Page 1112 - NEIC_FINAL REPORT_Appendix
P. 1112
ส่วนท่ี 4 การคุ้มครองข้อมูล (Data Protection) 9. การคุ้มครองข้อมูลทุกประเภท
9.1 เจ้าของข้อมูล ผู้บริหารข้อมูล และผู้ใช้ข้อมูลภายในศูนย์ฯ จะต้องตรวจสอบเป็นระยะว่ามีการป้องกัน ความปลอดภัยที่มีประสิทธิภาพจากเจ้าหน้าที่ในหน่วยงานที่เกี่ยวข้องในการปฏิบัติในการจัดการ ข้อมูล
9.1.1 การป้องกันด้านความปลอดภัยจะต้องปกป้องข้อมูลต่อ การเข้าถึงโดยไม่ได้รับอนุญาต
การเปล่ียนแปลง การใช้งาน การเปิดเผย การถูกกําจัดหรือความเสี่ยงอื่น ๆ ไม่ว่าจะต้ังใจหรือไม่
ก็ตาม
9.1.2 ผู้ใช้งานข้อมูลภายในศูนย์ฯ จะต้องปฏิบัติตามขั้นตอนการรักษาความปลอดภัยเพิ่มเติม
ทั้งหมดที่กําหนดโดยเจ้าของข้อมูลสําหรับชุดข้อมูลน้ัน ๆ
9.1.3 ผู้ใช้ข้อมูลภายในศูนย์ฯ จะต้องประเมินความต้องการและความเกี่ยวข้องของข้อมูลที่ได้รับ
และทําลายข้อมูลเม่ือไม่มีการใช้งานอีกต่อไป
9.1.4 ในกรณีมีเหตุที่มีการจัดการ หรือมีการรั่วไหลของข้อมูลซึ่งอาจเป็นความเสี่ยงต่อศูนย์ฯ หรือ
เห็นว่าขัดต่อกฎหมายที่เกี่ยวข้อง ผู้พบเห็นจะต้องรายงานการเข้าถึงข้อมูลท่ีไม่ได้รับอนุญาต หรือการสูญหายของข้อมูลส่วนบุคคล ต่อคณะกรรมการข้อมูลของศูนย์ฯ โดยทันทีที่พบเหตุ เพ่ือดําเนินการแก้ไขได้อย่างเหมาะสมและทันท่วงที
9.2 มีการติดตามตรวจสอบและประเมินผล การปฏิบัติตามแนวปฏิบัติการดูแลรักษาความมั่นคงปลอดภัย ข้อมูลอย่างสม่ําเสมอ และมีแนวทางการจัดการในกรณีที่เกิดความเสียหายจากภัยพิบัติ ภัยคุกคาม หรือการละเมิดข้อมูล ที่อาจเกิดขึ้นทั้งจากภายในและภายนอก
9.3 มีการจัดตั้ง “เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” (Data Protection Officer: DPO) ของศูนย์ฯ ที่เข้ามารับผิดชอบเพื่อให้การดําเนินการด้านข้อมูลของศูนย์ฯ และมีการรักษาความมั่นคงปลอดภัย และความเป็นส่วนบุคคลของข้อมูลสอดคล้องตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล โดยตามกฎหมายเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลจะต้องรายงานตรงไปยังผู้อํานวยการศูนย์ฯ และ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล มีความอิสระและไม่มีอํานาจตัดสินใจในองค์กรด้านข้อมูล เพียงแต่ให้คําแนะนําเพื่อให้เกิดการปฏิบัติตามกฎหมายเท่านั้น
9.4 เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลมีหน้าท่ีรับผิดชอบโดยรวมดังน้ี
a) สร้างมาตรฐานและกระบวนการปกปิดความเป็นส่วนบุคคลของข้อมูลโดยมุ่งเน้นการลดระดับ
ความอ่อนไหว ความเสี่ยง หรือผลกระทบต่อศูนย์ฯ
b) กําหนดและทบทวนสิทธิของการเข้าถึงข้อมูลส่วนบุคคลครอบคลุมตั้งแต่การรับส่งประมวลผล
จัดเก็บ ใช้งาน เพื่อป้องกันอันตรายท่ีอาจเกิดข้ึนจากการสูญหาย เสียหาย เปล่ียนแปลงแก้ไขที่ผิด วัตถปุระสงค์การใช้ส่งต่อหรือเปิดเผยข้อมูลโดยไม่ได้รับอนุญาตไม่ตรงตามวัตถุประสงค์เง่ือนไข การให้ใช้ หรือบทบาทหน้าที่ รวมถึง การทุจริตหรือละเมิดข้อมูลในรูปแบบอื่น ๆ
ฉ-11