มาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล

1. หลักการและเหตุผล

มาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล คือมาตรการที่ผู้ควบคุมข้อมูลส่วนบุคคลต้องกำหนดและมีการดำเนินการอย่างเหมาะสม เพื่อสร้างแนวทำงป้องกันการประมวลผลข้อมูลส่วนบุคคลจากบุคคลที่ไม่ได้รับอนุญาต ตามมาตรา 37 (1) ของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ได้กำหนดไว้ว่า ผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง หรือเปิดเผยข้อมูลโดยปราศจากอำนาจ และต้องมีการทบทวนมาตรการดังกล่าวเมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม โดยการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล (Personal Data Security) หมายถึง การธำรงไว้ซึ่งความลับ (Confidentiality) ความถูกต้องครบถ้วน (Integrity) และสภาพพร้อมใช้งาน (Availability) ของข้อมูลส่วนบุคคล เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต
การรักษาความปลอดภัยมีวัตถุประสงค์เพื่อคุ้มครองสิทธิในความเป็นส่วนตัวของเจ้าของข้อมูลส่วนบุคคล และอำนาจในการควบคุมข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลซึ่งกฎหมายรับรองไว้ให้ ด้วยเหตุนี้ การรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลเป็นหน้าที่ประการหนึ่งตาม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลที่กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคล (รวมถึงผู้ประมวลผลข้อมูลส่วนบุคคล) จะต้องปฏิบัติเพื่อป้องกันมิให้เกิดการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยไม่ถูกต้องตามกฎหมาย ซึ่งจะทำให้เกิดภัยคุกคามต่อความปลอดภัยของข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลเรียกว่า “การละเมิดข้อมูลส่วนบุคคล”

2. การรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล

บริษัท ดิวายน์ ดิเวลลอปเมนท์ โฮลดิ้งส์ จำกัด “บริษัทฯ” มีฐานะเป็นผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล (บางกรณี) ได้ดำเนินการตามมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล โดยมีการดำเนินการให้มีการรักษาความลับ (Confidentiality) ของข้อมูลส่วนบุคคล ทำให้ข้อมูลส่วนบุคคลมีความถูกต้องครบถ้วน (Integrity) และทำให้ข้อมูลส่วนบุคคลมีความพร้อมในการใช้งาน (Availability) เพื่อป้องกันข้อมูลส่วนบุคคลสูญหายและถูกเข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยจากบุคคลโดยไม่ได้รับอนุญาต รวมถึงต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลเรื่องการเข้าถึงหรือควบคุมการใช้งานข้อมูลส่วนบุคคล (Access control) ครอบคลุมถึงมาตรการ 4 ประการ ดังต่อไปนี้

2.1. มาตรการป้องกันด้านการบริหารจัดการ (Administrative Safeguard)
- 2.1.1. บริษัทฯ มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลตามนโยบายนี้ ให้แก่คณะกรรมการ กรรมการ ผู้บริหาร พนักงาน ผู้ปฏิบัติงานทุกระดับ ลูกจ้างทุกประเภทของบริษัทฯ ตลอดจนคู่ค้า พันธมิตรทำงธุรกิจและหรือผู้มีส่วนได้เสียของบริษัทฯ ทราบ รวมถึงสร้างเสริมความตระหนักรู้ด้านความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลให้กับกลุ่มบุคคลดังกล่าวปฏิบัติตามมาตรการที่กำหนดอย่างเคร่งครัด
- 2.1.2. บริษัทฯ มีมาตรฐานการป้องกันความเสี่ยงที่อาจเกิดขึ้น การตรวจสอบและเฝ้าระวังภัยคุกคามและเหตุการณ์ละเมิดข้อมูลส่วนบุคคล โดยเป็นไปตามนโยบายการรักษาความปลอดภัยทำงสารสนเทศ มีการกำหนดหน้าที่รับผิดชอบให้แก่ตัวแทนบริษัทฯ ในการกำเนินการเมื่อเกิดเหตุละเมิดและการรักษาและฟื้นฟูความเสียหายที่เกิดจากภัยคุกคามและเหตุการณ์ละเมิดข้อมูลส่วนบุคคล ดังนี้
  - 2.1.2.1. กำหนดผู้ดูแลประจำข้อมูลส่วนบุคคล และกำหนดวิธีปฏิบัติกรณีมีเหตุละเมิดข้อมูลส่วนบุคคล
  - 2.1.2.2. กำหนดวิธีปฏิบัติให้ตัวแทนของบริษัทต้องดำเนินการแจ้งสานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลทราบถึงเหตุละเมิดข้อมูลส่วนบุคคลได้ภายใน 72 ชั่วโมง นับตั้งแต่ทราบเหตุ
  - 2.1.2.3. การแจ้งเหตุละเมิดตามข้อ 2.1.2.2. อาจได้รับยกเว้นไม่ต้อง หากไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ทั้งนี้ เมื่อมีเหตุการณ์ละเมิดข้อมูลส่วนบุคคล บริษัทฯ จะทบทวนมาตรการรักษาความมั่นคงปลอดภัยทุกครั้ง
- 2.1.3. บริษัทฯ มีการกำหนดผู้ดูแลข้อมูล การอนุญาตหรือการกำหนดสิทธิการเข้าถึงข้อมูลส่วนบุคคลของผู้ใช้งาน(User Responsivities) แบ่งเป็นรูปแบบต่างๆ เช่น สิทธิในการเข้าดู แก้ไขเพิ่มเติม เปิดเผยและเผยแพร่การตรวจสอบคุณภาพข้อมูล ตลอดจนการลบทำลาย
- 2.1.4. บริษัทฯ จัดให้มีการจำกัดการเข้าถึงข้อมูลส่วนบุคคล ของผู้ใช้งาน (User Access Management) เฉพาะผู้ที่ได้รับอนุญาตเท่านั้น
- 2.1.5. บริษัทฯ จัดให้มีวิธีการเพื่อตรวจสอบย้อนหลังเกี่ยวกับการเข้าถึง เปลี่ยนแปลง ลบ สำเนา ถ่ายโอนข้อมูลส่วนบุคคลให้สอดคล้องเหมาะสม
- 2.1.6. ในกรณีที่มีการฝ่าฝืนไม่ปฏิบัติตามมาตรการรักษาความมั่นคงปลอดภัยนี้ เนื่องจากความบกพร่องของบริษัทและทำให้เกิดการละเมิดหรือการรั่วไหลของข้อมูลส่วนบุคคล บริษัทฯ จะแจ้งให้เจ้าของข้อมูลทราบถึงรายละเอียดของเหตุการณ์และแผนเยียวยาความเสียหายจากการละเมิดหรือรั่วไหลดังกล่าวโดยเร็ว
- 2.1.7. การลบทำลายข้อมูลส่วนบุคคล เมื่อข้อมูลส่วนบุคคลพ้นระยะเวลาการใช้งานหรือไม่มีความจำเป็นในการเก็บรักษาบริษัทฯ จะลบทำลายออกจากระบบ หรือทำให้เป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ เว้นแต่ในกรณีที่ต้องเก็บรักษาข้อมูลส่วนบุคคลไว้ตามที่กฎหมายกำหนด
- 2.1.8. บริษัทฯ มีการดำเนินการสอบทำนและประเมินประสิทธิภาพของระบบรักษาข้อมูลส่วนบุคคลโดยหน่วยงานตรวจสอบภายใน
2.2. มาตรการป้องกันทางกายภาพ (Physical Safeguard)
- 2.2.1. บริษัทฯ มีการบริหารจัดการสิทธิผู้ใช้งานที่เหมาะสม ซึ่งรวมถึงการให้สิทธิหรือลงทะเบียน การถอนสิทธิการทบทวนสิทธิ และปรับปรุงสิทธิ
- 2.2.2. บริษัทฯ มีระบบสำรองและกู้คืนข้อมูล เพื่อให้ระบบ และหรือ บริการต่าง ๆ ยังสามารถดำเนินการได้อย่างต่อเนื่อง ทั้งนี้เป็นไปตามหลักเกณฑ์และวิธีปฏิบัติทางสารสนเทศของบริษัทฯ
2.3. มาตรการป้องกันด้านเทคนิค (Technical Safeguard)
- 2.3.1. บริษัทฯ มีการควบคุมการเข้าถึงข้อมูลส่วนบุคคล อุปกรณ์ในการจัดเก็บและประมวลผลข้อมูลส่วนบุคคล โดยคำนึงถึงความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลเป็นที่ตั้ง
- 2.3.2. บริษัทฯ มีการกำหนดผู้ได้รับอนุญาตเข้าถึงอุปกรณ์จัดเก็บหรือประมวลผลข้อมูลส่วนบุคคล ตามหน้าที่ความรับผิดชอบเพื่อป้องกันการเข้าถึงข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต การเปิดเผย การล่วงรู้ การลักลอบสำเนาข้อมูลส่วนบุคคล การลักขโมยอุปกรณ์จัดเก็บหรือประมวลผลข้อมูลส่วนบุคคล และการดำเนินการป้องกันระมัดระวังไม่ให้ข้อมูลรั่วไหล หรือถูกละเมิด
2.4. มาตรการป้องกันการใช้งานระบบการประมวลผลระบบคลาวด์ (Cloud Safeguard)
- 2.4.1. บริษัทฯ มีการพิจารณาข้อมูลของผู้ให้บริการภายนอก ทั้งในส่วนความน่าเชื่อถือ ประสิทธิภาพในสนับสนุน เสถียรภาพของระบบ มาตรฐานความปลอดภัยของระบบ เนื่องจากการประมวลผลระบบคลาวด์ มีการให้บริการที่หลากหลาย เพื่อตอบโจทย์ในการดำเนินธุรกิจเป็นหลัก และเพื่อสร้างความยืดหยุ่นในการดำเนินงานภายใต้แผนกเทคโนโลยีสารสนเทศในปัจจุบัน ดังนั้น ควรมีการพิจารณาความปลอดภัยพื้นฐานในการเลือกใช้บริการ (Cloud service selection) หรือ ทำการตรวจสอบภายใน (internal audit)
- 2.4.2. บริษัทฯ มีการกำหนดผู้เข้าใช้ระบบ สิทธิในการเข้าถึง ว่าใครบ้างที่ควรจะมีสิทธิเข้าถึงข้อมูล เข้าถึงข้อมูลได้ในระดับชั้นไหน รวมถึงสิทธิที่จะได้ (เช่น ดูอย่าง, แก้ไข) การควบคุมการเข้าถึงข้อมูลส่วนบุคคล (Access Control) ต้องมีการกำหนดการเข้าถึง สิทธิ และการจำกัดระยะเวลาในการเข้าถึง โดยเฉพาะการเข้าถึงข้อมูลที่มีปริมาณมาก หรือข้อมูลอ่อนไหว ผ่านระบบต่าง ๆ
- 2.4.3. บริษัทฯ กำหนดประเภทของข้อมูลที่จะถูกเก็บ ระยะเวลา การส่งออก เช่น การกำหนดว่าข้อมูลใดที่ต้องเก็บบนคลาวด์หรือไม่ควรเก็บบนคลาวด์ การบริหารการจัดเก็บข้อมูล (Data retention rule) ผู้ให้บริการจะต้องมีการระบุระยะเวลาในการสำรองข้อมูล การทำลายอย่างชัดเจน เพื่อไม่ให้เกิดการจัดเก็บข้อมูลเกินความจำเป็น และต้องมีการระบุวิธีการบริหารจัดการบันทึกการเข้าใช้งานที่สามารถติดตามได้ (Audit log available) ให้องค์กรสามารถตรวจสอบได้ตลอดเวลา
- 2.4.4. บริษัทฯ กำหนดนโยบายการส่งต่อข้อมูลระบบคลาวด์ ภายในองค์กร และ ภายนอก คือ กรณีมีการส่งต่อข้อมูลให้กับบุคคลภายนอก (Third party) ประมวลผลผ่านทำงระบบคลาวด์ บริษัทฯ จะพิจารณาเพิ่มเติมเกี่ยวกับการควบคุมความปลอดภัยด้านข้อมูล (Security Control) ของบริการคลาวด์ เช่น ด้านการทำ Encryption เป็นต้น
2.5. กรณีต้องให้ข้อมูลส่วนบุคคลแก่บุคคล หรือนิติบุคคลอื่น
บริษัทฯ จะกำหนดให้ผู้รับข้อมูลส่วนบุคคล จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมเทียบเท่าหรือดีกว่ามาตรการตามนโยบายนี้ เพื่อป้องกันการสูญหาย การเข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยมิชอบหรือกระทำโดยปราศจากอำนาจโดยชอบด้วยกฎหมาย รวมทั้ง ต้องแจ้งให้บริษัทฯ ทราบหากเกิดเหตุละเมิดข้อมูลส่วนบุคคล ทั้งนี้ความเข้มข้นของมาตรการ ให้เป็นไปตามระดับความเสี่ยง หรือความเสียหายที่อาจเกิดขึ้นหากข้อมูลส่วนบุคคลรั่วไหล ถูกแก้ไข ถูกคัดลอก หรือถูกทำลาย โดยมิชอบ
2.6. กรณีที่มีการฝ่าฝืนมาตรการรักษาความมั่นคงปลอดภัยของบริษัทฯ
จนเป็นเหตุให้มีการละเมิดข้อมูลส่วนบุคคลหรือข้อมูลส่วนบุคคลรั่วไหลสู่สาธารณะ บริษัทจะดำเนินการแจ้งเจ้าของข้อมูลให้ทราบโดยเร็วรวมพร้อมแจ้งแนวทางการเยียวยา

3. การทบทวนมาตรการ

บริษัทฯ จัดให้มีการทบทวนมาตรการรักษาความมั่นคงปลอดภัย ของผู้ควบคุมข้อมูลส่วนบุคคลเป็นประจำทุกปีเมื่อมีความจำเป็น และ/หรือเมื่อเทคโนโลยีเปลี่ยนแปลงไป

4. คำสงวนสิทธิ์

บริษัทฯ จะไม่รับผิดชอบกรณีที่ความเสียหายใดๆ อันเกิดจากการใช้หรือการเปิดเผยข้อมูลส่วนบุคคลของบุคคลที่สาม รวมถึงการละเลยหรือเพิกเฉย การออกจากระบบ (L๐g Out) ฐานข้อมูลหรือระบบสื่อสารสังคมออนไลน์ โดยการกระทำของเจ้าของข้อมูล หรือบุคคลอื่นซึ่งได้รับความยินยอมจากเจ้าของข้อมูล

5. ช่องทำงการติดต่อ

หากท่านมีข้อสงสัย หรือต้องการสอบถามข้อมูลเกี่ยวกับ การเก็บรวบรวม ใช้ และ/หรือ เปิดเผยการใช้สิทธิเกี่ยวกับข้อมูลส่วนบุคคลของท่าน ตามประกาศความเป็นส่วนตัวฉบับนี้ ท่านสามารถติดต่อได้ตามรายละเอียดที่ปรากฏดังต่อไปนี้

เจ้าหน้าที่รับผิดชอบการคุ้มครองข้อมูลส่วนบุคคล Email: dpo@divine.co.th

สถานที่ติดต่อ บริษัท ดิวายน์ ดิเวลลอปเมนท์ โฮลดิ้งส์ จำกัด
548 อาคารวัน ซิตี้ เซ็นเตอร์ (โอซีซี) ชั้นที่ 19 ห้องเลขที่ 1905
ถนนเพลินจิต แขวงลุมพินี เขตปทุมวัน กรุงเทพมหานคร 10330

ประกาศใช้ ณ วันที่ 1 มกราคม พ.ศ. 2566

ค้นหาโครงการ

FIND YOUR DESIGN

call us : 02 780 2979

divine development holdings Co., Ltd.