อัญชลี กลิ่นเกษรlawful basis for processing · isbn...
TRANSCRIPT
![Page 1: อัญชลี กลิ่นเกษรLawful Basis for Processing · ISBN 978-616-407-458-3](https://reader035.vdocuments.site/reader035/viewer/2022081621/612f43901ecc5158694354ad/html5/thumbnails/1.jpg)
![Page 2: อัญชลี กลิ่นเกษรLawful Basis for Processing · ISBN 978-616-407-458-3](https://reader035.vdocuments.site/reader035/viewer/2022081621/612f43901ecc5158694354ad/html5/thumbnails/2.jpg)
![Page 3: อัญชลี กลิ่นเกษรLawful Basis for Processing · ISBN 978-616-407-458-3](https://reader035.vdocuments.site/reader035/viewer/2022081621/612f43901ecc5158694354ad/html5/thumbnails/3.jpg)
Lawful Basis for Processing
อญชล กลนเกษร
![Page 4: อัญชลี กลิ่นเกษรLawful Basis for Processing · ISBN 978-616-407-458-3](https://reader035.vdocuments.site/reader035/viewer/2022081621/612f43901ecc5158694354ad/html5/thumbnails/4.jpg)
Legitimate Interest + Anonymisation
ศภวฒก ศรรงเรอง
![Page 5: อัญชลี กลิ่นเกษรLawful Basis for Processing · ISBN 978-616-407-458-3](https://reader035.vdocuments.site/reader035/viewer/2022081621/612f43901ecc5158694354ad/html5/thumbnails/5.jpg)
Data Protection Impact Assessment (DPIA)
พชตพล เอยมมงคลชย
![Page 6: อัญชลี กลิ่นเกษรLawful Basis for Processing · ISBN 978-616-407-458-3](https://reader035.vdocuments.site/reader035/viewer/2022081621/612f43901ecc5158694354ad/html5/thumbnails/6.jpg)
Cross-border Data Transfer
อครพล พเชษฐวณชยโชค
![Page 7: อัญชลี กลิ่นเกษรLawful Basis for Processing · ISBN 978-616-407-458-3](https://reader035.vdocuments.site/reader035/viewer/2022081621/612f43901ecc5158694354ad/html5/thumbnails/7.jpg)
![Page 8: อัญชลี กลิ่นเกษรLawful Basis for Processing · ISBN 978-616-407-458-3](https://reader035.vdocuments.site/reader035/viewer/2022081621/612f43901ecc5158694354ad/html5/thumbnails/8.jpg)
Q/A
![Page 9: อัญชลี กลิ่นเกษรLawful Basis for Processing · ISBN 978-616-407-458-3](https://reader035.vdocuments.site/reader035/viewer/2022081621/612f43901ecc5158694354ad/html5/thumbnails/9.jpg)
http://www.law.chula.ac.th/event/6662/ISBN 978-616-407-458-3
![Page 10: อัญชลี กลิ่นเกษรLawful Basis for Processing · ISBN 978-616-407-458-3](https://reader035.vdocuments.site/reader035/viewer/2022081621/612f43901ecc5158694354ad/html5/thumbnails/10.jpg)
Data Classification
Data Policy
Data Discovery
Data Proliferation
Data Risk Level
Data Protection
Special Categories / Sensitive Data
Lawful Basis for Processing
Contract
Consent
Vital Interest
Legal Obligation
Public Task
Legitimate Interest
Controllers & Processors
Duties & Responsibilities
Data Processing Agreement
User Requests
Government Requests
DPIA (Data Protection Impact Assessment)
Cross-Border Data Transfer
Anonymisation
![Page 11: อัญชลี กลิ่นเกษรLawful Basis for Processing · ISBN 978-616-407-458-3](https://reader035.vdocuments.site/reader035/viewer/2022081621/612f43901ecc5158694354ad/html5/thumbnails/11.jpg)
Lawful Basis for ProcessingThitirat Thipsamritkul
![Page 12: อัญชลี กลิ่นเกษรLawful Basis for Processing · ISBN 978-616-407-458-3](https://reader035.vdocuments.site/reader035/viewer/2022081621/612f43901ecc5158694354ad/html5/thumbnails/12.jpg)
ฐานในการประมวลผล (Lawful Basis)
GDPR (Art.6)
พ.ร.บ.คมครองขอมลสวนบคคล
(มาตรา 24)
Consent ความยนยอม
- จดหมายเหต/วจย*
Vital Interest ระงบอนตรายตอชวต/รางกาย/สขภาพ
Contract สญญา
Public Task / Official Authority ภารกจสาธารณะ/อานาจรฐ
Legitimate Interest ประโยชนโดยชอบดวยกฎหมาย
Legal Obligation** ปฏบตตามกฎหมาย**
*ตองดาเนนมาตรการปกปองตามทคณะกรรมการประกาศกาหนด
**ประโยชนดงกลาวตองไมมความสาคญนอยกวาสทธขนพนฐานของเจาของขอมลสวนบคคล
![Page 13: อัญชลี กลิ่นเกษรLawful Basis for Processing · ISBN 978-616-407-458-3](https://reader035.vdocuments.site/reader035/viewer/2022081621/612f43901ecc5158694354ad/html5/thumbnails/13.jpg)
ฐานสญญา หรอ ฐานความยนยอม(Contract) (Consent)
จาเปน สาหรบสญญา ทางเลอก ของเจาของขอมล
ทอยสาหรบจดสงสนคา
อเมลสาหรบสงใบเสรจ
อเมลสาหรบการสงจดหมายขาว
ขอมลบตรเครดตสาหรบจองโรงแรม ขอมลบตรเครดตทเลอกใหเวบไซตจาไวเพอ
ความสะดวกในการจายเงนครงตอไป
![Page 14: อัญชลี กลิ่นเกษรLawful Basis for Processing · ISBN 978-616-407-458-3](https://reader035.vdocuments.site/reader035/viewer/2022081621/612f43901ecc5158694354ad/html5/thumbnails/14.jpg)
“จาเปน” ในการปฏบตตามสญญา
• “จาเปน” — ตามปกตของการดาเนนงานใหเปนไปตามสญญา
• ไมรวมถงกรณปญญาขอพพาททเกดขนจากสญญา
❌ เปดเผยขอมลใหหนวยงานภายนอกเพอตดตามทวงหน
❌ รวบรวมขอมลเพอฟองรองตอการไมปฏบตตามสญญา
❌ เปดเผยขอมลในการเปดประมลสนทรพยเพอชดใชหน
➡ ฐานอน เชน ผลประโยชนอนชอบธรรม ความยนยอม
![Page 15: อัญชลี กลิ่นเกษรLawful Basis for Processing · ISBN 978-616-407-458-3](https://reader035.vdocuments.site/reader035/viewer/2022081621/612f43901ecc5158694354ad/html5/thumbnails/15.jpg)
คามาตรฐาน (default) ของความยนยอมGDPR Art. 7, พ.ร.บ.คมครองขอมลสวนบคคล ม. 19
• “ใหโดยอสระ เฉพาะเจาะจง โดยทราบขอมลทเกยวของ และชดแจง” (GDPR - Freely given, specific, informed and unambiguous by a statement or by a clear affirmative action.
• ✅ ดงนนควรเปน Opt-in เสมอ !
• ❌ Pre-ticked ใชไมได !
• ❗ Opt-out อาจใชไดเฉพาะบางบรบท (เชน ลกคาเกา
• ใหกอนทจะเกบรวบรวมขอมล
• ไมเปนเงอนไขของการใหบรการ / แยกสวนออกจากการใหบรการ
• วตถประสงคเฉพาะเจาะจง โดยเขาถงได เขาใจได อานงาย
• มทางเลอกใหปฏเสธได หรอถอนไดโดยไมเสยประโยชน
WHOM
WHAT
HOW
WHEN
CONTACT
![Page 16: อัญชลี กลิ่นเกษรLawful Basis for Processing · ISBN 978-616-407-458-3](https://reader035.vdocuments.site/reader035/viewer/2022081621/612f43901ecc5158694354ad/html5/thumbnails/16.jpg)
ความยนยอมทไดมากอนทกฎหมายจะมผลบงคบใช
•❌ ใชไมไดกบ GDPR
•❗ควรใชเฉพาะกรณของลกคาเกาทตดตอยาก + จาเปนจรงๆ
•❌ ความยนยอมแบบเหมารวม (Blanket Consent ใชไมได !!
•แยกแยะ
•ควรแจงรายละเอยดเพอปรบปรงใหความยนยอมสอดคลองกบกฎหมายปจจบน
•แจงเปนการทวไป + ชองทางสาหรบ opt-out
•แจงเมอมการตดตอธรกรรมกบลกคา
ēffä ä � �ê�ďđfič đęď �èçð�ffiđáč �ęffčáęċ ĉððď
![Page 17: อัญชลี กลิ่นเกษรLawful Basis for Processing · ISBN 978-616-407-458-3](https://reader035.vdocuments.site/reader035/viewer/2022081621/612f43901ecc5158694354ad/html5/thumbnails/17.jpg)
ความยนยอมทไดมากอนทกฎหมายจะมผลบงคบใช
• ตวอยาง : “ผใชบรการยนยอมใหบรษท X เขาถงขอมลสวนบคคลของผใชบรการเพอใชในการประมวลผลขอมลสวนบคคลของผใชบรการไดเทาทจาเปนเพอประโยชนในการดาเนนการปรบปรงการใหบรการโดยรวมถงการวเคราะหและวางแผนทางการตลาด กจกรรมทางการตลาด และกจกรรมอนๆ อกทงยนยอมใหผใหบรการแจงขอมลขาวสาร รายการสงเสรมการขาย และขอเสนอตางๆเกยวกบการสมครและการซอขาย สนคา หรอบรการตางๆของผใหบรการ ตลอดจนการใหบรการใดๆ รวมกบบคคลอน ซงรวมถงยนยอมใหผใหบรการสามารถเปดเผย สง และโอนขอมลสวนบคคลของผใชบรการใหแกบคคลภายนอกได”
![Page 18: อัญชลี กลิ่นเกษรLawful Basis for Processing · ISBN 978-616-407-458-3](https://reader035.vdocuments.site/reader035/viewer/2022081621/612f43901ecc5158694354ad/html5/thumbnails/18.jpg)
ความยนยอมทไดมากอนทกฎหมายจะมผลบงคบใช
• ตวอยาง : “ผใชบรการยนยอมใหบรษท X เขาถงขอมลสวนบคคลของผใชบรการเพอใชในการประมวลผลขอมลสวนบคคลของผใชบรการไดเทาทจาเปนเพอประโยชนในการดาเนนการปรบปรงการใหบรการ โดยรวมถงการวเคราะหและวางแผนทางการตลาด กจกรรมทางการตลาด และกจกรรมอนๆ อกทงยนยอมใหผใหบรการแจงขอมล ขาวสาร รายการสงเสรมการขาย และขอเสนอตางๆเกยวกบการสมคร และการซอขายสนคา หรอบรการตางๆ ของผใหบรการ ตลอดจนการใหบรการใดๆ รวมกบบคคลอน ซงรวมถงยนยอมใหผใหบรการสามารถเปดเผย สง และโอนขอมลสวนบคคลของผใชบรการใหแกบคคลภายนอกได”
![Page 19: อัญชลี กลิ่นเกษรLawful Basis for Processing · ISBN 978-616-407-458-3](https://reader035.vdocuments.site/reader035/viewer/2022081621/612f43901ecc5158694354ad/html5/thumbnails/19.jpg)
❗กรณควรระวง❗• การขอความยนยอมจากผเยาว
• การทาการตลาดแบบตรง(Direct Marketing
• ระบบสมาชกสะสมแตม(Loyalty Program
• การโฆษณาแบบเจาะจงเปาหมาย(Targeted Advertisement
• การใชขอมลเครอขายสงคมเพอกระตนยอดขาย
![Page 20: อัญชลี กลิ่นเกษรLawful Basis for Processing · ISBN 978-616-407-458-3](https://reader035.vdocuments.site/reader035/viewer/2022081621/612f43901ecc5158694354ad/html5/thumbnails/20.jpg)
ฐานปฏบตตามกฎหมาย หรอ ฐานภารกจสาธารณะ ?
(Legal Obligation) (Public Task) (ผควบคมขอมล) ปฏบตตามกฎหมายท
ตองทาอยแลว
(เจาหนาท) ปฏบตหนาทเพอบรรลภารกจ
สาธารณะ
บรษทแจงขอมลการจายเงนเดอนพนกงานตอ
สรรพากร
สรรพากรประมวลผลขอมลเงนเดอน
องคกรทางการเงนสงขอมลการทาธรกรรมท
นาสงสยใหหนวยงานปราบปรามการฟอกเงน
หนวยงานปราบปรามการฟอกเงนประมวลผล
ขอมลธรกรรมทนาสงสยเพอนาไปตรวจสอบตอ
![Page 21: อัญชลี กลิ่นเกษรLawful Basis for Processing · ISBN 978-616-407-458-3](https://reader035.vdocuments.site/reader035/viewer/2022081621/612f43901ecc5158694354ad/html5/thumbnails/21.jpg)
ฐานผลประโยชนอนชอบธรรม (Legitimate Interest)
• ❗ความเสยงสง ควรใชในกรณทใชฐานอนไมได (ไมเหมาะสม
• ✅ ใชเทาทจาเปน (ใชใหนอยทสด
• LIA — Legitimate Interest Assessments
• A. Expectation
• B. Risk
• C. Safeguard
• ตวอยาง : การยนยนตวตนลกคา, ขอมลการทางานของลกจาง, ขอมลเพอชวยเหลอผลภย, industry watch-list, ขอมลเพอการปรบปรงการใหบรการ ฯลฯ
![Page 22: อัญชลี กลิ่นเกษรLawful Basis for Processing · ISBN 978-616-407-458-3](https://reader035.vdocuments.site/reader035/viewer/2022081621/612f43901ecc5158694354ad/html5/thumbnails/22.jpg)
ฐานประโยชนสาคญตอชวต(Vital Interest)
•✅ ใชไดเฉพาะขอมลทไมใชsensitive data
• เชน ขอมลสทธการรกษาพยาบาลขอมลการเดนทางไปประเทศทมโรคตดตอ
•✅ ใชเมออยในสถานการณทขอความยนยอมไมไดเทานน หากขอความยนยอมไดใหใชความยนยอม
• ❌ ไมมใน GDPR
• ✅ ควรเปนไปตามมาตรฐานการวจย หรอมาตรฐานวชาชพ
• ✅ ตองม Safeguard (รอประกาศของกระทรวง
ฐานจดหมายเหต/วจย/สถต
![Page 23: อัญชลี กลิ่นเกษรLawful Basis for Processing · ISBN 978-616-407-458-3](https://reader035.vdocuments.site/reader035/viewer/2022081621/612f43901ecc5158694354ad/html5/thumbnails/23.jpg)
Data Protection Officer (DPO)
Chawin Ounpat
![Page 24: อัญชลี กลิ่นเกษรLawful Basis for Processing · ISBN 978-616-407-458-3](https://reader035.vdocuments.site/reader035/viewer/2022081621/612f43901ecc5158694354ad/html5/thumbnails/24.jpg)
Who must designate DPO?
public authority & body (as designated by the Committee)
data controller & processor where the core activities consist of regular and systematic monitoring of data subjects on a large scale (as designated by the Committee)
data controller & processor where the core activities involve the processing of sensitive data
![Page 25: อัญชลี กลิ่นเกษรLawful Basis for Processing · ISBN 978-616-407-458-3](https://reader035.vdocuments.site/reader035/viewer/2022081621/612f43901ecc5158694354ad/html5/thumbnails/25.jpg)
Who is qualified to be a DPO?
business model & organization
IT and data management
data protection law
![Page 26: อัญชลี กลิ่นเกษรLawful Basis for Processing · ISBN 978-616-407-458-3](https://reader035.vdocuments.site/reader035/viewer/2022081621/612f43901ecc5158694354ad/html5/thumbnails/26.jpg)
Controller/Processor and DPO
Employment contract Service contract
![Page 27: อัญชลี กลิ่นเกษรLawful Basis for Processing · ISBN 978-616-407-458-3](https://reader035.vdocuments.site/reader035/viewer/2022081621/612f43901ecc5158694354ad/html5/thumbnails/27.jpg)
Tasks of DPO
Ensuring the compliance with PDPAEnsuring
Performing tasks in an independent mannerPerforming
Cooperating with the regulator Cooperating
![Page 28: อัญชลี กลิ่นเกษรLawful Basis for Processing · ISBN 978-616-407-458-3](https://reader035.vdocuments.site/reader035/viewer/2022081621/612f43901ecc5158694354ad/html5/thumbnails/28.jpg)
Safeguards to ensure DPO can act in an independent manner
No instruction by the controller/processor regarding the exercise of the DPOs tasks
No dismissal or penalty by the controller for the performance of the DPO’s tasks
No conflict of interest with possible tasks and duties
![Page 29: อัญชลี กลิ่นเกษรLawful Basis for Processing · ISBN 978-616-407-458-3](https://reader035.vdocuments.site/reader035/viewer/2022081621/612f43901ecc5158694354ad/html5/thumbnails/29.jpg)
DPO must be supported by the controller/processor
necessary resources must be provided to perform DPO’s tasks
failure to provide sufficient resources for
DPO leads to controller/processor’s
liability
![Page 30: อัญชลี กลิ่นเกษรLawful Basis for Processing · ISBN 978-616-407-458-3](https://reader035.vdocuments.site/reader035/viewer/2022081621/612f43901ecc5158694354ad/html5/thumbnails/30.jpg)
Is DPO liable for the failure to comply with PDPA?
![Page 31: อัญชลี กลิ่นเกษรLawful Basis for Processing · ISBN 978-616-407-458-3](https://reader035.vdocuments.site/reader035/viewer/2022081621/612f43901ecc5158694354ad/html5/thumbnails/31.jpg)
Data Protection Impact AssessmentWhen it is likely to result in a high risk to the rights and freedoms of natural persons
Piyabutr Bunaramrueang
![Page 32: อัญชลี กลิ่นเกษรLawful Basis for Processing · ISBN 978-616-407-458-3](https://reader035.vdocuments.site/reader035/viewer/2022081621/612f43901ecc5158694354ad/html5/thumbnails/32.jpg)
Data Protection Impact Assessment
systematic descriptionassessment of the necessity and proportionality
assessment of the risks to the rights and freedoms
measures envisaged to address the risks
![Page 33: อัญชลี กลิ่นเกษรLawful Basis for Processing · ISBN 978-616-407-458-3](https://reader035.vdocuments.site/reader035/viewer/2022081621/612f43901ecc5158694354ad/html5/thumbnails/33.jpg)
พระราชบญญตคมครองขอมลสวนบคคล พ.ศ. 2562
• มาตรา 30 กาหนดใหผควบคมขอมลตองใหเหตผลในการปฏเสธการเขาถงขอมลใหเจาของขอมลทราบถงผลกระทบทอาจกอนใหเกดความเสยหายตอสทธและเสรภาพของบคคลอน
• มาตรา 37(4 กาหนดใหผควบคมขอมลตองแจงเหตละเมดขอมลสวนบคคลตามความเสยงทจะมผลกระทบตอสทธและเสรภาพของบคคล
• มาตรา 39 วรรคสาม และมาตรา 40 วรรคส กาหนดใหผควบคมขอมลและผประมวลผลขอมลจะตองบนทกรายการโดยคานงถงความเสยงทจะมผลกระทบตอสทธเสรภาพของเจาของขอมลสวนบคคล
• มาตรา 37(1 กาหนดใหผควบคมขอมลสวนบคคลมหนาทจดใหมมาตรการรกษาความมนคงปลอดภยทเหมาะสม และตองทบทวนมาตรการดงกลาวเมอมความจาเปนหรอเมอเทคโนโลยเปลยนแปลงไป
• มาตรา 39(8 และมาตรา 40(2 กาหนดใหผควบคมขอมลและผประมวลผลขอมลจะตองบนทกรายการโดยคาอธบายและจดใหมมาตรการรกษาความมนคงปลอดภยทเหมาะสม
• มาตรา 4 วรรคสาม กาหนดใหผควบคมขอมลสวนบคคลทไดรบยกเวนการดาเนนการตามวรรคกอน ตองจดใหมการรกษาความมนคงปลอดภยขอมลสวนบคคลใหเปนไปตามมาตรฐานดวย
![Page 34: อัญชลี กลิ่นเกษรLawful Basis for Processing · ISBN 978-616-407-458-3](https://reader035.vdocuments.site/reader035/viewer/2022081621/612f43901ecc5158694354ad/html5/thumbnails/34.jpg)
Risk to the rights and freedoms
Likelihood
Severity
รายแรงมาก ระดบตา ระดบสง ระดบสง
รายแรงพอสมควร ระดบตา ระดบกลาง ระดบสง
รายแรงนอย ระดบตา ระดบตา ระดบตา
โอกาสตา โอกาสพอสมควร โอกาสสง
![Page 35: อัญชลี กลิ่นเกษรLawful Basis for Processing · ISBN 978-616-407-458-3](https://reader035.vdocuments.site/reader035/viewer/2022081621/612f43901ecc5158694354ad/html5/thumbnails/35.jpg)
Factors of high risk to the rights and freedoms
Systematic and extensive profiling with significant effects
Processing of sensitive data on a large scale
Public monitoring on a large scale
![Page 36: อัญชลี กลิ่นเกษรLawful Basis for Processing · ISBN 978-616-407-458-3](https://reader035.vdocuments.site/reader035/viewer/2022081621/612f43901ecc5158694354ad/html5/thumbnails/36.jpg)
Scoring Automated-decision with legal effect
Systematic monitoring
Sensitive data Large scale Combining datasets
Vulnerable data subjects Innovative use
Prevent data subjects’ right or access
![Page 37: อัญชลี กลิ่นเกษรLawful Basis for Processing · ISBN 978-616-407-458-3](https://reader035.vdocuments.site/reader035/viewer/2022081621/612f43901ecc5158694354ad/html5/thumbnails/37.jpg)
DPIA Process
DPIA Identification
Description
Consultation
Necessity and propotionality
Risk assessment
Measures to mitigate
Documentation ann planning
Monitoring and review
![Page 38: อัญชลี กลิ่นเกษรLawful Basis for Processing · ISBN 978-616-407-458-3](https://reader035.vdocuments.site/reader035/viewer/2022081621/612f43901ecc5158694354ad/html5/thumbnails/38.jpg)
Data Processing Agreement (DPA) & Cross-Border Transfer (BCRs)
Piti Eiamchamroonlarp
![Page 39: อัญชลี กลิ่นเกษรLawful Basis for Processing · ISBN 978-616-407-458-3](https://reader035.vdocuments.site/reader035/viewer/2022081621/612f43901ecc5158694354ad/html5/thumbnails/39.jpg)
Overview
Data controller(a company operating its
business in Thailand)
Customers(Data subjects)Products/services
Data processor in Japan
Data processor in Thailand
A company policy
A normal service agreement
What else do they need?
![Page 40: อัญชลี กลิ่นเกษรLawful Basis for Processing · ISBN 978-616-407-458-3](https://reader035.vdocuments.site/reader035/viewer/2022081621/612f43901ecc5158694354ad/html5/thumbnails/40.jpg)
DPA (Data Processing Agreement)
Generalprovisions
• Serving as a part of the main service agreement (e.g. an annex)
• Status of the parties (e.g. a service provider as a data processor)
• Definition (including data breach)Undertakings • Processing only as legally instructed (e.g. the processing is
done in accordance with the collection and processing objectives)
• Suitability of the processor’s security system• The processor’s duty to handle a data breach• Data storage and deletion
![Page 41: อัญชลี กลิ่นเกษรLawful Basis for Processing · ISBN 978-616-407-458-3](https://reader035.vdocuments.site/reader035/viewer/2022081621/612f43901ecc5158694354ad/html5/thumbnails/41.jpg)
Cross-border data transfer
1. Restricted transfer • Definition of cross-border transferring• Transfer vs. Transit
2. Adequate level of protection
• Applicable law• Institutional framework• International obligation
3. Exceptions (for example)• consent & contract• vital interest & legitimate interest
4. Binding corporate rules (for example)• Binding corporate rules (BCRs)
![Page 42: อัญชลี กลิ่นเกษรLawful Basis for Processing · ISBN 978-616-407-458-3](https://reader035.vdocuments.site/reader035/viewer/2022081621/612f43901ecc5158694354ad/html5/thumbnails/42.jpg)
BCRs (Binding Corporate Rules)
The policy Legally binding effect Parties that are subject to the
legally binding rules
Definitions • Corporate control (and a list of affiliates)
• Transmission and excluding transit
Protection • Lawful basis for data processing (e.g. providing details in an annex)
• Security of the system• Data storage
![Page 43: อัญชลี กลิ่นเกษรLawful Basis for Processing · ISBN 978-616-407-458-3](https://reader035.vdocuments.site/reader035/viewer/2022081621/612f43901ecc5158694354ad/html5/thumbnails/43.jpg)
BCRs (Binding Corporate Rules)
Rights of the datasubject
• Those guaranteed by the PDPA (inabsence of the local law)
Mechanisms • Duties of a DPO (if applicable)• Data breach• Complaint• Investigation
![Page 44: อัญชลี กลิ่นเกษรLawful Basis for Processing · ISBN 978-616-407-458-3](https://reader035.vdocuments.site/reader035/viewer/2022081621/612f43901ecc5158694354ad/html5/thumbnails/44.jpg)
AnonymisationHow to make the data query ‘safe’
Peerapat Chokesuwattanaskul
![Page 45: อัญชลี กลิ่นเกษรLawful Basis for Processing · ISBN 978-616-407-458-3](https://reader035.vdocuments.site/reader035/viewer/2022081621/612f43901ecc5158694354ad/html5/thumbnails/45.jpg)
87%
![Page 46: อัญชลี กลิ่นเกษรLawful Basis for Processing · ISBN 978-616-407-458-3](https://reader035.vdocuments.site/reader035/viewer/2022081621/612f43901ecc5158694354ad/html5/thumbnails/46.jpg)
Use just what you need to use &Most of the time, you don’t need to know or provide IIP.Information from data is derived from inference.
![Page 47: อัญชลี กลิ่นเกษรLawful Basis for Processing · ISBN 978-616-407-458-3](https://reader035.vdocuments.site/reader035/viewer/2022081621/612f43901ecc5158694354ad/html5/thumbnails/47.jpg)
Outlines1. What is data anonymisation? 2. Who has to do it? 3. How to do it?
![Page 48: อัญชลี กลิ่นเกษรLawful Basis for Processing · ISBN 978-616-407-458-3](https://reader035.vdocuments.site/reader035/viewer/2022081621/612f43901ecc5158694354ad/html5/thumbnails/48.jpg)
1. What?
![Page 49: อัญชลี กลิ่นเกษรLawful Basis for Processing · ISBN 978-616-407-458-3](https://reader035.vdocuments.site/reader035/viewer/2022081621/612f43901ecc5158694354ad/html5/thumbnails/49.jpg)
Anonymisation?
กระบวนการ
ความเสยงในการ
ระบตวตนของ
เจาของขอมล
นนนอยมากจน
แทบไมตองให
ความสาคญ
![Page 50: อัญชลี กลิ่นเกษรLawful Basis for Processing · ISBN 978-616-407-458-3](https://reader035.vdocuments.site/reader035/viewer/2022081621/612f43901ecc5158694354ad/html5/thumbnails/50.jpg)
2. Who?
![Page 51: อัญชลี กลิ่นเกษรLawful Basis for Processing · ISBN 978-616-407-458-3](https://reader035.vdocuments.site/reader035/viewer/2022081621/612f43901ecc5158694354ad/html5/thumbnails/51.jpg)
พระราชบญญตคมครองขอมลสวนบคคล พ.ศ. 2562• มาตรา 37
• (1 กาหนดใหผควบคมขอมลสวนบคคลมหนาทจดใหมมาตรการรกษาความมนคงปลอดภยทเหมาะสม และตองทบทวนมาตรการดงกลาวเมอมความจาเปนหรอเมอเทคโนโลยเปลยนแปลงไป
• (๒ ในกรณทตองใหขอมลสวนบคคลแกบคคลหรอนตบคคลอนทไมใชผควบคมขอมลสวนบคคลตองดาเนนการเพอปองกนมใหผนนใชหรอเปดเผยขอมลสวนบคคลโดยปราศจากอานาจ หรอโดยมชอบ
• มาตรา 40 ผประมวลผลขอมลสวนบคคลมหนาท ดงตอไปน
• (๒ จดใหมมาตรการรกษาความมนคงปลอดภยทเหมาะสม เพอปองกนการสญหาย เขาถง ใช เปลยนแปลง แกไข หรอเปดเผยขอมลสวนบคคลโดยปราศจากอานาจหรอโดยมชอบ รวมทงแจงใหผควลคมขอมลสวนบคคลทราบถงเหตการละเมดขอมลสวนบคคลทเกดขน
• มาตรา 4 วรรคสาม กาหนดใหผควบคมขอมลสวนบคคลทไดรบยกเวนการดาเนนการตามวรรคกอน ตองจดใหมการรกษาความมนคงปลอดภยขอมลสวนบคคลใหเปนไปตามมาตรฐานดวย
![Page 52: อัญชลี กลิ่นเกษรLawful Basis for Processing · ISBN 978-616-407-458-3](https://reader035.vdocuments.site/reader035/viewer/2022081621/612f43901ecc5158694354ad/html5/thumbnails/52.jpg)
3. How?
![Page 53: อัญชลี กลิ่นเกษรLawful Basis for Processing · ISBN 978-616-407-458-3](https://reader035.vdocuments.site/reader035/viewer/2022081621/612f43901ecc5158694354ad/html5/thumbnails/53.jpg)
ขอมลสภาพ
แวดลอม
ขอมล
นรนาม
![Page 54: อัญชลี กลิ่นเกษรLawful Basis for Processing · ISBN 978-616-407-458-3](https://reader035.vdocuments.site/reader035/viewer/2022081621/612f43901ecc5158694354ad/html5/thumbnails/54.jpg)
Trade-offs
Utility
Type of analysis
Confidentiality
Data
Environment
![Page 55: อัญชลี กลิ่นเกษรLawful Basis for Processing · ISBN 978-616-407-458-3](https://reader035.vdocuments.site/reader035/viewer/2022081621/612f43901ecc5158694354ad/html5/thumbnails/55.jpg)
Consider anonymi
sationUNICORN
Don’t be here
Change type of analysis
High confidentialityLow confidentiality
High utility
Low utility
![Page 56: อัญชลี กลิ่นเกษรLawful Basis for Processing · ISBN 978-616-407-458-3](https://reader035.vdocuments.site/reader035/viewer/2022081621/612f43901ecc5158694354ad/html5/thumbnails/56.jpg)
ชอ วนเกด คะแนน
ก 7 สงหาคม 2550 A
ข 23 มนาคม 2550 C
ค 25 มกราคม 2551 B
ชอ วนเกด คะแนน
ก - A-Cข - A-Cค - A-C
ชอ วนเกด คะแนน
ก 2550 - 2551 Aข - -ค 2550 - 2551 B
Utility 100%Privacy 0%
Utility 0%Privacy 100%
Utility 50%Privacy 50%
![Page 57: อัญชลี กลิ่นเกษรLawful Basis for Processing · ISBN 978-616-407-458-3](https://reader035.vdocuments.site/reader035/viewer/2022081621/612f43901ecc5158694354ad/html5/thumbnails/57.jpg)
Data situationData flowchart
Controller/processor?
Data characteristics
All principles applied (legality, consent, etc.)
RiskData evaluation
Tests• Motivated intruder test• Precedent comparison
Possible attacks• Linkage• Attribution• Subtraction• Etc.
MeasuresChange data• Meta-level > Micro-level• Aggregation• Drop• Sampling• Distortion• Differential privacy***
Change environment• Who can access?• What analysis?• Mode of access?
![Page 58: อัญชลี กลิ่นเกษรLawful Basis for Processing · ISBN 978-616-407-458-3](https://reader035.vdocuments.site/reader035/viewer/2022081621/612f43901ecc5158694354ad/html5/thumbnails/58.jpg)
การจดทา
ขอมลนรนาม
(Anonymisation)
การขจดตวตน
(De-
identification
การแฝงขอมล
(Pseudony-
misation
ขอมลแบบรวมกลม
(Aggregation) วธการอน ๆ
การปองกนการระบ
ตวตนโดยพจารณา
ถงสงแวดลอมของ
ขอมลดวย
![Page 59: อัญชลี กลิ่นเกษรLawful Basis for Processing · ISBN 978-616-407-458-3](https://reader035.vdocuments.site/reader035/viewer/2022081621/612f43901ecc5158694354ad/html5/thumbnails/59.jpg)
More concrete?
![Page 60: อัญชลี กลิ่นเกษรLawful Basis for Processing · ISBN 978-616-407-458-3](https://reader035.vdocuments.site/reader035/viewer/2022081621/612f43901ecc5158694354ad/html5/thumbnails/60.jpg)
Privacy Utility Easiness
![Page 61: อัญชลี กลิ่นเกษรLawful Basis for Processing · ISBN 978-616-407-458-3](https://reader035.vdocuments.site/reader035/viewer/2022081621/612f43901ecc5158694354ad/html5/thumbnails/61.jpg)
Which method should I choose then?P
U
E
P
U
E
P
U
E
Pseudonymisation
K-anonymisation
Differential privacy*
User_id Name X
A00001 !@#EER 34
A00002 !e#$EW 48
User_id Name X
A000?? !????? 30 - 50
A000?? !????? 30 - 50
Similar method at the record level is ‘synthetic’ data which doesn’t fall into DP
𝜃𝜃 + 𝑍𝑍
![Page 62: อัญชลี กลิ่นเกษรLawful Basis for Processing · ISBN 978-616-407-458-3](https://reader035.vdocuments.site/reader035/viewer/2022081621/612f43901ecc5158694354ad/html5/thumbnails/62.jpg)
What this guideline will tell you in detail?
WHEN IS PSEUDONYMISATION
SUFFICIENT?
K = ? DIFFERENT PRIVACY EPSILON?