หน้าที่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม

บทความน่าสนใจ

Loading

  พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนดให้องค์กรมีหน้าที่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมเป็นหน้าที่ของ “ผู้ควบคุมข้อมูลส่วนบุคคล” และ “ผู้ประมวลผลข้อมูลส่วนบุคคล” ซึ่งการไม่มีมาตรการที่เหมาะสมอาจมีความรับผิดตามที่กฎหมายกำหนด พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนดให้องค์กรมีหน้าที่ ดังนี้ 1.ผู้ควบคุมข้อมูลส่วนบุคคล มีหน้าที่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ และต้องทบทวนมาตรการดังกล่าวเมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม ทั้งนี้ ให้เป็นไปตามมาตรฐานขั้นต่ำที่คณะกรรมการประกาศกำหนด (มาตรา 37(1))   2.ผู้ควบคุมข้อมูลส่วนบุคคล มีหน้าที่แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สำนักงานโดยไม่ชักช้าภายใน 72 ชั่วโมง นับแต่ทราบเหตุเท่าที่จะสามารถกระทำได้ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ในกรณีที่การละเมิดมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ให้แจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อมกับแนวทางการเยียวยาโดยไม่ชักช้าด้วย ทั้งนี้ การแจ้งดังกล่าวและข้อยกเว้นให้เป็นไปตามหลักเกณฑ์และวิธีการที่คณะกรรมการประกาศกำหนด (มาตรา 37(4))   3.ผู้ประมวลผลข้อมูลส่วนบุคคล มีหน้าที่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคล โดยปราศจากอำนาจหรือโดยมิชอบ รวมทั้งแจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น (มาตรา 40(2)) จากกฎหมายที่เกี่ยวข้อง…

สิ่งที่องค์กรยังต้องทำ แม้มีการเลื่อน PDPA ออกไปอีก1ปี

บทความน่าสนใจ

Loading

  แม้ว่า พ.ร.บ.คุ้มครองข้อมูลสวนบุคคล 2562 หรือที่เรียกกันติดปากว่า PDPA จะได้ถูกเลื่อนการมีผลบังคับใช้กับหน่วยงานจากการเลื่อนรอบแรกให้มีผลตั้งแต่วันที่ 1 มิถุนายน 2564 ไปเป็น 1 มิถุนายน 2565 เป็นต้นไป แต่ยังมีเรื่องที่องค์กรยังต้องดำเนินการอยู่เรื่องหนึ่ง ที่ผู้บริหารในหลายองค์กรได้รับทราบค่อนข้างน้อยหรือรับทราบ แต่ให้ความสนใจค่อนข้างน้อย นั่น คือ   การที่ต้องดำเนินการตามประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล พ.ศ. 2563 โดยรัฐมนตรีฯได้ลงนามในประกาศไปเมื่อ เมื่อ วันที่ 24 มิถุนายน พ.ศ. 2563 และได้ให้มีผลบังคับใช้ไปถึงวันที่ 31 พฤษภาคม 2564 และได้มีประกาศเพิ่มเติมให้ยืดการมีผลบังคับใช้ไปจนถึง วันที่ 31 พฤษภาคม 2565   เนื้อหาหลักของประกาศฉบับนี้ได้วางแนวทางที่เป็นฐานสำคัญของการบริหารข้อมูลส่วนบุคคลคือ การกำหนดมาตรฐานความมั่นคงปลอดภัย เพราะหากการรักษาความมั่นคงปลอดภัยหรือที่เรียกกันติดปากว่า Data Security ไม่ได้มาตรฐานที่ควรจะเป็นแล้ว การดูแลข้อมูลส่วนบุคคลให้ได้ตามข้อกำหนดของพรบ.คุ้มครองข้อมูลส่วนบุคคล ก็จะทำได้บนความเสี่ยงที่จะเกิดปัญหาอย่างที่เราได้รับทราบข่าวเรื่องการรั่วไหลหรือการละเมิดข้อมูลส่วนบุคคลอยู่เป็นระยะ   ประกาศฉบับนี้ได้ให้ความหมายของคำว่า “ความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล” เอาไว้ในช้อ…

PDPA BEGINS : เพื่อความเป็นส่วนตัวและความปลอดภัย

บทความน่าสนใจ

Loading

  ความเป็นส่วนตัว (Privacy) ถือเป็นสิทธิขั้นพื้นฐานของมนุษย์มาอย่างยาวนาน ในอดีตการเรียกร้องความเป็นส่วนตัวจะมุ่งเน้นไปที่ความเป็นส่วนตัวทางกายภาพ (Physical Privacy) หมายถึงสิทธิอันชอบธรรมในการอยู่อย่างสันโดดและปลอดภัยจากการรบกวนจากบุคคลภายนอก เช่น บุคคลอื่น องค์กร หรือแม้กระทั่งหน่วยงานจากภาครัฐ แต่เมื่อเข้าสู่ยุคแห่งการสื่อสารข้อมูลระหว่างกันผ่านทางระบบเครือข่ายคอมพิวเตอร์และเครือข่ายอินเทอร์เน็ต ข้อมูลส่วนบุคคลจึงหลั่งไหลเข้าไปอยู่บนระบบมากขึ้น ทำให้เกิดความต้องการความส่วนตัวด้านสารสนเทศ (Information Privacy) และรวมไปถึงความเป็นส่วนตัวของข้อมูลส่วนบุคคล (Personal Data Privacy) เจ้าของข้อมูล (Data Subject) จะต้องมีสิทธิและเสรีภาพอย่างเต็มที่ต่อข้อมูลของตนที่จะให้บุคคลอื่นหรือองค์กรต่าง ๆ นำข้อมูลไปใช้ตามความยินยอม (Consent) ที่อนุญาตเท่านั้น เพื่อรักษาความเป็นส่วนตัว ผลประโยชน์ และปกป้องความเสียหายที่อาจเกิดขึ้นกับตนเอง ซึ่ง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Act – PDPA) ที่จะมีผลบังคับใช้ในกลางปี 2564 นี้ จะเป็นเครื่องมือที่จะทำให้ปัจเจกบุคคลมั่นใจได้ว่า ข้อมูลของตนที่อนุญาตให้องค์กรนำไปใช้มีการบริหารจัดการอย่างเหมาะสมและมีระบบการป้องกันข้อมูลที่น่าเชื่อถือและปลอดภัย การที่องค์กรจัดเก็บและนำข้อมูลส่วนบุคคลไปใช้โดยไม่ปฏิบัติตาม พ.ร.บ. ถือว่าเป็นการละเมิดสิทธิของเจ้าของข้อมูล และองค์กรจะกลายเป็นผู้กระทำความผิดทั้งทางแพ่งและทางอาญาตามบทลงโทษของกฎหมาย ดังนั้นก่อนที่ พ.ร.บ. จะมีผลบังคับใช้อย่างจริงจัง องค์กรต่าง ๆ…