มาตราการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล คือมาตรการที่ผู้ควบคุมข้อมูลส่วนบุคคลต้องกำหนด และมีการดำเนินการอย่างเหมาะสม เพื่อสร้างแนวทางป้องกันการประมวลผลข้อมูลส่วนบุคคลจากบุคคลที่ไม่ได้รับอนุญาต ตามมาตรา 37 (1) ของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ได้กำหนดไว้ว่า ผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง หรือเปิดเผยข้อมูลโดยปราศจากอำนาจ และต้องมีการทบทวนมาตรการดังกล่าวเมื่อมีความจำเป็น หรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม
บริษัท เซ็ปเป้ จำกัด (มหาชน) และบริษัทในกลุ่ม (ต่อไปนี้จะเรียกรวมกันว่า “บริษัท”) เคารพสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคล และเพื่อให้เป็นไปตามประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่องมาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565 (ต่อไปนี้จะเรียกว่า “กฎหมาย”) กำหนดหน้าที่ให้ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องดำเนินการจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของ ผู้ควบคุมข้อมูลส่วนบุคคล
เพื่อคุ้มครองสิทธิในความเป็นส่วนตัวของเจ้าของข้อมูลส่วนบุคคล และอำนาจในการควบคุมข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล ซึ่งกฎหมายรับรองไว้ให้ ด้วยเหตุนี้การรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลเป็นหน้าที่ประการหนึ่งตามกฎหมายที่กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคล รวมถึง ผู้ประมวลผลข้อมูลส่วนบุคคล จะต้องปฏิบัติเพื่อป้องกันมิให้เกิดสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจ หรือโดยมิชอบซึ่งจะทำให้เกิดการละเมิดข้อมูลส่วนบุคคล
การรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล
บริษัทจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคลโดยครอบคลุมการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลตามกฎหมาย ทั้งมาตรการป้องกันด้านการบริหารจัดการ มาตรการป้องกันด้านเทคนิค และมาตรการป้องกัน ทางกายภาพ โดยดำเนินการดังนี้
1. มาตรการป้องกันด้านการบริหารจัดการ
a. บริษัทมีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลตามนโยบายนี้ ให้แก่คณะกรรมการ กรรมการ ผู้บริหาร พนักงานทุกระดับ ลูกจ้างทุกประเภทของบริษัท ตลอดจนคู่ค่า พันธมิตรทางธุรกิจ และหรือผู้มีส่วนได้เสียของบริษัทราบ รวมถึงสร้างเสริมความตระหนักรู้ด้านความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลให้กับบุคคลดังกล่าวปฏิบัติตามมาตรการที่กำหนดอย่างเคร่งครัด
b. บริษัทมีมาตรฐานการป้องกันความเสี่ยงที่อาจเกิดขึ้น การตรวจสอบ และเฝ้าระวังภัยคุกคาม และเหตุการณ์ละเมิดข้อมูลส่วนบุคคล โดยเป็นไปตามนโยบายรักษาความปลอดภัยทางสารสรนเทศ มีการกำหนดหน้าที่รับผิดชอบให้แก่ตัวแทนบริษัทในการดำเนินการเมื่อเกิดเหตุละเมิด และการรักษา และฟื้นฟูความเสียหายที่เกิดจากภัยคุกคาม และเหตุการณ์ละเมิดข้อมูลส่วนบุคคล ดังนี้
i. กำหนดผู้ดูแลประจำข้อมูลส่วนบุคคล และกำหนดวิธีปฏิบัติกรณีมีเหตุละเมิดข้อมูลส่วนบุคคล
ii. กำหนดวิธีปฏิบัติให้ตัวแทนของบริษัท ต้องดำเนินการแจ้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลทราบถึงเหตุละเมิดข้อมูลส่วนบุคคลได้ภายใน 72 ชั่วโมง นับตั้งแต่ทราบเหตุ
iii. การแจ้งเหตุละเมิดอาจได้รับยกเว้น หากไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิ และเสรีภาพของบุคคล ทั้งนี้เมื่อมีเหตุการณ์ละเมิดข้อมูลส่วนบุคคล บริษัทจะทบทวนมาตรการรักษาความมั่นคงปลอดภัยทุกครั้ง
c. บริษัทมีการกำหนดผู้ดูแลข้อมูล การอนุญาต หรือการกำหนดสิทธิการเข้าถึงข้อมูลส่วนบุคคลของผู้ใช้งาน แบ่งเป็นรูปแบบต่างๆ เช่น สิทธิในการเข้าดู แก้ไขเพิ่มเติม เปิดเผย และเผนแพร่การตรวจสอบคุณภาพข้อมูล ตลอดจนการลบทำลาย
d. บริษัทจัดให้มีการจำกัดการเข้าถึงข้อมูลส่วนบุคคลของผู้ใช้งาน เฉพาะผู้ที่ได้รับอนุญาตเท่านั้น
e. บริษัทจัดให้มีวิธีการเพื่อตรวจสอบย้อนหลังเกี่ยวกับการเข้าถึง เปลี่ยนแปลง ลบ สำเนา ถ่ายโอน ข้อมูลส่วนบุคคลให้สอดคล้องเหมาะสม
f. ในการณีที่มีการฝ่าฝืนไม่ปฏิบัติตามมาตรการรักษาความมั่นคงปลอดภัยนี้ เนื่องจากความบกพร่องของบริษัท และทำให้เกิดการละเมิด หรือการรั่วไหลของข้อมูลส่วนบุคคล บริษัทจะแจ้งให้เจ้าของข้อมูลทราบถึงรายละเอียดของเหตุการณ์ และแผนเยียวยาความเสียหาย จากการละเมิด หรือรั่วไหลดังกล่าวโดยเร็ว อย่างไรก็ตามบริษัทจะไม่รับผิดชอบในความเสียายใดๆ อันเกิดจากการใช้ เปิดเผย รวมถึงความประมาทเลินเล่อของเจ้าของข้อมูล หรือบุคคลอื่นที่ได้รับความยินยอมจากเจ้าของข้อมูล
g. การลบทำลายข้อมูลส่วนบุคคล เมื่อข้อมูลส่วนบุคคลพ้นระยะเวลาการใช้งาน หรือไม่มีความจำเป็นในการเก็บรักษา บริษัทจะลบทำลายออกจากระบบ หรือทำให้เป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ เว้นแต่ ในกรณีที่ต้องเก็บรักษาข้อมูลส่วนบุคคลไว้ตามที่กฎหมายกำหนด หรือตามข้อยกเว้นตามฐานของกฎหมาย
h. บริษัทมีการดำเนินการสอบทาน และประเมินประสิทธิภาพของระบบรักษาข้อมูลส่วนบุคคลโดยหน่วยงานที่เกี่ยวข้อง
2. มาตรการป้องกันด้านเทคนิค
a. บริษัทมีการบริหารจัดการสิทธิผู้ใชงานที่เหมาะสม ซึ่งรวมถึงการให้สิทธิ หรือลงทะเบียน การถอนสิทธิ การทบทวนสิทธิ และปรับปรุงสิทธิ
b. บริษัทมีระบบสำรอง และกู้คืนข้อมูล เพื่อให้ระบบ และหรือ บริการต่างๆ ยังสามารถดำเนินการได้อย่างต่อเนื่อง ทั้งนี้ เป็นไปตามหลักเกณฑ์ และวิธีปฏิบัติทางสารสนเทศของบริษัท
3. มาตรการป้องกันทางกายภาพ
a. บริษัทมีการควบคุมการเข้าถึงข้อมูลส่วนบุคคล อุปกรณ์ในการจัดเก็บ และประมวลผลข้อมูลส่วนบุคคลโดยคำนึงถึงความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล
b. บริษัทมีการกำหนดผู้ได้รับอนุญาตเข้าถึงอุปกรณ์จัดเก็ยบ หรือประมวลผลข้อมูลส่วนบุคคล ตามหน้าที่ความรับผิดชอบ เพื่อป้องกันการเข้าถึงข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต การเปิดเผย การล่วงรู้ การลักลอบสำเนาข้อมูลส่วนบุคคล การลักขโมยอุปกรณ์จัดเก็บ หรือประมวลผลข้อมูลส่วนบุคคล และการดำเนินการป้องกันระมัดระวังไม่ให้ข้อมูลรั่วไหล หรือถูกละเมิด
4. กรณีต้องมีการส่งมอบ หรือโอนข้อมูลส่วนบุคคลแก่บุคคล หรือนิติบุคคลอื่น บริษัทจะกำหนดให้ผู้รับข้อมูลส่วนบุคคล จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เทียบเท่า หรือดีกว่ามาตรการของบริษัท เพื่อป้องกันการสูญหาย การเข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยมิชอบ หรือกระทโดยปราศจากอำนาจโดยชอบด้วยกฎหมาย รวมทั้งต้องแจ้งให้บริษัททราบหากเกิดเหตุละเมิดข้อมูลส่วนบุคคล ทั้งนี้ ความเข้มข้นของมาตรการ ให้เป็นไปตามระดับความเสี่ยง หรือความเสียหายที่อาจเกิดขึ้นหากข้อมูลส่วนบุคคลรั่วไหล ถูกแก้ไจ ถูกคัดลอก หรือ ถูกทำลาย โดยมิชอบ
5. กรณีที่มีการฝ่าฝืนมาตรการรักษาความมั่นคงปลอดภัยของบริษัท จนเป็นเหตุให้มีการละเมิดข้อมูลส่วนบุคคล หรือข้อมูลส่วนบุคคลรั่วไหลสู่สาธารณะ บริษัทจะดำเนินการแจ้งเจ้าของข้อมูลให้ทราบโดยเร็ว พร้อมแจ้งแนวทางการเยียวยา
การทบทวนมาตรการ
บริษัทจัดให้มีการทบทวนมาตรการรักษาความมั่นคงปลอดภัย ของผู้ควบคุมข้อมูลส่วนบุคคลเป็นประจำทุกปี เมื่อมีความจำเป้น และหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไป
ข้อสงวนสิทธิ์
บริษัทจะไม่รับผิดชอบต่อกรณีที่ความเสียหายใดๆ อันเกิดจากการใช้ หรือการเปิดเผยข้อมูลส่วนบุคคลของบุคคลที่สาม รวมถึงการละเลย หรือเพิกเฉย การออกจากระบบฐานข้อมูล หรือระบบต่างๆ โดยการกระทำของเจ้าข้องข้อมูล หรือบุคคลอื่นซึ่งได้รับความยินยอมจากเจ้าของข้อมูล
รายละเอียดการติดต่อ
สอบถามรายละเอียดเพิ่มเติมเกี่ยวกับนโยบายคุ้มครองข้อมูลส่วนบุคคลนี้ สามารถติดต่อบริษัทได้ที่
1) คณะทำงานคุ้มครองข้อมูลส่วนบุคคล
โทรศัพท์ 02-319-4949
อีเมล์ pdpa@sappe.com
ประกาศ ณ วันที่ 21 พฤษภาคม 2565