10 ความเสี่ยงที่ทุกองค์กรต้องเตรียมแผนรับมือให้พร้อม

10 ความเสี่ยงที่ทุกองค์กรต้องเตรียมแผนรับมือให้พร้อม

"ความเสี่ยง" คือ อะไรก็ตาม (คน, สัตว์, สิ่งของ, เหตุการณ์, ฯลฯ) ที่สามารถขัดขวางการบรรลุผลตามเป้าหมายหรือวัตถุประสงค์ที่ได้กำหนดไว้ ซึ่งถ้ามองในมุมของการบริหารจัดการองค์กรแล้วล่ะก็ ความเสี่ยงก็คือสิ่งใดก็ตามที่ทำให้ธุรกิจของคุณหยุดชะงัก การปฏิบัติงานหรือการให้บริการล่าช้า หรือขาดความมั่นคงปลอดภัย ดังนั้น คุณจึงจำเป็นที่จะต้องวางแผนการรับมือความเสี่ยงต่างๆ ที่อาจจะเกิดขึ้นล่วงหน้า โดยแผนและวิธีการเหล่านี้จะต้องสมเหตุสมผลและคุ้มค่ากับการลงทุน

องค์กรจะต้องพัฒนาเครื่องมือขึ้นมาช่วยในการบริหารจัดการความเสี่ยงอย่างเหมาะสมตามบริบทของตน อาจจะอาศัยตัวช่วยด้วยการพิจารณาตามหลัก PPT (People - Process - Technology) หรือทฤษฎี Security Control Categorized (Physical Control - Administrative Control - Logical Control) ในขณะเดียวกัน ทางเลือกที่ดีอีกอย่างหนึ่งก็คือ การนำเอาแนวทางของ Best Practice หรือมาตรฐานสากล อาทิ ISO 22301:2012 Business Continuity Management, ISO 27001:2013 Information Security Management มาประยุกต์ใช้ภายในองค์กร ทั้งนี้ แผน เครื่องมือ วิธีการ และกระบวนการที่พัฒนาขึ้นนี้ จะต้องสามารถใช้งานได้จริง มีการทบทวนและทดสอบประสิทธิภาพอยู่เสมอ

จากสถานการณ์ในช่วงปีที่ผ่านมา ทางทีมที่ปรึกษาของ Destination One ได้คัดเลือก 10 ความเสี่ยงสำคัญที่ทุกองค์กรจำเป็นจะต้องมีการวางแผนรับมือและบริหารจัดการอย่างหลีกเลี่ยงไม่ได้ ดังนี้

     1. ไฟไหม้ (มีแผนอพยพแล้วหรือยัง, อุปกรณ์ดับเพลิงมีเพียงพอไหม)

     2. น้ำท่วม (มีแผนความต่อเนื่องและแผนกู้คืนแล้วหรือยัง)

     3. เหตุชุมนุมทางการเมือง (มีแผนรับมืออย่างไร)

     4. ไฟดับ (มีระบบไฟฟ้าสำรองมีเพียงพอไหม)

     5. ระบบโทรคมนาคมมีปัญหา (มีระบบสื่อสารสำรองไหม, มีศูนย์สำรองหรือไม่)

     6. ฮาร์ดแวร์หรือซอฟต์แวร์มีปัญหา (มีระบบสำรองหรือไม่, มีแผนกู้คืนอย่างไร)

     7. การถูกโจมตีผ่านระบบเครือข่าย (มีระบบป้องกันไหม, มีวิธีการกู้คืนอย่างไร)

     8. ข้อมูลขององค์กรรั่วไหล (มีแผนรับมือหรือตอบสนองต่อเหตุการณ์อย่างไร)

     9. การไม่สามารถเข้าถึงพื้นที่ปฏิบัติงาน (มีสถานที่ปฏิบัติงานสำรองไหม)

     10. การประท้วงโดยพนักงานขององค์กร (มีแผนรองรับอย่างไร, มีพนักงานสำรองไหม)

หากผู้บริหารต้องการให้องค์กรของตนสามารถดำเนินธุรกิจได้อย่างต่อเนื่องราบรื่น กระบวนการทำงานหรือให้บริการมีความมั่นคงปลอดภัย ก็จะต้องมีการผลักดันและให้การสนับสนุนการจัดทำแผนและกระบวนการบริหารจัดการความเสี่ยงอย่างชัดเจน โดยกำหนดทีมงานผู้รับผิดชอบ และจัดหาทรัพยากรที่จำเป็นให้อย่างพอเพียง เพื่อให้ความเสี่ยงเหล่านี้ลดลงมาอยู่ในระดับที่องค์กรยอมรับได้ (Acceptable Level) หรือลดลงมาถึงในระดับที่ความเสี่ยงนั้นไม่มีนัยสำคัญต่อองค์กรอีกต่อไป ซึ่งถือเป็นความสำเร็จสูงสุดนั่นเอง

Content Cr : DestinationOne Counselor

Photo Cr : DailyNews.co.th

แนะนำข้อกำหนดของ ISO 27001:2013 แบบเข้าใจง่าย

แนะนำข้อกำหนดของ ISO 27001:2013 แบบเข้าใจง่าย

ธุรกิจในปัจจุบันต้องแข่งขันกันที่ข้อมูลและระบบเทคโนโลยีสารสนเทศ ว่ากันว่าข้อมูลลับทางการค้าในมือของใครครบถ้วน ถูกต้อง ประมวลผลและวิเคราะห์ได้รวดเร็วกว่า คนนั้นย่อมได้เปรียบคู่แข่งเสมอ ดังนั้น จึงไม่น่าแปลกใจที่มีทฤษฎี โมเดล มาตรฐาน และงานวิจัยเกี่ยวข้องกับความพยายามในการบริหารจัดการข้อมูลอย่างมีประสิทธิภาพปรากฏให้เห็นอยู่มากมาย ซึ่งแน่นอนว่ามาตรฐานสากล ISO 27001:2013 การบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (Information Security Management System) มักจะได้รับการอ้างอิงถึงอยู่เสมอๆ และกำลังได้รับความนิยมในการนำไปประยุกต์ใช้งานเพิ่มขึ้นอย่างต่อเนื่อง

สำหรับองค์กรที่ต้องการได้รับการรับรองมาตรฐาน ISO 27001:2013 นั้น จำเป็นที่จะต้องปฏิบัติตามข้อกำหนดหลักของมาตรฐาน ซึ่งถ้าอ้างอิงตามเอกสารแล้วได้แก่ ข้อกำหนด 4-10 นั่นเอง ซึ่งในบทความนี้ ผมจะขอแนะนำข้อกำหนดหลักดังกล่าวให้ทุกท่านเข้าใจอย่างง่ายๆ ดังนี้

ข้อกำหนดหลักของมาตรฐาน ISO 27001:2013

ข้อกำหนดที่ 4 การระบุบริบทขององค์กร

ทำความเข้าใจองค์กรและบริบท : คุณจะต้องระบุประเด็นและปัจจัยทั้งภายในและภายนอกองค์กร ที่มีผลกระทบกับเป้าหมายและวัตถุประสงค์ในการบริหารจัดการความมั่นคงปลอดภัย

ทำความเข้าใจกับความต้องการและความคาดหวังของผู้ที่มีส่วนเกี่ยวข้อง : คุณจะต้องระบุตัวผู้ที่มีส่วนเกี่ยวข้องกับความมั่นคงปลอดภัยขององค์กรทั้งหมด แล้วระบุความต้องการและความคาดหวังของพวกเขาที่มีต่อการบริหารจัดการความมั่นคงปลอดภัย

ระบุขอบเขตของระบบบริหารความมั่นคงปลอดภัย : คุณจะต้องระบุขอบเขตของการจัดทำระบบบริหารความมั่นคงปลอดภัยอย่างชัดเจน รวมถึงข้อยกเว้นต่างๆ ด้วย (ถ้ามี)

ระบบบริหารจัดการความมั่นคงปลอดภัย : องค์กรจะต้องมีการจัดตั้ง บังคับใช้ บำรุงรักษา และปรับปรุงระบบบริหารจัดการความมั่นคงปลอดภัยอย่างเหมาะสม

ข้อกำหนดที่ 5 ภาวะผู้นำ

ภาวะผู้นำและพันธกิจ : ผู้บริหารจะต้องแสดงออกถึงพันธกิจและความเป็นผู้นำในการจัดทำระบบบริหารจัดการความมั่นคงปลอดภัย โดยจะต้องมั่นใจว่านโยบายด้านความมั่นคงปลอดภัยมีความสอดคล้องกับวัตถุประสงค์ขององค์กร และมีการจัดการทรัพยากรที่จำเป็นในการดำเนินการให้อย่างเพียงพอ

นโยบาย : องค์กรจะต้องมีการประกาศ บังคับใช้ และสื่อสารเกี่ยวกับนโยบายด้านความมั่นคงปลอดภัยอย่างเหมาะสม

บทบาท หน้าที่ ความรับผิดชอบ และการใช้อำนาจหน้าที่ : ผู้บริหารจะต้องกำหนดบทบาท อำนาจ หน้าที่และความรับผิดชอบของบุคลากรที่เกี่ยวข้องกับการบริหารจัดการความมั่นคงปลอดภัยอย่างเหมาะสม

ข้อกำหนดที่ 6 การวางแผน

การบริหารความเสี่ยง : คุณจะต้องมีการบริหารจัดการความเสี่ยงและโอกาสที่เกี่ยวข้องกับความมั่นคงปลอดภัย โดยการหามาตรการป้องกันหรือปรับปรุงให้ความเสี่ยงต่างๆ อยู่ในระดับที่องค์กรสามารถยอมรับได้ ทั้งนี้ ในการประเมินความเสี่ยงจะต้องคำนึงถึง 3 แง่มุม อันได้แก่ ความลับ (Confidentiality), ความถูกต้องครบถ้วน (Integrity) และความพร้อมใช้งาน (Availability) จากนั้นจึงทำการจัดลำดับความสำคัญของความเสี่ยง กำหนดตัวผู้เป็นเจ้าของความเสี่ยง พร้อมทั้งจัดหาแผนการแก้ไขความเสี่ยงต่อไป

กำหนดวัตถุประสงค์และแผนงาน : คุณจะต้องมีการกำหนดวัตถุประสงค์ด้านความมั่นคงปลอดภัยของแต่ละแผนก ฝ่าย หรือหน่วยงาน พร้อมทั้งสื่อสารให้พวกเขารับทราบ รวมถึงจะต้องจัดทำแผนงานที่เหมาะสมเพื่อให้สอดคล้องตามวัตถุประสงค์เหล่านั้น

ข้อกำหนดที่ 7 การสนับสนุน

ทรัพยากร : ผู้บริหารจะต้องสนับสนุนและจัดการทรัพยากรต่างๆ ให้เพียงพอต่อการจัดทำระบบบริหารความมั่นคงปลอดภัย

ทักษะความสามารถ : องค์กรจะต้องมีการกำหนดทักษะความสามารถ (Competency) ที่จำเป็นในการบริหารจัดการความมั่นคงปลอดภัย และจัดให้มีการอบรมฝึกฝนเพื่อให้บุคลากรมีทักษะความสามารถเหล่านั้น รวมถึงจะต้องมีการประเมินความสามารถเป็นประจำตามรอบระยะเวลาที่กำหนด

ความตระหนักรู้ : บุคลากรและผู้ที่เกี่ยวข้องทั้งหมดจะต้องมีความตระหนักรู้ (Awareness) ด้านการบริหารจัดการความมั่นคงปลอดภัย โดยจะต้องได้รับการสื่อสารและให้ความรู้เกี่ยวกับนโยบายและแผนการดำเนินการต่างๆ อย่างเหมาะสม

การติดต่อสื่อสาร : คุณจะต้องจัดให้มีการสื่อสารเกี่ยวกับการบริหารจัดการความมั่นคงปลอดภัยไปยังผู้ที่มีส่วนเกี่ยวข้องทั้งหมดตามความจำเป็น ทั้งบุคคลภายในและภายนอกองค์กร เพื่อให้ทุกคนสามารถปฏิบัติตนได้สอดคล้องตามข้อกำหนดของมาตรฐานสากล

การบริหารจัดการเอกสาร : คุณจะต้องกำหนดให้มีการบริหารจัดการเอกสารและบันทึกต่างๆ ที่เกี่ยวข้องกับระบบบริการจัดการความมั่นคงปลอดภัย ให้มีความครบถ้วนถูกต้อง พร้อมใช้งาน สอดคล้องตามระดับความสำคัญของข้อมูลนั้นๆ ตลอดวัฏจักรของเอกสารเหล่านั้น

ข้อกำหนดที่ 8 การปฏิบัติงาน

การวางแผนและควบคุมการปฏิบัติงาน : คุณจะต้องมีการวางแผนและควบคุมการปฏิบัติงานด้านการบริหารความมั่นคงปลอดภัยอย่างเหมาะสม เพื่อให้สอดคล้องตามวัตถุประสงค์ที่ได้กำหนดไว้ รวมถึงมีการควบคุมบริหารความเปลี่ยนแปลง (Change Management) ที่เกิดขึ้น และควบคุมการปฏิบัติงานของผู้ให้บริการภายนอก (Outsource) ที่เกี่ยวข้องอีกด้วย

การประเมินความเสี่ยงด้านความมั่นคงปลอดภัย : คุณจะต้องทำการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยอย่างสม่ำเสมอตามรอบระยะเวลาที่ได้กำหนดไว้ หรือเมื่อมีการเปลี่ยนแปลงที่มีนัยสำคัญเกิดขึ้น

การแก้ไขความเสี่ยงด้านความมั่นคงปลอดภัย : คุณจะต้องจัดทำแผนแก้ไขความเสี่ยงให้สอดคล้องตามผลการประเมิน และดำเนินการตามแผนนั้นเพื่อให้ความเสี่ยงลดลงมาอยู่ในระดับที่องค์กรสามารถยอมรับได้

ข้อกำหนดที่ 9 การประเมินประสิทธิภาพและประสิทธิผล

การตรวจติดตาม การวัดผล การวิเคราะห์และการประเมินผล : คุณจะต้องทำการประเมินประสิทธิภาพและประสิทธิผลของระบบบริหารความมั่นคงปลอดภัย ด้วยการตรวจติดตาม การวัดผล การวิเคราะห์และการประเมินผล และสรุปรายงานเพื่อนำเสนอให้ผู้บริหารพิจารณาต่อไป

การตรวจสอบภายใน : คุณจะต้องดำเนินการตรวจสอบภายในระบบบริหารความมั่นคงปลอดภัยตามรอบระยะเวลาที่ได้กำหนดไว้ โดยครอบคลุมทุกหัวข้อที่ระบุไว้ในขอบเขตของระบบ

การทบทวนโดยผู้บริหาร : ผู้บริหารระดับสูงจะต้องพิจารณาทบทวนระบบบริหารจัดการความมั่นคงปลอดภัยตามรอบระยะเวลาที่ได้กำหนดไว้ เพื่อให้มั่นใจได้ว่าระบบมีประสิทธิภาพและประสิทธิผลอยู่เสมอ

ข้อกำหนดที่ 10 การพัฒนาและปรับปรุง

สิ่งที่ไม่สอดคล้องตามข้อกำหนด และการแก้ไข : เมื่อพบว่ามีสิ่งใดที่ไม่เป็นไปตามข้อกำหนด คุณจะต้องระบุข้อมูลของสิ่งนั้น แล้วดำเนินการวางแผนแก้ไขปัญหาให้ถูกต้องครบถ้วน รวมถึงทำการวัดผลการแก้ไขนั้นด้วย

การปรับปรุงอย่างต่อเนื่อง : องค์กรจะต้องมีการพัฒนาปรับปรุงประสิทธิภาพและประสิทธิผลของระบบบริหารจัดการความมั่นคงปลอดภัยอย่างต่อเนื่อง เพื่อให้สอดคล้องตามวัตถุประสงค์ทางธุรกิจขององค์กรอยู่เสมอ

การปฏิบัติตามข้อกำหนดเหล่านี้จะช่วยให้มั่นใจได้ว่าข้อมูลและระบบสารสนเทศขององค์กรมีความมั่นคงปลอดภัย และสามารถขอรับการตรวจประเมิน ISO 27001:2013 จากหน่วยงานรับรองได้ รวมถึงช่วยเพิ่มความได้เปรียบ ความมั่นคง และความต่อเนื่องในการดำเนินธุรกิจภายใต้สถานการณ์ที่การต่อสู้แข่งขันกันมีความดุเดือดอย่างเช่นในปัจจุบันนี้นี่เอง

Content Cr: DestinationOne Counselor

Photo Cr: ISO, MS Template

20 คำถาม เพื่อจัดหาศูนย์คอมพิวเตอร์ (Data Center) ให้สอดคล้องตาม ISO 27001:2013

20 คำถาม?? เพื่อจัดหาศูนย์คอมพิวเตอร์ (Data Center) ให้สอดคล้องตาม ISO 27001:2013

เดี๋ยวนี้การทำงานในทุกองค์กร ไม่ว่าจะแผนกไหนๆ ก็อาศัยระบบเทคโนโลยีสารสนเทศกันทั้งนั้น ไม่ว่าจะเป็นระบบงานขาย ระบบบริหารการตลาด ระบบจัดการทรัพยากรบุคคล ฯลฯ นั่นคือเหตุผลที่ทำให้ต้องจัดตั้งศูนย์คอมพิวเตอร์ (Data Center) ขึ้นมา เพื่อทำหน้าที่ในการบริหารจัดการและบำรุงรักษาข้อมูลทางธุรกิจและระบบไอทีต่างๆ ที่มีใช้งานอยู่ภายในองค์กร เพื่อความพร้อมในการให้บริการอย่างราบรื่นได้ตลอดเวลา ตอบสนองความต้องการทางธุรกิจ และคุ้มครองความมั่นคงปลอดภัย

การตัดสินใจเกี่ยวกับตัวเลือกต่างๆ สำหรับศูนย์คอมพิวเตอร์จำเป็นต้องทำอย่างรอบคอบ ไม่ว่าจะตัดสินใจสร้างศูนย์ขึ้นมาเอง หรือไปเช่าใช้จากผู้ให้บริการภายนอก ดังนั้น ทีมงาน Destination One จึงอยากจะนำเสนอคำถามจำนวน 20 ข้อ ที่ผู้บริหารหรือผู้มีอำนาจดูแลจะต้องพิจารณาหาคำตอบอย่างรอบคอบ เพื่อประกอบการตัดสินใจในการจัดหาศูนย์คอมพิวเตอร์ที่ดีและเหมาะสมกับองค์กรของตนเอง

20 คำถามที่ต้องพิจารณามีดังนี้..

      1. ศูนย์คอมพิวเตอร์มีทำเลที่ตั้งอย่างไร    

      2. โครงสร้างอาคารของศูนย์คอมพิวเตอร์มีความมั่นคงแข็งแรงอย่างไร

      3. ระบบไฟฟ้าของศูนย์คอมพิวเตอร์เป็นอย่างไร

      4. ระบบปรับอากาศของศูนย์คอมพิวเตอร์เป็นอย่างไร

      5. ระบบโทรคมนาคมของศูนย์คอมพิวเตอร์เป็นอย่างไร

      6. ระบบตรวจจับและตรวจสอบของศูนย์คอมพิวเตอร์เป็นอย่างไร

      7. ระบบดับเพลิงของศูนย์คอมพิวเตอร์เป็นอย่างไร

      8. ระบบควบคุมการเข้าถึงทางกายภาพของศูนย์คอมพิวเตอร์เป็นอย่างไร

      9. ระบบ Access Control & CCTV ของศูนย์คอมพิวเตอร์เป็นอย่างไร

      10. ระบบการเดินสายสัญญาณ สายไฟ และสายเคเบิ้ลอื่นๆ เป็นอย่างไร

      11. ระบบมอนิเตอร์และเฝ้าระวังระบบของศูนย์คอมพิวเตอร์เป็นอย่างไร

      12. ระบบเครือข่ายของศูนย์คอมพิวเตอร์เป็นอย่างไร

      13. ระบบป้องกันความมั่นคงปลอดภัยของศูนย์คอมพิวเตอร์เป็นอย่างไร

      14. ระบบบริหารจัดการ การบำรุงรักษาอุปกรณ์ และระบบสารสนเทศเป็นอย่างไร

      15. การบริหารจัดการความมั่นคงปลอดภัยของศูนย์คอมพิวเตอร์เป็นอย่างไร

      16. การบริหารจัดการความเสี่ยงของศูนย์คอมพิวเตอร์เป็นอย่างไร

      17. การบริหารจัดการการให้บริการของศูนย์คอมพิวเตอร์เป็นอย่างไร

      18. การบริหารจัดการคววามต่อเนื่องของการให้บริการของศูนย์คอมพิวเตอร์เป็นอย่างไร

      19. การบริหารจัดการพนักงานของศูนย์คอมพิวเตอร์เป็นอย่างไร

      20. ระดับของการให้บริการ (SLA) ของศูนย์คอมพิวเตอร์เป็นอย่างไร

คำถามเหล่านี้เป็นเพียงข้อมูลเบื้องต้นที่องค์กรโดยทั่วไปต้องใช้ประกอบการพิจารณาก่อนการคัดเลือกหรือจัดตั้งศูนย์คอมพิวเตอร์ เพื่อให้สอดคล้องตามมาตรฐาน ISO 27001:2013 แต่นอกเหนือไปจากนี้ ผู้บริหารยังต้องขบคิดเกี่ยวกับบริบทเฉพาะองค์กรอื่นๆ ที่เกี่ยวข้อง เพื่อให้ศูนย์คอมพิวเตอร์นี้สามารถตอบโจทย์และความต้องการทางธุรกิจได้อย่างสูงสุด

Content Cr : Destination One Counselor

Photo Cr : Freeimages.com

คุยเฟื่องเรื่อง (ร่าง) พรบ.คุ้มครองข้อมูลส่วนบุคคล

คุยเฟื่องเรื่อง (ร่าง) พรบ.คุ้มครองข้อมูลส่วนบุคคล

เมื่ออุปกรณ์อิเล็กทรอนิกส์และเทคโนโลยีสารสนเทศที่ทันสมัยเข้ามามีบทบาทกับชีวิตประจำวันของเราทั้งในเรื่องงานและเรื่องส่วนตัว ข้อมูลมากมายจึงถูกเก็บรวบรวมไว้ในอุปกรณ์ไอที หรือไม่ก็บนระบบสุดไฮเทค ซึ่งเป็นการเพิ่มความเสี่ยงให้ข้อมูลนั้นถูกนำไปเปิดเผยเพื่อแสวงหาผลประโยชน์โดยไม่ได้รับความยินยอมจากเจ้าของ จนอาจสร้างความเดือนร้อนเสียหายไม่ว่าจะเป็นชื่อเสียง เงินทอง หรือความรำคาญใจ เช่น แอบเอาข้อมูลส่วนบุคคลไปขายให้บริษัทบัตรเครดิตหรือบริษัทขายตรงต่างๆ หรือ มีการลักลอบนำบทสนทนาใน Line ส่วนตัวมาโพสต์ประจานต่อสาธารณะ เป็นต้น

ดังนั้น หน่วยงานด้านกฏหมายของรัฐจึงจำเป็นต้องให้ความคุ้มครองข้อมูลส่วนบุคคลให้เป็นไปตามรัฐธรรมนูญแห่งราชอาณาจักรไทย ซึ่งตลอดช่วงเวลาที่รัฐบาลคณะต่างๆ หมุนเปลี่ยนวาระกันไป ต่างก็มีความพยายามผลักดันกฏหมายดังกล่าวแต่จนแล้วจนรอดก็ยังคงไม่ประสบผลสำเร็จ จวบจนถึงขณะนี้ รัฐบาลชุดปัจจุบันและคณะ คสช. ก็กำลังสานต่อโดยนำเสนอร่างกฏหมายฉบับนี้เข้าสู่วาระการพิจารณาของสภานิตินบัญญัติแห่งชาติ (สนช.)  เพื่อที่จะได้ตราออกเป็นกฏหมายและประกาศบังคับใช้งานต่อไป

วันนี้ผมจึงขอสรุปสาระสำคัญที่ระบุไว้ใน (ร่าง) พรบ.คุ้มครองข้อมูลส่วนบุคคล เพื่อให้คุณได้รับทราบและทำความเข้าใจเบื้องต้น ดังนี้

สาระสำคัญของกฎหมายที่ควรรู้..

o กฏหมายนี้มีชื่อว่า   “(ร่าง) พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ….”  บังคับใช้หลักจากประกาศในราชกิจจานุเบกษา 180 วัน

o (ร่าง) พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ ประกอบไปด้วย 6 หมวด 61 มาตรา

o “ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับสิ่งเฉพาะตัวของบุคลล เช่น การศึกษา ฐานะการเงิน ประวัติสุขภาพ ประวัติอาชญากรรม ประวัติการทำงาน หรือประวัติกิจกรรมที่มีชื่อบุคคลนั้นหรือมีเลขหมาย รหัส หรือสิ่งบอกลักษณะอื่นที่ทำให้รู้ตัวบุคคลนั้นได้ เช่น ลายพิมพ์นิ้วมือ แผ่นบันทึกลักษณะเสียงของคน หรือรูปถ่าย และให้หมายความรวมถึงข้อมูลเกี่ยวกับสิ่งเฉพาะตัวของผู้ที่ถึงแก่กรรมแล้วด้วย

o “ผู้ควบคุมข้อมูลส่วนบุคคล”  หมายความว่า  ผู้ที่ทำหน้าที่รับผิดชอบในการเก็บ รวบรวม และควบคุมการใช้และการเปิดเผยข้อมูลส่วนบบุคคล

o พระราชบัญญัตินี้ไม่ใช้บังคับแก่ หน่วยงานของรัฐที่อยู่ภายใต้กฏหมายว่าด้ยข้อมูลข่าวสารของราชการ  บุคคลหรือนิติบุคคลที่ทำการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อใช้ประโยชน์ส่วนตนหรือนิติบุคคเท่านั้น  บุคคลหรือนิติบุคคลซึ่งใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่ทำการเก็บรวบรวมไว้เฉพาะเพื่อกิจการสื่อมวลชน งานศิลปกรรม หรืองานวรรณกรรมเท่านั้น

o ”คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล”  จะเป็นคนกำหนดนโยบาย มาตรการ หรือแนวทางการดำเนินการเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล กำหนดหลักเกณฑ์ใบรับรองและมาตรฐานการคุ้มครองข้อมูลส่วนบุคคล  รวมถึงหลักปฎิบัติอื่นใดตาม พรบ. ฉบับนี้กำหนดขึ้น

o มาตรา 16  ผู้ควบคุมข้อมูลส่วนบุคคลจะกระทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบบุคลไม่ได้หากเจ้าขงข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอม เว้นแต่บทบัญญัติแห่งพระราชบัญญัตินี้หรือกฏหมายอื่นบัญญัติให้กระทำได้

o มาตรา 17 ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ดูแลรักษาความมั่นคงปลอดภัยมิให้ข้อมูลส่วนบุคคลสุญหาย ถูกแก้ไขหรือเปลี่ยนแปลง   และมีหน้าที่ดูแลข้อมูลส่วนบุคคลที่ใช้หรือเปิดเผยให้มีความถูกต้อง ครบถ้วน และเป็นปัจจุบัน

o มาตรา 19 การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในกรณีดังต่อไปนี้ให้ผู้ควบคุมข้อมูลส่วนบุคคลได้รับการยกเว้นไม่ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เช่น  เป็นการปฎิบัติตามกฏหาย เพื่อประโยชน์ของเจ้าของข้อมูลส่วนบุคคลและการยินยิมไม่สามารถดำเนินการได้ในวลานั้น  เพื่อประโยชน์ที่เกียวกับชีวิต สุขภาพ หรือความปลอดภัยของเจ้าของข้อมูล  เพื่อประโยชน์แก่การสอบสอนตามประมวลกฏหมายอาญา  เพื่อประโยชน์การศึกษาวิจัยหรือสถิติและได้เก็บข้มูลไว้เป็นความลับ  กรณือื่นตามที่กำหนดในกฏกระทรวง

o มาตรา 20  ให้คณะกรรมการมีอำนาจประกาศกำหนดประมวลจริยธรรมเพื่อให้ผู้ควบคุมข้อมูลส่วนบุคคลต้องปฎิบัติตามเกี่ยวกับการคุ้มครอง  การเก็บรักษา การลบหรือการทำลายข้อมูล  การเก็บรวบรวม การใช้ หรือการเปิดเผยข้อมูลส่วนบุคคลที่ถูกต้อง ไม่เลือกปฎิบัติ ไม่ผิดกฎหมายหรือวัตถุประสงค์ 

o มาตรา 23 ห้ามมิให้ผู้ควบคุมข้อมูลส่วนบุคคลเก็บรวบรวมข้อมูลส่วนบุคคลอันมีลักษณะต้องห้าม ดังเช่น  ข้อมูลเกี่ยวกับพฤติกรรมทางเพศ ประวัติอาชญากรรม ประวัติสุขภาพ ความคิดเห็นทางการเมือง ความเชื่อทางศาสนา  หรือข้อมูลอื่นตามที่กำหนดในกฏกระทรวง เป็นต้น  ให้ผู้ควบคุมข้อมูลส่วนบุคคลเก็บรวบรวมข้อมูลส่วนบุคคลอันมีลักษณะต้องห้ามได้เมื่อได้รับความยินยอมเป็นหนังสือจากเจ้าของข้อมูลส่วนบุคคลหรือในกรณีที่ พรบ. นี้ได้กำหนดไว้

o มาตรา 24 ในการเก็บรวบรวมข้อมูลส่วนบุคคล ให้ผู้ควบคุมข้อมูลส่วนบุคคลแจ้งต่อเจ้าของข้อมูลส่วนบุคคลทราบก่อนหรือในขณะที่จะดำเนินการถึงรายละเอียด ดังต่อไปนี้  ชื่อ สถานที่และสถานภาพของผู้ควบคุมข้อมูลส่วนบุคคล  วัตถุประสงค์การเก็บรวบรวม ประเภทของข้อมูล ระยะเวลาในการเก็บรักษา รายละเอียดอื่นๆตามที่คณะกรรมการกำหนด

o มาตรา 29 ห้ามมิให้ผู้ควบคุมข้อมูลส่วนบุคคลเปิดเผยข้อมูลส่วนบุคคลไปนอกราชอาณาจักรโดยไม่ได้รับความยินยอมเป็นหนังสือจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่ได้รับการยกเว้น  หรือเพื่อดำเนินคดีนอกราชอาณาจักร หรือ เป็นการปฎิบัติตามสัญญากับเจ้าของข้อมูล  หรือเพื่อป้องกันการฟอกเงินการก่อการร้าย หรืออื่นใดตามที่คณะกรรมการกำหนด

o มาตรา 30 ห้ามมืให้ผู้ควบคุมข้อมูลส่วนบุคคลเปิดเผยข้อมูลส่วนบุคคลไปยังประเทศที่มิได้มีบทบัญญัติในการให้ความคุ้มครองข้อมูลส่วนบุคคลหรือมีแต่มีสาระสำคัญต่ำกว่าบทบัญญัตินี้โดยไม่ได้รับความยินยอมเป็นหนังสือจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่มีความจำเป็นตามที่คณะกรรมการกำหนด

o มาตรา 31 ผู้ควบคุมข้อมูลส่วนบุคคลจะเก็บรักษาข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลไว้ได้เท่าที่ระยะเวลาที่กำหนด หรือเท่าที่จำเป็นตามวัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคล

o มาตรา 34 “ผู้ควบคุมข้อมูลส่วนบุคคลเชิงธุรกิจหรือการพาณิชย์” หมายความว่า ผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยมีวัตถุประสงค์ในการประกอบกิจการเชิงธุรกิจหรือการพาณิชย์

o มาตรา 36 ผู้ควบคุมข้อมูลส่วนบุคคลเชิงธุรกิจหรือการพาณิชย์ต้องจัดให้มีข้อปฎิบัติเกี่ยวกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลที่มีมาตรฐานไม่ต่ำกว่าข้อปฎิบัติตามประมวลจริยธรรมที่ประกาศนี้กำหนดไว้

o มาตรา 37 ผู้ควบคุมข้อมูลส่วนบุคคลเชิงธุรกิจหรือการพาณิชย์ต้องปฎิบัติ ดังต่อไปนี้  จัดให้มีมาตรการคุ้มครองข้อมูลส่วนบุคคล  จัดให้มีระบบบริหารจัดการความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลตามที่คณะกรรมการประกาศ   ฝึกอบรมลูกจ้างหรือผู้รับจ้างให้ปฎิบัติตามพระราชบัญญัตินี้   และรายงานการดำเนินงานตามหลักเกณฑ์ วิธีการ และแบบที่คณะกรรมการกำหนด

o มาตรา 39 ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลเชิงธุรกิจหรือการพาณิชย์ว่าจ้างผู้ใดให้เก็บรวบรวมข้อมูลแทนตน ต้องกำหนดมาตรการคุ้มครองข้อมูลส่วนบุคคลในสัญญาว่าจ้างไม่น้อยกว่าหลักเหณฑ์ที่บัญญัติไว้ใน พรบ. นี้

o มาตรา 41 เจ้าของข้อมูลส่วนบุคคลมีสิทธิ ดังต่อไปนี้  ขอตรวจดูข้อมูลส่วนบุคคลที่เกี่ยวกับตน  ขอให้แจ้งถึงการมีอยู่ การใช้หรือการเปิดเผยข้อมูลที่เกี่ยวกับตน  ขอให้ดำเนินการแก้ไข ปรับปรุงข้อมูลให้เป็นปัจจุบัน  ขอให้ระงับการใช้หรือการเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับตน  ขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลที่เกี่ยวกับตน

o มาตรา 45 ให้คณะกรรมการแต่งตั้งคณะกรรมการตรวจสอบข้อมูลส่วบุคคลขึ้นโดยมีอำนาจ พิจารณาเรื่องร้องเรียน ตรวจสอบการกรำใดๆของผู้ควบคุมข้อมูล ไกล่เกลียข้อพิพาท รายงานผลการปฎิบัติงาน ปฎิบัติการอื่นใดตามที่ พรบ นี้กำหนด

o มาตรา 50 ให้มีเครื่องหมายรับรองมาตรฐานการคุ้มครองข้อมูลส่วนบุคคล

o มาตรา 52 ในกรณีที่ผู้กระทำความผิดซึ่งต้องรับโทษตามพระราชบัญญตินี้เป็นนิติบุคคล ให้กรรมการผู้จัดการ ผู้จัดการ หรือบุคคลใดซึ่งรับผิดชอบในการดำเนินงานของนิติบุคคลนั้นต้องระวางโทษตามที่บัญญัตไว้สำหรับความผิดนั้นๆ ด้วย เว้นแต่จะพิสูจน์ได้ว่าตนมิได้รู้เห็นหรือยินยอมในการกระทำความผิดของนิติบุคคลนั้น

o มาตรา 58 ผู้ใดกระทำการใดๆ เกี่ยวกับข้อมูลส่วนบุคคลเพื่อให้ตนเองหรือผู้อื่นได้รับประโยชน์อันไม่ชอบด้วยกฎหมาย หรือเพื่อให้ผู้อื่นเสียหาย ต้องระวางโทษจำคุกไม่เกินสามปีหรือปรับไม่เกินหกหมื่นบาท หรือทั้งจำทั้งปรับ  ถ้าการกระทำนั้นเป็นการเผยแพร่ข้อมูลส่วนบุคคลทางสิ่งพิมพ์ วิทยุกระจายเสียง วิทยุโทรทัศน์ หรือสื่อิเล็กทรอนิกส์อื่น  ผู้กระทำต้องระวางโทษจำคุกไม่เกินห้าปีหรือปรับไม่เกินหนึ่งแสนบาม หรือทั้งจับทั้งปรับ

อย่างไรก็ตาม ข้อมูลที่ผมกล่าวไว้ข้างต้นยังอยู่ในระหว่างการเป็น “(ร่าง) คุ้มครองข้อมูลส่วนบุคคล พ.ศ….” เท่านั้น ดังนั้น เมื่อมีการประกาศเป็นกฏหมายฉบับใช้งานจริงออกมา อาจจะมีการปรับปรุงหรือเปลี่ยนแปลงข้อมูลก็ได้นะครับ

Content Cr : DestinationOne Counselor