PDPA Thailand

8,638

PDPA Thailand
PDPA Thailand
หนังสือแจ้งเหตุ PDPA

การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล  ถือเป็นประเด็นที่ต้องพิจารณาทางกฎหมายหลายประการ โดยมีการกำหนดจากการเริ่มนับระยะเวลา 72 ชั่วโมง เนื่องจากองค์กรอาจมีความรับผิดทางกฎหมายหากไม่แจ้งภายในระยะเวลาที่กฎหมายพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนด

ซึ่งในมาตรา มาตรา 37(4)  มีการเขียนไว้ว่า การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สำนักงานโดยไม่ชักช้าภายใน72 ชั่วโมง  “ นับแต่ทราบเหตุ” เท่าที่จะสามารถกระทำได้ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล 

หากกรณีที่การละเมิดมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ให้แจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อมกับแนวทางการเยียวยาโดยไม่ชักช้าด้วย ทั้งนี้ การแจ้งดังกล่าวและข้อยกเว้นให้เป็นไปตามหลักเกณฑ์และวิธีการที่คณะกรรมการประกาศกำหนด ดังนั้นจุดเริ่มต้นสำคัญที่สุดของการเริ่มนับระยะเวลา คือ “นับแต่ทราบเหตุ” (become aware)

ผู้ควบคุมข้อมูลส่วนบุคคล หากมีการพิจารณาแล้วว่าเหตุการณ์ข้อมูลรั่วไหลที่เกิดขึ้น (security incident) มีผลทำให้ข้อมูลส่วนบุคคลถูกละเมิด ดังนั้น สิ่งแรกที่องค์กรต้องทำการประเมินก่อน คือ อธิบายผลของเหตุการณ์ข้อมูลรั่วไหลนั้นได้ส่งผลกระทบต่อความเสี่ยง หรือความไม่มั่นคงปลอดภัยของข้อมูลส่วนบุคคลหรือไม่ 

หนังสือแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล มีรายละเอียดดังต่อไปนี้ 

  • รายละเอียดของเหตุ ละเมิดข้อมูลส่วนบุคคล

ระบุรายละเอียดเหตุการณ์ที่เป็นภัยคุกคามข้อมูลส่วนบุคคล ที่มีความเสี่ยงที่จะละเมิดสิทธิเสรีภาพของบุคคล เช่น

    1.  ฐานข้อมูลขององค์กรถูกโจมตีและเข้าถึงโดยมิชอบ
    2. เอกสาร ที่มีการเขียนข้อมูลส่วนบุคคลของลูกค้าถูกโจรกรรม
  • วันเวลาที่ทราบเหตุ 
  • ผู้ที่รายงานเหตุให้ทราบ ระบุชื่อผู้ที่แจ้ง/พบเหตุการณ์ เป็นคนแรก
  • รายการข้อมูลส่วนบุคคลที่ได้รับผลกระทบ
    1. ชื่อ-นามสกุล
    2. อีเมล
    3. ประวัติสุขภาพ
  • รูปแบบผลกระทบ ที่เกิดขึ้นกับข้อมูลส่วนบุคคล 
  • จำนวนเจ้าของข้อมูลส่วนบุคคลที่ได้รับผลกระทบ
  • มาตรการตอบสนองเพื่อหยุดยั้งเหตุละเมิดข้อมูล ระบุมาตรการ/การดำเนินการเพื่อหยุดยั้งเหตุภัยคุกคาม เช่น ระงับการใช้งานระบบทันทีที่ทราบเหตุ เป็นต้น
  • การแจ้งเหตุต่อเจ้าของข้อมูลส่วนบุคคล (เฉพาะกรณีมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพ ของบุคคล) ระบุการดำเนินการขององค์กร ในการแจ้งเหตุแก่เจ้าของข้อมูลส่วนบุคคล  พร้อมมาตรการเยียวยา เช่น สำนักงานได้ส่งหนังสือแจ้งเหตุดังกล่าวแก่เจ้าของข้อมูลส่วนบุคคลที่อาจได้รับผลกระทบทางอีเมล โดยได้แนบ link เพื่อให้เจ้าของข้อมูลทำการเปลี่ยนแปลงรหัสผ่านเข้าระบบทันที
  • ช่องทางการติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
    1. ชื่อ-นามสกุล
    2. สถานที่ติดต่อ
    3. ช่องทางการติดต่อ
เหตุละเมิดข้อมูลส่วนบุคคล
pdpa guru
dpo in action อบรม pdpa dpo
DPO ภาครัฐ PDPA
หลักสูตร PDPA in Action
DPAC อบรม PDPA Internal Audit
PDPA Guru Google Forms EP8
DPOinActionรุ่น19 1200x300
DPO in Action TU - 1200x300
Advanced PDPA in Action สำหรับภาคเอกชน
Banner DPAC 1200x300
dpo รวม