Page 77 - คู่มือ PDPA4
P. 77
1.2 การจัดให.มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม
ั
สำหรับหนEาที่ในการจัดใหEมีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมนั้น มีประกาศเกี่ยวกบ
มาตรการรักษาความมั่นคงปลอดภัยของผูEควบคุมขEอมูลสUวนบุคคล ที่กำหนดใหEผูEควบคุมขEอมูลสUวนบุคคล
1
E
ึ
่
E
ื
่
ë
ู
ั
ี
ื
จะตEองจัดใหEมีมาตรการรักษาความมั่นคงปลอดภัย เพอปองกนการสญหาย เขาถง ใช เปลยนแปลง แกไข หรอ
E
เปดเผยขEอมูลสUวนบุคคล โดยปราศจากอำนาจหรือโดยมิชอบ ซึ่งขEอกำหนดตามประกาศดังกลUาวถือเปน
]
มาตรฐานขั้นต่ำที่ใหEไวEเป]นแนวทางสำหรับผประกอบการนำไปปฏิบัติกับ ไดEแก การเสริมสรEางความตระหนักร ูE
ูE
U
เกี่ยวกับความสำคัญของขEอมูลสUวนบุคคลและการรักษาความมั่นคงปลอดภัย (privacy and security
awareness) มีการควบคุมการเขEาถึงขEอมูลสUวนบุคคลที่สำคัญ (access control) โดยอาจจะตEองมีการพิสูจน f
และยืนยันตัวตน (identity proofing and authentication) และมีมาตรการสำหรับอนุญาตหรือการกำหนด
สิทธิในการเขEาถึงและใชEงาน (authorization) ที่เหมาะสม เพื่อใหEสอดคลEองกับหลักการของกฎหมายคุEมครอง
ี
ขEอมูลสUวนบุคคล นอกจากนี้อาจจะมการกำหนดหนEาที่ความรับผิดชอบของผูEใชEงาน (user responsibilities)
เป]นตEน โดยรายละเอียดเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัยนี้จะอธิบายไวEในสUวนถัดๆ ไป
1.3 การแจ.งเหตุละเมิดข.อมูลสAวนบุคคล
กรณีของการเกิดเหตุละเมิดขEอมูลสUวนบุคคล เชUน ขEอมูลสUวนบุคคลที่ถูกเก็บรวบรวมไวEภายในองคfกร
รั่วไหล ผประกอบการซึ่งเป]นผูEควบคุมขEอมูลสUวนบุคคลมีหนEาที่แจEงเหตุใหEแกUสำนักงานคณะกรรมการคุEมครอง
ูE
ขEอมูลสUวนบุคคล (สำนักงานฯ) ทราบโดยไมUชักชEา อยUางไรก็ตาม พ.ร.บ. คุEมครองขEอมูลสUวนบุคคลไดEกำหนด
2
ระดับของความเสี่ยงไวE 3 ระดับ คือ “ไมUมีความเสี่ยง” กรณีนี้อาจจะไมUตEองแจEงตUอสำนักงานฯ
ูE
แตUผประกอบการอาจจะตEองทำการบันทึกรายละเอียดของการเกิดเหตุไวE กรณีที่ประเมินแลEว “มีความเสี่ยง
E
นEอย” ผประกอบการจะตองแจEงใหสำนักงานฯ ทราบถึงเหตุของการละเมิดนั้นโดยไมUชักชEาภายใน 72 ชั่วโมง
E
ูE
และกรณีที่ “มีความเสี่ยงสูง” ซึ่งกระทบตUอสิทธิและเสรีภาพของเจEาของขEอมูลสUวนบุคคล ผประกอบการ
ูE
จะตEองแจEงใหสำนักงานฯ ทราบถึงเหตุของการละเมิดนั้นโดยไมUชักชEาภายใน 72 ชั่วโมง รวมถึงแจงใหEเจEาของ
E
E
ขEอมูลสUวนบุคคลทราบ พรEอมแนวทางการปëองกันความเสียหายที่จะเกิดขึ้นดEวย
กฎหมายกำหนดหลักการสำคัญในการแจEงเหตุละเมิดวUา ควรเป]นการใชEภาษาที่ชัดเจนและมีการ
อธิบายถึงรายละเอียดการละเมิดขEอมูลสUวนบุคคลที่เขEาใจงUาย ในกรณีที่ตEองแจEงใหEกับสำนักงานฯและเจEาของ
ขEอมูลสUวนบุคคลทราบ จะตEองมีการบรรยายลักษณะของการเหตุละเมิดขEอมูลสUวนบุคคล เชUน ประเภทของ
ั่
ขEอมูลที่รั่วไหล จำนวนขEอมูลที่รวไหล แจEงผลกระทบที่จะเกิดขึ้นและอาจเกิดขึ้นในอนาคต รวมถึงมาตรการ
หรือแนวทางที่จะบรรเทาผลกระทบที่อาจเกิดขึ้น เป]นตEน
1 ประกาศคณะกรรมการคุ2มครองข2อมูลส#วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู2ควบคุมข2อมูลส#วนบุคคล พ.ศ. 2565
2 พระราชบัญญัติคุ2มครองข2อมูลส#วนบุคคล พ.ศ. 2562 มาตรา 37
6 l สำนักงานคณะกรรมการคุ2มครองข2อมูลส#วนบุคคล