การทดสอบเจาะระบบและการปฏิบัติตาม PDPA | มาตรา 37
พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) มาตรา 37 กำหนดให้ผู้ควบคุมข้อมูลต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยทางเทคนิคที่เหมาะสมเพื่อปกป้องข้อมูลส่วนบุคคล รับการประเมินจากผู้เชี่ยวชาญเพื่อหลีกเลี่ยงบทลงโทษที่รุนแรง
PDPA คืออะไร?
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือที่รู้จักกันในชื่อ PDPA เป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลฉบับสมบูรณ์ของประเทศไทย ประกาศใช้ในปี 2562 และบังคับใช้เต็มรูปแบบตั้งแต่วันที่ 1 มิถุนายน 2565 ครอบคลุมการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลขององค์กรที่ดำเนินงานในประเทศไทย
- ประกาศใช้ปี 2562 บังคับใช้เต็มรูปแบบตั้งแต่ 1 มิถุนายน 2565
- ครอบคลุมการเก็บรวบรวม ใช้ เปิดเผย และโอนข้อมูลส่วนบุคคล
- ใช้บังคับกับทุกองค์กรที่จัดการข้อมูลส่วนบุคคลของบุคคลในประเทศไทย
- บังคับใช้โดยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (คปส.)
- อ้างอิงจาก GDPR พร้อมบทบัญญัติเฉพาะสำหรับประเทศไทย
อ้างอิง: พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ประกาศในราชกิจจานุเบกษา
ใครต้องปฏิบัติตาม PDPA?
หากองค์กรของคุณเก็บรวบรวม ใช้ หรือจัดเก็บข้อมูลส่วนบุคคลของบุคคลในประเทศไทย PDPA บังคับใช้กับคุณ
สถาบันการเงิน
ธนาคาร บริษัทประกัน และผู้ให้บริการชำระเงินที่จัดการข้อมูลทางการเงินของลูกค้า
ผู้ให้บริการด้านสุขภาพ
โรงพยาบาล คลินิก และบริษัทเทคโนโลยีสุขภาพที่ประมวลผลข้อมูลผู้ป่วย
อีคอมเมิร์ซและค้าปลีก
แพลตฟอร์มออนไลน์และร้านค้าปลีกที่เก็บข้อมูลลูกค้า
บริษัทเทคโนโลยี
ผู้ให้บริการ SaaS นักพัฒนาแอป และบริษัทให้บริการ IT
ทุกบริษัทที่มีข้อมูลลูกค้า
ทุกธุรกิจที่เก็บชื่อ อีเมล เบอร์โทร หรือเลขบัตรประชาชน
หน่วยงานภาครัฐ
องค์กรภาครัฐที่ประมวลผลข้อมูลประชาชน
ข้อกำหนดหลักของ PDPA ที่ต้องปฏิบัติตาม
PDPA กำหนดหน้าที่เฉพาะของผู้ควบคุมข้อมูลในการรักษาความมั่นคงปลอดภัยและคุ้มครองข้อมูลส่วนบุคคล
มาตรการป้องกันทางเทคนิค
จัดให้มีการเข้ารหัสข้อมูลทั้งขณะจัดเก็บและส่งต่อ บังคับใช้การควบคุมสิทธิ์การเข้าถึง และใช้การยืนยันตัวตนหลายปัจจัย (MFA)
การประเมินความปลอดภัยอย่างสม่ำเสมอ
ดำเนินการทดสอบเจาะระบบและประเมินช่องโหว่เพื่อระบุและแก้ไขจุดอ่อนด้านความปลอดภัยในระบบที่ประมวลผลข้อมูลส่วนบุคคล
แจ้งเหตุละเมิดภายใน 72 ชั่วโมง
ตามมาตรา 37(4) ต้องแจ้ง คปส. ภายใน 72 ชั่วโมงหลังทราบเหตุละเมิดข้อมูลส่วนบุคคล และแจ้งเจ้าของข้อมูลหากมีความเสี่ยงสูง
การประเมินผลกระทบด้านการคุ้มครองข้อมูล
ประเมินผลกระทบของกิจกรรมการประมวลผลข้อมูลต่อสิทธิและเสรีภาพของเจ้าของข้อมูล โดยเฉพาะการประมวลผลที่มีความเสี่ยงสูง
บันทึกกิจกรรมการประมวลผล
จัดทำบันทึกรายละเอียดของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลทั้งหมด รวมถึงวัตถุประสงค์ ประเภทข้อมูล ผู้รับ และระยะเวลาเก็บรักษา
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)
การแต่งตั้ง DPO เป็นข้อบังคับสำหรับหน่วยงานรัฐ องค์กรที่ประมวลผลข้อมูลส่วนบุคคลจำนวนมาก หรือองค์กรที่มีการประมวลผลข้อมูลส่วนบุคคลที่อ่อนไหวเป็นกิจกรรมหลัก
บทลงโทษกรณีไม่ปฏิบัติตาม PDPA
การบังคับใช้ PDPA มีบทลงโทษที่รุนแรงทั้งทางอาญา ทางปกครอง และทางแพ่ง
ปรับสูงสุด 1,000,000 บาท หรือจำคุกสูงสุด 1 ปี หรือทั้งจำทั้งปรับ สำหรับผู้ที่ใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยมิชอบจนเกิดความเสียหายแก่เจ้าของข้อมูล
โทษปรับทางปกครองสูงสุด 5,000,000 บาทต่อการฝ่าฝืน โดยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (คปส.) การฝ่าฝืนหลายครั้งจะรวมกัน
ศาลอาจสั่งให้ชดใช้ค่าเสียหายเชิงลงโทษสูงสุดสองเท่าของความเสียหายจริงที่เจ้าของข้อมูลได้รับ ไม่มีเพดานจำกัดความรับผิดทางแพ่ง
การทดสอบเจาะระบบช่วย PDPA ได้อย่างไร
การทดสอบเจาะระบบแมปตรงกับข้อกำหนด PDPA โดยตรวจสอบมาตรการรักษาความปลอดภัยที่ปกป้องข้อมูลส่วนบุคคล
รายการตรวจสอบการปฏิบัติตาม PDPA
มาตรการรักษาความปลอดภัยหลักเพื่อแสดงการปฏิบัติตาม PDPA มาตรา 37
เอกสารอ้างอิงอย่างเป็นทางการ
ศึกษาเอกสารกฎระเบียบต้นฉบับสำหรับข้อกำหนดฉบับเต็ม
บริการรักษาความปลอดภัยที่เกี่ยวข้อง
การทดสอบแบบครบวงจรเพื่อครอบคลุมทุกด้านของการคุ้มครองข้อมูลตาม PDPA
คำถามที่พบบ่อยเกี่ยวกับ PDPA
คำถามทั่วไปเกี่ยวกับการทดสอบเจาะระบบและข้อกำหนดการปฏิบัติตาม PDPA
ปฏิบัติตาม PDPA ได้วันนี้
ปกป้องข้อมูลส่วนบุคคลและปฏิบัติตามข้อกำหนดมาตรา 37 ด้วยการประเมินความปลอดภัยที่เน้น PDPA โดยเฉพาะ รับรายงานพร้อมยื่น คปส.
Reconix เป็นบริษัทชั้นนำด้านความปลอดภัยไซเบอร์ในประเทศไทย ที่ให้บริการระดับโลกแก่ธุรกิจทุกขนาด