หนังสือแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล (Data Breach Letter) คืออะไร ต้องเขียนอย่างไรบ้าง ?

แชร์

อ่าน

ครั้ง

โดย : pornpilast.su

หนังสือแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล (Data Breach Letter) คืออะไร ต้องเขียนอย่างไรบ้าง ?

แชร์

อ่าน

ครั้ง

โดย : pornpilast.su

การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล  ถือเป็นประเด็นที่ต้องพิจารณาทางกฎหมายหลายประการ โดยมีการกำหนดจากการเริ่มนับระยะเวลา 72 ชั่วโมง เนื่องจากองค์กรอาจมีความรับผิดทางกฎหมายหากไม่แจ้งภายในระยะเวลาที่กฎหมายพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนด

ซึ่งในมาตรา มาตรา 37(4)  มีการเขียนไว้ว่า การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สำนักงานโดยไม่ชักช้าภายใน72 ชั่วโมง  “ นับแต่ทราบเหตุ” เท่าที่จะสามารถกระทำได้ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล 

หากกรณีที่การละเมิดมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ให้แจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อมกับแนวทางการเยียวยาโดยไม่ชักช้าด้วย ทั้งนี้ การแจ้งดังกล่าวและข้อยกเว้นให้เป็นไปตามหลักเกณฑ์และวิธีการที่คณะกรรมการประกาศกำหนด ดังนั้นจุดเริ่มต้นสำคัญที่สุดของการเริ่มนับระยะเวลา คือ “นับแต่ทราบเหตุ” (become aware)

ผู้ควบคุมข้อมูลส่วนบุคคล

ผู้ควบคุมข้อมูลส่วนบุคคล หากมีการพิจารณาแล้วว่าเหตุการณ์ข้อมูลรั่วไหลที่เกิดขึ้น (security incident) มีผลทำให้ข้อมูลส่วนบุคคลถูกละเมิด ดังนั้น สิ่งแรกที่องค์กรต้องทำการประเมินก่อน คือ อธิบายผลของเหตุการณ์ข้อมูลรั่วไหลนั้นได้ส่งผลกระทบต่อความเสี่ยง หรือความไม่มั่นคงปลอดภัยของข้อมูลส่วนบุคคลหรือไม่ 

หนังสือแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล มีรายละเอียดดังต่อไปนี้ 

  • รายละเอียดของเหตุ ละเมิดข้อมูลส่วนบุคคล

ระบุรายละเอียดเหตุการณ์ที่เป็นภัยคุกคามข้อมูลส่วนบุคคล ที่มีความเสี่ยงที่จะละเมิดสิทธิเสรีภาพของบุคคล เช่น

    1.  ฐานข้อมูลขององค์กรถูกโจมตีและเข้าถึงโดยมิชอบ
    2. เอกสาร ที่มีการเขียนข้อมูลส่วนบุคคลของลูกค้าถูกโจรกรรม
  • วันเวลาที่ทราบเหตุ 
  • ผู้ที่รายงานเหตุให้ทราบ ระบุชื่อผู้ที่แจ้ง/พบเหตุการณ์ เป็นคนแรก
  • รายการข้อมูลส่วนบุคคลที่ได้รับผลกระทบ
    1. ชื่อ-นามสกุล
    2. อีเมล
    3. ประวัติสุขภาพ
  • รูปแบบผลกระทบ ที่เกิดขึ้นกับข้อมูลส่วนบุคคล 
  • จำนวนเจ้าของข้อมูลส่วนบุคคลที่ได้รับผลกระทบ
  • มาตรการตอบสนองเพื่อหยุดยั้งเหตุละเมิดข้อมูล ระบุมาตรการ/การดำเนินการเพื่อหยุดยั้งเหตุภัยคุกคาม เช่น ระงับการใช้งานระบบทันทีที่ทราบเหตุ เป็นต้น
  • การแจ้งเหตุต่อเจ้าของข้อมูลส่วนบุคคล (เฉพาะกรณีมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพ ของบุคคล) ระบุการดำเนินการขององค์กร ในการแจ้งเหตุแก่เจ้าของข้อมูลส่วนบุคคล  พร้อมมาตรการเยียวยา เช่น สำนักงานได้ส่งหนังสือแจ้งเหตุดังกล่าวแก่เจ้าของข้อมูลส่วนบุคคลที่อาจได้รับผลกระทบทางอีเมล โดยได้แนบ link เพื่อให้เจ้าของข้อมูลทำการเปลี่ยนแปลงรหัสผ่านเข้าระบบทันที
  • ช่องทางการติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
    1. ชื่อ-นามสกุล
    2. สถานที่ติดต่อ
    3. ช่องทางการติดต่อ

Share :