เอกชนเตรียมปรับตัว ตามมาตรฐานรักษาความปลอดภัยของข้อมูลส่วนบุคคล

  • 5.5K views
  • กรกฎาคม 20, 2020
Total
0
Shares
0
0
0

17 กรกฎาคม 2563 ราชกิจจานุเบกษาเผยแพร่ ประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล พ.ศ. 2563

ประกาศดังกล่าว ได้กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคล 22 กิจการที่ก่อนหน้านี้ได้รับการยกเว้นตามพระราชกฤษฎีกา ให้ไม่ต้องปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นระยะเวลาหนึ่งปี ต้องปฏิบัติตามมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคลตามประกาศนี้ โดยผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดการระบบ ‘หลังบ้าน’ หรือระบบการจัดการภายในองค์กร เพื่อให้มีมาตรฐานในการคุ้มครองข้อมูลส่วนบุคคลให้มีความปลอดภัยในระดับหนึ่ง โดยมีรายละเอียดดังนี้

หนึ่ง ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ให้แก่บุคลากร พนักงาน ลูกจ้างหรือบุคคลที่เกี่ยวข้องทราบ รวมถึงสร้างเสริมความตระหนักรู้ด้านความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลให้กับกลุ่มบุคคลดังกล่าวปฏิบัติตามมาตรการที่กำหนดอย่างเคร่งครัด ซึ่งหากมีการใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลอย่างเต็มรูปแบบในปี 2564 แล้ว ผู้ที่ปฏิบัติงานที่เกี่ยวข้องก็จะมีความรู้ความสามารถเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลเพิ่มขึ้น

สอง ผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ซึ่ง ‘ควร’ ครอบคลุมถึงมาตรการป้องกันด้านการบริหารจัดการ (administrative safeguard) มาตรการป้องกันด้านเทคนิค (technical safeguard) และมาตรการป้องกันทางกายภาพ (physical safeguard) ในเรื่องการเข้าถึงหรือควบคุมการใช้งานข้อมูลส่วนบุคคล โดยอย่างน้อยต้องประกอบด้วย

  1. การควบคุมการเข้าถึงข้อมูลส่วนบุคคล และอุปกรณ์ในการจัดเก็บและประมวลผลข้อมูลส่วนบุคคลโดยคำนึงถึงการใช้งานและความมั่นคงปลอดภัย
  2. การกำหนดเกี่ยวกับสิทธิในการเข้าถึงข้อมูลส่วนบุคคล เช่น การให้บุคคลที่มีส่วนรับผิดชอบข้อมูลส่วนบุคคลประเภทใดประเภทหนึ่งเท่านั้นที่มีสิทธิในการเข้าถึงข้อมูลดังกล่าว เพื่อเป็นการป้องกันการรั่วไหลของข้อมูลส่วนบุคคล
  3. การบริหารการเข้าถึงของผู้ใช้งาน (user access management) เพื่อควบคุมการเข้าถึงข้อมูลส่วนบุคคลเฉพาะผู้ที่ได้รับอนุญาตแล้ว
  4. การกำหนดหน้าที่ความรับผิดชอบของผู้ใช้งาน (user responsibilities) เพื่อป้องกัน การเข้าถึงข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต การเปิดเผย การล่วงรู้ หรือการลักลอบทำสำเนาข้อมูลส่วนบุคคล การลักขโมยอุปกรณ์จัดเก็บหรือประมวลผลข้อมูลส่วนบุคคล
  5. การจัดให้มีวิธีการเพื่อให้สามารถตรวจสอบย้อนหลังเกี่ยวกับการเข้าถึง เปลี่ยนแปลง ลบ หรือถ่ายโอนข้อมูลส่วนบุคคล ให้สอดคล้องเหมาะสมกับวิธีการและสื่อที่ใช้ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

สาม ผู้ควบคุมข้อมูลส่วนบุคคลอาจเลือกใช้มาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่แตกต่างไปจากประกาศฉบับนี้ได้ แต่ต้องเป็นมาตรฐานที่ไม่ต่ำกว่าประกาศนี้ หรือกล่าวในทางกลับกัน คือ หากผู้ควบคุมข้อมูลส่วนบุคคลมีมาตรฐานที่สูงกว่าประกาศนี้อยู่แล้ว ก็สามารถปฏิบัติตามมาตรฐานนั้นต่อไปได้

NOTIFICATION OF THE MINISTRY OF Digital Economy and Society

แม้ว่าประกาศดังกล่าวจะช่วยกำหนดมาตรการในการดำเนินกิจการขององค์กรที่ถือข้อมูลส่วนบุคคลให้ดีขึ้น แต่เนื้อหาของประกาศดังกล่าวก็ยังไม่ครอบคลุมไปถึงการคุ้มครองข้อมูลส่วนบุคคลอย่างเต็มรูปแบบเช่นเดียวกับที่กำหนดไว้ใน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล โดยในระหว่างนี้ หากมีการรั่วไหลของข้อมูลส่วนบุคคลจนก่อให้เกิดความเสียหายแก่เจ้าของข้อมูล เจ้าของข้อมูลยังสามารถใช้สิทธิทางแพ่งฟ้องละเมิดเพื่อเรียกค่าสินไหมทดแทนตามความเสียหายที่เกิดขึ้นตามที่พิสูจน์ได้จริงเท่านั้น ทั้งนี้ ภาระในการพิสูจน์ถึงความเสียหายอาจตกอยู่ที่ตัวเจ้าของข้อมูลเอง 

Total
0
Shares
Share 0
Tweet 0
Share 0
Related Tags