Page 77 - คู่มือ PDPA4
P. 77

1.2  การจัดให.มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม

                                                                                                        ั
                       สำหรับหนEาที่ในการจัดใหEมีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมนั้น มีประกาศเกี่ยวกบ
               มาตรการรักษาความมั่นคงปลอดภัยของผูEควบคุมขEอมูลสUวนบุคคล  ที่กำหนดใหEผูEควบคุมขEอมูลสUวนบุคคล
                                                                        1
                                                                               E
                                                                                 ึ
                                                                                         ่
                                                                                     E
                                                           ื
                                                           ่
                                                              ë
                                                                       ู
                                                                 ั
                                                                                         ี
                                                                                                        ื
               จะตEองจัดใหEมีมาตรการรักษาความมั่นคงปลอดภัย เพอปองกนการสญหาย เขาถง ใช เปลยนแปลง แกไข หรอ
                                                                                                   E
               เปดเผยขEอมูลสUวนบุคคล โดยปราศจากอำนาจหรือโดยมิชอบ ซึ่งขEอกำหนดตามประกาศดังกลUาวถือเปน
                                                                                                        ]
               มาตรฐานขั้นต่ำที่ใหEไวEเป]นแนวทางสำหรับผประกอบการนำไปปฏิบัติกับ ไดEแก การเสริมสรEางความตระหนักร ูE
                                                   ูE
                                                                                U
               เกี่ยวกับความสำคัญของขEอมูลสUวนบุคคลและการรักษาความมั่นคงปลอดภัย (privacy and security
               awareness) มีการควบคุมการเขEาถึงขEอมูลสUวนบุคคลที่สำคัญ (access control) โดยอาจจะตEองมีการพิสูจน f
               และยืนยันตัวตน (identity proofing and authentication) และมีมาตรการสำหรับอนุญาตหรือการกำหนด
               สิทธิในการเขEาถึงและใชEงาน (authorization) ที่เหมาะสม เพื่อใหEสอดคลEองกับหลักการของกฎหมายคุEมครอง
                                              ี
               ขEอมูลสUวนบุคคล นอกจากนี้อาจจะมการกำหนดหนEาที่ความรับผิดชอบของผูEใชEงาน (user responsibilities)
               เป]นตEน โดยรายละเอียดเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัยนี้จะอธิบายไวEในสUวนถัดๆ ไป
                       1.3  การแจ.งเหตุละเมิดข.อมูลสAวนบุคคล
                       กรณีของการเกิดเหตุละเมิดขEอมูลสUวนบุคคล เชUน ขEอมูลสUวนบุคคลที่ถูกเก็บรวบรวมไวEภายในองคfกร

               รั่วไหล ผประกอบการซึ่งเป]นผูEควบคุมขEอมูลสUวนบุคคลมีหนEาที่แจEงเหตุใหEแกUสำนักงานคณะกรรมการคุEมครอง
                       ูE
               ขEอมูลสUวนบุคคล (สำนักงานฯ) ทราบโดยไมUชักชEา   อยUางไรก็ตาม พ.ร.บ. คุEมครองขEอมูลสUวนบุคคลไดEกำหนด
                                                        2
               ระดับของความเสี่ยงไวE 3 ระดับ คือ “ไมUมีความเสี่ยง” กรณีนี้อาจจะไมUตEองแจEงตUอสำนักงานฯ

                   ูE
               แตUผประกอบการอาจจะตEองทำการบันทึกรายละเอียดของการเกิดเหตุไวE กรณีที่ประเมินแลEว “มีความเสี่ยง
                                     E
               นEอย” ผประกอบการจะตองแจEงใหสำนักงานฯ ทราบถึงเหตุของการละเมิดนั้นโดยไมUชักชEาภายใน 72 ชั่วโมง
                                             E
                      ูE
               และกรณีที่ “มีความเสี่ยงสูง” ซึ่งกระทบตUอสิทธิและเสรีภาพของเจEาของขEอมูลสUวนบุคคล ผประกอบการ
                                                                                              ูE
               จะตEองแจEงใหสำนักงานฯ ทราบถึงเหตุของการละเมิดนั้นโดยไมUชักชEาภายใน 72 ชั่วโมง รวมถึงแจงใหEเจEาของ
                                                                                                E
                           E
               ขEอมูลสUวนบุคคลทราบ พรEอมแนวทางการปëองกันความเสียหายที่จะเกิดขึ้นดEวย

                       กฎหมายกำหนดหลักการสำคัญในการแจEงเหตุละเมิดวUา ควรเป]นการใชEภาษาที่ชัดเจนและมีการ
               อธิบายถึงรายละเอียดการละเมิดขEอมูลสUวนบุคคลที่เขEาใจงUาย ในกรณีที่ตEองแจEงใหEกับสำนักงานฯและเจEาของ

               ขEอมูลสUวนบุคคลทราบ จะตEองมีการบรรยายลักษณะของการเหตุละเมิดขEอมูลสUวนบุคคล เชUน ประเภทของ

                                          ั่
               ขEอมูลที่รั่วไหล จำนวนขEอมูลที่รวไหล แจEงผลกระทบที่จะเกิดขึ้นและอาจเกิดขึ้นในอนาคต รวมถึงมาตรการ
               หรือแนวทางที่จะบรรเทาผลกระทบที่อาจเกิดขึ้น เป]นตEน









               1    ประกาศคณะกรรมการคุ2มครองข2อมูลส#วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู2ควบคุมข2อมูลส#วนบุคคล พ.ศ. 2565
               2    พระราชบัญญัติคุ2มครองข2อมูลส#วนบุคคล พ.ศ. 2562 มาตรา 37


               6 l สำนักงานคณะกรรมการคุ2มครองข2อมูลส#วนบุคคล
   72   73   74   75   76   77   78   79   80   81   82