Athentic Consulting Athentic Consulting

ก่อน PDPA มีผลบังคับใช้ องค์กรมีหน้าที่ใดหรือไม่ตามกฎหมาย

นับถอยหลังสู่วันที่ 1 มิถุนายน พ.ศ.2565 องค์กรส่วนหนึ่งในประเทศไทยได้ดำเนินเพื่อให้การทำงานสอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 (“PDPA”) ไปบ้างแล้ว แต่ขณะเดียวกันหลายองค์กรยังไม่อาจเริ่มต้นได้ด้วยอุปสรรคหลายอย่างที่เกิดขึ้นจากสถานการณ์ปัจจุบัน

แม้ว่าจะเป็นเรื่องที่เข้าใจได้ แต่องค์กรทั้งหลายยังต้องคำนึงถึงหน้าที่อื่นที่มีผลใช้บังคับแล้ว ซึ่งคือหน้าที่ตาม ประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล .. ๒๕๖๓

ประกาศดังกล่าวออกโดยรัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เพื่อวางมาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ตามที่ PDPA ได้บังคับให้องค์กรต่างๆ ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลจะต้องจัดให้มี โดยประกาศฯ ฉบับนี้ถูกขยายระยะเวลาให้มีผลบังคับใช้ตั้งแต่ 18 กรกฎาคม 2563 ถึงวันที่ 31 พฤษภาคม 2565

จากประกาศฯ สรุปได้ว่าองค์กรทั้งหลายในฐานะผู้ควบคุมข้อมูลมีหน้าที่ 2 ประการ ดังต่อไปนี้

  • หน้าที่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ในเรื่องการเข้าถึงหรือควบคุมการใช้งานข้อมูลส่วนบุคคล (access control) ซึ่งควรครอบคลุมถึงมาตรการป้องกันด้านการบริหารจัดการ (administrative safeguard) มาตรการป้องกันด้านเทคนิค (technical safeguard) และมาตรการป้องกันทางกายภาพ (physical safeguard) 

โดยมาตรการรักษาความมั่นคงปลอดภัยจะต้องประกอบด้วยการดำเนินการอย่างน้อยคือ

  1. มีการกำหนดวิธีที่เหมาะสมและมั่นคงปลอดภัยในการควบคุมการเข้าถึงข้อมูลส่วนบุคคลและมีอุปกรณ์ที่จำเป็น 
  2. มีการกำหนดสิทธิในการเข้าถึงข้อมูลส่วนบุคคล 
  3. มีการบริหารจัดการการเข้าถึงของผู้ใช้งาน (user access management) 
  4. มีการกำหนดหน้าที่ความรับผิดชอบของผู้ใช้งาน (user responsibilities) 
  5. มีวิธีการเพื่อให้สามารถตรวจสอบย้อนหลังเกี่ยวกับการเข้าถึงข้อมูลส่วนบุคคล 
  • หน้าที่แจ้งมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลตามประกาศนี้ ให้แก่บุคลากร พนักงาน ลูกจ้างหรือบุคคลที่เกี่ยวข้องทราบ และสร้างความตระหนักรู้ในความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลให้กับกลุ่มบุคคลดังกล่าว เพื่อให้ปฏิบัติตามมาตรการที่กำหนดอย่างเคร่งครัด

ดังนั้นแม้ว่า PDPA จะยังอยู่ในช่วงขยายเวลาบังคับใช้ องค์กรในฐานะผู้ควบคุมข้อมูลส่วนบุคคลยังคงมีหน้าที่ตามกฎหมายที่จะต้องรักษามาตรฐานมาตรการรักษาความมั่นคงปลอดภัยตามประกาศข้างต้น

เขียนเมื่อ วันที่ 13 มกราคม 2565 โดย ปัญญ์สุรี กาญจนพงศ์, Legal Technology Counselor

Athentic Consulting Co., Ltd.

15th floor Chamchuri Square Building,
319 Phayathai Rd,
Khwaeng Pathum Wan,
Khet Pathum Wan,
Bangkok 10330

Call: 02-853-9258

© 2022 เอเทนติค คอนซัลติ้ง | นโยบายคุ้มครองข้อมูลส่วนบุคคล | นโยบายคุกกี้ |