 ระบบจะตองรบรองวำขอมลสวนบคคลทรวบรวมไวถกตอง สมบรณ ไมท ำใหเขำใจผด และไดรบกำรปรบปรงลำสดเสมอ ตรวจสอบตวตนของเจำของขอมลใน

กรณทสำมำรถกระท ำไดโดยใชวธกำรตรวจสอบตวตนทเหมำะสมกบควำมเสยง

สำมำรถด ำเนนกำรไดโดยกำรทดสอบเชงตรรกะหรอกำรจดท ำพจนำนกรม:

1) เพอหลกเลยงขอมลหลอกและตวเลขส ำหรบชอของลกคำ

2) เพอรบรองวำหมำยเลขประจ ำตวม 13 หลก และไมมตวอกษรผสมอย

บงคบ

D-5 กำรบรหำรจดกำรกำรเขำถงขอมล

D-5-1 ฝำยบรกำรลกคำ/ระบบรบมอลกคำจะตองรองรบและท ำใหเจำของขอมลสำมำรถเขำถงขอมลสวนบคคลของตนทผใชงำนขอมลถออยได บงคบ

D-5-2 ระบบจะตองรองรบกำรรองขอของเจำของขอมลเพอแกไขขอมลสวนบคคลหำกขอมลไมสมบรณหรอไมถกตอง (สทธในกำรแกไขขอมล) บงคบ

D-5-3 ระบบจะตองสรำงขอมลประวตกำรแกไข/บนทกเวลำโดยอตโนมตส ำหรบกำรเขำถง กำรแกไขหรอกำรลบขอมลของผใชงำน บงคบ

D-6 กำรบรหำรจดกำรปญหำและกำรด ำเนนกำร

D-6-1 ระบบจะตองสำมำรถรองรบกำรเขำรหส/กำรไมระบชอ/กำรลบขอมลระบตวตนออกของขอมลสวนบคคลเมอโอนขอมลสวนบคคลนอกประเทศไทยทเปนขอมล

ทมขอมล CRM (สวนบคคล) / เพอกำรจดเกบขอมลสวนบคคลหลงจำกกำรบรรลจดประสงคของกำรรวบรวมและระยะเวลำจดเกบทจ ำเปนของระบบและอน ๆ

บงคบ

D-7 กำรบรหำรจดกำรกำรจดเกบขอมล

D-7-1 ระบบจะตองรองรบกำรจดเกบขอมลสวนบคคลทหมดประสทธภำพแลวเปนระยะเวลำทระบโดยขอบงคบ บงคบ

D-7-2 ระบบควรสำมำรถสถำนะตอไปนไดโดยอตโนมต:

1)สถำนะ "จดเกบนอยเกนไป" ทนทหลงจำกลกคำบอกเลกกำรเปนสมำชก (หมดประสทธภำพ (EOE))

2) สถำนะ "จดเกบนำนเกนไป" หลงจำกกำรก ำกบดแลกำรจดเกบโดยมสญญำณกระตน และสำมำรถดงรำยงำนตำมระยะเวลำไปยงเจำของขอมลได ไม

สำมำรถลบแบบอตโนมตไดยกเวนจะไดรบกำรอนมตจำกเจำของขอมล

ไมบงคบ

D-7-3 ระบบจะตองรองรบกำรเขำรหสขอมลของผใชงำนโดยไมระบชอระหวำงทอยในระยะเวลำกำรจดเกบ บงคบ

D-8 กำรบรหำรจดกำรกำรท ำลำยขอมล

D-8-1 ระบบจะตองรองรบกำรลบขอมลในลกษณะทเหมำะสมกบเนอหำของขอมลทนททจดประสงคเดมไมมผลอกตอไป หรอเมอไมมจดประสงคทำงธรกจทจะตอง

เกบขอมล

บงคบ

D-9 กำรแชร/กำรโอนขอมล

D-9-1 กำรแชร/กำรโอนขอมลสวนบคคลเปนไปตำมจดประสงคทำงธรกจทถกตองตำมกฎหมำย บงคบ

D-9-2 ผประมวลผลขอมลจะตองไดรบกำรสอบทำนธรกจกอนท ำสญญำตำมกระบวนกำรเลอกผขำยของดแทคเพอรบรองวำขอมลสวนบคคลไดรบกำรบรหำรจดกำร

อยำงปลอดภย

บงคบ

D-9-3 ประเทศทขอมลสวนบคคลจะตองถกโอนใหกำรคมครองขอมลในระดบทเพยงพอ บงคบ

D-9-4 สญญำกำรประมวลผลขอมลจะมผลกบผประมวลผลขอมลตำมเจตนำรมณของสญญำกอนกำรแชร/กำรโอนขอมลสวนบคคล บงคบ

D-9-5 เฉพำะขอมลขนต ำทจ ำเปนเพอบรรลวตถประสงคเทำนนทจะถกแชร/โอน บงคบ

D-9-6 ขอมลสวนบคคลทถกแชร/โอนไปยงบคคลหรอกลมบคคลตองเปนไปตำมควำมจ ำเปนทตองรขอมลเทำนน บงคบ

D. ขอก ำหนดส ำหรบควำมเปนสวนตวตงแตกำรออกแบบ (ส ำหรบทมโครงกำรเพอเพมเขำไปในขอก ำหนดพนฐำนดำนลำง)

Consent/Notification Types

T&C = to inform of Product/Service RulesNo Affirmative action required.

Privacy Notice: To inform of how we use, disclose, and Store their information.No Affirmative action required.

Consent = to ask for permission to use, disclose, and or keepAffirmative action required.