รู้ก่อนโดนปรับ! การแจ้งเหตุละเมิดข้อมูลส่วนบุคคล สิ่งสำคัญที่องค์กรไม่ควรละเลย
ในช่วงหลายทศวรรษที่ผ่านมาข้อมูลถูกจัดให้เป็นทรัพย์สินที่สำคัญขององค์กร ปัจจุบันองค์กรต่างๆ นั้นต่างพึ่งพาข้อมูลในการเพิ่มประสิทธิภาพในการตัดสินใจและดำเนินกิจการขององค์กรอย่างมีประสิทธิผล และเป็นกลไกในการขับเคลื่อนการดำเนินงานขององค์กรเพื่อนำไปสู่เป้าหมายสูงสุดขององค์กร ไม่ว่าจะเป็นการใช้ข้อมูลเพื่อเข้าใจลูกค้า สร้างสรรค์สินค้าและบริการใหม่ๆ รวมไปถึงปรับปรุงการดำเนินการขององค์กร ทั้งในด้านการบริหารจัดการงบประมาณ และการควบคุมความเสี่ยงต่างๆ แม้กระทั่งหน่วยงานของรัฐ ก็ต้องการใช้ข้อมูลเพื่อเป็นแนวทางในการปฏิบัติงาน วางแผน กำหนดกลยุทธ์ขององค์กร การที่องค์กรต่างๆ พึ่งพาข้อมูลเพิ่มขึ้นอย่างต่อเนื่อง มูลค่าของข้อมูลจะยิ่งเพิ่มขึ้นเป็นทวีคูณขึ้นอย่างเด่นชัด โดยเฉพาะข้อมูลส่วนบุคคล ซึ่งปัจจุบันประเทศไทยได้บัญญัติกฎหมายในการคุ้มครองข้อมูลส่วนบุคคลเป็นการเฉพาะ ด้วยเหตุจากการละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคลที่เกิดขึ้นเป็นจำนวนมาก จนสร้างความเสียหายแก่เจ้าของข้อมูลส่วนบุคคล (Data Subject) บทบัญญัติในการคุ้มครองข้อมูลส่วนบุคคลดังกล่าว จึงถูกยกร่างขึ้นมาเพื่อกำหนดหน้าที่ มาตรการต่างๆ ในการคุ้มครองข้อมูลส่วนบุคคล และหนึ่งในบทบาทหน้าที่ที่สำคัญนั้นคือหน้าที่ในการแจ้งเหตุละเมิดข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) *ที่มา https://pdpathailand.com/knowledge-pdpa/data-breach-letter/ องค์กรมีหน้าที่ตามกฎหมายอย่างไรในการแจ้งเหตุละเมิดข้อมูลส่วนบุคคล? มีผลกระทบอย่างไรหากองค์กรฝ่าฝืน? พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล มาตรา 37 (4) ได้กำหนดหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ที่เป็นบุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล ดังนี้ (1) แจ้งเหตุละเมิดข้อมูลส่วนบุคคลที่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล แก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) โดยไม่ชักช้าภายใน 72 ชั่วโมง นับแต่ทราบเหตุเท่าที่จะสามารถกระทำได้ (2) แจ้งเหตุละเมิดข้อมูลส่วนบุคคลที่มีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล แก่เจ้าของข้อมูลส่วนบุคคลทราบ […]
