Security Measurement & Audit

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ PDPA ได้ระบุให้บริษัทหรือองค์กรที่มีการเก็บรวบรวมและประมวลผลข้อมูลส่วนบุคคล ต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม ป้องกันมิให้ผู้อื่นใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยมิชอบ และจัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคล (มาตรา 37) ถ้าไม่ปฏิบัติตามให้ถูกต้องและเพียงพอเหมาะสม มีโทษทางปกครอง ปรับไม่เกิน 3 ล้านบาท ดังนั้นบริษัทหรือองค์กรจำเป็นต้องให้ความสำคัญ โดยต้องจัดให้มีระบบที่สามารถกำหนดมาตรการรักษาความปลอดภัย เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลได้ พร้อมกับสามารถบันทึกรายละเอียดผลการตรวจสอบ แนบเอกสารรายละเอียดต่างๆ และออกรายงานการตรวจสอบเพื่อส่งให้กับผู้เกี่ยวข้องได้

กฎหมายที่ครอบคลุม (PDPA)

มาตรา 37 จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม ป้องกันมิให้ผู้อื่นใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยมิชอบ จัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคล
มาตรา 39(8) คำอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัยตามมาตรา 37(1)
มาตรา 40(2) DPO ต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัย

บทลงโทษ (Penalties)

โทษทางอาญา : ปรับไม่เกิน 3 ล้านบาท

ประโยชน์ที่ได้รับ (NDPP)

สามารถกำหนดมาตรการรักษาความปลอดภัย เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคล

สามารถกำหนดตัวชี้วัด ความถึ่ในการตรวจสอบ ผู้รับผิดชอบ

สามารถบันทึกรายละเอียดผลการตรวจสอบ

สามารถแนบเอกสารรายละเอียดต่างๆ เช่น แนวปฏิบัติการควบคุมและตรวจสอบ ผลการตรวจสอบ เป็นต้น

สามารถออกรายงานการตรวจสอบเพื่อส่งให้กับผู้เกี่ยวข้อง