Practical Data Protection - tct.or.th
Transcript of Practical Data Protection - tct.or.th
Practical Data Protection
Data protection law Effective date: May 2020
“Privacy concerns exist wherever personally identifiable information or other sensitive information is collected, stored, used, and finally destroyed or deleted – in digital form or otherwise. Improper or non-existent disclosure control can be the root cause for privacy issues. Data privacy issues may arise in response to information” Reference: Wikipedia on data privacy.
What’s Data Protection?
Data Protection Data Security Data PrivacyData Accessing (Safeguarding)▪ User Access Control▪ Infrastructure & Network Security▪ Cyber Security
Data Processing▪ Data transfer▪ Data Usage Determination▪ Data Storing▪ Data Destruction
Cyber Security Law
Data Protection Law
Purpose Limitation
Notification
Access and Correction
Accuracy
Protection
Retention Limitation
Transfer Limitation
Law Implication PDPAConsent
The purpose of using personal information but be according to the original intent (consent)
Basic services / Specific services
Purpose of collection, usage, and disclosure must be notified to customers prior to giving consent
Purpose of collection, usage, and disclosure must be notified to customers prior to giving consent
reasonable effort to collect accurate and complete personal data, especially if any decisions made using the personal data affects the individual, and if the personal data will be disclosed to another organisation.
Adequate security standard.
Retention Policy
Privacy by Design in reference to NBTC decision
PDPACollect, Use, and Disclose
Data Subject
Tran
spar
ency
Sect
ion
19
,23
Co
llection
of P
erson
alin
form
ation
(Directly)sectio
n 2
5
Controller
Co
llect
, Use
, an
d D
iscl
ose
To fulfill Contract obligation? Or other exemption in Section
24
Yes
EndNo Consent Required
Explicit Consent Required.No
Consent MgmtPlatform
(Data Tagging, Withdrawal, individual purpose
(Recommended)
- Privacy by design
- DPIA
Request the Withdrawal of
consent) PDPA Readiness
Transparency- Consent Management Procedure- Privacy Notice, & TC
Use of Data
- Must be used for purpose customer has given consent for or to fulfill contract Obligation
- Privacy by Design to be in place.- Privacy Data Shall be regarded as criteria for
Security Assessment
Data Processor
DPA
Consents
Data Accessing Data Processing
Controls Set
• Reconciliation
• SOD
• Process Inv.
Technology
Operations
Self
assessment
As
Necessary/Governed by law
Privacy by Design (DPIA, DPA, DPO, Awareness)
Governed by: Industry Regulations, Applicable laws, GDPR, Corporate PoliciesBreach Handling
Detection/Contain/
Evaluate/Notification/
Preventive actions
Privacy in Operation.Openness
(Data Subject Right)
Data Protection
Process Controls
Retention
TRUST
General
Specific
Privacy by Design• Proactive not Reactive, Preventive not Remedial
• Privacy as Default Setting
• Privacy Embedded into the Design
• Full Functionality
• End-to-End security
• Visibility and Transparency
• Respect for User Privacy
Sensitivity: Internal
Privacy culture
Mitigating risk
As you increase:
• Awareness
• Training
• Security
• Use of formal Processes
• Use of contracts
• Accountability
Your risk of:
• Data breach
• Severe penalties
• Loss of reputation
…will decrease.
Sensitivity: Internal
Supporting Documents
9
Requirements
Data Processing Agreement (DPA)
• Purpose of Processing
• Location of Processing
• Obligations to Subcontractors
• Right to Audit
• Data destruction
Data Privacy Impact
Assessment
• Information Security Framework
• Data processing risk identification and
mitigation
Privacy Awareness
• Technology (In house & Vendors)
• Operation ( In house & Vendors)
• Staffs in General
ดชน ถอยแถลงขอก ำหนด เกณฑ
D-1 กำรบรหำรจดกำรควำมยนยอมทวไป
D-1-1 ระบบจะตองมกลองท ำเครองหมำยถกส ำรบกำรยอมรบขอตกลงและเงอนไข (T&C) ของผลตภณฑของลกคำ Mandatory
D-1-2 ระบบจะตองสำมำรถบนทกและดงขอมลควำมยนยอมทงหมดเพออำงองและตรวจสอบในอนำคตไดทงหมด กลำวคอ กำรบนทกเวลำส ำหรบบญชผใชงำนทม
กำรใชงำนอยในปจจบน
Mandatory
D-1-3 ระบบไมควรเขำถงหรอเกบภำพต ำแหนงสถำนทของเจำของขอมลไวนอกจำกจะเปนผลตภณฑ/แอพพลเคชนทตองใชต ำแหนงสถำนท Mandatory
D-1-4 ระบบจะตองรองรบกำรรองขอของเจำของขอมลเพอลบหรอบลอคขอมลสวนบคคลไมใหมกำรประมวลผลในอนำคตโดยผใชงำนขอมล (มลฐำนทำงกฎหมำย
ทถกตองส ำหรบกำรใชขอมลไมมผลบงคบใชอกตอไป)
Mandatory
D-2 กำรประกำศและกำรบรหำรจดกำรตวเลอก
D-2-1 ฝำยบรกำรลกคำ/ระบบรบมอลกคำตองเกบภำพลงคไปยงขอตกลงและเงอนไขของผลตภณฑ ถอยแถลงเกยวกบควำมเปนสวนตว และหนำทในกำรคมครอง
ขอมล และท ำใหสำมำรถเขำถงบนหนำแลนดงของเวบไซตได
Mandatory
D-2-2 ระบบควรรองรบกำรจดกำรกบควำมยนยอมของผใชงำน/เจำของขอมลและควำมสำมำรถในกำรเชอมตอกบระบบ opt-in/opt-out ภำยนอกได Mandatory
D-3 กำรบรหำรจดกำรควำมปลอดภยของขอมล
D-3-1 ระบบจะตองปฏบตตำมและจดท ำขอมลอำงองถงขอก ำหนดดำนควำมปลอดภยของขอมลในดำนตำง ๆ ทเกยวของกบกำรคมครองขอมลสวนบคคลและ
เกยวของกบกำรนยำมกำรบรรลและกำรรกษำควำมลบ ควำมสมบรณ ควำมพรอม ควำมถกตอง และควำมนำเชอถอของขอมลหรอสถำนทประมวลผลขอมล
บงคบ
D-3-2 ระบบจะตองรบรองวำในกำรรบสงทำงอเลกทรอนก หรอระหวำงกำรขนสงหรอกำรบนทกผขนสงขอมล ขอมลสวนตวไมสำมำรถอำน คดลอก ดดแปลง หรอ
ลบโดยผทไมไดรบอนญำตได และตองสำมำรถตรวจสอบและก ำหนดวำจะตองสงขอมลสวนบคคลไปทไหนโดยอปกรณรบสงขอมล (กำรควบคมกำรรบสง
ขอมล)
บงคบ
D-4 กำรบรหำรจดกำรควำมสมบรณของขอมล
D-4-1 ระบบจะตองรบรองวำขอมลสวนบคคลทรวบรวมไวถกตอง สมบรณ ไมท ำใหเขำใจผด และไดรบกำรปรบปรงลำสดเสมอ ตรวจสอบตวตนของเจำของขอมลใน
กรณทสำมำรถกระท ำไดโดยใชวธกำรตรวจสอบตวตนทเหมำะสมกบควำมเสยง
สำมำรถด ำเนนกำรไดโดยกำรทดสอบเชงตรรกะหรอกำรจดท ำพจนำนกรม:
1) เพอหลกเลยงขอมลหลอกและตวเลขส ำหรบชอของลกคำ
2) เพอรบรองวำหมำยเลขประจ ำตวม 13 หลก และไมมตวอกษรผสมอย
บงคบ
D-5 กำรบรหำรจดกำรกำรเขำถงขอมล
D-5-1 ฝำยบรกำรลกคำ/ระบบรบมอลกคำจะตองรองรบและท ำใหเจำของขอมลสำมำรถเขำถงขอมลสวนบคคลของตนทผใชงำนขอมลถออยได บงคบ
D-5-2 ระบบจะตองรองรบกำรรองขอของเจำของขอมลเพอแกไขขอมลสวนบคคลหำกขอมลไมสมบรณหรอไมถกตอง (สทธในกำรแกไขขอมล) บงคบ
D-5-3 ระบบจะตองสรำงขอมลประวตกำรแกไข/บนทกเวลำโดยอตโนมตส ำหรบกำรเขำถง กำรแกไขหรอกำรลบขอมลของผใชงำน บงคบ
D-6 กำรบรหำรจดกำรปญหำและกำรด ำเนนกำร
D-6-1 ระบบจะตองสำมำรถรองรบกำรเขำรหส/กำรไมระบชอ/กำรลบขอมลระบตวตนออกของขอมลสวนบคคลเมอโอนขอมลสวนบคคลนอกประเทศไทยทเปนขอมล
ทมขอมล CRM (สวนบคคล) / เพอกำรจดเกบขอมลสวนบคคลหลงจำกกำรบรรลจดประสงคของกำรรวบรวมและระยะเวลำจดเกบทจ ำเปนของระบบและอน ๆ
บงคบ
D-7 กำรบรหำรจดกำรกำรจดเกบขอมล
D-7-1 ระบบจะตองรองรบกำรจดเกบขอมลสวนบคคลทหมดประสทธภำพแลวเปนระยะเวลำทระบโดยขอบงคบ บงคบ
D-7-2 ระบบควรสำมำรถสถำนะตอไปนไดโดยอตโนมต:
1)สถำนะ "จดเกบนอยเกนไป" ทนทหลงจำกลกคำบอกเลกกำรเปนสมำชก (หมดประสทธภำพ (EOE))
2) สถำนะ "จดเกบนำนเกนไป" หลงจำกกำรก ำกบดแลกำรจดเกบโดยมสญญำณกระตน และสำมำรถดงรำยงำนตำมระยะเวลำไปยงเจำของขอมลได ไม
สำมำรถลบแบบอตโนมตไดยกเวนจะไดรบกำรอนมตจำกเจำของขอมล
ไมบงคบ
D-7-3 ระบบจะตองรองรบกำรเขำรหสขอมลของผใชงำนโดยไมระบชอระหวำงทอยในระยะเวลำกำรจดเกบ บงคบ
D-8 กำรบรหำรจดกำรกำรท ำลำยขอมล
D-8-1 ระบบจะตองรองรบกำรลบขอมลในลกษณะทเหมำะสมกบเนอหำของขอมลทนททจดประสงคเดมไมมผลอกตอไป หรอเมอไมมจดประสงคทำงธรกจทจะตอง
เกบขอมล
บงคบ
D-9 กำรแชร/กำรโอนขอมล
D-9-1 กำรแชร/กำรโอนขอมลสวนบคคลเปนไปตำมจดประสงคทำงธรกจทถกตองตำมกฎหมำย บงคบ
D-9-2 ผประมวลผลขอมลจะตองไดรบกำรสอบทำนธรกจกอนท ำสญญำตำมกระบวนกำรเลอกผขำยของดแทคเพอรบรองวำขอมลสวนบคคลไดรบกำรบรหำรจดกำร
อยำงปลอดภย
บงคบ
D-9-3 ประเทศทขอมลสวนบคคลจะตองถกโอนใหกำรคมครองขอมลในระดบทเพยงพอ บงคบ
D-9-4 สญญำกำรประมวลผลขอมลจะมผลกบผประมวลผลขอมลตำมเจตนำรมณของสญญำกอนกำรแชร/กำรโอนขอมลสวนบคคล บงคบ
D-9-5 เฉพำะขอมลขนต ำทจ ำเปนเพอบรรลวตถประสงคเทำนนทจะถกแชร/โอน บงคบ
D-9-6 ขอมลสวนบคคลทถกแชร/โอนไปยงบคคลหรอกลมบคคลตองเปนไปตำมควำมจ ำเปนทตองรขอมลเทำนน บงคบ
D. ขอก ำหนดส ำหรบควำมเปนสวนตวตงแตกำรออกแบบ (ส ำหรบทมโครงกำรเพอเพมเขำไปในขอก ำหนดพนฐำนดำนลำง)
Consent/Notification Types
T&C = to inform of Product/Service RulesNo Affirmative action required.
Privacy Notice: To inform of how we use, disclose, and Store their information.No Affirmative action required.
Consent = to ask for permission to use, disclose, and or keepAffirmative action required.