ลงประกาศ
    ลงประกาศ
    1. วัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคล เพื่อการนำข้อมูลส่วนบุคคลไปใช้หรือเปิดเผย
    2. ประเภทของข้อมูลส่วนบุคคลที่จะถูกประมวลผล ควรมีความชัดเจนเรื่องประเภทของข้อมูลส่วนบุคคลที่จะเก็บรวบรวม ใช้หรือเผยแพร่ ตัวอย่างเช่น แทนที่จะใช้คำว่า ข้อมูลทางการเงิน ควรระบุให้ชัดเจนว่าเป็น หมายเลขบัญชี หรือ หมายเลขบัตรเครดิต เป็นต้น นอกจากนี้ องค์กรควรจัดทำ outline ประเภทของข้อมูลส่วนบุคคล และการได้มาของข้อมูลดังกล่าว องค์กรควรเจาะจงให้ได้มากที่สุดเท่าที่จะทำได้เกี่ยวกับประเภทของข้อมูลที่รวบรวมและวิธีที่ที่ได้รับมา เช่น ได้รับข้อมูลจากเจ้าของข้อมูลโดยตรง หรือ ไม่ได้รับข้อมูลโดยตรงจากเจ้าของข้อมูล
    3. ฐานในการประมวลผลข้อมูลส่วนบุคคล (Lawful Basis for Processing Personal Data) ในการประมวลผลข้อมูลส่วนบุคคล ต้องตอบสนองอย่างน้อย 1 ใน 6 ฐานในการประมวลผลข้อมูลส่วนบุคคล โดยประกาศความเป็นส่วนตัวควรระบุว่าใช้ฐานในการประมวลผลข้อมูลส่วนบุคคลใดในการประมวลผลแต่ละวัตถุประสงค์ ต้องแจ้งให้ทราบถึงกรณีที่เจ้าของข้อมูลส่วนบุคคลต้องให้ข้อมูลส่วนบุคคลเพื่อปฏิบัติตามกฎหมายหรือสัญญาหรือมีความจำเป็นต้องให้ข้อมูลส่วนบุคคลเพื่อเข้าทำสัญญา รวมทั้งแจ้งถึงผลกระทบที่เป็นไปได้จากการไม่ให้ข้อมูลส่วนบุคคล
    4. ข้อมูลจะถูกประมวลผลอย่างไร และ นานเพียงใด ประกาศความเป็นส่วนตัวต้องอธิบายว่าข้อมูลส่วนบุคคลที่รวบรวมจะมีวิธีการประมวลผลอย่างไร จะมีการแบ่งปันข้อมูลส่วนบุคคลที่รวบรวมกับบุคคลที่สามหรือไม่ และวิธีคุ้มครองดังกล่าวเป็นอย่างไร ประกาศความเป็นส่วนตัวต้องระบุว่าระยะเวลาในการเก็บรวบรวมข้อมูลส่วนบุคคลเป็นอย่างไร ทั้งนี้ ในกรณีที่ไม่สามารถกำหนดระยะเวลาดังกล่าวได้ชัดเจน ให้กำหนดระยะเวลาที่อาจคาดหมายได้ตามมาตรฐานของการเก็บรวบรวม
    5. สิทธิ์ของเจ้าของข้อมูล ใน GDPR มอบสิทธิ์ในการใช้ข้อมูลแก่บุคคลผู้เป็นเจ้าของข้อมูล 8 ข้อ ซึ่งในประกาศความเป็นส่วนตัวควรแสดงรายการและอธิบายสิทธิ์ดังกล่าวด้วย ได้แก่
      1. สิทธิในการได้รับแจ้งข้อมูล (Right to be Informed) ผู้ควบคุมข้อมูลต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบว่ามีการรวบรวมข้อมูลอะไร อย่างไร มีการใช้ข้อมูลดังกล่าวนานแค่ไหน จะถูกเก็บไว้อย่างไร และจะแบ่งปันกับบุคคลที่สามหรือไม่อย่างไร
      2. สิทธิในการเข้าถึงข้อมูล (Right of Access) เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องขอสำเนาข้อมูลส่วนบุคคลของตนจากผู้ควบคุมข้อมูล
      3. สิทธิในการแก้ไขข้อมูลให้ถูกต้อง (Right to Rectification) เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอแก้ไขข้อมูลส่วนบุคคลของตนให้ถูกต้อง เป็นปัจจุบัน และสมบูรณ์
      4. สิทธิในการลบ (Right to Erasure) สิทธินี้รู้จักกันในชื่อ สิทธิในการถูกลืม (Right to be Forgotten) คือ เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องขอให้ผู้ควบคุมข้อมูลลบข้อมูลส่วนบุคคลของตน
      5. สิทธิในการจำกัดการประมวลผลข้อมูล (Right to Restriction of Processing) เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการร้องขอให้ผู้ควบคุมข้อมูลจำกัดการประมวลผลข้อมูล โดยผู้ควบคุมข้อมูลสามารถเก็บข้อมูลส่วนบุคคลต่อไปได้ แต่ไม่สามารถนำไปประมวลผลข้อมูลได้อีกต่อไป เว้นแต่เจ้าของข้อมูลจะให้ความยินยอมหรือได้รับการยกเว้นตามที่กฎหมายกำหนด
      6. สิทธิในการโอนย้ายข้อมูล (Right to Data Portability) เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการได้รับข้อมูลส่วนบุคคลของตนเองที่เคยให้แก่ผู้ควบคุมข้อมูลในรูปแบบที่สามารถอ่านและเข้าใจได้อย่างแพร่หลาย และมีสิทธิ์ที่จะโอนข้อมูลของตนไปยังผู้ควบคุมข้อมูลรายอื่น ซึ่งเจ้าของข้อมูลมีสิทธิขอให้โอนโดยตรงได้หากสามารถกระทำได้ในทางปฏิบัติ
      7. สิทธิในการคัดค้าน (Right to Object) เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูล เช่น เพื่อการตลาดหรือการขายตรง
      8. สิทธิในการคัดค้านการตัดสินใจแทนโดยอัตโนมัติ (Right on Automated Individual Decision-Making, including Profiling) เจ้าของข้อมูลส่วนบุคคลมีสิทธิที่จะคัดค้านการตัดสินใจโดยอิงจากการประมวลผลโดยอัตโนมัติรวมถึงการทำโปรไฟล์ซึ่งมีผลทางกฎหมายหรือส่งผลกระทบอย่างยิ่งยวดต่อเจ้าของข้อมูล ยกเว้นในบางกรณี เช่น การตัดสินใจนั้นจำเป็นต่อการปฏิบัติตามข้อสัญญา การตัดสินใจนั้นได้รับอนุญาตจากกฎหมาย หรือได้รับความยินยอมที่ชัดเจนจากเจ้าของข้อมูล บุคคลมีอิสระที่จะขอตรวจสอบการประมวลผลอัตโนมัติหากเชื่อว่าไม่มีการปฏิบัติตามกฎหมายหรือวัตถุประสงค์ที่มีการแจ้ง
    6. ประเภทของบุคคลหรือหน่วยงานซึ่งข้อมูลส่วนบุคคลที่เก็บรวบรวมอาจจะถูกเปิดเผย หากองค์กรได้รับข้อมูลส่วนบุคคลผ่านองค์กรอื่น ประกาศความเป็นส่วนตัวจะต้องให้ข้อมูลเดียวกันทั้งหมดยกเว้นการให้ข้อมูลส่วนบุคคลเพื่อปฏิบัติตามกฎหมายหรือสัญญาหรือมีความจำเป็นต้องให้ข้อมูลส่วนบุคคลเพื่อเข้าทำสัญญา รวมทั้งแจ้งถึงผลกระทบที่เป็นไปได้จากการไม่ให้ข้อมูลส่วนบุคคลและจะต้องเพิ่ม หมวดหมู่หรือประเภทของข้อมูลส่วนบุคคลที่ได้รับ
    7. รายละเอียดการติดต่อ ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล สถานที่ติดต่อ และวิธีการติดต่อ ในกรณีที่มีตัวแทนหรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ให้แจ้งข้อมูล สถานที่ติดต่อ และวิธีการติดต่อของตัวแทนหรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลด้วย