Knowledge

1. เจ้าของข้อมูลส่วนบุคคล ( Data subject) คือ เจ้าของข้อมูลที่เกี่ยวข้องกับบุคคล ซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ทั้งทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรม 2. ผู้ควบคุมข้อมูลส่วนบุคคล ( Data Controller) คือ บุคคล หรือนิติบุคคล ที่มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล 3. ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ บุคคล หรือนิติบุคคล ซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่ง

ผู้ที่มีความประสงค์ร้ายจะเข้ามาคุมระบบคอมพ์ของเราได้ด้วยวิธีใดบ้าง? 1. Malware เป็นหนึ่งในภัยคุกคามทางไซเบอร์ที่พบได้บ่อยที่สุด โดยเป็นการโจมตีโดยชุดคำสั่งที่ไม่พึงประสงค์ สร้างโดยอาชญากรไซเบอร์ หรือแฮกเกอร์ ซึ่งมักจะแพร่กระจายผ่านไฟล์แนบอีเมลหรือการดาวน์โหลดที่ดูเหมือนจะถูกต้องตามกฎหมาย โดยอาชญากรไซเบอร์จะใช้เพื่อสร้างรายได้หรือเป็นการโจมตีที่มีแรงจูงใจทางการเมือง เป็นต้น 2. SQL injection เป็นการคุกคามทางไซเบอร์ที่ใช้ในการควบคุมและขโมยข้อมูลจากฐานข้อมูล โดยใช้ช่องโหว่ในแอพลิเคชันที่มีการใช้ข้อมูล เพื่อแทรกโค้ดที่เป็นอันตรายลงในฐานข้อมูลผ่านคำสั่ง SQL ซึ่งจะทำให้พวกเขาเข้าถึงข้อมูลสำคัญหรือข้อมูลละเอียดอ่อนที่มีอยู่ในฐานข้อมูลได้ 3. Phishing เป็นการที่อาชญากรทางไซเบอร์กำหนดเป้าหมายจากอีเมลที่ดูเหมือนจะมาจากบริษัทที่ถูกต้องตามกฎหมาย เพื่อขอข้อมูลที่ละเอียดอ่อน โดยมักจะเป็นการหลอกให้ส่งมอบข้อมูลบัตรเครดิตหรือข้อมูลส่วนบุคคลอื่น ๆ 4. Man-in-the-middle attack เป็นภัยคุกคามทางไซเบอร์ที่มีการสกัดกั้นการสื่อสารระหว่างบุคคลสองคนเพื่อขโมยข้อมูล เช่น บนเครือข่าย WiFi ที่ไม่ปลอดภัย อาจมีการดักจับข้อมูลที่ส่งผ่านจากอุปกรณ์และเครือข่ายของเหยื่อ 5. Denial-of-service attack เป็นการโจมตีโดยมีจุดมุ่งหมายทำให้ระบบไม่สามารถให้บริการได้ ไม่ว่าจะเป็นการโจมตีที่เครือข่ายหรือแอพพลิเคชั่น

มาตรฐานตัวนี้ประกาศใช้เมื่อปี 2005 เป็นมาตรฐานถูกเขียนขึ้นโดยผู้เชี่ยวชาญของ หน่วยงาน ISO (The International Organization for Standardization) กับหน่วยงาน IEC (The International Electrotechnical Commission) ร่วมกับองค์กรระหว่างประเทศอื่นๆ อีกหลายองค์กร ทั้งองค์กรรัฐบาลและองค์กรอิสระต่างๆ โดยมีรากฐานมาจากประเทศ

Cyber Security คือ แนวทางปฏิบัติ ที่ถูกออกแบบมาเพื่อปกป้องเครือข่าย, อุปกรณ์, โปรแกรม และข้อมูลจากการโจมตีที่ทำให้เกิดความเสียหาย หรือการเข้าถึงจากบุคคลที่สามโดยไม่ได้รับอนุญาต โดยสามารถแบ่งออกเป็นประเภทต่าง ๆ ได้ เช่น

Firewall คือ ซอฟต์แวร์หรือฮาร์ดแวร์ บนระบบเครือข่าย ที่ทำหน้าที่ตรวจสอบข้อมูลที่ผ่านเข้า-ออกระบบเครือข่าย จะมีการกำหนดกฎ เพื่อควบคุมการเข้า-ออกของข้อมูล เป็นการป้องกันว่าข้อมูลที่จะส่งผ่านนั้นมีความปลอดภัยหรือไม่ โดยเปรียบเทียบกับกฎต่างๆที่ทางผู้ใช้งานได้กำหนดไว้ แต่ก็ขึ้นกับการตัดสินใจของผู้ใช้งานเองด้วย ถ้าหากข้อมูลไม่ปลอดภัยได้แต่รับการอนุญาตจากผู้ใช้งาน Firewall ก็จะปล่อยให้ผ่านเข้าไปได้

เนื่องจาก HR มีข้อมูลส่วนบุคคลของพนักงานจำนวนมาก ที่ต้องนำมาจัดการและเก็บรวบรวมไว้ ทำให้ต้องมีการปรับเปลี่ยนการดำเนินการเพื่อให้สอดคล้องกับพ.ร.บ. ตั้งแต่ขั้นตอนการขอ ‘ความยินยอม’ จากเจ้าของข้อมูล ซึ่งมีความจำเป็นอย่างมาก ในการนำข้อมูลของผู้สมัครงานหรือพนักงานไปดำเนินการใด ๆ อีกทั้งความยินยอมในการจัดเก็บรูปภาพ ข้อมูลบัตรต่าง ๆ รวมถึงข้อมูลเกี่ยวกับการรักษาพยาบาล เช่น ประกันสังคม การลาป่วย เป็นต้น รวมถึงเมื่อพนักงานลาออก/ถูกไล่ออก จะต้องมีมาตรการรักษาข้อมูล เพื่อไม่ให้เกิดการโจรกรรมข้อมูล หลุด หรือถูกเผยแพร่ออกไป การกำหนดระยะเวลาในการจัดเก็บข้อมูล และวิธีการในการทำลายข้อมูลเมื่อไม่ได้ใช้ข้อมูลหรือครบกำหนดระยะเวลาในการจัดเก็บ สิ่งที่ HR ควรคำนึงถึง ได้แก่ 1. HR จะต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลเท่านั้น ห้ามเก็บข้อมูลจากแหล่งอื่น และหากมีการส่งต่อข้อมูลของผู้สมัครงาน/พนักงาน จะต้องมีการแจ้งเจ้าของข้อมูลก่อนเสมอ 2. HR ควรมีการจัดเก็บข้อมูลที่จำเป็นเท่านั้น 3. HR จะต้องมีนโยบายในการเก็บรักษาและมาตรการในการทำลายข้อมูลส่วนบุคคลที่ชัดเจน 4. หากเกิดเหตุละเมิดข้อมูลส่วนบุคคล จะต้องแจ้งเหตุให้เจ้าของข้อมูลทราบภายใน 72 ชั่วโมง