เธมิส แพลตฟอร์มจัดการข้อมูลส่วนบุคคล

Themis Technology Themis Technology
Menu Close

นักกฏหมายแนะ เมื่อ PDPA มีผลบังคับใช้ องค์กรมีหน้าที่อะไร

นักกฏหมาย ทีมพัฒนาระบบ Themis ระบุว่า องค์กรส่วนหนึ่งในประเทศไทยได้ดำเนินเพื่อให้การทำงานสอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 (“PDPA”) ไปบ้างแล้ว แต่ขณะเดียวกันหลายองค์กรยังไม่อาจเริ่มต้นได้ด้วยอุปสรรคหลายอย่างที่เกิดขึ้นจากสถานการณ์ปัจจุบัน

แม้ว่าจะเป็นเรื่องที่เข้าใจได้ แต่องค์กรทั้งหลายยังต้องคำนึงถึงหน้าที่อื่นที่มีผลใช้บังคับแล้ว ซึ่งคือหน้าที่ตาม ประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล .๒๕๖๓

ประกาศดังกล่าวออกโดยรัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เพื่อวางมาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ตามที่ PDPA ได้บังคับให้องค์กรต่างๆ ในฐานะ ‘ผู้ควบคุมข้อมูลส่วนบุคคล’ จะต้องจัดให้มี โดยประกาศฯ ฉบับนี้ถูกขยายระยะเวลาให้มีผลบังคับใช้ตั้งแต่ 18 กรกฎาคม 2563 ถึงวันที่ 31 พฤษภาคม 2565

จากประกาศฯ สรุปได้ว่าองค์กรทั้งหลายในฐานะ ‘ผู้ควบคุมข้อมูล’ มีหน้าที่ 2 ประการ ดังต่อไปนี้

  • หน้าที่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ในเรื่องการเข้าถึงหรือควบคุมการใช้งานข้อมูลส่วนบุคคล (access control) ซึ่งควรครอบคลุมถึงมาตรการป้องกันด้านการบริหารจัดการ (administrative safeguard) มาตรการป้องกันด้านเทคนิค (technical safeguard) และมาตรการป้องกันทางกายภาพ (physical safeguard) 

โดยมาตรการรักษาความมั่นคงปลอดภัยจะต้องประกอบด้วยการดำเนินการอย่างน้อยคือ

  1. มีการกำหนดวิธีที่เหมาะสมและมั่นคงปลอดภัยในการควบคุมการเข้าถึงข้อมูลส่วนบุคคลและมีอุปกรณ์ที่จำเป็น 
  2. มีการกำหนดสิทธิในการเข้าถึงข้อมูลส่วนบุคคล 
  3. มีการบริหารจัดการการเข้าถึงของผู้ใช้งาน (user access management) 
  4. มีการกำหนดหน้าที่ความรับผิดชอบของผู้ใช้งาน (user responsibilities) 
  5. มีวิธีการเพื่อให้สามารถตรวจสอบย้อนหลังเกี่ยวกับการเข้าถึงข้อมูลส่วนบุคคล 
  • หน้าที่แจ้งมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลตามประกาศนี้ ให้แก่บุคลากร พนักงาน ลูกจ้างหรือบุคคลที่เกี่ยวข้องทราบ และสร้างความตระหนักรู้ในความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลให้กับกลุ่มบุคคลดังกล่าว เพื่อให้ปฏิบัติตามมาตรการที่กำหนดอย่างเคร่งครัด

ดังนั้นแม้ว่า PDPA จะยังอยู่ในช่วงขยายเวลาบังคับใช้ องค์กรในฐานะ ‘ผู้ควบคุมข้อมูลส่วนบุคคล’ ยังคงมีหน้าที่ตามกฎหมายที่จะต้องรักษามาตรฐานมาตรการรักษาความมั่นคงปลอดภัยตามประกาศข้างต้น

© 2022 Themis by Lexnetic Co., Ltd.