มาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ภาษาอังกฤษ

สืบเนื่องจากประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เรื่อง “มาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล พ.ศ. 2563” ที่ได้ประกาศในราชกิจจานุเบกษาเมื่อวันที่ 17 กรกฎาคม 2563 มีใช้บังคับใช้ เมื่อวันที่ 18 กรกฎาคม 2563 จนถึงวันที่ 31 พฤษภาคม 2564 ซึ่งเป็นระยะเวลาหนึ่งปี โดยได้กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคล 22 กิจการที่ได้รับการยกเว้นตามพระราชกฤษฎีกา ไม่ต้องปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 แต่ต้องปฏิบัติตามมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคลให้เป็นไปตามมาตรฐานที่กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมกำหนด ดังนี้

1. ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลตามประกาศนี้ ให้แก่บุคลากร พนักงาน ลูกจ้างหรือบุคคลที่เกี่ยวข้องทราบ รวมถึงสร้างเสริมความตระหนักรู้ด้านความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลให้กับกลุ่มบุคคลดังกล่าวปฏิบัติตามมาตรการที่กำหนดอย่างเคร่งครัด
2. ผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ซึ่งควรครอบคลุมถึงมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล มีรายละเอียด ดังนี้
   
   • มาตรการป้องกันด้านการบริหารจัดการ (administrative safeguard)
   • มาตรการป้องกันด้านเทคนิค (technical safeguard)
   • มาตรการป้องกันทางกายภาพ (physical safeguard) ในเรื่องการเข้าถึงหรือควบคุมการใช้งานข้อมูลส่วนบุคคล (access control) โดยอย่างน้อยต้องประกอบด้วยการดำเนินการ ดังต่อไปนี้
     1) การควบคุมการเข้าถึงข้อมูลส่วนบุคคลและอุปกรณ์ในการจัดเก็บและประมวลผลข้อมูลส่วนบุคคลโดยคำนึงถึงการใช้งานและความมั่นคงปลอดภัย
     2) การกำหนดเกี่ยวกับการอนุญาตหรือการกำหนดสิทธิในการเข้าถึงข้อมูลส่วนบุคคล
     3) การบริหารจัดการการเข้าถึงของผู้ใช้งาน (user access management) เพื่อควบคุมการเข้าถึงข้อมูลส่วนบุคคลเฉพาะผู้ที่ได้รับอนุญาตแล้ว
     4) การกำหนดหน้าที่ความรับผิดชอบของผู้ใช้งาน (user responsibilities) เพื่อป้องกันการเข้าถึงข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต การเปิดเผย การล่วงรู้ หรือการลักลอบทำสำเนาข้อมูลส่วนบุคคล การลักขโมยอุปกรณ์จัดเก็บหรือประมวลผลข้อมูลส่วนบุคคล
     5) การจัดให้มีวิธีการเพื่อให้สามารถตรวจสอบย้อนหลังเกี่ยวกับการเข้าถึง เปลี่ยนแปลง ลบ หรือถ่ายโอนข้อมูลส่วนบุคคล ให้สอดคล้องเหมาะสมกับวิธีการและสื่อที่ใช้ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
3. ผู้ควบคุมข้อมูลส่วนบุคคลอาจเลือกใช้มาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่แตกต่างไปจากประกาศฉบับนี้ได้ หากมาตรฐานดังกล่าวมีมาตรการรักษาความมั่นคงปลอดภัยไม่ต่ำกว่าที่กำหนดในประกาศนี้ กล่าวคือหากผู้ควบคุมข้อมูลส่วนบุคคลพิจารณาแล้วว่ามาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่ดำเนินการอยู่สูงกว่าประกาศนี้ ก็สามารถปฏิบัติตามมาตรฐานนั้นต่อไปได้

ถึงแม้ว่ามาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคลตามมาตรฐานที่กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมกำหนด จะช่วยกำหนดมาตรการในการดำเนินงาน เพื่อให้การจัดการข้อมูลส่วนบุคคลมีมาตรฐานและสร้างมั่นใจแก่เจ้าของข้อมูลส่วนบุคคล ไม่ว่าจะในการเก็บรวบรวม นำไปใช้ การควบคุมการเข้าถึงและตรวจสอบย้อนหลังการเข้าถึงได้ แต่ก็เป็นเพียงการสร้างความปลอดภัยในระดับหนึ่งเท่านั้น ซึ่งยังไม่ครอบคลุมถึงการคุ้มครองข้อมูลส่วนบุคคลอย่างเต็มรูปแบบเช่นเดียวกับ พ.ร.บ. ฯ ดังนั้น หากมีการรั่วไหลของข้อมูลส่วนบุคคลจนก่อให้เกิดความเสียหายแก่เจ้าของข้อมูล เจ้าของข้อมูลส่วนบุคคลยังสามารถฟ้องร้องได้ตามกฎหมาย

ที่มา :
ประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล พ.ศ. 2563. (2563, 17 กรกฎาคม). ราชกิจจานุเบกษา. เล่ม 137 ตอนพิเศษ 164 ง. หน้า 12-13.

Number of View :3693