![ดีอีเอส คลอดประกาศมาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล]()
กรุงเทพฯ--21 ก.ค.--
กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม
กระทรวงดิจิทัลฯ เผยเว็บไซต์
ราชกิจจานุเบกษา เผยแพร่ประกาศ
กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของ
ข้อมูลส่วนบุคคล พ.ศ.2563 มีผลบังคับใช้จนถึงวันที่ 31 พฤษภาคม 2564 กำหนดมาตรการให้ “ผู้ควบคุม
ข้อมูลส่วนบุคคล” ต้องดำเนินการ 5 ข้อ
นาย
พุทธิพงษ์ ปุณณกันต์ รัฐมนตรีว่าการ
กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส) กล่าวว่า เมื่อวันที่ 17 กรกฎาคม 2563 เว็บไซต์
ราชกิจจานุเบกษา ได้เผยแพร่ประกาศ
กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของ
ข้อมูลส่วนบุคคล พ.ศ.2563 โดยมีผลบังคับใช้ตั้งแต่วันที่ 18 กรกฎาคม 2563 จนถึงวันที่ 31 พฤษภาคม 2564
โดยในประกาศฉบับนี้ กำหนดนิยาม“ผู้ควบคุม
ข้อมูลส่วนบุคคล” หมายความว่า ผู้ควบคุม
ข้อมูลส่วนบุคคลซึ่งเป็นหน่วยงาน หรือกิจการตามบัญชีท้ายพระราชกฤษฎีกากำหนดหน่วยงานและกิจการที่ผู้ควบคุม
ข้อมูลส่วนบุคคลไม่อยู่ภายใต้บังคับแห่งพระราชบัญญัติคุ้มครอง
ข้อมูลส่วนบุคคล พ.ศ. 2562 พ.ศ.2563
และกำหนดนิยาม “ความมั่นคงปลอดภัยของ
ข้อมูลส่วนบุคคล” หมายความว่า การธำรงไว้ซึ่งความลับ (confidentiality) ความถูกต้องครบถ้วน (integrity) และสภาพพร้อมใช้งาน (availability) ของ
ข้อมูลส่วนบุคคล ทั้งนี้ เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผย
ข้อมูลส่วนบุคคลโดยมิชอบ
พร้อมทั้งกำหนดให้ “ผู้ควบคุม
ข้อมูลส่วนบุคคล” ต้องแจ้งมาตรการรักษาความมั่นคงปลอดภัยของ
ข้อมูลส่วนบุคคลตามประกาศนี้ ให้แก่บุคลากร พนักงาน ลูกจ้างหรือบุคคลที่เกี่ยวข้องทราบ รวมถึงสร้างเสริมความตระหนักรู้ด้านความสำคัญของการคุ้มครอง
ข้อมูลส่วนบุคคลให้กับกลุ่มบุคคลดังกล่าวปฏิบัติตามมาตรการที่กำหนดอย่างเคร่งครัด
ขณะเดียวกัน ผู้ควบคุม
ข้อมูลส่วนบุคคล ต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของ
ข้อมูลส่วนบุคคล ซึ่งควรครอบคลุมถึง มาตรการป้องกันด้านการบริหารจัดการ (administrative safeguard) มาตรการป้องกันด้านเทคนิค (technical safeguard) และมาตรการป้องกันทางกายภาพ (physical safeguard) ในเรื่องการเข้าถึงหรือควบคุมการใช้งาน
ข้อมูลส่วนบุคคล (access control)
โดยอย่างน้อยต้องประกอบด้วยการดำเนินการ ดังต่อไปนี้ 1. การควบคุมการเข้าถึง
ข้อมูลส่วนบุคคลและอุปกรณ์ในการจัดเก็บและประมวลผล
ข้อมูลส่วนบุคคล โดยคำนึงถึงการใช้งานและความมั่นคงปลอดภัย 2. การกำหนดเกี่ยวกับการอนุญาตหรือการกำหนดสิทธิในการเข้าถึง
ข้อมูลส่วนบุคคล 3. การบริหารจัดการการเข้าถึงของผู้ใช้งาน (user access management) เพื่อควบคุมการเข้าถึง
ข้อมูลส่วนบุคคลเฉพาะผู้ที่ได้รับอนุญาตแล้ว 4.การกำหนดหน้าที่ความรับผิดชอบของผู้ใช้งาน (user responsibilities) เพื่อป้องกันการเข้าถึง
ข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต การเปิดเผย การล่วงรู้ หรือการลักลอบทำสำเนา
ข้อมูลส่วนบุคคล การลักขโมยอุปกรณ์จัดเก็บหรือประมวลผล
ข้อมูลส่วนบุคคล และ 5. การจัดให้มีวิธีการเพื่อให้สามารถตรวจสอบย้อนหลังเกี่ยวกับการเข้าถึง เปลี่ยนแปลง ลบ หรือถ่ายโอน
ข้อมูลส่วนบุคคล ให้สอดคล้องเหมาะสมกับวิธีการและสื่อที่ใช้ในการเก็บรวบรวม ใช้หรือเปิดเผย
ข้อมูลส่วนบุคคล
ทั้งนี้ ผู้ควบคุม
ข้อมูลส่วนบุคคลอาจเลือกใช้มาตรฐานการรักษาความมั่นคงปลอดภัยของ
ข้อมูลส่วนบุคคลที่แตกต่างไปจากประกาศฉบับนี้ได้ หากมาตรฐานดังกล่าวมีมาตรการรักษาความมั่นคงปลอดภัยไม่ต่ำกว่าที่กำหนดในประกาศนี้
“ประกาศกระทรวงฯ เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของ
ข้อมูลส่วนบุคคล พ.ศ.2563 ถือเป็นมาตรการคุ้มครองความปลอดภัย
ข้อมูลส่วนบุคคลเบื้องต้น ในระหว่างที่มี พ.ร.ฎ.ยกเว้นการบังคับใช้ พ.ร.บ. คุ้มครอง
ข้อมูลส่วนบุคคลในบางหมวด เป็นเวลา 1 ปี จนถึงวันที่ 31 พฤษภาคม 2564 เพื่อให้ประชาชนมั่นใจได้ว่าหน่วยงานหรือผู้ประกอบการที่เป็นผู้ควบคุม
ข้อมูลส่วนบุคคลมีหน้าที่ต้องรักษา
ข้อมูลส่วนบุคคลของเราที่เขาได้เก็บรวบรวมหรือนำไปใช้ ให้มีความปลอดภัย ควบคุมการเข้าถึงและตรวจสอบย้อนกลับได้ สร้างความมั่นใจให้กับประชาชนเจ้าของ
ข้อมูลส่วนบุคคล ทำให้การต่อยอดนำ
ข้อมูลไปใช้พัฒนาเศรษฐกิจและสังคมทำได้อย่างปลอดภัยและมีประสิทธิภาพ” นายพุทธิพงษ์กล่าว