Page 561 - SRT RP_Final Report_221107
P. 561
รายงานฉบับสมบูรณ์ (Final Report)
ความปลอดภัย จัดทำและเก็บรายการกิจกรรมในการประมวลผลข้อมูล การแจ้งเหตุการณ์ละเมิดข้อมูลส่วนบุคคล
เป็นต้น
นอกจากนี้ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลยังมีหน้าที่ในการจัดให้มี
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ตามมาตรา 41 ด้วยโดยมีหน้าที่ตามมาตรา 42 เช่น การให้คำแนะนำ
รักษาความลับ และตรวจสอบการดำเนินการที่เกี่ยวข้องกับข้อมูลส่วนบุคคล เป็นต้น
ดังนั้นแล้ว การรถไฟฯ จึงต้องดำเนินการให้สอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วน
บุคคล พ.ศ. 2562 ดังที่ได้กล่าวเป็นตัวอย่างในสาระสำคัญข้างต้น ทั้งนี้ยังมีในส่วนของรายละเอียดที่ การรถไฟฯ
่
จะต้องปฏิบัติเพิ่มเติมจากที่ได้กล่าวมาแล้วอีก เพื่อไม่ให้ การรถไฟฯ ต้องมีความรับผิดในทางแพง อาญา และ
ในทางปกครองซึ่งจะก่อให้เกิดค่าเสียหายจำนวนมาก
12.5.2.9 พระราชบัญญัติรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562
(1) บทบัญญัติที่เกี่ยวข้อง
• มาตรา 44 ให้หน่วยงานของรัฐ หน่วยงานควบคุมหรือกำกับดูแล และหน่วยงาน
โครงสร้างพื้นฐานสำคัญทางสารสนเทศจัดทำประมวลแนวทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความ
มั่นคงปลอดภัยไซเบอร์ของแต่ละหน่วยงานให้สอดคล้องกับนโยบายและแผนว่าด้วยการรักษาความมนคงปลอดภัย
ั่
ไซเบอร์โดยเร็ว
• มาตรา 45 หน่วยงานของรัฐ หน่วยงานควบคุมหรือกำกับดูแล และหน่วยงานโครงสร้าง
พื้นฐานสำคัญทางสารสนเทศ มีหน้าที่ป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ ตามประมวล
แนวทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ของแต่ละหน่วยงาน และจะต้อง
ดำเนินการให้เป็นไปตามประมวลแนวทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์
ตามมาตรา 13 วรรคหนึ่ง (4) ด้วย
ในกรณีที่หน่วยงานของรัฐ หน่วยงานควบคุมหรือกำกับดูแล หรือหน่วยงานโครงสร้าง
พื้นฐานสำคัญทางสารสนเทศไม่อาจดำเนินการหรือปฏิบัติตามวรรคหนึ่งได้ สำนักงานอาจให้ความช่วยเหลือด้าน
บุคลากรหรือเทคโนโลยีแก่หน่วยงานนั้นตามที่ร้องขอได้
• มาตรา 58 ในกรณีที่เกิดหรือคาดว่าจะเกิดภัยคุกคามทางไซเบอร์ต่อระบบสารสนเทศซึ่ง
อยู่ในความดูแลรับผิดชอบของหน่วยงานของรัฐหรือหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศใด ให้
หน่วยงานนั้นดำเนินการตรวจสอบข้อมูลที่เกี่ยวข้อง ข้อมูลคอมพิวเตอร์ และระบบคอมพิวเตอร์ของหน่วยงานนั้น
497
