TDPG 2.0

หลังจากที่เราได้ทำความเข้าใจกับ GDPR & PDPA เบื้องต้นกันไปแล้ว เราจะมาทำความเข้าใจแนวแนวปฏิบัติตาม Thailand Data Protection Guidelines ( TDPG 2.0 ) ทั้ง 6 แนวปฏิบัติ เพื่อให้สามารถนำไปปรับใช้ได้ง่ายมากยิ่งขึ้น


1. แนวปฏิบัติการกำหนดและแยกแยะข้อมูลส่วนบุคคล ( 5 ข้อย่อย )

  • Data Policy : หน่วยงานของคุณมีการกำหนดนโยบายอย่างไร เก็บข้อมูลอะไรบ้าง สามารถกำหนดนโยบายตาม TDPG 2.0 ก็ได้
  • Data Discovery : กำหนดขั้นตอนการตรวจสอบข้อมูลอย่างไร ระบบตรวจสอบก่อนจัดเก็บหรือไม่ หรือใช้คนในการตรวจสอบ
  • Data Proliferation : ระบุแหล่งที่มาของข้อมูล และเส้นทางการไหลขอลข้อมูล รวมถึงการกำหนดบุคคลที่เกี่ยวข้อง ทั้ง 4 ประเภท
    • Data Subject : เจ้าของข้อมูล
    • Controller : ผู้ควบคุมข้อมูล
    • Processor : ผู้ประมวลผลข้อมูล
    • Third Parties : บุคคลภายนอก
  • Data Risk : กำหนดระดับความเสี่ยง โอกาสเกิดและระดับความรุนแรงของผลกระทบ โดยยึดหลักของ Confidentiality, Integrity, Availability ( CIA ) โดยทั่วไปจะแบ่งเป็น 3 ระดับ
    • ระดับต่ำ : เกิดผลกระทบต่อระบบและทรัพย์สิน เพียงเล็กน้อย แต่ธุรกิจสามารถให้บริการได้ปกติ
    • ระดับกลาง : เกิดผลกระทบต่อระบบและทรัพย์สิน อย่างมีนัยสำคัญ แต่ธุรกิจสามารถให้บริการพื้นฐานได้ เสียหายบางระบบ
    • ระดับสูง : เกิดผลกระทบต่อระบบและทรัพย์สิน จนไม่สามารถให้บริการพื้นฐานได้
  • Data Protection : กำหนดมาตรการคุ้มครองข้อมูลส่วนบุคคล

ตัวอย่างบันทึกเข้าออกห้อง Data Center

มีการจัดเก็บข้อมูลส่วนบุคคล ที่มีการเข้าออกห้อง Data Center แบ่งเป็น 2 กรณี 1.บุคคลภายใน และ 2.บุคคลภายนอก โดยบุคคลภายในจะทำการแสกนล่ายนิ้วมือ ส่วนบุคคลภายนอกจะทำการแลกบัตรประจำตัวประชาชน พร้อมทั้งเขียนบันทึกลงในสมุด ชื่อ-นามสกุล วันเวลาเข้าออก
  • Identifiability : ข้อมูลดังกล่าวสามารถระบุตัวบุคคลได้โดยตรง
  • Volume : ปริมาณข้อมูลโดยเฉลี่ยประมาณ เดือนละ 3 ครั้ง
  • User Access and Activity : ข้อมูลสามารถเข้าถึงได้จากเจ้าหน้าสำนักเทคโนโลยีสารสนเทศ บุคคลอื่นไม่สามารถเข้าถึงได้ เว้นแต่ได้รับอนุญาตจากผู้บริหารระดับสูง
  • Adverse Effects to Data Subjects : ข้อมูลดังกล่าวมีผลกระทบในการระบุตัวผู้กระทำผิด และเป็นหลักฐาน จากการที่เข้าไป Maintenance ห้อง Data Center แล้วเกิดความเสียหาย ทำให้เกิดความอับอายต่อเจ้าของข้อมูล
  • Adverse Effects to Organization : หากข้อมูลสูญหาย ถูกเผยแพร่ ถูกขโมยไป จะส่งผลกระทบต่อองค์กรน้อยมาก
  • Risk : ระดับต่ำ โอกาสเกิดต่ำและระดับความรุนแรงของผลกระทบต่ำ
  • Period : ไม่ได้กำหนด

ตัวอย่างบันทึกประวัติการใช้งาน Internet

มีการจัดเก็บข้อมูลส่วนบุคคล ประวัติการใช้งาน Internet ตาม พ.ร.บ. คอมพิวเตอร์ โดยทำการจัดเก็บข้อมูล IP Address (Source), IP Address (Destination) และวันเวลาใช้งาน
  • Identifiability : ข้อมูลดังกล่าวไม่สามารถระบุตัวบุคคลได้โดยตรง แต่มีระบบยืยันตัวตน Authentication ในการออก Internet กรณีที่เครื่องไม่ได้ทำการ Join AD
  • Volume : ปริมาณข้อมูลมหาศาล
  • User Access and Activity : ข้อมูลสามารถเข้าถึงได้จากเจ้าหน้าสำนักเทคโนโลยีสารสนเทศที่เกี่ยวข้อง บุคคลอื่นไม่สามารถเข้าถึงได้ เว้นแต่หน่วยงานภาครัฐที่เกี่ยวข้องร้องขอ
  • Adverse Effects to Data Subjects : ข้อมูลดังกล่าวมีผลกระทบในการระบุตัวผู้กระทำผิด และเป็นหลักฐาน จากการใช้งาน Internet ทำให้เกิดความอับอายต่อเจ้าของข้อมูล
  • Adverse Effects to Organization : หากข้อมูลสูญหาย ถูกเผยแพร่ ถูกขโมยไป จะส่งผลกระทบต่อภาพลักษณ์ขององค์กร และอาจถูกโจมตีจากข้อมูลนั้นตามมาอย่างมีนัยสำคัญ
  • Risk : ระดับกลาง โอกาสเกิดต่ำและระดับความรุนแรงของผลกระทบสูง
  • Period : 90 วัน

2. แนวปฏิบัติเกี่ยวกับฐานในการประมวลผลข้อมูลส่วนบุคคล ( 6 ข้อย่อย )

การประมวลผลข้อมูลจะกระทำได้ก็ต่อเมื่อ มีการแจ้งเจ้าของข้อมูลถึงฐานในการประมวลผลข้อมูล ไม่ว่าจะเป็นการจัดเก็บข้อมูล การเผยแพร่ การเก็บรักษา ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลบัญญัติให้ ความยินยอม ( Consent ) เป็นฐานหลักในการประมวลผลข้อมูล ต้องเขียนชัดเจน “ยินยอม” หรือ “ไม่ยินยอม”   และประกอบไปด้วยอีก 6 ฐาน ที่ไม่สามารถใช้ฐานความยินยอมมาอิงกับการประมวลผลได้

  • ฐานเอกสารประวัติศาสตร์ จดหมายเหตุ งานวิจัย ( Research )
  • ฐานประโยชน์สำคัญต่อชีวิต ( Vital Interest )
  • ฐานสัญญา ( Contract ) ใช้ได้กับข้อมูลส่วนบุคคทั่วไป ข้อมูลอ่อนไหวใช้ไม่ได้
  • ภารกิจของรัฐ ( Public Task )
  • ฐานประโยชน์อันชอบธรรม ( Legitimate Interest )
  • ฐานการปฏิบัติตามกฎหมาย ( Legal Obligation )

การถอนความยินยอม ต้องกระทำได้ง่ายระดับเดียวกับการให้ความยินยอม

ดังนั้นหากผู้ควบคุมข้อมูลทำการแจ้งฐานการประมวลผลข้อมูล ก็จะช่วยลดขั้นตอนการติดต่อกับเจ้าของข้อมูลส่วนบุคคลหลังการถอนความยินยอมหรือหลังสัญญาสิ้นผลบังคับคดี ซึ่งแต่ละองค์กรจะใช้ฐานในการอิงกับการการประมวลผลที่ต่างกันไปตามลักษณะการดำเนินธุรกิจ และอาจะใช้ได้มากกว่าหนึ่งฐานในการประมวลผลข้อมูลชุดเดียวกัน

ตัวอย่างของภาคการศึกษา

- ฐานงานวิจัย เช่น งานวิจัย วิทยานิพนธ์ ต่าง ๆ
- ฐานสัญญา เช่น การจ้างงาน ต่าง ๆ
- ฐานปฏิบัติตามกฎหมาย เช่น การบันทึกประวัติการใช้งาน Internet
- ฐานความยินยอม เช่น การเปิดเผยข้อมูลส่วนบุคคลบางส่วนให้กับผู้จ้างงาน
- ฐานสัญญา เช่น การตรวจสอบข้อมูลส่วนบุคคลตอนรับสมัครนักศึกษา หากใช้สัญญาดังกล่าวเป็นฐานในการประมวลผลแล้วก็ไม่ต้องขอความยินยอมเพิ่มเติม

ตัวอย่างของภาคธนาคาร

- ฐานสัญญา เช่น การเปิดบัญชี, การทำกรมธรรม์ ไม่สามารถประมวลผลข้อมูลของผู้เอากรมธรรม์ ซึ่งมิใช่คู่สัญญาได้
- ฐานความยินยอม เช่น การขอรับเงินตามกรมธรรม์
- ฐานผลประโยชน์อันชอบธรรม เช่น การเปิดประมูลทรัพย์สินเพื่อใช้หนี้, การขอรับเงินตามกรมธรรม์ ที่มีการประเมินแล้วไม่ขัดต่อสิทธิประโยชน์ของผู้ทำกรมธรรม์

ตัวอย่างของภาคสาธารณะสุข

- ฐานสัญญา เช่น การเข้ารับการรักษาพยาบาลและการประกันสุขภาพ ซึ่งจะมีสัญญาเกิดขึ้น 2 ฉบับ

3. แนวปฏิบัติเกี่ยวกับหน้าที่และความรับผิดชอบของผู้ควบคุมและผู้ประมวลผลข้อมูล

บุคคลหนึ่งสามารถเป็นได้ทั้งผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูลได้ ในกรณีที่ข้อมูลคนละชุดกัน ซึ่งหน้าที่และความรับผิดชอบของผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูลก็จะแตกต่างกันออกไป

หน้าที่ของผู้ควบคุมข้อมูล

  • จัดตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล DPO
  • ประเมินความเสี่ยงและผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล DPIA
  • จัดทำข้อตกลงในการประมวลผลข้อมูล
  • มีมาตรการป้องกันความปลอดภัยของข้อมูล
  • มีมาตรการป้องกันการโอนข้อมูลไปยังต่างประเทศ
  • มีมาตรการเก็บรักษาข้อมูล และบันทึกประวัติการประมวลผลข้อมูล
  • มีมาตรการในการตรวจสอบ และทำลายข้อมูล
  • ประสานงานกับเจ้าของข้อมูล พร้อมทั้งแจ้งเจ้าของข้อมูลกรณีข้อมูลรั่วไหล
  • กำหนดมาตรการต่าง ๆ ให้สอดคล้องตามที่กฎหมายกำหนด

หน้าที่ของผู้ประมวลผลข้อมูล

  • ประมวลผลข้อมูลตามข้อตกลงการประมวลผลข้อมูล
  • เก็บบันทึกประวัติการประมวลผลข้อมูล
  • มีมาตรการป้องกันการประมวลผลข้อมูลโดยมิชอบ

ตัวอย่างการเก็บข้อมูลของเว็บไซต์

เราจะทำการเก็บข้อมูลที่เกี่ยวกับการเข้าเยี่ยมชมเว็บไซต์และพฤติกรรมการสั่งซื้อสินค้าของท่าน เพื่อนำมาวิเคราะห์พฤติกรรมผู้บริโภค แล้วเสนอสินค้าที่ตรงกับความต้องการของท่านต่อไป

4. แนวปฏิบัติเพื่อการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล ( DPIA )

การประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล  เป็นกระบวนการที่ใช้เพิ่มความระมัดระวังในการประมวลผลข้อมูลส่วนบุคคล กรณีที่มีความเสี่ยงที่จะกระทบต่อสิทธิเสรีภาพส่วนบุคคลในระดับสูง โดยต้องมีการจัดทำอย่างต่อเนื่อง ได้แก่

  • การประมวลผลข้อมูลส่วนบุคคลจำนวนมากด้วยระบบอัตโนมัติ
  • การประมวลผลข้อมูลอ่อนไหวจำนวนมาก
  • การเฝ้าระวังในที่สาธารณะ

ตัวอย่างของการประมวลผลข้อมูลจำนวนมาก

- การประมวลผลข้อมูลผู้ป่วยตามโรงพยาบาล
- การประมวลผลข้อมูลลูกค้าตามร้านค้า
- การประมวลผลข้อมูลธุรกรรมทางการเงินตามธนาคาร
- การประมวลผลข้อมูลประวัติอาชญากรรมตามของสำนักงานตำรวจแห่งชาติ

โดยการพิจารณาว่ากรณีใดที่มีผลกระทบต่อสิทธิเสรีภาพส่วนบุคคลในระดับสูง หากตรงกับเกณฑ์ในการพิจารณาตั้งแต่ 2 ข้อขึ้นไป จะถือว่าเข้าข่ายมีผลกระทบต่อสิทธิเสรีภาพส่วนบุคคลในระดับสูง ยกเว้นฐานหน้าที่ตามกฎหมาย ( Legal Obligation ) หรือ ฐานภารกิจของรัฐ ( Public Task ) ไม่ต้องจัดทำ DPIA ประกอบด้วยเกณฑ์ในการพิจารณาดังนี้

  • Evaluation or Scoring : เป็นการประมวลผลข้อมูลเฉพาะตัวบุคคล Profiling เพื่อวิเคราะห์ตัวบุคคล เช่น สถานะทางการเงิน, สถานะทางการศึกษา, สถานะทางครอบครัว, รสนิยม, ความสามารถในการชำระหนี้, เครดิต
  • Automated Decision with Legal Effect : เป็นการประมวลผลข้อมูลเพื่อตัดสินใจซึ่งมีผลทางกฎหมาย เช่น การเลือกปฏิบัติ
  • Systematic Monitoring : เป็นการประมวลผลข้อมูลเพื่อเฝ้าระวังในที่สาธารณะ โดยไม่ทราบว่าใครเป็นผู้เก็บข้อมูล และข้อมูลถูกนำไปใช้อย่างไร
  • Sensitive Data : เป็นการประมวลผลข้อมูลอ่อนไหว เช่น ข้อมูลผู้ป่วย, ประวัติอาชญากรรม, ข้อมูลธุรกรรมทางการเงิน
  • Large scale : เป็นการประมวลผลข้อมูลจำนวนมาก โดยพจารณาจาก
    • จำนวนเจ้าของข้อมูล
    • ปริมาณข้อมูล
    • ระยะเวลาการประมวลผล
    • ขอบเขตทางภูมิศาสตร์
  • Combining Dataset : เป็นการประมวลผลข้อมูลจาก Dataset ตั้งแต่ 2 ชุดขึ้นไป ที่มีขอบเขตและวัตถุประสงค์ต่างกัน หรือ ถูกประมวลผลโดยผู้ควบคุมคนละรายกัน เช่น ประกันโรค COVID-19 ใช้ข้อมูลทางการเงินจากธนาคาร และ ใช้ข้อมูลทางการแพทย์จากโรงพยาบาล
  • Vulnerable Data Subject : เป็นการประมวลผลข้อมูล โดยที่เจ้าของข้อมูลไม่สามารถให้ความยินยอมหรือปฏิเสธการประมวลผลข้อมูลเพื่อการใช้สิทธิของตนได้ เช่น ผู้เยาว์ ผู้ไร้ความสามารถ ผู้สูงอายุ
  • Innovative use : เป็นการประมวลผลด้วยเทคโนโลยี Biometric Recognition เช่น ลายนิ้วมือ, ใบหน้า, ดวงตา, เสียง
  • Prevent Data Subjects’ Right or Access : เป็นการประมวลผลซึ่งกระทบสิทธิต่อเจ้าของข้อมูล เช่น ธนาคารทำการตรวจสอบประวัติลูกค้าด้วยข้อมูลเครดิตเพื่อกำหนดวงเงินกู้

5. แนวปฏิบัติเกี่ยวกับการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศหรือองค์กรระหว่างประเทศ

การโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ ได้มีการกำหนดให้ประเทศปลายทางหรือองค์กรระหว่างประเทศนั้น จะต้องมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ ได้แก่ มีกฏหมายคุ้มครอง มีองค์กรตรวจสอบ กระบวนการสื่อสารข้อมูลจะถูกแบ่งออกเป็น

  • การส่งหรือโอน ( Transfer ) : ผู้รับข้อมูล หรือ ประเทศปลายทางต้องอยู่ต่างประเทศ ยกเว้น ผู้รับข้อมูลเป็นนิติบุคคลเดียวกันกับผู้ควบคุมข้อมูลแล้วเดินทางไปต่างประเทศ จะถือเป็นการส่งผ่าน
  • การส่งผ่าน ( Transit ) : ผู้รับข้อมูล หรือ ประเทศปลายทางอยู่ภายในประเทศ ถึงแม้ข้อมูลจะวิ่งผ่านเครื่อง Server ที่อยู่ต่างประเทศก็ตาม

ในกรณีที่ประเทศปลายทางหรือองค์กรระหว่างประเทศ ไม่มีมาตรฐานการคุ้มครองที่เพียงพอ ผู้ควบคุมข้อมูลส่วนบุคคลอาจทำ นโยบายคุ้มครองข้อมูลส่วนบุคคลของเครือกิจการ BCR ( Binding Corporate Rules ) โดยจะต้องได้รับการตรวจสอบและรับรองจากสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ซึ่งยังไม่ได้กำหนดรายละเอียดหลักเกณฑ์ในการตรวจสอบ แต่อาจสามารถอ้างอิงตามแนวทาง GDPR ได้แก่

  • มีสภาพบังคับตามกฏหมายและกำหนดหน้าที่ของสมาชิกไว้ชัดเจน
  • รับรองสิทธิของเจ้าของข้อมูลและการบังคับใช้สิทธิในฐานะผู้รับประโยชน์ภายนอก รวมถึงการใช้สิทธิร้องเรียนต่อสำนักงานคุ้มครองข้อมูลส่วนบุคคลและศาล
  • กิจการจะต้องแสดงความรับผิดชอบต่อความเสียหายที่อาจเกิดขึ้นจากเครือกิจการ
  • เจ้าของข้อมูลในฐานะผู้รับประโยชน์ภายนอก สามารถเข้าถึงข้อมูลที่เกี่ยวกับการใช้สิทธิของตน
  • มีมาตรการในการอบรมและให้ความรู้แก่ลูกจ้างและพนักงานของกิจการ
  • มีมาตรการร้องเรียนที่เหมาะสมเพียงพอ
  • มีมาตรการตรวจสอบและประเมินการปฏิบัติตาม BCR
  • กำหนดหน้าที่ในการให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
  • อธิบายขอบเขตของการ BCR, สภาพของการส่งหรือโอนข้อมูล, ประเภทเจ้าของข้อมูลส่วนบุคคล

กรณียกเว้น

  • เป็นการปฏิบัติตามกฎหมาย
  • ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล
  • เป็นการปฏิบัติตามสัญญา
  • เพื่อป้องกันอัตรายต่อชีวิต
  • เพื่อประโยชน์สาธารณะ

ตัวอย่างของบริษัทจัดหางาน

- บริษัทจัดหางาน ต้องการส่งข้อมูลส่วนบุคคลของผู้ที่ประสงค์จะทำงานที่ต่างประเทศ ไปยังบริษัทของประเทศปลายทาง จะต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อน ถึงจะสามารถส่งข้อมูลไปยังบริษัทของประเทศปลายทางได้

ตัวอย่างของผู้ให้บริการจองที่พัก

- ผู้ให้บริการจองที่พัก ต้องการส่งข้อมูลส่วนบุคคล ไปยังโรงแรมที่พักของประเทศปลายทาง จะได้รับการยกเว้น เนื่องจากเป็นการปฏิบัติตามสัญญา

6. แนวปฏิบัติเกี่ยวกับการการจัดทาข้อมูลนิรนาม

การจัดทำข้อมูลนิรนาม เป็นการป้องกันการระบุตัวตนย้อนกลับมายังเจ้าของข้อมูล ซึ่งจะช่วยคุ้มครองผู้ควบคุมข้อมูล และ ผู้ประมวลผลข้อมูล จากความรับผิดที่อาจเกิดขึ้นได้ จะมีการเปลี่ยนรูปแบบจากข้อมูลดิบ ให้อยู่ในรูปของข้อมูลทางสถิติ แต่การเปิดเผยข้อมูลทางสถิติก็อาจนำไปสู่การระบุตัวตนย้อนกลับได้เช่นกัน การจัดทำข้อมูลนิรนามแบ่งออกเป็น 4 วิธี

  • Formal Anonymisation
  • Guaranteed Anonymisation
  • Statistical Anonymisation
  • Functional Anonymization

การพิจารณาสถานการณ์ของข้อมูล

  • จัดทำผังการเคลื่อนที่ข้อมูล
  • พิจารณาความรับผิดทางกฎหมาย
  • พิจารณาตัวข้อมูล
  • พิจารณาการใช้งานของข้อมูล
  • พิจารณาการขอใช้ข้อมูลโดยชอบแม้ข้อมูลนั้นจะเป็นข้อมูลนิรนามแล้วก็ตาม

การวิเคราะห์ความเสี่ยง และมาตรการจัดการความเสี่ยง

  • พิจารณาภาพรวมของข้อมูล
  • วิเคราะห์สถานการณ์
  • กำหนดมาตรการในการควบคุมความเสี่ยง

การตัดสินใจถึงระดับของการจัดทำข้อมูลนิรนาม

หลังจากที่ผู้จัดทำข้อมูลนิรนามได้พิจารณาตัวข้อมูลและสภาพแวดล้อมแล้ว จะต้องตัดสินใจถึงระดับของการจัดทำข้อมูลนิรนาม โดยอาจพิจารณาเป็นรายวิธีที่ใช้จัดทำข้อมูลนิรนาม ซึ่งแต่ละวิธีก็มีประสิทธิภาพ และคุณลักษณะในการป้องกันข้อมูลส่วนบุคคลที่แตกต่างกัน ได้แก่

  1. การขจัดข้อมูลบ่งชี้ตัวบุคคลโดยตรง ( De-Identification )
  2. K-Anonymisation
  3. Differential Privacy

เอกสารที่เกี่ยวข้อง

อ่านเพิ่มเติม : http://bit.ly/2HZo4zA


Leave a Reply

Your email address will not be published. Required fields are marked *