General

ดีอีเอส คลอด มาตรฐานความปลอดภัย ‘ข้อมูลส่วนบุคคล’

คลอดประกาศมาตรฐาน การรักษาความมั่นคงปลอดภัย ข้อมูลส่วนบุคคล ดีอีเอส เผย 5 มาตรการ ดูแลข้อมูล สร้างความมั่นใจให้เจ้าของข้อมูล

นายพุทธิพงษ์ ปุณณกันต์ รัฐมนตรีว่าการ กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส) กล่าวว่า เมื่อวันที่ 17 กรกฎาคม 2563 เว็บไซต์ราชกิจจานุเบกษา ได้เผยแพร่ประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล พ.ศ.2563 เพื่อคุ้มครอง ข้อมูลส่วนบุคคล สร้างความมั่นใจให้ประชาชน เจ้าของข้อมูล

ข้อมูลส่วนบุคคล

สำหรับประกาศกระทรวง ดังกล่าว มีผลบังคับใช้ตั้งแต่วันที่ 18 กรกฎาคม 2563 จนถึงวันที่ 31 พฤษภาคม 2564 โดยในประกาศฉบับนี้ กำหนดนิยาม “ผู้ควบคุมข้อมูลส่วนบุคคล” หมายความว่า ผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งเป็นหน่วยงาน หรือกิจการ ตามบัญชีท้ายพระราชกฤษฎีกา กำหนดหน่วยงานและกิจการ ที่ผู้ควบคุมข้อมูลส่วนบุคคล ไม่อยู่ภายใต้บังคับแห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 พ.ศ.2563

พร้อมกันนี้ ได้กำหนดนิยาม “ความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล” หมายความว่า การธำรงไว้ซึ่งความลับ (confidentiality) ความถูกต้องครบถ้วน (integrity) และสภาพพร้อมใช้งาน (availability) ของข้อมูลส่วนบุคคล ทั้งนี้ เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยมิชอบ

นอกจากนี้ ยังได้กำหนดให้ “ผู้ควบคุมข้อมูลส่วนบุคคล” ต้องแจ้งมาตรการรักษาความมั่นคงปลอดภัย ของข้อมูลส่วนบุคคล ตามประกาศนี้ ให้แก่ บุคลากร พนักงาน ลูกจ้างหรือบุคคลที่เกี่ยวข้องทราบ รวมถึงสร้างเสริมความตระหนักรู้ ด้านความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล ให้กับกลุ่มบุคคลดังกล่าว ปฏิบัติตามมาตรการที่กำหนด อย่างเคร่งครัด

ขณะเดียวกัน ผู้ควบคุมข้อมูลส่วนบุคคล ต้องจัดให้มีมาตรการรักษา ความปลอดภัย ของข้อมูลส่วนบุคคล ซึ่งควรครอบคลุมถึง มาตรการป้องกันด้านการบริหารจัดการ (administrative safeguard) มาตรการป้องกันด้านเทคนิค (technical safeguard) และมาตรการป้องกันทางกายภาพ (physical safeguard) ในเรื่องการเข้าถึงหรือควบคุมการใช้งานข้อมูลส่วนบุคคล (access control)

พุทธิพงษ์ ปุณณกันต์ 1 1
พุทธิพงษ์ ปุณณกันต์

ทั้งนี้ ต้องประกอบด้วยการดำเนินการ ดังต่อไปนี้

1. การควบคุมการเข้าถึงข้อมูลส่วนบุคคล และอุปกรณ์ในการจัดเก็บ และประมวลผลข้อมูลส่วนบุคคล โดยคำนึงถึงการใช้งาน และ ความปลอดภัย

2. การกำหนดเกี่ยวกับการอนุญาต หรือ การกำหนดสิทธิ ในการเข้าถึงข้อมูลส่วนบุคคล

3. การบริหารจัดการการเข้าถึงของผู้ใช้งาน (user access management) เพื่อควบคุมการเข้าถึงข้อมูลส่วนบุคคล เฉพาะผู้ที่ได้รับอนุญาตแล้ว

4. การกำหนดหน้าที่ความรับผิดชอบของผู้ใช้งาน (user responsibilities) เพื่อป้องกันการเข้าถึงข้อมูลส่วนบุคคล โดยไม่ได้รับอนุญาต การเปิดเผย การล่วงรู้ หรือการลักลอบทำสำเนาข้อมูลส่วนบุคคล การลักขโมยอุปกรณ์จัดเก็บ หรือประมวลผลข้อมูลส่วนบุคคล

5. การจัดให้มีวิธีการ เพื่อให้สามารถตรวจสอบย้อนหลัง เกี่ยวกับการเข้าถึง เปลี่ยนแปลง ลบ หรือถ่ายโอนข้อมูลส่วนบุคคล ให้สอดคล้องเหมาะสมกับวิธีการ และสื่อที่ใช้ในการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคล

ขณะที่ ผู้ควบคุมข้อมูลส่วนบุคคล อาจเลือกใช้มาตรฐานการรักษาความมั่นคงปลอดภัย ของข้อมูลส่วนบุคคล ที่แตกต่างไปจากประกาศฉบับนี้ได้ หากมาตรฐานดังกล่าว มีมาตรการรักษาความมั่นคงปลอดภัยไม่ต่ำกว่าที่กำหนดในประกาศนี้

อย่างไรก็ตาม ประกาศกระทรวงฯ เรื่อง มาตรฐานการรักษา ความปลอดภัย ของข้อมูลส่วนบุคคล พ.ศ.2563 ถือเป็นมาตรการคุ้มครองความปลอดภัยข้อมูลส่วนบุคคลเบื้องต้น ในระหว่างที่มี พ.ร.ฎ.ยกเว้นการบังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลในบางหมวด เป็นเวลา 1 ปี จนถึงวันที่ 31 พฤษภาคม 2564

ทั้งนี้ เพื่อให้ประชาชนมั่นใจได้ว่าหน่วยงาน หรือผู้ประกอบการที่เป็น ผู้ควบคุมข้อมูลส่วนบุคคล มีหน้าที่ต้องรักษาข้อมูลส่วนบุคคลที่ได้เก็บรวบรวมหรือนำไปใช้ ให้มี ความปลอดภัย ควบคุมการเข้าถึง และตรวจสอบย้อนกลับได้ เพื่อสร้างความมั่นใจ ให้กับประชาชน เจ้าของข้อมูลส่วนบุคคล ทำให้การต่อยอดนำข้อมูลไปใช้พัฒนาเศรษฐกิจและสังคมทำได้อย่างปลอดภัยและมีประสิทธิภาพ

1 9

2 8

อ่านข่าวเพิ่มเติม

Avatar photo