7 - 80
สําหรับการคุ้มครองข้อมูลส่วนบุคคลนั้น พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ใช้บังคับกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผล ข้อมูลส่วนบุคคลอยู่ในประเทศไทย เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลจะต้องได้รับความยินยอม จากเจ้าของข้อมูล อย่างไรก็ตามกฎหมายกําหนดฐานอื่น ๆ ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วน บุคคลไว้นอกเหนือจากความยินยอมด้วยที่สําคัญได้แก่ ฐานจดหมายเหตุ วิจัย และสถิติ ฐานประโยชน์สําคัญ ต่อชีวิต ฐานสัญญา ฐานภารกิจของรัฐ ฐานประโยชน์อันชอบธรรม และฐานหน้าที่ตามกฎหมาย นอกจากน้ี กฎหมายยังกําหนดให้ การใช้หรือเปิดเผยข้อมูลส่วนบุคคลนั้นผู้ควบคุมข้อมูลส่วนบุคคลจะต้องจัดให้มี มาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือ เปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอํานาจหรือโดยมิชอบ จัดทําและเก็บรักษาบันทึกรายการของกิจกรรม การประมวลผลข้อมูล และกรณีมีเหตุละเมิดเกิดขึ้นจะต้องแจ้งให้สํานักงานคณะกรรมการคุ้มครองข้อมูลส่วน บุคคลทราบ และหากมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคลก็ต้องดําเนินการแจ้ง เจ้าของข้อมูลส่วนบุคคลด้วย
สอดคล้องกับ GDPR ที่กําหนดฐานการประมวลผลข้อมูลออกเป็น 6 ฐานได้แก่ ฐานความยินยอม ฐานสัญญา ฐานประโยชน์สําคัญต่อชีวิต ฐานหน้าที่ตามกฎหมาย ฐานภารกิจของรัฐ และฐานประโยชน์ โดยชอบธรรม โดยกําหนดให้ต้องมีการคุ้มครองข้อมูลโดยการออกแบบและโดยค่าเริ่มต้น (by design and by default) คือ ผู้ควบคุมข้อมูลจะต้องออกแบบระบบให้มาตรการคุ้มครองข้อมูลส่วนบุคคลและกําหนด ค่าเริ่มต้นในระบบให้คุ้มครองข้อมูลส่วนบุคคลเป็นหลัก ทั้งนี้ GDPR ยกตัวอย่างมาตรการเพื่อการรักษา ความปลอดภัยของข้อมูล เช่น การเข้ารหัสข้อมูล (Encryption) และการแฝงข้อมูล (pseudonymization) การยืนยันตัวตนสองขั้นตอน (two-factor authentication) การจํากัดการเข้าถึงข้อมูล ตลอดจนการให้ความรู้ แก่เจ้าหน้าท่ีท่ีปฏิบัติงานเกี่ยวข้องกับข้อมูลส่วนบุคคล 31
สําหรับมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมนั้น อาจพิจารณาอ้างอิงจากมาตรฐานตาม NIST และ ISO/IEC 27701 ได้ NIST 800-122 กําหนดเกี่ยวกับมาตรการคุ้มครองข้อมูลที่สามารถระบุตัวตน บุคคลได้ (personally identifiable information) โดยวางแนวทางให้องค์กรควรระบุแยกแยะข้อมูลที่เป็น ข้อมูลส่วนบุคคลที่มีอยู่ในองค์กร จํากัดการใช้ รวบรวม และเก็บรักษาข้อมูลส่วนบุคคลเท่าที่จําเป็นต่อการใช้
ที่มา: 31 “What Is GDPR, the EU’s New Data Protection Law?,” GDPR.eu, November 7, 2018, https://gdpr.eu/what-is-gdpr/.
7.1-80
Strategic Design and Development Study of the National Energy Information Center to Support National Energy Plan โครงการศึกษาการจัดทําาแผนยุทธศาสตร์และออกแบบการพัฒนาศูนย์สารสนเทศพลังงานแห่งชาติ เพื่อรองรับการใช้ข้อมูลขนาดใหญ่ (Big Data) ในการขับเคลื่อนแผนพลังงานของประเทศไทย
โครงการศึกษาการจัดทําแผนยุทธศาสตร์และออกแบบการพัฒนาศูนย์สารสนเทศ พลังงานแห่งชาติเพื่อรองรับการใช้ข้อมูลขนาดใหญ่ (Big Data) ในการขับเคล่ือน แผนพลังงานของประเทศไทย
รายงานฉบับสมบูรณ์