นายพุทธิพงษ์ ปุณณกันต์ รมว.ดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส) เปิดเผยว่า เมื่อวันที่ 17 ก.ค.ที่ผ่านมา เว็บไซต์ราชกิจจานุเบกษาได้เผยแพร่ประกาศกระทรวงฯ เรื่องมาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล พ.ศ.2563 โดยมีผลบังคับใช้ตั้งแต่วันที่ 18 ก.ค.63 จนถึงวันที่ 31 พ.ค.64
“ประกาศกระทรวงฯ เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล พ.ศ.2563 ถือเป็นมาตรการคุ้มครองความปลอดภัยข้อมูลส่วนบุคคลเบื้องต้นในระหว่างที่มี พ.ร.ฎ.ยกเว้นการบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลในบางหมวด เป็นเวลา 1 ปี จนถึงวันที่ 31 พ.ค.64 เพื่อให้ประชาชนมั่นใจได้ว่าหน่วยงานหรือผู้ประกอบการที่เป็นผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ต้องรักษาข้อมูลส่วนบุคคลของเราที่เขาได้เก็บรวบรวมหรือนำไปใช้ให้มีความปลอดภัย ควบคุมการเข้าถึงและตรวจสอบย้อนกลับได้ สร้างความมั่นใจให้กับประชาชนเจ้าของข้อมูลส่วนบุคคล ทำให้การต่อยอดนำข้อมูลไปใช้พัฒนาเศรษฐกิจและสังคมทำได้อย่างปลอดภัยและมีประสิทธิภาพ”
นายพุทธิพงษ์ กล่าว
ประกาศฉบับนี้กำหนดนิยาม “ผู้ควบคุมข้อมูลส่วนบุคคล” หมายความว่า ผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นหน่วยงาน หรือกิจการตามบัญชีท้ายพระราชกฤษฎีกากำหนดหน่วยงานและกิจการที่ผู้ควบคุมข้อมูลส่วนบุคคลไม่อยู่ภายใต้บังคับแห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2563 และกำหนดนิยาม “ความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล” หมายความว่า การธำรงไว้ซึ่งความลับ (confidentiality) ความถูกต้องครบถ้วน (integrity) และสภาพพร้อมใช้งาน (availability) ของข้อมูลส่วนบุคคล ทั้งนี้เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยมิชอบ
พร้อมทั้งกำหนดให้ “ผู้ควบคุมข้อมูลส่วนบุคคล” ต้องแจ้งมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลตามประกาศนี้ให้แก่บุคลากร พนักงาน ลูกจ้างหรือบุคคลที่เกี่ยวข้องทราบ รวมถึงสร้างเสริมความตระหนักรู้ด้านความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลให้กับกลุ่มบุคคลดังกล่าวปฏิบัติตามมาตรการที่กำหนดอย่างเคร่งครัด
ขณะเดียวกัน “ผู้ควบคุมข้อมูลส่วนบุคคล” ต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ซึ่งควรครอบคลุมถึงมาตรการป้องกันด้านการบริหารจัดการ (administrative safeguard) มาตรการป้องกันด้านเทคนิค(technical safeguard) และมาตรการป้องกันทางกายภาพ (physical safeguard) ในเรื่องการเข้าถึงหรือควบคุมการใช้งานข้อมูลส่วนบุคคล (access control) ประกอบด้วย
1.การควบคุมการเข้าถึงข้อมูลส่วนบุคคลและอุปกรณ์ในการจัดเก็บและประมวลผลข้อมูลส่วนบุคคล โดยคำนึงถึงการใช้งานและความมั่นคงปลอดภัย
2.การกำหนดเกี่ยวกับการอนุญาตหรือการกำหนดสิทธิในการเข้าถึงข้อมูลส่วนบุคคล
3.การบริหารจัดการการเข้าถึงของผู้ใช้งาน (user access management) เพื่อควบคุมการเข้าถึงข้อมูลส่วนบุคคลเฉพาะผู้ที่ได้รับอนุญาตแล้ว
4.การกำหนดหน้าที่ความรับผิดชอบของผู้ใช้งาน (user responsibilities) เพื่อป้องกันการเข้าถึงข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต การเปิดเผย การล่วงรู้ หรือการลักลอบทำสำเนาข้อมูลส่วนบุคคล การลักขโมยอุปกรณ์จัดเก็บหรือประมวลผลข้อมูลส่วนบุคคล และ 5.การจัดให้มีวิธีการเพื่อให้สามารถตรวจสอบย้อนหลังเกี่ยวกับการเข้าถึงเปลี่ยนแปลง ลบ หรือถ่ายโอนข้อมูลส่วนบุคคล ให้สอดคล้องเหมาะสมกับวิธีการและสื่อที่ใช้ในการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคล
ทั้งนี้ “ผู้ควบคุมข้อมูลส่วนบุคคล” อาจเลือกใช้มาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่แตกต่างไปจากประกาศฉบับนี้ได้ หากมาตรฐานดังกล่าวมีมาตรการรักษาความมั่นคงปลอดภัยไม่ต่ำกว่าที่กำหนดในประกาศนี้
โดย สำนักข่าวอินโฟเควสท์ (20 ก.ค. 63)
Tags: PDPA, กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม, ข้อมูลส่วนบุคคล, ดีอีเอส, พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล, พุทธิพงษ์ ปุณณกันต์, ราชกิจจานุเบกษา