ในช่วงหลายทศวรรษที่ผ่านมาข้อมูลถูกจัดให้เป็นทรัพย์สินที่สำคัญขององค์กร ปัจจุบันองค์กรต่างๆ นั้นต่างพึ่งพาข้อมูลในการเพิ่มประสิทธิภาพในการตัดสินใจและดำเนินกิจการขององค์กรอย่างมีประสิทธิผล
และเป็นกลไกในการขับเคลื่อนการดำเนินงานขององค์กรเพื่อนำไปสู่เป้าหมายสูงสุดขององค์กร ไม่ว่าจะเป็นการใช้ข้อมูลเพื่อเข้าใจลูกค้า สร้างสรรค์สินค้าและบริการใหม่ๆ รวมไปถึงปรับปรุงการดำเนินการขององค์กร ทั้งในด้านการบริหารจัดการงบประมาณ และการควบคุมความเสี่ยงต่างๆ แม้กระทั่งหน่วยงานของรัฐ ก็ต้องการใช้ข้อมูลเพื่อเป็นแนวทางในการปฏิบัติงาน วางแผน กำหนดกลยุทธ์ขององค์กร การที่องค์กรต่างๆ พึ่งพาข้อมูลเพิ่มขึ้นอย่างต่อเนื่อง มูลค่าของข้อมูลจะยิ่งเพิ่มขึ้นเป็นทวีคูณขึ้นอย่างเด่นชัด โดยเฉพาะข้อมูลส่วนบุคคล ซึ่งปัจจุบันประเทศไทยได้บัญญัติกฎหมายในการคุ้มครองข้อมูลส่วนบุคคลเป็นการเฉพาะ
ด้วยเหตุจากการละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคลที่เกิดขึ้นเป็นจำนวนมาก จนสร้างความเสียหายแก่เจ้าของข้อมูลส่วนบุคคล (Data Subject) บทบัญญัติในการคุ้มครองข้อมูลส่วนบุคคลดังกล่าว จึงถูกยกร่างขึ้นมาเพื่อกำหนดหน้าที่ มาตรการต่างๆ ในการคุ้มครองข้อมูลส่วนบุคคล และหนึ่งในบทบาทหน้าที่ที่สำคัญนั้นคือหน้าที่ในการแจ้งเหตุละเมิดข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)
*ที่มา https://pdpathailand.com/knowledge-pdpa/data-breach-letter/
องค์กรมีหน้าที่ตามกฎหมายอย่างไรในการแจ้งเหตุละเมิดข้อมูลส่วนบุคคล?
มีผลกระทบอย่างไรหากองค์กรฝ่าฝืน?
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล มาตรา 37 (4) ได้กำหนดหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ที่เป็นบุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล ดังนี้
(1) แจ้งเหตุละเมิดข้อมูลส่วนบุคคลที่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล แก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) โดยไม่ชักช้าภายใน 72 ชั่วโมง นับแต่ทราบเหตุเท่าที่จะสามารถกระทำได้
(2) แจ้งเหตุละเมิดข้อมูลส่วนบุคคลที่มีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล แก่เจ้าของข้อมูลส่วนบุคคลทราบ พร้อมกับแนวทางการเยียวยา โดยไม่ชักช้าด้วย
อนึ่ง หากองค์กร ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ฝ่าฝืนหรือไม่ปฏิบัติตามหน้าที่ในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล ตามบทบัญญัติมาตรา 37 (4) ดังกล่าว ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) อาจต้องระวางโทษปรับทางปกครองไม่เกินสามล้านบาท นอกจากนี้ องค์กรในฐานะผู้ควบคุมข้อมูลส่วนบุคคลที่ละเลยหน้าที่ในการบริหารจัดการเหตุละเมิดข้อมูลส่วนบุคคลและการแจ้งเหตุละเมิดข้อมูลส่วนบุคคลดังกล่าวนั้น อาจนำมาสู่การสูญเสียความน่าเชื่อถือขององค์กร ส่งผลให้สูญเสียโอกาสในการดำเนินธุรกิจ โดยเฉพาะธุรกิจที่เกี่ยวข้องกับข้อมูลส่วนบุคคล ซึ่งนำไปสู่การสูญเสียชื่อเสียง และค่าใช้จ่ายต่าง ๆ อันส่งผลกระทบในการดำเนินกิจการขององค์กรต่อไป
ทั้งนี้ ในการดำเนินการแจ้งเหตุละเมิดข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)
ตามบทบัญญัติดังกล่าว สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ได้ออกประกาศเกี่ยวกับหลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล ซึ่งกล่าวถึงขั้นตอนการดำเนินการของผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)
ในการแจ้งเหตุละเมิดข้อมูลส่วนบุคคล โดยสามารถติดตามรายละเอียดขั้นตอนที่องค์กรต้องดำเนินการได้ในตอนต่อไป
กับ 5 ขั้นตอนที่ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ต้องดำเนินการเมื่อเกิดเหตุละเมิดข้อมูลส่วนบุคคล
