ความปลอดภัยทางด้านข้อมูลส่วนบุคคล
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจึงออกประกาศดังต่อไปนี้
ข้อ 1 ประกาศนี้เรียกว่า “ ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ” มาตรการรักษาความปลอดภัยสำหรับผู้ควบคุมข้อมูล พ.ศ. 2565”
ข้อ 2 ประกาศนี้ให้ใช้บังคับตั้งแต่วันประกาศในราชกิจจานุเบกษา
ข้อ 3 ของประกาศนี้
“ ความปลอดภัย ” หมายถึงการรักษาความลับ (เป็นความลับ)
ทั้งนี้เพื่อป้องกันการสูญหาย การเข้าถึง การใช้ การเปลี่ยนแปลง การแก้ไข หรือการเปิดเผยข้อมูลส่วนบุคคล
ข้อ 4 ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่รับผิดชอบในการจัดให้มีมาตรการรักษาความปลอดภัยทำตามขั้นตอนที่เหมาะสมเพื่อปกป้องข้อมูลส่วนบุคคลจากการสูญหาย การเข้าถึง การใช้ การเปลี่ยนแปลง การแก้ไข หรือการเปิดเผยการผ่านมาตรการรักษาความปลอดภัยดังกล่าวโดยไม่ได้รับอนุญาตหรือไม่เหมาะสมอย่างน้อยที่สุดจะต้องดำเนินการดังต่อไปนี้
เรื่องความสำคัญของการปกป้องข้อมูลส่วนบุคคลและการรักษาความปลอดภัย (ความเป็นส่วนตัวและความตระหนักรู้ด้านความปลอดภัย)แจ้งนโยบาย แนวปฏิบัติ และมาตรการคุ้มครองข้อมูลการรักษาความปลอดภัยของข้อมูลส่วนบุคคลและผู้ควบคุมข้อมูลส่วนบุคคลที่เหมาะสม
ความเป็นไปได้ของการดำเนินการแบบผสม
พนักงาน ลูกจ้าง หรือบุคคลอื่นที่ทำหน้าที่เป็นผู้ใช้หรือมีส่วนร่วมในการเข้าถึง รวบรวม ใช้งานเปลี่ยนแปลง แก้ไข ลบ หรือเปิดเผยข้อมูลส่วนบุคคล การให้ความรู้และแนวปฏิบัติรวมทั้งกรณีต่างๆปรับปรุงนโยบาย แนวปฏิบัติ และแนวปฏิบัติดังกล่าวโดยคำนึงถึงลักษณะและวัตถุประสงค์ของทรัพยากรที่จำเป็นสำหรับระดับความเสี่ยงที่เกี่ยวข้องกับการรวบรวม การใช้ และการเปิดเผยข้อมูลส่วนบุคคล และความเป็นไปได้ของการดำเนินการแบบผสม ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องตรวจสอบมาตรการรักษาความปลอดภัยที่กำหนดไว้ในมาตรา 4รักษาความปลอดภัยอย่างมีประสิทธิภาพตามความต้องการหรือการเปลี่ยนแปลงเทคโนโลยีการรักษาความปลอดภัยที่เหมาะสมจะพิจารณาระดับความเสี่ยงตามปัจจัยทางเทคนิค บริบท สภาพแวดล้อมเกณฑ์การรับสถาบันหรือกิจการประเภทหรือลักษณะเดียวกันหรือคล้ายคลึงกันทรัพยากรที่จำเป็นสำหรับลักษณะและวัตถุประสงค์ในการรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลและความเป็นไปได้ที่จะดำเนินการร่วมกันในกรณีที่มีการละเมิดข้อมูลส่วนบุคคล ให้ถือว่าผู้ควบคุมข้อมูลส่วนบุคคลจำเป็นต้องทบทวนมาตรการรักษาความปลอดภัยตามวรรคหนึ่ง เว้นแต่การละเมิดดังกล่าวจะไม่ก่อให้เกิดความเสี่ยงที่จะส่งผลกระทบต่อสิทธิและเสรีภาพของบุคคล
Personal Data Security
The Personal Data Protection Act, the Personal Data Protection Committee hereby issues the following announcements:
Clause 1 This announcement is called “Notice of the Personal Data Protection Committee” Security Measures for Data Controllers B.E. 2565 (2022)
Clause 2. This announcement shall come into force from the date of its publication in the Government Gazette.
Clause 3 of this announcement
“Security” means confidentiality. (secret)
This is to prevent loss, access, use, alteration, correction or disclosure of personal data.
Clause 4 The Personal Data Controller is responsible for ensuring that security measures take reasonable steps to protect Personal Data from loss, access, use, alteration, alteration or disclosure through security measures. such unauthorized or improper means shall at least take the following actions:
On the importance of personal data protection and security (Privacy and Security Awareness)Notify policies, practices and data protection measures for the security of personal data and the appropriate data controllers.
The Possibility of Compounding Operations
Employees, employees or other persons acting as users or contributors to access, collect, use, change, correct, delete or disclose Personal Data. Education and practices, including cases, improve such policies, practices and guidelines taking into account the nature and purpose of the resources required for the level of risk associated with the collection, use and disclosure of personal information. and the possibility of a mixed operation. The personal data controller shall review the security measures set forth in section. 4. Effective security as needed or changes in technology, appropriate security will consider the level of risk based on technical factors, context, environment, institutional or business acceptance criteria of the same or similar type or nature, the resources required for the nature. and the purpose of collecting, using and disclosing personal data and the possibility of joint action in the event of a personal data breach. It shall be deemed that the Personal Data Administrator needs to review the security measures under paragraph one. unless such violation would not create a risk that would affect the rights and liberties of individuals.
