มาตรฐาน ISO 27001 และกฎหมายคุ้มครองข้อมูลส่วนบุคคล

Cap & Corp Forum แม้ว่าพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลพ.ศ. 2562 จะอยู่ในช่วงชะลอการบังคับใช้ไปอีกหนึ่งปีก็ตาม แต่พระราชบัญญัตินี้ก็ถือว่าสร้างความกังวลให้แก่ผู้ประกอบการที่อยู่ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล (Data controller) และผู้ประมวลผลข้อมูลส่วนบุคคล (Data processor) ไม่น้อย เนื่องจากพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ได้บัญญัติหน้าที่ วิธีบริหารและขั้นตอนในการดำเนินการเก็บ รวบรวม ใช้ ประมวลผล รวมถึงการที่ต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลที่เหมาะสม โดยมีบทกำหนดโทษไว้ในกรณีที่ผู้ประกอบการไม่ปฏิบัติตามทั้งในทางแพ่งที่กำหนดให้มีค่าสินไหมเพื่อการลงโทษ (มาตรา 78) และในทางปกครองโดยกำหนดโทษปรับทางปกครองไว้ค่อนข้างสูงเพื่อปฏิบัติตามกฎหมาย ผู้ประกอบการบางส่วนให้ความสนใจไปที่การจัดทำมาตรฐานความปลอดภัยให้แก่ข้อมูลหรือ ISO 27001 (Information Security Standard) จึงมีคำถามที่ตามมาว่าหากผู้ประกอบการจัดทำมาตรฐานความปลอดภัยตามมาตรฐานของ ISO 27001 แล้วมาตรการดังกล่าวจะเพียงพอหรือไม่ในการปฏิบัติตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ISO 27001 ถือเป็นแนวทางการวางมาตรการความปลอดภัยแก่ข้อมูลที่มีมาตรฐานเป็นที่ยอมรับในระดับสากล มีมาตรฐานครอบคลุมสามปัจจัยหลักในการจัดเก็บดูแลรักษาข้อมูล กล่าวคือ 1) บุคลากร 2) ขั้นตอนวิธีการ และ 3) เทคโนโลยีที่นำเข้ามาช่วยในการจัดเก็บข้อมูล โดยนอกจากเป็นการกำหนดมาตรการแล้ว การจัดทำ ISO 27001 ยังเป็นการสร้างวัฒนธรรมองค์กรในเรื่องของมาตรการความปลอดภัยของข้อมูล (Awareness of security […]

ความไม่พร้อมในการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคล (3)

ส่วนสำคัญที่สุดที่ทำให้พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ไม่สามารถใช้บังคับได้ คือ การขาดอนุบัญญัติต่าง ๆ ที่ต้องออกมาตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ

ความไม่พร้อมในการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคล (2)

ขณะนี้เริ่มมีเสียงเรียกร้องให้มีการเลื่อนการบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลพ.ศ. 2562 ซึ่งควรจะต้องมีผลบังคับใช้ทั้งฉบับได้ในวันที่ 27 พ.ค. นี้ออกไปมากขึ้นเรื่อยๆ

ความไม่พร้อมในการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคล

ความยินยอมถือเป็นหลักการพื้นฐานสำคัญในการเก็บ รวบรวม และประมวลผลข้อมูลส่วนบุคคล หากไม่มีแนวทางปฏิบัติดังกล่าวที่เป็นรูปธรรม ก็เป็นการยากที่บุคคลที่ต้องเกี่ยวข้องกับการใช้ข้อมูลส่วนบุคคลจะสามารถเข้าใจสิทธิและหน้าที่ของตนเองได้อย่างถูกต้อง

องค์กรบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคล

สิทธิในการได้รับการคุ้มครองข้อมูลส่วนบุคคล (right to information privacy) เป็นสิทธิที่มีความสำคัญมากขึ้นเรื่อย ๆ ในยุคเศรษฐกิจดิจิทัล

กฎหมายคุ้มครองข้อมูลส่วนบุคคลของรัฐแคลิฟอร์เนีย

สหรัฐอเมริกาเป็นประเทศที่ยังไม่มีกฎหมายกลางเพื่อการคุ้มครองข้อมูลส่วนบุคคลในระดับสหพันธรัฐคงมีแต่กฎหมายคุ้มครองข้อมูลส่วนบุคคลที่ใช้บังคับในกิจการรายสาขา