พิสูจน์ว่าข้อมูลส่วนบุคคลปลอดภัยตาม PDPA
มาตรา 37 บังคับให้ผู้ควบคุมข้อมูลทุกรายต้องมีมาตรการป้องกันทางเทคนิคที่เหมาะสม เราช่วยทดสอบว่ามาตรการเหล่านั้นใช้ได้จริง พร้อมออกรายงานที่ยื่น คปส. ได้เลย
PDPA คืออะไร?
พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA คือกฎหมายหลักของไทยที่กำกับดูแลเรื่องการเก็บ ใช้ และเปิดเผยข้อมูลส่วนบุคคล บังคับใช้เต็มรูปแบบตั้งแต่ 1 มิถุนายน 2565 ใช้แนวทางคล้าย GDPR แต่ปรับมาให้เข้ากับบริบทไทย
- ประกาศใช้ปี 2562 มีผลบังคับใช้เต็มรูปแบบตั้งแต่ 1 มิถุนายน 2565
- ครอบคลุมตั้งแต่การเก็บรวบรวม ใช้ เปิดเผย ไปจนถึงการโอนข้อมูลส่วนบุคคล
- บังคับใช้กับทุกองค์กรที่ดูแลข้อมูลของคนในประเทศไทย ไม่ว่าจะเป็นบริษัทไทยหรือต่างชาติ
- กำกับดูแลโดยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (คปส.)
- อ้างอิงหลักการจาก GDPR แต่มีข้อกำหนดเฉพาะสำหรับประเทศไทย
อ้างอิง: พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ประกาศในราชกิจจานุเบกษา
ใครบ้างที่ต้องปฏิบัติตาม PDPA?
ถ้าองค์กรคุณเก็บ ใช้ หรือเก็บรักษาข้อมูลของคนในไทย ไม่ว่าธุรกิจเล็กหรือใหญ่ ก็อยู่ภายใต้ PDPA ทั้งหมด
สถาบันการเงิน
ธนาคาร บริษัทประกัน และผู้ให้บริการ Payment ที่ดูแลข้อมูลการเงินลูกค้า
สถานพยาบาลและ Health Tech
โรงพยาบาล คลินิก รวมถึงสตาร์ทอัพด้านสุขภาพที่ถือข้อมูลผู้ป่วย
E-Commerce และค้าปลีก
แพลตฟอร์มออนไลน์และร้านค้าที่มีการเก็บข้อมูลลูกค้า
บริษัท Technology
ผู้ให้บริการ SaaS นักพัฒนาแอป และบริษัท IT Services
ทุกธุรกิจที่มีข้อมูลลูกค้า
แค่เก็บชื่อ อีเมล เบอร์โทร หรือเลขบัตรประชาชน ก็ต้องปฏิบัติตามแล้ว
หน่วยงานภาครัฐ
ทุกหน่วยงานรัฐที่ประมวลผลหรือดูแลข้อมูลของประชาชน
สิ่งที่ PDPA กำหนดให้ต้องทำ
PDPA วางหน้าที่ไว้ชัดเจน ผู้ควบคุมข้อมูลต้องดูแลความปลอดภัยทั้งฝั่งเทคนิคและกระบวนการทำงาน
มาตรการป้องกันทางเทคนิค
เข้ารหัสข้อมูลทั้งขณะจัดเก็บและระหว่างส่ง จำกัดสิทธิ์เข้าถึงเฉพาะผู้ที่จำเป็น และเปิดใช้ MFA สำหรับระบบที่เข้าถึงข้อมูลส่วนบุคคล
ทดสอบความปลอดภัยเป็นประจำ
มาตรา 37(1) ไม่ได้ระบุให้ทำ Penetration Testing โดยตรง แต่การทำ Penetration Testing และ Vulnerability Assessment เป็นวิธีที่ได้รับการยอมรับในการตรวจสอบว่า "มาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม" ใช้งานได้จริง และทบทวนมาตรการเมื่อเทคโนโลยีเปลี่ยนแปลง
แจ้งเหตุละเมิดภายใน 72 ชั่วโมง
ตามมาตรา 37(4) ต้องแจ้ง คปส. ภายใน 72 ชั่วโมงหลังพบเหตุละเมิด หากมีความเสี่ยงสูงต่อเจ้าของข้อมูล ต้องแจ้งเจ้าตัวด้วย
ประเมินผลกระทบด้านข้อมูล (DPIA)
ก่อนเริ่มประมวลผลที่เสี่ยงสูง เช่น ข้อมูลอ่อนไหวหรือข้อมูลปริมาณมาก ต้องประเมินผลกระทบต่อสิทธิของเจ้าของข้อมูลก่อน
บันทึกกิจกรรมการประมวลผล
จัดทำบันทึกกิจกรรมทุกอย่างที่เกี่ยวข้องกับข้อมูลส่วนบุคคล ระบุวัตถุประสงค์ ประเภทข้อมูล ผู้รับ และระยะเวลาจัดเก็บให้ครบ
แต่งตั้ง DPO (Data Protection Officer)
หน่วยงานรัฐ องค์กรที่ประมวลผลข้อมูลจำนวนมาก หรือที่ดูแลข้อมูลอ่อนไหวเป็นกิจกรรมหลัก จำเป็นต้องมี DPO ตามกฎหมาย
บทลงโทษเมื่อไม่ปฏิบัติตาม PDPA
PDPA มีบทลงโทษหนัก ครอบคลุมทั้งทางอาญา ทางปกครอง และทางแพ่ง
ปรับสูงสุด 500,000 บาท จำคุกสูงสุด 6 เดือน กรณีเปิดเผยข้อมูลโดยไม่ชอบด้วยกฎหมาย หากกระทำเพื่อแสวงหาประโยชน์โดยมิชอบ ปรับสูงสุด 1,000,000 บาท จำคุกสูงสุด 1 ปี หรือทั้งจำทั้งปรับ
ปรับทางปกครองสูงสุด 3,000,000 บาทสำหรับการละเมิดข้อมูลส่วนบุคคลทั่วไป (มาตรา 83) หรือสูงสุด 5,000,000 บาทสำหรับข้อมูลอ่อนไหว เช่น Biometric ข้อมูลสุขภาพ หรือเชื้อชาติ (มาตรา 84) ฝ่าฝืนหลายครั้งยิ่งโดนหนักขึ้น
ศาลสั่งชดใช้ค่าเสียหายเชิงลงโทษได้สูงสุดสองเท่าของความเสียหายจริง (มาตรา 78)
Penetration Testing ช่วยเรื่อง PDPA ได้อย่างไร
การทดสอบแต่ละประเภทตอบโจทย์ข้อกำหนด PDPA โดยตรง ช่วยยืนยันว่ามาตรการที่ปกป้องข้อมูลส่วนบุคคลใช้ได้จริง
Checklist ปฏิบัติตาม PDPA
มาตรการด้านความปลอดภัยที่ต้องมี เพื่อแสดงว่าปฏิบัติตามมาตรา 37 ได้จริง
เอกสารอ้างอิง
ศึกษารายละเอียดเพิ่มเติมได้จากเอกสารต้นฉบับ
บริการที่เกี่ยวข้อง
บริการทดสอบครบวงจร ช่วยให้ปฏิบัติตาม PDPA ได้ครอบคลุมทุกด้าน
คำถามที่พบบ่อยเกี่ยวกับ PDPA
รวมคำถามยอดนิยมเรื่อง Penetration Testing กับการปฏิบัติตาม PDPA
เริ่มปฏิบัติตาม PDPA วันนี้
ปกป้องข้อมูลส่วนบุคคล ตอบโจทย์มาตรา 37 และรับรายงานพร้อมยื่น คปส. ได้ทันที
Reconix คือผู้เชี่ยวชาญการทดสอบเจาะระบบเชิงรุกที่เน้นการพิสูจน์ในประเทศไทย ให้บริการธุรกิจดิจิทัลภายใต้การกำกับดูแลทุกขนาด