5. 5
âŠPrivacy: âThe ability of an individual or group to
seclude themselves or information about themselves
and thereby reveal themselves selectively.â
(Wikipedia)
âŠInformation Security: âProtecting information and
information systems from unauthorized access, use,
disclosure, disruption, modification, perusal, inspection,
recording or destructionâ (Wikipedia)
Security & Privacy
37. 37
Data Controller
Responsibilities
1. Security
2. Preventing Unauthorized
Processing
3. Data Retention
4. Breach Notification
5. Record of Processing
Activities (ROPA)
6. International Data Transfer
7. Secondary Data Collection
8. Data Processing Agreement
(DPA)
9. Data Protection Officer
(DPO)
38. 38
āđāļĢāļ·āđāļāļāļāļĩāđāļāļ§āļĢāļāļĢāļēāļ āđāļāļĩāđāļĒāļ§āļāļąāļ PDPA
10. Controller āļāđāļāļāļāļąāļāđāļŦāđāļĄāļĩāļāđāļāļāļāļēāļāđāļŦāđāđāļāđāļēāļāļāļāļāđāļāļĄāļđāļĨāļŊ āļāļāđāļāđāļŠāļīāļāļāļīāļāđāļēāļ āđ āđāļāđ
āļŠāļīāļāļāļīāļāļāļāđāļāđāļēāļāļāļāļāđāļāļĄāļđāļĨāļŠāđāļ§āļāļāļļāļāļāļĨ
âĒ Right to Be Informed
(Privacy Notice)
âĒ Right of Access
âĒ Right to Data Portability
âĒ Right to Object
âĒ Right to be Forgotten
âĒ Right to Restrict Processing
âĒ Right of Rectification
73. 73
2. āļāļĢāļ°āļāļēāļĻ āļāļāļŠ. āđāļĢāļ·āđāļāļ āļŦāļĨāļąāļāđāļāļāļāđāļāļēāļĢāđāļŦāđāļāļ§āļēāļĄāļāļļāđāļĄāļāļĢāļāļāļāđāļāļĄāļđāļĨāļŠāđāļ§āļāļāļļāļāļāļĨāļāļĩāđāļŠāđāļāļŦāļĢāļ·āļ
āđāļāļāđāļāļĒāļąāļāļāđāļēāļāļāļĢāļ°āđāļāļĻāļāļēāļĄāļĄāļēāļāļĢāļē 29 āđāļŦāđāļāļāļĢāļ°āļĢāļēāļāļāļąāļāļāļąāļāļīāļāļļāđāļĄāļāļĢāļāļāļāđāļāļĄāļđāļĨāļŠāđāļ§āļāļāļļāļāļāļĨ
āļ.āļĻ. 2562 āļ.āļĻ. 2566
⊠âAcceptedâ Contractual Clauses
Section 29
(1) āļāđāļāļŠāļąāļāļāļēāļāļĩāđāđāļāđāļāđāļāļāļēāļĄāļāđāļāļŠāļąāļāļāļēāļāļĩāđ
āđāļāđāļāļāļĩāđāļĒāļāļĄāļĢāļąāļ (Contract Consistent
with âAcceptedâ Contractual
Clauses)
(B) āļāđāļāļŠāļąāļāļāļēāļāļĩāđāļāļđāđāļŠāļąāļāļāļēāļāļąāļāļāļēāļāļķāđāļāļāļēāļĄ
āļāļāļŦāļĄāļēāļĒāļāļāļāļāđāļēāļāļāļĢāļ°āđāļāļĻ āļŦāļĢāļ·āļāļāļąāļāļāļēāđāļāļĒ
āļāļāļāđāļāļēāļĢāļĢāļ°āļŦāļ§āđāļēāļāļāļĢāļ°āđāļāļĻ āđāļāļĒāđāļāđāļāđāļ
āļŠāļąāļāļāļēāļāđāļāđāļāļāļāļĒāđāļēāļāđāļāļāļĒāđāļēāļāļŦāļāļķāđāļ āļāļąāļāļāļĩāđ
(Contractual Clauses from Foreign
Countries or International
Organizations using one of the
following)
(B.1) ASEAN Model Contractual
Clauses (ASEAN MCC)
(B.2) EU GDPR Standard
Contractual Clauses (EU SCC)
(B.3) āļāļ·āđāļ āđ āļāļĩāđāļāļēāļāļāļĢāļ°āļāļēāļĻāđāļāļīāđāļĄāđāļāļīāļĄ
(Others to be Announced)
Image Source: Flaticon.com
74. 74
2. āļāļĢāļ°āļāļēāļĻ āļāļāļŠ. āđāļĢāļ·āđāļāļ āļŦāļĨāļąāļāđāļāļāļāđāļāļēāļĢāđāļŦāđāļāļ§āļēāļĄāļāļļāđāļĄāļāļĢāļāļāļāđāļāļĄāļđāļĨāļŠāđāļ§āļāļāļļāļāļāļĨāļāļĩāđāļŠāđāļāļŦāļĢāļ·āļ
āđāļāļāđāļāļĒāļąāļāļāđāļēāļāļāļĢāļ°āđāļāļĻāļāļēāļĄāļĄāļēāļāļĢāļē 29 āđāļŦāđāļāļāļĢāļ°āļĢāļēāļāļāļąāļāļāļąāļāļīāļāļļāđāļĄāļāļĢāļāļāļāđāļāļĄāļđāļĨāļŠāđāļ§āļāļāļļāļāļāļĨ
āļ.āļĻ. 2562 āļ.āļĻ. 2566
Section 29
⊠âAcceptedâ Contractual Clauses
āļĄāļēāļāļĢāļāļēāļĢāļāļļāđāļĄāļāļĢāļāļāļāđāļāļĄāļđāļĨāļŠāđāļ§āļāļāļļāļāļāļĨāļāļĩāđ
āļāđāļāļāļĄāļĩāļŠāļēāļŦāļĢāļąāļāļāđāļāļŠāļąāļāļāļēāļāļĩāđāļāļđāđāļŠāļąāļāļāļēāļāļąāļāļāļē
āļāļķāđāļāļāļēāļĄāļāļāļŦāļĄāļēāļĒāļāļāļāļāđāļēāļāļāļĢāļ°āđāļāļĻ āļŦāļĢāļ·āļ
āļāļąāļāļāļēāđāļāļĒāļāļāļāđāļāļēāļĢāļĢāļ°āļŦāļ§āđāļēāļāļāļĢāļ°āđāļāļĻ
(Required Personal Data
Protection Measures for
Contractual Clauses from
Foreign Countries or
International Organizations)
āļāđāļāļāļēāļŦāļāļāļāļĩāđāđāļāđāļāļāļĢāļ°āļāļ§āļāļāļēāļĢāļ āļēāļĒāđāļāļāļāļ
āļāļāļ°āļāļĢāļĢāļĄāļāļēāļĢāļāļļāđāļĄāļāļĢāļāļāļāđāļāļĄāļđāļĨāļŠāđāļ§āļāļāļļāļāļāļĨ
āđāļĨāļ°āļŠāļēāļāļąāļāļāļēāļāļāļāļ°āļāļĢāļĢāļĄāļāļēāļĢāļāļļāđāļĄāļāļĢāļāļ
āļāđāļāļĄāļđāļĨāļŠāđāļ§āļāļāļļāļāļāļĨ (Internal Process) Adapted from International Safe Harbor Privacy Principles & EU-US Privacy Shield,
although invalidated by European Court of Justice, given its foundational importance
Image Source: Flaticon.com
75. 75
2. āļāļĢāļ°āļāļēāļĻ āļāļāļŠ. āđāļĢāļ·āđāļāļ āļŦāļĨāļąāļāđāļāļāļāđāļāļēāļĢāđāļŦāđāļāļ§āļēāļĄāļāļļāđāļĄāļāļĢāļāļāļāđāļāļĄāļđāļĨāļŠāđāļ§āļāļāļļāļāļāļĨāļāļĩāđāļŠāđāļāļŦāļĢāļ·āļ
āđāļāļāđāļāļĒāļąāļāļāđāļēāļāļāļĢāļ°āđāļāļĻāļāļēāļĄāļĄāļēāļāļĢāļē 29 āđāļŦāđāļāļāļĢāļ°āļĢāļēāļāļāļąāļāļāļąāļāļīāļāļļāđāļĄāļāļĢāļāļāļāđāļāļĄāļđāļĨāļŠāđāļ§āļāļāļļāļāļāļĨ
āļ.āļĻ. 2562 āļ.āļĻ. 2566
Section 29
⊠âAcceptedâ Contractual Clauses
āļāļēāļĢāđāļāđāđāļāđāļāļīāđāļĄāđāļāļīāļĄāļāļĩāđāļĒāļāļĄāļĢāļąāļāđāļāđ āļŠāļēāļŦāļĢāļąāļ
āļāđāļāļŠāļąāļāļāļēāļāļĩāđāļāļđāđāļŠāļąāļāļāļēāļāļąāļāļāļēāļāļķāđāļāļāļēāļĄ
āļāļāļŦāļĄāļēāļĒāļāļāļāļāđāļēāļāļāļĢāļ°āđāļāļĻ āļŦāļĢāļ·āļāļāļąāļāļāļē
āđāļāļĒāļāļāļāđāļāļēāļĢāļĢāļ°āļŦāļ§āđāļēāļāļāļĢāļ°āđāļāļĻ
(Acceptable Amendments of
Contractual Clauses from
Foreign Countries or
International Organizations)
āļĄāļēāļāļĢāļāļēāļĢāđāļāļ·āđāļāļāļēāļāļ§āļĒāļāļ§āļēāļĄāļŠāļ°āļāļ§āļāđāļ
āļāļēāļĢāļāđāļēāļāļāļīāļāļŠāļēāļŦāļĢāļąāļāļāļđāđāļāļ§āļāļāļļāļĄāļāđāļāļĄāļđāļĨāļŠāđāļ§āļ
āļāļļāļāļāļĨ āļāļđāđāļāļĢāļ°āļĄāļ§āļĨāļāļĨāļāđāļāļĄāļđāļĨāļŠāđāļ§āļāļāļļāļāļāļĨ
āđāļĨāļ°āļāļĢāļ°āļāļēāļāļ (Measure to
Accommodate Controllers,
Processors, and the Public in
Referencing Contractual Clauses
from Foreign Countries or
International Organizations)
Image Source: Flaticon.com
76. 76
2. āļāļĢāļ°āļāļēāļĻ āļāļāļŠ. āđāļĢāļ·āđāļāļ āļŦāļĨāļąāļāđāļāļāļāđāļāļēāļĢāđāļŦāđāļāļ§āļēāļĄāļāļļāđāļĄāļāļĢāļāļāļāđāļāļĄāļđāļĨāļŠāđāļ§āļāļāļļāļāļāļĨāļāļĩāđāļŠāđāļāļŦāļĢāļ·āļ
āđāļāļāđāļāļĒāļąāļāļāđāļēāļāļāļĢāļ°āđāļāļĻāļāļēāļĄāļĄāļēāļāļĢāļē 29 āđāļŦāđāļāļāļĢāļ°āļĢāļēāļāļāļąāļāļāļąāļāļīāļāļļāđāļĄāļāļĢāļāļāļāđāļāļĄāļđāļĨāļŠāđāļ§āļāļāļļāļāļāļĨ
āļ.āļĻ. 2562 āļ.āļĻ. 2566
⊠Appropriate Safeguards (āļĄāļēāļāļĢāļē 29 āļ§āļĢāļĢāļāļŠāļēāļĄ) Section 29
(2) āļāļēāļĢāļĢāļąāļāļĢāļāļ (Certification)
(āļĢāļāļāļĢāļ°āļāļēāļĻāđāļāļīāđāļĄāđāļāļīāļĄ)
āļŦāļĄāļēāļĒāđāļŦāļāļļ : āļāļ°āļāđāļāļāđāļāđāļāļāļēāļĢāļĢāļąāļāļĢāļāļ (Certification) āđāļāļĩāđāļĒāļ§āļāļąāļāļāļēāļĢāļŠāđāļāļŦāļĢāļ·āļāđāļāļāļāđāļāļĄāļđāļĨāļŠāđāļ§āļāļāļļāļāļāļĨāļāđāļēāļĄāļāļĢāļĄāđāļāļ (Cross-Border Personal Data
Transfer) āļŦāļĢāļ·āļāļāļēāļĢāļŠāđāļāļŦāļĢāļ·āļāđāļāļāļāđāļāļĄāļđāļĨāļŠāđāļ§āļāļāļļāļāļāļĨāļĢāļ°āļŦāļ§āđāļēāļāļāļĢāļ°āđāļāļĻ (International Personal Data Transfer) āđāļĄāđāđāļāđāļāļēāļĢāļĢāļąāļāļĢāļāļ (Certification)
āđāļāļĩāđāļĒāļ§āļāļąāļāļāļēāļĢāļāļļāđāļĄāļāļĢāļāļāļāđāļāļĄāļđāļĨāļŠāđāļ§āļāļāļļāļāļāļĨ (Personal Data Protection) āļāļ§āļēāļĄāđāļāđāļāļŠāđāļ§āļāļāļąāļ§ (Privacy) āļŦāļĢāļ·āļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāļŠāļēāļĢāļŠāļāđāļāļĻ
(Information Security) āļāļāļāļāļāļāđāļāļĢāđāļāļĒāļāļąāđāļ§āđāļāđāļāđāļēāļāļąāđāļ
Image Source: Flaticon.com
83. 83
āļāļĢāļ°āļāļēāļĻ āļāļāļŠ. āđāļĢāļ·āđāļāļ āļŦāļĨāļąāļāđāļāļāļāđāđāļāļĩāđāļĒāļ§āļāļąāļāļĄāļēāļāļĢāļāļēāļĢāļāļļāđāļĄāļāļĢāļāļāļŠāļēāļŦāļĢāļąāļāļāļēāļĢāđāļāđāļāļĢāļ§āļāļĢāļ§āļĄ
āļāđāļāļĄāļđāļĨāļŠāđāļ§āļāļāļļāļāļāļĨāđāļāļĩāđāļĒāļ§āļāļąāļāļāļĢāļ°āļ§āļąāļāļīāļāļēāļāļāļēāļāļĢāļĢāļĄāļāļĩāđāļĄāļīāđāļāđāļāļĢāļ°āļāļēāļ āļēāļĒāđāļāđāļāļēāļĢāļāļ§āļāļāļļāļĄāļāļāļ
āļŦāļāđāļ§āļĒāļāļēāļāļāļĩāđāļĄāļĩāļāļēāļāļēāļāļŦāļāđāļēāļāļĩāđāļāļēāļĄāļāļāļŦāļĄāļēāļĒ āļ.āļĻ. 2566
⊠Collection of âPersonal Data relating to Criminal Convictions and
Offences or Related Security Measuresâ
Definition
Covered Personal Data Collection
Image Source: Flaticon.com
85. 85
āļāļĢāļ°āļāļēāļĻ āļāļāļŠ. āđāļĢāļ·āđāļāļ āļŦāļĨāļąāļāđāļāļāļāđāđāļāļĩāđāļĒāļ§āļāļąāļāļĄāļēāļāļĢāļāļēāļĢāļāļļāđāļĄāļāļĢāļāļāļŠāļēāļŦāļĢāļąāļāļāļēāļĢāđāļāđāļāļĢāļ§āļāļĢāļ§āļĄ
āļāđāļāļĄāļđāļĨāļŠāđāļ§āļāļāļļāļāļāļĨāđāļāļĩāđāļĒāļ§āļāļąāļāļāļĢāļ°āļ§āļąāļāļīāļāļēāļāļāļēāļāļĢāļĢāļĄāļāļĩāđāļĄāļīāđāļāđāļāļĢāļ°āļāļēāļ āļēāļĒāđāļāđāļāļēāļĢāļāļ§āļāļāļļāļĄāļāļāļ
āļŦāļāđāļ§āļĒāļāļēāļāļāļĩāđāļĄāļĩāļāļēāļāļēāļāļŦāļāđāļēāļāļĩāđāļāļēāļĄāļāļāļŦāļĄāļēāļĒ āļ.āļĻ. 2566
Requirements for Personal Data Collection
āļĄāļēāļāļĢāļāļēāļĢāđāļāļ·āđāļāđāļŦāđāđāļāđāļēāļāļāļāļāđāļāļĄāļđāļĨāļŠāđāļ§āļ
āļāļļāļāļāļĨāļāļĢāļēāļāļāļ§āļēāļĄāļāļēāđāļāđāļāđāļāļāļēāļĢāđāļāđāļ
āļĢāļ§āļāļĢāļ§āļĄāļāđāļāļĄāļđāļĨāļŠāđāļ§āļāļāļļāļāļāļĨāđāļāļĩāđāļĒāļ§āļāļąāļ
āļāļĢāļ°āļ§āļąāļāļīāļāļēāļāļāļēāļāļĢāļĢāļĄāļāļąāđāļāđāļāđāđāļĢāļ
(Measure for Early Notice of
Necessity for Collecting
Personal Data relating to
Criminal Convictions and
Offences)
āļĄāļēāļāļĢāļāļēāļĢāđāļāļ·āđāļāđāļŦāđāđāļāđāļēāļāļāļāļāđāļāļĄāļđāļĨāļŠāđāļ§āļ
āļāļļāļāļāļĨāļāļĢāļēāļāļāđāļāļĄāļđāļĨāļāļĩāđāļāļēāđāļāđāļāļŠāļēāļŦāļĢāļąāļ
āļāļēāļĢāđāļŦāđāļāļ§āļēāļĄāļĒāļīāļāļĒāļāļĄ (Measure to
Ensure Necessary
Information is Provided for
Consent)
Image Source: Flaticon.com
86. 86
āļāļĢāļ°āļāļēāļĻ āļāļāļŠ. āđāļĢāļ·āđāļāļ āļŦāļĨāļąāļāđāļāļāļāđāđāļāļĩāđāļĒāļ§āļāļąāļāļĄāļēāļāļĢāļāļēāļĢāļāļļāđāļĄāļāļĢāļāļāļŠāļēāļŦāļĢāļąāļāļāļēāļĢāđāļāđāļāļĢāļ§āļāļĢāļ§āļĄ
āļāđāļāļĄāļđāļĨāļŠāđāļ§āļāļāļļāļāļāļĨāđāļāļĩāđāļĒāļ§āļāļąāļāļāļĢāļ°āļ§āļąāļāļīāļāļēāļāļāļēāļāļĢāļĢāļĄāļāļĩāđāļĄāļīāđāļāđāļāļĢāļ°āļāļēāļ āļēāļĒāđāļāđāļāļēāļĢāļāļ§āļāļāļļāļĄāļāļāļ
āļŦāļāđāļ§āļĒāļāļēāļāļāļĩāđāļĄāļĩāļāļēāļāļēāļāļŦāļāđāļēāļāļĩāđāļāļēāļĄāļāļāļŦāļĄāļēāļĒ āļ.āļĻ. 2566
Requirements for Personal Data Collection
Image Source: Flaticon.com
Measures for
Data
Minimization
Security
Measures