การรักษาความมั่นคงปลอดภัยของข้อมูลและการแจ้งเหตุการละเมิด

บทความน่าสนใจ

Loading

    พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 เป็นกฎหมายที่กำหนดหน้าที่และความรับผิดชอบขององค์กร ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลที่ต้องปฏิบัติ เมื่อดำเนินการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล   หน้าที่ที่สำคัญประการหนึ่งขององค์กร คือ การจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม (Security of Processing/Data Security)   และในกรณีที่ “มาตรการรักษาความมั่นคงปลอดภัย” ดังกล่าวที่องค์กรดำเนินการไม่เป็นไปตามมาตรฐานหรือเกิดข้อผิดพลาด อันอาจนำไปสู่เหตุการละเมิดข้อมูลส่วนบุคคล (Data Breach)   องค์กรก็จะมีหน้าที่แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลตามเงื่อนไขที่กฎหมายกำหนด (Data Breach Notification)   หน้าที่ในส่วนของ “การมีมาตรการรักษาความมั่นคงปลอดภัย” และ “การแจ้งเหตุการละเมิด” จึงเป็นสองหน้าที่ที่มาควบคู่กันเสมอ   ในระบบกฎหมายด้านการคุ้มครองข้อมูลส่วนบุคคล ถือว่าเมื่อองค์กรนำเข้าและใช้ประโยชน์จากข้อมูลส่วนบุคคล องค์กรก็มีหน้าที่ต้องดูแลรักษา และเมื่อไม่สามารถดูแลได้จนนำมาซึ่งการเกิดเหตุการละเมิดข้อมูลส่วนบุคคล   องค์กรก็ต้องรีบดำเนินการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลตามเงื่อนไขของกฎหมาย   เพื่อให้มีการประเมินและพิจารณาความเสี่ยงต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคลโดยเร็ว   พร้อมทั้งดำเนินการเยียวยาแก้ไขความเสียหายและผลกระทบใด ๆ ที่อาจมีต่อเจ้าของข้อมูลส่วนบุคคล อันเป็นการปกป้องส่วนได้เสียต่าง ๆ ของผู้ใช้บริการ/ประชาชน   ตามประกาศฯ มาตรการรักษาความมั่นคงปลอดภัย ข้อ…

ช่องทางทำกิน!! ชี้คนไทยฟ้องแพ่งรัฐได้หากพบทำข้อมูลรั่วสูงสุด 5 ล้านบาท

บทความน่าสนใจ

Loading

    ขู่องค์กรเตือนหน่วยงานเก็บข้อมูลส่วนบุคคลต้องได้มาตรฐานทำรั่วไหลโดนปรับทางปกครอง- ปชช.ฟ้องแพ่งได้ ย้ำตามกฎหมายต้องรีพอร์ตสำนักงานสคส. ภายใน 72 ชั่วโมง และต้องแจ้งทางเจ้าของข้อมูล ให้รับทราบด้วย   นายเธียรชัย ณ นคร ประธานกรรมการคุ้มครองข้อมูลส่วนบุคคล เปิดเผยว่า ปัจจุบันปัญหาข้อมูลส่วนบุคคลรั่วไหลที่เกิดขึ้น มีสาเหตุจากระบบการเก็บข้อมูลส่วนบุคคลขององค์กรต่างๆ ที่เป็นผู้ควบคุมข้อมูล ยังไม่ได้มาตรฐาน และบุคคลในองค์กรเป็นผู้ทำรั่วไหลเอง รวมถึงการถูกแฮ็กเกอร์ทำการแฮ็กข้อมูลในระบบ ฯลฯ ซึ่งตาม พ.ร.บ คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ พีดีพีเอ ผู้ควบคุมข้อมูลจำเป็นต้องเก็บข้อมูลส่วนบุคคล ให้มีความปลอดภัย ไม่ให้รั่วไหล   หากเกิดกรณีทำข้อมูล ของประชาชนรั่วไหลแล้ว ต้องแจ้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ภายใน 72 ชั่วโมง และต้องแจ้งทางเจ้าของข้อมูลให้รับทราบด้วย ซึ่งหากการสอบสวนผู้เชี่ยวชาญของสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) พิจารณา ออกมาว่าองค์กรนั้นๆ มีความบกพร่อง ไม่ได้มาตรฐานขั้นต่ำ มีความผิดจริง ก็จะมีโทษปรับทางปกครองตั้งแต่ 1 ล้านบาท สูงสุดไม่เกิน 5 ล้านบาท…

โพลล์การเมืองและการคุ้มครองข้อมูลส่วนบุคคล

บทความน่าสนใจ

Loading

    ในช่วงนี้ สิ่งที่ผู้คนในประเทศไทยให้ความสนใจที่สุด คงจะหนีไม่พ้นเรื่องของการเมือง ว่าบุคคลใดหรือพรรคใดจะขึ้นมาเป็นผู้นำประเทศ และในช่วงของการเลือกตั้งก็จะเห็นโพลล์การเมืองต่างๆ ที่เปิดเผยสู่สาธารณะ   ไม่ว่าจะเป็นผลสำรวจความนิยมด้านการเมืองของผู้คนในภูมิภาคใดภูมิภาคหนึ่ง หรือแม้กระทั่งในจังหวัดใดจังหวัดหนึ่ง จึงมีข้อสังเกตที่น่าสนใจว่าการสำรวจความคิดเห็นทางการเมือง ซึ่งจะถือเป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือไม่   ประเด็นแรกที่ควรพิจารณา คือ “ความคิดเห็นทางการเมือง” เป็นข้อมูลส่วนบุคคลหรือไม่ เนื่องจาก พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ จะใช้กับกรณีที่มีข้อมูลส่วนบุคคลเข้ามาเกี่ยวข้องเท่านั้น   ดังนั้น จึงเป็นเรื่องสำคัญในการพิจารณาว่าข้อมูลเกี่ยวกับความคิดเห็นทางการเมืองที่องค์กรในฐานะผู้ควบคุมข้อมูลส่วนบุคคลเก็บรวบรวม ใช้ และเปิดเผยนั้นสามารถจัดเป็น “ข้อมูลส่วนบุคคล” ได้หรือไม่ หากพิจารณาตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ จะเห็นคำว่า “ความคิดเห็นทางการเมือง” ปรากฏอยู่ในมาตรา 26 ที่กำหนดถึงฐานในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลอ่อนไหว (sensitive data) แต่ไม่ได้มีการอธิบายขยายความเพิ่มเติม     อีกทั้งในส่วนของความหมายของคำว่า “ข้อมูลส่วนบุคคล” พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ก็ได้ให้คำนิยามไว้กว้างๆ ในมาตรา 6 ว่าหมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม…

ผ่าแนวคิด “สกมช.” มือปราบภัยไซเบอร์ รับมือ ภัยคุกคามป่วนหนัก

บทความน่าสนใจ

Loading

  ภัยไซเบอร์ ที่คุกคามเข้ามาส่งผลกระทบให้กับคนไทยในช่วงที่ผ่านมา นอกจากจะมีรูปแบบเดิม ๆ คือ มัลแวร์ แรนซัมแวร์ ฟิชชิ่ง แล้ว ทุกวันนี้ออนไลน์ต้องเผชิญหน้ากับภัยจากการหลอกลวงให้โอนเงิน กดลิงก์ปลอม หลอกให้ติดตั้งแอปพลิเคชัน หรือ แม้แต่การเสียบสายชาร์จสมาร์ตโฟน ก็สามารถทำให้เงินหายเกลี้ยงบัญชีได้ รัฐบาลได้จัดตั้งสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์ (สกมช.) เพื่อรับผิดชอบในส่วนนี้โดยเฉพาะ   พล.อ.ต.อมร ชมเชย เลขาธิการสกมช. กล่าวว่า ภัยไซเบอร์ขององค์กรปีนี้ยังคงพบความเสี่ยงขององค์กรที่ไม่มีการอัปเกรดเซิร์ฟเวอร์ จนกลายเป็นช่องโหว่ของ แก๊งแรนซัมแวร์ ในการขโมยข้อมูล เรียกค่าไถ่ ประจาน และเปิดเผยข้อมูล ซึ่งทั่วโลกมีบริษัทถูกแฮกข้อมูลกว่า 100 บริษัทต่อเดือน   ขณะที่ประเทศไทยถูกแฮก เฉลี่ยเดือนละ 5-6 บริษัท แต่ไม่มีใครเปิดเผย เพราะกลัวมีความผิดตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ พีดีพีเอ   เรื่องข้อมูลส่วนบุคคลในต่างประเทศ อาทิ สิงคโปร์ ออสเตรเลีย ให้ความสำคัญมากมีบริการ เครดิต วอช ด้วยการซื้อประกันข้อมูลรั่ว หากข้อมูลรั่วบริษัทต้องจ่ายค่าเสียหายให้ลูกค้าและรัฐบาล เชื่อว่าอีกไม่นานประเทศไทยต้องมีบริการรูปแบบนี้…

สกมช.เตรียมแก้ กม.เพิ่มอำนาจปรับหน่วยงานระบบไอทีไม่ปลอดภัย

ข่าวประจำวัน, สถานการณ์ไซเบอร์

Loading

    เหตุเป็นช่องแฮกเกอร์เจาะข้อมูล หลังพบสถิติองค์กรไทยถูกแก๊งแรนซัมแวร์ขโมยข้อมูล เรียกค่าไถ่ เดือนละ 5-6 บริษัท   พล.อ.ต.อมร ชมเชย เลขาธิการสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์ (สกมช.) กล่าวว่า ภัยไซเบอร์ขององค์กรปีนี้ยังคงพบความเสี่ยงขององค์กรที่ไม่มีการอัปเกรดเซิร์ฟเวอร์ จนกลายเป็นช่องโหว่ของ แก๊งแรนซัมแวร์ ในการขโมยข้อมูล เรียกค่าไถ่ ประจาน และเปิดเผยข้อมูล ซึ่งทั่วโลกมีบริษัทถูกแฮกข้อมูลกว่า 100 บริษัทต่อเดือน ขณะที่ประเทศไทยถูกแฮกเฉลี่ยเดือนละ 5-6 บริษัท แต่ไม่มีใครเปิดเผย เพราะกลัวมีความผิดตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ พีดีพีเอ   ทั้งนี้ เรื่องข้อมูลส่วนบุคคลในต่างประเทศ อาทิ สิงคโปร์ ออสเตรเลีย ให้ความสำคัญอย่างมาก โดยมีบริการ เครดิต วอช ด้วยการซื้อประกันข้อมูลรั่ว หากข้อมูลรั่วบริษัทต้องจ่ายค่าเสียหายให้ลูกค้าและรัฐบาล เชื่อว่าอีกไม่นานประเทศไทยต้องมีบริการรูปแบบนี้ เพราะ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล มีโทษปรับทางปกครองสูงสุดไม่เกิน 5,000,000 บาท กับหน่วยงานที่ปล่อยให้ข้อมูลส่วนบุคคลรั่ว   อย่างไรก็ตาม ที่ผ่านมา สกมช.มีหน้าที่ในการกำหนดมาตรฐานระบบไอทีให้หน่วยงานโครงสร้างพื้นฐานที่สำคัญของประเทศ…

แนวทางในการคัดเลือก เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)

บทความน่าสนใจ

Loading

  เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer:DPO) ถือเป็นบุคคลสำคัญในการกำกับดูแลด้านการคุ้มครองข้อมูลส่วนบุคคลขององค์กร   พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จึงได้กำหนดหน้าที่ในการจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลไว้ โดยให้ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดให้มี DPO ในกรณีดังต่อไปนี้   (1) ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเป็นหน่วยงานของรัฐตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด หรือ   (2) การดำเนินกิจกรรมของผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคลในการเก็บรวบรวม ใช้ หรือเปิดเผย จำเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่ำเสมอโดยเหตุที่มีข้อมูลส่วนบุคคลเป็นจำนวนมากตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด หรือ   (3) “กิจกรรมหลัก” ของผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคลเป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามมาตรา 26   ในปัจจุบัน คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลยังไม่ได้มีการออกประกาศตามข้อ (1) และ (2) ดังกล่าวข้างต้น   ในส่วนของบุคคลที่จะทำหน้าที่ DPO กฎหมายกำหนดว่าอาจเป็นพนักงานของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล หรือเป็นผู้รับจ้างให้บริการตามสัญญาก็ได้เช่นกัน   หน้าที่หลัก ๆ ของ DPO คือ การให้คำแนะนำและตรวจสอบองค์กรนั้น ๆ ในการปฏิบัติและดำเนินการให้สอดคล้องกับพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ…