Page 92 - คู่มือ PDPA4
P. 92

•  การควบคุมการเข6าถึงข6อมูลส9วนบุคคล (access control) ที่มีการพิสูจนXและยืนยันได6ว9า บุคคล

                          ใดเป=นผู6เข6าถึงข6อมูลส9วนบุคคลดังกล9าวได6 และการอนุญาตหรือกำหนดสทธิในการเข6าถึงและ
                                                                                        ิ
                          ใช6งานที่เหมาะสม เช9น กำหนดให6สิทธิการเข6าถึงข6อมูลเกี่ยวกับพนักงานบริษัท เฉพาะพนักงาน

                          ฝmายทรัพยากรบุคคล เป=นต6น

                       •  การบริหารจัดการการเข6าถึงของผู6ใช6งาน (user access management) ที่เหมาะสม โดย
                                   6
                          กำหนดใหผู6ใช6งานมีสิทธิเข6าถึงข6อมูลส9วนบุคคล ซึ่งอาจรวมถึงการลงทะเบียนและการถอนสิทธ ิ
                          ผู6ใช6งาน การจัดการสิทธิการเข6าถึงของผู6ใช6งาน การบริหารจัดการสิทธิการเข6าถึงตามสิทธิ การ

                          บริหารจัดการข6อมูลความลับสำหรับการพิสูจนXตัวตนของผู6ใช6งาน การทบทวนสิทธิการเข6าถึงของ
                          ผู6ใช6งานและการถอดถอนหรือปรับปรุงสิทธิการเข6าถึง

                       •  การกำหนดหน6าที่ความรับผิดชอบของผู6ใช6งาน (user responsibilities) เพื่อปSองกันการเข6าถง
                                                                                                         ึ
                          ใช6 เปลี่ยนแปลง แก6ไข ลบ หรือเปUดเผยข6อมูลส9วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ
                                                                                                         ึ
                       •  การกำหนดหน6าที่ความรับผิดชอบของผู6ใช6งาน (user responsibilities) เพื่อปSองกันการเข6าถง
                          ใช6 เปลี่ยนแปลง แก6ไข ลบ หรือเปUดเผยข6อมูลส9วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ
                          ซึ่งรวมถึงกรณีที่เป=นการกระทำนอกเหนือบทบาทหน6าที่ที่ได6รับมอบหมาย ตลอดจนการลักลอบ

                                                                                                        ็
                          ทำสำเนาข6อมูลส9วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ และการลักขโมยอุปกรณXจัดเกบ
                          หรือประมวลผลข6อมูลส9วนบุคคล
                       •  การจัดให6มีวิธีการเพื่อให6สามารถตรวจสอบย6อนหลังเกี่ยวกับการเข6าถึง เปลี่ยนแปลง แก6ไข หรอ
                                                                                                        ื
                                                                                                        ื
                          ลบข6อมูลส9วนบุคคล (audit trails) ที่เหมาะสมกับวิธีการและสื่อที่ใช6ในการเก็บรวบรวม ใช6 หรอ
                          เปUดเผยข6อมูลส9วนบุคคล

               3.      การทบทวนมาตรการรักษาความมั่นคงปลอดภัยในปXจจุบัน

                       ในการทบทวนมาตรการรักษาความมั่นคงปลอดภัยในปbจจุบัน ผู6ควบคุมข6อมูลส9วนบุคคลจำเป=นต6อง

               พิจารณาทบทวนมาตรการตามปbจจัยดังกล9าวข6างต6นอย9างสม่ำเสมอเมื่อมีความจำเป=นหรือเมื่อเทคโนโลย ี
               เปลี่ยนแปลงไปเพื่อให6มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม และเมื่อมเหตุการณละเมด
                                                                                                        ิ
                                                                                                    X
                                                                                            ี
               ข6อมูลส9วนบุคคล ให6ถือว9าผู6ควบคุมข6อมูลส9วนบุคคลมีความจำเป=นต6องทบทวนมาตรการรักษาความมั่นคง
                            ี
               ปลอดภัยทันท และในการทบทวนมาตรการรักษาความมั่นคงปลอดภัยควรจะต6องพิจารณาว9า การทบทวน
               มาตรการทั้งในด6านของบุคลากร กระบวนการ และเทคโนโลยีประกอบกัน




















                                                                            คู#มือ PDPA สำหรับผู2ประกอบการ SMEs l 19
   87   88   89   90   91   92   93   94   95   96   97