การละเมิดข้อมูลส่วนบุคคล คืออะไร แค่ไหนที่เรียกว่าเกิด เหตุละเมิด ต้องแจ้ง สคส.เมื่อไร อย่างไร และต้องแจ้งเจ้าของข้อมูลส่วนบุคคลหรือไม่ ?

ตามประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง “หลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล พ.ศ. 2565” ซึ่งเป็นกฎหมายลำดับรองที่ออกตามความในมาตรา 16(4) และมาตรา 37(4) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งผลบังคับใช้ตั้งแต่วันที่ 15 ธันวาคม 2565 ได้นิยามคำว่า “การละเมิดข้อมูลส่วนบุคคล” คือการละเมิดมาตรการรักษาความมั่นคงปลอดภัยที่ทำให้เกิดการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาตหรือโดยมิชอบ

แปลว่า การละเมิดจะเกิดขึ้น เมื่อข้อมูลนั้นถูกเข้าถึง ไม่ว่าจะมีการใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผย หรือทำให้สูญหาย โดยไม่ได้รับอนุญาต หรือ โดยมิชอบ ซึ่งหมายถึง “ไม่เป็นไปตามกฎหมายและระเบียบแบบแผนของทางราชการ และ ทำนองคลองธรรม” 

ประเภทของการละเมิดข้อมูลส่วนบุคคล มีอะไรบ้าง?

1. การละเมิดความลับของข้อมูลส่วนบุคคล (Confidentiality Breach): เกิดการเข้าถึงหรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาตหรือโดยมิชอบ 

2. การละเมิดความถูกต้องครบถ้วนของข้อมูลส่วนบุคคล (Integrity Breach): มีการเปลี่ยนแปลง แก้ไขข้อมูลส่วนบุคคลให้ไม่ถูกต้อง ไม่สมบูรณ์ หรือไม่ครบถ้วน โดยไม่ได้รับอนุญาตหรือโดยมิชอบ 

3. การละเมิดความพร้อมใช้งานของข้อมูลส่วนบุคคล (Availability Breach): ทำให้ไม่สามารถเข้าถึงข้อมูลส่วนบุคคลได้ หรือมีการทำลายข้อมูลส่วนบุคคล ทำให้ข้อมูลส่วนบุคคลไม่อยู่ในสภาพที่พร้อมใช้งานได้ตามปกติ 

การละเมิดแต่ละกรณีอาจเกิดจากการกระทำโดยเจตนา ความประมาทเลินเล่อ หรืออุบัติเหตุ และอาจส่งผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคลในระดับที่แตกต่างกัน 

หน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคลเมื่อเกิดเหตุละเมิดต้องทำอะไรบ้าง?

   – ตรวจสอบและประเมินความน่าเชื่อถือของข้อมูลเกี่ยวกับการละเมิด

   – ดำเนินมาตรการป้องกันและแก้ไขเหตุการณ์โดยทันที

   – แจ้งเหตุต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายใน 72 ชั่วโมงนับแต่ทราบเหตุ

   – แจ้งเจ้าของข้อมูลส่วนบุคคลในกรณีที่มีความเสี่ยงสูง

   – ดำเนินมาตรการเยียวยาและป้องกันการเกิดซ้ำ

ปัจจัยในการประเมินความเสี่ยง ผู้ควบคุมข้อมูลส่วนบุคคลอาจพิจารณาจากปัจจัยใด?

1. ลักษณะและประเภทของการละเมิดข้อมูลส่วนบุคคล

    – เช่น เป็นการละเมิดความลับ ความถูกต้อง หรือความพร้อมใช้งานของข้อมูล

2. ลักษณะหรือประเภทของข้อมูลส่วนบุคคลที่เกี่ยวข้องกับการละเมิด

    – ตัวอย่างเช่น ข้อมูลทั่วไป หรือข้อมูลอ่อนไหว เช่น ข้อมูลสุขภาพ ข้อมูลทางการเงิน

3. ปริมาณของข้อมูลส่วนบุคคลที่เกี่ยวข้องกับการละเมิด

    – พิจารณาจากจำนวนเจ้าของข้อมูลส่วนบุคคลหรือจำนวนรายการของข้อมูลที่ถูกละเมิด

4. ลักษณะ ประเภท หรือสถานะของเจ้าของข้อมูลส่วนบุคคลที่ได้รับผลกระทบ

    – เช่น เป็นผู้เยาว์ ผู้พิการ ผู้ไร้ความสามารถ หรือบุคคลเปราะบางหรือไม่

5. ความร้ายแรงของผลกระทบและความเสียหายที่เกิดขึ้นหรืออาจเกิดขึ้น

    – รวมถึงประสิทธิผลของมาตรการที่ใช้เพื่อป้องกัน ระงับ หรือแก้ไขเหตุการละเมิด

6. ผลกระทบในวงกว้างต่อธุรกิจหรือการดำเนินการของผู้ควบคุมข้อมูลส่วนบุคคลหรือต่อสาธารณะ

    – เช่น ผลกระทบต่อชื่อเสียง ความเชื่อมั่นของลูกค้า หรือความมั่นคงทางเศรษฐกิจ

7. ลักษณะของระบบการจัดเก็บข้อมูลส่วนบุคคลที่เกี่ยวข้องกับการละเมิด

    – รวมถึงมาตรการรักษาความมั่นคงปลอดภัยที่มีอยู่ ทั้งมาตรการเชิงองค์กร เชิงเทคนิค และทางกายภาพ

8. สถานะทางกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล

    – ว่าเป็นบุคคลธรรมดาหรือนิติบุคคล รวมทั้งขนาดและลักษณะของกิจการ

การประเมินความเสี่ยงโดยพิจารณาปัจจัยเหล่านี้จะช่วยให้ผู้ควบคุมข้อมูลส่วนบุคคลสามารถตัดสินใจได้ว่าการละเมิดนั้นมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคลหรือไม่ ซึ่งจะนำไปสู่การตัดสินใจว่าจำเป็นต้องแจ้งเหตุละเมิดต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลและ/หรือเจ้าของข้อมูลส่วนบุคคลหรือไม่ และควรดำเนินมาตรการป้องกันหรือแก้ไขอย่างไรต่อไป

กรณีใดได้รับการยกเว้นการแจ้งเหตุ?

ผู้ควบคุมข้อมูลส่วนบุคคลอาจยกข้อยกเว้นการแจ้งเหตุละเมิดแก่สำนักงานได้ หากสามารถพิสูจน์ได้ว่าเหตุการละเมิดนั้นไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล โดยอาจเป็นกรณีดังต่อไปนี้:

1.ข้อมูลส่วนบุคคลที่ถูกละเมิดไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลได้

2. ข้อมูลส่วนบุคคลนั้นไม่อยู่ในสภาพที่ใช้งานได้ เนื่องจากมีมาตรการทางเทคโนโลยีที่เพียงพอ

3. เหตุอื่นใดที่เชื่อถือได้ว่าไม่มีความเสี่ยงต่อสิทธิและเสรีภาพของบุคคล

    ในการยกข้อยกเว้นนี้ ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ให้ข้อมูลหรือส่งเอกสารหลักฐานเกี่ยวกับเหตุที่ควรได้รับการยกเว้น รวมถึงรายละเอียดเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลหรือข้อมูลอื่นใดให้สำนักงานพิจารณา

ต้องแจ้งเหตุละเมิด 72 ชั่วโมง คิดอย่างไร?

    การนับระยะเวลา 72 ชั่วโมงนับแต่ทราบเหตุละเมิดเพื่อแจ้งต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) มีรายละเอียดและข้อควรพิจารณาดังนี้:

1. จุดเริ่มต้นการนับเวลา:

    – เริ่มนับตั้งแต่ผู้ควบคุมข้อมูลส่วนบุคคล “ทราบเหตุ” ว่ามีการละเมิดข้อมูลส่วนบุคคลเกิดขึ้น

    – “ทราบเหตุ” หมายถึง มีความแน่ใจพอสมควรว่าเกิดเหตุการละเมิดข้อมูลส่วนบุคคล ไม่ใช่เพียงแค่สงสัยหรือได้รับรายงานเบื้องต้น

2. การนับเวลาต่อเนื่อง:

    – นับต่อเนื่องไป 72 ชั่วโมง โดยไม่หยุดพักในวันหยุดราชการหรือวันหยุดนักขัตฤกษ์

    – นับรวมชั่วโมงกลางคืนด้วย ไม่ใช่แค่เวลาทำการปกติ

3. การตรวจสอบและประเมินเบื้องต้น:

    – ช่วงเวลาที่ใช้ในการตรวจสอบข้อเท็จจริงเบื้องต้นว่ามีการละเมิดจริงหรือไม่ ไม่นับรวมในระยะเวลา 72 ชั่วโมงนี้

    – เมื่อตรวจสอบแล้วพบว่ามีการละเมิดจริง จึงเริ่มนับ 72 ชั่วโมง

4. กรณีทราบเหตุนอกเวลาทำการ:

    – หากทราบเหตุในวันหยุดหรือนอกเวลาทำการ ก็ต้องเริ่มนับทันที ไม่รอถึงวันทำการถัดไป

5. การแจ้งเป็นระยะ:

    – หากไม่สามารถรวบรวมข้อมูลทั้งหมดได้ภายใน 72 ชั่วโมง อาจแจ้งเป็นระยะได้

    – แจ้งข้อมูลเท่าที่มีก่อนภายในกำหนด แล้วส่งข้อมูลเพิ่มเติมในภายหลัง

6. กรณีล่าช้าเกิน 72 ชั่วโมง:

หากมีเหตุจำเป็นที่ทำให้แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลล่าช้ากว่า 72 ชั่วโมงนับแต่ทราบเหตุ ผู้ควบคุมข้อมูลส่วนบุคคลอาจขอให้สำนักงานพิจารณายกเว้นความผิดจากการแจ้งล่าช้าได้ โดย:

1) ต้องชี้แจงเหตุผลความจำเป็นและรายละเอียดที่เกี่ยวข้อง

2) ต้องแสดงให้เห็นว่ามีเหตุจำเป็นที่ไม่อาจหลีกเลี่ยงได้

3) ต้องแจ้งแก่สำนักงานโดยเร็ว ทั้งนี้ต้องไม่เกิน 15 วันนับแต่ทราบเหตุ

สำนักงานอาจขอให้ชี้แจงเพิ่มเติมได้ และหากพิจารณาแล้วเห็นควรยกเว้น จะถือว่าผู้ควบคุมข้อมูลส่วนบุคคลได้รับยกเว้นการแจ้งเหตุตามกำหนดเวลาในมาตรา 37(4)

7.การนับเวลา 72 ชั่วโมงนี้มีความสำคัญมาก เพราะหากแจ้งล่าช้าโดยไม่มีเหตุผลอันสมควร อาจเข้าข่ายการฝ่าฝืนกฎหมายและมีโทษตามที่กำหนดไว้ใน มาตรา 83 ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562

ต้องแจ้ง เหตุละเมิด ให้เจ้าของข้อมูลส่วนบุคคลหรือไม่?

การแจ้งเหตุแก่เจ้าของข้อมูลส่วนบุคคล มีวัตถุประสงค์เพื่อให้เจ้าของข้อมูลทราบถึงเหตุการณ์ที่เกิดขึ้น ผลกระทบที่อาจได้รับ และสามารถดำเนินการป้องกันหรือลดความเสียหายที่อาจเกิดขึ้นได้อย่างทันท่วงที

1. ต้องแจ้งเมื่อมีความเสี่ยงสูงที่จะกระทบต่อสิทธิและเสรีภาพของบุคคล

2. ต้องแจ้งโดยไม่ชักช้า หลังจากทราบเหตุและได้ประเมินความเสี่ยงแล้ว

3. ต้องระบุสาระสำคัญ 

1) ข้อมูลโดยสังเขปเกี่ยวกับลักษณะของการละเมิดข้อมูลส่วนบุคคล

2) ชื่อ สถานที่ติดต่อ และวิธีการติดต่อของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลหรือบุคคลที่รับผิดชอบ

3) ข้อมูลเกี่ยวกับผลกระทบที่อาจเกิดขึ้นกับเจ้าของข้อมูลส่วนบุคคล

4) แนวทางการเยียวยาความเสียหายและมาตรการที่ใช้เพื่อป้องกัน ระงับ หรือแก้ไขเหตุการละเมิด

5) ข้อแนะนำเกี่ยวกับมาตรการที่เจ้าของข้อมูลส่วนบุคคลอาจดำเนินการเพิ่มเติมเพื่อป้องกันหรือลดผลกระทบ

4. สามารถแจ้งเป็นรายบุคคลหรือเป็นการทั่วไปผ่านสื่อต่างๆ ตามความเหมาะสม

1) โดยหลักให้แจ้งเป็นรายบุคคลเป็นหนังสือหรือโดยวิธีการทางอิเล็กทรอนิกส์

2) กรณีไม่สามารถแจ้งเป็นรายบุคคลได้ (เช่น ไม่มีวิธีการติดต่อ หรือมีเหตุจำเป็นอื่นๆอาจแจ้งโดย

• • • แจ้งเป็นกลุ่ม

    • แจ้งเป็นการทั่วไปผ่านสื่อสาธารณะ

    • แจ้งผ่านสื่อสังคมออนไลน์

    • แจ้งโดยวิธีการทางอิเล็กทรอนิกส์หรือวิธีการอื่นใดที่เจ้าของข้อมูลสามารถเข้าถึงได้

5. ความสัมพันธ์กับการแจ้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

    1) การแจ้งเจ้าของข้อมูลส่วนบุคคลนี้เป็นหน้าที่เพิ่มเติมจากการแจ้งสำนักงาน

    2) ผู้ควบคุมข้อมูลส่วนบุคคลอาจต้องแจ้งทั้งสำนักงานและเจ้าของข้อมูล หรือแจ้งเฉพาะสำนักงาน ขึ้นอยู่กับระดับความเสี่ยงของการละเมิด

6. ข้อควรระวัง:

1) การแจ้งเป็นกลุ่มหรือแจ้งเป็นการทั่วไปต้องไม่ก่อให้เกิดความเสียหายหรือผลกระทบต่อเจ้าของข้อมูลส่วนบุคคล

2) ผู้ควบคุมข้อมูลส่วนบุคคลต้องพิจารณาเลือกวิธีการแจ้งที่เหมาะสมกับสถานการณ์และไม่เพิ่มความเสี่ยงให้กับเจ้าของข้อมูล

การแจ้ง เหตุละเมิด ให้สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

1. ช่องทางการแจ้งเหตุ

โทร : 02-1421033, 02-1416993 

Email: [email protected]

หรือที่ตั้งของสำนักงานฯ : www.pdpc.or.th

1. ลักษณะของการละเมิด

2. ข้อมูลติดต่อของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล

3. ผลกระทบที่อาจเกิดขึ้นกับเจ้าของข้อมูลส่วนบุคคล

1. ในข้อ 5 ของประกาศระบุว่า ผู้ควบคุมข้อมูลส่วนบุคคลต้อง “ดำเนินการตามมาตรการที่จำเป็นและเหมาะสมเพื่อระงับ ตอบสนอง แก้ไข หรือฟื้นฟูสภาพจากเหตุการละเมิดข้อมูลส่วนบุคคลดังกล่าว รวมทั้งป้องกันและลดผลกระทบจากการเกิดเหตุการละเมิดข้อมูลส่วนบุคคลในลักษณะเดียวกันในอนาคต”

2. ในข้อ 10 ระบุว่า เมื่อแจ้งเหตุละเมิดแก่เจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้ง “แนวทางการเยียวยาความเสียหายของเจ้าของข้อมูลส่วนบุคคล” ด้วย

3. นอกจากนี้ ในข้อ 10 ยังระบุว่าต้องแจ้ง “ข้อมูลโดยสังเขปเกี่ยวกับมาตรการที่ผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือจะใช้เพื่อป้องกัน ระงับ หรือแก้ไขเหตุการละเมิดข้อมูลส่วนบุคคล” รวมถึง “ข้อแนะนำเกี่ยวกับมาตรการที่เจ้าของข้อมูลส่วนบุคคลอาจดำเนินการเพิ่มเติมเพื่อป้องกัน ระงับ หรือแก้ไขเหตุการละเมิดข้อมูลส่วนบุคคล หรือเยียวยาความเสียหาย”

4. แม้ว่าประกาศไม่ได้ระบุรายละเอียดเฉพาะเจาะจงของวิธีการเยียวยา แต่ก็กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลต้องพิจารณาและดำเนินการเยียวยาตามความเหมาะสม ซึ่งอาจรวมถึง:

• การชดเชยค่าเสียหายทางการเงิน

• การให้บริการเฝ้าระวังการใช้ข้อมูลทางการเงินหรือข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต

• การให้คำปรึกษาหรือความช่วยเหลือในการจัดการกับผลกระทบที่เกิดขึ้น

• การดำเนินการแก้ไขหรือลบข้อมูลที่ถูกละเมิด

• การปรับปรุงระบบหรือกระบวนการเพื่อป้องกันการละเมิดในอนาคต

ทั้งนี้ การเยียวยาควรพิจารณาตามความร้ายแรงของผลกระทบและความเสียหายที่เกิดขึ้นกับเจ้าของข้อมูลส่วนบุคคลเป็นรายกรณีไป

เมื่อมีเหตุการณ์การละเมิดข้อมูลส่วนบุคคล องค์กรต้องมีการประเมิน ทบทวนและจัดใ้หมีมาตรการที่ใช้ในการแก้ไขและป้องกันเหตุละเมิดข้อมูลส่วนบุคคล อย่างไร?

1. มาตรการทางเทคนิค (Technical Measures):

   – ปิดช่องโหว่ทางความปลอดภัยที่ทำให้เกิดการละเมิด

   – อัพเดทระบบปฏิบัติการและซอฟต์แวร์ให้เป็นเวอร์ชันล่าสุด

   – เพิ่มความแข็งแกร่งของระบบการยืนยันตัวตน เช่น การใช้ระบบยืนยันตัวตนแบบหลายปัจจัย (Multi-factor Authentication)

   – เข้ารหัสข้อมูลที่สำคัญ

   – ติดตั้งหรืออัพเกรดระบบป้องกันการบุกรุก (Firewall, Intrusion Detection/Prevention Systems)

2. มาตรการทางองค์กร (Organizational Measures):

   – ทบทวนและปรับปรุงนโยบายความปลอดภัยของข้อมูล

   – จัดอบรมพนักงานเกี่ยวกับการรักษาความปลอดภัยของข้อมูล

   – กำหนดขั้นตอนการตอบสนองต่อเหตุละเมิดข้อมูลที่ชัดเจน

   – จัดตั้งทีมตอบสนองต่อเหตุฉุกเฉินด้านความปลอดภัยทางไซเบอร์ (CSIRT)

3. มาตรการทางกายภาพ (Physical Measures):

   – เพิ่มการควบคุมการเข้าถึงพื้นที่ที่มีข้อมูลสำคัญ

   – ติดตั้งระบบกล้องวงจรปิดในพื้นที่สำคัญ

   – ปรับปรุงระบบการจัดเก็บและทำลายเอกสารที่มีข้อมูลส่วนบุคคล

4. มาตรการการตรวจสอบและติดตาม (Monitoring and Auditing Measures):

   – เพิ่มความถี่ในการตรวจสอบระบบและล็อก

   – ใช้เครื่องมือวิเคราะห์พฤติกรรมผู้ใช้และระบบ (User and Entity Behavior Analytics)

   – จัดให้มีการตรวจสอบความปลอดภัยของระบบโดยบุคคลภายนอก (Third-party Security Audit)

5. มาตรการการกู้คืนข้อมูล (Data Recovery Measures):

   – ปรับปรุงระบบสำรองข้อมูลและกู้คืนข้อมูล

   – ทดสอบแผนการกู้คืนระบบหลังภัยพิบัติ (Disaster Recovery Plan)

6. มาตรการทางกฎหมายและสัญญา (Legal and Contractual Measures):

   – ทบทวนและปรับปรุงสัญญากับผู้ประมวลผลข้อมูลส่วนบุคคล

   – ปรับปรุงนโยบายความเป็นส่วนตัวและแจ้งให้ผู้ใช้บริการทราบ

7. มาตรการการสื่อสารและการจัดการความสัมพันธ์ (Communication and Relationship Management Measures):

   – จัดทำแผนการสื่อสารกับผู้มีส่วนได้ส่วนเสียในกรณีเกิดเหตุละเมิด

   – สร้างช่องทางการรับแจ้งเหตุและข้อร้องเรียนเกี่ยวกับความปลอดภัยของข้อมูล

8. มาตรการการประเมินความเสี่ยงอย่างต่อเนื่อง (Ongoing Risk Assessment Measures):

   – จัดให้มีการประเมินความเสี่ยงด้านความปลอดภัยของข้อมูลอย่างสม่ำเสมอ

   – ใช้เครื่องมือวิเคราะห์ช่องโหว่อัตโนมัติ (Automated Vulnerability Analysis Tools)

มาตรการเหล่านี้ช่วยสร้างระบบป้องกันแบบหลายชั้น (Defense in Depth) ที่ไม่เพียงแต่ป้องกันการละเมิดในรูปแบบเดิม แต่ยังช่วยเพิ่มความสามารถในการตรวจจับ ตอบสนอง และฟื้นฟูจากเหตุละเมิดในรูปแบบใหม่ๆ ที่อาจเกิดขึ้นในอนาคต การนำมาตรการเหล่านี้มาใช้อย่างเหมาะสมและปรับปรุงอย่างต่อเนื่องจะช่วยลดโอกาสการเกิดเหตุละเมิดซ้ำและเพิ่มความแข็งแกร่งของระบบรักษาความปลอดภัยข้อมูลโดยรวม

เมื่อแจ้งมาตรการเหล่านี้ต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลควรระบุมาตรการที่เกี่ยวข้องโดยตรงกับเหตุละเมิดที่เกิดขึ้น และอธิบายว่ามาตรการเหล่านี้จะช่วยป้องกันไม่ให้เกิดเหตุละเมิดในลักษณะเดียวกันซ้ำอีกได้อย่างไร

เสริมทีม DPO เพิ่มทักษะ PDPA องค์กรด้วยหลักสูตร DPS: Workshop Series >> คลิก <<