23/06/2022
เมื่อวันที่ 20 มิถุนายน 2565 มีกฎหมายลูกเกี่ยวกับ PDPA ออกมา 4 ฉบับด้วยกัน มาดูสรุปเนื้อหาที่เกี่ยวข้องกันนะคะ
#1📌กิจการที่ได้รับการยกเว้น PDPA มาตรา 39 (เรื่องบันทึกรายการข้อมูลส่วนบุคคล วัตถุประสงค์การจัดเก็บ ผู้ควบคุมข้อมูล ระยะเวลาในการจัดเก็บ สิทธิและวิธีการในการเข้าถึง) ได้แก่
1. SME
2. OTOP
3. Social Enterprise
4. สหกรณ์
5. มูลนิธิ สมาคม องค์กรศาสนา องค์กรที่ไม่แสวงหาผลกำไร
6.กิจการครัวเรือน
Reference👉ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง การยกเว้นการบันทึกรายการของผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นกิจการขนาดเล็ก พ.ศ. ๒๕๖๕
http://www.ratchakitcha.soc.go.th/DATA/PDF/2565/E/140/T_0024.PDF
***************************
#2📌หลักเกณฑ์และวิธีการในการจัดทำ ROPA (Record of Processing Activity) ต้องมีรายละเอียดอย่างน้อยดังต่อไปนี้
1.ชื่อและข้อมูลเกี่ยวกับ Data Controller
2.ชื่อและข้อมูลเกี่ยวกับ Data Processor
3.ชื่อและข้อมูลเกี่ยวกับ DPO
4. ประเภทหรือลักษณะของข้อมูลรวมทั้งวัตถุประสงค์ที่ Data Processor ทำตามคำสั่งของ Data Controller
5.ประเภทของข้อมูลหรือหน่วยงานกรณีที่มีการส่งข้อมูลไปต่างประเทศ
6.คำอธิบายเกี่ยวกับมาตรการรักษาความปลอดภัยในการใช้ข้อมูลระหว่าง Data Controller กับ Data Processor
Reference👉ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการจัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลสำหรับผู้ประมวลผลข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๕
http://www.ratchakitcha.soc.go.th/DATA/PDF/2565/E/140/T_0026.PDF
***************************
#3📌มาตรการรักษาความมั่นคงปลอดภัยของ Data Controller ซึ่งมีรายะเอียดในเรื่องการรักษาความปลอดภัย การระบุความเสี่ยง การป้องกัน การตรวจสอบ การเฝ้าระวัง และการฟื้นฟูความเสียหาย
Data Controller มีหน้าที่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคล อย่างน้อยต้องมีมาตรการดำเนินการดังนี้
1.ครอบคลุมทั้ง hard copy/ soft copy และรูปแบบอื่น ๆ
2.ประกอบด้วย organizational measures, technical measures, physical measures โดยคำนึงถึงความเสี่ยงและโอกาสเกิดและผลกระทบจากการละเมิดข้อมูลส่วนบุคคล
3.ระบุความเสี่ยงที่อาจเกิดขึ้นกับ information assets การป้องกัน การตรวจสอบ การเฝ้าระวังภัยคุกตามและการละเมิด รวมทั้งการรักษาและฟื้นฟูความเสียหาย
4.ต้องคำนึงถึง confidentiality, integrity, availability
5.ครอบคลุม servers & clients, network, software, application โดยคำนึงถึง defense in depth, multiple layers of security controls
6.การรักษาความปลอดภัยทางระบ เช่น access control, authentication, การ review และ remove access right, กำหนด user responsibility และ audit trails
7.มีการใช้ความรู้กับ Data Controller, พนักงาน, user
ทั้งนี้ Data Controller จะต้องมีการทบทวนมาตรการความปลอดภัยตาม 6 ข้อด้านบนหากมีการเกิดเหตุการณ์ละเมิดข้อมูลส่วนบุคคล และ Data Controller จะต้องตกลงกับ Data Processor จัดให้มีมาตรการความปลอดภัยให้เหมาะสม
Reference👉ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๕
http://www.ratchakitcha.soc.go.th/DATA/PDF/2565/E/140/T_0028.PDF
***************************
#4📌หลักเกณฑ์การพิจารณาออกคำสั่งลงโทษปรับทางปกครอง
เนื้อหาเกี่ยวกับการพิจารณาลงโทษปรับ ซึ่งการพิจารณาคำนึงถึงหลายปัจจัย เช่น
- รายละเอียดการกระทำผิดจงใจกระทำผิดหรือประมาทเลินเล่อ
- ความร้ายแรงของพฤติกรรม
- ขนาดกิจการของ Data Controller หรือ Data Processor
- มูลค่าความเสียหายและความร้ายแรง
- ระดับโทษจากกรณีอื่นที่เคยเกิดขึ้น
- ประวัติการถูกลงโทษของ Data Controller, Data Processor และนิติบุคคลที่เกี่ยวข้อง
ทั้งนี้หากผู้กระทำผิดไม่จ่ายค่าปรับตามระยะเวลาที่กำหนดเจ้าหน้าที่สามารถ ยึด อายัด นำทรัพย์สินมาขายทอดตลาดเพื่อชำระค่าปรับได้
Reference👉ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์การพิจารณาออกคำสั่งลงโทษปรับทางปกครองของคณะกรรมการผู้เชี่ยวชาญ พ.ศ. ๒๕๖๕
http://www.ratchakitcha.soc.go.th/DATA/PDF/2565/E/140/T_0032.PDF
หากต้องการคำแนะนำเพิ่มเติม ยินดีนะคะ ติดต่อ Line
