พระราชบัญญัติข้อมูลส่วนบุคคล
เป็นกฎหมายให้สิทธิและคุ้มครองเจ้าของข้อมูลส่วนบุคคล ซึ่งข้อมูลส่วนบุคคลได้แก่ ข้อมูลที่สามารถระบุตัวบุคคลได้ไม่ว่าจะทางตรงหรือทางอ้อม
กฎหมายฉบับนี้ได้กำหนดหน้าที่ของบริษัทฯ ซึ่งอาจมีฐานะเป็น ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) หรือ ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) จะต้องรักษาความปลอดภัยและความมั่นคงของข้อมูลเก็บเป็นความลับ โดยไม่ให้มีการเปลี่ยนแปลงหรือเข้าถึงโดยผู้ที่ไม่เกี่ยวข้องกับข้อมูล
ซึ่งเรามีตัวอย่าง มาตรการรักษาความปลอดภัยของข้อมูล มาให้ทุกท่านรับทราบ ดังนี้
มาตราการป้องกันการสูญหายของข้อมูลส่วนบุคคล เช่น การสำรองข้อมูล และการทดสอบข้อมูลที่สำรองไว้ หรือการป้องกันไวรัส มัลแวร์ต่าง ๆ
มาตรการป้องกันการเข้าถึงข้อมูลส่วนบุคคล การแยกลำดับ และจัดระบบชั้นของข้อมูลที่มีความสำคัญ รวมถึงข้อมูลที่มีความอ่อนไหว SENSITIVE
มาตราการกำหนดแนวทางการจัดการสิทธิในการเข้าถึงข้อมูลส่วนบุคคล กำหนดสิทธิ ยกเลิก ทบทวน ตรวจสอบ ติดตาม และจัดให้มีระบบตรวจสอบการเข้าถึงข้อมูล และการละเมิดข้อมูลส่วนบุคคล
มาตรการป้องกันการใช้ หรือแก้ไขข้อมูลโดยมิชอบ เช่น กำหนดสิทธิในการเรียกใช้ข้อมูล รวมถึงแจ้งวัตถุประสงค์ในการขอใช้ข้อมูล กําหนดสิทธิข้อจำกัดในการแก้ไขข้อมูลส่วนบุคคลโดยไม่รับอนุญาต
มาตรการรักษาความปลอดภัยของข้อมูล เช่น การตั้งค่ารหัสข้อมูล DATA ENCRYPTION หรือมาตรการพิสูจน์ตัวตนหลายขั้น มีการจัดทำ AUDIT LOG เพื่อเก็บบันทึกการแก้ไขเปลี่ยนแปลงข้อมูลส่วนบุคคล และแจ้งผลกระทบแก่ผู้เกี่ยวข้อง
มาตรการในการเก็บรักษาข้อมูล ทำลายข้อมูล มีการกำหนดระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคลตามที่จำเป็น มีการตั้งค่าระยะเวลาในการจัดเก็บข้อมูลอัตโนมัติ เพื่อ ลบ ทำลายข้อมูล เมื่อพ้นกำหนดระยะเวลาในการเก็บรักษา หรือเมื่อเกินความจำเป็น หรือเมื่อมีการร้องขอจากเจ้าของข้อมูล ทั้งในรูปแบบของระบบ และในรูปแบบของเอกสาร
มาตรการป้องกันการเปิดเผยข้อมูลส่วนบุคคลโดยมิชอบกำหนดแนวทางในการแลกเปลี่ยนข้อมูลทั้งภายในและภายนอกองค์กร กำหนดแนวทางในการคุ้มครองส่วนบุคคลที่มีการถ่ายโอน หรือประมวลผลโดยบุคคลภายนอกจะทำหนังสือสัญญารักษาความลับ เพื่อป้องกันการละเมิดข้อมูลส่วนบุคคลมีการตรวจสอบการปฏิบัติงานของบุคคลภายนอกเป็นระยะ กรณีที่บริษัทมีการจ้างให้บุคคลภายนอกเป็นผู้ประมวลผลข้อมูล
